ISA Server 2004 방화벽이 RPC 디렉터리에 대해 SSL 및 베이직 인증을 강제하도록 구성

RPC 디렉터리에 연결할 때는 SSL을 사용해야 합니다. RPC over HTTP 웹 사이트의 인증에는 베이직 인증이 사용되므로 연결이 SSL을 통해 보호되지 않으면 해커가 RPC over HTTP 클라이언트와 Exchange 서버 사이의 통신을 감시하다가 인증 정보를 가로챌 수 있습니다. 그러나 현재 시나리오에서는 웹 리스너와 RPC over HTTP 사이트가 같은 시스템 상에 있으므로 이것은 큰 문제가 아닙니다.

RPC 디렉터리에 대해 베이직 인증 및 SSL을 강제하도록 하려면 RPC over HTTP 프록시 시스템 상에서 다음 절차를 수행합니다:

1.     ISA Server 2004 방화벽 시스템에서 시스템 상에서 시작을 클릭한 후 관리 도구를 선택합니다. 그리고 인터넷 정보 서비스를 클릭합니다.

2.     인터넷 정보 서비스 콘솔의 왼쪽 창에서 Web Sites 노드를 확장한 후 Default Web Site 노드를 확장합니다. RPC 노드를 클릭한 후 오른쪽 클릭합니다. 속성을 클릭합니다.

3.     RPC Properties 대화상자에서 Directory Security 탭을 클릭합니다.

4.     Directory Security 탭의 Authentication and access control 프레임에서 편집 단추를 클릭합니다.

5.     Authentication Methods 대화상자에서 Enable anonymous access 항목을 해제합니다. 다시 Integrated Windows authentication 항목을 해제하고 Basic authentication (password is sent in clear text) 항목을 선택합니다. 암호가 보호되지 않을 것임을 알리는 대화상자에서 예를 클릭합니다. 본 구성에서는 SSL을 사용하여 연결을 보호할 것이므로 이것은 문제가 되지 않습니다. Default domain 항목에 Exchange 서버가 속한 도메인 이름인 MSFIREWALL 입력합니다. 입니다. 확인을 클릭합니다.

6.     Rpc Properties 대화 상자의 Secure communications 프레임에서 편집 단추를 클릭합니다.

7.     Secure Communications 대화상자에서, Require secure channel (SSL) 및 Require 128-bit encryption 항목을 선택한 후 확인을 클릭합니다.

8.     Rpc Properties 대화상자에서 적용을 클릭한 후 확인을 클릭합니다.

ISA Server 2004 방화벽 및 Exchange 서버 상에 레지스트리 항목을 생성

RPC over HTTP Windows 네트워킹 구성요소를 활성화 한 후에는 RPC 프록시 서버가 기업 네트워크의 서버와 통신하는데 일련의 특정 포트 만을 사용하도록 구성할 수 있습니다. 본 시나리오에서는 RPC 프록시 서버가 지정된 포트 만을 사용하도록 구성되고, RPC 프록시 서버가 통신할 대상인 개별 컴퓨터들도 RPC 프록시 서버로부터 요청을 수신할 때 지정된 포트 만을 사용하도록 구성될 것입니다.

1.     ISA Server 2004 방화벽 시스템에서 레지스트리 편집기를 시작합니다. 시작을 클릭한 후 실행 명령을 클릭합니다. 실행 대화상자의 열기 란에 regedit을 입력한 후 확인을 클릭합니다.

2.     콘솔 트리에서 다음 레지스트리 항목으로 이동합니다:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\RpcProxy

3.     세부항목 창에서 ValidPorts 값을 오른쪽 클릭한 후 수정을 클릭합니다.

4.     문자열 편집의 값 데이터 란에 다음 정보를 입력합니다:

ExchangeServer:6001;ExchangeServerFQDN:6001;ExchangeServer:6004;ExchangeServerFQDN:6004;

ExchangeServer는 Exchange 서버 및 글로벌 카탈로그 서버의 NetBIOS 이름입니다.

ExchangeFQDN은 Exchange 서버 및 글로벌 카탈로그 서버의 FQDN (전체 도메인 이름) 입니다.

현재 예에서, 시스템의 NetBIOS 이름은 EXCHANGE2003BE이며 도메인 이름은 EXCHANGE2003BE.msfirewall.org입니다. 그러므로 입력할 값은 다음과 같습니다:

EXCHANGE2003BE:6001;EXCHANGE2003BE.msfirewall.org:6001;EXCHANGE2003BE:6004;EXCHANGE2003BE.msfirewall.org:6004;

5.     ISA Server 2004 방화벽 컴퓨터를 재시작 합니다.

현재 구성에서는 글로벌 카탈로그 서버를 Exchange 백-엔드 메일 서버로 사용하고 있기 때문에, Exchange 서버 상의 레지스트리 설정을 변경할 필요가 있습니다. 이 단계는 단일 Exchange 서버 구성에서는 항상 필요합니다.

