다음을 통해 공유

엑스트라넷 액세스를 구성하기 위한 네트워크 인프라 준비

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

다음 절차를 사용하여 모든 작업을 완료하려면 먼저 컴퓨터에 Administrators 그룹의 구성원으로 로그인하거나 동일한 권한을 위임해야 합니다.

검사 목록 검사 목록: 엑스트라넷 액세스 구성하기 위한 네트워크 인프라 준비

배포 작업 이 섹션의 항목에 대한 링크 완료

1. Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012 운영 체제를 실행하는 두 대의 컴퓨터를 페더레이션 서버 프록시로 설정하도록 준비합니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우 프록시 컴퓨터도 Windows Server 2012 R2를 실행해야 하며, 엑스트라넷 액세스를 위해 AD FS를 구성하는 데 사용할 수 있는 새 원격 액세스 역할 서비스인 웹 애플리케이션 프록시를 배포해야 합니다. 사용자 수에 따라 기존 웹 또는 프록시 서버를 사용하거나 전용 컴퓨터를 사용할 수 있습니다.

해당(N/A)

 확인란

2. 회사 네트워크의 페더레이션 서비스 이름(회사 네트워크의 NLB 호스트에서 이전에 만든 클러스터 DNS 이름) 및 연결된 클러스터 IP 주소를 경계 네트워크의 각 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시 컴퓨터의 호스트 파일에 추가합니다.

프록시 컴퓨터의 호스트 파일에 클러스터 DNS 이름 및 IP 주소 추가

 확인란

3. 경계 네트워크의 NLB 호스트에 새 클러스터 DNS 이름 및 클러스터 IP 주소를 만든 다음 NLB 클러스터에 페더레이션 서버 컴퓨터를 추가합니다. 현재 NLB 호스트에 Windows Server 기술을 사용하는 경우 운영 체제 버전에 따라 오른쪽에 적절한 링크를 선택합니다.

중요하다

이 새 NLB 클러스터에 사용되는 클러스터 DNS 이름은 회사 네트워크의 페더레이션 서비스 이름과 일치해야 합니다.

메모

이 단계는 단일 AD FS 페더레이션 서버를 사용하여 이 SSO 솔루션의 테스트 배포에서 선택 사항입니다.

Windows Server 2003 및 Windows Server 2003 R2에서 NLB 클러스터를 만들고 구성하려면 검사 목록: 네트워크 부하 분산사용 및 구성을 참조하세요.

Windows Server 2008에서 NLB 클러스터를 만들고 구성하려면네트워크 부하 분산 클러스터 만들기 참조하세요.

Windows Server 2008 R2에서 NLB 클러스터를 만들고 구성하려면네트워크 부하 분산 클러스터 만들기 참조하세요.

Windows Server 2012 또는 Windows Server 2012 R2의 NLB에 대한 자세한 내용은 네트워크 부하 분산 개요참조하세요.

 확인란

4. NLB 클러스터의 클러스터 DNS 이름을 해당 클러스터 IP 주소로 가리키는 경계 네트워크 DNS에서 NLB 클러스터에 대한 새 리소스 레코드를 만듭니다.

ADFS 사용 웹 서버의 경계 DNS에 호스트(A) 레코드 추가

 확인란

5. 회사 네트워크의 페더레이션 서버에서 사용하는 것과 동일한 서버 인증 인증서를 사용합니다. Windows Server 2008 또는 Windows Server 2012에서 AD FS를 사용하는 경우 페더레이션 서버 프록시 컴퓨터의 기본 웹 사이트에 이 인증서를 설치해야 합니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우 웹 애플리케이션 프록시로 작동하는 컴퓨터의 개인 인증서 저장소로 이 인증서를 가져와야 합니다.

프록시 컴퓨터로 서버 인증 인증서 가져오기

 확인란

프록시 컴퓨터의 호스트 파일에 클러스터 DNS 이름 및 IP 주소 추가

페더레이션 서버 프록시 또는 웹 애플리케이션 프록시가 경계 네트워크에서 예상대로 작동하려면 각 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시 컴퓨터의 호스트 파일에 항목을 추가해야 합니다. 이 항목은 회사 네트워크에서 NLB가 호스트하는 클러스터 DNS 이름(예: fs.fabrikam.com)과 해당 IP 주소(예: 172.16.1.3). 이 항목을 호스트 파일에 추가하면 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시가 경계 네트워크 내 또는 경계 네트워크 외부의 페더레이션 서버에 클라이언트 시작 호출을 올바르게 라우팅할 수 있습니다.

프록시의 호스트 파일에 클러스터 DNS 이름 및 IP 주소를 추가하려면

  1. %systemroot%\Winnt\System32\Drivers 디렉터리 폴더로 이동하고 호스트 파일을 찾습니다.

  2. 메모장을 시작한 다음 호스트 파일을 엽니다.

  3. 다음 예제와 같이 호스트 파일에 페더레이션 서버의 IP 주소와 호스트 이름을 추가합니다.

