하이브리드 환경에 대한 Forefront TMG 구성

  • 아티클

적용 대상:예-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

이 문서에서는 하이브리드 SharePoint Server 환경의 역방향 프록시로 사용할 Forefront TMG(위협 관리 게이트웨이) 2010을 설정하는 방법을 설명합니다.

시작하기 전에

시작하기 전에 알아 두어야 할 몇 가지 사항이 있습니다.

  • TMG는 에지 구성에서 배포해야 합니다. 이 구성에서는 인터넷에 연결되고 TMG에서 외부 네트워크용으로 구성된 네트워크 어댑터와 인트라넷에 연결되고 TMG에서 내부 네트워크용으로 구성된 네트워크 어댑터가 각각 하나 이상씩 있습니다.

  • TMG 서버는 AD FS(Active Directory Federation Services) 2.0 서버를 포함하는 Active Directory 도메인 포리스트의 도메인 멤버여야 합니다. Microsoft 365의 SharePoint에서 인바운드 연결을 인증하는 데 사용되는 SSL 클라이언트 인증서 인증을 사용하려면 TMG 서버를 이 도메인에 가입해야 합니다.

    참고

    에지 배포의 경우 일반적으로 회사 포리스트에 대한 단방향 트러스트를 사용하여 별도의 포리스트(회사 네트워크의 내부 포리스트 대신)에 Forefront TMG를 설치하는 것이 좋습니다. 그러나 TMG 서버가 가입된 도메인의 사용자에 대해서는 클라이언트 인증서 인증만 구성할 수 있으므로 하이브리드 환경에는 이 모범 사례를 따를 수 없습니다.

    TMG 네트워크 토폴로지 고려 사항에 대한 자세한 내용은 작업 그룹 및 도메인 고려 사항을 참조하세요.

  • 백 투 백 구성에서 SharePoint Server 하이브리드 환경에서 사용하기 위해 TMG 2010을 배포하는 것은 이론적으로 가능하지만 테스트되지 않았으며 작동하지 않을 수 있습니다.

  • TMG 2010에는 진단 로깅 및 실시간 로깅 인터페이스가 둘 다 포함되어 있습니다. 로깅은 Microsoft 365에서 SharePoint Server와 SharePoint 간의 연결 및 인증 문제를 해결하는 데 중요한 역할을 합니다. 연결 오류를 일으키는 구성 요소를 식별하는 것은 까다로운 일이지만 먼저 TMG 로그를 확인하여 단서를 찾을 수 있습니다. 문제 해결에는 여러 서버의 TMG 로그, SharePoint Server ULS 로그, Windows Server 이벤트 로그 및 IIS(인터넷 정보 서비스) 로그의 로그 이벤트를 비교하는 작업이 포함될 수 있습니다.

TMG 2010에서 로깅을 구성하고 사용하는 방법에 대한 자세한 내용은 진단 로깅 사용을 참조하세요.

SharePoint Server 하이브리드 환경의 문제 해결 기술 및 도구에 대한 자세한 내용은 하이브리드 환경 문제 해결을 참조하세요.

TMG 2010 설치

아직 TMG 2010을 설치하고 네트워크에 맞게 구성하지 않은 경우 이 섹션을 사용하여 TMG 2010을 설치하고 TMG 시스템을 준비할 수 있습니다.

TMG 2010 설치

  1. Forefront TMG 2010을 설치합니다(아직 설치하지 않은 경우). TMG 2010 설치에 대한 자세한 내용은 Forefront TMG Deployment를 참조하세요.

  2. TMG 2010에 대한 사용 가능한 모든 서비스 팩 및 업데이트를 설치합니다. 자세한 내용은 Forefront TMG 서비스 팩 설치를 참조하세요.

  3. TMG 서버 컴퓨터를 온-프레미스 Active Directory 도메인에 가입시킵니다(아직 도메인 구성원이 아닌 경우).

    도메인 환경에서 TMG 2010을 배포하는 방법에 대한 자세한 내용은 작업 그룹 및 도메인 고려 사항을 참조하세요.

