AD FS 구성 데이터베이스의 역할

AD FS 구성 데이터베이스는 AD FS(단일 Active Directory 联合身份验证服务 인스턴스(즉, 페더레이션 서비스)를 나타내는 모든 구성 데이터를 저장합니다. AD FS 구성 데이터베이스는 페더레이션 서비스가 파트너, 인증서, 특성 저장소, 클레임 및 이러한 관련된 엔터티에 대 한 다양 한 데이터를 식별 하는 데 필요한 매개 변수 집합을 정의 합니다. 이 구성 데이터는 Microsoft SQL Server 데이터베이스 또는 Windows Server 2012 ® 이상에 포함된 WID(Windows 내부 데이터베이스) 기능에 저장할 수 있습니다.

참고

AD FS 구성 데이터베이스의 전체 내용을 WID 인스턴스 또는 SQL 데이터베이스의 인스턴스 중 하나에 저장 하지만 둘 다를 수 있습니다. 즉, WID와 AD FS 구성 데이터베이스의 동일한 인스턴스에 대 한 SQL Server 데이터베이스를 사용 하 여 다른 사용자를 사용 하 여 일부 페더레이션 서버 수는 없습니다.

다음 정보를 사용 하 여이 항목에 제공 된 내용과 함께 AD FS 배포 토폴로지 고려 사항 AD FS 구성 데이터베이스 저장 하기 위해 WID 또는 SQL Server의 장단점에 대해 자세히 알아보려면:

WID는 관계형 데이터 저장소이며, 자체 관리 UI(사용자 인터페이스)가 없습니다. 대신 관리자는 AD FS Management 스냅인, Fsconfig.exe 또는 Windows PowerShell ™ cmdlet을 사용하여 AD FS 구성 데이터베이스의 콘텐츠를 수정할 수 있습니다.

WID를 사용하여 AD FS 구성 데이터베이스 저장

Fsconfig.exe 명령줄 도구 또는 AD FS 페더레이션 서버 구성 마법사를 사용하여 WID를 저장소로 사용하여 AD FS 구성 데이터베이스를 만들 수 있습니다. 이러한 도구 중 하나를 사용할 때 다음 옵션 중 하나를 선택하여 페더레이션 서버 토폴로지를 만들 수 있습니다. 이러한 각 옵션에서는 WID AD FS 구성 데이터베이스를 저장 하는 데 사용 합니다.

  • 독립 실행형 페더레이션 서버 만들기

  • 페더레이션 서버 팜의 첫 번째 페더레이션 서버 만들기

  • 페더레이션 서버 팜에 페더레이션 서버 추가

독립 실행형 옵션을 선택하는 경우 WID는 AD FS 구성 데이터베이스의 단일 인스턴스를 저장하는 데 사용됩니다. 이 인스턴스는 여러 페더레이션 서버 간에 공유할 수 없습니다. 이 옵션은 테스트 랩 환경만을 위한 것입니다. 독립 실행형 페더레이션 서버 옵션 또는 이를 설정하는 방법에 대한 자세한 내용은 WID를 사용하는 독립 실행형 페더레이션 서버 또는 독립 실행형 페더레이션 서버 만들기를 참조하세요.

페더레이션 서버 팜의 첫 번째 페더레이션 서버 옵션을 선택하면 나중에 추가 페더레이션 서버를 팜에 추가할 수 있도록 확장성을 지원하도록 WID가 구성됩니다. WID 팜 배포 또는 이를 설정하는 방법에 대한 자세한 내용은 WID를 사용하는 페더레이션 서버 팜 또는 페더레이션 서버 팜의 첫 번째 페더레이션 서버 만들기를 참조하세요.

페더레이션 서버 추가 옵션을 선택하면 설정된 간격으로 구성 데이터베이스의 변경 내용을 새 페더레이션 서버에 복제하도록 WID가 구성됩니다. WID 팜에 페더레이션 서버를 추가하는 방법에 대한 자세한 내용은 WID를 사용하는 페더레이션 서버 팜 또는 페더레이션 서버 팜에 페더레이션 서버 추가를 참조하세요.