1.       Exchange 서버 시스템에서 레지스트리 편집기를 시작합니다. 시작을 클릭한 후 실행 명령을 클릭합니다. 실행 대화상자의 열기 란에 regedit을 입력한 후 확인을 클릭합니다.

2.     콘솔 트리에서 다음 레지스트리 항목으로 이동합니다:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

3.     편집, 새로 만들기를 클릭한 후 다중 문자열 값을 선택합니다.

4.     NSPI interface protocol sequences라는 값을 생성합니다.

5.     NSPI interface protocol sequences 다중 문자열 값을 오른쪽 클릭한 후 수정을 선택합니다.

6.     값 데이터 란에 ncacn_http:6004를 입력한 후 확인을 클릭합니다.

7.     위와 같은 다음 레지스트리 키에서:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

 

다음 값을 추가합니다:

값: TCP/IP Port

종류: REG_DWORD

데이터: 1600 (Decimal)

8.     다음 레지스트리 키로 이동하여:

HKLM\System\CurrentControlSet\Services\MSExchangeSA\Parameters

다음 값을 추가합니다:

값: No RFR Service

종류: REG_DWORD

데이터: 1

9.     레지스트리 편집기에서 파일 메뉴를 클릭한 후 끝내기를 클릭합니다.

10.  Exchange 서버를 재시작 합니다.

 

 

OWA 웹 사이트 주소에 대한 HOSTS 파일 항목을 생성하고 Outlook Web Access 게시 마법사를 실행

실제 서비스 환경에서는 내부 및 외부 네트워크의 호스트들이 RPC over HTTP 웹 사이트의 이름을 정확하게 해석할 수 있도록 별도의 DNS 인프라를 구성해야 합니다. 이 예제에서는 별도의 DNS 인프라를 구성하지 않았으므로, ISA Server 2004 방화벽 시스템 상의 HOSTS 파일을 사용하여 방화벽이 OWA 및 RPC over HTTP 웹 사이트의 이름을 해당 사이트의 내부 IP 주소로 해석할 수 있도록 합니다.

RPC over HTTP 사이트를 ISA Server 2004 방화벽 시스템의 내부 주소로 매핑 시키는 HOSTS 파일 항목을 생성하려면 다음 절차를 수행합니다:

1.     Windows 탐색기를 열고 \WINDOWS\system32\drivers\etc 디렉터리로 이동한 후 hosts 파일을 엽니다.

2.     연결 프로그램 대화상자에서 Notepad를 선택한 후 확인을 클릭합니다.

3.     메모장으로 HOSTS 파일을 열었습니다. hosts 파일의 마지막 줄에 ISA Server 2004 방화벽의 내부 인터페이스를 통해 연결되는 RPC over HTTP 웹 서버에 도달할 수 있도록 해주는 IP 주소 해석 항목을 추가합니다. 이 예제에서는 다음과 같습니다:

10.0.0.1     owa.msfirewall.org

“10.0.0.1”은 ISA Server 2004 방화벽의 내부 인터페이스를 감시하는 RPC over HTTP 서버의 IP 주소입니다. hosts 파일에 항목을 추가한 후에는 반드시 ENTER 키를 입력하여 파일의 마지막 항목에 빈 줄이 있도록 하십시오.

4.     메모장을 닫고 예를 클릭하여 변경사항을 저장합니다.

이제 ISA Server 2004 방화벽 시스템 상에 RPC over HTTP 웹 게시 규칙을 생성할 준비를 마쳤습니다. Exchange OWA 웹 사이트를 안전하게 게시하려면 다음 절차를 수행합니다:

1.     Microsoft Internet Security and Acceleration Server 2004 관리 콘솔에서, 서버 이름을 확장하고 Firewall Policy 노드를 클릭합니다. 작업 창에서Tasks 탭을 클릭한 후 Publish a Mail Server 링크를 클릭합니다.

2.     Welcome to the New Mail Server Publishing Rule Wizard 페이지에서 Mail Server Publishing Rule name 란에 규칙 이름을 입력합니다. 이 예에서는 Publish RPC/HTTP Web Site를 입력합니다. 다음을 클릭합니다.

3.     Select Access Type 페이지에서 Web client access (Outlook Web Access (OWA), Outlook Mobile Access, Exchange Server ActiveSync 옵션을 선택한 후 다음을 클릭합니다.

4.     Select Services 페이지에서 Outlook Web Access 항목을 선택합니다. Enable high bit characters used by non-English character sets 항목이 선택되어 있는지 확인하십시오. 이 옵션은 OWA 사용자가 영어가 아닌 문자 세트를 사용하여 메일을 액세스 할 수 있도록 해줍니다. 다음을 클릭합니다.

