Exchange 2010 SP2의 OWA 교차 사이트 자동 리디렉션




최초 문서 게시일: 2011년 12월 13일 화요일

주소록 정책(영문일 수 있음), 호스팅 변경, 그리고 하이브리드 구성 마법사에 대해 설명하는 문서는 여러 건 게시되었고 해당 내용을 확인하신 분들도 많을 것입니다. 이번 게시물에서는 Exchange 2010 SP2에 추가해 달라는 의견이 가장 많았던 기능에 대해 다룹니다.

Windows IT Pro의 SP2 소개 문서(영문일 수 있음)에는 새롭게 추가된 기능을 쉽게 확인 및 사용할 수 있으며, 실제로 SP2의 새 기능 수가 많지는 않다고 나와 있습니다.

이 게시물에서는 Exchange 2010 SP2에서 새롭게 제공되는, 매우 유용하지만 거의 언급된 적이 없는 한 가지 기능에 대해 설명하고자 합니다. 이 기능은 바로 Outlook Web App용 교차 사이트 자동 리디렉션입니다.

정의

기능 설명에 앞서 먼저 몇 가지 관련 항목에 대한 정의를 살펴보겠습니다.

  • 인터넷 연결 Active Directory 사이트 OWA와 같이 연결된 서비스에 대해 ExternalURL이 채워져 있는 CAS가 포함된 Active Directory 사이트입니다. 대개 Exchange 2010이 배포되는 기본 데이터 센터/사이트입니다.
  • 국가별 인터넷 연결 Active Directory 사이트 OWA와 같이 연결된 서비스에 대해 ExternalURL이 채워져 있는 CAS가 포함된 Active Directory 사이트입니다.
  • 인터넷에 연결되지 않는 Active Directory 사이트 연결된 서비스에 대해 ExternalURL이 채워져 있지 않은 CAS가 포함된 Active Directory 사이트입니다.
  • 직접 연결 CAS가 사서함 데이터를 호스팅하는 사서함 서버와의 RPC 세션을 설정하는 프로세스입니다.
  • 프록시 인터넷 연결 Active Directory 사이트의 CAS가 들어오는 요청을 인터넷에 연결되지 않는 Active Directory 사이트(액세스 대상 사서함 서버와 같은 사이트에 있음)의 CAS로 프록시하는 프로세스입니다.
  • 리디렉션 특정 Active Directory 사이트의 인터넷 연결 CAS가 액세스 대상 사서함 서버와 같은 사이트에 있는 다른 인터넷 연결 CAS로 최종 사용자를 다시 연결하는 프로세스입니다.
  • 자동 리디렉션 CAS가 사용자 브라우에 대해 자동 리디렉션을 다시 실행하여, 브라우저가 지정된 URL에 대한 연결을 설정하도록 하는 프로세스입니다.
  • SSO(Single Sign-On) 리디렉션 CAS가 사용자 브라우저에 대해 자동 리디렉션을 다시 실행하여, 로그인 환경을 원활하게 사용할 수 있도록 브라우저가 요청과 인증 자격 증명을 대상 CAS로 제출하도록 하는 프로세스입니다.

OWA 연결 프로세스

다양한 프록시 및 리디렉션 시나리오를 이해하려면 Exchange 2010 SP2 이전 버전에서와 같이 사용자가 CAS에 인증하여 OWA에 액세스할 때 수행되는 작업의 방식을 파악해야 합니다.

  1. 사용자가 웹 브라우저를 통해 OWA URL에 액세스합니다.
  2. 사용자가 자격 증명을 입력합니다.
  3. CAS가 사용자를 인증하고 서비스 검색 요청을 통해 다음 정보를 검색합니다.
    1. 사용자의 사서함 버전
    2. 사용자의 사서함 위치(Active Directory 사이트, 알려진 경우)
  4. CAS가 적절한 작업을 수행할 수 있도록 사서함 정보에 따라 추가 정보를 수집합니다.
    1. 로컬 Exchange 2010 사서함의 경우 CAS는 직접 연결을 수행합니다.
    2. 로컬 Exchange 2007 사서함의 경우 CAS는 Exchange 2007 CAS의 ExternalURL을 검색합니다. 이 URL이 정의되어 있지 않으면 CAS는 InternalURL을 사용하며 자동으로 리디렉션합니다.
    3. Exchange 2003 사서함의 경우 CAS는 Exchange2003URL을 검색하고 자동으로 리디렉션합니다.
    4. 로컬 사서함이 아닌 경우 CAS는 대상 ExternalURL(정의된 경우)을 검색하고 리디렉션합니다. 대상 Active Directory 사이트에 OWA ExternalURL이 정의되어 있지 않으면 CAS는 프록시를 수행합니다.

