A Web Site Using ISA Server Part 1: Preparing To Publish Your Site.
ForeFront Server/ISA Server 2006 2002/09/04 20:20A Web Site Using ISA Server Part 1: Preparing To Publish Your Site.
원문 : http://www.isaserver.org/pages/article.asp?id=233
저자 : Thomas Shinder , Printable Version
번역자 : 김종문
ISA서버는 웹 서버, 메일 서버 그리고 FTP 서버 같은 내부 자원을 인터넷 사용자에게 사용 할 수 있게 만들수 있다. 이 내부 서비스를 외부 네트웍사용자에게 사용가능하게 하는 작업을 “게시(publishing)” 이라고 한다. 당신이 내부에서 서비스를 게시할 때, 사설망, 외부 사용자에게 접근을 선택적으로 허용할 수 있다.
실제 서비스 게시의 절차는 마법사를 사용하는 것 처럼, 매우 쉽다, 그러나 게시전에 당신은 네트웍 구조와 ISA서버의 콤포넌트가 궁합이 잘 맞는지 성공적으로 사이트를 게시전에 명심해야 한다. 이 문서는 웹 사이트를 게시하기 전에 당신이 필요한 준비사항을 둘러볼 것이다.
사이트를 게시하기위한 우선 사항. 다음의 항목을 가지고 다룰 필요가 있다.
• DNS 엔트리(테이블 or 리스트)
• Destination Set목적지 구성
• ISA 클라이언트 구성
• ISA 서버 인바운드 웹 요청 리스너
각각의 항목을 보고 어떻게 그것들은 가지고 사용하는지 실제 웹 우리의 웹사이트를 게시하기 전에 한번 보자
- DNS Entries
인터넷에 있는 사용자는 FQDN(www.isaserver.org 같은)을 이용해서 게시된 웹 사이트에 접근할 것이다. FQDN은 사용자가 당신의 사이트에 접속 하기 전에 IP로 바뀐어야만 한다. 이것은 DNS가 해야 할 작업이다. 당신이 사이트를 게시하기 전에, DNS서버를 사용할 수 있게 게시할 DNS 구성정보가 있어야만 한다.
대부분의 사람들은 ISP가 DNS구성정보를 취급된다. 당신은 호스팅하는 당신의 공인 DNS에 대해 추가적인 정보를 가져야 한다. 만약 당신이 DNS를 직접 관리한다면, 게시해야 할 내부 웹 서버의 A 레코드를 포함해야 한다. 예를 들면 DNS를 직접 관리한다면, 그리고 “domain.com” 이라는 존이있고, 사용자들이 “www.domain.com”으로 접속하기를 원한다면, “www”를 위한 A 레코드를 반드시 생성해야 한다,
당신의 사이트가 ftp.domain.com. www.domain.com, mail.domain.com 같은 여러 개의 이름으로 접속이 할지도 모른다면. 당신은 여러 개의 A 레코드를 입력할 수 잇다; 하나의 각각의 호스트 이름, 또는 당신이 하나의 이름을 A 레코드로 만들고 다른 으름은 CNAME(별칭) 레코드로 만들수 있다. CNAME 접근방식은 IP가 시간,시간 바뀐다면 관리하기가 쉽다.
당신은 DNS 엔트리에 대해 잊어버릴 수 있고, 모든 사람이 당신의 웹 사이트에 IP로 접속 한다. 대부분의 사람들은 12 디지털 IP주소보다 많지 않은 그들의 전화 번호를 기억하지 않는다.
- Destination Sets
당신이 DNS항목을 다루었다면, 당신은 사이트에 대한 목적지 묶음(destination Set)을 생성할 준비가 되었다. 목적지 묶음은 ISA서버에서 어떤 사이트가 외부 사용자들에 의해 요청을 받는지 구분하는데 사용된다. 기억할 점은, 목적지 묶음과 게시가 사용될 때 내부사용자가 아닌 외부 사용자의 이점을 봐야 한다. 목적지는 외부 사용자가 당신사이트의 FQDN으로 가게 해준다.
우리가 원하는 사이트목적지 묶음을 만드는걸 얘기해보자. 우리가 게시하기 원하는 내부 서버는 ftp.domain.com , mail.domain.com과 www.domain.com 이라는 이름으로 되어있다. 우리는 하나의 단일 목적지 묶음을 만들 수 있다. 그런 후에 게시 규칙에서 이 목적지 묶음을 사용 할 수 있다.
1. ISA Management 콘솔을 열고 Servers and Arrays 노드를 확장한다. Policy Elements를 클릭한다.
2. Right click on the Destination Sets node, click the New command and then click Set.
Destination Sets 에서 마우스 오른쪽 버튼을 누른후, New 명령어를 사용하여 Set을 선택한다.
3. New Destination Set 다이얼로그 박스가 아래 그림처럼 나타난다.
4. 목적지 묶음의 Name(이름) 텍스트 박스에 적당한 이름을 입력한다. Description (선택사항) 텍스트박스에 알맞은 설명을 집어넣는다. 당신은 각각의 Description 박스에당신의 목적지를 각각 입력해야 한다.왜냐하면 당신이 게시규칙을 구성할 때, 목적지 묶음을 지정하므로 구성 쉽게 구성할 것이다.
