다음을 통해 공유

페더레이션 서버 팜에 대한 서비스 계정을 수동으로구성

  • 아티클

AD FS(Active Directory Federation Services)에서 페더레이션 서버 팜 환경을 구성하려는 경우 팜이 상주할 AD DS(Active Directory 도메인 Services)에서 전용 서비스 계정을 만들고 구성해야 합니다. 그런 다음 이 계정을 사용하도록 팜의 각 페더레이션 서버를 구성합니다. 회사 네트워크의 클라이언트 컴퓨터가 Windows 통합 인증을 사용하여 AD FS 팜의 페더레이션 서버에 인증할 수 있도록 허용하려면 조직에서 다음 작업을 완료해야 합니다.

Important

AD FS 3.0(Windows Server 2012 R2)을 기준으로 AD FS는 gMSA(그룹 관리 서비스 계정)를 서비스 계정으로 사용할 수 있습니다. 이 옵션은 시간이 지남에 따라 서비스 계정 암호를 관리할 필요가 없으므로 권장되는 옵션입니다. 이 문서에서는 여전히 Windows Server 2008 R2 이하 do기본기본 DFL(기능 수준)을 실행하는 것과 같이 기존 서비스 계정을 사용하는 대체 사례에 대해 설명합니다.

참고 항목

이 절차의 작업은 전체 페더레이션 서버 팜에 대해 한 번만 수행해야 합니다. 나중에 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버를 만들 때 팜의 각 페더레이션 서버의 서비스 계정 마법사 페이지에서 동일한 계정을 지정해야 합니다.

전용 서비스 계정 만들기

  1. ID 공급자 조직에 있는 Active Directory 포리스트에서 전용 사용자/서비스 계정을 만듭니다. 이 계정은 Kerberos 인증 프로토콜이 팜 시나리오에서 작동하고 각 페더레이션 서버에서 통과 인증을 허용하는 데 필요합니다. 페더레이션 서버 팜의 용도로만 이 계정을 사용합니다.

  2. 사용자 계정 속성을 편집하고 암호 사용 기간 제한 없음 확인란을 선택합니다. 이 작업은 도메인 암호 변경 요구 사항으로 인해 이 서비스 계정의 작동이 중단되지 않도록 해줍니다.

    참고 항목

    Kerberos 티켓은 서버 간에 유효성을 검사하지 않으므로 이 전용 계정에 네트워크 서비스 계정을 사용하면 Windows 통합 인증을 통해 액세스할 때 임의 오류가 발생합니다.

서비스 계정의 SPN을 설정하려면

  1. AD FS AppPool에 대한 애플리케이션 풀 ID가 do기본 사용자/서비스 계정으로 실행되고 있으므로 Setspn.exe 명령줄 도구를 사용하여 do기본 해당 계정에 대한 SPN(서비스 사용자 이름)을 구성해야 합니다. Setspn.exe는 Windows Server 2008을 실행하는 컴퓨터에 기본적으로 설치됩니다. 사용자/서비스 계정이 있는 도메인과 동일한 도메인에 가입된 컴퓨터에서 다음 명령을 실행합니다.

    setspn -a host/<server name> <service account>

    예를 들어 모든 페더레이션 서버가 DNS(Do기본 이름 시스템) 호스트 이름 fs.fabrikam.com 따라 클러스터링되고 AD FS AppPool에 할당된 서비스 계정 이름이 adfs2farm으로 지정된 시나리오에서 다음과 같이 명령을 입력한 다음 Enter 키를 누릅니다.

    setspn -a host/fs.fabrikam.com adfs2farm

    이 작업은 이 계정에 대해 한 번만 완료해야 합니다.

  2. AD FS AppPool ID가 서비스 계정으로 변경된 후 AD FS AppPool이 정책 데이터를 읽을 수 있도록 이 새 계정에 대한 읽기 액세스를 허용하도록 SQL Server 데이터베이스에서 ACL(액세스 제어 목록)을 설정합니다.