다음을 통해 공유

클라이언트 액세스 서버 배열 또는 부하 분산 솔루션에 Kerberos 사용

  • 아티클

 

적용 대상: Exchange Server 2010 SP2, Exchange Server 2010 SP3

마지막으로 수정된 항목: 2016-11-28

Active Directory 사이트에 클라이언트 액세스 서버가 두 개 이상 있는 Microsoft Exchange Server 2010 배포의 경우, 사이트의 모든 클라이언트 액세스 서버에 트래픽을 분산하려면 토폴로지에 클라이언트 액세스 서버 배열 및 부하 분산 솔루션이 필요한 경우가 종종 있습니다. 클라이언트 액세스 서버 배열에 대한 자세한 내용은 RPC 클라이언트 액세스 이해를 참조하십시오. 부하 분산에 대한 자세한 내용은 Exchange 2010의 부하 분산 이해를 참조하십시오.

Kerberos 인증 사용

일반적으로 네트워크 내에서 도메인에 가입한 컴퓨터의 메일 클라이언트는 NTLM 인증을 사용합니다. 경우에 따라 Kerberos 인증을 사용해야 할 수도 있습니다. Kerberos는 설치와 구현이 까다롭기 때문에 필요한 경우에만 Kerberos 인증을 사용해야 합니다. Kerberos에 대한 자세한 내용은 Kerberos 향상된 기능(영문) 및 Microsoft Kerberos(영문)를 참조하십시오.

참고

네트워크 내에서 도메인에 가입된 컴퓨터에 대해서만 Kerberos를 사용할 수 있습니다. 여기에는 VPN으로 연결된 클라이언트가 포함됩니다. 외부에서 Outlook 사용 등 네트워크 외부의 연결에 대해서는 Kerberos가 지원되지 않습니다.

다음과 같은 이유로 인해 Exchange 2010 조직에서 Kerberos 인증을 사용해야 할 수 있습니다.

  • 로컬 보안 정책에 Kerberos 인증이 필요합니다.

  • RPC 클라이언트 액세스 서비스에 대한 직접 MAPI 연결로 일시적인 NTLM 오류가 발생하는 등의 NTLM 확장성 문제가 발생하거나 예상됩니다.

    대규모 고객 배포에서 NTLM이 클라이언트 액세스 서버에 병목을 일으켜 갑자기 인증 실패가 발생할 수 있습니다. NTLM 인증을 사용하는 서비스는 Active Directory 대기 시간 문제에 더 민감합니다. 그 때문에 클라이언트 액세스 서버 요청 비율이 증가하면 인증 오류가 발생할 수 있습니다.

Kerberos 인증을 구성하려면 Active Directory 및 클라이언트 액세스 서버 설정에 익숙해야 합니다. 그리고 Kerberos에 대한 실무 지식이 있어야 합니다.

Kerberos 및 부하가 분산된 클라이언트 액세스 서버 문제

클라이언트 액세스 서버가 부하가 분산된 상태이거나 클라이언트 액세스 서버 배열의 일부인 경우 NTLM 인증으로 구성된 클라이언트는 문제없이 연결됩니다. 하지만 Kerberos를 사용하려면 추가 설정이 필요하며 Exchange 2010 SP1(서비스 팩 1) 이전에는 Kerberos 사용에 문제가 있었습니다.

부하 분산 장치 또는 클라이언트 액세스 배열이 있는 토폴로지에서는 클라이언트가 이름을 통해 개별 서버에 연결되는 것이 아니라 배열 또는 부하 분산 장치 이름을 통해 연결됩니다. 그 때문에 추가 구성 단계를 수행하지 않으면 Kerberos 인증에 지장이 생깁니다.

Kerberos를 사용할 경우 첫 번째 구성 단계는 클라이언트 액세스 서비스에 대해 특정 SPN(서비스 주체 이름)의 배열을 설정하는 것입니다. 배열이 설정되면 협상 인증을 사용하도록 구성된 전자 메일 클라이언트가 Kerberos 인증을 시도합니다. 전자 메일 클라이언트는 배열 컨텍스트에서 Kerberos 서비스 티켓을 얻어 클라이언트 액세스 서버에 제시합니다. 하지만 특정 클라이언트 액세스 서버에서는 Exchange 서비스가 로컬 시스템 또는 네트워크 서비스 계정의 컨텍스트에서 실행되며, 배열 컨텍스트가 아닌 서비스 계정 컨텍스트에서 Kerberos 서비스 티켓을 인증하려 합니다. 그러면 컨텍스트 불일치가 생겨 Kerberos 인증 오류가 발생합니다. Kerberos의 향상된 보안 때문에, 협상 인증을 수행하도록 구성된 클라이언트는 NTLM 인증을 대체 방법으로 사용하지 않고 가능한 경우 기본적으로 외부에서 Outlook 사용을 이용하거나, 그렇지 못한 경우 인증 및 연결에 실패합니다.

Kerberos 인증이 성공하려면 클라이언트 액세스 서버 배열 구성원은 배열의 모든 구성원이 공유하는 대체 자격 증명을 사용해야 합니다. 자격 증명은 배열별 SPN에도 연결되어 있어야 합니다. 이 공유 자격 증명은 컴퓨터 계정이나 서비스 계정일 수 있으며 배열 내의 모든 클라이언트 액세스 서버에 알려져 있어야 합니다. 일반적으로 조직에서는 정기적으로 계정 암호 변경을 요구합니다. 그러려면 이 공유 자격 증명을 모든 클라이언트 액세스 서버에 배포하고 업데이트하는 지속적인 작업이 필요합니다. Exchange 2010 SP1 전에는 Windows Server 2008과 Microsoft Exchange 중 어느 것도 이 문제를 해결할 수 없었습니다.