5. 새로운 목적지 묶음을 추가하기위해, Add 를 누른다. 당신은 Add/Edit 목적지 다이얼로그 박스를 아래와 같이 볼 것이다.
6. Add/Edit 목적지 다이얼로그 박스에서, 목적지 텍스트 박스에 당신의 사이트 FQDN를 넣는다. 아스테릭스(*) 를 도메인에 모든 호스트의 이름을 나타내는 와일드 카드를 사용할 수 있다. FQDN을 입력하고 OK를 누른다.
목적지 묶음을 생성하면, ISA Management 콘솔의 오른쪽 패널에 나타날 것이다. ISA 서버가 이중 하나의 요청을 받을 때, 요청의 헤더와 게시된 서버의 목적지 묶음안에 헤더가 포함되어 졌는지 검토하 검사한다.
- ISA 클라이언트 구성
당신이 게시하기를 원하는 서버는 SecureNAT 클라이언트로 구성되어야만 한다. 이것은 프락시2.0에서 작동하는 방법중의 하나이다. 서버를 이 방법으로만 윈속 프락시클리이언트로게시하고, Wspcfg.ini 파일에서 제거 하는 것이다. ISA서버는 게시되어진 서버를 SecureNAT로 구성해야 하는 고통에서 벗어나게 해준다.
SecureNAT 클라이언트 구성은 쉽다.필요한 것은 기본 게이트웨이를 인터넷으로 연결된 ISA서버의 내부 인터페이스로 설정하는 것이다. 게시되어진 서버가 ISA서버의 내부 인터페이스로써 같은 논리 네트웍ID이면, 기본 게이트웨이를 ISA서버의 내부 인터페이스의 IP로 설정 할 수 있다.만약 게시된 서버가 ISA서버의 내부 네트웍으로부터 제거된 논리 네트웍ID면, 기본 게이트웨이를 ISA서버의 내부 인터페이스에서 라우터 인터페이스로 구성해야 한다. 라우터는 패킷을 ISA 내부 인터페이스에서 인터넷의 목적지로 전달 할 것이다.
라우트된 네트웍에서 작업을 한다면, ISA서버가 설치 전이더라도, ISA 서버의 라우팅 테이블이 적당히 구성되어져 있는지 명심해야 한다. ISA서버에서 인터넷에 있는 모든 서브넷으로 패킷이 라우트되는 필요한 경로를 알아야 한다는 것을 기억해야 한다. 그리고 모든 서브넷은 ISA서버의 내부 인터페이스의 경로를 알야한다. 순서대로 ISA서버는 내부 네트웍ID의 경로를 알 것이다. ISA 서버의 라우팅 테이블을 각각의 네트웍ID에 맞게 기본 게이트웨이를 구성해야 한다. 반드시 라우팅 테이블을 구성해야 하는 이유는 내부 인터페이스의 기본 게이트웨이를 구성 할 수 없기 때문이다. 윈도우2000은 하나의 네트웍 어댑터에 기본게이트웨이를 지원한다. 그리고 그 어댑터는 ISA서버의 외부 인터페이스여야함 한다.(두개의 NIC가 있고, 두개 다 기본 게이트웨이를 구성하면 외부로 패킷이 안 나가는 현상이 발생하므로 반드시 외부 인터페이스에 기본 게이트를 구성하라는 말이다.)
어떤 서비스들은 SecureNAT 를 사용하면 제대로 작동하지 않을수 있다. 당신이 다중 게임 사용자에게 인터넷을 게시한다면 작동하지 않는 걸 볼 수 있을 것이다. 이런 경우, 게시 할 서버를 firewall 클라이언트로 구성해야 하고, 서버에 wspcfg.ini 파일을 구성해야 한다. 만약 이게 불만이면, 게임 서버를 DMZ 지역에 배치 하고, 사용되어지는 포트(일반적으로 보안이 필요하지 않은 게임서버일 때, “All port”이다.를 패킷 필터로 허용할 수 있다.
- ISA Server Inbound Request Listener
ISA 서버는 inbound 요청의 리스터를 호출하는 Incoming 웹 요청을 청취한다. 기본적으로, inbound 웹 요청 리스너는 ISA 서버의 외부 인터페이스의 80포트를 사용한다. 관리자는 이것을 바꿀수 있다. 그러면, 당신의 사이트에 접속하는 모든 사용자는 요청에 해당 포트번호를 포함하여 사용해야 한다. 당신의 사이트를 쉽게 접속하게 하고 싶다면 기본 포트 설정을 바꾸지 않으면 된다.
주)Inbound 요청 리스너에 의해 받아들어진 요청은 web proxy 서비스에 의해 차단되어진다.
ISA 서버가 청취하고 있는 IP주소에 Inbound 리스너를 추가해야만 한다.