참고

WID를 사용 하 여 페더레이션 서버 팜을 배포 하는 경우 AD FS의 일부 기능 없을 수도 있습니다. 서버 팜을 구성할 때 설정 하는 전체 기능에 액세스 하려면 Microsoft SQL Server를 사용 하 여 AD FS 구성 데이터베이스를 대신 저장 하는 것이 좋습니다. 자세한 내용은 AD FS 배포 토폴로지 고려 사항을 참조하세요.

WID 페더레이션 서버 팜 작동 방식

이 섹션에서는 WID 페더레이션 서버 팜에서 기본 페더레이션 서버와 보조 페더레이션 서버 간에 데이터를 복제하는 방법을 설명하는 중요한 개념에 대해 알아봅니다. .

기본 페더레이션 서버

기본 페더레이션 서버는 AD FS 페더레이션 서버 구성 마법사를 사용하여 페더레이션 서버 역할로 구성되었으며 AD FS 구성 데이터베이스의 읽기/쓰기 복사본이 있는 Windows Server 2012 이상을 실행하는 컴퓨터입니다. 기본 페더레이션 서버 AD FS 페더레이션 서버 구성 마법사를 사용 하 고 새 페더레이션 서비스를 팜의 첫 번째 페더레이션 서버 컴퓨터를 만들어 옵션을 선택 하는 경우에 항상 만들어집니다. 보조 페더레이션 서버 라고도이 팜의 다른 모든 페더레이션 서버에 로컬로 저장 된 AD FS 구성 데이터베이스의 복사본에는 기본 페더레이션 서버에 적용 된 변경 내용을 동기화 해야 합니다.

보조 페더레이션 서버

보조 페더레이션 서버는 주 페더레이션 서버에서 AD FS 구성 데이터베이스의 복사본을 저장하지만 이러한 복사본은 읽기 전용입니다. 보조 페더레이션 서버는 데이터가 변경되었는지 확인하기 위해 정기적으로 폴링하여 팜의 기본 페더레이션 서버에 연결하고 데이터를 동기화합니다. 보조 페더레이션 서버는 전체 네트워크 환경에서 서로 다른 사이트의 부하 분산 액세스 요청을 처리하는 동안 기본 페더레이션 서버에 대한 내결함성을 제공하기 위해 존재합니다.

AD FS 구성 데이터베이스를 동기화 하는 방법

AD FS 구성 데이터베이스가 수행하는 중요한 역할 때문에 네트워크 부하 분산 장치를 사용하는 경우 요청을 처리할 때 내결함성 및 부하 분산 기능을 제공하기 위해 네트워크의 모든 페더레이션 서버에서 사용할 수 있습니다. 그러나이 용량에서 작동 하려면 보조 페더레이션 서버에 대 한 기본 페더레이션 서버에 저장 된 AD FS 구성 데이터베이스를 동기화 합니다.

페더레이션 서버를 팜에 추가 하면 새 컴퓨터에 보조 페더레이션 서버에 AD FS 구성 데이터베이스의 복사본을 복제 하는 기본 페더레이션 서버에 연결 합니다. 이 시점부터 새 페더레이션 서버는 다음 그림에 표시된 대로 기본 페더레이션 서버에서 정기적으로 업데이트를 가져옵니다.

AD FS 구성

각 보조 페더레이션 서버는 변경에 대 일 분 마다 기본 페더레이션 서버를 폴링합니다. 이 기본 5분 값을 조정하거나 Windows PowerShell cmdlet을 사용하여 언제든지 즉시 동기화할 수 있습니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 참조 Windows PowerShell을 사용한 AD FS 관리합니다.

WID 동기화 프로세스는 중간 변경 내용에 대한 보다 효율적인 전송을 위해 증분 전송도 지원합니다. 증분 전송 프로세스는 상당히 적은 네트워크 트래픽을 사용하며 전송이 훨씬 빨리 완료됩니다.

참고

SQL Server의 인스턴스에 WID에서 AD FS 구성 데이터베이스의 마이그레이션은 지원 됩니다. 이 작업을 수행 하는 방법에 대 한 자세한 내용은 참조 AD FS: AD FS 구성 데이터베이스를 SQL Server로 마이그레이션할 TechNet Wiki 사이트에 있습니다.

