하이브리드 환경에 대한 웹 응용 프로그램 프록시 구성
적용 대상:
2013 2016 2019 Subscription Edition SharePoint in Microsoft 365
이 문서에서는 웹 애플리케이션 프록시에 대해 설명하고 하이브리드 SharePoint Server 환경의 역방향 프록시로 사용하도록 설정하는 데 도움이 됩니다.
시작하기 전에
접근성 참고 사항: SharePoint Server는 배포를 관리하고 사이트에 액세스하는 데 도움이 되는 일반적인 브라우저의 접근성 기능을 지원합니다. 자세한 내용은 SharePoint 2013의 접근성을 참조하세요.
하이브리드 환경의 웹 애플리케이션 프록시 정보
웹 애플리케이션 프록시는 사용자가 여러 디바이스에서 상호 작용할 수 있는 웹 애플리케이션을 게시하는 Windows Server 2012 R2의 원격 액세스 서비스입니다. AD FS(Active Directory Federation Services)에 대한 프록시 기능도 포함되어 있습니다. 이렇게 하면 시스템 관리자가 AD FS 서버에 대한 보안 액세스를 제공할 수 있습니다. 시스템 관리자는 웹 애플리케이션 프록시를 사용하여 사용자가 웹 애플리케이션에 자신을 인증하는 방법을 선택하고 웹 애플리케이션을 사용할 권한이 있는 사용자를 결정할 수 있습니다.
Microsoft 365의 SharePoint가 SharePoint Server에서 데이터를 요청하는 하이브리드 SharePoint Server 환경에서 웹 애플리케이션 프록시가 있는 Windows Server 2012 R2를 역방향 프록시 디바이스로 사용하여 인터넷에서 온-프레미스 SharePoint Server 팜으로 요청을 안전하게 릴레이할 수 있습니다.
중요
하이브리드 SharePoint Server 환경에서 웹 애플리케이션 프록시를 역방향 프록시 디바이스로 사용하려면 Windows Server 2012 R2에도 AD FS를 배포해야 합니다.
참고
웹 애플리케이션 프록시 기능을 설치하고 구성하려면 Windows Server 2012 R2가 설치된 컴퓨터의 로컬 관리자여야 합니다. 웹 애플리케이션 프록시 기능을 실행하는 Windows Server 2012 R2 서버는 도메인 또는 작업 그룹의 구성원일 수 있습니다.
1단계: AD FS 및 웹 애플리케이션 프록시 기능 설치
Windows Server 2012 R2에서 AD FS를 설치하는 방법에 대한 자세한 내용은 Active Directory Federation Services 개요를 참조하세요.
Windows Server 2012 R2에서 웹 애플리케이션 프록시 기능을 설치하는 방법에 대한 자세한 내용은 Server Core Server에 서버 역할 및 기능 설치를 참조하세요.
2단계: 웹 애플리케이션 프록시 구성
이 섹션에서는 웹 애플리케이션 프록시 기능을 설치한 후 구성하는 방법을 설명합니다.
웹 애플리케이션 프록시는 웹 애플리케이션 프록시 서버의 로컬 컴퓨터 개인 인증서 저장소에 가져와 설치해야 하는 보안 채널 인증서와 지문과 일치합니다.
Microsoft 365 테넌트에서 SharePoint의 인바운드 요청을 수락할 수 있는 게시된 애플리케이션을 사용하여 웹 애플리케이션 프록시를 구성합니다.
보안 채널 SSL 인증서 가져오기
보안 채널 SSL 인증서를 로컬 컴퓨터 계정의 개인 저장소로 가져온 다음 인증서의 프라이빗 키에 대한 권한을 설정하여 웹 애플리케이션 프록시 서비스(appproxysvc) 모든 권한의 서비스 계정을 허용해야 합니다.
참고
웹 애플리케이션 프록시 서비스의 기본 서비스 계정은 로컬 컴퓨터 네트워크 서비스입니다.
|
보안 채널 SSL 인증서의 위치는 표 4b: 보안 채널 SSL 인증서의 행 1(보안 채널 SSL 인증서 위치 및 파일 이름)에 기록되어 있습니다. 인증서에 개인 키가 포함되어 있으면 표 4b: 보안 채널 SSL 인증서의 행 4(보안 채널 SSL 인증서 암호)에 기록된 인증서 암호를 제공해야 합니다. |
SSL 인증서를 가져오는 방법에 대한 자세한 내용은 인증서 가져오기를 참조하세요.
게시된 애플리케이션 구성
참고
이 섹션의 단계는 Windows PowerShell을 사용하여 수행할 수 있습니다.
Microsoft 365 테넌트에서 SharePoint의 요청을 수락하고 릴레이하도록 게시된 애플리케이션을 구성하려면 다음 Microsoft PowerShell 명령을 입력합니다.