보안 채널 SSL 인증서 가져오기

보안 채널 SSL 인증서를 로컬 컴퓨터 계정의 개인 저장소와 Microsoft Forefront TMG Firewall Service 계정(fwsvc)의 개인 저장소로 가져와야 합니다.

   
편집 아이콘 보안 채널 SSL 인증서의 위치는 표 4b: 보안 채널 SSL 인증서행 1(보안 채널 SSL 인증서 위치 및 파일 이름)에 기록되어 있습니다.
인증서에 개인 키가 포함되어 있으면 표 4b: 보안 채널 SSL 인증서행 4(보안 채널 SSL 인증서 암호)에 기록된 인증서 암호를 제공해야 합니다.

인증서 가져오기

  1. 워크시트에 지정된 위치의 인증서 파일을 로컬 하드 디스크의 폴더로 복사합니다.

  2. 역방향 프록시 서버에서 MMC를 열고 로컬 컴퓨터 계정과 로컬 fwsrv 서비스 계정 모두에 대한 인증서 관리 스냅인을 추가합니다.

    참고

    TMG 2010을 설치한 후의 fwsrv 서비스 이름은 Microsoft Forefront TMG Firewall 서비스입니다.

  3. 보안 채널 SSL 인증서를 컴퓨터 계정의 개인 인증서 저장소로 가져옵니다.

  4. 보안 채널 SSL 인증서를 fwsrv 서비스 계정의 개인 인증서 저장소로 가져옵니다.

SSL 인증서를 가져오는 방법에 대한 자세한 내용은 인증서 가져오기를 참조하세요.

TMG 2010 구성

이 섹션에서는 Microsoft 365의 SharePoint에서 인바운드 요청을 수신하고 SharePoint Server 팜의 기본 웹 애플리케이션에 릴레이하는 웹 수신기게시 규칙을 구성합니다. 웹 수신기와 게시 규칙은 함께 작동하여 연결 규칙을 정의하고 요청을 미리 인증하고 릴레이합니다. 이전 절차에서 설치한 보안 채널 인증서를 사용하여 인바운드 연결을 인증하도록 웹 수신기를 구성합니다.

TMG에서 게시 규칙을 구성하는 방법에 대한 자세한 내용은 웹 게시 구성을 참조하세요.

TMG 2010의 SSL 브리징에 대한 자세한 내용은 SSL 브리징 및 게시 정보를 참조하세요.

다음 절차를 사용하여 게시 규칙 및 웹 수신기를 만들 수 있습니다.

게시 규칙 및 웹 수신기 만들기

  1. Forefront TMG 관리 콘솔의 왼쪽 탐색 창에서 방화벽 정책을 마우스 오른쪽 단추로 클릭한 다음 새로 만들기를 선택합니다.

  2. SharePoint 사이트 게시 규칙을 선택합니다.

  3. 새 SharePoint 게시 규칙 마법사이름 텍스트 상자에 게시 규칙의 이름(예: "하이브리드 게시 규칙")을 입력합니다. 다음을 선택합니다.

  4. 단일 웹 사이트 또는 부하 분산 장치 게시를 선택한 다음, 다음을 선택합니다.

  5. TMG와 SharePoint Server 팜 간의 연결에 HTTP 를 사용하려면 보안 이 아닌 연결 사용을 선택하여 게시된 웹 서버 또는 서버 팜을 연결한 다음 , 다음을 선택합니다.

    TMG와 SharePoint Server 팜 간의 연결에 HTTPS 를 사용하려면 SSL을 사용하여 게시된 웹 서버 또는 서버 팜을 연결한 다음 , 다음을 선택합니다.

    참고

    SSL을 사용하는 경우 유효한 인증서를 기본 웹 응용 프로그램에 설치했는지 확인합니다.

  6. 내부 게시 세부 정보 대화 상자의 내부 사이트 이름 텍스트 상자에 브리징 URL의 내부 DNS 이름을 입력한 다음, 다음을 선택합니다. 이것은 TMG 서버가 기본 웹 응용 프로그램으로 요청을 릴레이하는 데 사용하는 URL입니다.

    참고

    프로토콜(http:// 또는 https://)을 입력하지 마세요.

