다음을 통해 공유

Azure에서 Active Directory Federation Services 배포

AD FS(Active Directory Federation Services)는 간소화된 보안 ID 페더레이션 및 웹 Single Sign-On 기능을 제공합니다. Microsoft Entra ID 또는 Microsoft 365로 페더레이션된 사용자는 온-프레미스 자격 증명을 사용하여 모든 클라우드 리소스에 액세스하도록 인증할 수 있습니다. 결과적으로 배포에는 온-프레미스 및 클라우드에서 리소스에 대한 액세스를 보장하는 항상 사용 가능한 AD FS 인프라가 있어야 합니다.

Azure에서 AD FS를 배포하면 너무 많은 노력 없이도 고가용성을 달성하는 데 도움이 될 수 있습니다. Azure에서 AD FS를 배포하는 경우 다음과 같은 몇 가지 이점이 있습니다.

  • Azure 가용성 집합의 기능을 통해 고가용성 인프라를 제공합니다.
  • 배포는 크기 조정하기가 쉽습니다. 더 많은 성능이 필요한 경우 Azure에서 간소화된 배포 프로세스를 사용하여 더 강력한 컴퓨터로 쉽게 마이그레이션할 수 있습니다.
  • Azure 지역 중복성으로 인해 인프라는 전 세계에서 고가용성을 보장합니다.
  • Azure Portal을 사용하면 매우 간소화된 관리 옵션을 사용하여 인프라를 더 쉽게 관리할 수 있습니다.

디자인 원칙

다음 다이어그램에서는 Azure에서 AD FS 인프라를 배포하는 데 권장되는 기본 토폴로지를 보여줍니다.

Azure에서 AD FS 인프라를 배포하는 데 권장되는 기본 토폴로지를 보여주는 다이어그램입니다.

네트워크 토폴로지에서는 다음과 같은 일반 원칙을 따르는 것이 좋습니다.

  • 도메인 컨트롤러의 성능에 영향을 주지 않도록 AD FS는 별도의 서버에 배포합니다.
  • 사용자가 회사 네트워크에 있지 않은 경우 AD FS에 연결할 수 있도록 WAP(웹 애플리케이션 프록시) 서버를 배포해야 합니다.
  • DMZ(완역 영역)에서 웹 애플리케이션 프록시 서버를 설정하고 DMZ 및 내부 서브넷 간의 TCP/443 액세스만 허용해야 합니다.
  • AD FS 및 웹 애플리케이션 프록시 서버의 고가용성을 보장하려면 AD FS 서버용 내부 부하 분산 장치 및 웹 애플리케이션 프록시 서버용 Azure Load Balancer를 사용하는 것이 좋습니다.
  • AD FS 배포에 중복성을 제공하려면 유사한 워크로드를 위해 둘 이상의 VM(가상 머신)을 가용성 집합에서 그룹화하는 것이 좋습니다. 이 구성은 계획되거나 계획되지 않은 유지 관리 이벤트 중 하나 이상의 VM을 사용할 수 있도록 합니다.
  • 웹 애플리케이션 프록시 서버를 별도의 DMZ 네트워크에 배포해야 합니다. 하나의 가상 네트워크를 두 서브넷으로 나눈 다음, 웹 애플리케이션 프록시 서버를 격리된 서브넷에 배포할 수 있습니다. 각 서브넷에 대해 네트워크 보안 그룹 설정을 구성하고 두 서브넷 간의 필수 통신만 허용할 수 있습니다.

네트워크 배포

네트워크를 만드는 경우 동일한 가상 네트워크에 두 개의 서브넷을 만들거나 두 개의 서로 다른 가상 네트워크를 만들 수 있습니다. 두 개의 별도 가상 네트워크를 만들려면 통신을 위해 두 개의 별도 가상 네트워크 게이트웨이를 만들어야 하므로 단일 네트워크 접근 방식을 사용하는 것이 좋습니다.

가상 네트워크 만들기

가상 네트워크를 만들려면

  1. Azure 계정을 사용하여 Azure Portal 에 로그인합니다.

  2. 포털에서 가상 네트워크를 검색하여 선택합니다.

  3. 가상 네트워크 페이지에서 + 만들기를 선택합니다.

  4. 가상 네트워크 만들기에서 기본 사항 탭으로 이동하여 다음 설정을 구성합니다.

    • 프로젝트 세부 정보에서 다음 설정을 구성합니다.

      • 구독에 대해 구독의 이름을 선택합니다.

      • 리소스 그룹의 경우 기존 리소스 그룹의 이름을 선택하거나 새로 만들기를 선택하여 새 항목을 만듭니다.

