Active Directory Federation Services 준비 및 배포 - 온-프레미스 키 신뢰

• 적용 대상:

  ✅ Windows 11, ✅ Windows 10

이 문서에서는 다음과 같은 비즈니스용 Windows Hello 기능 또는 시나리오에 대해 설명합니다.

• 배포 유형:-프레미스를 통해 수행됩니다.
• 신뢰 유형:
• 조인 유형:.

---

비즈니스용 Windows Hello Windows Server에 포함된 AD FS(Active Directory Federation Service) 역할에서만 작동합니다. 온-프레미스 키 신뢰 배포 모델은 키 등록 및 디바이스 등록에 AD FS를 사용합니다.

다음 지침에서는 WID(Windows Information Database)를 구성 데이터베이스로 사용하여 AD FS의 새 instance 배포하는 방법에 대해 설명합니다.
WID는 페더레이션 서버가 30 개 이하이고 신뢰 당사자 트러스트가 100개 이하인 환경에 적합합니다. 환경이 이러한 요소 중 하나를 초과하거나 SAML 아티팩트 확인, 토큰 재생 검색을 제공해야 하거나 AD FS가 페더레이션된 공급자 역할로 작동해야 하는 경우 배포에 SQL을 구성 데이터베이스로 사용해야 합니다.
SQL을 구성 데이터베이스로 사용하여 AD FS를 배포하려면 페더레이션 서버 팜 배포 검사 목록을 검토합니다.

새 AD FS 팜에는 적절한 부하 분산을 위해 최소 두 개의 페더레이션 서버가 있어야 합니다. 이 서버는 외부 네트워킹 주변 장치 또는 Windows Server에 포함된 네트워크 부하 분산 역할을 사용하여 수행할 수 있습니다.

두 개의 Windows Server를 설치하고 업데이트 하여 AD FS 배포를 준비합니다.

TLS 서버 인증 인증서 등록

일반적으로 페더레이션 서비스는 에지 페이싱 역할입니다. 하지만 비즈니스용 Windows Hello의 온-프레미스 배포와 함께 사용되는 페더레이션 서비스와 인스턴스는 인터넷 연결이 필요하지 않습니다.

AD FS 역할에는 페더레이션 서비스에 대한 서버 인증 인증서가 필요하며 엔터프라이즈(내부) CA에서 발급한 인증서를 사용할 수 있습니다. 페더레이션 팜의 각 노드에 대해 개별 인증서를 요청하는 경우 서버 인증 인증서에는 다음 이름이 인증서에 포함되어야 합니다.

• 주체 이름: 페더레이션 서버의 내부 FQDN
• 주체 대체 이름: 페더레이션 서비스 이름(예: sts.corp.contoso.com) 또는 적절한 와일드카드 항목(예: *.corp.contoso.com)

페더레이션 서비스 이름은 AD FS 역할이 구성되면 설정됩니다. 어떤 이름이든 선택할 수 있지만 해당 이름은 서버 또는 호스트의 이름과 달라야 합니다. 예를 들어 호스트 서버 adfs 및 페더레이션 서비스 sts의 이름을 지정할 수 있습니다. 이 예제에서는 호스트의 FQDN이 adfs.corp.contoso.com 페더레이션 서비스의 FQDN이 sts.corp.contoso.com.

팜의 모든 호스트에 대해 하나의 인증서를 발급할 수도 있습니다. 이 옵션을 선택한 경우 주체 이름을 비워 두고 인증서 요청을 만들 때 주체 대체 이름에 모든 이름을 포함합니다. 모든 이름에는 팜에 있는 각 호스트의 FQDN과 페더레이션 서비스 이름이 포함되어야 합니다.

와일드카드 인증서를 만들 때 AD FS 팜 내의 각 페더레이션 서버 및 웹 애플리케이션 프록시에 동일한 인증서를 배포할 수 있도록 프라이빗 키를 내보낼 수 있는 것으로 표시합니다. 인증서는 신뢰할 수 있어야 합니다(신뢰할 수 있는 루트 CA에 대한 체인). 서버 인증 인증서를 성공적으로 요청하고 하나의 노드에 등록하면 인증서 관리자 콘솔을 사용하여 인증서와 개인 키를 PFX 파일로 내보낼 수 있습니다. 그런 다음 AD FS 팜의 나머지 노드에서 인증서를 가져올 수 있습니다.