1. ISA 서버 관리 콘솔을 열고, Servers and Array 노드를 확장하고 Server이름에서 마우스 오른쪽 버튼을 누른다. Array를 구동하고 있다면 Array이름에서 오른쪽 버튼을 눌러야한다. Properties 명령어를 클릭한다. 다이얼로그 상자에서 Incooming Web Requests 탭을 누른다. 아래와 같은 그림을 볼 것이다.
2. Incoming Web Requests 페이지에서, inbound 웹 요청에 대한 리스너의 구성을 바꿀 필요가있다. 두개의 옵션이 있다. 하나는 Use the same listener configuration for all IP addresses 이고 다른 하나는 Configure listeners individually per IP address 이다. 만약 여러 개의 IP 주소가 외부 인터페이스에 바운드되어 있다면, 리스너를 각각 구성 할 수 있다. 필자는 하나의 IP주소를 사용해도 각각의 구성을 사용하는걸 선호한다. 왜냐면, 그런 방식으로 하면 좋은 생각이 있다.
3. Configure listeners individually per IP addresses 를 선택하고, ADD버튼을 누른다. Add/Edit 리스너 다이얼로그 박스가 나온다. 완전한 구성은 아래 그림과 같다.
4. Server 드롭 다운 목록 박스에서, 서버의 이름을 선택한다. IP Address 드롭 다운 목록에서, 리스너로 구성할 외부 인터페이스의 IP 주소를 선택한다. 여러 개의 IP가 외부 IP와 바운드 되어있다면, 그것들 중에 하나를 선택 해야한다. 선택된 IP가 이미 리스너로 구성되어져 있다면, 사용 할 수 없다. 옵션 Display 이름을 리스너의 설명으로 구성 할 수 있다. ISA 서버에서 사용자를 인증하기 위한다면 Authentication 목록은 당신이 선택할 인증 구성의 옵션이다. 주) 이 옶션은 웹 사이트인증이 가능하게 인증옵션으로 구성 할 수 없다. 이 옵션은 ISA서버만의 인증 옵션이다. 주) 이 옵션을 구성시 ISA 서버에 인증을 자동으로 요청하지 않았다면: 인증 사용가능을 선택한다면, 이 옵션은 여러 가지 인증 형식이 가능하다.
5. OK 버튼을 누르고 아래 처럼 나타나는 걸 볼 것디아.
6. 전체 구성되어진 리스너가 있는 항목에 새로운 리스너가 표시된다.TCP 포트 항목에서 리스너가 사용할 포트를 변경 할 수 있다.주) 이 설정은 모든 리스너에 적용이 된다. 위에서 당신이 선택한 하나만 적용이 되는건 아니다. 각각의 리스너마다 다른 포트를 사용할 수 없다. 만약 사용자가 어떤(any) 내부 웹 사이트를 접근하기 전에 인증되기를 원한다면, Ask unauthenticated users for identification 체크 박스에 V표시를 해야한다 주) 이 옵션 또한 전역 옵션이다. 리스너 마다 구성되어질 수 없다
7. Apply 버튼을 누르면, ISA Server Warning 텍스트 박스가 아래처럼 보일 것이다.
8. ISA 서버의 서비스를 재 시작하기를 원하면 Save the changes and restart the service(s) 옵션을 선택한다. 관리자가 수동으로 하기를 원하면 Save the changes, but don't restart the services(s) 옵션을 선택한다. 필자는 후자를 선호하는 편이다.
수동으로 할때, 당신은 서비스가 제대로 재 시작이 되었는지 알아야 한다.
- Conclusion(마무리)
ISA서버에 포함된 게시 마법사를 사용하여 당신의 내부 네트웍에서 위치한 서비스를 게시할 수 있다. 내부 네트웍에 있는 웹 사이틀 게시하는 별개의 게시 마법사가 포함되어 있다. 마법사는 내부 웹 사이트의 게시를 쉽게 만들어 준다. 하지만 실제로 사이트를 게시하기 전에 주의가 필요하는 능숙한 처리를 요한다. 이 문서에서 우리는 웹 사이트를 게시하기 전에 준비되어져야 할 몇 가지 중요한 준비 작업을 다루었다.
웹 게시의 두번째 문서에서는, 실제 웹 사이트의 게시시 행하는 정확한 절차와 표준적인 몇 개의 시험과 비 표준 절차를 사이트 게시 하는 것을 다루겠다. 그럼 다음 이시간에.
'ForeFront Server > ISA Server 2006' 카테고리의 다른 글
| Publishing Exchange 2000 Outlook Web Access with ISA Server (0) | 2003/01/08 |
|---|---|
| Publishing A Mail Server With ISA Server (0) | 2002/10/21 |
| A Web Site Using ISA Server Part 1: Preparing To Publish Your Site. (0) | 2002/09/04 |
| 작업표시줄에서 방화벽 클라이언트 아이콘을 안보이게 하는 방법은 ? (0) | 2002/08/20 |
| RAS를 통해 자동적으로 전화접속(dial out)할 수 있도록 ISA를 구성하는 방법은 ? (0) | 2002/08/19 |
| ISA Client를 설치하는 방법은 ? (0) | 2002/08/19 |
댓글을 달아 주세요