다음을 통해 공유

엑스트라넷 액세스 구성을 위해 네트워크 인프라 준비

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

다음 절차에 따라 모든 작업을 완료하려면 먼저 Administrators 그룹 구성원으로 컴퓨터에 로그인하거나 동일한 권한을 위임받아야 합니다.

Checklist검사 목록: 엑스트라넷 액세스를 구성하기 위한 네트워크 인프라 준비

배포 작업 이 단원의 항목 링크 완료됨

1. Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012 운영 체제를 실행하여 페더레이션 서버 프록시로 설정할 두 대의 컴퓨터를 준비합니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우 프록시 컴퓨터는 Windows Server 2012 R2도 실행해아 하며, 엑스트라넷 액세스를 위해 AD FS를 구성하는 데 사용할 수 있는 새로운 원격 액세스 역할 서비스인 웹 응용 프로그램 프록시를 배포해야 합니다. 사용자 수에 따라 기존 웹 또는 프록시 서버를 사용하거나 전용 컴퓨터를 사용할 수 있습니다.

해당 없음

 Checkbox

2. 회사 네트워크의 페더레이션 서비스 이름(회사 네트워크의 NLB 호스트에서 이전에 만든 클러스터 DNS 이름) 및 연결된 클러스터 IP 주소를 경계 네트워크의 각 페더레이션 서버 프록시 또는 웹 애플리케이션 프록시 컴퓨터의 호스트 파일에 추가합니다.

프록시 컴퓨터의 호스트 파일에 클러스터 DNS 이름 및 IP 주소 추가

 Checkbox

3. 경계 네트워크의 NLB 호스트에 새 클러스터 DNS 이름 및 클러스터 IP 주소를 만든 다음 페더레이션 서버 컴퓨터를 NLB 클러스터에 추가합니다. 현재 NLB 호스트에 Windows Server 기술을 사용하는 경우 오른쪽에서 운영 체제 버전에 적합한 링크를 선택합니다.

중요

이 새 NLB 클러스터에 사용되는 클러스터 DNS 이름은 회사 네트워크의 페더레이션 서비스 이름과 일치해야 합니다.

참고

단일 AD FS 페더레이션 서버를 사용하는 이 SSO 솔루션의 테스트 배포에서는 필요한 경우에만 이 단계를 수행하면 됩니다.

Windows Server 2003 및 Windows Server 2003 R2에서 NLB 클러스터를 만들고 구성하려면 검사 목록: 네트워크 부하 분산 사용 및 구성을 참조하세요.

Windows Server 2008에서 NLB 클러스터를 만들고 구성하려면 네트워크 부하 분산 클러스터 만들기를 참조하세요.

Windows Server 2008 R2에서 NLB 클러스터를 만들고 구성하려면 네트워크 부하 분산 클러스터 만들기를 참조하세요.

Windows Server 2012 또는 Windows Server 2012 R2의 NLB에 대한 자세한 내용은 네트워크 부하 분산 개요를 참조하세요.

 Checkbox

4. NLB 클러스터의 클러스터 DNS 이름을 해당 클러스터 IP 주소로 가리키는 경계 네트워크 DNS에서 NLB 클러스터에 대한 새 리소스 레코드를 만듭니다.

ADFS 사용 웹 서버의 경계 DNS에 호스트(A) 레코드 추가

 Checkbox

5. 회사 네트워크의 페더레이션 서버에서 사용하는 것과 동일한 서버 인증 인증서를 사용합니다. Windows Server 2008 또는 Windows Server 2012에서 AD FS를 사용하는 경우 페더레이션 서버 프록시 컴퓨터의 기본 웹 사이트에 이 인증서를 설치해야 합니다. Windows Server 2012 R2에서 AD FS를 사용하는 경우에는 웹 응용 프로그램 프록시로 사용할 컴퓨터의 개인 인증서 저장소로 이 인증서를 가져와야 합니다.

프록시 컴퓨터로 서버 인증 인증서 가져오기

 Checkbox

프록시 컴퓨터의 호스트 파일에 클러스터 DNS 이름 및 IP 주소 추가

페더레이션 서버 프록시 또는 웹 응용 프로그램 프록시가 경계 네트워크에서 정상적으로 작동하도록 하려면 각 페더레이션 서버 프록시 또는 웹 응용 프로그램 프록시 컴퓨터의 호스트 파일에 회사 네트워크의 NLB가 호스팅하는 클러스터 DNS 이름(예: fs.fabrikam.com) 및 해당 IP 주소(예: 172.16.1.3)를 가리키는 항목을 추가해야 합니다. 호스트 파일에 이 항목을 추가하면 페더레이션 서버 프록시 또는 웹 응용 프로그램 프록시가 클라이언트에서 시작된 호출을 경계 네트워크 내부나 외부의 페더레이션 서버로 올바르게 라우팅할 수 있습니다.

프록시 컴퓨터의 호스트 파일에 클러스터 DNS 이름 및 IP 주소를 추가하려면

  1. %systemroot%\Winnt\System32\Drivers 디렉터리 폴더로 이동하여 hosts 파일을 찾습니다.

  2. 메모장을 시작하여 hosts 파일을 엽니다.

