페더레이션 서버에 대한 네트워크 인프라 준비

적용 대상: Azure, Office 365, Power BI, Windows Intune

다음 검사 목록에는 페더레이션 서버 팜을 배포하기 위해 수행해야 하는 준비 작업이 포함되어 있습니다.

메모

• 이러한 검사 목록의 작업을 순서대로 완료합니다. 참조 링크가 프로시저로 연결되는 경우 이 검사 목록의 나머지 작업을 진행할 수 있도록 해당 절차의 단계를 완료한 후 이 항목으로 돌아갑니다.
  
  
• 달리 명시되지 않는 한, 이 섹션의 절차를 사용하여 모든 작업을 완료하려면 먼저 컴퓨터에 Administrators 그룹의 구성원으로 로그인하거나 동등한 권한을 위임해야 합니다.
  
  

검사 목록: 페더레이션 서버용 네트워크 인프라 준비

배포 작업	이 섹션의 항목에 대한 링크	완료
1. Active Directory 사용자가 인증되는 도메인에 페더레이션 서버가 될 컴퓨터를 조인합니다. 메모 기존 도메인 컨트롤러를 페더레이션 서버로 사용하는 경우 이 단계를 무시할 수 있습니다.
2. 새 NLB 클러스터 DNS 이름을 만들고 구성하거나 회사 네트워크에서 새 페더레이션 서버 팜에서 사용할 기존 NLB 클러스터를 사용합니다. 그런 다음 NLB 클러스터에 페더레이션 서버 컴퓨터를 추가합니다. 현재 NLB 호스트에 Windows Server 기술을 사용하는 경우 운영 체제 버전에 따라 오른쪽에 적절한 링크를 선택합니다. 메모 이 단계는 단일 AD FS 페더레이션 서버를 사용하여 이 SSO 솔루션의 테스트 배포에서 선택 사항입니다.	Windows Server 2003 및 Windows Server 2003 R2에서 NLB 클러스터를 만들고 구성하려면 검사 목록: 네트워크 부하 분산사용 및 구성을 참조하세요. Windows Server 2008에서 NLB 클러스터를 만들고 구성하려면네트워크 부하 분산 클러스터 만들기 참조하세요. Windows Server 2008 R2에서 NLB 클러스터를 만들고 구성하려면네트워크 부하 분산 클러스터 만들기 참조하세요.
3. NLB 클러스터의 FQDN 이름을 클러스터 IP 주소로 가리키는 회사 네트워크 DNS의 클러스터 DNS 이름에 대한 새 리소스 레코드를 만듭니다.	회사 NLB 호스트 구성된 클러스터 DNS 이름에 대한 리소스 레코드를 회사 DNS에 추가합니다.
4. 팜의 각 페더레이션 서버에 대한 기본 웹 사이트로 서버 인증 인증서를 가져옵니다. 메모 AD FS 페더레이션 서버 구성 마법사를 사용하려면 기본 웹 사이트에 이 인증서를 설치해야 합니다.	서버 인증 인증서를 기본 웹 사이트 가져오기
5. Active Directory에서 페더레이션 서버 팜이 상주하는 전용 서비스 계정을 만들고 구성하고 이 계정을 사용하도록 팜의 각 페더레이션 서버를 구성합니다.	수동으로 페더레이션 서버 팜 대한 서비스 계정 구성

도메인에 컴퓨터 가입

AD FS가 작동하려면 페더레이션 서버로 작동하는 각 컴퓨터를 도메인에 가입해야 합니다. 페더레이션 서버 프록시는 도메인에 조인될 수 있지만 요구 사항은 아닙니다.

Windows Server 2012 R2에서 AD FS를 사용하려면 Active Directory 도메인이 다음 중 하나를 실행해야 합니다.

• Windows Server

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

컴퓨터를 도메인에 가입하려면

1. 도메인에 가입하려는 컴퓨터에서 시작클릭하고 제어판클릭한 다음 시스템두 번 클릭합니다.

2. 컴퓨터 이름, 도메인 및 작업 그룹 설정아래에서 설정 변경클릭합니다.

3. 컴퓨터 이름 탭에서 변경을 클릭합니다.

4. 구성원 아래에서 도메인클릭하고 이 컴퓨터가 가입할 도메인의 이름을 입력한 다음 확인클릭합니다.

5. 확인클릭한 다음 컴퓨터를 다시 시작합니다.

회사 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드를 회사 DNS에 추가합니다.

회사 네트워크의 클라이언트가 페더레이션 서비스에 성공적으로 액세스하려면 먼저 페더레이션 서비스의 클러스터 DNS 이름(예: fs.fabrikam.com)을 회사 네트워크의 클러스터 IP 주소(예: 172.16.1.3)로 확인하는 DNS(회사 도메인 이름 시스템)에서 호스트(A) 리소스 레코드를 만들어야 합니다. 다음 절차를 사용하여 NLB 클러스터의 회사 DNS에 호스트(A) 리소스 레코드를 추가할 수 있습니다.

회사 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드를 회사 DNS에 추가하려면

1. 회사 네트워크의 DNS 서버에서 DNS 스냅인을 엽니다.

2. 콘솔 트리에서 적용 가능한 앞으로 조회 영역(예: fabrikam.com)을 마우스 오른쪽 단추로 클릭한 다음 새 호스트(A 또는 AAAA)클릭합니다.

