AD FS 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더 배포: 1 단계, 설정 AD FS

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목에서는 Active Directory Federation Services (AD FS) 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더를 배포 하는 첫 번째 단계에 대해 설명 합니다. 이 프로세스의 다른 단계는 다음 항목에서 찾을 수 있습니다.

참고

이 섹션에서 설명 하는 지침은 Windows Server 2019 또는 Windows Server 2016 환경을 위한 것입니다. Windows Server 2012 r2를 사용 하는 경우 Windows Server 2012 r2 지침을 따릅니다.

클라우드 폴더에 사용할 AD FS를 설정 하려면 다음 절차를 따르십시오.

전 작업

이러한 지침을 사용 하 여 설정 하는 테스트 환경을 프로덕션 환경으로 변환 하려는 경우 시작 하기 전에 다음 두 가지 작업을 수행 해야 합니다.

  • AD FS 서비스를 실행 하는 데 사용할 Active Directory 도메인 관리자 계정을 설정 합니다.

  • 서버 인증용 SSL(Secure Sockets Layer) (SSL) SAN (주체 대체 이름) 인증서를 가져옵니다. 테스트 예제에서는 자체 서명 된 인증서를 사용 하지만 프로덕션에는 공개적으로 신뢰할 수 있는 인증서를 사용 해야 합니다.

이러한 항목을 얻으려면 회사 정책에 따라 시간이 걸릴 수 있으므로 테스트 환경 만들기를 시작 하기 전에 항목에 대 한 요청 프로세스를 시작 하는 것이 유용할 수 있습니다.

인증서를 구매할 수 있는 많은 상용 Ca (인증 기관)가 있습니다. Microsoft에서 신뢰 하는 Ca 목록은 기술 자료 문서 931125에서 찾을 수 있습니다. 또 다른 대안은 회사의 엔터프라이즈 CA에서 인증서를 가져오는 것입니다.

테스트 환경의 경우 제공 된 스크립트 중 하나에서 만든 자체 서명 된 인증서를 사용 합니다.

참고

AD FS는 CNG (cryptography next generation) 인증서를 지원 하지 않습니다. 즉, Windows PowerShell cmdlet new-selfsignedcertificate을 사용 하 여 자체 서명 된 인증서를 만들 수 없습니다. 그러나 AD FS 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더 배포 블로그 게시물에 포함 된 makecert.ps1 스크립트를 사용할 수 있습니다. 이 스크립트는 AD FS 작동 하 고 인증서를 만드는 데 필요한 SAN 이름을 묻는 메시지를 표시 하는 자체 서명 된 인증서를 만듭니다.

다음 섹션에서 설명 하는 추가 전 작업을 수행 합니다.

AD FS 자체 서명 된 인증서 만들기

AD FS 자체 서명 된 인증서를 만들려면 다음 단계를 수행 합니다.

  1. AD FS 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더 배포 블로그 게시물에 제공 된 스크립트를 다운로드 한 후 파일 makecert.ps1 AD FS 컴퓨터에 복사 합니다.

  2. 관리자 권한으로 Windows PowerShell 창을 엽니다.

  3. 실행 정책을 제한 없음으로 설정 합니다.

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted
    
  4. 스크립트를 복사한 디렉터리로 변경 합니다.

  5. Makecert.exe 스크립트를 실행 합니다.

    .\makecert.ps1
    
  6. 주체 인증서를 변경 하 라는 메시지가 표시 되 면 주체의 새 값을 입력 합니다. 이 예제에서 값은 blueadfs.contoso.com입니다.

  7. SAN 이름을 입력 하 라는 메시지가 표시 되 면 Y를 누른 다음 SAN 이름을 한 번에 하나씩 입력 합니다.

    이 예에서는 blueadfs.contoso.com 를 입력 하 고 enter 키를 누른 다음 2016-adfs.contoso.com 를 입력 하 고 enter 키를 누른 후 enterpriseregistration.contoso.com 를 입력 하 고 enter 키를 누릅니다.

    모든 SAN 이름을 입력 한 경우 빈 줄에서 Enter 키를 누릅니다.

  8. 신뢰할 수 있는 루트 인증 기관 저장소에 인증서를 설치할지 묻는 메시지가 표시 되 면 Y를 누릅니다.

AD FS 인증서는 다음 값을 가진 SAN 인증서 여야 합니다.

  • AD FS 서비스 이름. 도메인

  • enterpriseregistration

  • 서버 이름 AD FS 도메인

테스트 예제에서 값은 다음과 같습니다.

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

  • 2016-adfs.contoso.com

Workplace Join enterpriseregistration SAN이 필요 합니다.

