페더레이션 서버 프록시 역할에 대해 컴퓨터 구성

필수 인증서로 컴퓨터를 구성하고 페더레이션 서비스 프록시 역할 서비스를 설치하고 나면 컴퓨터를 페더레이션 서버 프록시가 되도록 구성할 준비가 된 것입니다. 다음 절차를 사용하여 컴퓨터가 페더레이션 서버 프록시 역할을 하도록 설정할 수 있습니다.

컴퓨터 설정을 마친 후에는 페더레이션 서버 프록시가 예상대로 작동하는지 확인합니다. 자세한 내용은 Verify That a Federation Server Proxy Is Operational를 참조하세요.

이 절차를 완료하려면 최소한 로컬 컴퓨터의 Administrators 구성원 자격 또는 동급의 권한이 필요합니다. 적절 한 계정을 사용 하는 방법에 대 한 세부 정보를 검토 하 고 그룹 구성원 자격 로컬 및 도메인 기본 그룹합니다.

페더레이션 서버 프록시 역할에 대해 컴퓨터를 구성하려면

1. 두 가지 방법으로 AD FS 페더레이션 서버 구성 마법사를 시작할 수 있습니다. 마법사를 시작하려면 다음 중 하나를 수행합니다.

   • 시작 화면에 AD FS 페더레이션 서버 프록시 구성 마법사를 입력한 다음 ENTER 키를 누릅니다.

   • 설치 마법사가 완료된 후 언제든지 Windows 탐색기를 열고 C:\Windows\ADFS 폴더로 이동하여 FspConfigWizard.exe를 두 번 클릭합니다.

2. 두 방법 중 하나를 사용하여 마법사를 시작하고 시작 페이지에서 다음을 클릭합니다.

3. 페더레이션 서비스 이름 지정 페이지의 페더레이션 서비스 이름에 이 컴퓨터가 프록시 역할을 할 페더레이션 서비스를 나타내는 이름을 입력합니다.

4. 특정 네트워크 요구 사항에 따라, HTTP 프록시 서버를 사용하여 페더레이션 서비스로 요청을 전달해야 하는지 여부를 결정합니다. HTTP 프록시 서버를 사용해야 하는 경우 이 페더레이션 서비스로 요청을 보낼 때 HTTP 프록시 서버 사용 확인란을 선택하고 HTTP 프록시 서버 주소 에 프록시 서버의 주소를 입력한 다음 연결 테스트 를 클릭하여 연결을 확인하고 다음을 클릭합니다.

5. 메시지가 나타나면 이 페더레이션 서버 프록시와 페더레이션 서비스 간에 트러스트를 설정하는 데 필요한 자격 증명을 지정합니다.

   기본적으로 페더레이션 서비스에서 사용하는 서비스 계정 또는 로컬 BUILTIN\Administrators 그룹의 구성원만 페더레이션 서버 프록시를 인증할 수 있습니다.

6. 설정 적용 준비 완료 페이지에서 세부 정보를 검토합니다. 설정이 올바르게 표시되면 다음 을 클릭하여 이러한 프록시 설정으로 이 컴퓨터 구성을 시작합니다.

7. 구성 결과 페이지에서 결과를 검토합니다. 모든 구성 단계가 완료되면 닫기를 클릭하여 마법사를 종료합니다.

   페더레이션 서버 프록시를 관리하는 데 사용할 MMC(Microsoft Management Console) 스냅인은 없습니다. 조직의 각 페더레이션 서버 프록시에 대한 설정을 구성하려면 Windows PowerShell cmdlet을 사용합니다.

프록시 작업을 위한 대체 TCP/IP 포트 구성

기본적으로 페더레이션 서버 프록시 서비스는 HTTPS 트래픽에 TCP 포트 443을 사용하며 페더레이션 서버와의 통신에 HTTP 트래픽에 포트 80을 사용하도록 구성됩니다. HTTPS용 TCP 포트 444과 HTTP용 포트 81과 같이 서로 다른 포트를 구성하려면 다음 작업을 완료해야 합니다.

