검사 목록: 레거시 버전의 Windows Server에서 AD FS에 대한 엑스트라넷 액세스 구성

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

다음 검사 목록에는 새 페더레이션 서버 팜의 페더레이션 서버에 인증 요청을 리디렉션하는 두 개의 페더레이션 서버 프록시를 배포하는 데 필요한 배포 작업이 포함되어 있습니다.

Checklist검사 목록: 페더레이션 서버 프록시 배포

배포 작업 이 단원의 항목 링크 완료됨

1. 페더레이션 서버 프록시가 될 컴퓨터에 AD FS 소프트웨어를 설치합니다.

프록시 컴퓨터에 AD FS 소프트웨어 설치

 Checkbox

2. AD FS 페더레이션 서버 프록시 구성 마법사를 사용하여 페더레이션 서버 프록시 역할에서 작동하도록 컴퓨터에서 AD FS 소프트웨어를 구성합니다.

페더레이션 서버 프록시 역할에 대한 컴퓨터 구성

 Checkbox

3. 이벤트 뷰어 사용하여 페더레이션 서버 프록시 서비스가 시작되었는지 확인합니다.

페더레이션 서버 프록시 작동 여부 확인

 Checkbox

4. 선택적 단계 - 웹 애플리케이션 프록시 AD FS 서버 간의 정체 제어 설정을 최적화합니다.

엑스트라넷에 연결되는 페더레이션 서버 프록시는 페더레이션 서버 프록시와 페더레이션 서버 간의 대기 시간이 특정 임계값을 초과하면 엑스트라넷의 요청을 제한할 수 있습니다. 페더레이션 서버 프록시는 이 기능을 기준으로 하여 인증 요청을 처리할 때 페더레이션 서버 프록시와 페더레이션 서버 간에 검색된 대기 시간에 따라 페더레이션 서버가 오버로드된 것으로 확인되면 외부 클라이언트 인증 요청을 거부합니다. 이 기능은 TCP의 정체 제어에 대해 적용되는 AIMD(Additive Increase Multiplicative Decrease)라는 유사 알고리즘과 밀접하게 관련되어 있습니다. 이 솔루션은 페더레이션 서버 프록시로 들어오는 각 요청에 대해 임대하는 토큰 풀로 표시되는 정체 창을 사용하여 작동합니다.

대기 시간이 긴 DMZ 네트워크나 부하가 높은 페더레이션 서버 프록시에서는 페더레이션 서버가 이 알고리즘을 제어하는 기본 설정을 기준으로 이러한 요청을 정상적으로 처리할 수 있는 경우에도 인증 요청이 거부될 수 있습니다. 이러한 환경에서는 다음 단계를 수행하여 설정을 보다 낮은 값으로 수정하는 것이 좋습니다.

  1. 페더레이션 서버 프록시 컴퓨터에서 관리자 권한 명령 창을 시작합니다.

  2. AD FS 디렉터리로 이동합니다. Windows Server 2012 경우 %windir%\ADFS입니다. Windows Server 2008 및 Windows Server 2008 R2의 경우 %programfiles%\Active Directory Federation Services 2.0입니다.

  3. 정체 제어 설정을 기본값에서 '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'로 변경합니다.

  4. 파일을 저장하고 닫습니다.

  5. 'net stop adfssrv'를 실행한 다음 'net start adfssrv'를 실행하여 AD FS 서비스를 다시 시작합니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리