페더레이션 서버 팜에 대한 서비스 계정을 수동으로구성

  • 아티클

AD FS(Active Directory Federation Services)에서 페더레이션 서버 팜 환경을 구성하려면 팜이 상주할 AD DS(Active Directory 도메인 서비스)에서 전용 서비스 계정을 만들고 구성해야 합니다. 그런 다음 이 계정을 사용하도록 팜의 각 페더레이션 서버를 구성합니다. 회사 네트워크의 클라이언트 컴퓨터가 Windows 통합 인증을 사용하여 AD FS 팜의 페더레이션 서버를 인증하도록 허용하려면 조직에서 다음 작업을 완료해야 합니다.

Important

AD FS 3.0(Windows Server 2012 R2)을 기준으로 AD FS는 gMSA(그룹 관리 서비스 계정)를 서비스 계정으로 사용할 수 있습니다. 이는 시간이 지남에 따라 서비스 계정 암호를 관리할 필요가 없으므로 권장되는 옵션입니다. 이 문서에서는 Windows Server 2008 R2 또는 이전 DFL(도메인 기능 수준)을 계속 실행하는 도메인과 같이 기존 서비스 계정을 사용하는 대체 사례에 대해 다룹니다.

참고 항목

이 절차의 작업은 전체 페더레이션 서버 팜에 대해 한 번만 수행해야 합니다. 나중에 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버를 만드는 경우 팜에 있는 각 페더레이션 서버의 서비스 계정 마법사 페이지에서 이와 동일한 계정을 지정해야 합니다.

전용 서비스 계정 만들기

  1. ID 공급자 조직에 있는 Active Directory 포리스트에서 전용 사용자/서비스 계정을 만듭니다. 이 계정은 Kerberos 인증 프로토콜이 팜 시나리오에서 작동하고 각 페더레이션 서버에서 통과 인증을 허용하는 데 필요합니다. 페더레이션 서버 팜의 목적에만 이 계정을 사용해야 합니다.

  2. 사용자 계정 속성을 편집하고 암호 사용 기간 제한 없음 확인란을 선택합니다. 이 작업은 도메인 암호 변경 요구 사항으로 인해 이 서비스 계정의 작동이 중단되지 않도록 해줍니다.

    참고 항목

    Kerberos 티켓은 서버 간에 유효성을 검사하지 않으므로 이 전용 계정에 네트워크 서비스 계정을 사용하면 Windows 통합 인증을 통해 액세스할 때 임의 오류가 발생합니다.

서비스 계정의 SPN을 설정하려면

  1. AD FS AppPool의 애플리케이션 풀 ID는 도메인 사용자/서비스 계정으로 실행되므로 Setspn.exe 명령줄 도구를 사용하여 도메인에서 해당 계정에 대한 SPN(서비스 사용자 이름)을 구성해야 합니다. Setspn.exe는 Windows Server 2008을 실행하는 컴퓨터에 기본적으로 설치됩니다. 사용자/서비스 계정이 있는 도메인과 동일한 도메인에 가입된 컴퓨터에서 다음 명령을 실행합니다.

    setspn -a host/<server name> <service account>

    예를 들어 모든 페더레이션 서버가 DNS(Domain Name System) 호스트 이름 fs.fabrikam.com 아래에 클러스터되고 AD FS AppPool에 할당된 서비스 계정 이름이 adfs2farm으로 지정된 시나리오의 경우 다음과 같이 명령을 입력하고 Enter 키를 누릅니다.

    setspn -a host/fs.fabrikam.com adfs2farm

    이 작업은 이 계정에 대해 한 번만 완료해야 합니다.

  2. AD FS AppPool ID를 서비스 계정으로 변경한 후 AD FS AppPool에서 정책 데이터를 읽을 수 있도록 SQL Server 데이터베이스의 ACL(액세스 제어 목록)을 설정하여 이 새 계정에 대한 읽기 액세스를 허용합니다.