다음을 통해 공유


외부 사용자 액세스에 필요한 구성 요소

 

마지막으로 수정된 항목: 2012-10-17

대부분의 에지 구성 요소는 경계 네트워크(DMZ, 완충 영역 또는 스크린된 서브넷이라고도 함)에 배포됩니다. 경계 네트워크의 에지 토폴로지를 구성하는 구성 요소는 다음과 같습니다. 이러한 구성 요소는 별도로 설명된 경우를 제외하고는 경계 네트워크에 있으며 세 가지 참조 아키텍처의 일부입니다. 에지 구성 요소는 다음과 같습니다.

  • 에지 서버

  • 역방향 프록시

  • 확장된 에지 토폴로지에 대한 부하 분산(DNS 부하 분산 또는 하드웨어 부하 분산 장치)

  • 방화벽

  • 디렉터(내부 네트워크)

에지 서버

에지 서버는 방화벽의 트래픽 및 외부 사용자의 내부 배포 사용을 제어합니다. 에지 서버에서 실행되는 서비스는 다음과 같습니다.

  • 액세스 에지 서비스   액세스 에지 서비스는 아웃바운드 및 인바운드 SIP(Session Initiation Protocol) 트래픽 모두에 대한 신뢰할 수 있는 단일 연결 지점을 제공합니다.

  • 웹 회의 에지 서비스   웹 회의 에지 서비스는 외부 사용자가 내부 Microsoft Lync Server 2010 배포에서 호스팅되는 모임에 참가할 수 있도록 합니다.

  • A/V 에지 서비스   A/V 에지 서비스는 외부 사용자가 오디오, 비디오, 응용 프로그램 및 파일 전송을 사용할 수 있도록 합니다. 사용자는 외부 참가자를 포함하는 모임에 오디오 및 비디오를 추가하고 지점 간 세션에서 외부 사용자와 오디오 및 비디오를 직접 공유할 수 있습니다. A/V 에지 서비스는 데스크톱 공유 및 파일 전송도 지원합니다.

권한 있는 외부 사용자는 내부 Lync Server 배포에 연결하기 위해 에지 서버에 액세스할 수 있지만 에지 서버에서는 내부 네트워크에 대한 다른 액세스를 제공하지 않습니다.

참고

에지 서버는 페더레이션 시나리오에서처럼 설정된 Lync 클라이언트 및 기타 에지 서버에 대해 연결을 제공하기 위해 배포합니다. 이러한 에지 서버는 다른 끝점 클라이언트 또는 서버 유형으로부터의 연결을 허용하지 않습니다. 구성된 XMPP 파트너와의 연결을 허용하기 위해 XMPP 게이트웨이 서버를 배포할 수 있습니다. 에지 서버 및 XMPP 게이트웨이는 이러한 클라이언트 및 페더레이션으로부터의 끝점 연결만 지원할 수 있습니다.

역방향 프록시

역방향 프록시는 대부분의 시나리오에서 필수 인프라 구성 요소이며 Microsoft Lync Server 2010의 일부로 설정합니다. 대부분의 배포에서는 조직에서 이미 설치하여 사용하도록 구성한 기존 역방향 프록시를 사용합니다. 일반적으로 새로운 게시 규칙이 필요하며 기존 프록시 서버 규칙을 변경하지 않아야 합니다. 새 게시 규칙을 처리하려면 대개 새 인증서나 업데이트된 인증서가 필요합니다. 역방향 프록시 유형에는 다음이 포함되지만 이에 한정되지는 않습니다.

  1. Microsoft ISA(Internet and Acceleration Server) 2006 서비스 팩 1

    에지 서버 배포의 배포 예에 기본 Microsoft Threat Management Gateway 2010 구성이 사용됩니다. Microsoft Threat Management Gateway 2010 및 Microsoft ISA(Internet and Acceleration Server) 2006 서비스 팩 1은 Lync Server 2010에 대한 게시를 구성하는 방법이 비슷합니다. 자세한 내용은 배포 설명서의 단일 내부 풀에 대한 웹 게시 규칙 구성을 참조하십시오.

  2. Microsoft TMG(Threat Management Gateway) 2010

    Microsoft TMG(Threat Management Gateway) 2010을 Lync Server 2010 배포의 역방향 프록시로 구성하는 방법에 대한 자세한 내용은 배포 설명서의 단일 내부 풀에 대한 웹 게시 규칙 구성을 참조하십시오.

  3. 내부 HTTP 및 HTTPS 콘텐츠를 게시하도록 구성할 수 있는 타사 역방향 프록시 서버

  4. 내부 HTTP 및 HTTPS 콘텐츠 게시 기능을 포함하는 타사 방화벽

  5. 하드웨어 부하 분산 장치와 같은 기타 장치 및 장비는 나와 있지 않으며, HTTP 콘텐츠 엔진 장비가 필요한 기능을 제공할 수도 있습니다.

