SharePoint, Exchange 및 RDG로 애플리케이션 게시

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 콘텐츠는 웹 애플리케이션 프록시의 온-프레미스 버전에 적합합니다. 클라우드를 통해 온-프레미스 애플리케이션에 대한 보안 액세스를 사용하려면 Microsoft Entra 애플리케이션 프록시 콘텐츠를 참조하세요.

이 항목에서는 웹 응용 프로그램 프록시를 통해 SharePoint Server, Exchange Server 또는 RDP(원격 데스크톱 게이트웨이)를 게시하는 데 필요한 작업에 대해 설명합니다.

참고 항목

이 정보는 있는 그대로 제공됩니다. 원격 데스크톱 서비스는 Azure 앱 프록시를 사용하여 온-프레미스 애플리케이션에 대한 보안 원격 액세스를 지원하며 사용을 권장합니다.

SharePoint Server 게시

SharePoint 사이트가 클레임 기반 인증 또는 Windows 통합 인증을 사용하도록 구성된 경우 웹 애플리케이션 프록시를 통해 SharePoint 사이트를 게시할 수 있습니다. 사전 인증에 ADFS(Active Directory 페더레이션 서비스)를 사용하려면 마법사 중 하나를 사용하여 신뢰 당사자를 구성해야 합니다.

• SharePoint 사이트에서 클레임 기반 인증을 사용하는 경우에는 신뢰 당사자 트러스트 추가 마법사를 사용하여 애플리케이션에 대한 신뢰 당사자 트러스트를 구성해야 합니다.

• SharePoint 사이트에서 Windows 통합 인증을 사용하는 경우에는 비 클레임 기반 신뢰 당사자 트러스트 추가 마법사를 사용하여 애플리케이션에 대한 신뢰 당사자 트러스트를 구성해야 합니다. KDC를 구성한 경우 클레임 기반 웹 애플리케이션과 IWA를 사용할 수 있습니다.

  사용자가 Windows 통합 인증을 사용하여 인증할 수 있도록 하려면 웹 애플리케이션 프록시 서버가 도메인에 가입되어 있어야 합니다.

  Kerberos 제한 위임을 지원하도록 애플리케이션을 구성해야 합니다. 이 작업은 도메인 컨트롤러에서 모든 애플리케이션에 대해 수행할 수 있습니다. Windows Server 2012 R2 또는 Windows Server 2012에서 실행 중인 경우 백 엔드 서버에서 직접 애플리케이션을 구성할 수도 있습니다. 자세한 내용은 Kerberos 인증의 새로운 기능을 참조하세요. 또한 웹 애플리케이션 프록시 서버가 백 엔드 서버의 서비스 사용자 이름에 위임되도록 구성되었는지 확인해야 합니다. 통합 Windows 인증을 사용하여 애플리케이션을 게시하도록 웹 애플리케이션 프록시를 구성하는 방법에 대한 안내는 통합 Windows 인증을 사용하도록 사이트 구성하기를 참조하세요.

SharePoint 사이트가 AAM(대체 액세스 매핑) 또는 호스트 이름이 지정된 사이트 컬렉션 중 하나를 사용하여 구성된 경우 다른 외부 및 백 엔드 서버 URL을 사용하여 애플리케이션을 게시할 수 있습니다. 그러나 AAM 또는 호스트 이름이 지정된 사이트 컬렉션을 사용하여 SharePoint 사이트를 구성하지 않은 경우 동일한 외부 및 백 엔드 서버 URL을 사용해야 합니다.

Exchange Server 게시

다음 표에서는 웹 애플리케이션 프록시를 통해 게시할 수 있는 Exchange 서비스와 이러한 서비스에 지원되는 사전 인증에 대해 설명합니다.

