다중 포리스트를 사용한 하이브리드 배포

  • 아티클

Exchange 2013 이상 하이브리드 배포는 여러 온-프레미스 Exchange 포리스트와 단일 Microsoft 365 또는 Office 365 organization 있는 조직에서 지원됩니다. 하이브리드 배포 기능 및 고려 사항의 경우 다중 포리스트 조직은 여러 포리스트에 Exchange 서버를 배포하는 조직으로 정의됩니다. 사용자 계정에는 리소스 포리스트를 사용하지만 모든 Exchange 서버를 단일 포리스트에서 유지 관리하는 조직은 하이브리드 배포 시나리오에서 다중 포리스트 조직으로 분류되지 않습니다. 하이브리드 배포를 계획 및 구성할 때 이러한 유형의 조직은 단일 포리스트 조직으로 간주해야 합니다.

온-프레미스 환경에서 Microsoft 365 또는 Office 365 공용 폴더 마이그레이션은 단일 Active Directory 포리스트에서만 지원됩니다. 마찬가지로 하이브리드 상태에서의 공용 폴더 액세스는 온-프레미스 공용 폴더가 단일 Active Directory 포리스트에 있을 때만 지원됩니다.

하이브리드 배포에 대한 자세한 내용은 하이브리드 배포 Exchange Server 참조하세요.

중요

Exchange 2013 이상의 경우 하이브리드 배포에는 온-프레미스 organization 설치한 Exchange 버전에 사용할 수 있는 최신 CU(누적 업데이트)가 필요합니다.

최신 업데이트를 설치할 수 없는 경우 바로 이전 릴리스도 지원됩니다. 이전 CPU 및 RU는 지원되지 않습니다. 자세한 내용은 하이브리드 배포 필수 조건을 참조하세요.

다중 포리스트 하이브리드 배포 필수 구성 요소

다중 포리스트 하이브리드 배포 필수 구성 요소는 다음과 같은 예외를 제외하고 단일 포리스트 organization 대한 하이브리드 배포 필수 구성 요소와 거의 동일합니다.

  • 자동 검색: 각 Exchange 포리스트는 하나 이상의 SMTP 네임스페이스와 해당 자동 검색 네임스페이스에 대해 신뢰할 수 있어야 합니다. 여러 Exchange 포리스트에서 공유하는 도메인이 있는 경우 메일 라우팅 및 자동 검색 끝점을 모두 구성하고 Exchange 포리스트 간에 정상적으로 작동하는지 확인한 후에 다중 포리스트 하이브리드 배포를 구성해야 합니다. Office 365 서비스가 각 Exchange 포리스트의 자동 검색 서비스를 쿼리할 수 있어야 합니다.

  • 인증서: 모든 하이브리드 배포에는 신뢰할 수 있는 타사 CA(인증 기관)에서 발급한 디지털 인증서가 필요합니다. 다중 포리스트 하이브리드 배포에서는 여러 Active Directory 포리스트에 단일 디지털 인증서를 사용할 수 없습니다. 하이브리드 배포에서 보안 메일 전송이 정상적으로 작동하려면 각 포리스트가 전용 CA 발급 인증서를 사용해야 합니다. 다중 포리스트 조직의 각 포리스트에서 하이브리드 배포 기능에 사용되는 인증서는 다음 속성 중 하나 이상이 달라야 합니다.

    • 일반 이름: 디지털 인증서의 CN(일반 이름)은 인증서 주체의 일부입니다. 이 이름은 인증 대상 호스트와 일치해야 하며, 보통 Active Directory 포리스트에 있는 클라이언트 액세스 서버의 외부 호스트 이름입니다. mail.contoso.com 등을 예로 들 수 있습니다. 다중 포리스트 하이브리드 배포에서 사용되는 Active Directory 포리스트 간을 구분하는 속성으로 CN을 사용하는 것이 좋습니다.

    • 발급자: organization 정보를 확인하고 인증서를 발급한 타사 CA입니다. VeriSign 또는 Go Daddy 등을 예로 들 수 있습니다. 다중 포리스트 하이브리드 배포의 예로, 하나의 포리스트에는 VeriSign에서 발급한 인증서가 있고 한 포리스트에는 Go Daddy에서 발급한 인증서가 있습니다.

    중요

    하이브리드 배포에서 메일 전송에 사용되는 각 Active Directory 포리스트의 사서함 및 클라이언트 액세스(및 배포된 경우 Edge 전송) 서버에 설치된 인증서는 모두 동일한 CA에서 발급되어야 하며 동일한 일반 이름을 가져야 합니다.

    Edge 전송 서버에서 인증서 일반 이름 및 발급자 이름이 일치하지 않는 경우 다음 명령을 사용하여 수신 커넥터에서 수동으로 설정할 수 있습니다.

