다음을 통해 공유

AD FS 및 웹 애플리케이션 프록시를 사용한 클라우드 폴더 배포: 1단계, AD FS 설정

이 항목에서는 활성 디렉터리 페더레이션 서비스(Active Directory Federation Services, AD FS) 및 웹 애플리케이션 프록시를 사용해 작업 폴더를 배포하는 첫 번째 단계를 설명합니다. 다음 항목에서 이 프로세스의 다른 단계를 찾을 수 있습니다.

Note

이 섹션은 Windows Server 2019 또는 Windows Server 2016 환경에 대한 지침을 다룹니다. Windows Server 2012 R2를 사용하는 경우 Windows Server 2012 R2 지침을 따르세요.

Work Folders에 사용할 AD FS를 설정하려면 다음 절차를 따릅니다.

설치 준비 작업

이러한 지침으로 설정한 테스트 환경을 프로덕션 환경으로 변환하려는 경우, 다음과 같이 시작에 앞서 수행할 수 있는 두 가지 방법이 있습니다.

  • AD FS 서비스를 실행에 사용할 Active Directory 도메인 관리자 계정을 설정합니다.

  • 서버 인증을 위해 보안 소켓 계층(Secure Sockets Layer, SSL) 주체 대체 이름(Subject Alternative Name, SAN) 인증서를 가져옵니다. 테스트 예제에서는 자체 서명된 인증서를 사용하지만 프로덕션은 공개적으로 신뢰할 수 있는 인증서를 사용해야 합니다.

회사의 정책에 따라 이러한 항목을 가져오는 데 다소 시간이 걸릴 수 있으므로 테스트 환경을 생성하기 전에 항목에 대한 요청 프로세스를 시작하는 것이 좋습니다.

인증서를 구매할 수 있는 많은 상용 인증 기관(Certificate Authorities, CA)가 있습니다. Microsoft가 신뢰하는 CA 목록은 KB 문서 931125에서 찾을 수 있습니다. 또 다른 대안은 회사의 엔터프라이즈 CA에서 인증서를 가져오는 것입니다.

테스트 환경의 경우 제공된 스크립트 중 하나에서 생성한 자체 서명된 인증서를 사용합니다.

Note

AD FS는 차세대 암호화(Cryptography Next Generation, CNG) 인증서를 지원하지 않기 때문에 Windows PowerShell cmdlet New-SelfSignedCertificate로는 자체 서명된 인증서를 생성할 수 없습니다. 단, AD FS 및 웹 애플리케이션 프록시를 사용한 클라우드 폴더 배포 블로그 게시물에 포함된 makecert.ps1 스크립트를 사용할 수 있습니다. 이 스크립트는 AD FS와 함께 작동하는 자체 서명된 인증서를 생성하고 여기에 필요한 SAN 이름을 묻는 메시지를 표시합니다.

다음으로, 다음 섹션에 나와 있는 추가 사전 설치 작업을 수행합니다.

AD FS 자체 서명 인증서 생성

AD FS 자체 서명된 인증서를 생성하려면 다음 단계를 수행합니다.

  1. AD FS 및 웹 애플리케이션 프록시를 사용한 클라우드 폴더 배포 블로그 게시물에 제공된 스크립트를 다운로드하고 makecert.ps1 파일을 AD FS 머신에 복사합니다.

  2. 관리자 권한으로 Windows PowerShell 창을 엽니다.

  3. 다음과 같이 실행 정책을 무제한으로 설정합니다.

    Set-ExecutionPolicy –ExecutionPolicy Unrestricted

  4. 스크립트를 복사한 디렉터리로 변경합니다.

  5. 다음과 같이 makecert 스크립트를 실행합니다.

    .\makecert.ps1

  6. 주체 인증서를 변경하라는 메시지가 표시되면 제목에 대한 새 값을 입력합니다. 이 예제에서는 값이 blueadfs.contoso.com.

  7. SAN 이름을 입력하라는 메시지가 표시되면 Y 키를 누른 다음 SAN 이름을 한 번에 하나씩 입력합니다.

    이 예제에서는 blueadfs.contoso.com 입력하고 Enter 키를 누른 다음 2016-adfs.contoso.com 입력하고 Enter 키를 누른 다음 enterpriseregistration.contoso.com 입력하고 Enter 키를 누릅니다.

    모든 SAN 이름을 입력했다면 빈 줄에서 Enter 키를 누릅니다.

  8. 신뢰할 수 있는 루트 인증 기관 저장소에 인증서를 설치하라는 메시지가 표시되면 Y 키를 누릅니다.

AD FS 인증서는 다음 값을 가진 SAN 인증서여야 합니다.

  • AD FS 서비스 name.domain

  • enterpriseregistration.domain

  • AD FS 서버 name.domain

테스트 예제에서 값은 다음과 같습니다.

  • blueadfs.contoso.com

  • enterpriseregistration.contoso.com

  • 2016-adfs.contoso.com

Workplace Join에는 enterpriseregistration SAN이 필요합니다.

서버 IP 주소 설정

서버 IP 주소를 고정 IP 주소로 변경하세요. 테스트 예제의 경우 192.168.0.160/서브넷 마스크: 255.255.0.0/ 기본 게이트웨이: 192.168.0.1/기본 설정 DNS: 192.168.0.150(도메인 컨트롤러의 IP 주소)인 IP 클래스 A를 사용합니다.