5.     Bridging Mode 페이지에서 Secure connection to clients and mail server 옵션을 선택한 후 다음을 클릭합니다. 이 옵션은 클라이언트가 RPC over HTTP 웹 사이트에 안전한 SSL 연결을 사용할 수 있도록 보장해 주는 웹 게시 규칙을 생성합니다. 이렇게 하면 서버와 클라이언트 사이의 트래픽이 암호화 되므로 침입자가 트래픽 분석기를 사용하여 중요한 정보를 가로채는 것을 방지할 수 있습니다. SSL 연결을 설정하는 외부 클라이언트는 트래픽이 모든 구간에서 보호될 것이라고 기대합니다.

6.     Specify the Web Mail Server 페이지에서 Web mail server 란에 내부 RPC over HTTP 웹 사이트의 이름을 입력합니다. 이 예에서 사용할 이름은 owa.msfirewall.org입니다. 이 이름이 ISA Server 2004 방화벽의 내부 네트워크를 감시하는 RPC over HTTP 서버를 위한 이름이며, RPC over HTTP 웹 사이트 인증서 상의 공용 이름이라는 사실을 주지하십시오. IP 주소를 사용할 수도 있지만, 그렇게 하면 SSL 연결에 인증서 이름 불일치 문제가 생길 수 있습니다. 다음을 클릭합니다.

7.     Public Name Details 페이지의 Accept requests for 목록에서 This domain name (type below) 옵션을 선택합니다. Public name 란에 외부 사용자가 RPC over HTTP 웹 사이트를 액세스할 때 사용할 이름을 입력하십시오. 이 예에서 Outlook 2003 클라이언트 구성 시에 사용할 이름은 owa.msfirewall.org 입니다. 다시 한번 강조하면, 이 이름은 외부 사용자가 웹 사이트를 액세스 할 때 사용할 이름이며, 또한 웹 사이트 인증서 상의 공용 이름이기도 합니다. 다음을 클릭합니다.

8.     Select Web Listener 페이지에서 New 단추를 클릭합니다. ISA Server 2004의 웹 리스너는 ISA Server 2000의 웹 리스너와 유사하게 동작하기는 하지만 더 많은 옵션을 가지고 있습니다. 예를 들면, 같은 IP 주소 상에서 SSL 연결과 비 SSL 연결을 위해 별도의 웹 리스너를 생성할 수 있습니다. 또한 웹 리스너 설정이 더 이상 전역 변수가 아니므로 ISA Server 2004 방화벽의 외부 인터페이스에 바인딩 되는 주소의 수에 따라 각각의 리스너에 대해 서로 다른 설정을 구성할 수 있습니다.

9.     Welcome to the New Web Listener Wizard 페이지에서 Web listener name 란에 리스너의 이름을 입력합니다. 이 예에서 사용할 이름은 RPC SSL Listener입니다. 다음을 클릭합니다.

10.  IP addresses 페이지에서 External을 선택한 후 Address 단추를 클릭합니다.

11.  External Network Listener IP Selection 대화상자에서 Specified IP addresses on the ISA Server computer in the select network 옵션을 선택합니다. Available IP Addresses 목록에서 RPC over HTTP 사이트에 대한 요청을 감시할 ISA Server 2004 방화벽의 외부 IP 주소를 클릭하십시오. 이 예에서는 192.168.1.7를 선택한 후 Add를 클릭합니다. Selected IP Addresses 목록에 IP 주소가 나타나면 확인을 클릭합니다.

12.  IP Addresses 페이지에서 다음을 클릭합니다.

13.  Port Specification 페이지에서 Enable HTTP 항목의 선택을 해제하고 Enable SSL 항목을 선택합니다. SSL port 번호는 443을 유지하십시오. 이 리스너는 SSL 만을 사용하도록 구성하고, 비 SSL 연결을 위한 전용 리스너를 다른 설정으로 구성합니다.

14.  Select 단추를 클릭합니다. Select Certificate 대화상자에서 ISA Server 2004 방화벽의 인증서 저장소로 들여온 OWA 웹 사이트 인증서를 클릭한 후 확인을 클릭합니다. 이 인증서는 웹 사이트 인증서를 ISA Server 2004 방화벽 시스템의 인증서 저장소로 들여온 후에만 본 대화상자에 나타날 수 있음을 주지하십시오. 또한 이 인증서는 개인 키를 포함해야 합니다. 개인 키가 포함되지 않은 경우에는 인증서가 목록에 나타나지 않을 것입니다.