    • 인스턴스 세부 정보에 대해 다음 설정을 구성합니다.

      • 가상 네트워크 이름에 가상 네트워크의 이름을 입력합니다.

      • 지역에 대해 가상 네트워크를 만들 지역을 선택합니다.

  5. 다음을 선택합니다.

  6. 보안 탭에서 사용하려는 보안 서비스를 사용하도록 설정한 다음, 다음을 선택합니다.

  7. IP 주소 탭에서 편집할 서브넷의 이름을 선택합니다. 이 예제에서는 서비스에서 자동으로 만드는 기본 서브넷을 편집합니다.

  8. 서브넷 편집 페이지에서 이름을 INT로 바꿉니다.

  9. IP 주소 공간을 정의하려면 서브넷의 IP 주소서브넷 크기 정보를 입력합니다.

  10. 네트워크 보안 그룹에 대해 새로 만들기를 선택합니다.

  11. 이 예제에서는 이름 NSG_INT를 입력하고 확인을 선택한 다음 저장을 선택합니다. 이제 첫 번째 서브넷이 있습니다.

    서브넷을 편집하고 내부 네트워크 보안 그룹을 추가하는 방법을 보여 주는 스크린샷입니다.

  12. 두 번째 서브넷을 만들려면 + 서브넷 추가를 선택합니다.

  13. 서브넷 추가 페이지에서 두 번째 서브넷 이름에 대해 DMZ를 입력한 다음 비어 있는 필드에 서브넷에 대한 정보를 입력하여 IP 주소 공간을 정의합니다.

  14. 네트워크 보안 그룹에 대해 새로 만들기를 선택합니다.

  15. 이름 NSG_DMZ를 입력하고 확인을 선택한 다음 추가를 선택합니다.

    네트워크 보안 그룹을 포함하는 새 서브넷을 추가하는 방법을 보여주는 스크린샷입니다.

  16. 검토 + 생성를 선택한 다음, 생성를 선택합니다.

이제 연결된 네트워크 보안 그룹이 있는 두 개의 서브넷을 포함한 가상 네트워크가 있습니다.

새 서브넷 및 해당 네트워크 보안 그룹을 보여 주는 스크린샷입니다.

가상 네트워크 보호

NSG(네트워크 보안 그룹)에는 ACL(액세스 제어 목록)의 Virtual Network에 VM 인스턴스에 대한 허용 또는 거부 네트워크 트래픽 규칙의 목록이 포함됩니다. NSG를 서브넷 또는 서브넷 내의 개별 VM 인스턴스와 연결할 수 있습니다. NSG가 서브넷에 연결된 경우 ACL 규칙은 해당 서브넷의 모든 VM 인스턴스에 적용됩니다.

서브넷과 연결된 NSG에는 일부 기본 인바운드 및 아웃바운드 규칙은 자동으로 포함됩니다. 기본 보안 규칙을 삭제할 수 없으나 더 높은 우선 순위의 규칙으로 재정의할 수 있습니다. 또한 원하는 보안 수준에 따라 인바운드 및 아웃바운드 규칙을 더 많이 추가할 수 있습니다.

이제 두 개의 보안 그룹 각각에 몇 가지 규칙을 추가합니다. 첫 번째 예제에서는 NSG_INT 보안 그룹에 인바운드 보안 규칙을 추가해 보겠습니다.

  1. 가상 네트워크의 서브넷 페이지에서 NSG_INT를 선택합니다.

  2. 왼쪽에서 인바운드 보안 규칙을 선택한 다음, + 추가를 선택합니다.

  3. 인바운드 보호 규칙 추가에서 다음 정보를 사용하여 규칙을 구성합니다.

    • 원본10.0.1.0/24를 입력합니다.

    • 원본 포트 범위의 경우 트래픽을 허용하지 않으려면 비워 두거나 별표(*)를 선택하여 모든 포트에서 트래픽을 허용합니다.

    • 대상10.0.0.0/24를 입력합니다.

    • 서비스에 대해 HTTPS를 선택합니다. 서비스는 선택한 서비스에 따라 대상 포트 범위프로토콜에 대한 정보 필드를 자동으로 채웁니다.

    • 동작에 대해 허용을 선택합니다.

    • 우선 순위에 대해 1010을 입력합니다.

    • 이름AllowHTTPSFromDMZ를 입력합니다.

    • 설명DMZ에서 HTTPS 통신 허용을 입력합니다.

  4. 작업을 마쳤으면 추가를 선택합니다.

