관리 도구를 사용하여 Exchange 하이브리드 환경에서 받는 사람 관리

  • 아티클

Exchange 하이브리드 환경에서 받는 사람 관리를 위해 온-프레미스 Exchange 서버를 유지 관리하는 경우 모든 받는 사람을 Exchange Online 이동한 후에도 마지막 Exchange 서버를 종료하고 Windows PowerShell 사용하여 받는 사람을 관리할 수 있습니다.

이전에는 모든 사서함을 Exchange Online 이동한 후에도 해당 클라우드 수신자 특성을 관리하기 위해 온-프레미스 Exchange 서버가 필요했습니다. 온-프레미스 Active Directory Exchange 서버에서 받는 사람을 편집했으며 해당 특성이 디렉터리 동기화를 사용하여 Microsoft Entra ID로 복사되었습니다. 이 메서드를 사용하여 받는 사람이 모두 클라우드에 있더라도 관리할 수 있습니다. Exchange 서버를 종료하는 것은 완전히 선택 사항입니다.

참고

온-프레미스 수신자를 Microsoft Entra ID 또는 Exchange Online 직접 수정할 수 없으므로 클라우드 동기화 또는 Microsoft Entra Connect 도구를 통해 온-프레미스 Exchange 서버 및 디렉터리 동기화가 여전히 필요합니다. 자세한 내용은 온-프레미스에서 Exchange 서버를 해제하지 않으려는 이유를 참조하세요.

이 새 메서드가 작동할까요?

업데이트된 버전의 Exchange Management Tools는 다음 명령문이 모두 충족되는 경우 온-프레미스 Exchange 서버를 실행할 필요가 없습니다.

  • 모든 사서함 및 공용 폴더를 Exchange Online(온-프레미스 Exchange 수신자 없음)로 마이그레이션했습니다.
  • 수신자 관리 및 클라우드 동기화에 AD를 사용하거나 동기화에 Microsoft Entra Connect를 사용합니다.
  • 온-프레미스 Exchange 관리 센터 또는 EXCHANGE RBAC(역할 기반 액세스 제어)를 사용하거나 요구하지 않습니다.
  • 받는 사람 관리에만 Windows PowerShell 사용하는 것이 편안합니다.
  • 받는 사람 관리 활동의 감사 또는 로깅이 필요하지 않습니다.
  • 온-프레미스 Exchange 서버는 하나만 실행 중이며 받는 사람 관리용으로만 실행됩니다.
  • Exchange 서버를 실행하지 않고 받는 사람을 관리하려고 합니다.

Exchange 2019 누적 업데이트 12 이상에서 Exchange 설치 프로그램을 사용하여 도메인에 가입된 컴퓨터(클라이언트 또는 서버)에 최신 관리 도구를 설치합니다. 자세한 내용은 Exchange 관리 도구 설치를 참조하세요.

경고

마지막 서버를 제거하지 마세요. 서버를 종료하고 스크립트를 사용하여 클린 제거할 수 있습니다. 서버를 제거하면 Active Directory에서 Exchange 특성을 관리하는 관리 도구 패키지의 기능을 중단하는 중요한 정보가 제거됩니다. 자세한 내용은 다음을 참조 하세요. 중요: 주의

업데이트된 Exchange 관리 도구를 사용하면 도메인 관리자와 받는 사람 관리 EMT 그룹의 구성원(아래 6단계를 통해 생성됨)은 Windows PowerShell 사용하여 Exchange 서버를 실행하지 않고 다음 cmdlet을 실행할 수 있습니다.

