AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 1단계, AD FS 설정

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목에서는 AD FS(Active Directory Federation Services) 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더를 배포하는 첫 번째 단계를 설명합니다. 이 프로세스의 다른 단계는 다음 항목에서 찾을 수 있습니다.

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 개요

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 2단계, AD FS 구성 후 작업

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 3단계, 클라우드 폴더 설정

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 4단계, 웹 애플리케이션 프록시 설정

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 5단계, 클라이언트 설정

참고 항목

이 섹션에서 다루는 지침은 Windows Server 2019 또는 Windows Server 2016 환경에 대한 것입니다. Windows Server 2012 R2를 사용하는 경우 Windows Server 2012 R2 지침을 따릅니다.

클라우드 폴더에 사용할 AD FS를 설정하려면 다음 절차를 사용합니다.

사전 할부 작업

이러한 지침으로 설정한 테스트 환경을 프로덕션 환경으로 변환하려는 경우 시작하기 전에 수행할 수 있는 두 가지 방법이 있습니다.

• AD FS 서비스를 실행하는 데 사용할 Active Directory 도메인 관리자 계정을 설정합니다.

• 서버 인증을 위해 SSL(Secure Sockets Layer) SAN(주체 대체 이름) 인증서를 가져옵니다. 테스트 예제에서는 자체 서명된 인증서를 사용하지만 프로덕션의 경우 공개적으로 신뢰할 수 있는 인증서를 사용해야 합니다.

이러한 항목을 가져오는 데는 회사의 정책에 따라 다소 시간이 걸릴 수 있으므로 테스트 환경을 만들기 전에 항목에 대한 요청 프로세스를 시작하는 것이 좋습니다.

인증서를 구입할 수 있는 많은 상용 CA(인증 기관)가 있습니다. Microsoft 에서 신뢰하는 CA 목록은 KB 문서 931125 찾을 수 있습니다. 또 다른 대안은 회사의 엔터프라이즈 CA에서 인증서를 가져오는 것입니다.

테스트 환경의 경우 제공된 스크립트 중 하나에서 만든 자체 서명된 인증서를 사용합니다.

참고 항목

AD FS는 CNG(Cryptography Next Generation) 인증서를 지원하지 않습니다. 즉, Windows PowerShell cmdlet New-SelfSignedCertificate를 사용하여 자체 서명된 인증서를 만들 수 없습니다. 그러나 AD FS 및 웹 애플리케이션 프록시 블로그 게시물을 사용하여 클라우드 폴더 배포에 포함된 makecert.ps1 스크립트를 사용할 수 있습니다. 이 스크립트는 AD FS와 함께 작동하는 자체 서명된 인증서를 만들고 인증서를 만드는 데 필요한 SAN 이름을 묻는 메시지를 표시합니다.

다음으로, 다음 섹션에 설명된 추가 사전 할부 작업을 수행합니다.

AD FS 자체 서명된 인증서 만들기

AD FS 자체 서명된 인증서를 만들려면 다음 단계를 수행합니다.

1. AD FS 및 웹 애플리케이션 프록시 블로그 게시물을 사용하여 클라우드 폴더 배포에 제공된 스크립트를 다운로드한 다음 makecert.ps1 파일을 AD FS 컴퓨터에 복사합니다.

2. 관리자 권한으로 Windows PowerShell 창을 엽니다.

3. 실행 정책을 무제한으로 설정합니다.

   Set-ExecutionPolicy –ExecutionPolicy Unrestricted
   

4. 스크립트를 복사한 디렉터리로 변경합니다.

5. makecert 스크립트를 실행합니다.

   .\makecert.ps1
   

6. 주체 인증서를 변경하라는 메시지가 표시되면 제목에 대한 새 값을 입력합니다. 이 예제에서는 값이 blueadfs.contoso.com.

7. SAN 이름을 입력하라는 메시지가 표시되면 Y 키를 누른 다음 SAN 이름을 한 번에 하나씩 입력합니다.

   이 예제에서는 blueadfs.contoso.com 입력하고 Enter 키를 누른 다음 2016-adfs.contoso.com 입력하고 Enter 키를 누른 다음 enterpriseregistration.contoso.com 입력하고 Enter 키를 누릅니다.

   모든 SAN 이름을 입력한 경우 빈 줄에서 Enter 키를 누릅니다.

8. 신뢰할 수 있는 루트 인증 기관 저장소에 인증서를 설치하라는 메시지가 표시되면 Y 키를 누릅니다.

AD FS 인증서는 다음 값을 가진 SAN 인증서여야 합니다.