SP1 OWA 리디렉션 유형

Exchange 2010 SP1에서는 기능이 약간 변경되어 온-프레미스 제품에서 OWA에 대해 세 가지 유형의 리디렉션 환경이 제공되었습니다.

  • 수동 리디렉션
  • 임시 수동 리디렉션
  • 레거시 자동 리디렉션

수동 리디렉션

수동 리디렉션을 수행하면 사용자 사서함과 CAS가 근접한 거리에 있는 경우 중앙 위치에서 모든 트래픽을 이동 및 프록시할 필요가 없습니다.

CAS가 다른 Active Directory 사이트에 있는 Exchange 2007 또는 Exchange 2010 CAS 인프라로 OWA 요청을 리디렉션해야 하는 경우 수동 리디렉션이 수행됩니다. 위에서 설명한 것처럼 수동 리디렉션을 수행하려면 대상 OWA 가상 디렉터리에 ExternalURL이 있어야 합니다. 다른 Active Directory 사이트에서는 다음과 같은 수동 리디렉션 메시지 및 CAS의 ExternalURL이 표시됩니다.

1 
그림 1: 사서함이 다른 Active Directory 사이트에 있을 때 수동 리디렉션 수행

 

임시 수동 리디렉션

SP1에서는 임시 수동 리디렉션이라는 다른 리디렉션 유형이 추가로 제공되었습니다. 임시 수동 리디렉션은 다음과 같은 두 가지 시나리오에서 사용됩니다.

  1. 데이터 센터 활성화 Switchback 이벤트 중에 사용자의 웹 브라우저에서 잘못된 DNS 항목이 계속 캐시되어 있어 더 이상 사서함을 호스팅하지 않는 Active Directory 사이트의 CAS 인프라를 가리킬 가능성이 있었습니다. 이로 인해 CAS가 올바른 Active Directory 사이트로의 수동 리디렉션을 실행해도 사용자가 현재 사용 중인 URL로 리디렉션될 수 있습니다. 이처럼 같은 URL로 리디렉션되는 현상으로 인해 사용자가 메일에 액세스할 수 없는 상황을 방지하기 위해 CAS는 같은 세션 쿠키가 반환되는지를 확인하고, 같은 세션 쿠키가 반환되는 경우 대상 CAS에 OWA 가상 디렉터리에 대한 FailbackURL 값이 있는지 확인합니다. FailbackURL이 지정되어 있으면 CAS는 임시 수동 리디렉션 페이지를 실행하여 FailbackURL 링크를 제공합니다. FailbackURL이 지정되어 있지 않으면 CAS는 모든 브라우저 세션을 닫은 후에 다시 시도하라는 메시지가 포함된 오류 페이지를 실행합니다.

    3
    그림 2: 데이터 센터 활성화 Switchback 시의 임시 수동 리디렉션

  2. 두 번째 시나리오는 로컬 CAS의 사이트가 사서함 데이터베이스의 RpcClientAccessServer 값과 일치하는데 실제로는 데이터베이스가 다른 Active Directory 사이트에 마운트되어 있음이 확인되어 CAS가 임시 수동 리디렉션 페이지를 실행하는 경우입니다. 이 경우 CAS는 마운트된 데이터베이스를 호스팅하는 사이트의 CAS ExternalURL을 사용하여 임시 리디렉션을 실행합니다.

    2
    그림 3: 사서함이 다른 Active Directory 사이트에 마운트되어 있는 경우의 임시 수동 리디렉션

레거시 자동 리디렉션

Outlook Web Access의 경우 Exchange 2010 CAS는 레거시 버전 Exchange의 사서함 데이터 렌더링을 지원하지 않습니다. 대상 사서함의 버전 및/또는 위치에 따라 Exchange 2010 CAS는 다음 네 가지 시나리오 중 하나의 작업을 수행합니다.

