SharePoint, Exchange 및 RDG로 애플리케이션 게시

  • 아티클

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 콘텐츠는 웹 애플리케이션 프록시의 온-프레미스 버전에 적합합니다. 클라우드를 통해 온-프레미스 애플리케이션에 안전하게 액세스할 수 있도록 하려면 Microsoft Entra 애플리케이션 프록시 콘텐츠를 참조 하세요.

이 항목에서는 웹 애플리케이션 프록시 통해 SharePoint Server, Exchange Server 또는 RDP(원격 데스크톱 게이트웨이)를 게시하는 데 필요한 작업에 대해 설명합니다.

참고 항목

이 정보는 있는 그대로 제공됩니다. 원격 데스크톱 서비스는 Azure 앱 프록시를 사용하여 온-프레미스 애플리케이션에 대한 보안 원격 액세스를 제공하고 권장합니다.

SharePoint Server 게시

SharePoint 사이트가 클레임 기반 인증 또는 통합 Windows 인증 대해 구성된 경우 웹 애플리케이션 프록시 통해 SharePoint 사이트를 게시할 수 있습니다. 사전 인증에 AD FS(Active Directory Federation Services)를 사용하려면 마법사 중 하나를 사용하여 신뢰 당사자를 구성해야 합니다.

  • SharePoint 사이트에서 클레임 기반 인증을 사용하는 경우에는 신뢰 당사자 트러스트 추가 마법사를 사용하여 애플리케이션에 대한 신뢰 당사자 트러스트를 구성해야 합니다.

  • SharePoint 사이트에서 Windows 통합 인증을 사용하는 경우에는 비 클레임 기반 신뢰 당사자 트러스트 추가 마법사를 사용하여 애플리케이션에 대한 신뢰 당사자 트러스트를 구성해야 합니다. KDC를 구성한 경우 클레임 기반 웹 애플리케이션과 IWA를 사용할 수 있습니다.

    사용자가 통합 Windows 인증 사용하여 인증할 수 있도록 하려면 웹 애플리케이션 프록시 서버를 할 일기본 조인해야 합니다.

    Kerberos 제한 위임을 지원하도록 애플리케이션을 구성해야 합니다. 이 작업은 도메인 컨트롤러에서 모든 애플리케이션에 대해 수행할 수 있습니다. Windows Server 2012 R2 또는 Windows Server 2012에서 실행되는 경우 백 엔드 서버에서 직접 애플리케이션을 구성할 수도 있습니다. 자세한 내용은 Kerberos 인증의 새로운 기능을 참조하세요. 또한 웹 애플리케이션 프록시 서버가 백 엔드 서버의 서비스 주체 이름에 위임하도록 구성되어 있는지 확인해야 합니다. 통합 Windows 인증 사용하여 애플리케이션을 게시하도록 웹 애플리케이션 프록시 구성하는 방법에 대한 연습은 통합 Windows 인증 사용하도록 사이트 구성을 참조하세요.

SharePoint 사이트가 AAM(대체 액세스 매핑) 또는 호스트 이름이 지정된 사이트 컬렉션 중 하나를 사용하여 구성된 경우 다른 외부 및 백 엔드 서버 URL을 사용하여 애플리케이션을 게시할 수 있습니다. 그러나 AAM 또는 호스트 이름이 지정된 사이트 컬렉션을 사용하여 SharePoint 사이트를 구성하지 않은 경우 동일한 외부 및 백 엔드 서버 URL을 사용해야 합니다.

Exchange Server 게시

다음 표에서는 웹 애플리케이션 프록시 통해 게시할 수 있는 Exchange 서비스 및 이러한 서비스에 대해 지원되는 사전 인증에 대해 설명합니다.

