AD FS 구성 데이터베이스의 역할

  • 아티클

AD FS 구성 데이터베이스는 AD FS(Active Directory Federation Services)의 단일 인스턴스(즉, 페더레이션 서비스)를 나타내는 모든 구성 데이터를 저장합니다. AD FS 구성 데이터베이스는 페더레이션 서비스가 파트너, 인증서, 특성 저장소, 클레임 및 이러한 관련 엔터티에 대한 다양한 데이터를 식별하는 데 필요한 매개 변수 집합을 정의합니다. 이 구성 데이터는 Microsoft SQL Server 데이터베이스 또는 Windows Server® 2012 이상에 포함된 WID(Windows 내부 데이터베이스) 기능에 저장할 수 있습니다.

참고 항목

AD FS 구성 데이터베이스의 전체 내용을 WID 인스턴스와 SQL 데이터베이스 인스턴스 중 하나에만 저장할 수 있습니다. 즉, AD FS 구성 데이터베이스의 동일한 인스턴스에 WID를 사용하는 페더레이션 서버와 SQL Server 데이터베이스를 사용하는 페더레이션 서버를 함께 사용할 수 없습니다.

다음 정보를 사용 하 여이 항목에 제공 된 내용과 함께 AD FS 배포 토폴로지 고려 사항 AD FS 구성 데이터베이스 저장 하기 위해 WID 또는 SQL Server의 장단점에 대해 자세히 알아보려면:

WID는 관계형 데이터 저장소를 사용하며 자체 관리 UI(사용자 인터페이스)가 없습니다. 대신 관리자는 AD FS 관리 스냅인, Fsconfig.exe 또는 Windows PowerShell™ cmdlet을 사용하여 AD FS 구성 데이터베이스의 콘텐츠를 수정할 수 있습니다.

WID를 사용하여 AD FS 구성 데이터베이스 저장

Fsconfig.exe 명령줄 도구 또는 AD FS 페더레이션 서버 구성 마법사를 사용하여 WID를 저장소로 사용하여 AD FS 구성 데이터베이스를 만들 수 있습니다. 이러한 도구 중 하나를 사용할 때 다음 옵션 중 하나를 선택하여 페더레이션 서버 토폴로지를 만들 수 있습니다. 이러한 각 옵션에서는 WID를 사용하여 AD FS 구성 데이터베이스를 저장합니다.

  • 독립 실행형 페더레이션 서버 만들기

  • 페더레이션 서버 팜의 첫 번째 페더레이션 서버 만들기

  • 페더레이션 서버 팜에 페더레이션 서버 추가

독립 실행형 옵션을 선택하면 WID가 AD FS 구성 데이터베이스의 단일 인스턴스를 저장하는 데 사용됩니다. 이 인스턴스는 여러 페더레이션 서버 간에 공유할 수 없습니다. 이 옵션은 테스트 랩 환경만을 위한 것입니다. 독립 실행형 페더레이션 서버 옵션 또는 설정 방법에 대한 자세한 내용은 WID를 사용하여 독립 실행형 페더레이션 서버 또는 독립 실행형 페더레이션 서버 만들기를 참조하세요.

페더레이션 서버 팜의 첫 번째 페더레이션 서버 옵션을 선택하면 나중에 추가 페더레이션 서버를 팜에 추가할 수 있도록 확장성을 지원하도록 WID가 구성됩니다. WID 팜 또는 계정을 설정 하는 방법을 배포 하는 방법에 대 한 자세한 내용은 참조 WID 페더레이션 서버 팜을 사용 하 여 또는 페더레이션 서버 팜에서 첫 번째 페더레이션 서버 만들기

페더레이션 서버 추가 옵션을 선택하면 설정된 간격으로 구성 데이터베이스의 변경 내용을 새 페더레이션 서버에 복제하도록 WID가 구성됩니다. WID 팜에 페더레이션 서버를 추가 하는 방법에 대 한 자세한 내용은 참조 WID 페더레이션 서버 팜을 사용 하 여 또는 페더레이션 서버 팜에 페더레이션 서버 추가합니다.

