AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 3단계, 클라우드 폴더 설정

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목에서는 AD FS(Active Directory Federation Services) 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더를 배포하는 세 번째 단계를 설명합니다. 이 프로세스의 다른 단계는 다음 항목에서 찾을 수 있습니다.

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 개요

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 1단계, AD FS 설정

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 2단계, AD FS 구성 후 작업

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 4단계, 웹 애플리케이션 프록시 설정

• AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 5단계, 클라이언트 설정

참고 항목

이 섹션에서 다루는 지침은 Windows Server 2019 또는 Windows Server 2016 환경에 대한 것입니다. Windows Server 2012 R2를 사용하는 경우 Windows Server 2012 R2 지침을 따릅니다.

클라우드 폴더를 설정하려면 다음 절차를 따르세요.

사전 할부 작업

클라우드 폴더를 설치하려면 도메인에 가입되어 Windows Server 2016을 실행하는 서버가 있어야 합니다. 서버에 유효한 네트워크 구성이 있어야 합니다.

테스트 예제의 경우 다음 섹션에 설명된 대로 클라우드 폴더를 실행하는 컴퓨터를 Contoso 도메인에 조인하고 네트워크 인터페이스를 설정합니다.

서버 IP 주소 설정

서버 IP 주소를 고정 IP 주소로 변경합니다. 테스트 예제의 경우 192.168.0.170/서브넷 마스크: 255.255.0.0/ 기본 게이트웨이: 192.168.0.1/기본 DNS: 192.168.0.150(도메인 컨트롤러의 IP 주소)인 IP 클래스 A를 사용합니다.

클라우드 폴더에 대한 CNAME 레코드 만들기

클라우드 폴더에 대한 CNAME 레코드를 만들려면 다음 단계를 수행합니다.

1. 도메인 컨트롤러에서 DNS 관리자를 엽니다.

2. 정방향 조회 영역 폴더를 확장하고 도메인을 마우스 오른쪽 단추로 클릭한 다음 새 별칭(CNAME)을 클릭합니다.

3. 새 리소스 레코드 창의 별칭 이름 필드에 클라우드 폴더의 별칭을 입력합니다. 테스트 예제에서 작업 폴더입니다.

4. 정규화된 도메인 이름 필드에서 값은 workfolders.contoso.com 합니다.

5. 대상 호스트 필드의 정규화된 도메인 이름에 클라우드 폴더 서버의 FQDN을 입력합니다. 테스트 예제에서는 2016-WF.contoso.com.

6. 확인을 클릭합니다.

Windows PowerShell을 통해 동일한 단계를 수행하려면 다음 명령을 사용합니다. 도메인 컨트롤러에서 명령을 실행해야 합니다.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

AD FS 인증서 설치

다음 단계를 사용하여 AD FS 설치 중에 만든 AD FS 인증서를 로컬 컴퓨터 인증서 저장소에 설치합니다.

1. 시작을 클릭한 다음 실행을 클릭합니다.

2. MMC를 입력합니다.

3. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.

4. 사용 가능한 스냅인 목록에서 인증서를 선택한 다음 추가를 클릭합니다. 인증서 스냅인 마법사가 시작됩니다.

5. 컴퓨터 계정을 선택한 다음 다음을 클릭합니다.

6. 로컬 컴퓨터(이 콘솔이 실행 중인 컴퓨터)를 선택한 다음 마침을 클릭합니다.

7. 확인을 클릭합니다.

8. 콘솔 루트\인증서(로컬 컴퓨터)\Personal\Certificates 폴더 를 확장합니다.

9. 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 가져오기를 클릭합니다.

10. AD FS 인증서가 포함된 폴더로 이동하고 마법사의 지침에 따라 파일을 가져와 인증서 저장소에 배치합니다.

11. 콘솔 루트\인증서(로컬 컴퓨터)\신뢰할 수 있는 루트 인증 기관\인증서 폴더 를 확장합니다.

12. 인증서를 마우스 오른쪽 단추로 클릭하고 모든 작업을 클릭한 다음 가져오기를 클릭합니다.

13. AD FS 인증서가 포함된 폴더로 이동하고 마법사의 지침에 따라 파일을 가져와 신뢰할 수 있는 루트 인증 기관 저장소에 배치합니다.

클라우드 폴더 자체 서명된 인증서 만들기

클라우드 폴더 자체 서명 인증서를 만들려면 다음 단계를 수행합니다.