  3. 다음 예에 나와 있는 것처럼 hosts 파일에 페더레이션 서버의 호스트 이름과 IP 주소를 추가합니다.

    172.16.1.3fs.fabrikam.com

  4. 파일을 저장하고 닫습니다.

중요

회사 네트워크에서 NLB 호스트의 클러스터 IP 주소가 변경되면 각 페더레이션 서버 프록시 또는 웹 응용 프로그램 프록시의 로컬 hosts 파일을 업데이트해야 합니다.

경계 DNS에 경계 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드 추가

경계 네트워크 내부나 외부에 있는 클라이언트로부터의 인증 요청을 처리하려면 AD FS에서 조직의 영역(예: fabrikam.com)을 호스팅하는 외부 연결 DNS 서버에 이름 확인을 구성해야 합니다.

이렇게 하려면 경계 네트워크에서만 작동하는 외부에 연결된 DNS 서버에 방금 구성한 외부 클러스터 IP 주소를 가리키는 클러스터 DNS 이름(예: “fs.fabrikam.com”)에 대한 호스트 (A) 리소스 레코드를 추가합니다.

경계 DNS에 경계 NLB 호스트에 구성된 클러스터 DNS 이름에 대한 리소스 레코드를 추가하려면

  1. 경계 네트워크의 DNS 서버에서 DNS 스냅인을 엽니다. 클릭 시작, 가리킨 관리 도구, 를 클릭 하 고 DNS합니다.

  2. 콘솔 트리에서 fabrikam.com 등의 해당하는 정방향 조회 영역을 마우스 오른쪽 단추로 클릭하고 새 호스트(A 또는 AAAA)를 클릭합니다.

  3. 이름에 경계 네트워크의 NLB 호스트에 지정한 클러스터 DNS의 이름만 입력합니다. 이 DNS 이름은 페더레이션 서비스의 이름과 같아야 합니다. 예를 들어 FQDN이 fs.fabrikam.com이면 fs를 입력합니다.

  4. IP 주소에 경계 네트워크의 NLB 호스트에 지정한 새 클러스터 IP 주소를 입력합니다. 192.0.2.3과 같이 입력합니다.

  5. 호스트 추가를 클릭합니다.

프록시 컴퓨터로 서버 인증 인증서 가져오기

회사 네트워크의 페더레이션 서버 중 하나에서 사용하는 서버 인증 인증서를 받은 후에는 다음 중 하나에 해당 인증서를 수동으로 설치해야 합니다.

  1. Windows Server 2008, Windows Server 2008 R2 또는 Windows Server 2012에서 AD FS를 사용 중인 경우 조직 내 각 페더레이션 서버의 기본 웹 사이트

  2. Windows Server 2012 R2에서 AD FS를 사용하는 경우 조직 내 각 웹 응용 프로그램 프록시의 개인 저장소

Microsoft 클라우드 서비스 및 AD FS의 클라이언트가 이 인증서를 신뢰해야 하므로, VeriSign이나 Thawte와 같이 공개적으로 신뢰할 수 있는 루트의 하위 CA 또는 공용(타사) CA에서 발급한 SSL 인증서를 사용합니다. 공용 CA에서 인증서를 설치 하는 방법에 대 한 정보를 참조 하십시오. IIS 7.0: 인터넷 서버 인증서 요청합니다.

참고

이 서버 인증 인증서의 주체 이름은 이전에 NLB 호스트에 만든 클러스터 DNS 이름의 FQDN(예: fs.fabrikam.com)과 일치해야 합니다. IIS(인터넷 정보 서비스)가 설치되어 있지 않은 경우 이 작업을 완료하려면 먼저 IIS를 설치해야 합니다. IIS를 처음으로 설치하는 경우 서버 역할을 설치하는 동안 나타나는 기본 기능 옵션을 사용하는 것이 좋습니다.

페더레이션 서버 프록시의 기본 웹 사이트로 서버 인증 인증서를 가져오려면

  1. 시작 메뉴를 클릭하고 모든 프로그램, 관리 도구를 차례로 가리킨 다음 IIS(인터넷 정보 서비스) 관리자를 클릭합니다.

  2. 콘솔 트리에서 ComputerName을 클릭합니다.

  3. 가운데 창에서 서버 인증서를 두 번 클릭합니다.

  4. 작업 창에서 가져오기를 클릭합니다.

  5. 인증서 가져오기 대화 상자에서 ... 단추를 클릭합니다.

  6. pfx 인증서 파일이 있는 위치로 이동하여 파일을 강조 표시하고 열기를 클릭합니다.

  7. 인증서 암호를 입력한 다음 확인을 클릭합니다.

웹 응용 프로그램 프록시의 개인 저장소로 서버 인증 인증서를 가져오려면

  1. 인증서 가져오기의 단계를 사용하여 이 작업을 완료할 수 있습니다.

다음 단계

지금까지 웹 응용 프로그램 프록시 또는 페더레이션 서버 프록시용으로 네트워크 인프라를 준비했습니다. 다음 단계에서는 사용하려는 AD FS 버전에 따라 다음 항목이나 검사 목록 중 하나의 작업을 완료합니다.

참고 항목

개념

검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리