인증서를 등록하거나 AD FS 서버의 컴퓨터 인증서 저장소로 가져와야 합니다. 또한 팜의 모든 노드에 적절한 TLS 서버 인증 인증서가 있어야 합니다.

AD FS 인증 인증서 등록

도메인 관리자에 해당하는 자격 증명을 사용하여 페더레이션 서버에 로그인합니다.

1. 로컬 컴퓨터 인증서 관리자 시작(certlm.msc)
2. 탐색 창에서 개인 노드 확장
3. 마우스 오른쪽 단추로 개인을 클릭합니다. 모든 작업 > 요청 새 인증서 선택
4. 시작하기 전에 페이지에서 다음을 선택합니다.
5. 인증서 등록 정책 선택 페이지에서 다음을 선택합니다.
6. 인증서 요청 페이지에서 내부 웹 서버 검사 상자를 선택합니다.
7. 이 인증서에⚠ 등록하려면 ️ 추가 정보가 필요합니다를 선택합니다. 여기를 클릭하여 설정 링크를 구성합니다.
8. 주체 이름 아래의 유형 목록에서 일반 이름을 선택합니다. AD FS 역할을 호스트하는 컴퓨터의 FQDN을 입력한 다음, 추가를 선택합니다.
9. 대체 이름 아래의 유형 목록에서 DNS를 선택합니다. 페더레이션 서비스(sts.corp.contoso.com)에 사용할 이름의 FQDN을 입력합니다. 여기서 사용하는 이름은 AD FS 서버 역할을 구성할 때 사용하는 이름과 일치해야 합니다. 완료되면 추가 및 확인을 선택합니다.
10. 등록 선택

서버 인증 인증서는 컴퓨터의 개인 인증서 저장소에 표시되어야 합니다.

AD FS 역할 배포

중요

AD FS 팜에 두 번째 서버를 추가하기 전에 팜의 첫 번째 서버에서 전체 AD FS 구성을 완료합니다. 완료되면 두 번째 서버는 AD FS 팜에 추가될 때 공유 구성 데이터베이스를 통해 구성을 받습니다.

엔터프라이즈 관리자에 해당하는 자격 증명을 사용하여 페더레이션 서버에 로그인합니다.

1. 서버 관리자를 시작합니다. 탐색 창에서 로컬 서버 선택
2. 역할 및 기능 추가 관리를 > 선택합니다.
3. 시작하기 전에 페이지에서 다음을 선택합니다.
4. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치 > 다음을 선택합니다.
5. 대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 선택합니다. 서버 풀 목록에서 페더레이션 서버를 선택하고 다음을 선택합니다.
6. 서버 역할 선택 페이지에서 Active Directory Federation Services 및 다음을 선택합니다.
7. 기능 선택 페이지에서 다음을 선택합니다.
8. Active Directory 페더레이션 서비스 페이지에서 다음을 선택합니다.
9. 설치를 선택하여 역할 설치를 시작합니다.

검토하여 AD FS 배포 유효성 검사

배포를 계속하기 전에 다음 항목을 검토하여 배포 진행의 유효성을 검사합니다.

• AD FS 팜이 올바른 데이터베이스 구성을 사용하는지 확인합니다.
• AD FS 팜에 적절한 수의 노드가 있고 예상 부하에 대해 부하가 적절하게 분산되었는지 확인합니다.
• 팜의 모든 AD FS 서버에 최신 업데이트가 설치되었는지 확인합니다.
• 모든 AD FS 서버에 유효한 서버 인증 인증서가 있는지 확인합니다.

디바이스 등록 서비스 계정 필수 구성 요소

GMSA(그룹 관리 서비스 계정)의 사용은 이를 지원하는 서비스에 대한 서비스 계정을 배포하는 기본 방법입니다. GMSA는 Windows가 암호 관리를 처리하기 때문에 일반 사용자 계정에 비해 보안 이점이 있습니다. 따라서 암호가 길고 복잡하며 주기적으로 변경됩니다. AD FS는 GMSA를 지원하며 추가 보안을 위해 이를 사용하여 구성해야 합니다.

GSMA는 도메인 컨트롤러에 있는 Microsoft 키 배포 서비스를 사용합니다. GSMA를 만들기 전에 먼저 서비스에 대한 루트 키를 만들어야 합니다. 환경이 이미 GSMA를 사용하고 있는 경우, 이를 건너뛸 수 있습니다.