참고 항목

WID를 사용 하 여 페더레이션 서버 팜을 배포 하는 경우 AD FS의 일부 기능 없을 수도 있습니다. 전체 기능 집합에 액세스하려면 서버 팜을 구성할 때 Microsoft SQL Server를 사용하여 AD FS 구성 데이터베이스를 저장하는 것이 좋습니다. 자세한 내용은 참조 AD FS 배포 토폴로지 고려 사항합니다.

WID 페더레이션 서버 팜 작동 방식

이 섹션에서는 WID 페더레이션 서버 팜에서 기본 페더레이션 서버와 보조 페더레이션 서버 간에 데이터를 복제하는 방법을 설명하는 중요한 개념에 대해 알아봅니다. .

기본 페더레이션 서버

기본 페더레이션 서버는 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할로 구성되었으며 AD FS 구성 데이터베이스의 읽기/쓰기 복사본이 있는 Windows Server 2012 이상을 실행하는 컴퓨터입니다. 기본 페더레이션 서버 AD FS 페더레이션 서버 구성 마법사를 사용 하 고 새 페더레이션 서비스를 팜의 첫 번째 페더레이션 서버 컴퓨터를 만들어 옵션을 선택 하는 경우에 항상 만들어집니다. 이 팜의 다른 모든 페더레이션 서버(보조 페더레이션 서버라고도 함)는 기본 페더레이션 서버에 적용된 모든 변경 내용을 로컬로 저장된 AD FS 구성 데이터베이스의 복사본에 동기화해야 합니다.

보조 페더레이션 서버

보조 페더레이션 서버는 주 페더레이션 서버에서 AD FS 구성 데이터베이스의 복사본을 저장하지만 이러한 복사본은 읽기 전용입니다. 보조 페더레이션 서버는 데이터가 변경되었는지 확인하기 위해 정기적으로 폴링하여 팜의 기본 페더레이션 서버에 연결하고 데이터를 동기화합니다. 보조 페더레이션 서버는 네트워크 환경 전체에서 서로 다른 사이트에서 수행되는 액세스 요청의 부하를 분산하는 역할을 하면서 주 페더레이션 서버에 대한 내결함성을 제공하기 위해 존재합니다.

AD FS 구성 데이터베이스를 동기화하는 방법

AD FS 구성 데이터베이스가 수행하는 중요한 역할 때문에 요청을 처리할 때(네트워크 부하 분산 장치를 사용하는 경우) 내결함성 및 부하 분산 기능을 제공하기 위해 네트워크의 모든 페더레이션 서버에서 사용할 수 있습니다. 그러나 보조 페더레이션 서버가 이 용량에서 작동하려면 기본 페더레이션 서버에 저장된 AD FS 구성 데이터베이스를 동기화합니다.

팜에 페더레이션 서버를 추가하면 보조 페더레이션 서버로 사용되는 새 컴퓨터가 기본 페더레이션 서버에 연결하여 AD FS 구성 데이터베이스의 복사본을 복제합니다. 이 시점부터 새 페더레이션 서버는 다음 그림에 표시된 대로 기본 페더레이션 서버에서 정기적으로 업데이트를 가져옵니다.

AD FS configuration

각 보조 페더레이션 서버는 5분마다 변경 내용에 대해 기본 페더레이션 서버를 폴링합니다. 이 기본 5분 값을 조정하거나 Windows PowerShell cmdlet을 사용하여 언제든지 즉시 동기화를 수행할 수 있습니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 참조 Windows PowerShell을 사용한 AD FS 관리합니다.

WID 동기화 프로세스는 중간 변경 내용에 대한 보다 효율적인 전송을 위해 증분 전송도 지원합니다. 증분 전송 프로세스는 상당히 적은 네트워크 트래픽을 사용하며 전송이 훨씬 빨리 완료됩니다.

참고 항목

WID에서 SQL Server 인스턴스로 AD FS 구성 데이터베이스를 마이그레이션할 수 있습니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 참조 AD FS: AD FS 구성 데이터베이스를 SQL Server로 마이그레이션할 TechNet Wiki 사이트에 있습니다.

