AD FS 및 웹 애플리케이션 프록시 클라우드 폴더 배포: 3단계, 설정 클라우드 폴더

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016

이 항목에서는 AD FS(Active Directory Federation Services) 및 웹 애플리케이션 프록시 클라우드 폴더 배포하는 세 번째 단계에 대해 설명합니다. 이 프로세스의 다른 단계는 다음 항목에서 찾을 수 있습니다.

참고

이 섹션에서 다루는 지침은 Windows Server 2019 또는 Windows Server 2016 환경에 대한 것입니다. Windows Server 2012 R2를 사용하는 경우 Windows Server 2012 R2 지침을 따릅니다.

클라우드 폴더 설정하려면 다음 절차를 수행합니다.

사전 설치 작업

클라우드 폴더 설치하려면 도메인에 가입되어 Windows Server 2016 실행하는 서버가 있어야 합니다. 서버에 유효한 네트워크 구성이 있어야 합니다.

테스트 예제의 경우 클라우드 폴더 실행할 컴퓨터를 Contoso 도메인에 조인하고 다음 섹션에 설명된 대로 네트워크 인터페이스를 설정합니다.

서버 IP 주소 설정

서버 IP 주소를 고정 IP 주소로 변경합니다. 테스트 예제의 경우 IP 클래스 A(192.168.0.170/ 서브넷 마스크: 255.255.0.0/ 기본 게이트웨이: 192.168.0.1/ 기본 DNS: 192.168.0.150(도메인 컨트롤러의 IP 주소))를 사용합니다.

클라우드 폴더 대한 CNAME 레코드 만들기

클라우드 폴더 대한 CNAME 레코드를 만들려면 다음 단계를 수행합니다.

  1. 도메인 컨트롤러에서 DNS 관리자를 엽니다.

  2. 정방향 조회 영역 폴더를 확장하고 도메인을 마우스 오른쪽 단추로 클릭한 다음 새 별칭(CNAME) 을클릭합니다.

  3. 리소스 레코드 창의 별칭 이름 필드에 클라우드 폴더 별칭을 입력합니다. 테스트 예제에서 작업 폴더입니다.

  4. 정규화된 도메인 이름 필드에서 값은 workfolders.contoso.com합니다.

  5. 대상 호스트의 정규화된 도메인 이름 필드에 클라우드 폴더 서버의 FQDN을 입력합니다. 테스트 예제에서는 2016-WF.contoso.com.

  6. 확인을 클릭합니다.

Windows PowerShell 통해 동일한 단계를 수행하려면 다음 명령을 사용합니다. 도메인 컨트롤러에서 명령을 실행해야 합니다.

Add-DnsServerResourceRecord  -ZoneName "contoso.com" -Name workfolders -CName  -HostNameAlias 2016-wf.contoso.com

AD FS 인증서 설치

다음 단계를 사용하여 AD FS 설치하는 동안 생성된 AD FS 인증서를 로컬 컴퓨터 인증서 저장소에 설치합니다.

  1. 시작을 클릭한 다음 실행을 클릭합니다.

  2. MMC를 입력합니다.

  3. 파일 메뉴에서 스냅인 추가/제거를 클릭합니다.

  4. 사용 가능한 스냅인 목록에서 인증서 를선택한 다음, 추가를클릭합니다. 인증서 스냅인 마법사가 시작됩니다.

  5. 컴퓨터 계정을 선택한 다음 다음을 클릭합니다.

  6. 로컬 컴퓨터: (이 콘솔이 실행 중인 컴퓨터)를선택한 다음 마침을클릭합니다.

  7. 확인을 클릭합니다.

  8. 콘솔 Root\Certificates(로컬 컴퓨터)\Personal\Certificates 폴더를 확장합니다.

  9. 인증서를마우스 오른쪽 단추로 클릭하고 모든 태스크를 클릭한 다음 가져오기를클릭합니다.

  10. AD FS 인증서가 포함된 폴더로 이동한 다음 마법사의 지침에 따라 파일을 가져와서 인증서 저장소에 배치합니다.

  11. 콘솔 Root\Certificates(로컬 컴퓨터)\신뢰할 수 있는 루트 인증 기관\Certificates 폴더를 확장합니다.

  12. 인증서를마우스 오른쪽 단추로 클릭하고 모든 태스크를 클릭한 다음 가져오기를클릭합니다.

  13. AD FS 인증서가 포함된 폴더로 이동한 다음 마법사의 지침에 따라 파일을 가져와서 신뢰할 수 있는 루트 인증 기관 저장소에 배치합니다.

클라우드 폴더 자체 서명된 인증서 만들기

클라우드 폴더 자체 서명된 인증서를 만들려면 다음 단계를 수행합니다.

  1. AD FS 및 Web 애플리케이션 프록시 사용하여 클라우드 폴더 배포 블로그 게시물에서 제공된 스크립트를 다운로드한 다음 클라우드 폴더 머신에 파일 makecert.ps1 복사합니다.

  2. 관리자 권한으로 Windows PowerShell 창을 엽니다.

