Azure에서 Azure Traffic Manager를 사용하여 고가용성 교차 지리적 AD FS 배포

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Azure에서 AD FS 배포는 Azure에서 조직에 대한 간단한 AD FS 인프라를 배포하는 방법의 단계별 지침을 제공합니다. 이 문서에서는 Azure Traffic Manager를 사용하여 Azure에서 AD FS의 지리적 간 배포를 만드는 다음 단계를 제공합니다. Azure Traffic Manager는 인프라에서 서로 다른 요구 사항에 적합하게 사용할 수 있는 라우팅 방법의 범위를 사용하여 조직에 대해 지리적으로 분배된 고가용성 및 고성능 AD FS 인프라를 만들 수 있도록 합니다.

항상 사용 가능한 교차 지리적 AD FS 인프라에서는 다음을 수행할 수 있습니다.

• 단일 실패 지점 제거: Azure Traffic Manager의 장애 조치 기능을 사용하면 전 세계의 데이터 센터 중 하나가 중단되는 경우라도 고가용성 AD FS 인프라를 달성할 수 있습니다.
• 향상된 성능: 이 문서에서 제안된 배포를 사용하여 사용자가 더욱 빠르게 인증하는 데 도움이 되는 고성능 AD FS 인프라를 제공할 수 있습니다.

디자인 원칙

기본 디자인 원칙은 Azure에서 AD FS 배포 문서의 디자인 원칙에 나열된 내용과 동일합니다. 위의 다이어그램에서는 다른 지역에 대한 기본 배포의 단순한 확장을 보여 줍니다. 새 지역으로 배포를 확장하는 경우 고려할 사항은 다음과 같습니다.

• 가상 네트워크: 추가 AD FS 인프라를 배포하려는 지리적 지역에서 새 가상 네트워크를 만들어야 합니다. 위의 다이어그램에서 각 지역에 두 개의 가상 네트워크인 Geo1 VNET과 Geo2 VNET이 표시됩니다.
• 새 지리적 VNET의 도메인 컨트롤러 및 AD FS 서버: 새 지역의 AD FS 서버가 다른 멀리 떨어진 네트워크의 도메인 컨트롤러에 연결할 필요가 없도록 새 지역에서 도메인 컨트롤러를 배포하여 인증을 완료하고 성능을 향상시키는 것이 좋습니다.
• Storage 계정: Storage 계정은 지역과 연결됩니다. 새 지역에 컴퓨터를 배포했기 때문에 지역에서 사용할 새 스토리지 계정을 만들어야 합니다.
• 네트워크 보안 그룹: 스토리지 계정으로 하나의 지역에서 만든 네트워크 보안 그룹을 다른 지역에서 사용할 수 없습니다. 따라서 새 지역에서 INT 및 DMZ 서브넷에 대한 첫 번째 지역의 네트워크 보안 그룹과 비슷한 새 네트워크 보안 그룹을 만들어야 합니다.
• 공용 IP 주소에 대한 DNS 레이블: Azure Traffic Manager는 DNS 레이블을 통해서만 엔드포인트를 참조할 수 있습니다. 그러므로 외부 부하 분산 장치의 공용 IP 주소에 대한 DNS 레이블을 만들어야 합니다.
• Azure Traffic Manager: Microsoft Azure Traffic Manager를 사용하면 전 세계 여러 데이터 센터에서 실행되는 서비스 엔드포인트에 대한 사용자 트래픽 분산을 제어할 수 있습니다. Azure Traffic Manager는 DNS 수준에서 작동합니다. DNS 응답을 사용하여 최종 사용자 트래픽을 전역적으로 분산된 엔드포인트에 전달합니다. 그러면 클라이언트가 해당 엔드포인트에 직접 연결합니다. 성능, 가중치 및 우선 순위의 다양한 라우팅 옵션을 사용하여 조직의 요구 사항에 가장 적합한 라우팅 옵션을 쉽게 선택할 수 있습니다.
• 두 지역에 있는 VNet 간 연결: 가상 네트워크 자체 간을 연결할 필요가 없습니다. 각 가상 네트워크가 도메인 컨트롤러에 액세스하고 자체에 AD FS 및 WAP 서버를 가지고 있기 때문에 다른 지역에 있는 가상 네트워크 간의 연결 없이 작업할 수 있습니다.

Azure Traffic Manager를 통합하는 단계

새 지역에서 AD FS 배포

Azure에서 AD FS 배포의 단계 및 지침에 따라 새 지리적 지역에 동일한 토폴로지를 배포합니다.

인터넷 연결(공용) 부하 분산 장치의 공용 IP 주소에 대한 DNS 레이블

위에 설명한 것처럼 Azure Traffic Manager는 DNS 레이블만 엔드포인트로 참조할 수 있으므로 외부 Load Balancer의 공용 IP 주소에 대한 DNS 레이블을 만드는 것이 중요합니다. 아래 스크린샷에서는 공용 IP 주소에 대한 DNS 레이블을 구성하는 방법을 보여줍니다.

Azure Traffic Manager 배포

아래 단계를 따라 Traffic Manager 프로필을 만듭니다. 자세한 내용은 Azure Traffic Manager 프로필 관리를 참조할 수도 있습니다.

