Windows Server 2012 R2의 AD FS에 대한 랩 환경 설정

2025-07-14
적용 대상: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 항목에서는 다음 연습 가이드의 연습을 완료하는 데 사용할 수 있는 테스트 환경을 구성하는 단계에 대해 간략히 설명합니다.

가이드: iOS 디바이스를 이용한 작업 공간 조인 방법
안내: Windows 디바이스로 작업장 연결
가이드: 조건부 액세스 제어로 위험 관리
지침서: 중요한 애플리케이션에 대한 위험 관리를 위한 추가 다단계 인증 사용법

Note

웹 서버와 페더레이션 서버를 동일한 컴퓨터에 설치하지 않는 것이 좋습니다.

이 테스트 환경을 설정하려면 다음 단계를 완료합니다.

1단계: 도메인 컨트롤러(DC1) 구성

For the purposes of this test environment, you can call your root Active Directory ___domain contoso.com and specify pass@word1 as the administrator password.

ADDS 역할 서비스를 설치하고 ADDS(Active Directory Domain Services)를 설치하여 컴퓨터를 Windows Server 2012 R2의 도메인 컨트롤러로 만듭니다. 이 작업은 도메인 컨트롤러 만들기의 일부로 ADDS 스키마를 업그레이드합니다. 자세한 정보와 단계별 지침은 https://technet.microsoft.com/library/hh472162.aspx에서 확인하세요.

테스트 Active Directory 계정 만들기

도메인 컨트롤러가 작동하면 이 도메인에서 테스트 그룹 및 테스트 사용자 계정을 만들고 해당 사용자 계정을 그룹 계정에 추가할 수 있습니다. 이러한 계정을 사용하여 이 항목의 앞부분에 언급된 워크스루 가이드의 워크스루를 완료합니다.

다음 계정을 만듭니다.

User: Robert Hatley with the following credentials: User name: RobertH and password: P@ssword
Group: Finance

Active Directory에서 사용자 및 그룹 계정을 만드는 방법에 대한 정보는 https://technet.microsoft.com/library/cc783323%28v.aspx을 참조하세요.

Add the Robert Hatley account to the Finance group. Active Directory에서 그룹에 사용자를 추가하는 방법에 대한 자세한 내용은 https://technet.microsoft.com/library/cc737130%28v=ws.10%29.aspx을 참조하세요.

GMSA 계정 만들기

GMSA(그룹 관리 서비스 계정) 계정은 ADFS(Active Directory Federation Services) 설치 및 구성 중에 필요합니다.

GMSA 계정을 만들려면

Windows PowerShell 명령 창을 열고 다음을 입력합니다.

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
New-ADServiceAccount FsGmsa -DNSHostName adfs1.contoso.com -ServicePrincipalNames http/adfs1.contoso.com

2단계: Device Registration Service를 사용하여 페더레이션 서버(ADFS1) 구성

To set up another virtual machine, install Windows Server 2012 R2 and connect it to the ___domain contoso.com. 컴퓨터를 도메인에 가입한 후 설정하고, AD FS 역할을 설치하고 구성합니다.

비디오는 Active Directory Federation Services How-To Video Series: Installing an AD FS Server Farm(Active Directory Federation Services 방법 비디오 시리즈: AD FS 서버 팜 설치)을 참조하세요.

서버 SSL 인증서 설치

ADFS1 서버의 로컬 컴퓨터 저장소에 서버 SSL(Secure Socket Layer) 인증서를 설치해야 합니다. 인증서에는 다음 특성이 있어야 합니다.

주체 이름(CN): adfs1.contoso.com
주체 대체 이름(DNS): adfs1.contoso.com
주체 대체 이름(DNS): enterpriseregistration.contoso.com

SSL 인증서를 설정하는 방법에 대한 자세한 내용은 엔터프라이즈 CA를 사용하여 도메인 내 웹 사이트에서 SSL/TLS 구성을 참조하세요.