  3. 실행 정책을 무제한으로 설정합니다.

    PS C:\temp\scripts> Set-ExecutionPolicy -ExecutionPolicy Unrestricted
    
  4. 스크립트를 복사한 디렉터리로 변경합니다.

  5. makeCert 스크립트를 실행합니다.

    PS C:\temp\scripts> .\makecert.ps1
    
  6. 주체 인증서를 변경하라는 메시지가 표시되면 주체에 대한 새 값을 입력합니다. 이 예제에서 값은 workfolders.contoso.com.

  7. SAN(주체 대체 이름) 이름을 입력하라는 메시지가 표시되면 Y를 누르고 SAN 이름을 한 번에 하나씩 입력합니다.

    이 예제에서는 workfolders.contoso.com입력하고 Enter 키를 누릅니다. 그런 다음, 2016-WF.contoso.com 입력하고 Enter 키를 누릅니다.

    모든 SAN 이름을 입력한 경우 빈 줄에서 Enter 키를 누릅니다.

  8. 신뢰할 수 있는 루트 인증 기관 저장소에 인증서를 설치하라는 메시지가 표시되면 Y를 누릅니다.

클라우드 폴더 인증서는 다음 값을 가진 SAN 인증서여야 합니다.

  • workfolders. 도메인

  • 컴퓨터 이름입니다. 도메인

테스트 예제에서 값은 다음과 같습니다.

  • workfolders.contoso.com

  • 2016-WF.contoso.com

설치 클라우드 폴더

클라우드 폴더 역할을 설치하려면 다음 단계를 수행합니다.

  1. 서버 관리자열고 역할 및 기능 추가를클릭한 후 다음을클릭합니다.

  2. 설치 유형 페이지에서 역할 기반 또는 기능 기반 설치 를 선택하고 다음을클릭합니다.

  3. 서버 선택 페이지에서 현재 서버를 선택하고 다음을클릭합니다.

  4. 서버 역할 페이지에서 파일 및 Storage 서비스를확장하고 파일 및 iSCSI 서비스를확장한 다음 클라우드 폴더선택합니다.

  5. 역할 및 기능 추가 마법사 페이지에서 기능 추가를 클릭하고 다음을클릭합니다.

  6. 기능 페이지에서 다음을클릭합니다.

  7. 확인 페이지에서 설치를 클릭합니다.

클라우드 폴더 구성

클라우드 폴더 구성하려면 다음 단계를 수행합니다.

  1. 서버 관리자를 엽니다.

  2. 파일 및 Storage Services를 선택한 다음, 클라우드 폴더선택합니다.

  3. 클라우드 폴더 페이지에서 새 동기화 공유 마법사를 시작하고 다음을클릭합니다.

  4. 서버 및 경로 페이지에서 동기화 공유를 만들 서버를 선택하고 클라우드 폴더 데이터가 저장될 로컬 경로를 입력한 후 다음을클릭합니다.

    경로가 없으면 만들라는 메시지가 표시됩니다. 확인을 클릭합니다.

  5. 사용자 폴더 구조 페이지에서 사용자 별칭 을선택하고 다음을클릭합니다.

  6. 동기화 공유 이름 페이지에서 동기화 공유의 이름을 입력합니다. 테스트 예제의 경우 WorkFolders입니다. 다음을 클릭합니다.

  7. 동기화 액세스 페이지에서 새 동기화 공유에 액세스할 수 있는 사용자 또는 그룹을 추가합니다. 테스트 예제의 경우 모든 도메인 사용자에게 액세스 권한을 부여합니다. 다음을 클릭합니다.

  8. PC 보안 정책 페이지에서 작업 폴더 암호화를 선택하고 자동으로 페이지를 잠그고 암호를 요구합니다. 다음을 클릭합니다.

  9. 확인 페이지에서 만들기를 클릭하여 구성 프로세스를 완료합니다.

구성 후 작업 클라우드 폴더

클라우드 폴더 설정을 완료하려면 다음 추가 단계를 완료합니다.

  • SSL 포트에 클라우드 폴더 인증서 바인딩

  • AD FS 인증을 사용 하도록 클라우드 폴더 구성

  • 클라우드 폴더 인증서 내보내기 (자체 서명 된 인증서를 사용 하는 경우)

인증서 바인딩

클라우드 폴더는 SSL을 통해서만 통신 하며, 이전에 만들었거나 인증 기관이 발급 한 자체 서명 된 인증서가 포트에 바인딩되어 있어야 합니다.

Windows PowerShell를 통해 포트에 인증서를 바인딩하는 데 사용할 수 있는 두 가지 방법은 IIS cmdlet 및 netsh입니다.

Netsh를 사용 하 여 인증서 바인딩

Windows PowerShell의 netsh 명령줄 스크립팅 유틸리티를 사용 하려면 명령을 netsh로 파이프 해야 합니다. 다음 예제 스크립트는 subject workfolders.contoso.com 를 사용 하 여 인증서를 찾고 netsh를 사용 하 여 포트 443에 바인딩합니다.

