일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | |||||
3 | 4 | 5 | 6 | 7 | 8 | 9 |
10 | 11 | 12 | 13 | 14 | 15 | 16 |
17 | 18 | 19 | 20 | 21 | 22 | 23 |
24 | 25 | 26 | 27 | 28 | 29 | 30 |
- Docker
- AD Migration
- ADFS Traffic Manager
- MSSQL 2012
- Azure
- Active Directory Migration
- ELK
- mongodb 설치
- 하이퍼바이저
- vSphere
- ADFS 이중화
- vCenter Syslog collector
- vmware vsphere
- AWS EFS
- AWS S3
- ADFS 구성 방법 및 이중화
- ADFS SSO
- 도커
- awx
- AWS EBS
- vCenter
- Exchange Server
- Kubernetes
- ELK 설치
- ADFS proxy
- Active Directory
- AWS
- Exchange 2003
- Application Gateway
- ansible
- Today
- Total
practice makes perfect
ADFS 구성 방법 및 이중화 (1) 본문
ADFS 구성 방법 및 이중화 (1)
주 페더레이션: 처음 페더레이션 서버를 만들게 되면 주 페더레이션 서버로 만들어진다.
보조 페더레이션: 주 페더레이션 서버의 ADFS 구성 데이터베이스 복사본을 저장하지만 이러한 복사본은 읽기 전용이며 주 페더레이션 서버와 5분(기본) 간격으로 데이터를 동기화 한다.
주 서버가 장애 및 오프라인일 경우 보조 서버가 서비스를 처리한다
주 서버가 정상 및 온라인 상태가 될 때까지 페더레이션 서비스를 새로 변경할 수는 없다.
(Powershell을 사용하여 보조 페더레이션 서버를 주 페더레이션 서버로 지정할 수 있다)ADFS는 Windows AD 도메인 컨트롤러를 대신 사용할 수 없다
- 페더레이션 서비스 서버
- 듀얼 쿼드 코어(8Core)
- Memory 16GB
- Gigabite Network - 페더레이션 서비스 프록시 서버
- 쿼드 코어(4Core)
- Memory 4GB
- Gigabite Network
[구성 시나리오]
[사전 준비 및 구성 내용]
- 이번 글에서는 ADFS 와 Web Application Proxy를 구성으로 다루고 있습니다.
- AD 서버는 사전 구성 후 ADFS 서버와 Join 까지 진행 완료되어야 합니다.
- Web Application Proxy 서버는 AD와 Join 하지 않아도 됩니다.
- ADFS 구성 요소 중 인증서는 꼭 필요합니다 (사설인증서 or 공인인증서)
- 무료로 단기간 사용할 수 있는 공인인증서를 발급 받아서 진행
[ADFS 서버 구성]
무료 공인인증서 발급 진행을 위해 ADFS 서버에서 IIS Role 설치
인증서 요청 만들기
인증서 요청 만들기
키 값 복사
공인인증서 발급
인증서 요청 완료 선택
인증서 위치 선택 및 이름 지정
만약, 인증서에 문제가 있다면 새로고침 시 사라진다.
ADFS 역할 설치
ADFS 서버 역할 설치
첫 번째 구성이기 때문에 [페더레이션 서버 팜에 첫 번째 페더레이션 서버를 만듭니다] 선택
AD 도메인 관리자 권한 계정 선택
위에서 등록 한 인증서 선택 및 서비스 이름 지정
새로운 서비스 계정을 만들거나 도메인 계정으로 사용 가능
서비스 계정을 사용하기 위해서는 아래 명령어를 입력
파워쉘 실행 후 아래와 같이 입력 (서비스 계정을 만들 수 있게 활성화가 된다) AD 서버에서 진행
Add-KdsRootKey -EffectiveTime (Get-Date).Addhours(-10)
이번 구성은 도메인 어드민 계정으로 사용
내부 DB 또는 별도로 SQL Server 가 있다면 사용가능
구성 검토 확인
유효성 검사 확인
설치 진행
결과 확인
DC의 DNS에서 STS 호스트 추가
내부 접속 테스트 (https://sts.hooniworld.cf/adfs/ls/idpinitiatedsignon)
계정정보 입력
로그인 확인
※ Windows 2016 경우 아래와 같이 메시지가 발생 할 수 있음
idpinitiatedsignon 속성이 비활성화 되어 있는지 확인
Get-AdfsProperties | fl *idpinitiatedsignon*
활성화로 변경
Set-AdfsProperties -EnableIdpInitiatedSignonPage $true
*.domain을 수행하면 네트워크 내부에서 도메인 가입 시스템에 자동로그인을 사용할 수 있음
(GPO를 구성하여 모든 도메인 컴퓨터에 추가하는 것이 좋음)
다음편에서는 Web Application Proxy 구성을 다루도록 하겠습니다.
'Windows Server' 카테고리의 다른 글
ADFS 구성 방법 및 이중화 (3) (0) | 2018.10.01 |
---|---|
ADFS 구성 방법 및 이중화 (2) (1) | 2018.10.01 |
ADFS 개념 (0) | 2018.10.01 |
원격 접속 오류 (0) | 2018.09.28 |
Windows Server 강제 Memory Dump 생성 (0) | 2017.11.30 |