15.  Port Specification 페이지에서 다음을 클릭합니다.

16.  Completing the New Web Listener 페이지에서 마침을 클릭합니다.

17.  Select Web Listener 페이지에서 다음을 클릭합니다.

18.  User Sets 페이지에서, 기본 항목인 All Users를 수용한 후 다음을 클릭합니다. 그러나 이렇게 한다고 해서 모든 사용자가 Exchange 사이트를 액세스 할 수는 없음을 주지하십시오. 오로지 성공적으로 인증을 통과한 사용자만이 이 사이트를 액세스 할 수 있습니다. 

19.  Completing the New Mail Server Publishing Rule Wizard 페이지에서 마침을 클릭합니다.

20.  콘솔의 세부항목 창에 있는 Publish RPC/HTTP Web site 규칙을 오른쪽 클릭한 후 속성을 클릭합니다.

21.  Publish RPC/HTTP Web Site Properties 대화상자에서 Paths 탭을 클릭한 후 Paths 탭에서 Add 단추를 클릭합니다.

22.  Path mapping 대화상자의 Specify the folder on the Web site that you want to publish. To publish the entire Web site, leave this field blank. 란에 /rpc/*를 입력합니다. 확인을 클릭합니다.

23.  이제 새로운 경로가 Path mapping 대화상자에 표시됩니다.

24.  경로 목록에서 /exchange/* 경로 항목을 클릭합니다. SHIFT 키를 누른 채로 /exchweb/* 그리고 /public/* 경로를 차례로 클릭한 후 Remove를 클릭합니다.

25.  적용을 클릭한 후 확인을 클릭합니다.

26.  적용을 클릭하여 변경 사항을 저장하고 방화벽 정책을 갱신합니다.

27.  Apply New Configuration 대화상자에서 확인을 클릭합니다.

RPC 액세스 규칙의 생성

ISA Server 2004 방화벽과 내부 네트워크에 있는 Exchange 서버 사이의 RPC over HTTP 통신을 지원하기 위해서는 액세스 규칙을 생성해야 합니다. 이 규칙은 로컬 호스트 네트워크 에서 TCP 포트 6001, 6004 및 1600을 통한 아웃바운드 액세스를 허용할 것입니다. 앞에 명시한 포트가 모두 필요한 것은 아니라는 사실을 주지하십시오. 필요한 포트는 배치 구성에 따라 다릅니다.

액세스 규칙을 생성하기 위해서는 다음 절차를 수행합니다:

1.     Microsoft Internet Security and Acceleration Server 2004 관리 콘솔에서 서버 이름을 확장하고 Firewall Policy 노드를 클릭합니다.

2.     Firewall Policy 노드에서 작업 창에 있는 Tasks 탭을 클릭한 후 작업 창에서 Create New Access Rule 링크를 클릭합니다.

3.     Welcome to the New Access Rule Wizard 페이지의 Access Rule name 란에 Local Host to Exchange를 입력한 후 다음을 클릭합니다.

4.     Rule Action 페이지에서, Allow 옵션을 클릭합니다.

5.     Protocols 페이지의 This rule applies to 목록에서 Selected protocols 항목을 선택한 후 Add를 클릭합니다.

6.     Add Protocols 대화상자에서 New 메뉴를 클릭한 후 Protocol을 클릭합니다.

7.     Welcome to New Protocol Wizard 대화상자의 Protocol Definition name 란에 TCP 6001을 입력한 후 다음을 클릭합니다.

8.     Primary Connection Information 페이지에서 New를 클릭합니다.

9.     New/Edit Protocol Connection 대화상자의 Protocol type 항목에서 TCP를 선택한 후 Direction 항목에서 Outbound를 선택합니다. Port range 프레임에서 From 및 To 난을 6001로 설정한 후 확인을 클릭합니다.

10.  Primary Connection Information 페이지에서 다음을 클릭합니다.

11.  Secondary Connections 페이지에서 No 옵션을 선택한 후 다음을 클릭합니다.

12.  Completing the New Protocol Definition Wizard 페이지에서 마침을 클릭합니다.

13.  Add Protocols 대화상자에서 New 메뉴를 클릭한 후 Protocol을 클릭합니다.

14.  Welcome to New Protocol Wizard 대화상자의 Protocol Definition name 란에 TCP 6004를 입력한 후 다음을 클릭합니다.

15.  Primary Connection Information 페이지에서 New를 클릭합니다.

16.  New/Edit Protocol Connection 대화상자의 Protocol type 항목에서 TCP를 선택한 후 Direction 항목에서 Outbound를 선택합니다. Port range 프레임에서 From 및 To 난을 6004로 설정한 후 확인을 클릭합니다.