1. Traffic Manager 프로필 만들기: Traffic Manager 프로필에 고유한 이름을 제공합니다. 이 프로필의 이름은 DNS 이름의 일부이며 Traffic Manager 도메인 이름 레이블에 대한 접두사의 역할을 담당합니다. 이름/접두사는 Traffic Manager에 대한 DNS 레이블을 만들기 위해 .trafficmanager.net에 추가됩니다. 아래 스크린샷에서는 mysts로 설정되고 결과 DNS 레이블이 mysts.trafficmanager.net인 트래픽 관리자 접두사를 보여줍니다.

   

2. 트래픽 라우팅 방법: 트래픽 관리자에서 사용할 수 있는 라우팅 옵션은 세 가지가 있습니다.

   • 우선 순위

   • 성능

   • 가중치 적용

     성능은 응답성이 뛰어난 AD FS 인프라를 달성하는 데 권장되는 옵션입니다. 하지만 배포 요구 사항에 가장 적합한 라우팅 방법을 선택할 수 있습니다. AD FS 기능은 선택한 라우팅 옵션의 영향을 받지 않습니다. 자세한 내용은 Traffic Manager 트래픽 라우팅 방법을 참조하세요. 위의 샘플 스크린샷에서 선택한 성능 방법을 볼 수 있습니다.

3. 엔드포인트 구성: 트래픽 관리자 페이지에서 엔드포인트를 클릭하고 추가를 선택합니다. 이렇게 하면 아래 스크린샷과 유사한 엔드포인트 추가 페이지가 열립니다.

   

   다른 입력의 경우 아래 지침을 따르세요.

   형식: Azure 공용 IP 주소를 가리키게 되므로 Azure 엔드포인트를 선택합니다.

   이름: 엔드포인트와 연결하려는 이름을 만듭니다. 이는 DNS 이름이 아니며 DNS 레코드와 관련이 없습니다.

   대상 리소스 유형: 공용 IP 주소를 이 속성의 값으로 선택합니다.

   대상 리소스: 구독에서 사용 가능한 여러 다양한 DNS 레이블 중에서 선택할 수 있는 옵션을 제공합니다. 구성하는 엔드포인트에 해당하는 DNS 레이블을 선택합니다.

   Azure Traffic Manager에서 트래픽을 라우팅할 각각의 지리적 지역에 대한 엔드포인트를 추가합니다. 트래픽 관리자에서 엔드포인트를 추가/구성하는 방법에 대한 자세한 내용 및 자세한 단계는 엔드포인트 추가, 사용 안 함, 사용 또는 삭제를 참조하세요.

4. 프로브 구성: 트래픽 관리자 페이지에서 구성을 클릭합니다. 구성 페이지에서 HTTP 포트 80 및 상대 경로 /adfs/probe에서 조사하도록 모니터 설정을 변경해야 합니다.

   

   참고 항목

   구성이 완료되면 엔드포인트의 상태가 ONLINE인지 확인합니다. 모든 엔드포인트가 '성능이 저하된' 상태인 경우 Azure Traffic Manager는 진단이 올바르지 않고 모든 엔드포인트에 도달 가능하다고 가정하는 트래픽을 라우팅하려고 최대한 노력합니다.

5. Azure Traffic Manager의 DNS 레코드 수정: 페더레이션 서비스는 Azure Traffic Manager DNS 이름에 대한 CNAME이어야 합니다. 페더레이션 서비스에 도달하려고 하는 모든 사용자가 실제로 Azure Traffic Manager에 도달하도록 공용 DNS 레코드에서 CNAME을 만듭니다.

   예를 들어 페더레이션 서비스 fs.fabidentity.com을 Traffic Manager로 가리키려면 DNS 리소스 레코드를 다음과 같이 업데이트해야 합니다.

   fs.fabidentity.com IN CNAME mysts.trafficmanager.net

라우팅 및 AD FS 로그인 테스트

라우팅 테스트

라우팅에 대한 기본 테스트는 각 지역에 있는 컴퓨터에서 페더레이션 서비스 DNS 이름을 ping하는 것입니다. 선택한 라우팅 방법에 따라서 실제로 ping하는 엔드포인트가 ping 디스플레이에 반영됩니다. 예를 들어 성능 라우팅을 선택한 경우 클라이언트 영역에 가장 가까운 엔드포인트에 도달하게 됩니다. 다음은 두 개의 서로 다른 지역 클라이언트 컴퓨터로부터의 두 ping의 스냅샷입니다. 하나는 동아시아 지역에 있고 다른 하나는 미국 서부에 있습니다.

AD FS 로그인 테스트

AD FS를 테스트하는 가장 쉬운 방법은 IdpInitiatedSignon.aspx 페이지를 사용하는 것입니다. 이렇게 할 수 있으려면 AD FS 속성에서 IdpInitiatedSignOn을 사용하도록 설정해야 합니다. 다음 단계에 따라 AD FS 설정을 확인합니다.

1. PowerShell을 사용하여 AD FS 서버에서 아래의 cmdlet을 실행하여 사용하도록 설정합니다. Set-AdfsProperties -EnableIdPInitiatedSignonPage $true

2. 외부 컴퓨터에서 https://<yourfederationservicedns>/adfs/ls/IdpInitiatedSignon.aspx에 액세스합니다

3. 아래와 같은 AD FS 페이지가 표시됩니다.

   

   로그인이 성공하면 아래와 같이 성공 메시지가 표시되어 제공됩니다.

   

관련 링크

• Azure에서 기본 AD FS 배포
• Microsoft Azure Traffic Manager
• Traffic Manager 트래픽 라우팅 방법

다음 단계

• Azure Traffic Manager 프로필 관리
• 엔드포인트 추가, 사용 안 함, 사용 또는 삭제