Active Directory Federation Services How-To Video Series: Updating Certificates(Active Directory Federation Services 방법 비디오 시리즈: 인증서 업데이트).

AD FS 서버 역할 설치

페더레이션 서비스 역할 서비스를 설치하려면

도메인 관리자 계정 administrator@contoso.com을 사용하여 서버에 로그온합니다.
서버 관리자를 시작합니다. To start Server Manager, click Server Manager on the Windows Start screen, or click Server Manager on the Windows taskbar on the Windows desktop. On the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. 또는 관리 메뉴에서 역할 및 기능 추가 를 클릭해도 됩니다.
시작하기 전 페이지에서 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 다음 다음을 클릭합니다.
대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 클릭하고 대상 컴퓨터가 선택되어 있는지 확인한 후 다음을 클릭합니다.
서버 역할 선택 페이지에서 Active Directory Federation Services를 클릭한 후 다음을 클릭합니다.
On the Select features page, click Next.
Active Directory Federation Service(AD FS) 페이지에서 다음을 클릭합니다.
설치 선택 확인 페이지에서 정보를 확인한 후 필요한 경우 자동으로 대상 서버 다시 시작 확인란을 선택하고 설치를 클릭합니다.
On the Installation progress page, verify that everything installed correctly, and then click Close.

페더레이션 서버 구성

다음 단계에서는 페더레이션 서버를 구성합니다.

페더레이션 서버를 구성하려면

On the Server Manager Dashboard page, click the Notifications flag, and then click Configure the federation service on the server.

Active Directory Federation Service 구성 마법사가 열립니다.
On the Welcome page, select Create the first federation server in a federation server farm, and then click Next.
AD DS에 연결 페이지에서 이 컴퓨터가 가입된 contoso.com Active Directory 도메인에 대한 도메인 관리자 권한이 있는 계정을 지정하고 다음을 클릭합니다.
서비스 속성 지정 페이지에서 다음을 수행한 후 다음을 클릭합니다.
- 이전에 얻은 SSL 인증서를 가져옵니다. 이 인증서는 필수 서비스 인증 인증서입니다. SSL 인증서의 위치를 찾아봅니다.
- To provide a name for your federation service, type adfs1.contoso.com. 이 값은 AD CS(Active Directory 인증서 서비스)에 SSL 인증서를 등록할 때 지정한 것과 동일한 값입니다.
- To provide a display name for your federation service, type Contoso Corporation.
서비스 계정 지정 페이지에서 기존 도메인 사용자 계정 또는 그룹 관리 서비스 계정 사용을 선택하고 도메인 컨트롤러를 만들 때 만든 GMSA 계정 fsgmsa 를 지정합니다.
구성 데이터베이스 지정 페이지에서 Windows 내부 데이터베이스를 사용하여 이 서버에 데이터베이스를 만듭니다.를 선택하고 다음을 클릭합니다.
On the Review Options page, verify your configuration selections, and then click Next.
On the Pre-requisite Checks page, verify that all prerequisite checks were successfully completed, and then click Configure.
On the Results page, review the results, check whether the configuration has completed successfully, and then click Next steps required for completing your federation service deployment.

Device Registration Service 구성

다음 단계에서는 ADFS1 서버에서 Device Registration Service를 구성합니다. 비디오를 보려면 Active Directory Federation Services How-To Video Series: 기기 등록 서비스 사용 시리즈를 참조하세요.

Windows Server 2012 RTM에 대한 Device Registration Service를 구성하려면

Important

다음 단계는 Windows Server 2012 R2 RTM 빌드에 적용됩니다.

Windows PowerShell 명령 창을 열고 다음을 입력합니다.
```
Initialize-ADDeviceRegistration
```
When you are prompted for a service account, type contoso\fsgmsa$.

이제 Windows PowerShell cmdlet을 실행합니다.
```
Enable-AdfsDeviceRegistration
```
ADFS1 서버의 AD FS 관리 콘솔에서 인증 정책으로 이동합니다. 전역 기본 인증 편집을 선택합니다. 디바이스 인증 사용옆의 확인란을 선택하고 확인을 클릭합니다.