KDS 루트 키 만들기

엔터프라이즈 관리자에 해당하는 자격 증명을 사용하여 도메인 컨트롤러에 로그인합니다.

관리자 권한 PowerShell 콘솔을 시작하고 다음 명령을 실행합니다.

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)

Active Directory Federation Service 역할 구성

다음 절차를 사용하여 AD FS를 구성합니다.

도메인 관리자에 해당하는 자격 증명을 사용하여 페더레이션 서버에 로그인합니다. 이 절차에서는 페더레이션 서버 팜의 첫 번째 페더레이션 서버를 구성한다고 가정합니다.

1. 시작 서버 관리자
2. 오른쪽 위 모서리에서 알림 플래그를 선택하고 이 서버에서 페더레이션 서비스 구성을 선택합니다.
3. 시작 페이지에서 첫 번째 페더레이션 서버 팜 > 만들기 다음을 선택합니다.
4. Active Directory Domain Services 연결 페이지에서 다음을 선택합니다.
5. 서비스 속성 지정 페이지의 SSL 인증서 목록에서 최근에 등록되거나 가져온 인증서를 선택합니다. 인증서 이름은 페더레이션 서비스(예: sts.corp.contoso.com)의 이름을 따서 명명된 것일 수 있습니다.
6. 페더레이션 서비스 이름 목록에서 페더레이션 서비스 이름 선택
7. 텍스트 상자에 페더레이션 서비스 표시 이름을 입력합니다. 이것은 로그인할 때 사용자에게 표시되는 이름입니다. 다음 선택
8. 서비스 계정 지정 페이지에서 그룹 관리 서비스 계정 만들기를 선택합니다. 계정 이름 상자에 adfssvc를 입력합니다.
9. 구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스 사용하여 이 서버에서 데이터베이스 만들기를 선택하고 다음을 선택합니다.
10. 검토 옵션 페이지에서 다음을 선택합니다.
11. 필수 구성 요소 검사 페이지에서 구성을 선택합니다.
12. 프로세스가 완료되면 닫기를 선택합니다.

키 관리자 그룹에 AD FS 서비스 계정 추가

비즈니스용 Windows Hello 등록하는 동안 공개 키는 Active Directory의 사용자 개체 특성에 등록됩니다. AD FS 서비스가 키를 추가하고 제거할 수 있도록 하려면 키 관리자 전역 그룹의 구성원이어야 합니다.

도메인 관리자에 해당하는 자격 증명을 사용하여 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

1. Active Directory 사용자 및 컴퓨터를 엽니다.
2. 탐색 창에서 사용자 컨테이너 선택
3. 세부 정보 창에서 키 관리자를 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
4. 멤버 > 추가...를 선택합니다.
5. 선택할 개체 이름 입력 텍스트 상자에 adfssvc를 입력합니다. 확인을 선택합니다.
6. 확인을 선택하여 Active Directory 사용자 및 컴퓨터
7. AD FS 역할을 호스트하는 서버로 변경하고 다시 시작합니다.

디바이스 등록 서비스 구성

엔터프라이즈 관리자와 동등한 자격 증명을 사용하여 페더레이션 서버에 로그인합니다. 이 지침에서는 페더레이션 서버 팜의 첫 번째 페더레이션 서버를 구성한다고 가정합니다.

1. AD FS 관리 콘솔 열기
2. 탐색 창에서 서비스를 확장합니다. 디바이스 등록 선택
3. 세부 정보 창에서 디바이스 등록 구성을 선택합니다.
4. 디바이스 등록 구성 대화 상자에서 확인을 선택합니다.

AD FS에서 디바이스 등록을 트리거하면 Active Directory 구성 파티션에 SCP(서비스 연결 지점)가 만들어집니다. SCP는 Windows 클라이언트가 자동으로 검색할 디바이스 등록 정보를 저장하는 데 사용됩니다.

검토하여 AD FS 및 Active Directory 구성의 유효성을 검사합니다.

배포를 계속하기 전에 다음 항목을 검토하여 배포 진행의 유효성을 검사합니다.