    인바운드 보안 규칙을 추가하는 방법을 보여 주는 스크린샷입니다.이제 새 인바운드 보안 규칙이 NSG_INT 목록의 맨 위에 추가됩니다.

  5. 다음 표에 표시된 값을 사용하여 이러한 단계를 반복합니다. 만든 새 규칙 외에도 내부 및 DMZ 서브넷을 보호하는 데 도움이 되도록 나열된 우선 순위 순서에 다음의 추가 규칙을 추가해야 합니다.

    NSG 규칙 유형 원본 대상 서비스 작업 우선 순위 속성 설명
    NSG_INT 아웃바운드 모두 서비스 태그/인터넷 사용자 지정(80/Any) 거부 100 DenyInternetOutbound 인터넷에 액세스할 수 없음.
    NSG_DMZ 인바운드 모두 모두 사용자 지정(별표(*)/Any) 허용 1010 AllowHTTPSFromInternet 인터넷에서 DMZ까지 HTTPS를 허용합니다.
    NSG_DMZ 아웃바운드 모두 서비스 태그/인터넷 사용자 지정(80/Any) 거부 100 DenyInternetOutbound HTTPS를 제외한 모든 항목은 차단됩니다.

  6. 각 새 규칙에 대한 값 입력을 마친 후 추가를 선택하고 각 NSG에 대해 두 개의 새 보안 규칙이 추가될 때까지 다음으로 진행합니다.

구성 뒤의 NSG 페이지는 다음 스크린샷과 같아야 합니다.

보안 규칙을 추가한 후 NSG를 보여 주는 스크린샷입니다.

참고 항목

가상 네트워크에 X.509 사용자 인증서를 사용하는 clientTLS 인증과 같은 클라이언트 사용자 인증서 인증이 필요한 경우 인바운드 액세스에 TCP 포트 49443을 사용하도록 설정해야 합니다.

온-프레미스에 대한 연결 만들기

Azure에서 DC를 배포하려면 온-프레미스에 대한 연결이 필요합니다. 다음의 옵션 중 하나를 사용하여 온-프레미스 인프라를 Azure 인프라에 연결할 수 있습니다.

  • 지점 및 사이트 간
  • 가상 네트워크 사이트 간
  • ExpressRoute

조직에서 지점 및 사이트 간 연결 또는 Virtual Network 사이트 간 연결이 필요하지 않은 경우 ExpressRoute를 사용하는 것이 좋습니다. ExpressRoute를 사용하면 온-프레미스 또는 공동 Batch 환경의 인프라와 Azure 데이터 센터 사이에 개인 연결을 만들 수 있습니다. 또한 ExpressRoute 연결은 공용 인터넷에 연결되지 않으므로 더욱 안정적이고 빠르며 안전합니다. ExpressRoute 및 ExpressRoute를 사용하는 다양한 연결 옵션에 대해 자세히 알아보려면 ExpressRoute 기술 개요를 참고합니다.

가용성 집합 만들기

각 역할(DC/AD FS 및 WAP)에 2대 이상의 컴퓨터를 포함하는 가용성 집합을 만듭니다. 이 구성은 각 역할에 대해 더욱 높은 가용성을 달성하는 데 도움이 됩니다. 가용성 집합을 만드는 동안 사용하고 싶은 도메인을 결정해야 합니다.

  • 장애 도메인에서 VM은 동일한 전원 및 물리적 네트워크 스위치를 공유합니다. 최소 2개의 장애 도메인을 사용하는 것이 좋습니다. 기본값은 2이며 이 배포의 경우 그대로 둘 수 있습니다.

  • 업데이트 도메인에서 컴퓨터는 업데이트 도중 함께 다시 시작됩니다. 최소 2개의 업데이트 도메인을 사용하는 것이 좋습니다. 기본값은 5이며 이 배포의 경우 그대로 둘 수 있습니다.

가용성 집합을 만들려면:

  1. Azure Portal에서 가용성 집합을 검색하여 선택한 다음 + 만들기를 선택합니다.

  2. 가용성 집합 만들기에서 기본 사항 탭으로 이동하여 다음 정보를 입력합니다.

    • 프로젝트 세부 정보 아래:

      • 구독에 대해 구독의 이름을 선택합니다.

      • 리소스 그룹의 경우 기존 리소스 그룹을 선택하거나 새로 만들기를 선택하여 새로 만듭니다.

    • 인스턴스 세부 정보에서

      • 이름에 대해 가용성 집합의 이름을 입력합니다. 이 예제에서는 contosodcset을 입력합니다.

      • 지역의 경우 사용할 지역을 선택합니다.