  • Exchange 2007 사서함이 CAS2010과 같은 Active Directory 사서함이면 CAS2010이 세션을 Exchange 2007 CAS로 자동 리디렉션합니다.
  • Exchange 2007 사서함이 다른 인터넷 연결 Active Directory 사이트이면 CAS2010은 사용자를 Exchange 2007 CAS로 수동 리디렉션합니다.
  • Exchange 2007 사서함이 인터넷에 연결되지 않는 Active Directory 사이트이면 CAS2010은 연결을 Exchange 2007 CAS로 프록시합니다.
  • 사서함이 Exchange 2003 서버에 있으면 CAS2010은 세션을 미리 정의된 URL로 자동 리디렉션합니다.

위에 나와 있는 것처럼 레거시 자동 리디렉션은 Exchange 2010 CAS와 레거시 인프라 간의 동일 사이트 리디렉션 이벤트에만 사용됩니다. 레거시 자동 리디렉션을 수행할 때 CAS2010은 사용자 브라우저에 대해 자동 리디렉션을 다시 실행하여, 브라우저가 레거시 CAS2007/FE2003 인프라에 대한 연결을 설정하도록 합니다. 레거시 인프라로 올바르게 리디렉션하려면 다음과 같이 구성해야 합니다.

  • Exchange 2003 사서함을 리디렉션하려면 Exchange 2010 OWA 가상 디렉터리에 Exchange2003URL을 채워야 합니다.
  • Exchange 2007 CAS를 리디렉션하려면 대상 Exchange 2007 OWA 가상 디렉터리에 ExternalURL이 있어야 합니다.

원본 및 대상 OWA 가상 디렉터리에서 FBA(양식 기반 인증)를 사용하는 경우, 레거시 자동 리디렉션은 필드가 채워져 있는 숨겨진 FBA 양식을 웹 브라우저에서 다시 실행함으로써 Single Sign-On 환경을 제공할 수도 있습니다. 이 숨겨진 양식에는 사용자가 CAS2010 FBA 페이지로 처음 제출했던 것과 같은 정보(사용자 이름, 암호, 공개/개인 선택기)는 물론 대상 Exchange 관련 경로 및 쿼리 문자열에 대한 리디렉션도 포함되어 있습니다. 이 양식은 로드되는 즉시 대상 URL로 제출되며, 그러면 사용자가 자동으로 인증되어 사서함 데이터에 액세스할 수 있습니다.

수동 리디렉션이 사용되지 않는 이유

수동 리디렉션도 효율적이라고 생각하는 사용자도 있을 것이며 그러한 의견이 어느 정도는 맞습니다. 수동 리디렉션은 IT 조직에서 사용자가 데이터에 액세스하는 위치를 제어함으로써 올바른 네트워크 링크를 사용하도록 하는 데 편리한 기능입니다. 그러나 실제 환경은 최종 사용자에게 적합하지 못합니다. 사용하는 OWA URL이 잘못된 경우 사용자는 다음과 같은 작업을 수행하게 됩니다.

  1. 사용자가 웹 브라우저에 잘못된 URL을 입력합니다.
  2. 사용자가 자격 증명을 받아 CAS(잘못된 사이트)에 인증합니다.
  3. CAS(잘못된 사이트)에서 서비스 검색을 수행하여 사용자를 올바른 CAS로 리디렉션할 수 있음을 확인합니다.
  4. CAS(잘못된 사이트)에서 사용자에게 CAS(올바른 사이트) 링크가 포함된 페이지를 제공합니다.
  5. 사용자가 링크를 클릭하여 올바른 사이트에서 OWA에 액세스합니다.
  6. 사용자가 자격 증명을 입력하고 CAS(올바른 사이트)에 인증합니다.

이 환경에서는 사용자에게 잘못된 URL을 사용했다는 메시지가 표시되며 사용자는 자격 증명을 두 번 입력해야 합니다. 즉, 수동 리디렉션이 사용되는 환경은 최종 사용자에게 최적 상태가 아닙니다.

Exchange 2010 SP2의 교차 사이트 자동 리디렉션

이처럼 최적화되지 않은 불편한 환경을 제공하지 않기 위해 Microsoft에서는 Exchange 2010 SP2에 OWA용으로 네 번째 리디렉션 환경인 교차 사이트 자동 리디렉션을 제공합니다. 이름에서도 알 수 있듯이 교차 사이트 자동 리디렉션은 OWA ExternalURL을 포함하며, 같은 Exchange 조직 내에 있는 다른 Active Directory 사이트의 CAS에 대한 요청에 한해 자동 리디렉션을 수행합니다.