AD FS 역할 서비스 설치

AD FS를 설치하려면 다음 단계를 수행합니다.

  1. AD FS를 설치하려는 실제 또는 가상 머신에 로그온하고 서버 관리자를 열고 역할 및 기능 추가 마법사를 시작합니다.

  2. 서버 역할 페이지에서 Active Directory Federation Services 역할을 선택하고 다음을 클릭합니다.

  3. AD FS와 동일한 컴퓨터에 웹 애플리케이션 프록시 역할을 설치할 수 없다는 메시지가 활성 디렉터리 페더레이션 서비스(Active Directory Federation Services, AD FS) 페이지에 표시됩니다. 다음을 클릭합니다.

  4. 확인 페이지에서 설치 를 클릭합니다.

Windows PowerShell을 통해 다음 명령을 사용하여 동일한 AD FS 설치를 수행합니다.

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation –IncludeManagementTools

AD FS 구성

그다음, 서버 관리자 또는 Windows PowerShell로 AD FS를 구성합니다.

서버 관리자 사용으로 AD FS 구성

서버 관리자 사용으로 AD FS를 구성하려면 다음 단계를 수행합니다.

  1. 서버 관리자를 엽니다.

  2. 서버 관리자 창 맨 위에 있는 알림 플래그를 클릭한 다음 이 서버에서 페더레이션 서비스 구성을 클릭합니다.

  3. 활성 디렉터리 페더레이션 서비스 구성 마법사가 시작됩니다. AD DS에 연결 페이지에서 AD FS 계정으로 사용할 도메인 관리자 계정을 입력하고 다음을 클릭합니다.

  4. 서비스 속성 지정 페이지에서 AD FS 통신에 사용할 SSL 인증서의 주체 이름을 입력합니다. 테스트 예제에서는 blueadfs.contoso.com.

  5. 페더레이션 서비스 이름을 입력합니다. 테스트 예제에서는 blueadfs.contoso.com. 다음을 클릭합니다.

    Note

    페더레이션 서비스 이름은 환경에 있는 기존 서버의 이름을 사용하면 안됩니다. 기존 서버의 이름을 사용하는 경우 AD FS 설치가 실패하므로 다시 시작해야 합니다.

  6. 서비스 계정 지정 페이지에서 관리 서비스 계정에 사용할 이름을 입력합니다. 테스트 예제에서 그룹 관리 서비스 계정 생성을 선택하고 계정 이름에서 ADFSService를 입력합니다. 다음을 클릭합니다.

  7. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스에서 데이터 베이스 생성을 선택하고 다음을 클릭합니다.

  8. [검토 옵션] 페이지에는 선택한 옵션에 대한 개요가 표시됩니다. 다음을 클릭합니다.

  9. 필수 구성 요소 검사 페이지는 모든 필수 구성 요소 검사가 성공적으로 통과되었는지 여부를 나타냅니다. 문제가 없으면 구성을 클릭합니다.

    Note

    페더레이션 서비스 이름에 AD FS 서버 또는 다른 기존 머신의 이름을 사용한 경우 오류 메시지가 표시됩니다. 설치를 다시 시작한 다음 기존 머신의 이름 외의 이름을 선택해야 합니다.

  10. 구성이 성공적으로 완료되면 결과 페이지에서 AD FS가 성공적으로 구성되었음을 확인합니다.

PowerShell을 사용하여 AD FS 구성

Windows PowerShell을 통해 AD FS의 동등한 구성을 수행하려면 다음 명령을 사용합니다.

AD FS를 설치하려면 다음과 같이 합니다.

Add-WindowsFeature RSAT-AD-Tools
Add-WindowsFeature ADFS-Federation -IncludeManagementTools

관리형 서비스 계정을 만들려면 다음과 같이 합니다.

New-ADServiceAccount "ADFSService"-Server 2016-DC.contoso.com -Path "CN=Managed Service Accounts,DC=Contoso,DC=COM" -DNSHostName 2016-ADFS.contoso.com -ServicePrincipalNames HTTP/2016-ADFS,HTTP/2016-ADFS.contoso.com

AD FS를 구성한 후에는 이전 단계에서 생성한 관리 서비스 계정 및 사전 구성 단계에서 생성한 인증서로 AD FS 팜을 설정해야 합니다.

AD FS 팜을 설정하려면 다음과 같이 합니다.

$cert = Get-ChildItem CERT:\LocalMachine\My |where {$_.Subject -match blueadfs.contoso.com} | sort $_.NotAfter -Descending | select -first 1 
$thumbprint = $cert.Thumbprint
Install-ADFSFarm -CertificateThumbprint $thumbprint -FederationServiceDisplayName "Contoso Corporation" –FederationServiceName blueadfs.contoso.com -GroupServiceAccountIdentifier contoso\ADFSService$ -OverwriteConfiguration -ErrorAction Stop

다음 단계: AD FS 및 웹 애플리케이션 프록시를 사용한 작업 폴더 배포: 2단계, AD FS 구성 후 작업

또한 참조하십시오

워크 폴더 개요

  • Last updated on