Exchange 서비스	사전 인증	주의
Outlook Web App	- 클레임 기반 인증을 사용하는 AD FS - 통과 - 온-프레미스 Exchange 2013 SP1(서비스 팩 1)용 클레임 기반 인증을 사용하는 AD FS	자세한 내용은 Outlook Web App 및 EAC에서 AD FS 클레임 기반 인증 사용을 참조하세요.
Exchange 제어판	통과
외부에서 Outlook 사용	통과	올바로 작동하려면 외부에서 Outlook 사용에 대한 다음 추가 URL을 게시해야 합니다. - 자동 검색, EWS 및 OAB(Outlook 캐시 모드의 경우) URL. - Exchange Server의 외부 호스트 이름. 즉, 연결된 클라이언트에 대해 구성된 URL - Exchange Server의 내부 FQDN
Exchange ActiveSync	통과 HTTP 기본 권한 부여 프로토콜을 사용하는 AD FS
Exchange 웹 서비스	통과
Autodiscover	통과
오프라인 주소록	통과

Windows 통합 인증을 사용하여 Outlook Web App을 게시하는 경우에는 비 클레임 기반 신뢰 당사자 트러스트 추가 마법사를 사용하여 애플리케이션에 대한 신뢰 당사자 트러스트를 구성해야 합니다.

사용자가 Kerberos 제한 위임을 사용하여 인증할 수 있도록 하려면 웹 애플리케이션 프록시 서버가 도메인에 가입되어 있어야 합니다.

Kerberos 인증을 지원하도록 애플리케이션을 구성해야 합니다. 또한 웹 서비스가 실행 중인 계정에 서비스 계정 이름(SPN)을 등록해야 합니다. 도메인 컨트롤러 또는 백 엔드 서버에서 이 작업을 수행할 수 있습니다. 부하가 분산된 Exchange 환경에서는 대체 서비스 계정을 사용해야 합니다(부하가 분산된 클라이언트 액세스 서버에 대한 Kerberos 인증 구성하기 참조).

Windows Server 2012 R2 또는 Windows Server 2012에서 실행 중인 경우 백 엔드 서버에서 직접 애플리케이션을 구성할 수도 있습니다. 자세한 내용은 Kerberos 인증의 새로운 기능을 참조하세요. 또한 웹 애플리케이션 프록시 서버가 백 엔드 서버의 서비스 사용자 이름에 위임되도록 구성되었는지 확인해야 합니다.

웹 애플리케이션 프록시를 통해 원격 데스크톱 게이트웨이 게시

원격 액세스 게이트웨이에 대한 액세스를 제한하고 원격 액세스에 대한 사전 인증을 추가하려면 웹 애플리케이션 프록시를 통해 롤아웃할 수 있습니다. 이는 MFA를 포함한 RDG에 대한 풍부한 사전 인증을 확보할 수 있는 정말 좋은 방법입니다. 사전 인증 없이 게시하는 것도 옵션이며 시스템에 대한 단일 진입 지점을 제공합니다.

웹 애플리케이션 프록시 통과 인증을 사용하여 RDG에서 애플리케이션을 게시하는 방법

1. RD 웹 액세스(/rdweb) 및 RD 게이트웨이(rpc) 역할이 같은 서버에 있는지 또는 다른 서버에 있는지에 따라 설치 방법이 달라집니다.

2. RD 웹 액세스 및 RD 게이트웨이 역할이 동일한 RDG 서버에서 호스팅되는 경우 https://rdg.contoso.com/과(와) 같이 웹 애플리케이션 프록시에 루트 FQDN을 게시하기만 하면 됩니다.

   두 가상 디렉터리(예: https://rdg.contoso.com/rdweb/ 및 https://rdg.contoso.com/rpc/)를 개별적으로 게시할 수도 있습니다.

3. RD 웹 액세스와 RD 게이트웨이가 별도의 RDG 서버에서 호스팅되는 경우 두 가상 디렉터리를 개별적으로 게시해야 합니다. 동일하거나 다른 외부 FQDN(예: https://rdweb.contoso.com/rdweb/ 및 https://gateway.contoso.com/rpc/)을 사용할 수 있습니다.

4. 외부 및 내부 FQDN이 다른 경우 RDWeb 게시 규칙에서 요청 헤더 변환을 사용하지 않도록 설정해서는 안 됩니다. 이 작업은 웹 애플리케이션 프록시 서버에서 다음 PowerShell 스크립트를 실행하여 수행할 수 있지만 기본적으로 사용하도록 설정해야 합니다.

   Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$false
   

   참고 항목

   RemoteApp 및 데스크톱 연결 또는 iOS 원격 데스크톱 연결과 같은 리치 클라이언트를 지원해야 하는 경우 이러한 클라이언트는 사전 인증을 지원하지 않으므로 통과 인증을 사용하여 RDG를 게시해야 합니다.

웹 애플리케이션 프록시 사전 인증을 사용하여 RDG에서 애플리케이션을 게시하는 방법

1. RDG를 사용한 웹 애플리케이션 프록시 사전 인증은 Internet Explorer에서 얻은 사전 인증 쿠키를 원격 데스크톱 연결 클라이언트(mstsc.exe)로 전달하여 작동합니다. 그런 다음 원격 데스크톱 연결 클라이언트(mstsc.exe)에서 사용됩니다. 그러면 원격 데스크톱 연결 클라이언트에서 인증 증명으로 사용됩니다.

   다음 절차는 컬렉션 서버가 클라이언트로 전송되는 원격 앱 RDP 파일에 필요한 사용자 지정 RDP 속성을 포함하도록 지시합니다. 이는 클라이언트에게 사전 인증이 필요함을 알리고 사전 인증 서버 주소에 대한 쿠키를 원격 데스크톱 연결 클라이언트(mstsc.exe)에 전달하도록 합니다. 웹 애플리케이션 프록시 애플리케이션에서 HttpOnly 기능을 비활성화하면 원격 데스크톱 연결 클라이언트(mstsc.exe)가 브라우저를 통해 얻은 웹 애플리케이션 프록시 쿠키를 사용할 수 있습니다.

   RD 웹 액세스 서버에 대한 인증은 여전히 RD 웹 액세스 양식 로그온을 사용합니다. 이렇게 하면 RD 웹 액세스 로그온 양식이 클라이언트 측 자격 증명 저장소를 만들어 이후 원격 데스크톱 연결 클라이언트(mstsc.exe)에서 원격 앱을 시작할 때 사용할 수 있으므로 사용자 인증 프롬프트 수가 가장 적습니다.

2. 먼저 클레임 인식 앱을 게시하는 것처럼 AD FS에서 수동으로 신뢰 당사자 트러스트를 만듭니다. 즉 사전 인증을 적용하기 위해 더미 신뢰 당사자 트러스트를 만들어야 게시된 서버에 대한 Kerberos 제한 위임 없이 사전 인증을 받을 수 있습니다. 사용자가 인증을 받으면 다른 모든 항목은 통과됩니다.

   Warning

   위임을 사용하는 것이 바람직해 보일 수 있지만 mstsc SSO 요구 사항을 완전히 해결하지 못하며 클라이언트가 RD 게이트웨이 인증 자체를 처리할 것으로 기대하기 때문에 /rpc 디렉터리로 위임할 때 문제가 있습니다.

3. 수동 신뢰 당사자 트러스트를 만들려면 ADFS 관리 콘솔의 단계를 수행합니다.

   1. 신뢰 당사자 트러스트 추가 마법사 사용

   2. 신뢰 당사자에 대한 데이터를 수동으로 입력을 선택합니다.

   3. 기본 설정을 모두 적용합니다.

   4. 신뢰 당사자 트러스트 식별자에 RDG 액세스에 사용할 외부 FQDN을 입력합니다(예: https://rdg.contoso.com/).

      웹 애플리케이션 프록시에서 앱을 게시할 때 사용할 신뢰 당사자 트러스트입니다.

4. 웹 애플리케이션 프록시 사이트의 루트(예: https://rdg.contoso.com/)를 게시합니다. 사전 인증을 AD FS로 설정하고 위에서 만든 신뢰 당사자 트러스트를 사용합니다. 이렇게 하면 /rdweb과 /rpc가 동일한 웹 애플리케이션 프록시 인증 쿠키를 사용할 수 있습니다.

   별도의 애플리케이션으로 /rdweb과 /rpc를 게시할 수도 있고, 게시된 서버를 다르게 사용할 수도 있습니다. 웹 애플리케이션 프록시 토큰은 신뢰 당사자 신뢰에 대해 발급되므로 동일한 신뢰 당사자 트러스트로 게시된 애플리케이션에서 유효하므로 동일한 신뢰 당사자 트러스트를 사용하여 두 가지를 모두 게시하기만 하면 됩니다.