AD FS 동기화 속성을 관리하는 방법

이 섹션에서는 AD FS 구성 데이터베이스 동기화 속성을 보고 편집하는 방법을 설명합니다. .

Get-ADFSSyncProperties cmdlet은 AD FS(Active Directory 联合身份验证服务 구성 데이터베이스)에 대한 동기화 속성을 가져옵니다.

PS C:\> Get-ADFSSyncProperties

주 AD FS 서버에서 이 cmdlet은 역할이 기본 컴퓨터임을 표시합니다. 보조 멤버에서는 주 컴퓨터에서 마지막 동기화의 정규화된 도메인 이름, 마지막 동기화 상태 및 시간, 폴링 기간, 현재 구성된 기본 컴퓨터 이름, 주 컴퓨터 포트 및 보조 컴퓨터의 역할을 포함한 나머지 구성이 표시됩니다.

Set-ADFSSyncProperties cmdlet은 AD FS(Active Directory 联合身份验证服务) 구성 데이터베이스에 대한 동기화 빈도를 수정합니다. 또한 cmdlet은 페더레이션 서버 팜의 주 서버인 페더레이션 서버를 지정합니다.

참고

기본 페더레이션 서버가 작동이 중단되거나 오프라인 상태인 경우 모든 보조 페더레이션 서버는 계속 정상적으로 요청을 처리합니다. 그러나 기본 페더레이션 서버가 다시 온라인 상태가 될 때까지 새 변경 내용을 페더레이션 서비스에 적용할 수 없습니다. Windows PowerShell을 사용 하 여 기본 페더레이션 서버 역할을 할 보조 페더레이션 서버를 지정할 수도 있습니다. 새 주 서버를 지명하는 경우 나머지 서버는 새 주 서버를 반영하도록 수정해야 합니다. WID 팜에 2개의 주 복제본이 있으면 팜의 안정성에 영향을 미치며 데이터가 손실될 가능성이 있습니다.

팜의 폴링 기간 수정

PS C:\> Set-AdfsSyncProperties -PollDuration 3600 -PrimaryComputerName "FederationServerPrimary"

이 명령은 데이터베이스 동기화를 3600초로 수정합니다. 이 명령은 기본 페더레이션 서버를 변경합니다.

서버를 보조 서버에서 주 서버로 변경

PS C:\> Set-AdfsSyncProperties -Role "PrimaryComputer"

이 명령은 WID 팜의 AD FS 서버를 보조 서버에서 주 서버로 변경합니다.

주 서버를 보조 서버로 변경

PS C:\> Set-AdfsSyncProperties -Role "SecondaryComputer" -PrimaryComputerName "<FQDN of primary server>"

이 명령은 WID 팜의 기본 AD FS 서버를 보조 서버로 변경합니다. 주 서버의 정규화된 도메인 이름을 지정해야 합니다. 이렇게 하지 않으면 모든 보조 AD FS 서버가 제대로 동기화되지 않을 수 있습니다. 참고: 주 서버는 보조 서버에서 포트 80의 HTTP를 통해 액세스할 수 있어야 합니다.

자세한 내용은 다음을 참조하세요. Set-AdfsSyncProperties

SQL Server를 사용하여 AD FS 구성 데이터베이스 저장

Fsconfig.exe 명령줄 도구를 사용하여 단일 SQL Server 데이터베이스 인스턴스를 저장소로 사용하여 AD FS 구성 데이터베이스를 만들 수 있습니다. AD FS 구성 데이터베이스와 SQL Server 데이터베이스를 사용 하 여 WID에 비해 다음과 같은 이점을 제공 합니다.

  • 관리자가 SQL Server의 고가용성 기능을 활용할 수 있습니다.

  • 높은 트래픽에 대한 추가 성능 향상을 제공합니다.

  • SAML 아티팩트 확인 및 SAML/WS-Federation 토큰 재생 검색(아래 설명 참조)에 대한 기능 지원을 제공합니다.