Add-WebApplicationProxyApplication -ExternalPreauthentication ClientCertificate -ExternalUrl <external URL> -BackendServerUrl <bridging URL> -name <friendly name of the published application> -ExternalCertificateThumbprint <certificate thumbprint> -ClientCertificatePreauthenticationThumbprint <certificate thumbprint> -DisableTranslateUrlInRequestHeaders:$False -DisableTranslateUrlInResponseHeaders:$False
여기서,
- <externalUrl> 은 웹 애플리케이션의 외부 URL입니다. Microsoft 365의 SharePoint가 SharePoint Server 콘텐츠 및 리소스에 대한 인바운드 요청을 보내는 공용 URL입니다.
|
|
외부 URL은 SharePoint 하이브리드 워크 시트의 테이블 3: 공용 도메인 정보의 행 3(외부 URL)에 기록됩니다. |
- <브리징 URL> 은 온-프레미스 SharePoint Server 팜의 기본 웹 애플리케이션에 대해 구성한 내부 URL입니다. 웹 애플리케이션 프록시가 Microsoft 365의 SharePoint에서 인바운드 요청을 릴레이하는 URL입니다.
|
|
브리징 URL은 SharePoint 하이브리드 워크시트의 다음 위치 중 하나에 기록됩니다. 기본 웹 응용 프로그램이 호스트 이름으로 된 사이트 모음으로 구성된 경우 표 5a: 기본 웹 응용 프로그램(호스트 이름으로 된 사이트 모음)의 행 1(기본 웹 응용 프로그램 URL)에 있는 값을 사용합니다. 기본 웹 애플리케이션이 경로 기반 사이트 모음으로 구성된 경우 테이블 5b: 기본 웹 애플리케이션(AAM이 없는 경로 기반 사이트 모음)의 행 1(기본 웹 애플리케이션 URL)의 값을 사용합니다. 기본 웹 애플리케이션이 AAM을 사용하여 경로 기반 사이트 모음으로 구성된 경우 테이블 5c: 기본 웹 애플리케이션(AAM을 사용하는 경로 기반 사이트 모음)의 행 5(기본 웹 애플리케이션 URL)의 값을 사용합니다. |
<게시된 애플리케이션의 식별 이름은 웹 애플리케이션> 프록시에서 게시된 애플리케이션을 식별하도록 선택하는 이름입니다.
<인증서 지문> 은 ExternalUrl 매개 변수에 지정된 주소에 사용할 인증서의 공백이 없는 문자열인 인증서 지문입니다. 이 값은 ExternalCertificateThumbprint 매개 변수에 대해 한 번, ClientCertificatePreauthenticationThumbprint 매개 변수에 대해 두 번 입력해야 합니다.
|
|
보안 채널 SSL 인증서의 지문입니다. 이 인증서 파일의 위치는 테이블 4b: 보안 채널 SSL 인증서의 행 1 (보안 채널 SSL 인증서 위치 및 파일 이름)에 기록됩니다. |
Add-WebApplicationProxyApplication cmdlet에 대한 자세한 내용은 Add-WebApplicationProxyApplication을 참조하세요.
게시된 애플리케이션의 유효성 검사
게시된 애플리케이션의 유효성을 검사하려면 Get-WebApplicationProxyApplication cmdlet을 사용합니다. 다음 Microsoft PowerShell 명령을 입력합니다.
Get-WebApplicationProxyApplication |fl
출력은 다음 표의 내용과 유사해야 합니다.
| ADFSRelyingPartyID |
런타임에 :<채우기> |
| ADFSRelyingPartyName |
:<신뢰 당사자 이름> |
| BackendServerAuthenticationMode |
:ADFS |
| BackendServerAuthenticationSPN |
:없음 |
| BackendServerCertificateValidation |
:없음 |
| BackendServerUrl |
: https://< 브리딩 URL>/ |
| ClientCertificateAuthenticationBindingMode |
:없음 |
| ClientCertificatePreauthenticationThumbprint: |
: <인증서 지문> |
| DisableTranslateUrlInRequestHeaders |
: False |
| DisableTranslateUrlInResponseHeaders |
: False |
| ExternalCertificateThumbprint |
: <인증서 지문> |
| ExternalPreauthentication |
: 통과 |
| ExternalUrl |
: https://< 사용 URL>/ |
| ID |
: 91CFE805-44FB-A8A6-41E9-6197448BEA72 |
| InactiveTransactionsTimeoutSec |
: 300 |
| 이름 |
: <게시된 애플리케이션의 이름> |
| UseOAuthAuthentication |
: False |
| PSComputerName |
: |
문제 해결
웹 애플리케이션 프록시는 이벤트 및 오류를 애플리케이션 및 원격 액세스 Windows Server 이벤트 로그에 기록합니다. 로깅은 Microsoft 365에서 SharePoint Server와 SharePoint 간의 연결 및 인증 문제를 해결하는 데 중요한 역할을 합니다. 연결 실패를 일으키는 구성 요소를 식별하는 것은 어려울 수 있으며 역방향 프록시 로그는 먼저 단서를 찾아야 합니다. 문제 해결에는 여러 서버의 웹 애플리케이션 프록시 이벤트 로그, SharePoint Server ULS 로그, Windows Server 이벤트 로그 및 IIS(인터넷 정보 서비스) 로그의 로그 이벤트를 비교하는 작업이 포함될 수 있습니다.
SharePoint Server 하이브리드 환경의 문제 해결 기술 및 도구에 대한 자세한 내용은 하이브리드 환경 문제 해결을 참조하세요.