    $cert=Get-ExchangeCertificate -Thumbprint "Thumbprint of the certificate"
$tlscertificatename = "<i>$($cert.Issuer)<s>$($cert.Subject)"
Get-ReceiveConnector "Receiveconnectorname" | Set-ReceiveConnector -TlsCertificateName $tlscertificatename

  • Exchange 서버: 클라이언트 액세스 서버 역할이 있는 하나 이상의 Exchange 2013 서버 또는 사서함 역할이 있는 Exchange 2016 이상 서버는 하이브리드 배포를 위해 구성된 각 Active Directory 포리스트에 설치해야 합니다.

    Exchange 2013에서 클라이언트 액세스 서버는 Microsoft 365 또는 Office 365 organization 서비스에 포함된 Exchange Online Protection(EOP) 서비스에 대한 인바운드 보안 메일 전송 엔드포인트이며 Active Directory 포리스트에서 하이브리드 구성 마법사를 실행할 수 있도록 합니다. 또한 하이브리드 배포용으로 구성된 각 Active Directory 포리스트에 사서함 서버 역할이 있는 Exchange 서버도 하나 이상 설치해야 합니다. Exchange 2013 사서함 서버는 EOP 서비스 및 Exchange Online organization 전송된 메시지에 대한 아웃바운드 보안 메일 전송 엔드포인트입니다.

    Exchange 2016 이상에서 사서함 서버 역할은 온-프레미스 조직과 Exchange Online 간의 모든 인바운드 및 아웃바운드 보안 전송을 처리합니다.

  • 네임스페이스 계획: Exchange를 설치하는 각 포리스트에는 외부에서 검색할 수 있는 고유한 고유한 네임스페이스가 필요합니다. 각 포리스트에서 실행할 때 하이브리드 구성 마법사에서 포리스트의 고유한 네임스페이스를 지정합니다.

  • Active Directory 동기화: 모든 하이브리드 배포에는 Microsoft 365 또는 Office 365 Active Directory 동기화가 필요합니다. 회사에서 이미 Forefront Identity Manager 사용하여 다중 포리스트 온-프레미스 organization Microsoft 365 또는 Office 365 간에 Active Directory 동기화를 설정한 경우 Microsoft Entra Connect를 사용할 수 있습니다.

  • Single Sign-On: 단일 Active Directory 포리스트를 사용하는 하이브리드 배포에 대한 요구 사항은 아니지만 관리자는 각 Active Directory 포리스트에서 SSO 서버를 구성하거나 온-프레미스 포리스트 간에 구성된 양방향 포리스트 트러스트가 있는 경우 단일 SSO 서버를 구성하도록 선택할 수 있습니다. 원활한 사용자 인증 환경을 위해 AD FS 또는 암호 동기화를 사용합니다.

    자세한 내용은 하이브리드 배포 SSO(Single Sign-On)을 참조하세요.

하이브리드 배포 필수 구성 요소의 전체 목록은 하이브리드 배포 필수 구성 요소를 참조하세요.

다중 포리스트 하이브리드 배포 시나리오

다음 시나리오를 잘 살펴보시기 바랍니다. 일반적인 Exchange 2013 배포에 대한 개요를 제공하는 예제 토폴로지입니다. Contoso, Ltd.는 두 개의 Active Directory 포리스트가 있는 다중 포리스트 다중 도메인 organization. 각 포리스트에는 도메인 컨트롤러가 포함되어 있습니다. 각 포리스트에는 각 포리스트의 도메인 컨트롤러, 클라이언트 액세스 역할이 설치된 Exchange 2013 서버, 사서함 서버 역할이 설치된 Exchange 2013 서버 하나가 포함됩니다. 원격 Contoso 사용자는 Outlook Web App 사용하여 인터넷을 통해 Exchange 2013에 연결하여 사서함을 검사 Outlook 일정에 액세스합니다.

여러 포리스트를 사용하여 하이브리드 배포 전에.

Contoso의 네트워크 관리자이며 하이브리드 배포를 구성하는 데 관심이 있다고 가정해 보겠습니다. 포리스트 A에서 필요한 Active Directory 동기화 서버를 배포 및 구성하고 Microsoft 365 또는 Office 365 액세스하는 Contoso 사용자 및 관리자에 대한 계정 자격 증명에 대한 프롬프트 수를 최소화하기 위한 옵션으로 AD FS(Active Directory Federation Services) 서버를 배포하기로 결정합니다Office 365 포리스트 A의 서비스. 하이브리드 배포 필수 구성 요소를 완료하고 하이브리드 구성 마법사를 사용하여 하이브리드 배포에 대한 옵션을 선택한 후 새 토폴로지의 구성은 다음과 같습니다.

  • 사용자는 온-프레미스 조직과 Exchange Online 조직에 로그온하기 위해 기존 네트워크 계정 자격 증명을 사용합니다("Single Sign-On").

  • 온-프레미스와 Exchange Online 조직에 있는 사용자 사서함은 동일한 전자 메일 주소 도메인을 사용합니다. 예를 들어 포리스트 A 온-프레미스에 있는 사서함과 Exchange Online organization 있는 일부 사서함은 포리스트 B의 사용자 전자 메일 주소 및 사서함에서 사용 @contoso.com 되며 Exchange Online organization 있는 일부 사서함은 를 사용합니다@sales.contoso.com.

