다음을 통해 공유


리소스 포리스트 토폴로지 배포

중요

중국의 21Vianet에서 운영하는 비즈니스용 Skype Online은 2023년 10월 1일에 사용 중지됩니다. 비즈니스용 Skype Online 사용자를 아직 업그레이드하지 않은 경우 보조 업그레이드가 자동으로 예약됩니다. 조직을 Teams로 직접 업그레이드하려면 지금 업그레이드 경로를 계획하는 것이 좋습니다. 성공적인 업그레이드는 기술 및 사용자 준비 상태를 조정하므로 Teams로의 여정을 탐색할 때 업그레이드 지침을 활용해야 합니다.

중국의 21Vianet에서 운영하는 서비스를 제외한 비즈니스용 Skype Online은 2021년 7월 31일에 사용 중지되었습니다.

다음 섹션에서는 리소스/사용자 포리스트 모델에 여러 포리스트가 있는 환경을 구성하여 하이브리드 시나리오의 기능을 제공하는 방법을 설명합니다.

하이브리드용 다중 포리스트 환경.

토폴로지 요구 사항

여러 사용자 포리스트가 지원됩니다. 다음 사항에 유의하세요.

  • 하이브리드 구성에서 지원되는 Lync Server 및 비즈니스용 Skype 서버 버전은 하이브리드 연결 계획을 참조하세요.

  • Exchange Server는 하나 이상의 포리스트에 배포할 수 있습니다. 이 포리스트에는 비즈니스용 Skype 서버가 포함된 포리스트가 포함될 수도 있고 포함되지 않을 수도 있습니다. 최신 누적 업데이트를 적용했는지 확인합니다.

  • 온-프레미스 및 온라인의 다양한 조합에 대한 지원 조건 및 제한 사항을 포함하여 Exchange Server와의 공존에 대한 자세한 내용은 비즈니스용 Skype 및 Exchange 통합 계획의기능 지원을 참조하세요.

사용자 호밍 고려 사항

온-프레미스에 있는 비즈니스용 Skype 사용자는 Exchange를 온-프레미스 또는 온라인 홈으로 사용할 수 있습니다. Teams 사용자는 최적의 환경을 위해 Exchange Online을 사용해야 합니다. 그러나 이 작업은 필요하지 않습니다. 두 경우 모두 비즈니스용 Skype를 구현하기 위해 온-프레미스 Exchange가 필요하지 않습니다.

포리스트 트러스트 구성

리소스 포리스트 토폴로지에서 비즈니스용 Skype 서버를 호스트하는 리소스 포리스트는 액세스하는 사용자의 계정이 포함된 각 계정 포리스트를 신뢰해야 합니다.

여러 사용자 포리스트가 있는 경우 포리스트 간 인증을 사용하도록 설정하려면 이러한 각 포리스트 트러스트에 대해 이름 접미사 라우팅을 사용하도록 설정하는 것이 중요합니다. 자세한 내용은 포리스트 트러스트 관리를 참조하세요.

Exchange Server가 다른 포리스트에 배포되어 있고 Exchange에서 비즈니스용 Skype 사용자를 위한 기능을 제공하는 경우 Exchange를 호스팅하는 포리스트는 비즈니스용 Skype 서버를 호스트하는 포리스트를 신뢰해야 합니다. 예를 들어 Exchange가 계정 포리스트에 배포된 경우 계정과 비즈니스용 Skype 포리스트 간에 양방향 트러스트가 필요합니다.

비즈니스용 Skype를 호스팅하는 포리스트에 계정 동기화

비즈니스용 Skype 서버가 하나의 포리스트(리소스 포리스트)에 배포되지만 하나 이상의 다른 포리스트(계정 포리스트)의 사용자에게 기능을 제공한다고 가정합니다. 이 경우 다른 포리스트의 사용자는 비즈니스용 Skype 서버가 배포된 포리스트에서 비활성화된 사용자 개체로 표시되어야 합니다.

Microsoft Identity Manager와 같은 ID 관리 제품을 사용하여 계정 포리스트의 사용자를 비즈니스용 Skype 서버가 배포된 포리스트로 프로비전하고 동기화해야 합니다. 사용자는 비즈니스용 Skype 서버를 호스트하는 포리스트에 비활성화된 사용자 개체로 동기화되어야 합니다. Microsoft Entra Connect는 Skype에서 사용하기 위해 연락처를 Microsoft Entra ID로 제대로 동기화하지 않으므로 사용자를 Active Directory 연락처 개체로 동기화할 수 없습니다.

