페더레이션 트러스트 관리

적용 대상: Exchange Server 2013

페더레이션 트러스트는 Microsoft Exchange 2013 조직과 Microsoft Entra 인증 시스템 간에 트러스트 관계를 설정하고 다른 페더레이션된 Exchange 조직과의 페더레이션 공유를 지원합니다. 보통의 경우에는 페더레이션 트러스트를 만든 후 페더레이션 트러스트를 관리하거나 수정하지 않아도 됩니다. 그러나 페더레이션 도메인을 추가 또는 제거하거나 페더레이션 트러스트에 대한 OrgID(조직 식별자)를 구성하는 데 사용된 도메인을 다시 설정해야 하는 경우가 있을 수 있습니다.

참고

기존 페더레이션 트러스트, 특히 OrgID를 정의하는 데 사용되는 기본 공유 도메인을 수정하면 페더레이션된 Exchange 조직 간의 페더레이션 공유 또는 Microsoft 365 또는 Office 365 조직과의 하이브리드 배포에 방해가 될 수 있습니다.

페더레이션과 관련된 추가 관리 작업은 페더레이션 절차를 참조하세요.

중요

Exchange Server 2013의 이 기능은 현재 중국에서 21Vianet에 의해 운영되는 Office 365와는 완전히 호환되지는 않으며 일부 기능 제한이 적용될 수 있습니다. 자세한 내용은 21Vianet에 의해 운영되는 Office 365 정보를 참조하세요.

시작하기 전에 알아야 할 사항은 무엇인가요?

• 예상 완료 시간: 30분.

• 이러한 절차를 수행하려면 먼저 사용 권한을 할당받아야 합니다. 필요한 권한을 보려면 Exchange 및 Shell 인프라 권한 항목의 페더레이션 및 인증서 권한 항목을 참조하세요.

• 페더레이션 트러스트에 새로 추가된 페더레이션 도메인 각각의 TXT 레코드를 공용 DNS에 추가해야 합니다. 공용 DNS 레코드를 호스트하는 조직의 TXT 레코드 추가를 위한 요구 사항을 검토하십시오.

• 이 항목의 목적에 따라 기존 페더레이션 트러스트는 다음 설정을 사용하여 구성되었습니다.

  • Contoso.com은 페더레이션 트러스트에 대한 기본 공유 도메인입니다. (이 도메인은 변경되지 않습니다.)

  • 페더레이션 도메인 service.contoso.com 및 sales.contoso.com은 기존 페더레이션 트러스트에 포함되어 있습니다.

  • Marketing.contoso.com은 Exchange 조직의 허용 도메인입니다.

• 이 항목에서는 셸에서 페더레이션 트러스트 매개 변수 정보 보기, 페더레이션 트러스트에 사용된 인증서 보기 및 관리 등의 기타 페더레이션 관리 작업도 다룹니다.

• 이 항목의 절차에 적용할 수 있는 바로 가기 키에 대한 자세한 내용은 Exchange 관리 센터의 바로 가기 키을 참조하세요.

EAC를 사용하여 페더레이션 트러스트 관리

1. 온-프레미스 조직의 Exchange 2013 서버에서 조직>공유로 이동합니다.

2. 페더레이션 트러스트 섹션에서 수정을 클릭합니다.

3. 기본 공유 도메인이 변경되지 않기 때문에 공유 사용 가능 도메인에서 1단계를 건너뜁니다.

4. 2단계에서 service.contoso.com 도메인을 선택한 다음 을 클릭합니다. 페더레이션된 트러스트에서 도메인을 제거합니다.

5. 2단계에서 를 클릭합니다..

6. 허용 도메인 선택의 허용 도메인 목록에서 marketing.contoso.com을 선택하고 확인을 클릭하여 페더레이션 트러스트에 도메인을 추가합니다.

   중요

   marketing.contoso.com 도메인에 대한 페더레이션 도메인 증명 문자열이 생성됩니다. 공용 DNS에 이 도메인의 TXT 레코드를 별도로 만들어야 합니다.

7. marketing.contoso.com 도메인에 대해 만든 페더레이션 도메인 증명 문자열을 사용하면 공용 DNS 서버에 TXT 레코드가 생성됩니다. 공용 DNS 호스트의 업데이트 일정에 따라 DNS 변경 사항 복제에 15분 이상 걸릴 수 있습니다.

8. TXT 레코드가 생성되어 복제되면 업데이트를 클릭합니다.

셸을 사용하여 페더레이션 트러스트 관리

1. 이 예에서는 페더레이션 트러스트에서 service.contoso.com 도메인을 제거합니다.

