페더레이션 서버 구성
컴퓨터에 AD FS(Active Directory Federation Services) 역할 서비스를 설치한 후에는 이 컴퓨터를 페더레이션 서버가 되도록 구성할 준비가 된 것입니다. 다음 방법 중 하나를 수행할 수 있습니다.
새 페더레이션 서버 팜의 첫 번째 페더레이션 서버 구성
Active Directory Federation Service 구성 마법사를 사용하여 새로운 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면
참고 항목
이 절차를 수행하기 전에 도메인 관리자 권한이 있거나 도메인 관리자 자격 증명을 사용할 수 있는지 확인합니다.
서버 관리자 대시보드 페이지에서 알림 플래그를 클릭한 다음 이 서버에 페더레이션 서비스를 구성하세요.을 클릭합니다.
Active Directory Federation Service 구성 마법사 가 열립니다.
시작 페이지에서 페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다.를 선택하고 다음을 클릭합니다.
AD DS에 연결 페이지에서 이 컴퓨터가 조인된 AD(Active Directory) 도메인에 대한 도메인 관리자 권한을 사용하여 계정을 지정한 다음 다음을 클릭합니다.
서비스 속성 지정 페이지에서 다음을 수행한 후 다음을 클릭합니다.
SSL(Secure Socket Layer) 인증서와 이전에 가져온 키가 포함된 .pfx 파일을 가져옵니다. 2단계: AD FS용 SSL 인증서 등록에서 이 인증서를 가져와 페더레이션 서버로 구성하려는 컴퓨터에 복사했습니다. 마법사를 통해 .pfx 파일을 가져오려면 가져오기를 클릭한 다음 파일의 위치를 찾습니다. 메시지가 표시되면 .pfx 파일의 암호를 입력합니다.
페더레이션 서비스의 이름을 제공합니다. 예를 들면 fs.contoso.com입니다. 이 이름은 인증서에 있는 주체 또는 주체 대체 이름 중 하나와 일치해야 합니다.
페더레이션 서비스의 표시 이름을 제공합니다. 예를 들면 Contoso Corporation입니다. 사용자는 AD FS(Active Directory Federation Services) 로그인 페이지에서 이 이름을 봅니다.
서비스 계정 지정 페이지에서 서비스 계정을 지정합니다. gMSA(기존 그룹 관리 서비스 계정)를 만들거나 사용하거나 기존 도메인 사용자 계정을 사용할 수 있습니다. 새 gMSA 계정을 만드는 옵션을 선택하는 경우 새 계정의 이름을 지정합니다. 기존 gMSA 또는 도메인 계정을 사용하는 옵션을 선택하는 경우 선택을 클릭하여 계정을 선택합니다.
참고 항목
gMSA 계정을 사용할 경우 이점은 자동 협상 암호 업데이트 기능입니다.
Warning
gMSA 계정을 사용하려면 Windows Server 2012 운영 체제를 실행하는 환경에 도메인 컨트롤러가 1개 이상 있어야 합니다.
gMSA 옵션을 사용하지 않도록 설정하고 KDS 루트 키가 설정되지 않았으므로 그룹 관리 서비스 계정을 사용할 수 없음과 같은 오류 메시지가 표시되는 경우
Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)Active Directory 도메인에서 Windows Server 2012 이상을 실행하는 다음 Windows PowerShell 명령을 도메인 컨트롤러에서 실행하여 도메인에서 gMSA를 사용하도록 설정할 수 있습니다. 그런 다음 마법사로 돌아가서 이전을 클릭한 후 다음을 클릭하여 서비스 계정 지정 페이지를 다시 입력합니다. 이제 gMSA 옵션을 사용하도록 설정해야 합니다. 이를 선택하고 사용하려는 gMSA 계정 이름을 입력할 수 있습니다.구성 데이터베이스 지정 페이지에서 AD FS 구성 데이터베이스를 지정한 다음 다음을 클릭합니다. WID(Windows 내부 데이터베이스)를 사용하여 이 컴퓨터에 데이터베이스를 만들거나 Microsoft SQL Server의 위치 및 인스턴스 이름을 지정할 수 있습니다.
자세한 내용은 AD FS 구성 데이터베이스의 역할을 참조하세요.
Important
AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.
검토 옵션 페이지에서 구성 선택 사항을 확인하고 다음을 클릭합니다.
필수 조건 확인 페이지에서 모든 필수 구성 요소 검사가 성공적으로 완료되었는지 확인하고 구성을 클릭합니다.
결과 페이지에서 결과를 검토하고 구성이 성공적으로 완료되었는지 확인한 다음 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭합니다. 자세한 내용은 AD FS 설치를 완료하기 위한 다음 단계를 참조하세요. 닫기를 클릭하여 마법사를 종료합니다.
Windows PowerShell을 통해 새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면
신규 또는 기존 gMSA 계정 또는 기존 도메인 사용자 계정을 사용하여 새 페더레이션 서버 팜을 만들 수 있습니다.
새 gMSA 계정을 사용하여 새 페더레이션 서버를 만들려면 다음을 수행합니다.