      • 장애 도메인의 경우 기본값인 2에 그대로 둡니다.

      • 업데이트 도메인의 경우 기본값인 5로 둡니다.

      • 관리 디스크 사용의 경우 이 예제에서는 아니요(클래식)를 선택합니다.

    가용성 집합을 만드는 방법을 보여 주는 스크린샷입니다.

  3. 완료되면 검토 + 만들기를 선택한 다음 만들기를 선택합니다.

  4. 이전 단계를 반복하여 contososac2라는 두 번째 가용성 집합을 만듭니다.

가상 머신 배포

다음 단계는 인프라의 다양한 역할을 호스팅하는 VM을 배포하는 것입니다. 각각의 가용성 집합에서 최소 두 대의 컴퓨터를 사용하는 것이 좋습니다. 이 예제에서는 기본 배포를 위해 4개의 VM을 만듭니다.

VM을 만들려면:

  1. Azure Portal에서 가상 머신을 검색하여 선택합니다.

  2. 가상 머신 페이지에서 + 만들기를 선택한 다음, Azure 가상 머신을 선택합니다.

  3. 가상 머신 만들기기본 사항 탭으로 이동하여 다음 정보를 입력합니다.

    • 프로젝트 세부 정보 아래:

      • 구독에 대해 구독의 이름을 선택합니다.

      • 리소스 그룹의 경우 기존 리소스 그룹을 선택하거나 새로 만들기를 선택하여 새로 만듭니다.

    • 인스턴스 세부 정보에서

      • 가상 머신 이름에 새 VM의 이름을 입력합니다. 이 예제의 첫 번째 컴퓨터에 대해 contosodc1을 입력합니다.

      • 지역의 경우 사용할 지역을 선택합니다.

      • 가용성 옵션에서 가용성 집합을 선택합니다.

      • 가용성 집합에서 contosodcset을 선택합니다.

      • 보안 유형에서 표준을 선택합니다.

      • 구독에 대해 구독의 이름을 선택합니다.

      • 이미지의 경우 사용할 이미지를 선택한 다음 VM 생성 구성을 선택하고 Gen 1을 선택합니다.

    • 관리자 계정 아래에서:

      • 인증 유형의 경우 SSH 공개 키를 선택합니다.

      • 사용자 이름에 대해 계정에 사용할 사용자 이름을 입력합니다.

      • 키 페어 이름에 계정에 사용할 키 페어 이름을 입력합니다.

    • 지정하지 않은 항목의 경우 기본값을 그대로 둘 수 있습니다.

  4. 완료되면 다음: 디스크를 선택합니다. 가상 머신을 만드는 방법의 첫 번째 단계를 보여 주는 스크린샷입니다.

  5. 네트워킹 탭에서 다음 정보를 입력합니다.

    • 가상 네트워크의 경우 이전 섹션에서 만든 서브넷이 포함된 가상 네트워크의 이름을 선택합니다.

    • 서브넷에서 INT 서브넷을 선택합니다.

    • NIC 네트워크 보안 그룹없음을 선택합니다.

    • 지정하지 않은 항목의 경우 기본값을 그대로 둘 수 있습니다. 가상 머신을 만드는 방법에 대한 네트워킹 탭을 보여 주는 스크린샷입니다.

  6. 모든 선택을 한 후 검토 + 만들기를 선택한 다음 만들기를 선택합니다.

이 표의 정보를 사용해서 다음 단계를 반복하여 나머지 세 개의 VM을 만듭니다.

가상 머신 이름 서브넷 가용성 옵션 가용성 집합 스토리지 계정
contosodc2 INT 가용성 집합 contosodcset contososac2
contosowap1 DMZ 가용성 집합 contosowapset contososac1
contosowap2 DMZ 가용성 집합 contosowapset contososac2

Azure에서는 서브넷 수준에서 NSG를 사용할 수 있으므로 설정에서 NSG를 지정하지 않습니다. 서브넷 또는 NIC(네트워크 인터페이스 카드) 개체와 연결된 개별 NSG를 사용하여 컴퓨터 네트워크 트래픽을 제어할 수 있습니다. 자세한 내용은 NSG(네트워크 보안 그룹)란?을 참조하세요.

DNS를 관리하는 경우 고정 IP 주소를 사용하는 것이 좋습니다. Azure DNS를 사용하고 도메인의 DNS 레코드에서 Azure FQDN으로 새로운 머신을 참조할 수 있습니다. 자세한 내용은 개인 IP 주소를 고정으로 변경을 참조하세요.

가상 머신 페이지에는 배포가 완료된 후 4개의 모든 VM이 표시됩니다.