17.  Primary Connection Information 페이지에서 다음을 클릭합니다.

18.  Secondary Connections에서 No 옵션을 선택한 후 다음을 클릭합니다.

19.  Completing the New Protocol Definition Wizard 페이지에서 마침을 클릭합니다.

20.  Add Protocols 대화상자에서 New 메뉴를 클릭한 후 Protocol을 클릭합니다.

21.  Welcome to New Protocol Wizard 대화상자의 Protocol Definition name 란에 TCP 1600을 입력한 후 다음을 클릭합니다.

22.  Primary Connection Information 페이지에서 New를 클릭합니다.

23.  New/Edit Protocol Connection 대화상자의 Protocol type 항목에서 TCP를 선택한 후 Direction 항목에서 Outbound를 선택합니다. Port range 프레임에서 From 및 To 난을 1600으로 설정한 후 확인을 클릭합니다.

24.  Primary Connection Information 페이지에서 다음을 클릭합니다.

25.  Secondary Connections 에서 No 옵션을 선택한 후 다음을 클릭합니다.

26.  Completing the New Protocol Definition Wizard 페이지에서 마침을 클릭합니다.

27.  Add Protocols 대화상자에서 User-Defined 폴더를 클릭한 후 TCP 1600, TCP 6001 및 TCP 6004 프로토콜을 더블 클릭합니다. Add Protocols 대화상자에서 닫기를 클릭합니다.

28.  Access Rule Sources 페이지에서 Add를 클릭합니다.

29.  Add Network Entities 대화상자에서 Networks 폴더를 클릭한 후 Local Host 항목을 더블 클릭합니다. 닫기를 클릭합니다.

30.  Access Rule Sources 페이지에서 다음을 클릭합니다.

31.  Access Rule Destinations 페이지에서 Add를 클릭합니다.

32.  Add Network Entities 대화상자에서 New 메뉴를 클릭한 후 Computer를 클릭합니다.

33.  New Computer Element 대화상자의 Name 란에 Exchange Server를 입력합니다. Computer IP Address 란에 10.0.0.2를 입력한 후 확인을 클릭합니다.

34.  Add Network Entities 대화상자에서 Computers 폴더를 클릭합니다. Exchange Server 항목을 더블 클릭한 후 닫기를 클릭합니다.

35.  Access Rule Destinations 페이지에서 다음을 클릭합니다.

36.  User Sets 페이지에서 다음을 클릭합니다.

37.  Completing the New Access Rule Wizard 페이지에서 마침을 클릭합니다.

 

OWA 및 RPC over HTTP 웹 사이트 이름의 해석을 위한 공용 DNS의 구성

DNS 호스트 이름의 정확한 해석은 원격 액세스 솔루션의 설계에 있어 매우 중요합니다. 이상적인 DNS 구성은 내부 및 외부 네트워크 사이를 이동하는 사용자가 현재 어느 위치에 있던 간에 호스트 이름을 정확한 주소로 해석할 수 있어야 합니다.

가장 이상적인 것은 DNS 구성을 분리하는 것입니다. 분리된 DNS 인프라는 두 개의 분리된 영역으로 구성됩니다:

·         내부 네트워크 호스트만이 사용하는 내부 영역

·         외부 네트워크 호스트만이 사용하는 외부 영역

내부 네트워크 상에 있는 이름을 해석하고자 하는 내부 네트워크 호스트는 내부 네트워크 영역에 질의하여 연결하고자 하는 호스트의 내부 네트워크 IP 주소를 받습니다. 한편, 외부 네트워크 호스트는 외부 네트워크 영역에 질의하여 연결하고자 하는 서버의 공용 IP 주소를 받습니다. 이 경우 내부 및 외부 호스트 모두에게 있어 대상 시스템은 동일하지만, 단지 다른 경로를 통해 도달하게 됩니다.

예를 들어, Exchange 서버가 속한 내부 도메인이 domain.com이고 ISA Server 2000을 사용하여 OWA 사이트를 인터넷으로 게시한다고 가정해 보겠습니다. 또한, ISA Server는 OWA 및 RPC over HTTP 웹 사이트에 대한 요청을 감시하기 위해 IP 주소 131.107.0.1을 사용하고 내부 네트워크에 있는 Exchange 서버의 IP 주소는 10.0.0.3입니다.

목표는 위치에 상관 없이 모든 호스트가 FQDN owa.domain.com을 사용하여 Exchange 서버에 액세스 하는 것입니다. 내부 네트워크의 호스트는 IP 주소 10.0.0.3을 통해 OWA 사이트에 직접 연결하고 인터넷에서 접속하는 외부 호스트는 IP 주소 131.107.0.1을 통해 OWA 및 RPC over HTTP 웹 사이트에 액세스 하도록 합니다.

