페더레이션 서버 구성

2025-07-14
적용 대상: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

컴퓨터에 AD FS(Active Directory Federation Services) 역할 서비스를 설치한 후에는 이 컴퓨터를 페더레이션 서버가 되도록 구성할 준비가 된 것입니다. 다음 방법 중 하나를 수행할 수 있습니다.

새 페더레이션 서버 팜의 첫 번째 페더레이션 서버 구성

Active Directory Federation Service 구성 마법사를 사용하여 새로운 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면

Note

이 절차를 수행하기 전에 도메인 관리자 권한이 있거나 도메인 관리자 자격 증명을 사용할 수 있는지 확인합니다.

On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

Active Directory Federation Service 구성 마법사 가 열립니다.
On the Welcome page, select Create the first federation server in a federation server farm, and then click Next.
AD DS에 연결 페이지에서 이 컴퓨터가 조인된 AD(Active Directory) 도메인에 대한 도메인 관리자 권한을 사용하여 계정을 지정한 다음 다음을 클릭합니다.
서비스 속성 지정 페이지에서 다음을 수행한 후 다음을 클릭합니다.
- SSL(Secure Socket Layer) 인증서와 이전에 가져온 키가 포함된 .pfx 파일을 가져옵니다. 2단계: AD FS용 SSL 인증서 등록에서 이 인증서를 가져와 페더레이션 서버로 구성하려는 컴퓨터에 복사했습니다. To import the .pfx file via the wizard, click Import, and then browse to the file's ___location. 메시지가 표시되면 .pfx 파일의 암호를 입력합니다.
- 페더레이션 서비스의 이름을 제공합니다. For example, fs.contoso.com. 이 이름은 인증서에 있는 주체 또는 주체 대체 이름 중 하나와 일치해야 합니다.
- 페더레이션 서비스의 표시 이름을 제공합니다. For example, Contoso Corporation. 사용자는 AD FS(Active Directory Federation Services) 로그인 페이지에서 이 이름을 봅니다.
서비스 계정 지정 페이지에서 서비스 계정을 지정합니다. gMSA(기존 그룹 관리 서비스 계정)를 만들거나 사용하거나 기존 도메인 사용자 계정을 사용할 수 있습니다. 새 gMSA 계정을 만드는 옵션을 선택하는 경우 새 계정의 이름을 지정합니다. If you select the option to use an existing gMSA or ___domain account, click Select to select an account.

Note

gMSA 계정을 사용할 경우 이점은 자동 협상 암호 업데이트 기능입니다.

Warning

gMSA 계정을 사용하려면 Windows Server 2012 운영 체제를 실행하는 환경에 도메인 컨트롤러가 1개 이상 있어야 합니다.

gMSA 옵션이 비활성화되어 있고 KDS 루트 키가 설정되지 않았으므로 그룹 관리 서비스 계정을 사용할 수 없음과 같은 오류 메시지가 나타나는 경우, Active Directory 도메인에서 Windows Server 2012 이상을 실행하는 도메인 컨트롤러에서 다음 Windows PowerShell 명령을 실행하여 도메인에서 gMSA를 활성화할 수 있습니다: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Then return to the wizard, click Previous, and then click Next to re-enter the Specify Service Account page. 이제 gMSA 옵션을 사용하도록 설정해야 합니다. 이를 선택하고 사용하려는 gMSA 계정 이름을 입력할 수 있습니다.
구성 데이터베이스 지정 페이지에서 AD FS 구성 데이터베이스를 지정한 다음 다음을 클릭합니다. WID(Windows 내부 데이터베이스)를 사용하여 이 컴퓨터에 데이터베이스를 만들거나 Microsoft SQL Server의 위치 및 인스턴스 이름을 지정할 수 있습니다.

자세한 내용은 AD FS 구성 데이터베이스의 역할을 참조하세요.

Important

AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.
On the Review Options page, verify your configuration selections, and then click Next.
On the Pre-requisite Checks page, verify that all prerequisite checks are successfully completed, and then click Configure.
On the Results page, review the results and check whether the configuration is completed successfully, and then click Next steps required for completing your federation service deployment. 자세한 내용은 AD FS 설치를 완료하기 위한 다음 단계를 참조하세요. Click Close to exit the wizard.

Windows PowerShell을 통해 새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하려면

신규 또는 기존 gMSA 계정 또는 기존 도메인 사용자 계정을 사용하여 새 페더레이션 서버 팜을 만들 수 있습니다.

새 gMSA 계정을 사용하여 새 페더레이션 서버를 만들려면 다음을 수행합니다.

Important

새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 만들려면 도메인 관리자 권한이 있어야 합니다.
1. 페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창에서 다음 명령을 실행하여 SSL 인증서가 가져왔는지 확인할 수 있습니다: dir Cert:\LocalMachine\My. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.
2. 도메인 컨트롤러에서 Windows PowerShell 명령 창을 열고, 다음 명령을 실행하여 도메인에 KDS 루트 키가 생성되었는지 확인합니다: Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10). Get-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10) 생성되지 않아 출력에 정보가 표시되지 않는 경우, 키를 만들기 위해 다음 명령을 실행하세요: Add-KdsRootKey –EffectiveTime (Get-Date).AddHours(-10).
3. 페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다.
```
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <___domain>\<GMSA_Name>$
```
  Warning
  
  이전 명령의 끝에 $ 기호가 필요합니다.
  