  • 모든 메일은 온-프레미스 조직에 의해 인터넷으로 배달됩니다. 온-프레미스 조직은 모든 메시징 전송을 제어하고 Exchange Online 조직의 릴레이 역할을 합니다("중앙 집중식 메일 전송").

  • 온-프레미스와 Exchange Online 조직 사용자는 약속 있음/없음 일정 정보를 서로 공유할 수 있습니다. 두 조직에 구성된 조직 관계를 통해 크로스-프레미스 메시지 추적, 메일 설명, 메시지 검색을 할 수 있습니다.

  • 온-프레미스와 Exchange Online 사용자는 인터넷상에서 동일한 URL을 사용하여 자신의 사서함에 접속합니다.

여러 포리스트를 사용하여 하이브리드 배포 후.

Contoso의 기존 조직 구성과 하이브리드 배포 구성을 비교해 보면 하이브리드 배포 구성에 추가 통신을 지원하는 서버와 서비스 그리고 온-프레미스 조직과 Exchange Online 조직 간에 공유되는 기능이 추가되었음을 알 수 있습니다. 다음은 하이브리드 배포가 초기 온-프레미스 Exchange 조직에서 만들어졌다는 변경에 대한 개요입니다.

구성 혼성 배포 전 하이브리드 배포 후
사서함 위치 온-프레미스 사서함만 해당. 온-프레미스와 Exchange Online에 있는 사서함.
메시지 전송 온-프레미스 클라이언트 액세스 서버는 모든 인바운드 및 아웃바운드 메시지 라우팅을 처리합니다. 온-프레미스 클라이언트 액세스 서버는 온-프레미스 및 Exchange Online 조직 간 내부 메시지 라우팅을 처리합니다.
Outlook Web App 온-프레미스 클라이언트 액세스 서버는 모든 Outlook Web App 요청을 수신하고 사서함 정보를 표시합니다. 온-프레미스 클라이언트 액세스 서버는 Outlook Web App 요청을 온-프레미스 Exchange 2013 사서함 서버에 리디렉션하거나 Exchange Online 조직에 로그온하기 위한 링크를 제공합니다.
두 조직에 대한 통합 GAL 해당 없음, 단일 조직만 해당. 온-프레미스 Active Directory 동기화 서버는 메일 사용이 가능한 개체에 대한 Active Directory 정보를 Exchange Online 조직에 복제합니다.
두 조직에 사용된 Single Sign-On 해당 없음, 단일 조직만 해당. 온-프레미스 Active Directory Federation Services(AD FS) 서버는 온-프레미스 또는 Microsoft 365 또는 Office 365 organization 있는 사서함에 Single Sign-On 자격 증명 사용을 지원합니다.
조직 관계 설정 및 Microsoft Entra 인증 시스템과의 페더레이션 신뢰 Microsoft Entra 인증 시스템과의 신뢰 관계 및 다른 페더레이션된 Exchange 조직과의 organization 관계가 구성될 수 있습니다. Microsoft Entra 인증 시스템과의 신뢰 관계가 필요합니다. 온-프레미스 조직과 Exchange Online 조직 간에 조직 관계가 설정됩니다.
약속 있음/없음 공유 온-프레미스 사용자 간의 약속 있음/없음 공유. 온-프레미스 사용자와 Exchange Online 사용자 간의 약속 있음/없음 공유.

다중 포리스트 조직에서 하이브리드 배포 구성

다중 포리스트 조직에 대한 하이브리드 배포를 구성하려면 아래의 기본 단계를 완료해야 합니다.

  1. 하이브리드 배포 필수 구성 요소가 충족되었는지 확인합니다. 이 항목의 앞부분과 하이브리드 배포 필수 구성 요소에 나와 있는 필수 구성 요소를 참조하세요. 일반적으로는 포리스트 하나에만 Active Directory 동기화 서버를 설치하면 됩니다. 자세한 내용은 Microsoft Entra Connect에 대한 토폴로지를 참조하세요.

  2. 이 항목의 앞부분에 나와 있는 요구 사항을 충족하는 각 Active Directory 포리스트용으로 타사 CA 인증서를 받습니다.

  3. 각 포리스트의 모든 Exchange 2013 클라이언트 액세스 및 사서함 서버 또는 Exchange 2016 사서함 서버에 인증서를 설치합니다.

  4. 기본 포리스트에 대해 하이브리드 구성 마법사를 사용하여 하이브리드 배포 만들기 항목에 나와 있는 단계를 완료합니다.

    중요

    하이브리드 구성 마법사에서 기본 포리스트용으로 지정된 인증서를 선택하고 포리스트의 기본 SMTP 도메인을 선택합니다.

  5. 보조 포리스트에 대해 하이브리드 구성 마법사를 사용하여 하이브리드 배포 만들기 항목에 나와 있는 단계를 완료합니다.

    중요

    하이브리드 구성 마법사에서 보조 포리스트용으로 지정된 인증서를 선택하고 포리스트의 기본 SMTP 도메인을 선택합니다.