검사 목록: 페더레이션 서버 설정
이 검사 목록에는 AD FS(Active Directory Federation Services)의 페더레이션 서버 역할에 대해 Windows Server® 2012를 실행하는 서버를 준비하는 데 필요한 배포 작업이 포함됩니다.
참고 항목
이 검사 목록의 작업을 순서대로 완료하세요. 참조 링크가 절차를 안내하는 경우 이 검사 목록의 나머지 작업을 계속 진행하려면 해당 절차의 단계를 완료한 후 이 항목으로 돌아와야 합니다.
검사 목록: 페더레이션 서버 설정
| Task | 참조 |
|---|---|
| AD FS 페더레이션 서버 배포를 시작하기 전에 다음을 검토합니다. 1.) WID(Windows 내부 데이터베이스) 또는 SQL Server를 선택하여 AD FS 구성 데이터베이스 2를 저장할 경우의 장점과 단점입니다. AD FS 배포 토폴로지 유형 및 연결 된 서버 배치와 네트워크 레이아웃 권장 합니다. |  AD FS 배포 토폴로지 결정 |
| 프로덕션 환경에서 사용 해야 하는 페더레이션 서버는 적절 한 수를 확인 하려면 AD FS 용량 계획 지침을 검토 합니다. | 페더레이션 서버 용량 계획 |
| AD FS 디자인 가이드에서 조직의 페더레이션 서버 배치 위치에 대 한 정보를 검토 | 페더레이션 서버 배치 계획 |
| 독립 실행형 페더레이션 서버 또는 페더레이션 서버 팜이 배포에 더 적합한지 확인합니다. | 페더레이션 서버를 만드는 경우 |
| 계정 파트너 조직 또는 리소스 파트너 조직에서이 새 페더레이션 서버를 만들 수 있는지 여부를 결정 합니다. | 계정 파트너에서 페더레이션 서버의 역할 검토 |
| 페더레이션 서버가 서비스 통신 인증서 및 토큰 서명 인증서를 사용하여 클라이언트 및 페더레이션 서버 프록시 요청을 안전하게 인증하는 방법에 대한 정보를 검토합니다. 주의: 이러한 인증서에는 보안 값이 없으며 공격자가 AD FS 페더레이션 서비스를 엔터프라이즈 클라이언트로 가장할 수 있도록 하는 등 https://myserver정규화되지 않은 호스트 이름이 있는 인증서를 사용하는 것이 일반적이었습니다. 따라서 FQDN(정규화된 do기본 이름)https://myserver.contoso.com을 사용하고 페더레이션 서비스의 FQDN에 발급된 SSL 인증서만 사용하는 것이 좋습니다. | 페더레이션 서버에 대한 인증서 요구 사항 |
| 페더레이션 서버에 대한 성공적인 이름 확인이 발생할 수 있도록 회사 네트워크 Do기본 DNS(이름 시스템)를 업데이트하는 방법에 대한 정보를 검토합니다. | 페더레이션 서버에 대한 이름 확인 요구 사항 |
| 계정 파트너 포리스트 또는 위치에 사용할 것 또는 포리스트를 신뢰 하는 해당 포리스트의 사용자를 인증 하는 리소스 파트너 포리스트에 도메인에 페더레이션 서버 될 컴퓨터를 가입 합니다. 참고: 계정 파트너 조직의 페더레이션 서버를 설정 하려면 페더레이션 서버를 사용 하는 해당 포리스트 또는 포리스트를 신뢰 하에서 사용자를 인증 하는 위치 포리스트의 모든 도메인에 컴퓨터 가입 먼저 있어야 합니다. |  할 일로 컴퓨터를 조인합니다기본 |
| 회사 네트워크의 페더레이션 서버 DNS 호스트 이름을 페더레이션 서버의 IP 주소를 가리키는 DNS의 새로운 리소스 레코드를 만듭니다. | 페더레이션 서버에 대한 회사 DNS에 호스트(A) 리소스 레코드 추가 |