  <certificate_thumbprint> 값을 얻으려면 dir Cert:\LocalMachine\My을 실행한 다음 SSL 인증서의 지문을 선택합니다. The value of <federation_service_name> is the name of your federation service, for example, fs.contoso.com.
  
  Note
  
  이 명령을 처음 실행하는 경우가 아니라면 OverwriteConfiguration 매개 변수를 추가합니다.
  
  Note
  
  이전 명령은 WID 팜을 만듭니다. SQL Server 서버 팜을 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다.
  
  다음 명령을 사용하여 SQL Server의 인스턴스를 사용하는 새 팜에서 첫 번째 페더레이션 서버를 만들 수 있습니다. Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name?\<SQL_instance_name>;Integrated Security=True" 여기서 <SQL_Host_Name>은 SQL Server가 실행 중인 서버의 이름이고 <SQL_instance_name>은 SQL Server의 인스턴스 이름입니다. If you use the default instance of SQL Server, use a SQLConnectionString value of "Data Source=<SQL_Host_Name>;Integrated Security=True".
  
  Important
  
  AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려면 SQL Server 2008 이상(SQL Server 2012 포함)을 사용하면 됩니다.
기존 도메인 사용자 계정을 사용하여 새 페더레이션 서버를 만들려면 다음을 수행합니다.
1. 페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창에서 다음 명령을 실행하여 SSL 인증서가 가져왔는지 확인할 수 있습니다: dir Cert:\LocalMachine\My. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.
2. 페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다: $fscred = Get-Credential. 도메인\사용자 이름 형식으로 페더레이션 서비스 계정에 사용할 도메인 사용자 계정 자격 증명을 입력합니다.
3. 동일한 Windows PowerShell 명령 창에서 다음 명령을 실행합니다.
```
Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscred
```
  certificate_thumbprint< 값을> 가져오려면 dir Cert:\LocalMachine\My 명령을 실행한 후 SSL 인증서의 지문을 선택하세요. federation_service_name< 값>은 페더레이션 서비스의 이름(예: fs.contoso.com)입니다.
  
  Note
  
  이 명령을 처음 실행하는 경우가 아니라면 OverwriteConfiguration 매개 변수를 추가합니다.
  
  Note
  
  이전 명령은 WID 팜을 만듭니다. SQL Server 팜을 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다.
  
  You can use the following command to create the first federation server in a new farm that uses an instance of SQL Server: Install-AdfsFarm -CertificateThumbprint <certificate_thumbprint> -FederationServiceName <federation_service_name> -ServiceAccountCredential $fscredential -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" where SQL_Host_Name is the name of the server on which SQL Server is running, and SQL_instance_name is the name of the instance of SQL Server. If you use the default instance of SQL Server, use a SQLConnectionString value of "Data Source=<SQL_Host_Name>;Integrated Security=True".
  
  Important
  
  AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.

기존 페더레이션 서버 팜에 페더레이션 서버 추가

Important

이 섹션의 절차를 시작하기 전에 3단계: AD FS 역할 서비스를 설치했는지 확인합니다.

Important

이 절차를 완료하기 전에 유효한 SSL 서버 인증 인증서를 가져왔는지 확인합니다.

Active Directory Federation Service 구성 마법사를 통해 기존 페더레이션 서버 팜에 페더레이션 서버를 추가하려면

On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

Active Directory Federation Service 구성 마법사 가 열립니다.
On the Welcome page, select Add a federation server to a federation server farm, and then click Next.
AD DS에 연결 페이지에서 이 컴퓨터가 조인된 AD 도메인에 대한 도메인 관리자 권한을 사용하여 계정을 지정한 다음 다음을 클릭합니다.
On the Specify Farm page, provide the name of the primary federation server in a farm that uses WID or specify the database host name and the database instance name of an existing federation server farm that uses SQL Server.

Warning

Windows Server® 2012 R2에는 SQL Server의 기본 인스턴스를 지정하는 해결 방법이 있습니다. 해결 방법은 사용자 인터페이스를 사용하지 않는 것입니다. 대신 Windows PowerShell을 통해 새 페더레이션 서버 팜에서 첫 번째 페더레이션 서버를 구성하는 단계로 이동하십시오.

Important

AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려면 SQL Server 2008 이상(SQL Server 2012 포함)을 사용하면 됩니다.
SSL 인증서 지정 페이지에서 이전에 가져온 SSL 인증서 및 키가 포함된 .pfx 파일을 가져옵니다. 이 인증서는 필수 서비스 인증 인증서입니다. 2단계: AD FS용 SSL 인증서 등록에서 이 인증서를 획득한 후, 페더레이션 서버로 구성할 컴퓨터에 복사했습니다. To import the .pfx file via the wizard, click Import and browse to the file's ___location. 메시지가 표시되면 .pfx 파일의 암호를 입력합니다.
서비스 계정 지정 페이지에서 팜에서 첫 번째 페더레이션 서버를 만들 때 구성한 것과 동일한 서비스 계정을 지정합니다. 기존 그룹 관리 서비스 계정 또는 기존 도메인 사용자 계정을 사용할 수 있습니다.