위 상황에 대한 답은 domain.com 도메인에 대한 공용 서비스를 제공할 수 있는 DNS 서버에 항목을 생성하는 것입니다. DNS 서비스는 호스팅 하거나 직접 구축할 수 있습니다. 두 가지 모두의 경우 공용으로 액세스 할 수 있는 DNS 서버이므로 domain.com 도메인에 사용자들이 액세스 할 때 사용할 공용 주소를 포함할 것입니다. Exchange 서버를 게시하는 경우에는 owa.domain.com를 위한 호스트 (A) 레코드를 생성하여 IP 주소 131.107.0.1에 매핑시킵니다.

다음에는 ISA Server 2004 방화벽 뒤의 내부 네트워크 상에 두 번째 DNS 서버를 구성해야 합니다. 내부 네트워크 DNS 서버 또한 domain.com 도메인을 위한 영역을 가집니다. 내부 네트워크 DNS 서버의 domain.com 영역에 owa.domain.com을 위한 호스트 (A) 레코드를 생성합니다. 이전 구성과의 차이는 매핑 대상이 10.0.0.3이라는 것입니다.

외부 네트워크 호스트에 할당되는 DNS 서버는 이름을 공용 주소로 해석합니다. 이러한 외부 호스트들이 어떠한 DNS 서버를 할당 받을지는 위치에 달려 있습니다. 일반적으로 원격 호스트가 할당 받을 DNS 서버의 주소는 통제할 수 없지만, 이것이 문제가 되지는 않습니다. 당신의 domain.com 도메인과 공용 DNS 서버가 인터넷에 등록되면 모든 외부 호스트가 당신의 공용 주소를 정확하게 해석할 것입니다.

내부 네트워크 호스트도 DHCP를 통해 DNS 서버 주소를 할당 받을 수 있습니다. 원격지의 호스트가 내부 네트워크로 이동하는 경우에는 DHCP로부터 DNS 서버 주소를 포함하여 새로운 IP 주소를 받게 될 것입니다. 이 경우에는 내부 DNS 서버의 IP 주소를 받아 프런트-엔드 Exchange 서버와 관련된 이름을 내부 네트워크 주소로 해석하게 될 것입니다.

웹 등록 사이트의 게시

Outlook 2003 클라이언트는 RPC over HTTP 웹 사이트에 대한 웹 사이트 인증서를 발행한 엔터프라이즈 CA의 CA 인증서를 필요로 합니다. Outlook 클라이언트는 이를 통해 연결 시 요구되는 웹 사이트를 신뢰할 수 있습니다. Outlook 2003은 로컬 컴퓨터가 웹 사이트 인증서를 발행한 CA를 신뢰하지 않을 경우 사용자에게 진행 여부를 선택할 방법을 제공하지 않습니다.

엔터프라이즈 CA의 웹 등록 사이트를 게시하려면 다음 절차를 수행합니다:

1.     Microsoft Internet Security and Acceleration Server 2004 관리 콘솔에서 서버 이름을 확장하고 Firewall Policy 노드를 클릭합니다.

2.     작업 창에서 Tasks 탭을 클릭합니다. Tasks 탭에서 Publish a Web Server 링크를 클릭합니다.

 

3.     Welcome to the New Web Publishing Rule Wizard 페이지에서 웹 게시 규칙의 이름을 입력합니다. 이 예제에서는 Web publishing rule name란에 Publish Web Enrollment Site를 입력합니다. 다음을 클릭합니다.

4.     Select Rule Action 페이지에서 Allow 옵션을 선택합니다.

5.     Define Website to Publish 페이지에서 Computer name or IP address 란에 엔터프라이즈 CA 웹 사이트의 IP 주소를 입력합니다. 이 예의 경우 입력할 IP 주소는 10.0.0.2입니다. Path 란에 /certsrv/*를 입력한 후 다음을 클릭합니다.

6.     Public Name Details 페이지의 Accept request for 항목에서 This domain name (type below) 옵션을 선택합니다. Public name 란에 방화벽의 외부 인터페이스 IP 주소를 입력합니다. 이 예의 경우 입력할 본사 ISA Server 2004 방화벽의 외부 주소는 192.168.1.70입니다. Path (optional) 란에 /certsrv/*를 입력한 후 다음을 클릭합니다.

7.     Select Web Listener 페이지에서 New 단추를 클릭합니다.

8.     Welcome to the New Web Listener 페이지에서 Web listener name 란에 규칙의 이름을 입력합니다. 이 예에서는 리스너가 감시할 IP 주소를 나타내기 위해 Listener70을 입력합니다. 다음을 클릭합니다.