5. 외부 및 내부 FQDN이 다른 경우 RDWeb 게시 규칙에서 요청 헤더 변환을 사용하지 않도록 설정해서는 안 됩니다. 이 작업은 웹 애플리케이션 프록시 서버에서 다음 PowerShell 스크립트를 실행하여 수행할 수 있지만 기본적으로 활성화되어 있어야 합니다.

   Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableTranslateUrlInRequestHeaders:$true
   

6. RDG 게시된 애플리케이션의 웹 애플리케이션 프록시에서 HttpOnly 쿠키 속성을 비활성화합니다. RDG ActiveX 컨트롤이 웹 애플리케이션 프록시 인증 쿠키에 액세스할 수 있도록 허용하려면 웹 애플리케이션 프록시 쿠키에서 HttpOnly 속성을 비활성화해야 합니다.

   이렇게 하려면 Windows RT 8.1, Windows 8.1 및 Windows Server 2012 R2(KB3000850) 용 2014년 11월 업데이트 롤업을 설치해야 합니다.

   핫픽스를 설치한 후 웹 애플리케이션 프록시 서버에서 관련 애플리케이션 이름을 지정하여 다음 PowerShell 스크립트를 실행합니다.

   Get-WebApplicationProxyApplication applicationname | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$true
   

   HttpOnly를 비활성화하면 RDG ActiveX 컨트롤이 웹 애플리케이션 프록시 인증 쿠키에 액세스할 수 있습니다.

7. 컬렉션 서버에서 관련 RDG 컬렉션을 구성하여 원격 데스크톱 연결 클라이언트(mstsc.exe)가 rdp 파일에 사전 인증이 필요하다는 것을 알 수 있도록 합니다.

   • Windows Server 2012 및 Windows Server 2012 R2에서는 RDG 컬렉션 서버에서 다음 PowerShell cmdlet을 실행하여 이 작업을 수행할 수 있습니다.

     Set-RDSessionCollectionConfiguration -CollectionName "<yourcollectionname>" -CustomRdpProperty "pre-authentication server address:s: <https://externalfqdn/rdweb/>`nrequire pre-authentication:i:1"
     

     예를 들어 사용자 고유의 값으로 바꿀 때 < 및 > 괄호를 제거해야 합니다. 예:

     Set-RDSessionCollectionConfiguration -CollectionName "MyAppCollection" -CustomRdpProperty "pre-authentication server address:s: https://rdg.contoso.com/rdweb/`nrequire pre-authentication:i:1"
     

   • Windows Server 2008 R2에서:

     1. 관리자 권한이 있는 계정으로 터미널 서버에 로그인합니다.

     2. 시작>관리 도구>터미널 서비스>TS RemoteApp 매니저로 이동합니다.

     3. TS RemoteApp Manager의 개요 창에서 RDP 설정 옆에 있는 변경을 클릭합니다.

     4. 사용자 지정 RDP 설정 탭의 사용자 지정 RDP 설정 상자에 다음 RDP 설정을 입력합니다.

        pre-authentication server address: s: https://externalfqdn/rdweb/

        require pre-authentication:i:1

     5. 작업이 완료되면 적용을 클릭합니다.

        이렇게 하면 컬렉션 서버가 클라이언트로 전송되는 RDP 파일에 사용자 지정 RDP 속성을 포함하도록 지시합니다. 이는 클라이언트에게 사전 인증이 필요함을 알리고 사전 인증 서버 주소에 대한 쿠키를 원격 데스크톱 연결 클라이언트(mstsc.exe)에 전달하도록 합니다. 즉 웹 애플리케이션 프록시 애플리케이션에서 HttpOnly를 비활성화하면 원격 데스크톱 연결 클라이언트(mstsc.exe)가 브라우저를 통해 얻은 웹 애플리케이션 프록시 인증 쿠키를 사용할 수 있습니다.

        RDP에 대한 자세한 내용은 TS 게이트웨이 OTP 시나리오 구성을 참조하세요.

참고 항목

• 웹 애플리케이션 프록시를 사용하여 애플리케이션 게시

• 웹 애플리케이션 프록시 문제 해결

• 웹 애플리케이션 프록시 연습 가이드