타사 장치, 서버 및 장비를 구성하는 방법에 대한 자세한 내용은 타사 공급업체가 제공하는 게시 구성 방법에 관한 설명서를 참조하십시오.

important중요:
에지 서버와 역방향 프록시를 함께 배치하는 것은 유효한 구성 옵션이 아닙니다. 에지 서버는 배포에서 세션 초기화 프로토콜, 웹 회의, 오디오/비디오(및 기타 미디어 유형) 기능을 관리하기 위한 단일 용도의 역할이어야 합니다.

역방향 프록시는 다음과 같은 경우에 필요합니다.

  • 사용자가 단순 URL을 사용하여 모임 또는 전화 접속 전화 회의에 연결하도록 허용하려는 경우

  • 외부 사용자가 모임 콘텐츠를 다운로드할 수 있도록 하기 위해

  • 외부 사용자가 메일 그룹을 확장할 수 있도록 하기 위해

  • 사용자가 클라이언트 인증서 기반 인증용 사용자 기반 인증서를 가져오도록 허용하기 위해

  • 원격 사용자가 주소록 서버에서 파일을 다운로드하거나 주소록 웹 쿼리 서비스에 쿼리를 제출할 수 있도록 하기 위해

  • 원격 사용자가 클라이언트 및 장치 소프트웨어에 대한 업데이트를 가져올 수 있도록 하기 위해

  • 모바일 장치에서 Mobility Service를 제공하는 프런트 엔드 서버를 자동으로 검색할 수 있도록 하기 위해

  • Office 365 또는 Apple 푸시 알림 서비스에서 모바일 장치로 푸시 알림을 보낼 수 있도록 하기 위해

참고

외부 사용자는 Lync Server 기반 통신에 참가하기 위해 VPN을 통해 조직에 연결할 필요가 없습니다. VPN을 통해 조직의 내부 네트워크에 연결된 외부 사용자는 역방향 프록시를 바이패스합니다.

방화벽

외부 방화벽만 사용하거나 외부 방화벽과 내부 방화벽을 둘 다 사용하여 에지 토폴로지를 배포할 수 있습니다. 참조 아키텍처에는 두 개의 방화벽이 포함되어 있습니다. 두 개의 방화벽을 사용하면 한 네트워크 에지에서 다른 네트워크 에지로 엄격한 라우팅이 이루어지며 두 방화벽 수준 뒤에 있는 내부 네트워크가 보호되므로 두 개의 방화벽을 사용하는 것이 좋습니다.

디렉터

Lync Server 2010에서 디렉터는 사용자 계정을 호밍하거나 현재 상태 또는 회의 서비스를 제공하지 않는 별개의 Lync Server 2010 서버 역할입니다. 대신, 디렉터는 에지 서버가 내부 서버로 전송되는 인바운드 SIP 트래픽을 라우팅하는 내부의 다음 홉 서버 역할을 할 수 있습니다. 디렉터는 인바운드 요청을 인증한 후 사용자의 홈 풀 또는 서버로 리디렉션합니다.

조직에서 외부 액세스를 사용하도록 설정하려는 경우 디렉터를 배포하는 것이 좋습니다. 디렉터는 원격 사용자의 인바운드 SIP 트래픽을 인증하여 Standard Edition 서버 및 Enterprise Edition 프런트 엔드 풀의 프런트 엔드 서버에서 원격 사용자에 대한 인증 수행 부담을 줄여 줍니다. 또한 DoS(서비스 거부) 공격과 같은 악의적인 트래픽으로부터 Standard Edition 서버와 Enterprise Edition 프런트 엔드 풀의 프런트 엔드 서버를 보호합니다. 이러한 공격으로 인해 네트워크로 유입되는 잘못된 외부 트래픽은 디렉터에서 종료되므로 내부 사용자의 성능에는 아무 영향이 없습니다. 디렉터 사용에 대한 자세한 내용은 디렉터를 참조하십시오.

하드웨어 부하 분산 장치

Lync Server 2010 확장된 통합 에지 토폴로지는 주로 Lync Server 2010을 사용하는 다른 조직과 페더레이션하는 새 배포의 DNS 부하 분산에 최적화되어 있습니다. 다음과 같은 시나리오에 고가용성이 필요한 경우에는 에지 서버 풀에서 다음에 대해 하드웨어 부하 분산 장치를 사용해야 합니다.

  • Office Communications Server 2007 R2 또는 Office Communications Server 2007을 사용하는 조직과의 페더레이션

  • 원격 사용자의 Exchange UM

  • 공용 IM 사용자 연결

하드웨어 부하 분산 장치가 Lync Server 2010에 필요한 기능을 지원하는지 확인하려면 https://go.microsoft.com/fwlink/?linkid=202452&clcid=0x412에서 "Lync Server 2010 부하 분산 장치 파트너"를 참조하십시오.