Important

지정한 계정은 이 팜의 기본 페더레이션 서버에서 사용된 계정과 동일한 계정이어야 합니다.
On the Review Options page, verify your configuration selections, and then click Next.
On the Pre-requisite Checks page, verify that all prerequisite checks are successfully completed, and then click Configure.
On the Results page, review the results and check whether the configuration is completed successfully, and then click Next steps required for completing your federation service deployment. 자세한 내용은 AD FS 설치를 완료하기 위한 다음 단계를 참조하세요. Click Close to exit the wizard.

Windows PowerShell을 통해 기존 페더레이션 서버 팜에 페더레이션 서버를 추가하려면

기존 gMSA 계정 또는 기존 도메인 사용자 계정을 사용하여 기존 팜에 페더레이션 서버를 추가할 수 있습니다.

기존 gMSA 계정을 사용해서 페더레이션 서버를 팜에 조인하려면 다음을 수행합니다.
1. 페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창에서 다음 명령을 실행하여 SSL 인증서가 가져왔는지 확인할 수 있습니다: dir Cert:\LocalMachine\My. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.
2. 페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고 다음 명령을 실행합니다.
```
Add-AdfsFarmNode -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
```
  <___domain>\<GMSA_name>는 AD 도메인 및 해당 도메인에 있는 gMSA 계정의 이름입니다. <first_federation_server_hostname>는 이 기존 팜의 주 페더레이션 서버의 호스트 이름입니다.
  
  <certificate_thumbprint>에 대한 값은 이전 단계에서 dir Cert:\LocalMachine\My을 실행하여 가져올 수 있습니다.
  
  Note
  
  이 명령을 처음 실행하는 경우가 아니라면 OverwriteConfiguration 매개 변수를 추가합니다.
  
  Note
  
  이전 명령은 WID 팜 노드를 만듭니다. SQL Server를 실행하는 컴퓨터의 서버 팜 노드를 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다.
  
  You can use the following command to add a federation server to an existing farm that is using an instance of SQL Server: Add-AdfsFarmNode -GroupServiceAccountIdentifier <___domain>\<GMSA_name>$ -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" where SQL_Host_Name is the name of the server on which SQL Server is running, and SQL_instance_name is the name of the instance of SQL Server. If you use the default instance of SQL Server, use a SQLConnectionString value of "Data Source=<SQL_Host_Name>;Integrated Security=True".
  
  Important
  
  AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.
기존 도메인 사용자 계정을 사용해서 페더레이션 서버를 팜에 조인하려면 다음을 수행합니다.
1. 페더레이션 서버로 구성하려는 컴퓨터에서 Windows PowerShell 명령 창을 열고, 다음 명령을 실행합니다: $fscred = get-credential. 도메인\사용자 이름 형식으로 페더레이션 서비스 계정에 사용할 도메인 사용자 계정 자격 증명을 입력합니다.
2. 페더레이션 서버로 구성하려는 컴퓨터에서 필요한 SSL 인증서를 로컬 컴퓨터\내 저장소 디렉토리로 가져왔는지 확인합니다. Windows PowerShell 명령 창에서 다음 명령을 실행하여 SSL 인증서가 가져왔는지 확인할 수 있습니다: dir Cert:\LocalMachine\My. 인증서는 로컬 컴퓨터\내 저장소 디렉터리의 지문으로 나열됩니다.
3. 동일한 Windows PowerShell 명령 창에서 다음 명령을 실행 합니다.
```
Add-AdfsFarmNode -ServiceAccountCredential $fscred -PrimaryComputerName <first_federation_server_hostname> -CertificateThumbprint <certificate_thumbprint>
```
  Note
  
  이 명령을 처음 실행하는 경우가 아니라면 OverwriteConfiguration 매개 변수를 추가합니다.
  
  Note
  
  이전 명령은 WID 팜 노드를 만듭니다. SQL Server를 실행하는 컴퓨터의 서버 팜 노드를 만들려면 SQL Server 인스턴스가 이미 설치되어 있고 작동 중이어야 합니다. You can use the following command to add a federation server to an existing farm by using an instance of SQL Server: Add-AdfsFarmNode -ServiceAccountCredential $fscred -SQLConnectionString "Data Source=<SQL_Host_Name>\<SQL_instance_ name>;Integrated Security=True" where SQL_Host_Name is the name of the server on which the instance of SQL Server is running, and SQL_instance_name is the name of the instance of SQL Server. If you use the default instance of SQL Server, use a SQLConnectionString value of "Data Source=<SQL_Host_Name>;Integrated Security=True".
  
  Important
  
  AD FS 팜을 만들고 SQL Server를 사용하여 구성 데이터를 저장하려는 경우 SQL Server 2008 및 SQL Server 2012와 SQL Server 2014를 포함한 최신 버전에서 사용할 수 있습니다.