| (선택 사항) 페더레이션 서버 팜에 페더레이션 서버를 추가할 경우 다른 페더레이션 서버가 동일한 인증서를 가져와야 할 때 인증서의 파일 형식이 준비되도록 기존 토큰 서명 인증서의 프라이빗 키(팜의 첫 번째 페더레이션 서버)를 먼저 내보내야 할 수 있습니다. 발급된 서버 인증 인증서를 여러 컴퓨터에서 다시 사용할 수 있거나(내보낼 필요 없이) 팜의 각 페더레이션 서버에 대해 고유한 서버 인증 인증서를 가져올 때는 프라이빗 키를 내보낼 필요가 없습니다. 참고: AD FS 관리 스냅인은 페더레이션 서버에 대한 서버 인증 인증서를 서비스 통신 인증서로 나타냅니다. |
서버 인증 인증서의 프라이빗 키 부분 내보내기 |
| CA(인증 기관)에서 서버 인증 인증서(또는 프라이빗 키)를 가져온 후 각 페더레이션 서버에 대한 기본 웹 사이트로 인증서 파일을 가져와야 합니다. 참고: AD FS 페더레이션 서버 구성 마법사를 사용 하기 전에 요구 사항이 기본 웹 사이트에이 인증서를 설치 합니다. | 기본 웹 사이트로 서버 인증 인증서 가져오기 |
| (선택 사항) CA에서 서버 인증 인증서를 가져오는 대신 IIS(인터넷 정보 서비스)를 사용하여 페더레이션 서버에 대한 샘플 인증서를 만들 수 있습니다. 주의: 자체 서명된 서버 인증 인증서를 사용하여 프로덕션 환경에 페더레이션 서버를 배포하는 것은 보안 모범 사례가 아닙니다. | IIS: 자체 서명된 서버 인증서를 만든 다음, 서버 인증 인증서 를 기본 웹 사이트로 가져오는 절차를 완료합니다. |
| 계정 파트너 조직에서 페더레이션 서버 팜 환경을 구성하는 경우 팜이 상주하는 AD DS(Active Directory 도메인 Services)에서 전용 서비스 계정을 만들고 구성하고 팜의 각 페더레이션 서버에서 이 계정을 사용하도록 구성해야 합니다. 이 절차를 수행 하 여 클라이언트에 Windows 통합 인증을 사용 하 여 팜에 페더레이션 서버를 인증 하기 위해 회사 네트워크로 지정 하면 있습니다. | 페더레이션 서버 팜에 대한 서비스 계정을 수동으로구성 |
| 역할을 할 페더레이션 서버 컴퓨터에서 페더레이션 서비스 역할 서비스를 설치 합니다. | 페더레이션 서비스 역할 서비스 설치 |
| AD FS 페더레이션 서버 구성 마법사를 사용 하 여 페더레이션 서버 역할을 하도록 컴퓨터에 AD FS 소프트웨어를 구성 합니다. 독립 실행형 페더레이션 서버를 설정하거나, 새 팜에 첫 번째 페더레이션 서버를 만들거나, 컴퓨터를 기존 페더레이션 서버 팜에 조인하려는 경우 이 절차를 따릅니다. 참고: 페더레이션된 웹 SSO(Single Sign-On) 디자인의 경우 계정 파트너 조직에 페더레이션 서버가 하나 이상 있고 리소스 파트너 조직에 페더레이션 서버가 하나 이상 있어야 합니다. |
독립 실행형 페더레이션 서버 만들기 |
| (선택 사항) AD FS 관리 스냅인을 사용하여 디자인을 배포하는 데 필요한 AD FS 인증서를 추가하고 구성합니다. 스냅인을 사용하여 인증서를 추가하거나 변경하는 시기에 대한 자세한 내용은 페더레이션 서버에 대한 인증서 요구 사항을 참조 하세요. |  토큰 서명 인증서 추가 |
| 조직에서 첫 번째 페더레이션 서버를 AD FS 디자인에 맞도록 페더레이션 서비스를 구성 합니다. | 검사 목록: 계정 파트너 조직 구성 |
| 클라이언트 컴퓨터에서 페더레이션 서버가 작동 하는지 확인 합니다. | 페더레이션 서버 작동 여부 확인 |