    172.16.1.3fs.fabrikam.com

  4. 파일을 저장하고 닫습니다.

중요하다

회사 네트워크의 NLB 호스트에 있는 클러스터 IP 주소가 변경되면 각 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시에서 로컬 호스트 파일을 업데이트해야 합니다.

경계 NLB 호스트에 구성된 클러스터 DNS 이름의 경계 DNS에 리소스 레코드 추가

경계 네트워크 또는 경계 네트워크 외부의 클라이언트에서 인증 요청을 서비스하려면 AD FS는 조직의 영역을 호스트하는 외부 연결 DNS 서버(예: fabrikam.com)에서 이름 확인을 구성해야 합니다.

이렇게 하려면 방금 구성된 외부 클러스터 IP 주소를 가리키도록 클러스터 DNS 이름(예: "fs.fabrikam.com")에 대한 경계 네트워크만 제공하는 외부 연결 DNS 서버에 호스트(A) 리소스 레코드를 추가합니다.

경계 NLB 호스트에 구성된 클러스터 DNS 이름의 경계 DNS에 리소스 레코드를 추가하려면

  1. 경계 네트워크에 대한 DNS 서버에서 DNS 스냅인을 엽니다. 시작클릭하고 관리 도구가리킨 다음 DNS클릭합니다.

  2. 콘솔 트리에서 적용 가능한 앞으로 조회 영역(예: fabrikam.com)을 마우스 오른쪽 단추로 클릭한 다음 새 호스트(A 또는 AAAA)클릭합니다.

  3. 이름경계 네트워크의 NLB 호스트에 지정한 클러스터 DNS 이름만 입력합니다(페더레이션 서비스의 이름과 동일한 DNS 이름이어야 합니다). 예를 들어 FQDN fs.fabrikam.comfs를 입력합니다.

  4. IP 주소경계 네트워크의 NLB 호스트에 지정한 새 클러스터 IP 주소의 IP 주소를 입력합니다. 예를 들어 192.0.2.3.

  5. 호스트추가를 클릭합니다.

프록시 컴퓨터로 서버 인증 인증서 가져오기

회사 네트워크의 페더레이션 서버 중 하나에서 사용하는 서버 인증 인증서를 가져온 후에는 해당 인증서를 다음 중 하나에 수동으로 설치해야 합니다.

  1. Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012에서 AD FS를 사용하는 경우 조직의 각 페더레이션 서버 프록시에 대한 기본 웹 사이트

  2. Windows Server 2012 R2에서 AD FS를 사용하는 경우 조직의 각 웹 애플리케이션 프록시의 개인 저장소입니다.

이 인증서는 AD FS 및 Microsoft 클라우드 서비스의 클라이언트에서 신뢰해야 하므로 공용(타사) CA 또는 공개적으로 신뢰할 수 있는 루트에 종속된 CA에서 발급한 SSL 인증서를 사용합니다. 예를 들어 VeriSign 또는 Thawte입니다. 공용 CA에서 인증서를 설치하는 방법에 대한 자세한 내용은 IIS 7.0: 인터넷 서버 인증서요청하세요.

메모

이 서버 인증 인증서의 주체 이름은 이전에 NLB 호스트에서 만든 클러스터 DNS 이름(예: fs.fabrikam.com)의 FQDN과 일치해야 합니다. IIS(인터넷 정보 서비스)가 설치되지 않은 경우 이 작업을 완료하려면 먼저 IIS를 설치해야 합니다. IIS를 처음으로 설치할 때 서버 역할을 설치하는 동안 메시지가 표시되면 기본 기능 옵션을 사용하는 것이 좋습니다.

페더레이션 서버 프록시의 기본 웹 사이트로 서버 인증 인증서를 가져오려면

  1. 시작클릭하고 모든 프로그램가리킨 다음 관리 도구가리킨 다음 IIS(인터넷 정보 서비스) 관리자클릭합니다.

  2. 콘솔 트리에서 computerName클릭합니다.

  3. 가운데 창에서 서버 인증서두 번 클릭합니다.

  4. 작업 창에서가져오기 클릭합니다.

  5. 인증서 가져오기 대화 상자에서 ... 단추를 클릭합니다.

  6. pfx 인증서 파일의 위치를 찾아 강조 표시한 다음 열기를 클릭합니다.

  7. 인증서의 암호를 입력한 다음 확인클릭합니다.

웹 애플리케이션 프록시의 개인 저장소로 서버 인증 인증서를 가져오려면

  1. 인증서 가져오기 단계를 사용하여 이 작업을 완료할 수 있습니다.

다음 단계

이제 웹 애플리케이션 프록시 또는 페더레이션 서버 프록시에 대한 네트워크 인프라를 준비했으므로 다음 단계는 사용하려는 AD FS 버전에 따라 다음 항목 또는 다음 검사 목록의 작업을 완료하는 것입니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리