다중 포리스트 구성에 관계없이 비즈니스용 Skype 서버를 호스팅하는 포리스트는 동일한 포리스트에 있는 모든 사용 가능한 사용자에 대한 기능을 제공할 수도 있습니다.

적절한 ID 동기화를 가져오려면 다음 특성을 동기화해야 합니다.

사용자 포리스트 리소스 포리스트
선택한 계정 링크 특성
선택한 계정 링크 특성
메일
메일
ProxyAddresses
ProxyAddresses
ObjectSID
msRTCSIP-OriginatorSID

선택한 계정 링크 특성이 원본 앵커로 사용됩니다. 사용하려는 다른 변경할 수 없는 특성이 있는 경우 이 작업을 수행할 수 있습니다. AD FS 클레임 규칙을 편집하고 Microsoft Entra Connect 구성 중에 특성을 선택하기만 하면 됩니다.

포리스트 간에 UPN을 동기화하지 마세요. 여러 포리스트에서 동일한 UPN을 사용할 수 없으므로 각 사용자 포리스트에 대해 고유한 UPN을 사용해야 합니다. 따라서 UPN을 동기화하거나 동기화하지 않는 두 가지 가능성이 있습니다.

  • 각 사용자 포리스트의 고유 UPN이 리소스 포리스트의 연결된 비활성화된 개체와 동기화되지 않은 경우 적어도 초기 로그인 시도(사용자가 암호를 저장하는 옵션을 선택했다고 가정)에 대해 SSO(Single Sign-On)가 끊어집니다. 비즈니스용 Skype 클라이언트에서는 SIP/UPN 값이 동일하다고 가정합니다. 이 시나리오의 SIP 주소는 user@company.com이지만 사용자 포리스트에서 사용하도록 설정된 개체의 UPN은 실제로 user@contoso.company.com이므로 초기 로그인 시도가 실패하고 사용자에게 자격 증명을 입력하라는 메시지가 표시됩니다. 올바른 UPN을 입력하면 사용자 포리스트의 도메인 컨트롤러에 대해 인증 요청이 완료되고 로그인에 성공합니다.

  • 각 사용자 포리스트의 고유 UPN이 리소스 포리스트의 연결된 비활성화된 개체와 동기화된 경우 AD FS 인증이 실패합니다. 일치하는 규칙은 리소스 포리스트의 개체에서 UPN을 찾습니다. 이 UPN은 사용하지 않도록 설정되었으며 인증에 사용할 수 없습니다.

Microsoft 365 조직 만들기

배포에 사용할 Microsoft 365 조직을 프로비전해야 합니다. 자세한 내용은 Microsoft 클라우드 제품에 대한 구독, 라이선스, 계정 및 테넌트 를 참조하세요.

Active Directory Federation Services 구성

테넌트가 있으면 각 사용자 포리스트에서 AD FS(Active Directory Federation Services)를 구성해야 합니다. 이 경우 각 포리스트에 대해 고유한 SIP 및 SMTP 주소와 UPN(사용자 계정 이름)이 있다고 가정합니다. AD FS는 선택 사항이며 여기에서 SSO(Single Sign-On)를 가져오는 데 사용됩니다. 암호 동기화가 있는 DirSync도 지원되며 AD FS 대신 사용할 수도 있습니다.

SIP/SMTP 및 UPN과 일치하는 배포만 테스트되었습니다. 일치하는 SIP/SMTP/UPN이 없으면 Exchange 통합 및 SSO와 같은 기능이 저하될 수 있습니다.

각 포리스트의 사용자에 대해 고유한 SIP/SMTP/UPN을 사용하지 않는 한 AD FS가 배포되는 위치에 관계없이 SSO 문제가 발생할 수 있습니다.

  • 각 사용자 포리스트에 배포된 AD FS 팜이 있는 리소스/사용자 포리스트 간의 단방향 또는 양방향 트러스트는 모든 사용자가 공통 SIP/SMTP 도메인을 공유하지만 각 사용자 포리스트에 대해 고유한 UPN을 공유합니다.

  • 리소스 포리스트에만 배포된 AD FS 팜이 있는 리소스/사용자 포리스트 간의 양방향 트러스트는 모든 사용자가 공통 SIP/SMTP 도메인을 공유하지만 각 사용자 포리스트에 대해 고유한 UPN을 공유합니다.

각 사용자 포리스트에 AD FS 팜을 배치하고 각 포리스트에 대해 고유한 SIP/SMTP/UPN을 사용하여 두 문제를 모두 해결합니다. 인증을 시도하는 동안 특정 사용자 포리스트의 계정만 검색되고 일치됩니다. 이렇게 하면 보다 원활한 인증 프로세스를 제공할 수 있습니다.