9.     IP addresses 페이지에서 External을 선택한 후 다음을 클릭합니다.

10.  Port Specification 페이지에서는 기본 값을 수용합니다. Enable HTTP가 선택되어 있는지, 그리고 HTTP port 란의 값이 80인지 확인한 후 다음을 클릭합니다.

11.  Completing the New Web Listener Wizard 페이지에서 마침을 클릭합니다.

12.  Select Web Listener 페이지에서 다음을 클릭합니다.

13.  User Sets 페이지에서 기본 설정인 All Users를 수용한 후 다음을 클릭합니다.

14.  Completing the New Web Publishing Rule Wizard 페이지에서 마침을 클릭합니다.

15.  Publish Web Enrollment Site 규칙을 오른쪽 클릭한 후 속성을 클릭합니다.

16.  Publish Web Enrollment Site Properties 대화상자에서Paths 탭을 클릭합니다.

17.  Paths 탭에서 Add를 클릭합니다.

18.  Path mapping 대화상자에서, Path 란에 / CertControl/*를 입력합니다. Same as published folder 옵션이 선택되었는지 확인한 후 확인을 클릭합니다.

19.  Web Enrollment Site Properties 대화상자에서 적용을 클릭한 후 확인을 클릭합니다.

20.  적용을 클릭하여 변경 사항을 저장하고 방화벽 정책을 갱신합니다.

21.  Apply New Configuration 대화상자에서 확인을 클릭합니다.

Outlook RPC over HTTP 클라이언트 시스템에 엔터프라이즈 CA 인증서 설치하기

이제 우리는 내부 네트워크 상의 엔터프라이즈 CA로부터 CA 인증서를 받아야 합니다. CA 인증서는 웹 등록 사이트에 연결해서 받을 수 있습니다. CA 인증서를 받고 이를 Outlook Express가 설치된 클라이언트 컴퓨터에 설치하려면 다음 절차를 수행합니다:

1.     Outlook Express 전자 메일 클라이언트 컴퓨터에서 주소 창에 http://192.168.1.70/certsrv 를 입력한 후 ENTER를 입력합니다.

2.     Connect to 대화상자에서, User name에 Administrator를 입력한 후 Administrator의 암호를 Password에 입력합니다. 확인을 클릭합니다. 확인을 클릭합니다.

3.     Microsoft Certificate Services 사이트의 Welcome 페이지에서 Download a CA certificate, certificate chain, or CRL 링크를 클릭합니다.

4.     Download a CA Certificate, Certificate Chain, or CRL 페이지에서 Install this CA certificate chain 링크를 클릭합니다.

5.     Microsoft Certificate Enrollment Control의 설치 여부를 묻는 보안 경고 대화상자에서 예를 클릭합니다.

6.     웹 사이트가 시스템에 인증서를 추가할 것임을 알려주는 Potential Scripting Violation 대화상자에서 예를 클릭합니다.

7.     CA 인증서의 추가 여부를 묻는 Root Certificate Store 대화상자에서 예를 클릭합니다.

8.     CA Certificate Installation페이지에서 CA 인증서가 성공적으로 설치 되었음을 확인하고 브라우저를 닫습니다.

RPC over HTTP 클라이언트 시스템 상에 HOSTS 파일 항목 생성하기

RPC over HTTP 클라이언트 시스템은 Exchange 서버의 이름을 서버의 웹 사이트 인증서에 있는 이름 및 Exchange 서버 시스템 이름으로 해석할 수 있어야 합니다. 우리가 OWA 서버의 웹 사이트 인증서에 할당한 이름은 owa.msfirewall.org입니다. Outlook RPC over HTTP 클라이언트 시스템은 이 이름을 Exchange 서버에 대한 요청을 감시하는 ISA Server 2004 방화벽의 외부 인터페이스 IP 주소로 해석할 수 있어야 합니다. 본 예제의 경우 이 주소는 192.168.1.70입니다.

실제 서비스 환경에서는 내부 및 외부 네트워크의 클라이언트들이 이름을 정확하게 해석할 수 있도록 별도의 DNS 인프라를 구성해야 합니다. 이 예제에서는 별도의 DNS 인프라를 구성하지 않았으므로, HOSTS 파일을 사용하여 owa.msfirewall.org를 정확한 IP 주소로 해석할 수 있도록 합니다.

전자 메일 클라이언트 시스템 상에 HOSTS 파일 항목을 생성하려면 다음 절차를 수행합니다:

1.     시작을 오른쪽 클릭한 후 탐색을 클릭합니다.

2.     <system_root>\system32\drivers\etc 디렉터리로 이동한 후 메모장으로 hosts 파일을 엽니다.

3.     HOSTS 파일의 localhost 항목 밑에 다음 항목을 입력합니다:

192.168.1.70     owa.msfirewall.org

192.168.1.70     exchange2003be.msfirewall.org

항목을 입력한 후 반드시 ENTER를 입력하여 새로 입력한 항목 아래에 공백 행이 있도록 하십시오. 그렇지 않으면 입력한 항목이 인식되지 않습니다.

