다음을 통해 공유

Windows Server 2012 R2에서 AD FS에 대한 엑스트라넷 액세스 구성

  • 아티클

적용 대상: Azure, Office 365, Power BI, Windows Intune

이 항목에서는 웹 응용 프로그램 프록시 역할 서비스와 함께 원격 액세스 역할을 설치하는 방법과 AD FS(Active Directory Federation Services) 서버에 연결하도록 웹 응용 프로그램 프록시 서버를 구성하는 방법에 대해 설명합니다.

2.2. 원격 액세스 역할 설치

웹 응용 프로그램 프록시를 배포하려면 웹 응용 프로그램 프록시 서버로 사용할 서버에서 웹 응용 프로그램 프록시 역할 서비스와 함께 원격 액세스 역할을 설치해야 합니다.

웹 응용 프로그램 프록시 서버로 배포할 모든 서버에 대해 이 절차를 반복합니다.

사용자 인터페이스를 통해 웹 응용 프로그램 프록시 역할 서비스를 설치하려면

  1. 웹 응용 프로그램 프록시 서버의 서버 관리자 콘솔 대시보드에서 역할 및 기능 추가를 클릭합니다.

  2. 역할 및 기능 추가 마법사에서 다음을 세 번 클릭하여 서버 역할 선택 화면으로 이동합니다.

  3. 서버 역할 선택 대화 상자에서 원격 액세스를 선택하고 다음을 클릭합니다.

  4. 다음을 두 번 클릭합니다.

  5. 역할 서비스 선택 대화 상자에서 웹 응용 프로그램 프록시를 선택하고 기능 추가를 클릭한 후에 다음을 클릭합니다.

  6. 설치 선택 확인 대화 상자에서 설치를 클릭합니다.

  7. 설치 진행률 대화 상자에서 설치가 완료되었는지 확인하고 닫기를 클릭합니다.

Windows PowerShell을 통해 웹 응용 프로그램 프록시 역할 서비스를 설치하려면

  1. 다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

    다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

      Install-WindowsFeature Web-Application-Proxy -IncludeManagementTools

2.3. 웹 애플리케이션 프록시 구성

AD FS에 연결하도록 웹 응용 프로그램 프록시를 구성해야 합니다.

웹 응용 프로그램 프록시 서버로 배포할 모든 서버에 대해 이 절차를 반복합니다.

사용자 인터페이스를 통해 웹 응용 프로그램 프록시를 구성하려면

  1. 웹 애플리케이션 프록시 서버에서 원격 액세스 관리 콘솔인 RAMgmtUI.exe열고 Enter 키를 누릅니다. 사용자 계정 컨트롤 대화 상자가 나타나면 원하는 작업이 표시되었는지 확인한 다음 를 클릭합니다.

  2. 탐색 창에서 웹 응용 프로그램 프록시를 클릭합니다.

  3. 원격 액세스 관리 콘솔의 가운데 창에서 웹 응용 프로그램 프록시 구성 마법사 실행을 클릭합니다.

  4. 웹 응용 프로그램 프록시 구성 마법사시작 대화 상자에서 를 클릭합니다.

  5. 페더레이션 서버 대화 상자에서 다음 작업을 수행한 후 다음을 클릭합니다.

    • 페더레이션 서비스 이름 상자에 AD FS 서버의 FQDN(정규화된 도메인 이름)을 fs.fabrikam.com과 같이 입력합니다.

    • 사용자 이름암호 상자에 AD FS 서버의 로컬 관리자 계정 자격 증명을 입력합니다.

  6. AD FS 프록시 인증서 대화 상자의 웹 응용 프로그램 프록시 서버에 현재 설치되어 있는 인증서 목록에서 AD FS 프록시 기능에 대해 웹 응용 프로그램 프록시에서 사용할 인증서를 선택하고 다음을 클릭합니다.

    여기서는 제목이 fs.fabrikam.com과 같은 페더레이션 서비스 이름인 인증서를 선택해야 합니다.

  7. 확인 대화 상자에서 설정을 검토합니다. 필요한 경우 PowerShell cmdlet을 복사하여 추가 설치를 자동화할 수 있습니다. Configure를 클릭합니다.

  8. 결과 대화 상자에서 구성이 완료되었는지 확인하고 닫기를 클릭합니다.

Windows PowerShell을 통해 웹 응용 프로그램 프록시를 구성하려면

  1. 다음 Windows PowerShell cmdlet은 이전 절차와 같은 기능을 수행합니다. 서식 제약 조건으로 인해 각 cmdlet이 여러 줄에 자동 줄 바꿈되어 표시될 수 있지만 각 cmdlet을 한 줄에 입력하세요.

    다음 명령을 실행하면 AD FS 서버의 로컬 관리자 계정 자격 증명을 입력하라는 메시지가 표시됩니다.

    Install-WebApplicationProxy –CertificateThumprint '1a2b3c4d5e6f1a2b3c4d5e6f1a2b3c4d5e6f1a2b' -FederationServiceName fs.fabrikam.com

웹 응용 프로그램 프록시와 AD FS 서버 간의 정체 제어 설정 최적화

엑스트라넷에 연결되는 웹 응용 프로그램 프록시는 웹 응용 프로그램 프록시와 페더레이션 서버 간의 대기 시간이 특정 임계값을 초과하면 엑스트라넷의 요청을 제한할 수 있습니다. 웹 응용 프로그램 프록시는 이 기능을 기준으로 하여 인증 요청을 처리할 때 웹 응용 프로그램 프록시와 페더레이션 서버 간에 검색된 대기 시간에 따라 페더레이션 서버가 오버로드된 것으로 확인되면 외부 클라이언트 인증 요청을 거부합니다. 이 기능은 TCP의 정체 제어에 대해 적용되는 AIMD(Additive Increase Multiplicative Decrease)라는 유사 알고리즘과 밀접하게 관련되어 있습니다. 이 솔루션은 웹 응용 프로그램 프록시로 들어오는 각 요청에 대해 임대하는 토큰 풀로 표시되는 정체 창을 사용하여 작동합니다.

대기 시간이 긴 DMZ 네트워크나 부하가 높은 웹 응용 프로그램 프록시에서는 페더레이션 서버가 이 알고리즘을 제어하는 기본 설정을 기준으로 이러한 요청을 정상적으로 처리할 수 있는 경우에도 인증 요청이 거부될 수 있습니다. 이러한 환경에서는 다음 단계를 수행하여 설정을 보다 낮은 값으로 수정하는 것이 좋습니다.

  1. 웹 응용 프로그램 프록시 컴퓨터에서 관리자 권한 명령 창을 시작합니다.

  2. %WINDIR%\adfs\config에서 ADFS 디렉터리로 이동합니다.

  3. 정체 제어 설정을 기본값에서 '<congestionControl latencyThresholdInMSec="8000" minCongestionWindowSize="64" enabled="true" />'로 변경합니다.

  4. 파일을 저장하고 닫습니다.

  5. 'net stop adfssrv'를 실행한 다음 'net start adfssrv'를 실행하여 AD FS 서비스를 다시 시작합니다.

다음 단계

이제 웹 애플리케이션 프록시 컴퓨터를 구성했는지 확인했으므로 다음 단계는 AD FS를 사용하여 Single Sign-On을 위해 Windows PowerShell 설치하는 것입니다.

참고 항목

개념

엑스트라넷 액세스를 구성하기 위한 네트워크 인프라 준비
검사 목록: AD FS를 사용하여 Single Sign-On 구현 및 관리