교차 사이트 자동 리디렉션을 지원하기 위해 CrossSiteRedirectType 매개 변수가 새로 작성되었습니다. 이 매개 변수는 Set-OWAVirtualDirectory cmdlet에서 사용 가능하며 ManualSilent의 두 값을 지원합니다. 교차 사이트 자동 리디렉션은 기본적으로 사용하지 않도록 설정되며(기본값: Manual), 따라서 현재 서로 다른 Active Directory 사이트의 CAS 간에 수동 리디렉션을 수행하는 경우에는 SP2 배포 후에도 계속 수동 리디렉션이 수행됩니다.

교차 사이트 자동 리디렉션을 사용하도록 설정하려면 인터넷 연결 CAS OWA 가상 디렉터리에서 CrossSiteRedirectTypeSilent로 설정합니다.

Set-OWAVirtualDirectory -Identity “Contoso\owa(기본 웹 사이트)” -CrossSiteRedirectType Silent

교차 사이트 자동 리디렉션을 지원하도록 OWA 연결 프로세스가 업데이트되었습니다. 서비스 검색 중에 CAS는 다음 단계를 수행합니다.

  1. 사서함 버전이 Exchange 2007인지 Exchange 2010인지를 확인합니다.
  2. 사서함 위치를 확인합니다.
  3. 대상 CASExternalURL을 가져옵니다.
  4. 원본 CAS에서 리디렉션 유형을 가져옵니다.
    1. CrossSiteRedirectType=Manual이면 수동 리디렉션이 실행됩니다.
    2. CrossSiteRedirectType=Silent이면 자동 리디렉션이 실행됩니다.
      1. 원본 및 대상 CAS에서 FBA이 사용하도록 설정되어 있으면 원본 CAS에서 사용자 자격 증명 및 FBA 설정과 리디렉션 URL이 포함된 숨겨진 양식을 브라우저에서 다시 실행합니다.
      2. 원본 및 대상에서 FBA가 사용하도록 설정되어 있지 않으면 원본 CAS는 302 리디렉션을 사용합니다.

이처럼 원본 및 대상 OWA 가상 디렉터리에서 양식 기반 인증을 사용하는 경우에는 교차 사이트 자동 리디렉션이 SSO 환경을 제공할 수 있습니다. OWA를 내부에만 배포하는 고객이라면 OWA 가상 디렉터리 인증 메커니즘이 Windows 통합 인증이며 OWA 네임스페이스가 “로컬 인트라넷” 보안 영역에 추가되어 있는 경우에도 SSO 환경을 사용할 수 있습니다.

SSO 환경을 사용할 수 없는 경우

다음과 같은 몇 가지 경우에는 Active Directory 사이트 간 리디렉션 시 SSO 환경을 사용할 수 없습니다.

  1. 원본 및 대상 OWA 가상 디렉터리에서 기본 인증을 사용하는 경우
  2. 원본 및 대상 OWA 가상 디렉터리에서 서로 다른 인증 설정을 사용하는 경우
  3. 원본 및 대상 OWA 가상 디렉터리에서 2단계 인증 솔루션을 사용하는 경우
  4. 원본 및 대상 OWA 네임스페이스에 대해 서로 다른 웹 수신기를 사용하는 미리 인증 솔루션(예: Microsoft Threat Management Gateway 2010)을 사용하는 경우
  5. 로컬 CAS가 다른 Active Directory 사이트의 다른 CAS에 대해 임시 리디렉션을 실행하는 경우

이러한 경우에는 SSO 환경을 사용할 수 없으며 302 리디렉션(자동 리디렉션)이 계속 수행됩니다.

교차 사이트 자동 리디렉션을 사용하면 올바른 OWA 인프라에 액세스하기 위해 링크를 계속 클릭하지 않아도 되므로 최종 사용자의 만족도가 높아지며, 경우에 따라서는 자격 증명을 두 번 입력하지 않아도 됩니다. 지금까지 OWA 수동 리디렉션을 사용해 오셨다면 Exchange 2010 SP2를 배포할 때 교차 사이트 자동 리디렉션을 사용해 보시기 바랍니다.

Ross Smith IV
주임 프로그램 관리자
Exchange Customer Experience

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 OWA Cross-Site Silent Redirection in Exchange 2010 SP2를 참조하십시오.


Comments (0)