페더레이션 서버 팜을 만들어야 하는 경우
더 큰 AD FS 배포가 있는데 조직의 페더레이션 서비스에 내결함성, 부하 분산 또는 확장성을 제공해야 하는 경우에는 AD FS(Active Directory Federation Services)에서 페더레이션 서버 팜을 만드는 것이 좋습니다. 동일한 네트워크에 둘 이상의 페더레이션 서버를 만들고 각각 동일한 페더레이션 서비스를 사용하도록 구성한 다음 각 서버의 토큰 서명 인증서 공개 키를 AD FS 관리 스냅인에 추가하면 페더레이션 서버 팜이 생성됩니다.
AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 팜을 만들거나 기존 팜에 추가 페더레이션 서버를 설치할 수 있습니다. 자세한 내용은 When to Create a Federation Server를 참조하세요.
참고 항목
AD FS 페더레이션 서버 구성 마법사를 사용하여 새 페더레이션 서버 팜을 만드는 옵션을 선택하면 마법사가 Active Directory에 인증서 공유를 위한 컨테이너 개체를 만들려고 합니다. 따라서 Active Directory에 이 컨테이너 개체를 만들 수 있는 권한이 있는 계정으로 페더레이션 서버 역할을 설정할 컴퓨터에 먼저 로그온하는 것이 중요합니다.
페더레이션 서버를 팜으로 그룹화하려면 먼저 단일 FQDN(정규화된 도메인 이름)에 도착하는 요청이 서버 팜의 다양한 페더레이션 서버로 라우트되도록 서버를 클러스터해야 합니다. 회사 네트워크 내부에 NLB(네트워크 부하 분산)를 배포하면 서버 클러스터를 만들 수 있습니다. 이 가이드에서는 팜의 각 페더레이션 서버를 클러스터하도록 NLB가 적절히 구성되었다고 가정합니다.
Microsoft NLB 기술을 사용하는 클러스터 FQDN을 구성하는 방법에 대한 자세한 내용은 클러스터 매개 변수 지정을 참조하세요.
페더레이션 서버 팜 배포를 위한 모범 사례
프로덕션 환경에 페더레이션 서버를 배포하기 위한 다음 모범 사례를 따르는 것이 좋습니다.
여러 페더레이션 서버를 동시에 배포하거나 시간에 따라 팜에 서버를 더 추가하려는 경우 팜에 있는 기존 페더레이션 서버의 서버 이미지를 만든 다음 추가 페더레이션 서버를 신속하게 만들어야 할 때 해당 이미지에서 설치하는 것이 좋습니다.
참고 항목
추가 페더레이션 서버를 배포하는 데 서버 이미지 방법을 사용하는 경우 팜에 새 서버를 추가할 때마다 작업 목록: 페더레이션 서버 설정의 작업을 완료하지 않아도 됩니다.
NLB 또는 다른 형태의 클러스터링을 사용하여 많은 페더레이션 서버 컴퓨터에 대해 단일 IP 주소를 할당합니다.
팜의 각 페더레이션 서버에 대해 고정 IP 주소를 예약하고, DNS(Domain Name System) 구성에 따라 DHCP(Dynamic Host Configuration Protocol)에 각 IP 주소에 대한 제외를 삽입합니다. Microsoft NLB 기술에서는 NLB 클러스터에 참여하는 각 서버에 고정 IP 주소가 할당되어야 합니다.
AD FS 구성 데이터베이스가 SQL 데이터베이스에 저장되는 경우 여러 페더레이션 서버에서 동시에 SQL 데이터베이스를 편집하지 마세요.
팜에 대한 페더레이션 서버 구성
다음 표에서는 각 페더레이션 서버가 팜 환경에 참여할 수 있도록 하기 위해 완료해야 하는 작업에 대해 설명합니다.
| 작업 | 설명 |
|---|---|
| SQL Server를 사용하여 AD FS 구성 데이터베이스를 저장하는 경우 | 페더레이션 서버 팜이 동일한 AD FS 구성 데이터베이스 및 토큰 서명 인증서를 공유하는 둘 이상의 페더레이션 서버로 구성되어 있습니다. Windows 내부 데이터베이스 또는 SQL Server 데이터베이스에 구성 데이터베이스를 저장할 수 있습니다. SQL 데이터베이스에 구성 데이터베이스를 저장하려는 경우 팜에 참여하는 모든 새 페더레이션 서버에서 액세스할 수 있도록 구성 데이터베이스가 액세스 가능한지 확인합니다. 참고: 팜 시나리오에서는 해당 팜에 페더레이션 서버로 참여하지 않는 컴퓨터에 구성 데이터베이스를 배치하는 것이 중요합니다. Microsoft NLB는 팜에 참여하는 컴퓨터가 서로 통신하는 것을 허용하지 않습니다. 참고:팜에 참여하는 모든 페더레이션 서버의 IIS(인터넷 정보 서비스)에서 AppPool의 ID에 구성 데이터베이스에 대한 읽기 권한이 있는지 확인합니다. |
| 인증서 얻기 및 공유 | VeriSign과 같은 공용 CA(인증 기관)에서 단일 서버 인증 인증서를 얻을 수 있습니다. 그런 다음 모든 페더레이션 서버가 인증서의 동일한 프라이빗 키 부분을 공유하도록 인증서를 구성할 수 있습니다. 동일한 인증서를 공유하는 방법에 대한 자세한 내용은 Checklist: Setting Up a Federation Server을 참조하세요. 참고: AD FS 관리 스냅인은 서비스 통신 인증서로 페더레이션 서버에 대한 서버 인증 인증서를 참조합니다. 자세한 내용은 Certificate Requirements for Federation Servers를 참조하세요. |
| 동일한 SQL Server 인스턴스 가리키기 | AD FS 구성 데이터베이스가 SQL 데이터베이스에 저장되는 경우 새 페더레이션 서버가 팜의 다른 페더레이션 서버에서 사용하는 것과 동일한 SQL Server 인스턴스를 가리켜야 팜에 참여할 수 있습니다. |