인터넷에 있는 클라이언트 컴퓨터가 Active Directory Federation Services(AD FS)로 보호된 애플리케이션에 액세스하려고 할 때, 먼저 페더레이션 서버에서 인증을 받아야 합니다. 대부분의 경우, 페더레이션 서버는 일반적으로 인터넷에서 직접 액세스할 수 없습니다. 따라서 인터넷 클라이언트 컴퓨터는 페더레이션 서버 프록시로 리디렉션되어야 합니다. 적절한 DNS(Domain Name System) 레코드를 인터넷에 연결되는 DNS 영역에 추가하면 리디렉션을 수행할 수 있습니다.
사용자가 제어하는 인터넷의 DNS 영역 또는 경계 네트워크의 DNS 영역을 어떻게 구성하느냐에 따라서 인터넷 클라이언트를 페더레이션 서버 프록시로 리디렉션하는 방법이 달라집니다. 페더레이션 서버 프록시는 경계 네트워크에서 사용하기 위한 것입니다. 이것은 사용자가 제어하는 모든 인터넷 연결 영역에 DNS가 제대로 구성되어 있을 때만 인터넷 클라이언트 요청을 페더레이션 서버로 리디렉션합니다. 따라서 인터넷 연결 영역의 구성 즉, DNS 영역이 경계 네트워크만 제공하는지 경계 네트워크와 인터넷 클라이언트를 모두 제공하는지 여부가 중요합니다.
이 항목은 경계 네트워크에 페더레이션 서버 프록시를 배치할 때 이름 확인을 구성하는 단계를 설명합니다. 수행할 단계를 결정하려면 먼저 다음 DNS 시나리오 중 조직의 경계 네트워크에 있는 DNS 인프라와 가장 일치하는 시나리오를 결정합니다. 그런 다음 해당 시나리오에 대한 단계를 수행합니다.
경계 네트워크만 제공하는 DNS 영역
이 시나리오에서 조직은 경계 네트워크에 하나 또는 두 개의 DNS 영역을 갖고 조직은 인터넷의 DNS 영역을 제어하지 않습니다. 경계 네트워크 시나리오에만 사용 되는 DNS 영역에 페더레이션 서버 프록시에 대 한 성공적인 이름 확인은 다음 조건에 따라 달라 집니다.
페더레이션 서버 프록시는 호스트 파일에 페더레이션 서버 엔드포인트 URL의 정규화된 도메인 이름(FQDN)을 페더레이션 서버의 IS 주소나 페더레이션 서버 클러스터로 확인할 설정이 있어야 합니다.
계정 파트너의 경계 네트워크에서 DNS는 페더레이션 서버 엔드포인트 URL의 FQDN이 페더레이션 서버 프록시의 IP 주소로 해결되도록 구성되어야 합니다.
다음 그림과 해당 단계에서는 이러한 각 조건이 지정된 예에서 어떻게 달성되는지를 보여 줍니다. 이 그림에서는 Microsoft 네트워크 부하 분산(NLB) 기술이 기존 페더레이션 서버 팜에 단일, 클러스터 FQDN 및 단일 클러스터 IP 주소를 제공합니다.
Microsoft Network Load Balancing 기술이 기존 페더레이션 서버 팜에 단일 클러스터 F Q D N과 단일 클러스터 I P 주소를 제공하는 것을 보여주는 그림.
클러스터 IP 주소 및 클러스터 FQDN을 NLB를 사용하여 구성하는 방법에 대한 자세한 내용은 클러스터 매개 변수 지정을 참조하세요.
1. 페더레이션 서버 프록시에 호스트 파일 구성
경계 네트워크의 DNS가 fs.fabrikam.com의 모든 요청을 계정 페더레이션 서버 프록시로 확인하도록 구성되기 때문에 계정 파트너 페더레이션 서버 프록시는 회사 네트워크에 연결된 fs.fabrikam.com을 실제 계정 페더레이션 서버(또는 페더레이션 서버 팜에 대한 클러스터 DNS 이름)으로 확인할 항목이 그 로컬 호스트 파일에 있습니다. 계정 페더레이션 서버 프록시가 fs.fabrikam.com의 호스트 이름을 계정 페더레이션 서버로 해석하여 페더레이션 서버와 통신할 수 있게 합니다. 이는 경계 DNS를 사용하여 fs.fabrikam.com를 조회할 경우 발생하는 자기 참조 문제를 피하기 위한 것입니다.
