ADFS 구성 방법 및 이중화 (1)

ADFS 구성 방법 및 이중화 (1)

• 주 페더레이션:  처음 페더레이션 서버를 만들게 되면 주 페더레이션 서버로 만들어진다.

• 보조 페더레이션: 주 페더레이션 서버의 ADFS 구성 데이터베이스 복사본을 저장하지만 이러한 복사본은 읽기 전용이며 주 페더레이션 서버와 5분(기본) 간격으로 데이터를 동기화 한다.

• 주 서버가 장애 및 오프라인일 경우 보조 서버가 서비스를 처리한다

• 주 서버가 정상 및 온라인 상태가 될 때까지 페더레이션 서비스를 새로 변경할 수는 없다.
  (Powershell을 사용하여 보조 페더레이션 서버를 주 페더레이션 서버로 지정할 수 있다)

• ADFS는 Windows AD 도메인 컨트롤러를 대신 사용할 수 없다

[ADFS Configure Requirement]

• 페더레이션 서비스 서버
  - 듀얼 쿼드 코어(8Core)
  - Memory 16GB
  - Gigabite Network
  
  
• 페더레이션 서비스 프록시 서버
  - 쿼드 코어(4Core)
  - Memory 4GB
  - Gigabite Network

[구성 시나리오]

[사전 준비 및 구성 내용]

• 이번 글에서는 ADFS 와 Web Application Proxy를 구성으로 다루고 있습니다.
• AD 서버는 사전 구성 후 ADFS 서버와 Join 까지 진행 완료되어야 합니다.
• Web Application Proxy 서버는 AD와 Join 하지 않아도 됩니다. 
• ADFS 구성 요소 중 인증서는 꼭 필요합니다 (사설인증서 or 공인인증서)
• 무료로 단기간 사용할 수 있는 공인인증서를 발급 받아서 진행

[ADFS 서버 구성]

무료 공인인증서 발급 진행을 위해 ADFS 서버에서 IIS Role 설치

인증서 요청 만들기 

인증서 요청 만들기 

키 값 복사

공인인증서 발급

인증서 요청 완료 선택

인증서 위치 선택 및 이름 지정

만약, 인증서에 문제가 있다면 새로고침 시 사라진다.

ADFS  역할 설치

ADFS 서버 역할 설치
첫 번째 구성이기 때문에 [페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다] 선택

AD 도메인 관리자 권한 계정 선택

위에서 등록 한 인증서 선택 및 서비스 이름 지정

새로운 서비스 계정을 만들거나 도메인 계정으로 사용 가능

서비스 계정을 사용하기 위해서는 아래 명령어를 입력

파워쉘 실행 후 아래와 같이 입력 (서비스 계정을 만들 수 있게 활성화가 된다) AD 서버에서 진행

Add-KdsRootKey -EffectiveTime (Get-Date).Addhours(-10)

이번 구성은 도메인 어드민 계정으로 사용

내부 DB 또는 별도로 SQL Server 가 있다면 사용가능

구성 검토 확인

유효성 검사 확인

설치 진행

결과 확인

DC의 DNS에서 STS 호스트 추가

내부 접속 테스트 (https://sts.hooniworld.cf/adfs/ls/idpinitiatedsignon)

계정정보 입력

로그인 확인

※ Windows 2016 경우 아래와 같이 메시지가 발생 할 수 있음

idpinitiatedsignon 속성이 비활성화 되어 있는지 확인

Get-AdfsProperties | fl *idpinitiatedsignon*

 

활성화로 변경

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true

*.domain을 수행하면 네트워크 내부에서 도메인 가입 시스템에 자동로그인을 사용할 수 있음
(GPO를 구성하여 모든 도메인 컴퓨터에 추가하는 것이 좋음)

다음편에서는 Web Application Proxy 구성을 다루도록 하겠습니다.