다음 그림과 같이 모든 페더레이션 서버가 동일한 클러스터형 SQL Server 인스턴스를 사용하는 AD FS 구성 데이터베이스에 동일하게 읽고 쓸 수 있으므로 AD FS 구성 데이터베이스가 SQL 데이터베이스 인스턴스에 저장될 때 "기본 페더레이션 서버"라는 용어는 적용되지 않습니다.

AD FS 역할

SQL Server를 사용 하 여 AD FS가 들어오는 클라이언트 요청을 항상 사용 가능한 수 있도록 서버 클러스터로 함께 작동 하도록 두 개 이상의 서버를 구성할 수 있습니다. 고가용성은 서버를 추가하여 서버 용량을 늘릴 수 있는 스케일 아웃 아키텍처를 제공합니다. 자동 클러스터 장애 조치(failover)를 통해 단일 실패 지점이 완화됩니다.

SQL 클러스터링 기술에서 제공하는 네트워크 부하 분산 및 장애 조치(failover) 서비스를 사용하여 고가용성을 실현할 수 있습니다. 고가용성을 위해 SQL Server 구성하는 방법에 대한 자세한 내용은 고가용성 솔루션 개요를 참조하세요.

SAML 아티팩트 확인

SAML(Security Assertion Markup Language) 아티팩트 확인은 신뢰 당사자가 클레임 공급자에서 직접 토큰을 검색할 수 있는 SAML 2.0 프로토콜 기반의 엔드포인트입니다. 확인 프로세스의 첫 번째 단계에서는 브라우저 클라이언트가 리소스 페더레이션 서버에 연결하여 이 서버에 아티팩트를 제공합니다. 두 번째 단계에서는 리소스 페더레이션 서버가 아티팩트 메시지를 확인하기 위해 계정 파트너 조직에서 호스트되는 SAML 아티팩트 엔드포인트 URL로 아티팩트를 보냅니다. 마지막 단계에서는 계정 페더레이션 서버가 브라우저 클라이언트를 대신해 페더레이션 서버에 토큰을 발급합니다.

참고

계정 파트너 조직의 관리자인 경우 팜의 모든 계정 페더레이션 서버에서 IIS(<ComputerName>\Sites\Default Web Site\adfs\ls)의 페더레이션 수동 웹 사이트에 Windows 루트 인증서 프로그램의 루트 인증서에 연결된 SSL 인증서를 할당하거나 바인딩해야 합니다. 이는 리소스 페더레이션 서버에서 Local Computers Trusted People 인증서 저장소에 SSL 인증서를 수동으로 추가하거나 조직에 게시된 아티팩트를 확인하는 것을 방지하는 데 중요합니다.

SAML/WS - 페더레이션 토큰 재생 검색

토큰 재생이라는 용어는 계정 파트너 조직의 브라우저 클라이언트가 계정 페더레이션 서버에서 받은 토큰을 여러 번 보내 리소스 페더레이션 서버에 인증하려고 시도하는 작업을 의미합니다. 이 작업은 사용자가 인증 페이지를 다시 제출하기 위해 브라우저의 뒤로 버튼을 클릭한 경우에 발생합니다.

AD FS에서는 동일한 토큰을 사용한 여러 번의 토큰 요청을 검색한 다음 삭제하는 토큰 재생 검색 기능을 제공합니다. 이 기능을 사용하도록 설정한 경우 토큰 재생 검색은 동일한 토큰을 두 번 이상 사용할 수 없도록 하여 WS-Federation Passive 프로필과 SAML WebSSO 프로필에서 인증 요청의 무결성을 보호합니다. 키오스크를 사용하는 경우 등 보안이 매우 중요한 상황에서 이 기능을 사용해야 합니다.

예를 들어 키오스크에서는 사용자가 모든 웹 사이트에서 로그오프할 수 있는데, 이 경우 나중에 악의적인 사용자가 브라우저 기록을 사용해 이전 사용자가 로드한 페더레이션된 인증 페이지를 다시 제출하려고 시도할 수 있습니다. 이 기능은 토큰의 후속 재생을 검색하고 여러 번의 인증 시도가 성공하는 것을 방지하기 위해 계정 파트너 조직의 성공한 각 인증에 대한 추가 정보를 저장함으로써 이러한 문제를 완화합니다.