2. 경계 DNS 구성
단일 AD FS 호스트 이름만 클라이언트 컴퓨터에 지정되기 때문에, 인터넷에 있는 클라이언트 컴퓨터가 경계 DNS 서버를 사용할 경우 계정 페더레이션 서버의 FQDN(fs.fabrikam.com)을 경계 네트워크에서 계정 페더레이션 서버 프록시의 IP 주소로 해석해야 합니다. fs.fabrikam.com을 확인하려고 할 때 계정 페더레이션 서버 프록시로 클라이언트를 전달할 수 있도록 경계 DNS에는 fs (fs.fabrikam.com)에 대해 단일 호스트 (A) 리소스 레코드가 있는 corp.fabrikam.com DNS 영역과 계정 페더레이션 서버 프록시의 IP 주소가 경계 네트워크에 있습니다.
페더레이션 서버 프록시의 호스트 파일을 수정하고 인터넷 경계 네트워크에서 DNS를 구성하는 방법에 대한 자세한 내용은, 경계 네트워크에서만 작동하는 DNS 영역에서 페더레이션 서버 프록시의 이름 확인을 구성하는 방법에 대한 정보를 참조하십시오.
경계 네트워크와 인터넷 클라이언트를 모두 제공하는 DNS 영역
이 시나리오에서 조직은 경계 네트워크의 DNS 영역과 인터넷에 있는 하나 이상의 DNS 영역을 제어합니다. 이 시나리오에서 페더레이션 서버 프록시에 대 한 성공적인 이름 확인은 다음 조건에 따라 달라 집니다.
계정 파트너의 인터넷 영역에서 DNS는 페더레이션 서버 호스트 이름의 FQDN이 경계 네트워크에 있는 페더레이션 서버 프록시의 IP 주소로 해석되도록 구성해야 합니다.
계정 파트너의 경계 네트워크에 있는 DNS는 페더레이션 서버 호스트 이름의 FQDN이 회사 네트워크의 페더레이션 서버 IP 주소로 해결되도록 구성해야 합니다.
다음 그림과 해당 단계에서는 이러한 각 조건이 지정된 예에서 어떻게 달성되는지를 보여 줍니다.
이름 요구 사항
1. 경계 DNS 구성
이 시나리오의 경우 특정 엔드포인트 URL(즉, fs.fabrikam.com)에 대한 요청을 경계 네트워크의 페더레이션 서버 프록시로 확인하도록 제어하는 인터넷 DNS 영역을 구성하는 것으로 가정하기 때문에, 회사 네트워크의 페더레이션 서버로도 이러한 요청을 전달하도록 경계 DNS의 해당 영역을 구성해야 합니다.
클라이언트가 fs.fabrikam.com을 확인하려고 시도할 때 계정 페더레이션 서버로 전달될 수 있도록, 주변부 DNS는 회사 네트워크의 계정 페더레이션 서버의 IP 주소를 가진 fs(fs.fabrikam.com)에 대한 단일 호스트 (A) 리소스 레코드로 구성됩니다. 그러면 계정 페더레이션 서버 프록시는 fs.fabrikam.com의 호스트 이름을 자체가 아닌 계정 페더레이션 서버로 해결하여, 인터넷 DNS를 통해 조회하는 경우처럼 착오가 생기지 않고 페더레이션 서버와 통신할 수 있게 됩니다.
2. 인터넷 DNS 구성
이 시나리오에서 이름 해석이 성공하려면 fs.fabrikam.com에 대한 모든 인터넷 클라이언트 컴퓨터의 요청은 귀하가 관리하는 인터넷 DNS 영역에서 해석되어야 합니다. 인터넷 DNS 영역을 구성하여 클라이언트 요청을 fs.fabrikam.com에서 경계 네트워크의 계정 페더레이션 서버 프록시의 IP 주소로 전달하도록 해야 합니다.
경계 네트워크와 인터넷 클라이언트를 모두 지원하는 DNS 영역에서 페더레이션 서버 프록시의 이름 확인을 구성하는 방법에 대한 자세한 내용은 참조하십시오.
참조 항목
Windows Server 2012의 AD FS 디자인 가이드