HOSTS 파일을 닫고 변경 사항을 저장합니다

Outlook 2003 클라이언트가 HTTP를 통해 Exchange 서버에 연결하도록 구성

이제 Outlook 2003 RPC over HTTP 연결을 테스트할 준비가 되었습니다. 첫 단계는 Outlook 2003 프로필을 생성하는 것입니다. 프로필을 완성한 이후에는 안전한 RPC over HTTP 프로토콜을 통해 Exchange 서버에 연결할 수 있습니다.

프로필 생성을 위해서는 다음 절차를 수행합니다:

1.     시작을 클릭한 후 전자 메일 Microsoft Office Outlook을 오른쪽 클릭합니다. 속성을 클릭합니다.

2.     메일 설정 – Admin 대화상자에서 프로필 보기 단추를 클릭합니다.

3.     메일 대화상자에서 추가 단추를 클릭합니다.

4.     새 프로필 대화상자에서 Admin을 입력한 후 확인을 클릭합니다.

5.     전자 메일 계정 페이지에서 새 전자 메일 계정 추가 옵션을 선택한 후 다음을 클릭합니다.

6.     서버 유형 페이지에서 Microsoft Exchange Server 옵션을 선택한 후 다음을 클릭합니다.

7.     Exchange 서버 설정 페이지의 Microsoft Exchange Server 란에 exchangebe2003. msfirewall.org를 입력한 후 캐시된 Exchange 모드 사용 항목을 선택합니다. 사용자 이름 란에 Administrator를 입력한 후 기타 설정 단추를 클릭합니다. RPC over HTTP 설정 구성을 마칠 때까지는 Outlook이 Exchange 서버에 접속할 수 없으므로 약간의 지연이 발생할 것입니다.

8.     Exchange 서버에 연결할 수 없음을 알리는 Microsoft Office Outlook 대화상자에서 확인을 클릭합니다.

9.     이름을 다시 확인할 것을 요청하는 Microsoft Exchange Server 대화상자에서 취소를 클릭합니다.

10.  앞의 대화상자가 닫힌 후 나타나는 Microsoft Exchange Server 대화상자에서 Connection 탭을 클릭합니다.

11.  Connection 탭에서 Connect to my Exchange mailbox using HTTP 항목을 선택한 후 Exchange Proxy Settings 단추를 클릭합니다.

12.  Exchange Proxy Settings 대화상자의 Use this URL to connect to my proxy server for Exchange 란에 owa.msfirewall.org를 입력합니다.

Mutually authenticate the session when connecting with SSL 항목을 선택한 후 Principle name for proxy server 란에 msstd:owa.msfirewall.org를 입력합니다.

fast networks 및 slow networks에 연결하기 위한 항목 모두를 선택합니다.

Use this authentication when connecting to my proxy server for Exchange 목록에서 Basic Authentication 옵션을 선택합니다.

확인을 클릭합니다.

13.  Microsoft Exchange Server 대화상자에서 적용을 클릭한 후 확인을 클릭합니다.

14.  Exchange Server Settings 페이지에서 다음을 클릭합니다.

15.  Congratulations! 페이지에서 마침을 클릭합니다.

16.  Mail 대화상자에서 적용을 클릭한 후 확인을 클릭합니다.

프로필 설정을 마친 후에는 연결을 시도할 수 있습니다:

1.     시작을 클릭한 후 E-mail Microsoft Office Outlook을 클릭합니다.

2.     Choose Profile 대화상자에서 확인을 클릭합니다.

3.     Connect to… 대화상자에서 Administrator의 사용자 이름과 Administrator의 암호를 입력합니다. 확인을 클릭합니다.

4.     잠시 후 사용자의 사서함이 표시됩니다.

5.     CTRL 키를 누른 상태에서 알림 영역의 Outlook 아이콘을 오른쪽 클릭한 후 Connection Status 명령을 클릭하면 RPC over HTTP 연결의 연결 상태를 확인할 수 있습니다.

6.     Conn 칼럼의 HTTPS 항목이 현재 RPC over HTTP 연결을 사용중임을 나타냅니다.

결론

본 Exchange Server 보호를 위한 ISA Server 구축 가이드 문서에서는 마이크로소프트 Exchange RPC over HTTP 웹 사이트를 안전하게 게시하는데 필요한 절차와 RPC over HTTP 웹 클라이언트를 안전하게 연결할 수 있도록 구성하는 방법을 설명했습니다. 또한 분리된 DNS 인프라를 가지는 경우의 문제에 대해 검토하고 분리된 DNS 인프라가 내부 및 외부 네트워크를 오가는 RPC over HTTP 클라이언트를 어떻게 지원할 수 있는지도 살펴보았습니다. 다음 문서에서는 백-투-백 ISA Server 2004 방화벽 환경에서 마이크로소프트 Exchange OWA 웹 사이트를 안전하게 게시하는 방법을 설명할 것입니다.