Important
새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 만들려면 도메인 관리자 권한이 있어야 합니다.
페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창
dir Cert:\LocalMachine\My에서 다음 명령을 실행하여 SSL 인증서를 가져왔는지 확인할 수 있습니다. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.도메인 컨트롤러에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행하여 KDS 루트 키가 도메인
Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)에서 만들어졌는지 확인합니다. 출력에 정보가 표시되지 않도록 생성되지 않은 경우Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10)명령을 실행하여 키를 만듭니다.페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다.
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_Name>$Warning
이전 명령의 끝에 있는
$기호가 필요합니다.<certificate_thumbprint>에 대한 값을 가져오려면dir Cert:\LocalMachine\My을 실행한 다음 SSL 인증서의 지문을 선택합니다.<federation_service_name>의 값은 페더레이션 서비스의 이름입니다(예: fs.contoso.com).참고 항목
이 명령을 처음 실행하는 것이 아닌 경우
OverwriteConfiguration매개 변수를 추가합니다.참고 항목
이전 명령은 WID 팜을 만듭니다. SQL Server 서버 팜을 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다.
다음 명령을 사용하여 SQL Server의 인스턴스를 사용하는 새 팜에서 첫 번째 페더레이션 서버를 만들 수 있습니다.
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_ name>;Integrated Security=True"여기서 <SQL_Host_Name>은 SQL Server가 실행 중인 서버의 이름이고 <SQL_instance_name>은 SQL Server의 인스턴스 이름입니다. SQL Server의 기본 인스턴스를 사용하는 경우 다음에 대한 SQLConnectionString 값을 사용합니다: "Data Source=<SQL_Host_Name>;Integrated Security=True".Important
AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려면 SQL Server 2008 이상(SQL Server 2012 포함)을 사용하면 됩니다.
기존 도메인 사용자 계정을 사용하여 새 페더레이션 서버를 만들려면 다음을 수행합니다.
페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창
dir Cert:\LocalMachine\My에서 다음 명령을 실행하여 SSL 인증서를 가져왔는지 확인할 수 있습니다. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고
$fscred = Get-Credential명령을 실행합니다. 도메인\사용자 이름 형식으로 페더레이션 서비스 계정에 사용할 도메인 사용자 계정 자격 증명을 입력합니다.동일한 Windows PowerShell 명령 창에서 다음 명령을 실행합니다.
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred<certificate_thumbprint>에 대한 값을 가져오려면
dir Cert:\LocalMachine\My을 실행한 다음 SSL 인증서의 지문을 선택합니다. <federation_service_name>의 값은 페더레이션 서비스의 이름(예: fs.contoso.com)입니다.참고 항목
이 명령을 처음 실행하는 것이 아닌 경우
OverwriteConfiguration매개 변수를 추가합니다.참고 항목
이전 명령은 WID 팜을 만듭니다. SQL Server 팜을 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다.
다음 명령을 사용하여 SQl Server의 인스턴스를 사용하는 새 팜에서 첫 번째 페더레이션 서버를 만들 수 있습니다.
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"여기서 SQL_Host_Name은 SQL Server가 실행 중인 서버의 이름이고 SQL_instance_name은 SQL Server의 인스턴스 이름입니다. SQL Server의 기본 인스턴스를 사용하는 경우 다음에 대한 SQLConnectionString 값을 사용합니다: "Data Source=<SQL_Host_Name>;Integrated Security=True".Important
AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.
기존 페더레이션 서버 팜에 페더레이션 서버 추가
Important
이 섹션의 절차를 시작하기 전에 3단계: AD FS 역할 서비스 설치를 완료했는지 확인합니다.
Important
이 절차를 완료하기 전에 유효한 SSL 서버 인증 인증서를 가져왔는지 확인합니다.
Active Directory Federation Service 구성 마법사를 통해 기존 페더레이션 서버 팜에 페더레이션 서버를 추가하려면
서버 관리자 대시보드 페이지에서 알림 플래그를 클릭한 다음 이 서버에 페더레이션 서비스를 구성하세요.을 클릭합니다.
Active Directory Federation Service 구성 마법사 가 열립니다.
시작 페이지에서 페더레이션 서버를 페더레이션 서버 팜에 추가를 선택한 다음 다음을 클릭합니다.
AD DS에 연결 페이지에서 이 컴퓨터가 조인된 AD 도메인에 대한 도메인 관리자 권한을 사용하여 계정을 지정한 다음 다음을 클릭합니다.
팜 지정 페이지에서 WID를 사용하는 팜의 기본 페더레이션 서버 이름을 제공하거나 SQL Server를 사용하는 기존 페더레이션 서버 팜의 데이터베이스 호스트 이름과 데이터베이스 인스턴스 이름을 지정합니다.
Warning
Windows Server® 2012 R2에는 SQL Server의 기본 인스턴스를 지정하는 해결 방법이 있습니다. 해결 방법은 사용자 인터페이스를 사용하지 않는 것입니다. 대신 Windows PowerShell을 통해 새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면의 단계를 사용합니다.
