smileNewfreedom

블로그 이미지
freedom 모든 자유와 시간을 위해.....
by 다크포스
12-01 19:11
  • 680,195Total hit
  • 6Today hit
  • 3Yesterday hit

CALENDAR

«   2021/12   »
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

*** OCS 2007 CWA에 대한 내용입니다.


Microsoft® Office Communicator Web Access (2007 release) 은 브라우저 기반 클라이언트 OCS 2007에 접근할 수 있도록 해주는 서버이다.즉, Exchange의 OWA(Outlook Web Access)와 같은 목적이다.

그래서, Oulook은 Office Communicator에 해당하고, OWA는 CWA에 해당한다. CWA 서비스를 제공하기 위해 관리자는 CWA 를 별도의 컴퓨터에 설치한다. 그러면, CWA를 제공하는 실제 가상 서버가 IIS 상에 생성되어 진다.

즉 CWA를 위한 IIS내 웹 사이트가 새로 생성된다. 이 가상 서버(웹 사이트)는 내부사용자 용과 외부사용자 용으로 구성된다. 별도의 내/외부 용으로 각각 별도의 가상 서버로 구성되어야 한다

제공하지 않는 기능(Office Communicator 2007에 비교해서)

그러나 웹 브라우저를 통해 제공되는 서비스 이다 보니 기능 제약이 있다. Office Communicator에서는 가능하지만 CWA를 이용해서는 할 수 없는 작업은 아래와 같다.

□ Application sharing
□ Whiteboard sessions
□ Audio/video conferencing
□ File transfers
□ voice mail에 접근
□ 동시 착신 제어 : Control of simultaneous ringing

CWA는 결국 웹으로 구현되는 어플리케이션이다,  그래서 위의 기능은 지원하지 않는다.

제공하는 기능

□ IM (multi-party) : Group IM
□ Presence
□ Search : 주소록 서비스를 이용한 사용자 검색
□ ETC

CWA의 주요 기능 타겟은 IM과 Presence 기능이란 것을 명심해야 한다.

[참고] SSO 지원CWA는 SSO(Single Sign On)과, two-factor 인증을 포함하는 Custom authentication을 사용할 수 있도록 지원한다. 그 구체적인 실체는 해보지 않은 이상 모르겠다. 백서 상에 SSO를 위해서 반드시 ISA 2006을 사용해야 하고 SSO 관련 옵션을 사용해야 한다.

TOPOLOGY

[Communicator Web Access Topology]

위 그림 처럼 CWA 서버는 DMZ 구간에 배포되는 넘이 아니다. 내부 네트웍에 설치되어야 한다. 외부 사용자를 위해 DMZ 구간에 Reverse Proxy를 통해 CWA 서비스를 제공하는 것이 일반적이다.

그리고 다른 OCS 서버역할들과 마찬가지로 로드 밸러서(H/W)를 이용해서 여러대의 물리적인 서버를 묶어 하나의 서비스(CWA) 제공이 가능하다. 이럴 경우 DNS 설정이나 인증서 설정등이 로드 밸러서의 VIP(Virtual IP)에 대한 도메인명을 보도록 구성해야 할 것이다.

CWA 서버는 OCS 2007로의 트래픽을 전송하기전에 Authentication과 Authorization을 수행한다. 즉 AD와 통신을 수행해야 한다 그래서 아래에 언급되듯이 DC와의 통신을 위한 포트 번호들이 열려있어야 할 것이다.

원격 사용자는 SSL 기반의 외부 URI를 통해서만 접근할 수 있다. 원격 사용자는 (주로) reverse proxy 서버 역할에 의해 서비스를 받게 된다.

[참고] CWA 가상서버에 SSO가 활성화된 경우라면, Web listener 상에 SSO가 활성화된 ISA server 2006 만이 reverse proxy 역할을 담당할 수 있다.(이 구성방식만 지원)

CWA 배포를 위한 고려사항

CWA가 사용하는 포트들

■ Incoming Ports

□ TCP port 80 (HTTP) or TCP port 443 (HTTPS)

□ OCS 2007로부터 들어오는 트래픽을 위한 동적 할당 포트(CWA는 랜덤 포트 상에서 listen )

■ Outgoing Ports

□ TCP port 3268 (LDAP) on the global catalog server

□ TCP port 389 (LDAP) on the domain controller

□ TCP port 5061 (MTLS) on the Office Communications Server 2007 server or pool

Communicator Web Access was developed by using the Microsoft .NET Framework 2.0.

[CWA에 의해 사용되는 기본 Ports]

Port

목적

80

HTTP (if not configured for HTTPS on 443)

88

Kerberos

137

NetBios Name Service

138

NetBios Datagram Service

139

NetBios Session Service

389

LDAP on the DC

443

HTTPS (HTTP over TLS or SSL)

1025 - 65,535

OCS 2007로부터의 incoming 트래픽을 위해 동적으로 할당

3268

LDAP on the GC

5060

SIP (TCP and UDP)

5061

SIP (TCP and UDP)

CWA 와 Active Directory

□ CWA는 반드시, OCS2007이 이미 배포되어 있는 그(동일한) AD forest 내에 배포되어 한다.

□ CWA는 (설치치) 추가적인 AD 스키마 확장을 요구하진 않는다.

CWA 배포 제약사항

□ CWA 서버는 반드시 내부 네트웍에 배포되어야 한다. DMZ 구간(perimeter network)에 배포되어선 안된다.

□ OCS 2007과 CWA를 동일한 컴퓨터 상에 설치할 수 없다.

□ AD와 CWA를 동일한 컴퓨터 상에 설치할 수 없다.

하나의 (물리적) 서버에 내/외부 가상서버 구성 시 고려사항

일반적으로 보안상  내부사용자/외부사용자 구분하여 별도의 서버 상에 배포하는 게 일반적이다. 그러나 하나의 서버 상에서 내부/외부 접근을 모두 허용하고자 한다면, 아래의 사항을 고려해야 한다.

□ 내/외부용 두개의 가상서버가 한 컴퓨터 상에 존재하므로 IP로 구분이 되든지, Port 번호로 구분이 되든지 해야 한다.

많은 프록시가 SSL 트래픽을 443 포트로만 받아들이도록 구성된 경우가 많으므로 수동으로 외부 가상 서버의 포트 번호를 443으로 설정해야 할 수도 있다.

□ 방화벽이나 reverse proxy가 각 가상 서버의 적절한 포트로 맵핑되도록 구성해야 한다.

□ 어플리케이션 격리(Application isolation)이 보안상의 위험을 감소시켜 주지만, 여전히 보안 위험은 존재하며,  이러한 위험은 내부, 외부 사용자 모두에게 영항을 미친다.

□ 별도의 외부 서버를 사용하게 되면, 보안 위험을 외부 서버로 국한 시키므로 원격 사용자로 그 피해를 제한시킬 수 있다.

[Single Server for Internal and External Users]




출처 : http://www.ensimple.net/enSimple/main.htm

TRACKBACK 0 AND COMMENT 0




ARTICLE CATEGORY

분류 전체보기 (534)
멋진 사진들 (8)
배경화면들 (3)
.NET (112)
연애이슈 (65)
게임관련 (15)
경제 이슈 (60)
모델 (0)
사진(취미) (14)
노래 (8)
호주워킹홀리데이 (11)
Javascript (2)
Ajax (4)
스포츠 (74)
우주/과학/생활 (95)
Windows 2008 (19)
Silverlight (2)
여행 (6)
MS 자격증 (2)
해외이슈 (4)
IT정보 (16)
Server (5)
애니매이션 (9)