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
$Command = "http add sslcert ipport=0.0.0.0:443 certhash=$thumbprint appid={CE66697B-3AA0-49D1-BDBD-A25C8359FD5D} certstorename=MY"
$Command | netsh
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

IIS cmdlet을 사용 하 여 인증서 바인딩

IIS 관리 도구 및 스크립트를 설치한 경우 사용할 수 있는 IIS 관리 cmdlet을 사용 하 여 인증서를 포트에 바인딩할 수도 있습니다.

참고

iis 관리 도구를 설치 하면 클라우드 폴더 컴퓨터에서 전체 버전의 인터넷 정보 서비스 (iis)를 사용할 수 없으며, 관리 cmdlet만 사용 하도록 설정 됩니다. 이 설정에 대 한 몇 가지 이점을 얻을 수 있습니다. 예를 들어 netsh에서 가져오는 기능을 제공 하는 cmdlet을 찾고 있습니다. 인증서가 New-WebBinding cmdlet을 통해 포트에 바인딩된 경우 바인딩은 어떤 식으로든 IIS에 종속 되지 않습니다. 바인딩을 수행한 후에도 웹 관리 콘솔 기능을 제거할 수 있습니다. 그러면 인증서가 여전히 포트에 바인딩됩니다. Netsh http show sslcert를 입력 하 여 netsh를 통해 바인딩을 확인할 수 있습니다.

다음 예에서는 New-WebBinding cmdlet을 사용 하 여 주체가 workfolders.contoso.com 인 인증서를 찾고 443 포트에 바인딩합니다.

$subject = "workfolders.contoso.com"
Try
{
#In case there are multiple certificates with the same subject, get the latest version
$cert =Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match $subject } | sort $_.NotAfter -Descending | select -first 1
$thumbprint = $cert.Thumbprint
New-WebBinding -Name "Default Web Site" -IP * -Port 443 -Protocol https
#The default IIS website name must be used for the binding. Because Work Folders uses Hostable Web Core and its own configuration file, its website name, 'ECSsite', will not work with the cmdlet. The workaround is to use the default IIS website name, even though IIS is not enabled, because the NewWebBinding cmdlet looks for a site in the default IIS configuration file.
Push-Location IIS:\SslBindings
Get-Item cert:\LocalMachine\MY\$thumbprint | new-item *!443
Pop-Location
}
Catch
{
"     Error: unable to locate certificate for $($subject)"
Exit
}

AD FS 인증 설정

인증을 위해 AD FS를 사용 하도록 클라우드 폴더를 구성 하려면 다음 단계를 수행 합니다.

  1. 서버 관리자를 엽니다.

  2. 서버를 클릭 한 다음 목록에서 작업 폴더 서버를 선택 합니다.

  3. 서버 이름을 마우스 오른쪽 단추로 클릭 하 고 클라우드 폴더 설정를 클릭 합니다.

  4. 작업 폴더 설정 창에서 Active Directory Federation Services를 선택 하 고 페더레이션 서비스 URL에를 입력 합니다. 적용을 클릭합니다.

    테스트 예제에서 URL은 https://blueadfs.contoso.com 입니다.

Windows PowerShell를 통해 동일한 작업을 수행 하는 cmdlet은 다음과 같습니다.

Set-SyncServerSetting -ADFSUrl "https://blueadfs.contoso.com"

자체 서명 된 인증서를 사용 하 여 AD FS를 설정 하는 경우 페더레이션 서비스 URL이 잘못 되었거나, 연결할 수 없거나, 신뢰 당사자 트러스트가 설정 되지 않다는 오류 메시지가 표시 될 수 있습니다.

이 오류는 AD FS 인증서가 클라우드 폴더 서버에 설치 되어 있지 않거나 AD FS CNAME이 올바르게 설정 되지 않은 경우에도 발생할 수 있습니다. 계속 하기 전에 이러한 문제를 해결 해야 합니다.

클라우드 폴더 인증서 내보내기

나중에 테스트 환경에서 다음 컴퓨터에 설치할 수 있도록 자체 서명 된 클라우드 폴더 인증서를 내보내야 합니다.

  • 웹 응용 프로그램 프록시에 사용 되는 서버입니다.

  • 도메인에 가입 된 Windows 클라이언트

  • 도메인에 가입 되지 않은 Windows 클라이언트

인증서를 내보내려면 AD FS 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더 배포: 2 단계 AD FS에서설명한 대로 AD FS 인증서를 내보내는 데 사용한 것과 동일한 단계를 따르고 AD FS 인증서를 내보냅니다.

다음 단계: AD FS 및 웹 응용 프로그램 프록시를 사용 하 여 클라우드 폴더 배포: 4 단계, 웹 응용 프로그램 프록시 설정

참고 항목

클라우드 폴더 개요