Important
AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려면 SQL Server 2008 이상(SQL Server 2012 포함)을 사용하면 됩니다.
SSL 인증서 지정 페이지에서 이전에 가져온 SSL 인증서 및 키가 포함된 .pfx 파일을 가져옵니다. 이 인증서는 필수 서비스 인증 인증서입니다. 2단계: AD FS용 SSL 인증서 등록에서 이 인증서를 가져와 페더레이션 서버로 구성하려는 컴퓨터에 복사했습니다. 마법사를 통해 .pfx 파일을 가져오려면 가져오기를 클릭하고 파일의 위치를 찾습니다. 메시지가 표시되면 .pfx 파일의 암호를 입력합니다.
서비스 계정 지정 페이지에서 팜에서 첫 번째 페더레이션 서버를 만들 때 구성한 것과 동일한 서비스 계정을 지정합니다. 기존 그룹 관리 서비스 계정 또는 기존 도메인 사용자 계정을 사용할 수 있습니다.
Important
지정한 계정은 이 팜의 기본 페더레이션 서버에서 사용된 계정과 동일한 계정이어야 합니다.
검토 옵션 페이지에서 구성 선택 사항을 확인하고 다음을 클릭합니다.
필수 조건 확인 페이지에서 모든 필수 구성 요소 검사가 성공적으로 완료되었는지 확인하고 구성을 클릭합니다.
결과 페이지에서 결과를 검토하고 구성이 성공적으로 완료되었는지 확인한 다음 페더레이션 서비스 배포를 완료하는 데 필요한 다음 단계를 클릭합니다. 자세한 내용은 AD FS 설치를 완료하기 위한 다음 단계를 참조하세요. 닫기를 클릭하여 마법사를 종료합니다.
Windows PowerShell을 통해 기존 페더레이션 서버 팜에 페더레이션 서버를 추가하려면
기존 gMSA 계정 또는 기존 도메인 사용자 계정을 사용하여 기존 팜에 페더레이션 서버를 추가할 수 있습니다.
기존 gMSA 계정을 사용해서 페더레이션 서버를 팜에 조인하려면 다음을 수행합니다.
페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창
dir Cert:\LocalMachine\My에서 다음 명령을 실행하여 SSL 인증서를 가져왔는지 확인할 수 있습니다. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다.
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint><domain>\<GMSA_name>는 AD 도메인 및 해당 도메인에 있는 gMSA 계정의 이름입니다.<first_federation_server_hostname>는 이 기존 팜에 있는 기본 페더레이션 서버의 호스트 이름입니다.<certificate_thumbprint>에 대한 값은 이전 단계에서dir Cert:\LocalMachine\My을 실행하여 가져올 수 있습니다.참고 항목
이 명령을 처음 실행하는 것이 아닌 경우
OverwriteConfiguration매개 변수를 추가합니다.참고 항목
이전 명령은 WID 팜 노드를 만듭니다. SQL Server를 실행하는 컴퓨터의 서버 팜 노드를 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다.
다음 명령을 사용하여 SQL Server의 인스턴스를 사용하는 기존 팜에 페더레이션 서버를 추가할 수 있습니다.
Add-AdfsFarmNode -GroupServiceAccountIdentifier <domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"여기서 SQL_Host_Name은 SQL Server가 실행 중인 서버의 이름이고 SQL_instance_name은 SQL Server의 인스턴스 이름입니다. SQL Server의 기본 인스턴스를 사용하는 경우 다음에 대한 SQLConnectionString 값을 사용합니다: "Data Source=<SQL_Host_Name>;Integrated Security=True".Important
AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.
기존 도메인 사용자 계정을 사용해서 페더레이션 서버를 팜에 조인하려면 다음을 수행합니다.
페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고
$fscred = get-credential명령을 실행합니다. 도메인\사용자 이름 형식으로 페더레이션 서비스 계정에 사용할 도메인 사용자 계정 자격 증명을 입력합니다.페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창
dir Cert:\LocalMachine\My에서 다음 명령을 실행하여 SSL 인증서를 가져왔는지 확인할 수 있습니다. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.동일한 Windows PowerShell 명령 창에서 다음 명령을 실행 합니다.
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>참고 항목
이 명령을 처음 실행하는 것이 아닌 경우
OverwriteConfiguration매개 변수를 추가합니다.참고 항목
이전 명령은 WID 팜 노드를 만듭니다. SQL Server를 실행하는 컴퓨터의 서버 팜 노드를 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다. 다음 명령을 사용하여 SQL Server의 인스턴스를 사용하여 기존 팜에 페더레이션 서버를 추가할 수 있습니다.
Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True"여기서 SQL_Host_Name은 SQL Server의 인스턴스가 실행 중인 서버의 이름이고 SQL_instance_name은 SQL Server의 인스턴스 이름입니다. SQL Server의 기본 인스턴스를 사용하는 경우 다음에 대한 SQLConnectionString 값을 사용합니다: "Data Source=<SQL_Host_Name>;Integrated Security=True".Important
AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.