       
    편집 아이콘 브리징 URL은 SharePoint 하이브리드 워크시트의 다음 위치 중 하나에 기록됩니다.
    기본 웹 애플리케이션이 호스트 이름 사이트 모음으로 구성된 경우 테이블 5a: 기본 웹 애플리케이션(호스트 이름 사이트 모음)의 행 1(기본 웹 애플리케이션 URL)의 값을 사용합니다.
    기본 웹 애플리케이션이 경로 기반 사이트 모음으로 구성된 경우 테이블 5b: 기본 웹 애플리케이션(AAM이 없는 경로 기반 사이트 모음)의 행 1(기본 웹 애플리케이션 URL)의 값을 사용합니다.
    기본 웹 애플리케이션이 AAM을 사용하여 경로 기반 사이트 모음으로 구성된 경우 테이블 5c: 기본 웹 애플리케이션(AAM을 사용하는 경로 기반 사이트 모음)의 행 5(기본 웹 애플리케이션 URL)의 값을 사용합니다.

  7. 컴퓨터 이름 또는 IP 주소를 사용하여 게시된 서버에 연결 상자에서 필요에 따라 기본 웹 애플리케이션 또는 네트워크 부하 분산 장치의 IP 주소 또는 FQDN(정규화된 도메인 이름)을 입력한 다음, 다음을 선택합니다.

    참고

    TMG가 이전 단계에서 제공한 호스트 이름을 사용하여 기본 웹 응용 프로그램을 확인할 수 있는 경우에는 이 단계를 수행할 필요가 없습니다.

  8. 공개 이름 정보 대화 상자에서 다음에 대한 요청 허용 메뉴의 기본 설정을 적용합니다. 공용 이름 텍스트 상자에 외부 URL의 호스트 이름(예: "sharepoint.adventureworks.com")을 입력하고 다음을 선택합니다. Microsoft 365의 SharePoint가 SharePoint Server 팜에 연결하는 데 사용할 외부 URL의 호스트 이름입니다.

    참고

    프로토콜(http:// 또는 https://)을 입력하지 마세요.

       
    편집 아이콘 외부 URL은 SharePoint 하이브리드 워크시트표 3: 공용 도메인 정보행 3(외부 URL)에 기록됩니다.

  9. 웹 수신기 선택 대화 상자에서 새로 만들기를 선택합니다.

  10. 새 웹 수신기 마법사 대화 상자의 웹 수신기 이름 텍스트 상자에 웹 수신기의 이름을 입력하고 다음을 선택합니다.

  11. 클라이언트 연결 보안 대화 상자에서 클라이언트와의 SSL 보안 연결 필요를 선택한 다음 , 다음을 선택합니다.

  12. 웹 수신기 IP 주소 대화 상자에서 외부 <모든 IP 주소를 선택한 다음, 다음을> 선택합니다.

    수신기를 특정 외부 IP 주소에서만 수신하도록 제한하려면 IP 주소 선택을 선택한 다음 , 외부 네트워크 수신기 IP 선택 대화 상자에서 선택한 네트워크의 Forefront TMG 컴퓨터에서 지정된 IP 주소를 선택합니다. IP 주소를 지정하려면 추가를 선택한 다음 확인을 선택합니다.

  13. 수신기 SSL 인증서 대화 상자에서 이 웹 수신기에 단일 인증서 사용을 선택하고 인증서 선택 단추를 선택합니다. 인증서 선택 대화 상자에서 TMG 컴퓨터로 가져온 보안 채널 SSL 인증서를 선택하고 선택을 선택한 다음, 다음을 선택합니다.

  14. 인증 설정 대화 상자에서 SSL 클라이언트 인증서 인증을 선택한 다음, 다음을 선택합니다. 이 설정은 보안 채널 인증서를 사용하는 인바운드 연결에 클라이언트 인증서 자격 증명을 적용합니다.

  15. Forefront TMG Single Sign-On 설정을 무시하려면 다음을 선택합니다.

  16. 새 수신기 요약 페이지를 검토하고 마침을 선택합니다. 그러면 새로 만든 웹 수신기가 자동으로 선택되어 있는 게시 규칙 마법사로 돌아갑니다.