• AD FS 인증서에 대한 정보를 기록하고 만료되기 최소 6주 전에 갱신 미리 알림을 설정합니다. 관련 정보에는 인증서 일련 번호, 지문, 일반 이름, 주체 대체 이름, 물리적 호스트 서버의 이름, 발급 날짜, 만료 날짜 및 CA 공급업체 발급(Microsoft 인증서가 아닌 경우)이 포함됩니다.
• KeyAdmins 그룹에 AD FS 서비스 계정을 추가한 것을 확인합니다.
• 디바이스 등록 서비스를 사용하도록 설정했는지 확인

추가 페더레이션 서버

조직은 고가용성을 위해 페더레이션 팜에 둘 이상의 페더레이션 서버를 배포해야 합니다. AD FS 팜에 최소 2개의 페더레이션 서비스가 있어야 하지만 대부분의 조직에는 그 이상이 있을 가능성이 높습니다. 이것은 대체로 AD FS 팜이 제공하는 서비스를 사용하는 장치와 사용자의 수에 따라 달라집니다.

서버 인증 인증서

AD FS 팜에 추가하는 각 서버에는 적절한 서버 인증 인증서가 있어야 합니다. 이 문서의 TLS 서버 인증 인증서 등록 섹션을 참조하여 서버 인증 인증서의 요구 사항을 확인하세요. 앞서 말한 것처럼 비즈니스용 Windows Hello의 온-프레미스 배포에만 사용되는 AD FS 서버는 공용 인증 기관이 발급한 서버 인증 인증서 대신 엔터프라이즈 서버 인증 인증서를 사용할 수 있습니다.

추가 서버 설치

기존 AD FS 팜에 페더레이션 서버를 추가하는 것은 비즈니스용 Windows Hello 배포(https://aka.ms/whfbadfs1703)를 지원하는 데 필요한 Windows Server 2016 업데이트를 포함하도록 서버가 완전히 패치되도록 하는 것으로 시작합니다. 다음으로 추가 서버에 Active Directory Federation Service 역할을 설치한 후 서버를 기존 팜의 추가 서버로 구성합니다.

AD FS 부하 분산

많은 환경에서는 하드웨어 장치를 사용하여 부하를 분산합니다. 하드웨어 부하 분산 기능이 없는 환경에서는 Windows Server에 포함된 네트워크 부하 분산 기능을 활용하여 페더레이션 팜의 AD FS 서버 부하를 분산할 수 있습니다. 부하 분산해야 하는 AD FS 팜에 참여하는 모든 노드에 Windows 네트워크 부하 분산 기능을 설치합니다.

AD FS 서버에 네트워크 부하 분산 기능 설치

엔터프라이즈 관리자에 해당하는 자격 증명을 사용하여 페더레이션 서버에 로그인합니다.

1. 서버 관리자를 시작합니다. 탐색 창에서 로컬 서버 선택
2. 관리를 선택한 다음, 역할 및 기능 추가를 선택합니다.
3. 시작하기 전에 페이지에서 다음을 선택합니다.
4. 설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 선택하고 다음을 선택합니다.
5. 대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 선택합니다. 서버 풀 목록에서 페더레이션 서버를 선택합니다. 다음 선택
6. 서버 역할 선택 페이지에서 다음을 선택합니다.
7. 기능 선택 페이지에서 네트워크 부하 분산 선택
8. 설치를 선택하여 기능 설치를 시작합니다.

AD FS에 대해 네트워크 부하 분산 구성

AD FS 팜의 모든 노드의 부하를 분산하기 전에 먼저 새 부하 분산 클러스터를 만들어야 합니다. 클러스터를 만든 후에 해당 클러스터에 새 노드를 추가할 수 있습니다.

관리자와 동등한 자격 증명을 사용하여 페더레이션 팜의 노드에 로그인합니다.