• AD FS 서비스 name.domain

• enterpriseregistration.domain

• AD FS 서버 name.domain

테스트 예제에서 값은 다음과 같습니다.

• blueadfs.contoso.com

• enterpriseregistration.contoso.com

• 2016-adfs.contoso.com

Workplace Join에는 엔터프라이즈 등록 SAN이 필요합니다.

서버 IP 주소 설정

서버 IP 주소를 고정 IP 주소로 변경합니다. 테스트 예제의 경우 192.168.0.160/서브넷 마스크: 255.255.0.0/ 기본 게이트웨이: 192.168.0.1/기본 DNS: 192.168.0.150(도메인 컨트롤러의 IP 주소)인 IP 클래스 A를 사용합니다.

AD FS 역할 서비스 설치

AD FS를 설치하려면 다음 단계를 수행합니다.

1. AD FS를 설치하려는 실제 또는 가상 머신에 로그온하고 서버 관리자를 열고 역할 및 기능 추가 마법사를 시작합니다.

2. 서버 역할 페이지에서 Active Directory Federation Services 역할을 선택하고 다음을 클릭합니다.

3. AD FS(Active Directory Federation Services) 페이지에 AD FS와 동일한 컴퓨터에 웹 애플리케이션 프록시 역할을 설치할 수 없다는 메시지가 표시됩니다. 다음을 클릭합니다.

4. 확인 페이지에서 설치를 클릭합니다.

Windows PowerShell을 통해 동일한 AD FS 설치를 수행하려면 다음 명령을 사용합니다.

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

AD FS 구성

다음으로 서버 관리자 또는 Windows PowerShell을 사용하여 AD FS를 구성합니다.

서버 관리자를 사용하여 AD FS 구성

서버 관리자를 사용하여 AD FS를 구성하려면 다음 단계를 수행합니다.

1. 서버 관리자를 엽니다.

2. 서버 관리자 창 맨 위에 있는 알림 플래그를 클릭한 다음 이 서버에서 페더레이션 서비스 구성을 클릭합니다.

3. Active Directory Federation Services 구성 마법사가 시작됩니다. AD DS에 연결 페이지에서 AD FS 계정으로 사용할 도메인 관리자 계정을 입력하고 다음을 클릭합니다.

4. 서비스 속성 지정 페이지에서 AD FS 통신에 사용할 SSL 인증서의 주체 이름을 입력합니다. 테스트 예제에서는 blueadfs.contoso.com.

5. 페더레이션 서비스 이름을 입력합니다. 테스트 예제에서는 blueadfs.contoso.com. 다음을 클릭합니다.

   참고 항목

   페더레이션 서비스 이름은 환경에서 기존 서버의 이름을 사용하면 안됩니다. 기존 서버의 이름을 사용하는 경우 AD FS 설치가 실패하고 다시 시작해야 합니다.

6. 서비스 계정 지정 페이지에서 관리 서비스 계정에 사용할 이름을 입력합니다. 테스트 예제에서 그룹 관리 서비스 계정 만들기를 선택하고 계정 이름에 ADFSService를 입력합니다. 다음을 클릭합니다.

7. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용하여 이 서버에서 데이터베이스 만들기를 선택하고 다음을 클릭합니다.

8. [검토 옵션] 페이지에는 선택한 옵션에 대한 개요가 표시됩니다. 다음을 클릭합니다.

9. 필수 구성 요소 검사 페이지는 모든 필수 구성 요소 검사가 성공적으로 통과되었는지 여부를 나타냅니다. 문제가 없으면 구성을 클릭합니다.

   참고 항목

   페더레이션 서비스 이름에 AD FS 서버 또는 다른 기존 컴퓨터의 이름을 사용한 경우 오류 메시지가 표시됩니다. 설치를 다시 시작하고 기존 컴퓨터의 이름 이외의 이름을 선택해야 합니다.

10. 구성이 성공적으로 완료되면 결과 페이지에서 AD FS가 성공적으로 구성되었음을 확인합니다.

PowerShell을 사용하여 AD FS 구성

Windows PowerShell을 통해 AD FS의 동등한 구성을 수행하려면 다음 명령을 사용합니다.

AD FS를 설치하려면:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

관리 서비스 계정을 만들려면 다음을 수행합니다.

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

AD FS를 구성한 후에는 이전 단계에서 만든 관리 서비스 계정과 사전 구성 단계에서 만든 인증서를 사용하여 AD FS 팜을 설정해야 합니다.

AD FS 팜을 설정하려면 다음을 수행합니다.

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

다음 단계: AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 2단계, AD FS 구성 후 작업

참고 항목

클라우드 폴더 개요