페더레이션 서버에 대한 네트워크 인프라 준비

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

다음 검사 목록에는 페더레이션 서버 팜을 배포하기 위해 수행해야 하는 준비 작업이 나와 있습니다.

참고

  • 이러한 검사 목록의 작업을 순서대로 완료하십시오. 참조 링크가 절차를 안내하는 경우 이 검사 목록의 나머지 작업을 계속 진행하려면 해당 절차의 단계를 완료한 후 이 항목으로 돌아와야 합니다.

  • 별도로 명시되지 않은 한, 이 단원의 절차를 사용하여 모든 작업을 완료하려면 먼저 Administrators 그룹의 구성원으로 컴퓨터에 로그인하거나 이와 동등한 권한을 위임 받아야 합니다.

Checklist검사 목록: 페더레이션 서버에 대한 네트워크 인프라 준비

배포 작업 이 단원의 항목 링크 완료됨

1. Active Directory 사용자를 인증할 도메인에 페더레이션 서버가 될 컴퓨터를 조인합니다.

참고

기존 도메인 컨트롤러를 페더레이션 서버로 사용할 경우 이 단계를 무시할 수 있습니다.

Checkbox

2. 새 NLB 클러스터 DNS 이름을 만들고 구성하거나 새 페더레이션 서버 팜에서 사용할 기존 NLB 클러스터를 회사 네트워크에 사용합니다. 그런 다음 NLB 클러스터에 페더레이션 서버 컴퓨터를 추가합니다. 현재 NLB 호스트에 Windows Server 기술을 사용하는 경우 오른쪽에서 운영 체제 버전에 적합한 링크를 선택합니다.

참고

단일 AD FS 페더레이션 서버를 사용하는 이 SSO 솔루션의 테스트 배포에서는 필요한 경우에만 이 단계를 수행하면 됩니다.

Windows Server 2003 및 Windows Server 2003 R2에서 NLB 클러스터를 만들고 구성하려면 검사 목록: 네트워크 부하 분산 사용 및 구성을 참조하세요. Windows Server 2008에서 NLB 클러스터를 만들고 구성하려면 네트워크 부하 분산 클러스터 만들기를 참조하세요.

Windows Server 2008 R2에서 NLB 클러스터를 만들고 구성하려면 네트워크 부하 분산 클러스터 만들기를 참조하세요.

 Checkbox

3. NLB 클러스터의 FQDN 이름을 해당 클러스터 IP 주소로 가리키는 회사 네트워크 DNS에서 클러스터 DNS 이름에 대한 새 리소스 레코드를 만듭니다.

회사 DNS에 회사 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드 추가

 Checkbox

4. 팜의 각 페더레이션 서버에 대한 기본 웹 사이트로 서버 인증 인증서를 가져옵니다.

참고

이 인증서를 기본 웹 사이트에 설치해야 AD FS 페더레이션 서버 구성 마법사를 사용할 수 있습니다.

기본 웹 사이트로 서버 인증 인증서 가져오기

 Checkbox

5. Active Directory에서 페더레이션 서버 팜이 상주하는 전용 서비스 계정을 만들고 구성하고 팜의 각 페더레이션 서버에서 이 계정을 사용하도록 구성합니다.

페더레이션 서버 팜에 대한 서비스 계정을 수동으로구성

 Checkbox

도메인에 컴퓨터 가입

AD FS가 작동하려면 페더레이션 서버로 사용되는 각 컴퓨터를 도메인에 가입시켜야 합니다. 페더레이션 서버 프록시를 도메인에 가입시킬 수 있지만 이는 요구 사항은 아닙니다.

Windows Server 2012 R2에서 AD FS를 사용하려는 경우 Active Directory 도메인은 다음 중 하나를 실행해야 합니다.

  • Windows Server

  • Windows Server 2008 R2

  • Windows Server 2012

  • Windows Server 2012 R2

컴퓨터를 도메인에 가입시키려면

  1. 도메인에 가입시킬 컴퓨터에서 시작, 제어판을 차례로 클릭하고 시스템을 두 번 클릭합니다.

  2. 컴퓨터 이름, 도메인 및 작업 그룹 설정에서 설정 변경을 클릭합니다.

  3. 컴퓨터 이름 탭에서 변경을 클릭합니다.

  4. 소속 그룹에서 도메인을 클릭하고 이 컴퓨터를 가입시킬 도메인의 이름을 입력한 다음 확인을 클릭합니다.

  5. 확인을 클릭한 다음 컴퓨터를 다시 시작합니다.

회사 DNS에 회사 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드 추가

회사 네트워크의 클라이언트에서 페더레이션 서비스에 성공적으로 액세스하려면 먼저 회사 DNS(Domain Name System)에 페더레이션 서비스의 클러스터 DNS 이름(예: fs.fabrikam.com)을 회사 네트워크의 클러스터 IP 주소(예: 172.16.1.3)로 확인하는 호스트 (A) 리소스 레코드를 만들어야 합니다. 다음 절차를 사용하여 NLB 클러스터에 대한 호스트 (A) 리소스 레코드를 회사 DNS에 추가할 수 있습니다.

회사 DNS에 회사 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드를 추가하려면

  1. 회사 네트워크의 DNS 서버에서 DNS 스냅인을 엽니다.

