본문 바로가기

Golden City of El Dorado


Exchange Server/기술 자료 창고

Exchange 2007 대규모 Exchange 조직을 위한 계획

비즈니스 규모가 커지면 일반적으로 인프라도 함께 커집니다. 종종 이러한 성장으로 인해 작업 환경이 더욱 복잡해지고 새로운 보안 문제가 발생합니다. Microsoft Exchange Server 2007 의 4가지 정의된 조직 모델 중에서 대형 Exchange 조직은 단일 Active Directory 디렉터리 서비스 포리스트 환경에서 배포할 수 있는 가장 큰 조직 모델입니다. 대형 Exchange 조직의 주요 특징은 다음과 같습니다.

  • 5개 이상의 라우팅 그룹 또는 5개 이상의 Active Directory 사이트에 적어도 하나 이상의 Exchange 서버가 배포되어 있습니다. 여러 개의 위치 및 Active Directory 사이트로 인해 다중 사이트 라우팅 프로토콜과 역할 검색 알고리즘이 도입되고 IP 사이트 링크를 사용해야 합니다.

    참고:

    여러 개의 라우팅 그룹은 Exchange 2007 과 Exchange Server 2003 이나 Exchange 2000 Server 또는 이 두 가지를 모두 포함하는 대형 Exchange 조직에만 존재합니다. 순수한 Exchange 2007 환경에서는 모든 서버가 단일 라우팅 그룹에 속합니다.

  • 단일 Active Directory 포리스트. 두 번째 및 이후 포리스트를 도입하거나 Microsoft Identity Integration Server와 같은 디렉터리 동기화 도구를 도입하면 복잡한 Exchange 조직에 맞게 토폴로지가 다시 정의됩니다. 복잡한 Exchange 조직에 대한 자세한 내용은 복잡한 Exchange 조직을 위한 계획을 참조하십시오.
  • SDL(서비스 배달 위치) 및 CSL(클라이언트 서비스 위치)은 여러 물리적 위치에 존재하며 이 둘은 더욱 뚜렷하게 구분되는 경우가 많습니다.
  • 이러한 토폴로지에서 Exchange 조직에는 여러 존재 지점이 포함되지만, 외부 메시징 및 클라이언트 프로토콜과 관련된 네임스페이스는 거의 모든 위치에서 공통됩니다.

이러한 모든 특성을 포함하는 Exchange 조직은 대형 Exchange 조직으로 간주됩니다.

단일 및 다중 Active Directory 도메인

단일 도메인 토폴로지에는 모든 사용자 및 컴퓨터 개체에 대해 단일 Active Directory 도메인이 배포되는 모든 시나리오가 포함됩니다. 단일 도메인 모델에서는 공통되는 도메인 이름 접미사가 모든 컴퓨터 개체에 사용되며 도메인 이름 접미사는 Active Directory 에서 사용되는 도메인 네임스페이스와 일치합니다.

대형 Exchange 조직에는 여러 Active Directory 도메인이 포함되는 경우가 많습니다. Active Directory 포리스트 내에서는 다양한 도메인 구성이 가능합니다. 지리적 경계는 비즈니스 단위보다 변경될 가능성이 낮기 때문에 일반적으로 비즈니스 단위 경계보다 지리적 경계를 기반으로 하는 도메인 모델은 지속성과 유연성이 더 높습니다. 다중 도메인 환경의 필수 사항은 아니지만 가능하다면 지역을 기반으로 도메인을 배포하는 것이 좋습니다.