1. AD FS 및 웹 애플리케이션 프록시 블로그 게시물을 사용하여 클라우드 폴더 배포에 제공된 스크립트를 다운로드한 다음 makecert.ps1 파일을 클라우드 폴더 컴퓨터에 복사합니다.

2. 관리자 권한으로 Windows PowerShell 창을 엽니다.

3. 실행 정책을 무제한으로 설정합니다.

   PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
   

4. 스크립트를 복사한 디렉터리로 변경합니다.

5. makeCert 스크립트를 실행합니다.

   PS C:\temp\scripts> .\makecert.ps1
   

6. 주체 인증서를 변경하라는 메시지가 표시되면 제목에 대한 새 값을 입력합니다. 이 예제에서는 값이 workfolders.contoso.com.

7. SAN(주체 대체 이름) 이름을 입력하라는 메시지가 표시되면 Y 키를 누른 다음 SAN 이름을 한 번에 하나씩 입력합니다.

   이 예제에서는 workfolders.contoso.com 입력하고 Enter 키를 누릅니다. 그런 다음 2016-WF.contoso.com 입력하고 Enter 키를 누릅니다.

   모든 SAN 이름을 입력한 경우 빈 줄에서 Enter 키를 누릅니다.

8. 신뢰할 수 있는 루트 인증 기관 저장소에 인증서를 설치하라는 메시지가 표시되면 Y 키를 누릅니다.

클라우드 폴더 인증서는 다음 값을 가진 SAN 인증서여야 합니다.

• workfolders.도메인

• 컴퓨터 이름입니다.도메인

테스트 예제에서 값은 다음과 같습니다.

• workfolders.contoso.com

• 2016-WF.contoso.com

클라우드 폴더 설치

클라우드 폴더 역할을 설치하려면 다음 단계를 수행합니다.

1. 서버 관리자를 열고 역할 및 기능 추가를 클릭한 다음 다음을 클릭합니다.

2. 설치 유형 페이지에서 역할 기반 또는 기능 기반 설치를 선택하고 다음을 클릭합니다.

3. 서버 선택 페이지에서 현재 서버를 선택하고 다음을 클릭합니다.

4. 서버 역할 페이지에서 파일 및 스토리지 서비스를 확장하고 파일 및 iSCSI 서비스를 확장한 다음 클라우드 폴더를 선택합니다.

5. 역할 및 기능 추가 마법사 페이지에서 기능 추가를 클릭하고 다음을 클릭합니다.

6. 기능 페이지에서 다음을 클릭합니다.

7. 확인 페이지에서 설치를 클릭합니다.

클라우드 폴더 구성

클라우드 폴더를 구성하려면 다음 단계를 수행합니다.

1. 서버 관리자를 엽니다.

2. 파일 및 스토리지 서비스를 선택한 다음, 클라우드 폴더를 선택합니다.

3. 클라우드 폴더 페이지에서 새 동기화 공유 마법사를 시작하고 다음을 클릭합니다.

4. 서버 및 경로 페이지에서 동기화 공유를 만들 서버를 선택하고 클라우드 폴더 데이터가 저장될 로컬 경로를 입력한 다음 다음을 클릭합니다.

   경로가 없으면 경로를 만들라는 메시지가 표시됩니다. 확인을 클릭합니다.

5. 사용자 폴더 구조 페이지에서 사용자 별칭을 선택한 다음 다음을 클릭합니다.

6. 동기화 공유 이름 페이지에서 동기화 공유의 이름을 입력합니다. 테스트 예제의 경우 WorkFolders입니다. 다음을 클릭합니다.

7. 동기화 액세스 페이지에서 새 동기화 공유에 액세스할 수 있는 사용자 또는 그룹을 추가합니다. 테스트 예제의 경우 모든 도메인 사용자에게 액세스 권한을 부여합니다. 다음을 클릭합니다.

8. PC 보안 정책 페이지에서 클라우드 폴더 암호화를선택하고 자동으로 페이지를 잠그고 암호를 요구합니다. 다음을 클릭합니다.

9. 확인 페이지에서 만들기를 클릭하여 구성 프로세스를 완료합니다.

구성 후 작업 폴더

클라우드 폴더 설정을 완료하려면 다음 추가 단계를 완료합니다.