DNS에 호스트(A) 및 별칭(CNAME) 리소스 레코드 추가

DC1에서 다음 DNS(Domain Name System) 레코드가 Device Registration Service에 대해 만들어졌는지 확인해야 합니다.

Entry	Type	Address
adfs1	Host (A)	ADFS 서버의 IP 주소
enterpriseregistration	Alias (CNAME)	adfs1.contoso.com

다음 절차를 사용하여 페더레이션 서버 및 Device Registration Service용 회사 DNS 이름 서버에 호스트(A) 리소스 레코드를 추가할 수 있습니다.

이 절차를 완료하려면 최소한 Administrators 또는 이와 동등한 그룹 구성원 자격이 필요합니다. 적절한 계정 및 그룹 멤버십 사용에 대한 자세한 내용을 검토하려면 HYPERLINK "https://go.microsoft.com/fwlink/?LinkId=83477" 로컬 및 도메인 기본 그룹 (https://go.microsoft.com/fwlink/p/?LinkId=83477)을 참조하세요.

페더레이션 서버에 대한 DNS에 호스트(A) 및 별칭(CNAME) 리소스 레코드를 추가하려면

On DC1, from Server Manager, on the Tools menu, click DNS to open the DNS snap-in.
콘솔 트리에서 DC1과 순방향 조회 영역을 확장하고 contoso.com을 마우스 오른쪽 단추로 클릭한 후 새 호스트(A 또는 AAAA)를 클릭합니다.
In Name, type the name you want to use for your AD FS farm. For this walkthrough, type adfs1.
In IP address, type the IP address of the ADFS1 server. Click Add Host.
Right-click contoso.com, and then click New Alias (CNAME).
새 리소스 레코드 대화 상자에서 별칭 이름 상자에 enterpriseregistration을 입력합니다.
In the Fully Qualified Domain Name (FQDN) of the target host box, type adfs1.contoso.com, and then click OK.

Important

실제 배포에서는 회사에 여러 UPN(사용자 계정 이름) 접미사가 있는 경우 DNS의 각 UPN 접미사마다 하나씩 여러 CNAME 레코드를 만들어야 합니다.

3단계: 웹 서버(WebServ1) 및 예제 클레임 기반 애플리케이션 구성

Set up a virtual machine (WebServ1) by installing the Windows Server 2012 R2 operating system and connect it to the ___domain contoso.com. 도메인에 가입한 후에는 웹 서버 역할 설치 및 구성을 계속 진행할 수 있습니다.

이 항목의 앞부분에 언급된 연습을 완료하려면 페더레이션 서버(ADFS1)로 보호된 예제 애플리케이션이 있어야 합니다.

이 예제 클레임 기반 애플리케이션으로 웹 서버를 설정하려면 다음 단계를 완료해야 합니다.

Note

이 단계는 Windows Server 2012 R2 운영 체제를 실행하는 웹 서버에서 테스트되었습니다.

웹 서버 역할 및 Windows Identity Foundation 설치
Windows Identity Foundation SDK 설치
IIS에서 간단한 클레임 응용 프로그램 구성
페더레이션 서버에서 신뢰 당사자 트러스트 생성하기

웹 서버 역할 및 Windows Identity Foundation 설치

Note

Windows Server 2012 R2 설치 미디어에 액세스할 수 있어야 합니다.