  • Set-MailUser, Get-MailUser, New-MailUser, Remove-MailUser, Disable-MailUser 및 Enable-MailUser.
  • Set-MailContact, Get-MailContact, New-MailContact, Remove-MailContact, Disable-MailContact 및 Enable-MailContact.
  • Set-RemoteMailbox, Get-RemoteMailbox, New-RemoteMailbox, Remove-RemoteMailbox, Disable-RemoteMailbox 및 Enable-RemoteMailbox.
  • Set-DistributionGroup, Get-DistributionGroup, New-DistributionGroup, Remove-DistributionGroup, Disable-DistributionGroup 및 Enable-DistributionGroup(Upgrade-DistributionGroup 제외).
  • Get-DistributionGroupMember, Add-DistributionGroupMember, Remove-DistributionGroupMember 및 Update-DistributionGroupMember.
  • Set-EmailAddressPolicy, Get-EmailAddressPolicy, New-EmailAddressPolicy, Remove-EmailAddressPolicy 및 Update-EmailAddressPolicy.
  • Set-User 및 Get-User.

참고

Microsoft Entra ID 또는 Exchange Online 온-프레미스 수신자를 직접 수정할 수 없습니다.

관리 도구가 Exchange Server 없이 실행할 수 있는지 확인합니다.

환경에 클라우드 수신자 관리 전용으로 실행되는 단일 Exchange 서버가 포함된 경우 이 섹션의 단계를 사용하여 관리 도구 업데이트를 테스트합니다.

Exchange 환경 준비

  1. Exchange 관리 셸에서 다음 명령을 실행하여 모든 사서함이 클라우드에 있는지 확인합니다.

    Set-AdServerSettings -ViewEntireForest $true
Get-Mailbox

    참고

    기본적으로 기본 제공 관리자 사서함은 클라우드 동기화 또는 Microsoft Entra Connect를 통해 클라우드에 동기화되지 않습니다. 계속하기 전에 Disable-Mailbox를 사용하여 이러한 사서함을 사용하지 않도록 설정해야 합니다.

  2. Exchange Online 테넌트 공존 도메인(일반적으로 "contoso.mail.onmicrosoft.com"과 같은 도메인)이 다음 명령을 실행하여 대상 배달 도메인으로 구성되어 있는지 확인합니다.

    Get-RemoteDomain Hybrid* | Format-List DomainName,TargetDeliveryDomain

    공존 도메인이 원격 도메인으로 추가되지 않은 경우 New-RemoteDomain을 사용하여 추가할 수 있습니다. 예를 들면

    New-RemoteDomain -Name 'Hybrid Domain - M365B434489.mail.onmicrosoft.com' -DomainName 'M365B434489.mail.onmicrosoft.com'

    대상 배달 도메인으로 설정되지 않은 경우 Set-RemoteDomain을 사용하여 설정할 수 있습니다. 예를 들면

    Set-RemoteDomain -TargetDeliveryDomain: $true -Identity 'Hybrid Domain - M365B434489.mail.onmicrosoft.com'

    참고

    마지막 Exchange 서버를 이미 제거했거나 서버가 없는 경우 Exchange 스냅인을 통해 Set-RemoteDomain 및 New-RemoteDomain cmdlet에 액세스할 수 있습니다. 도메인 가입 컴퓨터에 Exchange Server 2019의 마지막 누적 업데이트에서 Exchange 관리 도구를 설치하고 Windows PowerShell 다음 명령을 실행합니다.

    Add-PSSnapin Microsoft.Exchange.Management.PowerShell.SnapIn

    Exchange 스냅인을 수동으로 사용하도록 설정하는 이 방법은 이 특정 사례에 대해서만 지원됩니다.

    Exchange Server 없는 환경에 Exchange 관리 도구를 설치하면 새 Exchange organization 만들어지고 Exchange용 Active Directory를 준비합니다. 대규모 AD 배포가 있거나 별도의 팀이 AD를 관리하는 경우 AD를 준비하기 위해 Exchange Server Active Directory 및 도메인 준비의 단계를 사용합니다.

  3. 2019년 4월 Exchange Server 2022년 4월 누적 업데이트 설정을 사용하여 Exchange 관리 도구 역할을 설치합니다. 업데이트된 도구는 Exchange 2013 이상 Exchange organization 도메인 가입 컴퓨터에 설치할 수 있습니다.