하드웨어 부하 분산 장치 요구 사항 - 일반 고려 사항

  • 부하 분산 장치 VIP(가상 IP)의 들어오는 대상 IP 주소를 사용하는 DNAT(Destination Network Address Translation)는 서버의 대상 IP 주소로 변환됩니다. 부하 분산 장치 공급업체가 SNAT(Source NAT)를 사용할 것을 제한할 수도 있습니다. 사용할 NAT의 종류를 주의 깊게 고려해야 합니다. 이 NAT는 HLB에 고유하며 HLB VIP와 호스팅되는 서버 간의 관계를 나타냅니다. 이 NAT는 경계 방화벽에서 관리되는 NAT와는 다릅니다.

  • 원본 선호도(또는 TCP 선호도 - 공급업체 설명서 확인)를 사용합니다. 단일 세션 내의 모든 트래픽은 동일한 대상(서버)에 연결되어야 합니다. 단일 원본의 여러 세션이 존재하는 경우 원본 선호도를 사용하여 세션 상태를 제공함으로써 세션마다 다른 대상 서버와 연결할 수 있습니다.

  • 성능 요구 사항, 테스트 정의, 표준 또는 공급업체 설명서 등의 다른 정보에서 명시하지 않는 한, TCP 유휴 시간 제한은 30분(1800초)으로 설정해야 합니다.

warning주의:
DNS 부하 분산과 하드웨어 부하 분산을 서로 다른 인터페이스에서 사용할 수 없습니다. 두 인터페이스에서 모두 하드웨어 부하 분산 또는 DNS 부하 분산을 사용해야 합니다. 이 둘의 조합은 지원되지 않습니다.

참고

하드웨어 부하 분산 장치를 사용하는 경우에는 내부 네트워크와의 연결을 위해 배포된 부하 분산 장치를 액세스 에지 서비스와 A/V 에지 서버에 대한 트래픽 부하만 분산하도록 구성해야 합니다. 내부 웹 에지 서비스에 대한 트래픽 부하는 분산시킬 수 없습니다.

참고

DSR(Direct Server Return) NAT는 Lync Server 2010에서 지원되지 않습니다.

A/V 에지 서비스를 실행하는 에지 서버에 대한 하드웨어 부하 분산 장치 요구 사항

다음은 A/V 에지 서비스를 실행하는 에지 서버에 대한 하드웨어 부하 분산 장치 요구 사항입니다.

내부 및 외부 포트 443에 대해 TCP Nagling을 해제합니다. Nagling은 보다 효율적인 전송을 위해 여러 개의 작은 패킷을 하나의 큰 패킷으로 결합하는 프로세스입니다.

  • 외부 포트 범위 50,000 - 59,999에 대해 TCP Nagling을 해제합니다.

  • 내부 또는 외부 방화벽에 NAT를 사용하지 않습니다.

  • 에지 내부 인터페이스는 에지 서버 외부 인터페이스와 다른 네트워크에 있어야 하며 두 인터페이스 간의 라우팅은 사용할 수 없도록 설정되어야 합니다.

  • A/V 에지 서비스를 실행하는 에지 서버의 외부 인터페이스는 에지 외부 IP 주소의 NAT 또는 포트 변환이 아니라 공개적으로 라우팅 가능한 IP 주소를 사용해야 합니다.

웹 서비스에 대한 하드웨어 부하 분산 장치 요구 사항

다음은 디렉터 및 프런트 엔드 풀 웹 서비스에 대한 하드웨어 부하 분산 장치 요구 사항입니다.

  • 외부 웹 서비스 VIP(가상 IP)의 경우 하드웨어 부하 분산 장치의 외부 포트 4443, 8080에 대해 포트당 쿠키 기반 지속성을 설정합니다. Lync Server 2010의 경우 쿠키 기반 지속성은 세션 상태를 유지하기 위해 단일 클라이언트의 여러 연결이 항상 하나의 서버로 전송됨을 의미합니다. 쿠키 기반 지속성을 구성하려면 부하 분산 장치가 SSL 트래픽 암호를 해독했다가 다시 암호화해야 합니다. 따라서 외부 웹 서비스 FQDN에 할당된 인증서가 하드웨어 부하 분산 장치의 4443 VIP에도 할당되어야 합니다.

  • 내부 웹 서비스 VIP의 경우 하드웨어 부하 분산 장치에 Source_addr 지속성(내부 포트 80, 443)을 설정합니다. Lync Server 2010의 경우 Source_addr 지속성은 세션 상태를 유지하기 위해 단일 IP 주소의 여러 연결이 항상 하나의 서버로 전송됨을 의미합니다.

  • 1800초의 TCP 유휴 시간 제한을 사용합니다.

  • 역방향 프록시와 다음 홉 풀의 하드웨어 부하 분산 장치 사이에 있는 방화벽에 역방향 프록시에서 하드웨어 부하 분산 장치로 전송되는 https: 트래픽(포트 4443)을 허용하는 규칙을 만듭니다. 하드웨어 부하 분산 장치는 포트 80, 443 및 4443에서 수신 대기하도록 구성되어야 합니다.