AD FS 동기화 속성을 관리하는 방법

이 섹션에서는 AD FS 구성 데이터베이스 동기화 속성을 보고 편집하는 방법을 설명합니다. .

Get-ADFSSyncProperties cmdlet은 AD FS(Active Directory Federation Services)의 구성 데이터베이스에 대한 동기화 속성을 가져옵니다.

PS C:\> Get-ADFSSyncProperties

기본 AD FS 서버에서 이 cmdlet은 역할이 기본 컴퓨터임을 표시합니다. 보조 멤버에서는 정규화된 Do기본 기본 컴퓨터의 마지막 동기화 이름, 마지막 동기화 상태 및 시간, 폴링 기간, 현재 구성된 기본 컴퓨터 이름, 주 컴퓨터 포트 및 보조 컴퓨터의 역할을 포함한 나머지 구성이 표시됩니다.

Set-ADFSSyncProperties cmdlet은 AD FS(Active Directory Federation Services) 구성 데이터베이스에 대한 동기화 빈도를 수정합니다. 또한 cmdlet은 페더레이션 서버 팜의 주 서버인 페더레이션 서버를 지정합니다.

참고 항목

기본 페더레이션 서버가 작동이 중단되거나 오프라인 상태인 경우 모든 보조 페더레이션 서버는 계속 정상적으로 요청을 처리합니다. 그러나 기본 페더레이션 서버가 다시 온라인 상태가 될 때까지 새 변경 내용을 페더레이션 서비스에 적용할 수 없습니다. Windows PowerShell을 사용하여 보조 페더레이션 서버를 기본 페더레이션 서버로 지정할 수도 있습니다. 새 주 서버를 지명하는 경우 새 주 서버를 반영하도록 다시 기본 서버를 수정해야 합니다. WID 팜에 2개의 주 복제본이 있으면 팜의 안정성에 영향을 미치며 데이터가 손실될 가능성이 있습니다.

팜의 폴링 기간 수정

PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"

이 명령은 데이터베이스 동기화를 3600초로 수정합니다. 이 명령은 기본 페더레이션 서버를 변경합니다.

서버를 보조 서버에서 주 서버로 변경

PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"

이 명령은 WID 팜의 AD FS 서버를 보조에서 주 서버로 변경합니다.

주 서버를 보조 서버로 변경

PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

이 명령은 WID 팜의 기본 AD FS 서버를 보조 서버로 변경합니다. 주 서버의 정규화된 do기본 이름을 지정해야 합니다. 이렇게 하지 않으면 모든 보조 AD FS 서버가 제대로 동기화되지 않을 수 있습니다. 참고: 주 서버는 보조 서버에서 포트 80의 HTTP를 통해 액세스할 수 있어야 합니다.

자세한 내용은 다음을 참조하세요. Set-AdfsSyncProperties

SQL Server를 사용하여 AD FS 구성 데이터베이스 저장

Fsconfig.exe 명령줄 도구를 사용하여 단일 SQL Server 데이터베이스 인스턴스를 저장소로 사용하여 AD FS 구성 데이터베이스를 만들 수 있습니다. SQL Server 데이터베이스를 AD FS 구성 데이터베이스로 사용하면 WID에 비해 다음과 같은 이점을 얻을 수 있습니다.

  • 관리자가 SQL Server의 고가용성 기능을 활용할 수 있습니다.

  • 높은 트래픽에 대한 추가 성능 향상을 제공합니다.

  • SAML 아티팩트 확인 및 SAML/WS-Federation 토큰 재생 검색(아래 설명)의 기능을 지원합니다.

다음 그림과 같이 모든 페더레이션 서버가 동일한 클러스터형 SQL Server 인스턴스를 사용하는 AD FS 구성 데이터베이스에 동일하게 읽고 쓸 수 있으므로 AD FS 구성 데이터베이스가 SQL 데이터베이스 인스턴스에 저장되면 "기본 페더레이션 서버"라는 용어가 적용되지 않습니다.

