EAC를 사용하여 다중 포리스트 Exchange 배포 관리

  • Article

최초 문서 게시일: 2012년 8월 31일 금요일

새롭게 제공되는 EAC(Exchange 관리 센터)에 대해 소개하는 지난 문서에 이어, 이번 게시물에서는 EAC를 통해 다중 포리스트 Exchange 배포를 쉽게 관리하는 방법을 설명하겠습니다.

크로스 포리스트 토폴로지에서 Exchange 2010 배포에 설명되어 있듯이, Exchange Server 2010은 크로스 포리스트 또는 리소스 포리스트 토폴로지에서 배포할 수 있습니다. 이 문서에서는 동일한 방식을 통해 새로운 Exchange가 포함된 리소스 포리스트 토폴로지를 배포합니다.

먼저 아래와 같이 리소스 포리스트 환경을 설정합니다. 여기서는 포리스트 B가 포리스트 A를 신뢰하도록 단방향 포리스트 신뢰 설정을 사용합니다.

이미지
그림 1: 리소스 포리스트 Exchange 토폴로지의 레이아웃

포리스트 A(Forest A)는 모든 사용자 계정이 프로비전되는 계정 포리스트로, Exchange 서버는 설치되어 있지 않습니다. 포리스트 B(Forest B)는 리소스 포리스트이며 Exchange Server 2013이 설치되어 있고 포리스트 A(Forest A)의 각 사용자 계정에 연결된 사서함이 있습니다. 포리스트 B(Forest B)에는 프로비전된 사용자 계정이 없습니다.

랩 환경에서는 John Doe라는 사용자가 포리스트 A에 설정되어 있습니다. 이 John Doe를 Exchange 관리자로 지정하려고 합니다. 이렇게 하려면 John에 대해 Exchange 리소스 포리스트에서 적절한 RBAC(역할 기반 액세스 제어) 권한이 설정되어 있는지 확인해야 합니다. 여기서는 멀티 포리스트 환경을 사용하므로 두 가지 방법으로 RBAC를 구성할 수 있습니다. 이 게시물에서는 두 가지 방법을 모두 설명합니다.

  1. 연결된 사서함 사용
  2. 연결된 역할 그룹 사용

계정 포리스트에 사용자가 이미 설정되어 있을 수 있습니다. 이러한 사용자를 연결된 사서함으로 구성하면 Exchange 리소스 포리스트에서 해당 사용자의 현재 상태가 설정됩니다. 이와 같은 연결된 사서함을 기존 RBAC 역할 그룹에 추가하면 연결된 사용자가 Exchange 관리자로 지정됩니다.

연결된 사서함 사용

아래 그림에서는 계정 포리스트에 John Doe의 사용자 계정이 설정되어 있습니다. Exchange 관리자는 EAC를 통해 아래에 나와 있는 것처럼 자신의 연결된 사서함을 만들 수 있습니다.

이미지
그림 2: John Doe가 연결된 사서함으로 설정됨

그런 다음 John의 사서함을 기본 제공 RBAC 관리 역할 그룹에 추가하여 John을 Exchange 관리자로 지정할 수 있습니다. 아래 스크린샷에서는 John이 기본 제공 조직 관리 역할 그룹 구성원으로 지정되었습니다.

이미지
그림 3: John Doe가 조직 관리 역할 그룹 구성원으로 추가됨

이제 John으로 EAC에 로그인해 보겠습니다. 아래에서 보시다시피 John에게는 Exchange 관리 권한이 있습니다.

이미지
그림 4: 연결된 사서함으로 구성되었으며 조직 관리 역할 그룹 구성원인 John Doe로 EAC에 로그인

연결된 역할 그룹 사용

연결된 역할 그룹은 기본적으로 역할 그룹이지만 포리스트 경계를 넘어 USG(유니버설 보안 그룹)를 통해 연결됩니다. 따라서 이 USG의 구성원은 연결된 역할 그룹 구성원이 됩니다. 즉, John Doe는 이러한 USG의 구성원인 경우 자동으로 연결된 역할 그룹을 통해 Exchange 리소스 포리스트에서 모든 RBAC 권한을 받게 됩니다. 그러므로 연결된 역할 그룹을 사용하면 단일 계정 포리스트에 포함된 소수의 USG 집합을 통해 여러 개의 복잡한 Exchange 포리스트 토폴로지를 관리할 수 있습니다.

위의 설명을 쉽게 이해할 수 있도록 다음과 같은 작업을 수행합니다.

  1. 계정 포리스트에서 ADUC(Active Directory 사용자 및 컴퓨터) 관리 도구를 사용하여 AdminSG라는 USG를 만듭니다. AdminSG는 Exchange 관리자 그룹을 나타냅니다. 그런 후에 John Doe를 AdminSG의 구성원으로 지정합니다.
  2. 리소스 포리스트에서 다음과 같은 Exchange 관리 셸 호출을 사용하여 AdminSG에 매핑된 기본 제공 역할 그룹인 "조직 관리"를 기준으로 연결된 역할 그룹 하나를 설정합니다.

$accountForestCredential = Get-Credential

$OrgMgmt = Get-RoleGroup "Organization Management"

New-RoleGroup "Organization Management - Linked" -LinkedForeignGroup "AdminSG" -LinkedDomainController bjex062.extest.microsoft.com -LinkedCredential $accountForestCredential -Roles $OrgMgmt.Roles

Get-ManagementRoleAssignment -RoleAssignee "Organization Management - Linked" -Role My* | Remove-ManagementRoleAssignment

Get-ManagementRole | New-ManagementRoleAssignment -SecurityGroup "Organization Management - Linked" -Delegating

위의 단계를 수행하면 John Doe는 자신의 사용자 계정이 계정 포리스트에 있더라도 Exchange 리소스 포리스트에서 모든 RBAC 권한을 소유하게 됩니다.

다음으로 EAC에 John Doe로 로그인합니다. 임의의 데스크톱에서 EAC를 실행하고 리소스 포리스트의 CAS 서버를 가리킨 다음 로그인합니다. John은 조직 관리 RBAC 역할 그룹에 정의된 표준 RBAC 권한을 가지고 있으며 그에 따라 리소스 포리스트에서 Exchange를 관리할 수 있습니다 .

이미지
그림 5: 연결된 조직 관리 역할 그룹을 통해 John Doe로 EAC에 로그인

EAC 활용

위에서 설명한 것처럼 EAC에서는 다중 포리스트 Exchange 배포를 쉽게 관리할 수 있습니다. 전용 관리 컴퓨터에 원격으로 연결하여 특정 Exchange 포리스트를 관리할 필요도 없고, 모든 Exchange 리소스 포리스트에 특수 관리 계정을 만들 필요도 없습니다. 모든 작업을 자신의 데스크톱에서 EAC를 통해 기존 사용자 자격 증명을 사용하여 수행할 수 있습니다.

EAC는 최신 Exchange 2013 Preview 다운로드에 포함되어 있으며 Office 365 Customer Preview(영문일 수 있음) 서비스를 통해서도 제공됩니다. 앞으로 몇 주간 EAC 관련 게시물을 계속 작성할 계획입니다. 새로운 EAC를 사용해 보시고 의견을 알려 주시기 바랍니다.

Exchange 관리 효율성 팀

이 문서는 번역된 블로그 게시물입니다. 원본 문서는 Using EAC to manage multi-forest Exchange deployments를 참조하십시오.