이 배포는 Windows Server 2012 R2 AD FS의 표준 배포이며 계속하기 전에 작동해야 합니다. 자세한 내용은 Microsoft 365용 AD FS 2012 R2를 설치하는 방법을 참조하세요.

배포된 후에는 이전에 선택한 원본 앵커와 일치하도록 클레임 규칙을 편집해야 합니다. AD FS MMC의 신뢰 당사자 트러스트에서 Microsoft 365 ID 플랫폼 또는 Microsoft Office 365 ID 플랫폼을 마우스 오른쪽 단추로 클릭한 다음 클레임 규칙 편집을 선택합니다. 첫 번째 규칙을 편집하고 ObjectSID를 employeeNumber로 변경합니다.

다중 포리스트 규칙 편집 화면.

Microsoft Entra Connect 구성

리소스 포리스트 토폴로지에서 리소스 포리스트와 계정 포리스트의 사용자 특성이 Microsoft Entra ID로 동기화되어야 합니다. Microsoft Entra Connect는 사용자 계정 및 비즈니스용 Skype가 포함된 포리스트를 사용하도록 설정한 모든 포리스트의 사용자 ID를 동기화하고 병합하는 것이 좋습니다. 자세한 내용은 비즈니스용 Skype 및 Teams용 Microsoft Entra Connect 구성을 참조하세요.

Microsoft Entra Connect는 계정과 리소스 포리스트 간의 온-프레미스 동기화를 제공하지 않습니다. 앞에서 설명한 대로 Microsoft Identity Manager 또는 유사한 제품을 사용하여 구성해야 합니다.

작업이 완료되고 Microsoft Entra Connect가 병합되면 메타버스에서 개체를 보면 다음과 유사한 항목이 표시됩니다.

다중 포리스트 메타버스 개체 화면.

녹색 강조 표시된 특성은 Microsoft 365에서 병합되었고, 노란색은 사용자 포리스트에서, 파란색은 리소스 포리스트에서 온 것입니다.

이 예제에서 Microsoft Entra Connect는 사용자 및 Microsoft 365의 리소스 포리스트 개체(이 경우 1101-이전에 선택한 employeeNumber)에서 sourceAnchor 및 cloudSourceAnchor를 식별했습니다. Microsoft Entra Connect는 이 개체를 위에 표시된 내용에 병합할 수 있었습니다.

자세한 내용은 온-프레미스 디렉터리를 Microsoft Entra ID와 통합을 참조하세요.

다음 경우를 제외하고 기본값을 사용하여 Microsoft Entra Connect를 설치해야 합니다.

  1. Single Sign-In - AD FS가 이미 배포되고 작동 중인 경우: 구성 안 됨을 선택합니다.

  2. 디렉터리 연결: 모든 도메인을 추가합니다.

  3. 온-프레미스 디렉터리에서 사용자 식별: 여러 디렉터리에 있는 사용자 ID를 선택하고 ObjectSIDmsExchangeMasterAccountSID 특성을 선택합니다.

  4. Microsoft Entra ID에서 사용자 식별: 원본 앵커: 좋은 sourceAnchor 특성 선택, 사용자 계정 이름 - userPrincipalName을 읽은 후 선택한 특성을 선택합니다.

  5. 선택적 기능: Exchange 하이브리드를 배포했는지 여부를 선택합니다.

    참고

    Exchange Online만 있는 경우 CNAME 리디렉션으로 인해 자동 검색 중에 OAuth 오류가 발생할 수 있습니다. 이 문제를 해결하려면 비즈니스용 Skype 서버 관리 셸에서 다음 cmdlet을 실행하여 Exchange 자동 검색 URL을 설정해야 합니다.

    Set-CsOAuthConfiguration -ExchangeAutoDiscoverURL https://autodiscover-s.outlook.com/autodiscover/autodiscover.svc 
    
  6. AD FS 팜: 기존 Windows Server 2012 R2 AD FS 팜 사용을 선택하고 AD FS 서버의 이름을 입력합니다.

  7. 마법사를 완료하고 필요한 유효성 검사를 수행합니다.

비즈니스용 Skype 서버에 대한 하이브리드 연결 구성

비즈니스용 Skype 하이브리드를 구성하기 위한 모범 사례를 따릅니다. 자세한 내용은 하이브리드 연결 계획하이브리드 연결 구성을 참조하세요.

Exchange Server에 대한 하이브리드 연결 구성

필요한 경우 Exchange 하이브리드를 구성하기 위한 모범 사례를 따릅니다. 자세한 내용은 Exchange Server 하이브리드 배포를 참조하세요.