Exchange 서비스 사전 인증 주의
Outlook Web App - 비 클레임 기반 인증을 사용하는 AD FS
- 통과
- 온-프레미스 Exchange 2013 SP1(Service Pak 1)에 클레임 기반 인증을 사용하는 AD FS		 자세한 내용은 Outlook Web App 및 EAC에서 AD FS 클레임 기반 인증 사용을 참조하세요.
Exchange 제어판 통과
외부에서 Outlook 사용 통과 Outlook Anywhere가 제대로 작동하려면 추가 URL을 게시해야 합니다.

- 자동 검색, EWS 및 OAB(Outlook 캐시 모드의 경우) URL입니다.
- Exchange Server의 외부 호스트 이름입니다. 즉, 클라이언트가 연결할 수 있도록 구성된 URL입니다.
- Exchange Server의 내부 FQDN입니다.
Exchange ActiveSync 통과
HTTP 기본 권한 부여 프로토콜을 사용하는 AD FS
Exchange Web Services 통과
Autodiscover 통과
오프라인 주소록 통과

Windows 통합 인증을 사용하여 Outlook Web App을 게시하는 경우에는 비 클레임 기반 신뢰 당사자 트러스트 추가 마법사를 사용하여 애플리케이션에 대한 신뢰 당사자 트러스트를 구성해야 합니다.

사용자가 Kerberos 제한 위임을 사용하여 인증할 수 있도록 하려면 웹 애플리케이션 프록시 서버를 할 일기본 조인해야 합니다.

Kerberos 인증을 지원하도록 애플리케이션을 구성해야 합니다. 또한 웹 서비스가 실행 중인 계정에 SPN(서비스 사용자 이름)을 등록해야 합니다. do기본 컨트롤러 또는 백 엔드 서버에서 이 작업을 수행할 수 있습니다. 부하가 분산된 Exchange 환경에서는 대체 서비스 계정을 사용해야 합니다. 부하가 분산된 클라이언트 액세스 서버에 대한 Kerberos 인증 구성을 참조 하세요.

Windows Server 2012 R2 또는 Windows Server 2012에서 실행되는 경우 백 엔드 서버에서 직접 애플리케이션을 구성할 수도 있습니다. 자세한 내용은 Kerberos 인증의 새로운 기능을 참조하세요. 또한 웹 애플리케이션 프록시 서버가 백 엔드 서버의 서비스 주체 이름에 위임하도록 구성되어 있는지 확인해야 합니다.

웹 애플리케이션 프록시 통해 원격 데스크톱 게이트웨이 게시

원격 액세스 게이트웨이에 대한 액세스를 제한하고 원격 액세스를 위한 사전 인증을 추가하려는 경우 웹 애플리케이션 프록시 통해 배포할 수 있습니다. 이는 MFA를 포함하여 RDG에 대한 풍부한 사전 인증이 있는지 확인하는 정말 좋은 방법입니다. 사전 인증 없이 게시하는 것도 옵션이며 시스템에 단일 진입점을 제공합니다.

웹 애플리케이션 프록시 통과 인증을 사용하여 RDG에서 애플리케이션을 게시하는 방법

  1. 설치는 RD 웹 액세스(/rdweb) 및 RD 게이트웨이(rpc) 역할이 동일한 서버에 있는지 또는 다른 서버에 있는지에 따라 달라집니다.

  2. RD 웹 액세스 및 RD 게이트웨이 역할이 동일한 RDG 서버에서 호스트되는 경우 웹 애플리케이션 프록시 루트 FQDN을 게시하기만 하면 됩니다https://rdg.contoso.com/.

    두 가상 디렉터리(예: 및 )를 개별적으로 게시할 수도 있습니다.https://rdg.contoso.com/rdweb/https://rdg.contoso.com/rpc/

  3. RD 웹 액세스 및 RD 게이트웨이가 별도의 RDG 서버에서 호스트되는 경우 두 가상 디렉터리를 개별적으로 게시해야 합니다. 동일하거나 다른 외부 FQDN(예: 및 https://gateway.contoso.com/rpc/)을 사용할 수 있습니다. https://rdweb.contoso.com/rdweb/

  4. 외부 및 내부 FQDN이 다른 경우 RDWeb 게시 규칙에서 요청 헤더 변환을 사용하지 않도록 설정하면 안 됩니다. 이 작업은 웹 애플리케이션 프록시 서버에서 다음 PowerShell 스크립트를 실행하여 수행할 수 있지만 기본적으로 사용하도록 설정해야 합니다.

    Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$false

    참고 항목

    RemoteApp 및 Desktop 커넥트ions 또는 iOS 원격 데스크톱 연결과 같은 풍부한 클라이언트를 지원해야 하는 경우 사전 인증을 지원하지 않으므로 통과 인증을 사용하여 RDG를 게시해야 합니다.

사전 인증을 사용하여 웹 애플리케이션 프록시 사용하여 RDG에서 애플리케이션을 게시하는 방법

  1. RDG를 사용한 웹 애플리케이션 프록시 사전 인증은 Internet Explorer에서 얻은 사전 인증 쿠키를 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)에 전달하여 작동합니다. 그런 다음 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)에서 사용됩니다. 그런 다음, 원격 데스크톱 커넥트ion 클라이언트에서 인증 증명으로 사용됩니다.

    다음 절차에서는 클라이언트로 전송되는 원격 앱 RDP 파일에 필요한 사용자 지정 RDP 속성을 포함하도록 컬렉션 서버에 지시합니다. 이는 사전 인증이 필요하다는 것을 클라이언트에 알리고 사전 인증 서버 주소의 쿠키를 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)에 전달합니다. 웹 애플리케이션 프록시 애플리케이션에서 HttpOnly 기능을 사용하지 않도록 설정하면 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)가 브라우저를 통해 가져온 웹 애플리케이션 프록시 쿠키를 활용할 수 있습니다.

    RD 웹 액세스 서버에 대한 인증은 여전히 RD 웹 액세스 양식 로그온을 사용합니다. 이렇게 하면 RD 웹 액세스 로그온 양식이 클라이언트 쪽 자격 증명 저장소를 만들 때 사용자 인증 프롬프트 수가 가장 적습니다. 이 저장소는 이후 원격 앱 시작에 대해 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)에서 사용할 수 있습니다.

  2. 먼저 클레임 인식 앱을 게시하는 것처럼 AD FS에서 수동 신뢰 당사자 트러스트를 만듭니다. 즉, 게시된 서버에 Kerberos 제한 위임 없이 사전 인증을 받을 수 있도록 사전 인증을 적용하기 위해 더미 신뢰 당사자 트러스트를 만들어야 합니다. 사용자가 인증되면 다른 모든 항목이 전달됩니다.

    Warning

    위임을 사용하는 것이 바람직해 보일 수 있지만 mstsc SSO 요구 사항을 완전히 해결하지는 못하며 클라이언트가 RD 게이트웨이 인증 자체를 처리해야 하므로 /rpc 디렉터리를 위임할 때 문제가 있습니다.

  3. 수동 신뢰 당사자 트러스트를 만들려면 AD FS 관리 콘솔의 단계를 수행합니다.

    1. 신뢰 당사자 트러스트 추가 마법사 사용

    2. 신뢰 당사자에 대한 데이터 입력을 수동으로 선택합니다.

    3. 모든 기본 설정을 적용합니다.

    4. 신뢰 당사자 트러스트 식별자의 경우 RDG 액세스에 사용할 외부 FQDN을 입력합니다. 예를 들면 다음과 같습니다 https://rdg.contoso.com/.

      웹 애플리케이션 프록시 앱을 게시할 때 사용하는 신뢰 당사자 트러스트입니다.

  4. 웹 애플리케이션 프록시 사이트의 루트(예: https://rdg.contoso.com/ )를 게시합니다. 사전 인증을 AD FS로 설정하고 위에서 만든 신뢰 당사자 트러스트를 사용합니다. 이렇게 하면 /rdweb 및 /rpc가 동일한 웹 애플리케이션 프록시 인증 쿠키를 사용할 수 있습니다.