사용할 페더레이션 서버 프록시에 대한 대체 TCP/IP 포트를 구성하려면

1. 기본이 아닌 포트를 사용하도록 페더레이션 서버를 구성합니다.

   이렇게 하려면 HttpsPort 및 HttpPort 옵션을 Set-ADFSProperties cmdlet의 일부로 포함하여 기본이 아닌 포트 번호를 지정합니다. 예를 들어 이러한 포트를 구성하려면 페더레이션 서버 컴퓨터의 Windows PowerShell 세션에서 다음 명령을 사용합니다.

   Set-ADFSProperties -HttpsPort 444
   Set-ADFSProperties -HttpPort 81
   

2. 기본이 아닌 포트를 사용하도록 페더레이션 서버 프록시를 구성합니다.

   이렇게 하려면 HttpsPort 및 HttpPort 옵션을 Set-ADFSProxyProperties cmdlet의 일부로 포함하여 기본이 아닌 포트 번호를 지정합니다. 예를 들어 이러한 포트를 구성하려면 페더레이션 서버 컴퓨터의 Windows PowerShell 세션에서 다음 명령을 사용합니다.

   Set-ADFSProxyProperties -HttpsPort 444
   Set-ADFSProxyProperties -HttpPort 81
   

   참고 항목

   엔드포인트 URL은 페더레이션 서버 프록시 서비스에 대해 기본적으로 사용하도록 설정되어 있지 않습니다. 새 페더레이션 서버 설치를 구성하는 경우 페더레이션 서버 프록시 서비스 엔드포인트를 사용하도록 먼저 설정해야 합니다. 예를 들어 이 절차의 예제에서 참조하는 모든 엔드포인트의 경우 AD FS 관리 스냅인에서 선택한 다음 프록시에서 사용을 선택하여 프록시에 사용하도록 설정한 것으로 가정합니다.

3. 페더레이션 서버 프록시에서 IIS 설치를 업데이트하여 SAML(Security Assertion Markup Language) 및 WS-Trust 엔드포인트가 업데이트된 포트 번호를 반영하도록 구성합니다. 이 작업을 위해 메모장을 사용하여 페더레이션 서버 프록시 컴퓨터의 systemdrive%\inetpub\adfs\ls\에 있는 Web.config 파일에서 다음을 수정할 수 있습니다. 예를 들어 sts1.contoso.com이라는 페더레이션 서버가 있고 새 포트 번호가 444라고 가정하면 페더레이션 서버 프록시 컴퓨터의 메모장에서 Web.config 파일을 찾아 열고 다음 섹션을 찾아 아래에 강조 표시된 대로 포트 번호를 수정한 다음 저장하고 메모장을 종료합니다.

   <securityTokenService samlProtocolEndpoint="https://sts1.contoso.com:444/adfs/services/trust/samlprotocol/proxycertificatetransport"
         wsTrustEndpoint="https://sts1.contoso.com:444/adfs/services/trust/proxycertificatetransport" />
   

4. 페더레이션 서버 프록시 서비스 사용자 계정을 관련 엔드포인트 URL에 대한 ACL(액세스 제어 목록)에 추가합니다. 예를 들어 포트 번호가 1234이고 AD FSfederation 서버 프록시 서비스를 실행하는 데 사용되는 사용자 계정이 기본 제공 네트워크 서비스 계정인 경우 명령 프롬프트에 다음 명령을 입력합니다.

   netsh http add urlacl https://+:444/adfs/fs/federationserverservice.asmx/ user="NT Authority\Network Service"
   netsh http add urlacl https://+:444/FederationMetadata/2007-06/ user="NT Authority\Network Service"
   netsh http add urlacl https://+:444/adfs/services/ user="NT Authority\Network Service"
   
   netsh http add urlacl http://+:81/adfs/services/ user="NT Authority\Network Service"
   

   이전 명령은 페더레이션 서버와 페더레이션 서버 프록시 컴퓨터 모두에서 실행해야 합니다.

추가 참조

검사 목록: 페더레이션 서버 프록시 설정