Windows Server 2012에서 페더레이션 서버 팜의 첫 번째 페더레이션 서버 구성

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

Windows Server 2012 R2를 실행하는 컴퓨터에 AD FS(Active Directory Federation Services)를 설치하고 나면 해당 컴퓨터를 페더레이션 서버로 구성할 수 있습니다.

다음 절차를 완료하여 이 컴퓨터를 페더레이션 서버 팜의 첫 번째 페더레이션 서버로 구성할 수 있습니다.

새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버 구성

Active Directory Federation Service 구성 마법사를 통해 새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면

참고

이 절차를 수행하기 전에 도메인 관리자 권한 또는 도메인 관리자 자격 증명이 있는지 확인합니다.

  1. 서버 관리자 대시보드 페이지에서 알림 플래그를 클릭한 다음 이 서버에 페더레이션 서비스를 구성하세요.을 클릭합니다.

    Active Directory Federation Service 구성 마법사가 시작됩니다.

  2. 시작 페이지에서 페더레이션 서버 팜에 첫 번째 페더레이션 서버 만들기를 선택하고 다음을 클릭합니다.

  3. AD DS에 연결 페이지에서 이 컴퓨터가 가입된 AD 도메인에 대한 도메인 관리자 권한이 있는 계정을 지정하고 다음을 클릭합니다.

  4. 서비스 속성 지정 페이지에서 다음을 수행한 후 다음을 클릭합니다.

    • 이전에 받은 SSL 인증서 및 키가 포함된 .pfx 파일을 가져옵니다. '인증서 요구 사항' 섹션에 설명된 대로 AD FS 배포 요구 사항을 검토하려면 이 인증서를 가져와 페더레이션 서버로 구성하려는 컴퓨터에 복사해야 합니다. 마법사를 통해 .pfx 파일을 가져오려면 가져오기를 클릭하고 파일 위치로 이동한 다음 메시지가 표시되면 .pfx 파일의 암호를 지정합니다.

    • 페더레이션 서비스의 이름을 입력합니다. 예를 들어 fs.contoso.com을 입력합니다. 이 이름은 인증서의 주체 이름 또는 주체 대체 이름 중 하나와 일치해야 합니다.

    • 페더레이션 서비스의 표시 이름을 입력합니다. 예를 들어 Contoso Corporation을 입력합니다. 이 이름은 AD FS 로그인 페이지에서 사용자에게 표시됩니다.

  5. 서비스 계정 지정 페이지에서 서비스 계정을 지정을 선택합니다. gMSA(그룹 관리 서비스 계정)을 만들거나 기존 gMSA를 사용할 수도 있고 기존 도메인 사용자 계정을 사용할 수도 있습니다. 새 gMSA를 만드는 옵션을 선택하는 경우 새 계정의 이름을 지정합니다. 기존 gMSA 또는 도메인 계정을 사용하는 옵션을 선택하는 경우 선택... 단추를 클릭하여 계정을 선택합니다.

    참고

    gMSA를 사용하는 경우 자동으로 협상되는 암호 업데이트 기능이 제공된다는 이점이 있습니다.

    경고

    gMSA를 사용하려면 환경에 Windows Server 2012 운영 체제를 실행하는 도메인 컨트롤러가 하나 이상 있어야 합니다.

    gMSA 옵션을 사용하지 않도록 설정하고 KDS 루트 키가 설정되지 않았기 때문에 그룹 관리 서비스 계정과 유사한 오류 메시지를 사용할 수 없는 경우 Active Directory 도메인Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)의 Windows Server 2012 이상 도메인 컨트롤러에서 다음 Windows PowerShell 명령을 실행하여 도메인에서 gMSA를 사용하도록 설정할 수 있습니다. 그런 다음 마법사로 돌아가서 이전 단추를 클릭한 다음 다음 단추를 클릭하여 서비스 계정 지정 페이지를 다시 입력합니다. 그러면 gMSA를 사용할 수 있도록 설정되므로 gMSA를 선택하고 원하는 gMSA 계정 이름을 입력할 수 있습니다.

  6. 구성 데이터베이스 지정 페이지에서 AD FS 구성 데이터베이스를 지정한 후 다음을 클릭합니다. WID(Windows 내부 데이터베이스)를 사용하여 이 컴퓨터에서 데이터베이스를 만들 수도 있고 SQL Server의 인스턴스 이름과 위치를 지정할 수도 있습니다.

    자세한 내용은 AD FS 구성 데이터베이스의 역할을 참조하세요.

  7. 옵션 검토 페이지에서 구성 선택 항목을 확인하고 다음을 클릭합니다.

  8. 필수 조건 확인 페이지에서 모든 필수 조건 확인이 정상적으로 완료되었는지 확인하고 구성을 클릭합니다.