Log on to WebServ1 by using administrator@contoso.com and the password pass@word1.
From Server Manager, on the Quick Start tab of the Welcome tile on the Dashboard page, click Add roles and features. 또는 관리 메뉴에서 역할 및 기능 추가 를 클릭해도 됩니다.
시작하기 전 페이지에서 다음을 클릭합니다.
설치 유형 선택 페이지에서 역할 기반 또는 기능 기반 설치를 클릭한 다음 다음을 클릭합니다.
대상 서버 선택 페이지에서 서버 풀에서 서버 선택을 클릭하고 대상 컴퓨터가 선택되어 있는지 확인한 후 다음을 클릭합니다.
서버 역할 선택 페이지에서 웹 서버(IIS)옆의 확인란을 선택하고 기능 추가를 클릭한 후 다음을 클릭합니다.
On the Select features page, select Windows Identity Foundation 3.5, and then click Next.
웹 서버 역할(IIS) 페이지에서 다음을 클릭합니다.
역할 서비스 선택 페이지에서 애플리케이션 개발을 선택하고 확장합니다. Select ASP.NET 3.5, click Add Features, and then click Next.
설치 선택 확인 페이지에서 대체 원본 경로 지정을 클릭합니다. Windows Server 2012 R2 설치 미디어에 있는 Sxs 디렉터리의 경로를 입력합니다. 예를 들어 D:\Sources\Sxs를 입력합니다. Click OK, and then click Install.

Windows Identity Foundation SDK 설치

WindowsIdentityFoundation-SDK-3.5.msi를 실행하여 Windows Identity Foundation SDK 3.5를 설치합니다. 모든 기본 옵션을 선택합니다.

IIS에서 간단한 클레임 응용 프로그램 구성

컴퓨터 인증서 저장소에 유효한 SSL 인증서를 설치합니다. The certificate should contain the name of your web server, webserv1.contoso.com.
C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5\Samples\Quick Start\Web Application\PassiveRedirectBasedClaimsAwareWebApp의 내용을 C:\Inetpub\Claimapp에 복사합니다.
Edit the Default.aspx.cs file so that no claim filtering takes place. 이 단계는 예제 애플리케이션이 페더레이션 서버에서 발급한 모든 클레임을 표시하도록 하기 위해 수행됩니다. 다음을 수행하십시오:
1. Open Default.aspx.cs in a text editor.
2. 파일에서 ExpectedClaims의 두 번째 인스턴스를 검색합니다.
3. 전체 IF 명령문과 그 중괄호를 주석 처리합니다. 줄의 시작 부분에 따옴표 없이 “//”를 입력하여 주석을 표시합니다.
4. 당신의 FOREACH 문장은 이제 이 코드 예제와 같이 보일 것입니다.
```
Foreach (claim claim in claimsIdentity.Claims)
{
   //Before showing the claims validate that this is an expected claim
   //If it is not in the expected claims list then don't show it
   //if (ExpectedClaims.Contains( claim.ClaimType ) )
   // {
      writeClaim( claim, table );
   //}
}
```
5. Save and close Default.aspx.cs.
6. Open web.config in a text editor.
7. 전체 <microsoft.identityModel> 섹션을 제거합니다. including <microsoft.identityModel>부터 </microsoft.identityModel>까지 모든 내용을 제거하세요.
8. Save and close web.config.
IIS 관리자를 구성합니다.
1. 인터넷 정보 서비스(IIS) 관리자를 엽니다.
2. Go to Application Pools, right-click DefaultAppPool to select Advanced Settings. 사용자 프로필 로드 를 True로 설정하고 확인을 클릭합니다.
3. Right-click DefaultAppPool to select Basic Settings. .NET CLR 버전을 .NET CLR Version v2.0.50727로 변경하십시오.
4. 기본 웹 사이트 를 마우스 오른쪽 단추로 클릭하여 바인딩 편집을 선택합니다.
5. Add an HTTPS binding to port 443 with the SSL certificate that you have installed.
6. 기본 웹 사이트 를 마우스 오른쪽 단추로 클릭하여 애플리케이션 추가를 선택합니다.
7. Set the alias to claimapp and the physical path to c:\inetpub\claimapp.
To configure claimapp to work with your federation server, do the following:
1. C:\Program Files (x86)\Windows Identity Foundation SDK\v3.5에 있는 FedUtil.exe를 실행합니다.
2. Set the application configuration ___location to C:\inetpub\claimapp\web.config and set the application URI to the URL for your site, https://webserv1.contoso.com /claimapp/. Click Next.
3. 기존 STS 사용을 선택하고 AD FS 서버의 메타데이터 URL로 이동합니다 . Click Next.
4. 인증서 체인 유효성 검사 사용 안 함을 선택하고 다음을 클릭합니다.
5. Select No encryption, and then click Next. On the Offered claims page, click Next.
6. 매일 WS-Federation 메타데이터 업데이트를 수행하도록 작업 예약옆의 확인란을 선택합니다. Click Finish.
7. 이제 예제 애플리케이션이 구성되었습니다. 애플리케이션 URL https://webserv1.contoso.com/claimapp을 테스트하면 해당 페더레이션 서버로 리디렉션됩니다. 페더레이션 서버는 신뢰 당사자 트러스트를 아직 구성하지 않았기 때문에 오류 페이지를 표시해야 합니다. 즉, 이 테스트 애플리케이션을 ADFS에서 보호하지 않은 것입니다.