1. 관리 도구에서 네트워크 부하 분산 관리자 열기
2. 네트워크 부하 분산 클러스터를 마우스 오른쪽 단추로 클릭한 다음 새 클러스터를 선택합니다.
3. 새 클러스터의 일부가 될 호스트에 연결하려면 호스트 텍스트 상자에 호스트 이름을 입력한 다음 연결을 선택합니다.
4. 클러스터와 함께 사용할 인터페이스를 선택한 다음 , 다음 을 선택합니다(인터페이스는 가상 IP 주소를 호스트하고 부하를 분산하기 위해 클라이언트 트래픽을 받음).
5. 호스트 매개 변수에서 우선 순위(고유 호스트 ID) 값을 선택합니다. 이 매개 변수는 각 호스트에 대해 고유한 ID를 지정합니다. 클러스터의 현재 구성원 중에서 우선 순위가 가장 낮은 호스트가 포트 규칙이 적용되지 않는 모든 클러스터 네트워크 트래픽을 처리합니다. 다음 선택
6. 클러스터 IP 주소에서 추가를 선택하고 클러스터의 모든 호스트에서 공유하는 클러스터 IP 주소를 입력합니다. NLB는 클러스터의 일부로 선택되는 모든 호스트의 선택된 인터페이스에서 이 IP 주소를 TCP/IP 스택에 추가합니다. 다음 선택
7. 클러스터 매개 변수에서 IP 주소 및 서브넷 마스크 값을 선택합니다(IPv6 주소의 경우, 서브넷 마스크 값이 필요하지 않습니다). 사용자가 이 NLB 클러스터에 액세스하는 데 사용할 전체 인터넷 이름을 입력합니다.
8. 클러스터 작업 모드에서 유니캐스트를 선택하여 클러스터 작업에 MAC(유니캐스트 미디어 액세스 제어) 주소를 사용하도록 지정합니다. 유니캐스트 모드에서는 클러스터의 MAC 주소가 컴퓨터의 네트워크 어댑터에 할당되며, 네트워크 어댑터의 기본 제공 MAC 주소는 사용되지 않습니다. 유니캐스트 기본 설정을 사용하는 것이 좋습니다. 다음 선택
9. 포트 규칙에서 편집을 선택하여 포트 443을 사용하도록 기본 포트 규칙을 수정합니다.

추가 AD FS 서버

1. 클러스터에 호스트를 더 추가하려면 새 클러스터를 마우스 오른쪽 단추로 클릭한 다음 클러스터에 호스트 추가를 선택합니다.
2. 초기 호스트 구성에 사용한 것과 같은 지침에 따라 호스트 우선 순위, 전용 IP 주소, 부하 가중치 등 추가 호스트의 호스트 매개 변수를 구성합니다. 이미 구성된 클러스터에 호스트를 추가하므로 모든 클러스터 전체 매개 변수는 동일하게 유지됩니다.

장치 등록을 위한 DNS 구성

도메인 관리자에 해당하는 자격 증명을 사용하여 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.
이 작업을 완료하려면 페더레이션 서비스 이름이 필요합니다. AD FS 관리 콘솔 작업창에서 페더레이션 서비스 속성 편집을 선택하거나 AD FS 서버에서 (PowerShell)를 사용하여 (Get-AdfsProperties).Hostname. 페더레이션 서비스 이름을 볼 수 있습니다.

1. DNS 관리 콘솔 열기
2. 탐색 창에서 도메인 컨트롤러 이름 노드 및 앞으로 조회 영역을 확장합니다.
3. 탐색 창에서 내부 Active Directory 도메인 이름의 이름이 있는 노드를 선택합니다.
4. 탐색 창에서 도메인 이름 노드를 마우스 오른쪽 단추로 클릭하고 새 호스트(A 또는 AAAA)를 선택합니다.
5. 이름 상자에 페더레이션 서비스의 이름을 입력합니다. IP 주소 상자에 페더레이션 서버의 IP 주소를 입력합니다. 호스트 추가를 선택합니다.
6. 노드를 마우스 오른쪽 단추로 <domain_name> 클릭하고 새 별칭(CNAME)을 선택합니다.
7. 새 리소스 레코드 대화 상자에서 별칭 이름 상자에 를 입력 enterpriseregistration합니다.
8. 대상 호스트 상자의 FQDN(정규화된 도메인 이름) 에 를 입력 federation_service_farm_name.<domain_name_fqdn하고 확인을 선택합니다.
9. DNS 관리 콘솔을 닫습니다.

참고

포리스트에 여러 UPN 접미사가 있는 경우 각 접미사에 해당 접 enterpriseregistration.<upnsuffix_fqdn> 미사가 있는지 확인하세요.

페더레이션 서비스를 포함하도록 인트라넷 영역 구성

Windows Hello 프로비저닝은 페더레이션 서비스에서 웹 페이지를 제공합니다. 페더레이션 서비스를 포함하도록 인트라넷 영역을 구성하면 사용자가 통합 인증을 사용하여 페더레이션 서비스에 인증할 수 있습니다. 이 설정이 없으면 Windows Hello 프로비저닝 도중 페더레이션 서비스에 연결할 때 사용자에게 인증 메시지가 표시됩니다.

인트라넷 영역 그룹 정책 만들기

도메인 관리 해당하는 자격 증명을 사용하여 도메인 컨트롤러 또는 관리 워크스테이션에 로그인합니다.