서버 IP 주소 설정

서버 IP 주소를 고정 IP 주소로 변경 합니다. 테스트 예제에서는 IP 클래스 A를 사용 합니다 .이는 192.168.0.160/subnet mask: 255.255.0.0/Default Gateway: 192.168.0.1/기본 설정 DNS: 192.168.0.150 (도메인 컨트롤러의 IP 주소)입니다.

AD FS 역할 서비스 설치

AD FS를 설치 하려면 다음 단계를 수행 합니다.

  1. AD FS를 설치 하려는 물리적 컴퓨터 또는 가상 컴퓨터에 로그온 하 고 서버 관리자를 연 후 역할 및 기능 추가 마법사를 시작 합니다.

  2. 서버 역할 페이지에서 Active Directory Federation Services 역할을 선택 하 고 다음을 클릭 합니다.

  3. Active Directory Federation Services (AD FS) 페이지에는 웹 응용 프로그램 프록시 역할을 AD FS와 동일한 컴퓨터에 설치할 수 없다는 메시지가 표시 됩니다. 다음을 클릭합니다.

  4. 확인 페이지에서 설치 를 클릭 합니다.

Windows PowerShell를 통해 동일한 AD FS 설치를 수행 하려면 다음 명령을 사용 합니다.

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

AD FS 구성

다음으로 서버 관리자 또는 Windows PowerShell를 사용 하 여 AD FS를 구성 합니다.

서버 관리자를 사용 하 여 AD FS 구성

서버 관리자를 사용 하 여 AD FS를 구성 하려면 다음 단계를 수행 합니다.

  1. [서버 관리자]를 엽니다.

  2. 서버 관리자 창의 맨 위에 있는 알림 플래그를 클릭 한 다음 이 서버에서 페더레이션 서비스 구성을 클릭 합니다.

  3. Active Directory Federation Services 구성 마법사가 시작 됩니다. AD DS 커넥트 페이지에서 AD FS 계정으로 사용할 도메인 관리자 계정을 입력 하 고 다음을 클릭 합니다.

  4. 서비스 속성 지정 페이지에서 AD FS 통신에 사용할 SSL 인증서의 주체 이름을 입력 합니다. 테스트 예제에서는 blueadfs.contoso.com입니다.

  5. 페더레이션 서비스 이름을 입력 합니다. 테스트 예제에서는 blueadfs.contoso.com입니다. 다음을 클릭합니다.

    참고

    페더레이션 서비스 이름에는 환경의 기존 서버 이름을 사용 하면 안 됩니다. 기존 서버의 이름을 사용 하는 경우 AD FS 설치는 실패 하 고 다시 시작 해야 합니다.

  6. 서비스 계정 지정 페이지에서 관리 서비스 계정에 사용할 이름을 입력 합니다. 테스트 예제에 대해 그룹 관리 서비스 계정 만들기를 선택 하 고 계정 이름ADFSService를 입력 합니다. 다음을 클릭합니다.

  7. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용 하 여이 서버에 데이터베이스 만들기를 선택 하 고 다음을 클릭 합니다.

  8. 옵션 검토 페이지에는 선택한 옵션에 대 한 개요가 표시 됩니다. 다음을 클릭합니다.

  9. 필수 구성 요소 확인 페이지에는 모든 필수 구성 요소 검사가 성공적으로 통과 되었는지 여부가 표시 됩니다. 문제가 없으면 구성을 클릭 합니다.

    참고

    AD FS 서버 이름이 나 다른 기존 컴퓨터의 이름을 사용 하 여 페더레이션 서비스 이름을 사용 하는 경우 오류 메시지가 표시 됩니다. 설치를 시작 하 고 기존 컴퓨터의 이름 이외의 이름을 선택 해야 합니다.

  10. 구성이 성공적으로 완료 되 면 결과 페이지에서 AD FS 성공적으로 구성 되었음을 확인 합니다.

PowerShell을 사용 하 여 AD FS 구성

Windows PowerShell를 통해 동일한 AD FS 구성을 수행 하려면 다음 명령을 사용 합니다.

AD FS를 설치 하려면:

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

관리 서비스 계정을 만들려면 다음을 수행 합니다.

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

AD FS를 구성한 후 이전 단계에서 만든 관리 서비스 계정 및 사전 구성 단계에서 만든 인증서를 사용 하 여 AD FS 팜을 설정 해야 합니다.

AD FS 팜을 설정 하려면 다음을 수행 합니다.

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

다음 단계: AD FS 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더 배포: 2 단계, AD FS 후 구성 작업

참고 항목

클라우드 폴더 개요