    참고

    Exchange 2013 및/또는 Exchange 2016만 있는 환경에서 업데이트된 Exchange 관리 도구를 설치하면 Exchange organization Exchange Server 2019로 업그레이드되고 AD 스키마 업데이트가 수행됩니다. 대규모 AD 배포가 있거나 별도의 팀이 AD를 관리하는 경우 스키마 업데이트를 수행하기 위해 Exchange Server Active Directory 및 도메인 준비의 단계를 사용합니다.

  4. RSAT 도구 설치, 제거 및 끄기 문서의 단계를 사용하여 Windows 원격 서버 관리 도구를 설치합니다.

  5. 스크립팅 에이전트를 사용하도록 설정한 경우 Exchange Server $env :ExchangeInstallPath\Bin\CmdletExtensionAgents에서 관리 도구 업데이트가 설치된 컴퓨터의 $env:ExchangeInstallPath\Bin\CmdletExtensionAgents 폴더로ScriptingAgentConfig.xml복사합니다.

  6. 제공된 스크립트를 실행하여 도메인 관리자 권한이 없는 사용자에게 받는 사람을 관리할 수 있는 권한을 부여하는 받는 사람 관리 EMT 보안 그룹을 만듭니다.

    1. 관리 도구가 도메인 관리 업데이트되어 컴퓨터에 로그인하고 Windows PowerShell 엽니다.

    2. 다음 명령을 실행하여 받는 사람 관리 스냅인을 로드합니다.

      Add-PSSnapin *RecipientManagement

    3. $env:ExchangeInstallPath\Scripts 폴더에서 Add-PermissionForEMT.ps1 실행합니다. 스크립트는 받는 사람 관리 EMT라는 보안 그룹을 만듭니다. 이 그룹의 멤버에는 받는 사람 관리 권한이 있습니다. 도메인 관리자 권한이 없는 모든 관리자가 받는 사람 관리를 수행해야 하는 경우 이 보안 그룹에 추가해야 합니다.

  7. 적절한 권한(도메인 관리자 또는 받는 사람 관리 EMT의 구성원)으로 관리 도구 업데이트를 사용하여 컴퓨터에 로그인하고 다음을 실행하여 받는 사람 관리 스냅인을 로드합니다.

    Add-PSSnapin *RecipientManagement

    받는 사람을 관리할 때마다 이 단계를 수행해야 합니다.

  8. 모든 수신자 관리 cmdlet을 테스트하고 예상 결과가 표시되는지 확인합니다.

참고

와 같이 RecipientManagement Powershell Snapin을 통해 액세스하는 Cmdlet은 를 사용하여 New-PSSession실행할 때와 비교하여 출력 데이터 형식에 차이가 있습니다. 이는 예상되며 cmdlet의 데이터 형식을 사용하는 모든 스크립트는 그에 따라 수정해야 합니다.

instance 경우 (Get-Mailbox User).EmailAddresses.GetType() 를 통해 RecipientManagement SnapIn 사용하면 데이터 형식이 로 ProxyAddressCollection생성됩니다. 여기서 PSSession에서 실행할 때 동일한 cmdlet은 데이터 형식을 로 ArrayList생성합니다.

  1. 마지막 Exchange 서버를 종료하고 모든 받는 사람 관리 cmdlet이 여전히 예상대로 작동하는지 확인합니다.

마지막 Exchange Server 영구적으로 종료

마지막 Exchange Server 영구적으로 종료하려는 경우 다음 단계를 사용하여 환경의 보안 상태를 클린 개선하는 것이 좋습니다.

중요

받는 사람 관리 이외의 용도로 마지막 Exchange 서버를 사용하는 경우(예: SMTP 릴레이의 경우) 종료하지 마세요.

  1. 마지막 Exchange 서버를 켭니다.

  2. 하이브리드 배포에서 온-프레미스 Exchange 서버를 해제하는 방법 및 시기의 시나리오 2에 대해 1~8단계를 수행하여 하이브리드 구성을 정리합니다.

  3. Exchange 관리 셸에서 다음 명령을 실행하여 페더레이션 트러스트를 제거합니다.

    Remove-FederationTrust "Microsoft Federation Gateway"

  4. 페더레이션 인증서 제거: 인증서 지문을 찾으려면 다음을 실행합니다.