3. 이름페더레이션 서버 또는 페더레이션 서버 클러스터의 컴퓨터 이름만 입력합니다. 예를 들어 FQDN(정규화된 도메인 이름) fs.fabrikam.comfs를 입력합니다.

4. IP 주소페더레이션 서버 또는 페더레이션 서버 클러스터의 IP 주소를 입력합니다. 예를 들어 172.16.1.3입니다.

5. 호스트추가를 클릭합니다.

   중요하다

   DNS 서버를 사용하여 DNS 영역을 제어하기 위해 Windows 2000 Server, Windows Server 2003 또는 Windows Server 2008을 DNS 서버 서비스와 함께 실행한다고 가정합니다.

기본 웹 사이트로 서버 인증 인증서 가져오기

CA(인증 기관)에서 서버 인증 인증서를 가져온 후 팜의 각 페더레이션 서버에 대한 기본 웹 사이트에 해당 인증서를 수동으로 설치해야 합니다.

이 인증서는 AD FS 및 Microsoft 클라우드 서비스의 클라이언트에서 신뢰해야 하므로 공용(타사) CA 또는 공개적으로 신뢰할 수 있는 루트에 종속된 CA에서 발급한 SSL 인증서를 사용합니다. 예를 들어 VeriSign 또는 Thawte입니다. 공용 CA에서 인증서를 설치하는 방법에 대한 자세한 내용은 IIS 7.0: 인터넷 서버 인증서요청하세요.

메모

이 서버 인증 인증서의 주체 이름은 이전에 NLB 호스트에서 만든 클러스터 DNS 이름(예: fs.fabrikam.com)의 FQDN과 일치해야 합니다. IIS(인터넷 정보 서비스)가 설치되지 않은 경우 이 작업을 완료하려면 먼저 IIS를 설치해야 합니다. IIS를 처음으로 설치할 때 서버 역할을 설치하는 동안 메시지가 표시되면 기본 기능 옵션을 사용하는 것이 좋습니다.

서버 인증 인증서를 기본 웹 사이트로 가져오려면

1. 시작클릭하고 모든 프로그램가리킨 다음 관리 도구가리킨 다음 IIS(인터넷 정보 서비스) 관리자클릭합니다.

2. 콘솔 트리에서 computerName클릭합니다.

3. 가운데 창에서 서버 인증서두 번 클릭합니다.

4. 작업 창에서가져오기 클릭합니다.

5. 인증서 가져오기 대화 상자에서 ... 단추를 클릭합니다.

6. pfx 인증서 파일의 위치를 찾아 강조 표시한 다음 열기를 클릭합니다.

7. 인증서의 암호를 입력한 다음 확인클릭합니다.

페더레이션 서버 팜에 대한 전용 서비스 계정 만들기

AD FS에서 페더레이션 서버 팜 환경을 구성하려면 팜이 상주할 Active Directory에서 전용 서비스 계정을 만들고 구성해야 합니다. 이 전용 서비스 계정은 AD FS 팜에 필요한 모든 리소스에 팜의 각 페더레이션 서버에 대한 액세스 권한이 부여되도록 하는 데 필요합니다.

그런 다음 팜의 각 페더레이션 서버가 동일한 서비스 계정을 사용하도록 구성합니다. 예를 들어 생성된 서비스 계정이 fabrikam\ADFS2SVC 경우 페더레이션 서버 역할에 대해 구성하고 동일한 팜에 참여하는 각 컴퓨터는 팜이 작동할 페더레이션 서버 구성 마법사의 이 단계에서 fabrikam\ADFS2SVC 지정해야 합니다.

메모

이 절차에서는 전체 페더레이션 서버 팜에 대해 한 번만 작업을 수행해야 합니다. 나중에 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버를 만들 때 팜의 각 페더레이션 서버에서 서비스 계정 마법사 페이지에서 이 동일한 계정을 지정해야 합니다.

페더레이션 서버 팜에 대한 전용 서비스 계정을 만들려면

1. 조직에서 사용할 Active Directory 포리스트에 전용 사용자/서비스 계정을 만듭니다.

2. 사용자 계정 속성을 편집하고 암호가 만료되지 확인란을 선택합니다. 이 작업을 수행하면 도메인 암호 변경 요구 사항으로 인해 이 서비스 계정의 함수가 중단되지 않습니다.

   메모

   • 서비스 계정의 암호를 정기적으로 변경해야 하는 경우 ADFS2.0대한 고급 옵션 구성 참조하세요.
     
     
   • 이 전용 계정에 대해 네트워크 서비스 계정을 사용하면 Kerberos 티켓이 한 서버에서 다른 서버로 유효성을 검사하지 않아 Windows 통합 인증을 통해 액세스를 시도할 때 임의 오류가 발생합니다.
     
     

다음 단계

AD FS 배포 요구 사항을 검토했으므로 다음 단계는 사용하려는 AD FS 버전에 따라 다음 검사 목록 중 하나에서 작업을 완료하는 것입니다.

• 검사 목록: Windows Server 2012 R2 페더레이션 서버 팜 배포

• 검사 목록: 레거시 버전의 Windows Server 페더레이션 서버 팜 배포

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리