• SSL 포트에 클라우드 폴더 인증서 바인딩

• AD FS 인증을 사용하도록 클라우드 폴더 구성

• 클라우드 폴더 인증서 내보내기(자체 서명된 인증서를 사용하는 경우)

인증서 바인딩

클라우드 폴더는 SSL을 통해서만 통신하며 이전에 만든 자체 서명된 인증서(또는 인증 기관에서 발급한 인증서)가 포트에 바인딩되어 있어야 합니다.

Windows PowerShell을 통해 포트에 인증서를 바인딩하는 데 사용할 수 있는 두 가지 방법이 있습니다. IIS cmdlet 및 netsh.

netsh를 사용하여 인증서 바인딩

Windows PowerShell에서 netsh 명령줄 스크립팅 유틸리티를 사용하려면 명령을 netsh로 파이프해야 합니다. 다음 예제 스크립트는 주체 workfolders.contoso.com 있는 인증서를 찾아 netsh를 사용하여 포트 443에 바인딩합니다.

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

IIS cmdlet을 사용하여 인증서 바인딩

IIS 관리 도구 및 스크립트를 설치한 경우 사용할 수 있는 IIS 관리 cmdlet을 사용하여 포트에 인증서를 바인딩할 수도 있습니다.

참고 항목

IIS 관리 도구를 설치해도 클라우드 폴더 컴퓨터에서 IIS(인터넷 정보 서비스)의 전체 버전을 사용할 수 없습니다. 관리 cmdlet만 사용할 수 있습니다. 이 설정에는 몇 가지 가능한 이점이 있습니다. 예를 들어 netsh에서 가져오는 기능을 제공하기 위해 cmdlet을 찾고 있는 경우입니다. 인증서가 New-WebBinding cmdlet을 통해 포트에 바인딩되는 경우 바인딩은 어떤 방식으로든 IIS에 종속되지 않습니다. 바인딩을 수행한 후에도 Web-Mgmt-Console 기능을 제거할 수 있으며 인증서는 여전히 포트에 바인딩됩니다. netsh http show sslcert를 입력하여 netsh를 통해 바인딩을 확인할 수 있습니다.

다음 예제에서는 New-WebBinding cmdlet을 사용하여 주체 workfolders.contoso.com 있는 인증서를 찾아 포트 443에 바인딩합니다.

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

AD FS 인증 설정

인증에 AD FS를 사용하도록 클라우드 폴더를 구성하려면 다음 단계를 수행합니다.

1. 서버 관리자를 엽니다.

2. 서버를 클릭한 다음 목록에서 클라우드 폴더 서버를 선택합니다.

3. 서버 이름을 마우스 오른쪽 단추로 클릭하고 클라우드 폴더 설정을 클릭합니다.

4. 클라우드 폴더 설정 창에서 Active Directory Federation Services를 선택하고 페더레이션 서비스 URL을 입력합니다. 적용을 클릭합니다.

   테스트 예제에서 URL은 .입니다 https://blueadfs.contoso.com.

Windows PowerShell을 통해 동일한 작업을 수행하는 cmdlet은 다음과 같습니다.

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

자체 서명된 인증서를 사용하여 AD FS를 설정하는 경우 페더레이션 서비스 URL이 잘못되었거나, 연결할 수 없거나, 신뢰 당사자 트러스트가 설정되지 않았다는 오류 메시지가 표시될 수 있습니다.

이 오류는 AD FS 인증서가 클라우드 폴더 서버에 설치되지 않았거나 AD FS용 CNAME이 올바르게 설정되지 않은 경우에도 발생할 수 있습니다. 계속하기 전에 이러한 문제를 수정해야 합니다.

클라우드 폴더 인증서 내보내기

나중에 테스트 환경에서 다음 컴퓨터에 설치할 수 있도록 자체 서명된 클라우드 폴더 인증서를 내보내야 합니다.

• 웹 애플리케이션 프록시에 사용되는 서버

• 도메인에 가입된 Windows 클라이언트

• 도메인에 가입되지 않은 Windows 클라이언트

인증서를 내보내려면 AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포에 설명된 대로 이전에 AD FS 인증서를 내보내는 데 사용한 것과 동일한 단계를 수행합니다. 2단계, AD FS 구성 후 작업, AD FS 인증서 내보내기.

다음 단계: AD FS 및 웹 애플리케이션 프록시를 사용하여 클라우드 폴더 배포: 4단계, 웹 애플리케이션 프록시 설정

참고 항목

클라우드 폴더 개요