    $fedThumbprint = (Get-ExchangeCertificate | ?{$_.Subject -eq "CN=Federation"}).Thumbprint

    인증서 지문을 제거하려면 다음을 실행합니다.

    Remove-ExchangeCertificate -Thumbprint $fedThumbprint

  5. OAuth용으로 만든 서비스 주체 자격 증명을 제거합니다. 이렇게 하려면 OAuth 인증서의 키 값과 일치하는 KeyId를 결정해야 합니다. 일치하는 KeyId를 찾으려면 다음 단계를 수행합니다.

    1. Exchange 관리 셸에서 다음 명령을 실행하여 OAuth credValue를 가져옵니다.

      $thumbprint = (Get-AuthConfig).CurrentCertificateThumbprint
$oAuthCert = (dir Cert:\LocalMachine\My) | where {$_.Thumbprint -match $thumbprint}
$certType = [System.Security.Cryptography.X509Certificates.X509ContentType]::Cert
$certBytes = $oAuthCert.Export($certType)
$credValue = [System.Convert]::ToBase64String($certBytes)

    2. 위에서 찾은 $credValue 동일한 KeyId를 찾아 Microsoft Graph PowerShell을 사용하여 테넌트 관리자로 다음 명령을 실행합니다.

      Import-Module Microsoft.Graph.Applications
Connect-MgGraph -Scopes "Application.Read.All"
$ServiceName = "00000002-0000-0ff1-ce00-000000000000"
$p = Get-MgServicePrincipalByAppId -AppId $ServiceName
$keyId = (Get-MgServicePrincipal -ServicePrincipalId $p.Id).KeyCredentials $true | ?{$_.Value -eq $credValue}).KeyId

      그러면 해당 값이 위에서 찾은 $credValue 일치하는 키의 KeyId를 제공합니다.

    3. 서비스 주체 자격 증명을 제거하려면 다음 명령을 실행합니다.

      Import-Module Microsoft.Graph.Applications
$params = @{
KeyId = $keyId
}
Remove-MgServicePrincipalKey -ServicePrincipalId $p.Id -BodyParameter $params

  6. 하이브리드 에이전트를 제거합니다. 환경에 최신 하이브리드 구성이 있는 경우 아래 단계에 따라 제거합니다.

    1. 하이브리드 에이전트가 설치된 컴퓨터에서 Exchange 관리 셸을 열고 디렉터리를 C:\Program Files\Microsoft Hybrid Service\HybridManagement.psm1 스크립트의 위치로 변경한 다음 하이브리드 에이전트 PowerShell 모듈을 가져옵니다.

      Import-Module .\HybridManagement.psm1

    2. 앱을 제거하려면 AppId가 필요합니다. Exchange Online PowerShell에서 다음 cmdlet을 사용하여 AppId를 찾습니다.

      Get-OrganizationRelationship ((Get-OnPremisesOrganization).OrganizationRelationship) | Select-Object TargetSharingEpr

      출력은 다음과 같습니다.

      TargetSharingEpr
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx
----------------
https://6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net/EWS/Exchange.asmx

      또는 다음을 실행합니다.

      Get-MigrationEndpoint "Hybrid Migration Endpoint - EWS (Default Web Site)" | Select-Object RemoteServer

      출력은 다음과 같습니다.

      RemoteServer
------------
6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7.resource.mailboxmigration.his.msappproxy.net

      이 예제에서 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7은 다음 단계에서 사용할 AppId입니다.

    3. 다음을 실행하여 앱을 제거합니다.

      Remove-HybridApplication -appId 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7 -Credential (Get-Credential)

      참고

      AppId는 이 예제에 대해서만 6ca7c832-49a2-4a5d-aeae-a616f6d4b8e7입니다. 값이 다릅니다.

    4. 하이브리드 에이전트 제거의 단계를 사용하여 하이브리드 에이전트를 제거합니다.

  7. 아직 지정하지 않은 경우 MX 및 자동 검색 DNS 레코드를 Exchange Online. 이 단계는 메일 흐름이 영향을 받지 않도록 하는 데 중요합니다. 자세한 내용은 Office 365 대한 외부 도메인 이름 시스템 레코드를 참조하세요.