1. 그룹 정책 관리 콘솔 시작(gpmc.msc)
2. 도메인을 확장하고 탐색 창에서 그룹 정책 개체 노드를 선택합니다.
3. 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 새로 만들기를 선택합니다.
4. 이름 상자에 인트라넷 영역 설정을 입력하고 확인을 선택합니다.
5. 콘텐츠 창에서 인트라넷 영역 설정 그룹 정책 개체를 마우스 오른쪽 단추로 클릭하고 편집을 선택합니다.
6. 탐색 창의 컴퓨터 구성에서 정책을 확장합니다.
7. 관리 템플릿 > Windows 구성 요소 > 인터넷 Explorer > 인터넷 제어판 >보안 페이지를 확장합니다. 사이트 대 영역 할당 목록 열기
8. 표시 사용을 >선택합니다. 값 이름 열에 https로 시작하는 페더레이션 서비스의 url을 입력합니다. 값 열에 숫자 1을 입력합니다. 확인을 두 번 선택한 다음, 그룹 정책 관리 편집기 닫습니다.

인트라넷 영역 그룹 정책 개체 배포

1. 그룹 정책 관리 콘솔(gpmc.msc)을 시작합니다.
2. 탐색 창에서 도메인을 확장하고 Active Directory 도메인 이름이 있는 노드를 마우스 오른쪽 단추로 클릭하고 기존 GPO 연결...을 선택합니다.
3. GPO 선택 대화 상자에서 인트라넷 영역 설정 또는 이전에 만든 비즈니스용 Windows Hello 그룹 정책 개체의 이름을 선택하고 확인을 선택합니다.

MFA(다단계 인증) 유효성 검사 및 배포

비즈니스용 Windows Hello 사용자가 서비스에 등록하기 전에 MFA(다단계 인증)를 수행해야 합니다. 온-프레미스 배포는 MFA 옵션으로 사용할 수 있습니다.

• 인증서
• AD FS에 대한 타사 인증 공급자
• AD FS에 대한 사용자 지정 인증 공급자

중요

2019년 7월 1일부터 Microsoft는 더 이상 새 배포를 위한 MFA 서버를 제공하지 않습니다. 사용자의 다단계 인증을 요구하려는 신규 고객은 클라우드 기반 Microsoft Entra 다단계 인증을 사용해야 합니다. 7월 1일 이전에 MFA 서버를 활성화한 기존 고객은 최신 버전, 향후 업데이트를 다운로드하고 평소와 같이 활성화 자격 증명을 생성할 수 있습니다.

사용 가능한 타사 인증 방법에 대한 자세한 내용은 AD FS에 대한 추가 인증 방법 구성을 참조하세요. 사용자 지정 인증 방법을 만드는 방법은 Windows Server에서 AD FS에 대한 사용자 지정 인증 방법 빌드를 참조하세요.

AD FS에 통합하고 배포하기 위해 선택한 인증 공급자에 대한 통합 및 배포 가이드에 따릅니다. AD FS 인증 정책에서 인증 공급자가 다단계 인증 옵션으로 선택되어 있는지 확인합니다. AD FS 인증 정책 구성에 대한 자세한 내용은 인증 정책 구성을 참조하세요.

검토하여 구성 유효성 검사

배포를 계속하기 전에 다음 항목을 검토하여 배포 진행의 유효성을 검사합니다.

• 모든 AD FS 서버에 유효한 서버 인증 인증서가 있는지 확인합니다. 인증서의 주체는 호스트의 일반 이름(FQDN) 또는 와일드카드 이름입니다. 인증서의 대체 이름에는 와일드카드 또는 페더레이션 서비스의 FQDN이 포함됩니다.
• AD FS 팜에 적절한 수의 노드가 있고 예상 부하에 대해 부하가 적절하게 분산되었는지 확인합니다.
• AD FS 서비스를 다시 시작했는지 확인
• 페더레이션 서비스에 대한 DNS 레코드를 만들었고 사용한 IP 주소가 부하 분산된 IP 주소인지 확인합니다.
• 페더레이션 서버에 대한 이중 인증을 방지하기 위해 인트라넷 영역 설정을 만들고 배포했는지 확인합니다.
• AD FS용 MFA 솔루션을 배포했는지 확인합니다.

다음: 비즈니스용 Windows Hello 구성 및 등록 >