  2. 콘솔 트리에서 fabrikam.com 등의 해당하는 정방향 조회 영역을 마우스 오른쪽 단추로 클릭하고 새 호스트(A 또는 AAAA)를 클릭합니다.

  3. 이름에 페더레이션 서버 또는 페더레이션 서버 클러스터의 컴퓨터 이름만 입력합니다. 예를 들어 FQDN(정규화된 도메인 이름)이 fs.fabrikam.com인 경우 fs를 입력합니다.

  4. IP 주소에 페더레이션 서버 또는 페더레이션 서버 클러스터의 IP 주소(예: 172.16.1.3)를 입력합니다.

  5. 호스트 추가를 클릭합니다.

    중요

    DNS 서버를 사용하여 DNS 영역을 제어하기 위해 DNS 서버 서비스와 함께 Windows 2000 Server, Windows Server 2003 또는 Windows Server 2008을 실행한다고 가정합니다.

기본 웹 사이트로 서버 인증 인증서 가져오기

CA(인증 기관)에서 서버 인증 인증서를 가져온 후에는 팜의 각 페더레이션 서버에 대한 기본 웹 사이트에 해당 인증서를 수동으로 설치해야 합니다.

Microsoft 클라우드 서비스 및 AD FS의 클라이언트가 이 인증서를 신뢰해야 하므로, VeriSign이나 Thawte와 같이 공개적으로 신뢰할 수 있는 루트의 하위 CA 또는 공용(타사) CA에서 발급한 SSL 인증서를 사용합니다. 공용 CA에서 인증서를 설치 하는 방법에 대 한 정보를 참조 하십시오. IIS 7.0: 인터넷 서버 인증서 요청합니다.

참고

이 서버 인증 인증서의 주체 이름은 이전에 NLB 호스트에 만든 클러스터 DNS 이름의 FQDN(예: fs.fabrikam.com)과 일치해야 합니다. IIS(인터넷 정보 서비스)가 설치되어 있지 않은 경우 이 작업을 완료하려면 먼저 IIS를 설치해야 합니다. IIS를 처음으로 설치하는 경우 서버 역할을 설치하는 동안 나타나는 기본 기능 옵션을 사용하는 것이 좋습니다.

서버 인증 인증서를 기본 웹 사이트로 가져오려면

  1. 시작 메뉴를 클릭하고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

  2. 콘솔 트리에서 ComputerName을 클릭합니다.

  3. 가운데 창에서 서버 인증서를 두 번 클릭합니다.

  4. 작업 창에서 가져오기를 클릭합니다.

  5. 인증서 가져오기 대화 상자에서 ... 단추를 클릭합니다.

  6. pfx 인증서 파일이 있는 위치로 이동하여 파일을 강조 표시하고 열기를 클릭합니다.

  7. 인증서 암호를 입력한 다음 확인을 클릭합니다.

페더레이션 서버 팜에 대한 전용 서비스 계정 만들기

AD FS에서 페더레이션 서버 팜 환경을 구성하려면 팜이 상주할 Active Directory에서 전용 서비스 계정을 만들고 구성해야 합니다. AD FS에 팜에 필요한 모든 리소스에 팜의 각 페더레이션 서버 액세스 권한을 부여하려면 이 전용 서비스 계정이 필요합니다.

그런 다음 이 서비스 계정을 사용하도록 팜의 각 페더레이션 서버를 구성합니다. 예를 들어 만든 서비스 계정이 fabrikam\ADFS2SVC인 경우 팜이 작동하려면 페더레이션 서버 구성 마법사의 이 단계에서 페더레이션 서버 역할에 대해 구성하고 동일한 팜에 참가할 각 컴퓨터에서 fabrikam\ADFS2SVC를 지정해야 합니다.

참고

이 절차의 작업은 전체 페더레이션 서버 팜에 대해 한 번만 수행해야 합니다. 나중에 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버를 만들 때 팜 내 각 페더레이션 서버의 서비스 계정 마법사 페이지에서 이 동일 계정을 지정해야 합니다.

페더레이션 서버 팜에 대한 전용 서비스 계정을 만들려면

  1. 조직에서 사용할 Active Directory 포리스트에 전용 사용자/서비스 계정을 만듭니다.

  2. 사용자 계정 속성을 편집하고 암호 사용 기간 제한 없음 확인란을 선택합니다. 이 작업은 도메인 암호 변경 요구 사항으로 인해 이 서비스 계정의 작동이 중단되지 않도록 해줍니다.

    참고

    • 정기적으로 서비스 계정에 대한 암호를 변경해야 하는 경우 AD FS 2.0에 대한 고급 옵션 구성을 참조하세요.

    • 이 전용 계정에 네트워크 서비스 계정을 사용하는 경우 Windows 통합 인증을 통해 액세스할 때 서버 간에 유효성이 검사되지 않은 Kerberos 티켓으로 인해 임의 오류가 발생합니다.

다음 단계

지금까지 AD FS 배포를 위한 요구 사항을 검토했습니다. 다음 단계에서는 사용하려는 AD FS 버전에 따라 다음 검사 목록 중 하나의 작업을 완료합니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리