  8. 마지막 Exchange 서버를 종료합니다.

Active Directory 클린 위로

온-프레미스 Exchange 서버를 다시 실행하지 않으려는 경우 불필요한 Exchange 개체를 제거하여 Active Directory를 클린 것이 좋습니다.

경고

이 단계는 실행 취소할 수 없습니다. Exchange Server 다시 실행하지 않으려는 경우에만 계속 진행합니다.

AD 정리는 관리 도구와 함께 제공되는 CleanupActiveDirectoryEMT 스크립트를 실행하여 수행할 수 있습니다. 이 스크립트는 시스템 사서함, 불필요한 Exchange 컨테이너, 도메인 및 구성 파티션에 대한 Exchange 보안 그룹에 대한 권한 및 Exchange 보안 그룹을 제거합니다. 도메인 관리자 자격 증명을 사용하여 이 스크립트를 실행해야 합니다.

이 스크립트는 다음에서 사용할 수 있습니다. $env:ExchangeInstallPath\Scripts\CleanupActiveDirectoryEMT.ps1

중요: 주의

경고

마지막 Exchange 서버를 종료하면 Exchange RBAC가 더 이상 작동하지 않습니다. Exchange 받는 사람 그룹의 일부이거나 수신자 관리를 허용하는 사용자 지정 Exchange 역할이 있는 사용자는 더 이상 권한이 없습니다. 스크립트를 사용하여 Add-PermissionForEMT.ps1 권한이 할당된 도메인 관리자 및 사용자만 받는 사람 관리를 수행할 수 있습니다.

마지막 Exchange 서버를 종료하고 이전에 설명한 대로 Exchange 하이브리드 및 Active Directory 정리 단계를 수행하면 마지막 Exchange 서버를 지우고 다시 포맷해야 합니다. Exchange Server 제거하지 마세요.

Exchange Server 관리 도구만 역할(실행 중인 Exchange Server 없음)을 최신 누적 또는 보안 업데이트로 업데이트합니다.

이 문서의 단계에 따라 마지막 Exchange Server 제거하고 하이브리드 개체 관리에 관리 도구 역할만 사용하고 있습니다.

관리 도구를 최신 CU(누적 업데이트)로 업그레이드

이러한 환경에서 관리 도구만 역할 서버를 최신 CU로 업그레이드하는 경우 다음 오류와 함께 실패할 수 있습니다.

최신 누적 업데이트로 업그레이드 관리 도구의 스크린샷

Exchange Server 관리 도구를 최신 CU로 업데이트하려면 먼저 Active Directory를 'Setup /PrepareAD'로 준비해야 합니다.

관리 도구를 최신 CU로 업데이트하려면 다음 단계를 수행합니다.

  1. 다음 명령을 사용하여 PrepareAD를 수행합니다.

    .\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  2. 다음 명령을 사용하여 관리 도구만 역할을 업그레이드합니다.

    .\Setup.EXE /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

  3. 이전에 관리 도구를 사용하여 Exchange 하이브리드 환경에서 받는 사람 관리에 따라 환경에서 실행한 .\CleanupActiveDirectoryEMT.ps1 경우 /PrepareAD가 제거하는 일부 개체를 다시 만들었기 때문에 스크립트를 CleanupActiveDirectoryEMT.ps1 다시 실행 .\CleanupActiveDirectoryEMT.ps1 합니다.

경고

관리 도구를 사용하여 Exchange 하이브리드 환경에서 수신자 관리를 이미 따르고 스크립트가 이미 이전에 실행된 환경(실행 중인 Exchange 서버가 없는 경우)에서만 스크립트를 실행하고 CleanupActiveDirectoryEMT.ps1 있는지 확인하세요. 이 작업은 취소할 수 없습니다.

관리 도구를 최신 SU(보안 업데이트)로 업그레이드

보안 업데이트 패키지를 다운로드하고 실행하여 관리 도구 역할을 최신 SU로 업데이트합니다.