가장 중요한 다중 도메인 모델은 부모/자식 도메인 관계입니다. 이 모델에서 루트 또는 부모 도메인은 기본적으로 포리스트에 대한 네임스페이스를 제공하도록 배포됩니다. 이 모델의 또 다른 중요한 기능은 도메인의 확산 및 포리스트 확장을 방지하는 것입니다. 포리스트에 도메인을 추가하려면 루트 도메인에 대한 관리 액세스 권한이 필요하며 일반적으로 매우 적은 수의 인원만 루트 도메인에 대한 관리 액세스 권한을 갖습니다. 부모 도메인을 설치한 다음에는 하나 이상의 자식 도메인을 추가할 수 있습니다. 자식 도메인은 부모 도메인에 종속되는 도메인입니다. 일반적으로 자식 도메인에는 사용자 계정, 파일 서버 및 응용 프로그램 서버가 설치됩니다. 일반적인 Active Directory 토폴로지에서 도메인 네임스페이스는 연속적이며 배포된 도메인의 계층을 반영합니다. 예를 들어 루트 도메인의 이름이 fabrikam.com이면 자식 도메인 이름에는 us.fabrikam.com, eu.fabrikam.com 및 asia.fabrikam.com 등이 포함될 수 있습니다.

첫 번째 수준의 자식 도메인을 넘어서 추가 자식 계층을 배포할 수도 있습니다. 이러한 계층은 일반적으로 손자 도메인이라고 부릅니다. Exchange 환경을 단순화하기 위해서는 Exchange 를 호스팅하는 손자 도메인을 사용하지 않고 Exchange 서버 구성원을 자식 도메인으로만 제한하는 것이 좋습니다. 그렇다고 해서 사서함 사용이 가능한 사용자를 호스팅하는 데 있어서 손자 도메인을 사용할 수 없다는 의미는 아닙니다. 포리스트 내의 모든 도메인은 도메인 간의 전이적 트러스트 관계를 갖고 있으며 DNS(Domain Name System)가 포리스트 내의 모든 도메인에 대해 제대로 작동하는 한 이러한 사용자 및 서버 구성은 정상적으로 작동합니다.

참고:

손자 도메인을 사용하려면 올바른 작동을 위해 포리스트의 각 호스트에 대한 DNS 접미사 검색 순서를 추가로 구성해야 하는 경우도 있습니다.

다중 부모/자식 도메인 관계에 대한 구현은 모든 도메인을 단일 위치에서 배포하는 경우에 가장 간단합니다. 이러한 토폴로지는 일반적인 경우가 아니며 도메인 간의 관리 책임이 분산되는 경우가 많습니다. 다중 부모/자식 도메인 관계에 대한 보다 일반적인 배포 시나리오는 SDL 경계에 따라 도메인을 배포하는 경우입니다.

전용 Active Directory 사이트

단일 SDL 외부에서 Exchange 서버와 클라이언트가 고도로 밀집되어 있으면 디렉터리 서비스에 대한 수요가 상당히 늘어날 수 있습니다. Exchange 이외에도 디렉터리 서비스, 클라이언트 인증 또는 디렉터리 복제 등이 필요한 다른 응용 프로그램이 추가되어 Exchange 의 상태와 성능이 상당히 저하될 수 있습니다. 디렉터리 서비스에 대한 과도한 부하를 줄이기 위해 현재 취할 수 있는 최선의 방법은 전용 도메인 컨트롤러와 글로벌 카탈로그 서버를 사용하여 Exchange 서버를 호스팅할 수 있는 전용 Active Directory 사이트를 구축하는 것입니다. SDL을 여러 개의 Active Directory 사이트로 분할하면 Exchange 서버 및 Microsoft Outlook 클라이언트에 의해 발생한 디렉터리 트래픽을 다른 디렉터리 서비스 트래픽과 구분할 수 있습니다.

참고:

현재 Exchange 2007 은 64비트 디렉터리 서버에 대한 시스템 성능 및 특성 테스트를 비롯한 성능 및 확장성 테스트와 튜닝을 진행하고 있습니다. 이 테스트가 끝나면 현재의 최선의 방식을 검토하고 추가 정보를 제공할 예정입니다.