이제 웹 서버에서 실행되는 샘플 애플리케이션을 ADFS로 보호해야 합니다. 이렇게 하려면 페더레이션 서버(ADFS1)에서 신뢰 당사자 트러스트를 추가하면 됩니다. 비디오는 Active Directory Federation Services How-To Video Series: Add a Relying Party Trust(Active Directory Federation Services 방법 비디오 시리즈: 신뢰 당사자 트러스트 추가)를 참조하세요.

페더레이션 서버에서 신뢰 당사자 트러스트를 설정하기

페더레이션 서버(ADFS1)의 AD FS 관리 콘솔에서 신뢰 당사자 트러스트로 이동하여 신뢰 당사자 트러스트 추가를 클릭합니다.
데이터 원본 선택 페이지에서 온라인 또는 로컬 네트워크에 게시된 신뢰 당사자에 대한 데이터 가져오기를 선택하고 claimapp에 대한 메타데이터 URL을 입력한 후 다음을 클릭합니다. FedUtil.exe를 실행하면 메타데이터 .xml 파일이 생성됩니다. https://webserv1.contoso.com/claimapp/federationmetadata/2007-06/federationmetadata.xml에 위치해 있습니다.
표시 이름 지정 페이지에서 신뢰 당사자에 대한 표시 이름 claimapp을 지정하고 다음을 클릭합니다.
다단계 인증을 지금 구성하시겠습니까? 페이지에서 이 신뢰 당사자 트러스트의 다단계 인증 설정을 현재는 지정하지 않음을 선택한 다음, 다음을 클릭합니다.
발급 권한 부여 규칙 선택 페이지에서 모든 사용자가 이 신뢰 당사자에 액세스하도록 허용을 선택하고 다음을 클릭합니다.
신뢰 추가 준비 페이지에서 다음을 클릭합니다.
클레임 규칙 편집 대화 상자에서 규칙 추가를 클릭합니다.
규칙 유형 선택 페이지에서 사용자 지정 규칙을 사용하여 클레임 보내기를 선택하고 다음을 클릭합니다.
클레임 규칙 구성 페이지의 클레임 규칙 이름 상자에 All Claims를 입력합니다. In the Custom rule box, type the following claim rule.
```
c:[ ]
=> issue(claim = c);
```
Click Finish, and then click OK.

4단계: 클라이언트 컴퓨터(Client1) 구성

다른 가상 머신을 설정하고 Windows 8.1을 설치합니다. 이 가상 머신은 다른 컴퓨터와 동일한 가상 네트워크에 있어야합니다. 이 컴퓨터는 Contoso 도메인에 가입되지 않아야 합니다.

클라이언트는 반드시 2단계: 장치 등록 서비스로 페더레이션 서버(ADFS1) 구성에서 설정한 페더레이션 서버(ADFS1)에 사용된 SSL 인증서를 신뢰해야 합니다. 또한 인증서에 대한 인증서 해지 정보의 유효성을 검사할 수 있어야 합니다.

Microsoft 계정을 설정하고 이를 사용하여 Client1에 로그온해야 합니다.