  9. 결과 페이지에서 결과 및 구성이 정상적으로 완료되었는지 여부를 검토하고 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭합니다. 자세한 내용은 AD FS 설치를 완료하기 위한 다음 단계를 참조하세요. 닫기를 클릭하여 마법사를 종료합니다.

Windows PowerShell을 통해 새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면

신규/기존 gMSA 또는 기존 도메인 사용자 계정을 사용하여 새 페더레이션 서버 팜을 만들 수 있습니다.

  • 새 gMSA 계정을 사용하여 새 페더레이션 서버를 만들려면 다음을 수행합니다.

    중요

    새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 만들려면 도메인 관리자 권한이 있어야 합니다.

    1. 페더레이션 서버로 구성할 컴퓨터에서 필수 SSL 인증서를 Local Computer\My Store로 가져왔는지 확인합니다. Windows PowerShell 명령 창dir Cert:\LocalMachine\My에서 다음 명령을 실행하여 SSL 인증서를 가져왔는지 확인할 수 있습니다. 인증서는 로컬 컴퓨터\내 Microsoft Store 지문으로 나열됩니다.

    2. 도메인 컨트롤러에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행하여 KDS 루트 키가 도메인Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)에 만들어졌는지 확인합니다. 생성되지 않은 경우(출력에 정보가 표시되지 않음) 다음 명령을 실행하여 키를Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 만듭니다.

    3. 페더레이션 서버로 구성할 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다.

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$

      경고

      위 명령 끝의 '$'는 필수 항목입니다.

      <certificate_thumbprint>를 실행하고 SSL 인증서의 지문을 선택하여 dir Cert:\LocalMachine\My의 값을 가져올 수 있습니다. <federation_service_name>의 값은 fs.contoso.com과 같은 페더레이션 서비스의 이름입니다.

      참고

      이 명령을 이전에 실행한 적이 있으면 –OverwriteConfiguration을 추가합니다.

      참고

      위의 명령을 실행하면 WID 팜이 생성됩니다. SQL Server 팜을 생성하려면 SQL Server가 이미 설치되었으며 작동하는 상태여야 합니다.

      다음 명령을 사용하여 SQL 서버를 사용하여 새 팜에서 첫 번째 페더레이션 서버를 Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True" 만들 수 있습니다. 여기서 <SQL_Host_Name SQL> 서버가 실행 중인 서버의 이름이고<SQL_instance_name SQL> 인스턴스의 이름입니다. 기본 SQL Server 인스턴스를 사용하는 경우 "Data Source=<>SQL_Host_Name;Integrated Security=True"의 SQLConnectionString 값을 사용합니다.

  • 기존 도메인 사용자 계정을 사용하여 새 페더레이션 서버를 만들려면 다음을 수행합니다.

    1. 페더레이션 서버로 구성할 컴퓨터에서 필수 SSL 인증서를 Local Computer\My Store로 가져왔는지 확인합니다. Windows PowerShell 명령 창dir Cert:\LocalMachine\My에서 다음 명령을 실행하여 SSL 인증서를 가져왔는지 확인할 수 있습니다. 인증서는 로컬 컴퓨터\내 Microsoft Store 지문으로 나열됩니다.

    2. 페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 $fscred = get-credential실행합니다. 도메인\사용자 이름 형식으로 페더레이션 서비스 계정에 사용할 도메인 사용자 계정 자격 증명을 입력합니다.

    3. 동일한 Windows PowerShell 명령 창에서 다음 명령을 실행합니다.

      Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred

      SSL 인증서의 지문을 실행하고 dir Cert:\LocalMachine\My 선택하여 certificate_thumbprint> 값을< 가져올 수 있습니다. federation_service_name> 값<은 페더레이션 서비스의 이름입니다(예: fs.contoso.com).

      참고

      이 명령을 이전에 실행한 적이 있으면 –OverwriteConfiguration을 추가합니다.

      참고

      위의 명령을 실행하면 WID 팜이 생성됩니다. SQL Server 팜을 생성하려면 SQL Server가 이미 설치되었으며 작동하는 상태여야 합니다.

      다음 명령을 사용하여 SQL 서버를 사용하여 새 팜에서 첫 번째 페더레이션 서버를 Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" 만들 수 있습니다. 여기서 SQL_Host_Name SQL 서버가 실행 중인 서버의 이름이고SQL_instance_name SQL 인스턴스의 이름입니다. 기본 SQL Server 인스턴스를 사용하는 경우 "Data Source=<>SQL_Host_Name;Integrated Security=True"의 SQLConnectionString 값을 사용합니다.

다음 단계

이제 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성했으므로 검사 목록으로 다시 이동합니다. 레거시 버전의 Windows Server에 페더레이션 서버 팜을 배포하고 나머지 단계를 완료합니다.

참고 항목

개념

검사 목록: Windows Server 2012 R2에 페더레이션 서버 팜 배포
검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리