전용 Exchange Active Directory 사이트를 호스팅하는 위치에서는 두 개의 Active Directory 사이트 사이에 직접 IP 사이트 링크가 있고 SDL 간에 사서함 소유권을 분산할 경우 전용 Exchange Active Directory 사이트 대신 일반적인 클라이언트 인증에 사용되는 동일한 Active Directory 사이트에 외부 도메인 컨트롤러를 배치하는 것이 가능합니다.

대형 Exchange 조직의 예

대형 Exchange 조직은 다양한 형태로 구성될 수 있습니다. 하지만 대형 Exchange 조직은 일반적으로 공통된 특성을 갖습니다. 예를 들어 모든 사이트에 Exchange 를 배포하지 않더라도 Exchange 에서 지원되는 물리적 위치의 개수가 증가합니다. 또한 대형 Exchange 조직은 단일 메시징 및 클라이언트 프로토콜 네임스페이스를 유지 관리하면서도 여러 ISP(인터넷 서비스 공급자)를 사용하여 여러 경로로 인터넷에 연결하는 경우가 많습니다.

  • 그림 1에서는 대형 Exchange 조직의 한 예를 보여 줍니다.

그림 1   대형 Exchange 조직


대규모 Exchange 조직 토폴로지

대형 Exchange 조직을 계획할 때 고려해야 할 사항

  • 배포 계획 단계에서는 대형 Exchange 조직에 Exchange 2007 서버를 배포하기 전에 다음과 같은 사항을 고려하는 것이 좋습니다.
  • 다중 도메인 모델을 배포할 때는 Exchange 개체에서 보안 주체로 사용되는 모든 도메인이 여러 Exchange 리소스를 호스팅하는 위치에 효과적으로 연결될 수 있도록 도메인 컨트롤러를 배치해야 합니다. 이는 특히 Exchange 서버 통합 시나리오에서 중요합니다.
  • Exchange 에 대한 전용 Active Directory 사이트가 필요할 정도로 조직 규모가 커지면 주요 데이터 센터 위치에서 이 구성을 복제하는 것이 일반적입니다. 그러면 Exchange 가 없는 Active Directory 사이트 뿐만 아니라 토폴로지 검색에 있어서 고려해야 하는 추가 복제 링크가 발생합니다.
  • 도메인 경계가 지리적 경계가 아닌 비즈니스 단위 경계를 기반으로 할 경우에는 일반적으로 도메인 및 SDL 배포가 상당히 중첩될 수 있습니다. 이러한 상황이 발생하면 결과적으로 단일 Exchange 서버 또는 Exchange 서버 그룹이 공통된 SDL 외부의 여러 도메인 리소스를 호스팅하게 됩니다. 이러한 인프라 공유는 각 도메인, Outlook 클라이언트의 메일 그룹 관리, 글로벌 카탈로그 서버에 대한 클라이언트 참조 등을 위한 추가 인증 요구로 인해 해당하는 각 도메인에 대한 추가 도메인 컨트롤러와 디렉터리 리소스에 대한 요구가 증가합니다. Exchange 서버는 사서함 계정이 호스팅되는 도메인의 글로벌 카탈로그 서버를 포함하는 글로벌 카탈로그 서버 참조를 클라이언트에 전송하기 때문에 해당 도메인의 글로벌 카탈로그 서버 중 상당 부분을 클라이언트에서 사용할 수 있어야 합니다. 전용 Exchange Active Directory 사이트의 경우에는 Exchange 서버가 리소스를 호스팅하는 각 도메인의 도메인 컨트롤러가 Exchange Active Directory 사이트에 포함되어야 합니다.
  • 대형 Exchange 조직을 배포할 때 고려해야 하는 중요한 사항은 고가용성 배포 옵션을 제공하는 것입니다. Exchange 2007 에는 각 서버 역할에 고가용성을 제공하기 위해 사용할 수 있는 여러 가지 방법이 있습니다. Exchange 2007 의 고가용성 전략 및 기능에 대한 자세한 내용은 고가용성을 참조하십시오.