  17. 웹 수신기 선택 대화 상자의 웹 수신기 드롭다운에서 올바른 웹 수신기가 선택되어 있는지 확인하고 다음을 선택합니다.

  18. 인증 위임 대화 상자에서 위임 없음을 선택하지만 클라이언트는 드롭다운에서 직접 인증한 다음, 다음을 선택합니다.

  19. 대체 액세스 매핑 구성 대화 상자에서 SharePoint AAM이 SharePoint 서버에 이미 구성되어 있는지를 선택한 다음, 다음을 선택합니다.

  20. 사용자 집합 대화 상자에서 모든 인증된 사용자 항목을 선택하고 제거를 선택합니다. 그런 다음 추가를 선택하고 사용자 추가 대화 상자에서 모든 사용자를 선택한 다음 추가를 선택합니다. 사용자 추가 대화 상자를 닫려면 닫기를 선택한 다음, 다음을 선택합니다.

  21. 새 SharePoint 게시 규칙 마법사 완료 대화 상자에서 설정을 확인한 다음 마침을 선택합니다.

이제 방금 만든 게시 규칙에서 확인하거나 변경해야 하는 몇 가지 설정이 있습니다.

게시 규칙 구성 완료

  1. Forefront TMG 관리 콘솔의 왼쪽 탐색 창에서 방화벽 정책을 선택하고 방화벽 정책 규칙 목록에서 방금 만든 게시 규칙을 마우스 오른쪽 단추로 클릭하고 HTTP 구성을 선택합니다.

  2. 규칙에 대한 HTTP 정책 구성 대화 상자의 일반 탭의 URL 보호에서 정규화 확인상위 비트 문자 차단이 모두 선택 취소되었는지 확인한 다음 확인을 선택합니다.

  3. 방금 만든 게시 규칙을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  4. 규칙 이름> 속성 대화 상자의<To 탭에서 실제 1 상자 대신 원래 호스트 헤더 전달을 선택 취소합니다. 게시된 사이트에 대한 요청에 프록시 사용에서 원래 클라이언트에서 보낸 요청이 선택되어 있는지 확인합니다.

  5. 링크 변환 탭에서 이 규칙에 링크 변환 적용 확인란이 올바르게 설정되어 있는지 확인합니다.

  • 기본 웹 애플리케이션의 내부 URL과 외부 URL이 동일한 경우 이 규칙에 링크 변환 적용 확인란의 선택을 취소합니다.

  • 기본 웹 응용 프로그램의 내부 URL과 외부 URL이 다른 경우 이 규칙에 링크 변환 적용 확인란을 선택합니다.

  1. 브리징 탭의 웹 서버에서 HTTP 포트 또는 SSL> 포트에 <대한 올바른 리디렉션 요청 확인란이 선택되어 있고 텍스트 상자의 포트가 내부 사이트에서 사용하도록 구성된 포트에 해당하는지 확인합니다.

  2. 게시 규칙에 변경 내용을 저장하려면 확인을 선택합니다.

  3. Forefront TMG 관리 콘솔의 위쪽 막대에서 변경 내용을 TMG에 적용하려면 적용을 선택합니다. TMG에서 변경 내용을 처리하는 데 1~2분 정도 걸릴 수 있습니다.

  4. 구성의 유효성을 검사하려면 방화벽 정책 규칙 목록에서 새 게시 규칙을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.

  5. <규칙 이름> 속성 대화 상자에서 테스트 규칙 단추를 선택합니다. TMG는 일련의 테스트를 실행하여 Microsoft 365 사이트의 SharePoint에 대한 연결을 확인하고 테스트 결과를 목록에 표시합니다. 테스트 및 해당 결과에 대한 설명을 보려면 각 구성 테스트를 선택합니다. 오류가 표시되는 경우 모든 오류를 수정합니다.

참고 항목

개념

SharePoint Server용 하이브리드 환경

SharePoint Server 2013 하이브리드에 대한 역방향 프록시 장치 구성

기타 리소스

웹 게시 구성