   Remove-FederatedDomain -DomainName service.contoso.com
   

2. 이 예에서는 페더레이션 트러스트에 marketing.contoso.com 도메인을 추가합니다.

   Add-FederatedDomain -DomainName marketing.contoso.com
   

구문과 매개 변수에 대한 자세한 내용은 Remove-FederatedDomain 및 Add-FederatedDomain을 참조하십시오.

페더레이션 트러스트의 다른 측면을 관리하려면 다음 셸 명령을 실행합니다.

1. 페더레이션 OrgID 및 페더레이션 도메인 보기

   이 예에서는 페더레이션 도메인 및 상태를 비롯한 Exchange 조직의 페더레이션 OrgID와 관련 정보를 표시합니다.

   Get-FederatedOrganizationIdentifier
   

2. 페더레이션 트러스트 인증서 보기

   이 예제에서는 페더레이션 트러스트 "Microsoft Entra 인증"에서 사용하는 이전, 현재 및 다음 인증서를 표시합니다.

   Get-FederationTrust "Azure AD authentication" | Select Org*certificate
   

3. 페더레이션 인증서 상태 확인

   이 예에서는 조직의 모든 사서함 및 클라이언트 액세스 서버의 페더레이션 인증서 상태를 표시합니다.

   Test-FederationTrustCertificate
   

4. 인증서를 다음 인증서로 사용하도록 페더레이션 트러스트 구성

   이 예제에서는 제공된 지문이 있는 인증서를 다음 인증서로 사용하도록 페더레이션 트러스트 "Microsoft Entra 인증"을 구성합니다. 인증서가 조직의 모든 Exchange 서버에 배포된 후 PublishCertificate 스위치를 사용하여 이 인증서를 현재 인증서로 사용하도록 페더레이션 트러스트를 구성할 수 있습니다.

   Set-FederationTrust "Azure AD authentication" -Thumbprint AC00F35CBA8359953F4126E0984B5CCAFA2F4F17
   

5. 다음 인증서를 현재 인증서로 사용하도록 페더레이션 트러스트 구성

   다음은 페더레이션 트러스트 Microsoft Entra 인증을 구성하여 다음 인증서를 현재 인증서로 사용하고 Microsoft Entra 인증 시스템에 게시하는 예제입니다.

   Set-FederationTrust "Azure AD authentication" -PublishFederationCertificate
   

   경고

   다음 인증서를 현재 페더레이션 인증서로 사용하도록 페더레이션 트러스트를 구성하기 전에 조직의 모든 Exchange 서버에 인증서를 배포해야 합니다. Test-FederationTrustCertificate cmdlet을 사용하면 인증서의 배포 상태를 확인할 수 있습니다.

6. Microsoft Entra 인증 시스템에서 페더레이션 메타데이터 및 인증서 새로 고침

   다음은 페더레이션 신뢰 Microsoft Entra 인증에 대한 Microsoft Entra 인증 시스템의 페더레이션 메타데이터 및 인증서를 새로 고치는 예제입니다.

   Set-FederationTrust "Azure AD authentication" -RefreshMetadata
   

구문 및 매개 변수에 대한 자세한 내용은 다음 항목을 참조하십시오.

• Get-FederatedOrganizationIdentifier

• Get-FederationTrust

• Test-FederationTrustCertificate

• Set-FederationTrust

참고

테넌트가 Office 365 미국 정부 GCC High 또는 DoD 환경에서 호스트되는 경우 추가 고려 사항이 있습니다. 이러한 환경에서는 MetadataUrl 매개 변수에 대해 다른 값을 사용하여 온-프레미스 Exchange 환경에서 Set-FederationTrust cmdlet을 실행해야 합니다. 자세한 내용은 Set-FederationTrust 를 참조하세요.

작동 여부는 어떻게 확인하나요?

공유 사용 가능 도메인 마법사가 성공적으로 완료되면 페더레이션 트러스트를 예상대로 구성한 것입니다.

성공 여부를 추가로 확인하려면 다음을 수행합니다.

1. 페더레이션 트러스트 정보를 확인하려면 다음 셸 명령을 실행합니다.

   Get-FederationTrust | format-list
   

2. 조직에서 페더레이션 정보를 검색할 수 있는지 확인하려면 다음 셸 명령을 실행합니다. 예를 들어 sales.contoso.com 및 marketing.contoso.com 도메인이 DomainNames 매개 변수에 반환되는지 확인합니다.

   Get-FederationInformation -DomainName <your primary sharing domain>
   

팁

문제가 있습니까? Exchange 포럼에서 도움을 요청하세요. Exchange Server의 포럼을 방문하세요.