참고

여기에서는 네트워크 부하 분산 장치와 클라이언트 액세스 서버 배열에 대해 다루고 있지만, 클라이언트가 특정 클라이언트 액세스 서버에 직접 연결되지 않는 어떤 네트워크 인프라 또는 구성에서도 동일한 인증 문제가 발생합니다. 이 구성의 다른 예에는 DNS 라운드 로빈 부하 분산을 사용하는 클라이언트 액세스 서버와 사용자 지정 DNS 레코드를 사용하는 클라이언트 액세스 서버가 포함됩니다. 다음 솔루션은 클라이언트 액세스 서버 배열의 구성원 또는 네트워크 부하 분산 장치 뒤에 있는 클라이언트 액세스 서버에 대체 서비스 계정 자격 증명을 배포하는 작업을 단순화하도록 디자인되었습니다. 클라이언트 액세스 배열에 클라이언트 액세스 서버가 구성되지 않은 경우에는 이 솔루션이 작동하지 않습니다.

해결 방법

이 문제를 해결하려면 배열의 또는 부하 분산 장치 뒤의 모든 클라이언트 액세스 서버가 사용할 수 있는 공유 자격 증명이 있어야 합니다. 이 자격 증명은 ASA 자격 증명(대체 서비스 계정 자격 증명)이라고도 하며 컴퓨터 또는 사용자 서비스 계정이 될 수 있습니다. 이 대체 서비스 계정 자격 증명을 모든 클라이언트 액세스 서버에 배포할 수 있도록 Exchange 2010 SP1에서는 3중 해결 방법이 구현되었습니다.

클라이언트 액세스 서버 서비스 호스트가 Kerberos 인증에 공유 자격 증명을 사용하도록 확장되었습니다. 이 서비스 호스트 확장은 로컬 컴퓨터를 모니터링합니다. 자격 증명이 추가 또는 제거되면 로컬 시스템과 네트워크 서비스 컨텍스트의 Kerberos 인증 패키지가 업데이트됩니다. 인증 패키지에 자격 증명을 추가하면 즉시 모든 클라이언트 액세스 서비스에서 Kerberos 인증에 이 자격 증명을 사용할 수 있습니다. 클라이언트 액세스 서버는 또한 직접 전송된 서비스 요청을 인증하는 것은 물론 공유 자격 증명을 사용할 수도 있습니다. servicelet이라고 하는 이 확장이 기본적으로 실행되며 실행을 위한 구성이나 작업이 필요하지 않습니다.

공유 자격 증명 및 암호는 Exchange 관리 셸을 사용하여 가져오고 설정할 수 있으므로, 원격 컴퓨터에서 자격 증명을 설정할 수 있습니다. 자격 증명은 서비스 호스트에서 사용할 수 있도록 대상 컴퓨터의 레지스트리에 자격증명을 저장하는 방식으로 설정됩니다. 새 AlternateServiceAccountCredential 매개 변수와 함께 Set-ClientAccessServer cmdlet을 사용하여 자격 증명을 설정합니다. 공유 자격 증명 암호를 설정했으면 공유 자격 증명을 통해 클라이언트 액세스 서비스는 인트라넷에 연결된 클라이언트에 대해 Kerberos 인증을 수행할 수 있습니다. Set-ClientAccessServer cmdlet에 대한 자세한 내용은 Set-ClientAccessServer를 참조하십시오.

스크립트의 범위 내에 지정된 모든 클라이언트 액세스 서버에 공유 자격 증명을 자동으로 쉽게 배포할 수 있도록 관리 스크립트가 생성되었습니다. 클라이언트 액세스 서버 배열 Kerberos 인증을 위한 공유 자격 증명을 사용 및 유지 관리하는 데 이 스크립트를 사용하는 것이 좋습니다. 이 스크립트를 이용하면 자동으로 Set-ClientAccessServer cmdlet을 사용하여 다음 작업을 지원할 수 있습니다.

  • 초기 설치   배열 또는 포리스트 내의 모든 클라이언트 액세스 서버에 ASA 자격 증명이 설정됩니다.

  • 암호 롤오버   ASA 자격 증명에 대해 새 암호가 생성되어 Active Directory 업데이트는 물론 모든 클라이언트 액세스 서버에도 배포됩니다.

  • 클라이언트 액세스 서버 배열에 하나 이상의 컴퓨터 추가   현재 자격 증명 및 암호로 Kerberos 인증을 수행할 수 있도록 ASA 자격 증명이 기존 서버에서 복사되어 다른 서버로 배포됩니다.

  • 지속적인 유지 관리   무인 방법을 통해 정기적으로 암호를 배포하는 예약된 작업이 생성됩니다.

자세한 내용

부하 분산 클라이언트 액세스 서버에 Kerberos 인증을 구성하는 방법에 대한 자세한 내용은 부하 분산된 클라이언트 액세스 서버에 대해 Kerberos 인증 구성을 참조하십시오.

RollAlternateServiceAccountCredential.ps1 스크립트에 대한 자세한 내용은 셸에서 RollAlternateserviceAccountCredential.ps1 스크립트 사용을 참조하십시오.

 © 2010 Microsoft Corporation. 모든 권리 보유.