    /rdweb 및 /rpc를 별도의 애플리케이션으로 게시하고 다른 게시된 서버를 사용할 수도 있습니다. 신뢰 당사자 트러스트에 대해 웹 애플리케이션 프록시 토큰이 발급되었으므로 동일한 신뢰 당사자 트러스트를 사용하여 게시된 애플리케이션에서 유효한 경우와 동일한 신뢰 당사자 트러스트를 사용하여 둘 다 게시해야 합니다.

  5. 외부 및 내부 FQDN이 다른 경우 RDWeb 게시 규칙에서 요청 헤더 변환을 사용하지 않도록 설정하면 안 됩니다. 이 작업은 웹 애플리케이션 프록시 서버에서 다음 PowerShell 스크립트를 실행하여 수행할 수 있지만 기본적으로 사용하도록 설정해야 합니다.

    Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$true

  6. RDG 게시된 애플리케이션의 웹 애플리케이션 프록시 HttpOnly 쿠키 속성을 사용하지 않도록 설정합니다. 웹 애플리케이션 프록시 인증 쿠키에 대한 RDG ActiveX 제어 액세스를 허용하려면 웹 애플리케이션 프록시 쿠키에서 HttpOnly 속성을 사용하지 않도록 설정해야 합니다.

    이렇게 하려면 Windows RT 8.1, Windows 8.1 및 Windows Server 2012 R2(KB3000850)용 2014년 11월 업데이트 롤업을 설치해야 합니다.

    핫픽스를 설치한 후 웹 애플리케이션 프록시 서버에서 관련 애플리케이션 이름을 지정하여 다음 PowerShell 스크립트를 실행합니다.

    Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$true

    HttpOnly를 사용하지 않도록 설정하면 RDG ActiveX 컨트롤이 웹 애플리케이션 프록시 인증 쿠키에 액세스할 수 있습니다.

  7. 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)가 rdp 파일에 사전 인증이 필요하다는 것을 알 수 있도록 컬렉션 서버에서 관련 RDG 컬렉션을 구성합니다.

    • Windows Server 2012 및 Windows Server 2012 R2에서는 RDG 컬렉션 서버에서 다음 PowerShell cmdlet을 실행하여 이 작업을 수행할 수 있습니다.

      Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"

      예를 들어 사용자 고유의 < 값으로 바꿀 때 대괄호와 > 대괄호를 제거해야 합니다.

      Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"

    • Windows Server 2008 R2에서:

      1. 관리사용자 권한이 있는 계정으로 터미널 서버에 로그온합니다.

      2. Start>관리istrative Tools>Terminal Services>TS RemoteApp Manager로 이동합니다.

      3. TS RemoteApp Manager의 개요 창에서 RDP 설정 옆에 있는 변경을 클릭합니다.

      4. 사용자 지정 RDP 설정 탭의 사용자 지정 RDP 설정 상자에 다음 RDP 설정을 입력합니다.

        pre-authentication server address: s: https://externalfqdn/rdweb/

        require pre-authentication:i:1

      5. 완료되면 적용을 클릭합니다.

        그러면 클라이언트로 전송되는 RDP 파일에 사용자 지정 RDP 속성을 포함하도록 컬렉션 서버에 지시합니다. 이는 사전 인증이 필요하다는 것을 클라이언트에 알리고 사전 인증 서버 주소의 쿠키를 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)에 전달합니다. 이를 통해 웹 애플리케이션 프록시 애플리케이션에서 HttpOnly를 사용하지 않도록 설정하면 원격 데스크톱 커넥트ion 클라이언트(mstsc.exe)가 브라우저를 통해 얻은 웹 애플리케이션 프록시 인증 쿠키를 활용할 수 있습니다.

        RDP에 대한 자세한 내용은 TS 게이트웨이 OTP 시나리오 구성을 참조 하세요.