AD FS roles

SQL Server를 사용 하 여 AD FS가 들어오는 클라이언트 요청을 항상 사용 가능한 수 있도록 서버 클러스터로 함께 작동 하도록 두 개 이상의 서버를 구성할 수 있습니다. 고가용성에서는 서버를 추가하여 서버 용량을 늘릴 수 있는 스케일 아웃 아키텍처를 제공합니다. 자동 클러스터 장애 조치(failover)를 통해 단일 실패 지점이 완화됩니다.

SQL 클러스터링 기술에서 제공하는 네트워크 부하 분산 및 장애 조치(failover) 서비스를 사용하여 고가용성을 달성할 수 있습니다. 고가용성을 위해 SQL Server를 구성하는 방법에 대한 자세한 내용은 고가용성 솔루션 개요를 참조하세요.

SAML 아티팩트 확인

SAML(Security Assertion Markup Language) 아티팩트 확인은 신뢰 당사자가 클레임 공급자에서 직접 토큰을 검색하는 방법을 설명하는 SAML 2.0 프로토콜 부분을 기반으로 하는 엔드포인트입니다. 확인 프로세스의 첫 번째 단계에서는 브라우저 클라이언트가 리소스 페더레이션 서버에 연결하여 이 서버에 아티팩트를 제공합니다. 두 번째 단계에서는 리소스 페더레이션 서버가 아티팩트 메시지를 확인하기 위해 계정 파트너 조직에서 호스트되는 SAML 아티팩트 엔드포인트 URL로 아티팩트를 보냅니다. 마지막 단계에서는 계정 페더레이션 서버가 브라우저 클라이언트를 대신해 페더레이션 서버에 토큰을 발급합니다.

참고 항목

계정 파트너 조직의 관리자인 경우 Windows 루트 인증서 프로그램 구성원의 루트 인증서에 연결된 SSL 인증서를 팜의 모든 계정 페더레이션 서버에서 IIS(<ComputerName>\Sites\Default Web Site\adfs\ls)의 페더레이션 수동 웹 사이트에 할당하거나 바인딩해야 합니다. 이는 리소스 페더레이션 서버에서 Local Computers Trusted People 인증서 저장소에 SSL 인증서를 수동으로 추가하거나 조직에 게시된 아티팩트를 확인하는 것을 방지하는 데 중요합니다.

SAML/WS - 페더레이션 토큰 재생 검색

용어 토큰 재생 는는 계정 파트너 조직의 브라우저 클라이언트가 리소스 페더레이션 서버에 인증을 여러 번 계정 페더레이션 서버에서 받은 동일한 토큰을 보내려고 시도 것을 의미 합니다. 이 act를 클릭할 때 발생 된 다시 인증 페이지를 다시 전송 하기 위해 브라우저의 단추입니다.

라고 하는 기능을 제공 하는 AD FS 토큰 재생 검색 있는 여러 토큰 요청에서 동일한 토큰을 사용 하 여 탐지 및 다음 삭제 됩니다. 이 기능을 사용하도록 설정하면 토큰 재생 검색은 동일한 토큰이 두 번 이상 사용되지 않도록 하여 WS-Federation 수동 프로필 및 SAML WebSSO 프로필 모두에서 인증 요청의 무결성을 보호합니다. 키오스크를 사용하는 경우 등 보안이 매우 중요한 상황에서 이 기능을 사용해야 합니다.

예를 들어 키오스크에서는 사용자가 모든 웹 사이트에서 로그오프할 수 있는데, 이 경우 나중에 악의적인 사용자가 브라우저 기록을 사용해 이전 사용자가 로드한 페더레이션된 인증 페이지를 다시 제출하려고 시도할 수 있습니다. 이 기능은 토큰의 후속 재생을 감지하고 여러 인증 시도가 성공하지 못하도록 하기 위해 계정 파트너 조직에서 성공한 각 인증에 대한 추가 정보를 저장하여 이러한 문제를 완화합니다.