DC 및 AD FS 서버 구성

들어오는 요청을 인증하려면 AD FS에서 DC에 문의해야 합니다. 인증을 위해 Azure에서 온-프레미스 DC로의 비용이 많이 드는 여정을 절약하려면 Azure에서 DC 복제본을 배포하는 것이 좋습니다. 고가용성을 얻으려면 2개 이상의 DC 가용성 집합을 만드는 것이 좋습니다.

도메인 컨트롤러 역할 스토리지 계정
contosodc1 복제본 contososac1
contosodc2 복제본 contososac2

다음 항목을 수행하는 것이 좋습니다.

  • DNS를 사용하여 두 개의 서버를 복제본 DC로 승격

  • 서버 관리자를 사용해서 AD FS 역할을 설치하여 AD FS 서버를 구성합니다.

ILB(내부 부하 분산 장치) 만들기 및 배포

ILB를 만들고 배포하려면:

  1. Azure Portal에서 부하 분산 장치를 검색하여 선택하고 + 만들기를 선택합니다.

  2. 부하 분산 장치 만들기기본 사항 탭에서 다음 정보를 입력하거나 선택합니다.

    • 프로젝트 세부 정보 아래:

      • 구독에 대해 구독의 이름을 선택합니다.

      • 리소스 그룹의 경우 기존 리소스 그룹을 선택하거나 새로 만들기를 선택하여 새로 만듭니다.

    • 인스턴스 세부 정보에서

      • 이름에 부하 분산 장치의 이름을 입력합니다.

      • 지역의 경우 사용할 지역을 선택합니다.

      • 유형으로 내부를 선택합니다.

    • SKU계층을 기본값으로 둔 다음 다음: 프런트 엔드 IP 구성부하 분산 장치를 만드는 방법에 대한 기본 사항 탭을 보여 주는 스크린샷입니다.을 선택합니다.

  3. + 프런트 엔드 IP 구성 추가를 선택한 다음 프런트 엔드 IP 구성 추가 페이지에서 이 정보를 입력하거나 선택합니다.

    • 이름에 프런트 엔드 IP 구성 이름을 입력합니다.

    • 가상 네트워크의 경우 AD FS를 배포할 가상 네트워크를 선택합니다.

    • 서브넷의 경우 이전 섹션에서 만든 내부 서브넷인 INT를 선택합니다.

    • 할당에서 정적을 선택합니다.

    • IP 주소의 경우 해당 IP 주소를 입력합니다.

    • 가용성 영역을 기본값으로 둔 다음 추가를 선택합니다. 부하 분산 장치를 만들 때 프런트 엔드 IP 구성을 추가하는 방법을 보여 주는 스크린샷입니다.

  4. 다음: 백 엔드 풀을 선택한 다음 + 백 엔드 풀 추가를 선택합니다.

  5. 백 엔드 풀 추가 페이지에서 이름 필드에 백 엔드 풀의 이름을 입력합니다. IP 구성 영역에서 + 추가를 선택합니다.

  6. 백 엔드 풀 추가 페이지에서 백 엔드 풀에 맞출 VM을 선택하고 추가를 선택한 다음 저장을 선택합니다. 부하 분산 장치를 만들 때 백 엔드 풀을 추가하는 방법을 보여 주는 스크린샷입니다.

  7. 다음: 인바운드 규칙을 선택합니다.

  8. 인바운드 규칙 탭에서 부하 분산 규칙 추가를 선택한 다음 부하 분산 규칙 추가 페이지에 다음 정보를 입력합니다.

    • 이름에 규칙의 이름을 입력합니다.

    • 프런트 엔드 IP 주소의 경우 이전에 만든 주소를 선택합니다.

    • 백 엔드 풀의 경우 이전에 만든 백 엔드 풀을 선택합니다.

    • 프로토콜의 경우 TCP를 선택합니다.

    • 포트443을 입력합니다.

    • 백 엔드 포트의 경우 새로 만들기를 선택한 다음, 다음 값을 입력하여 상태 프로브를 만듭니다.

      • 이름에 상태 프로브의 이름을 입력합니다.

      • 프로토콜HTTP를 입력합니다.

      • 포트80을 입력합니다.

      • 경로/adfs/probe를 입력합니다.

      • 간격의 경우 기본값인 5로 둡니다.

      • 완료되면 저장을 선택합니다.

    • 완료되면 저장을 선택하여 인바운드 규칙을 저장합니다.

  9. 저장을 선택하여 인바운드 규칙을 저장합니다. 부하 분산 규칙을 추가하는 방법을 보여 주는 스크린샷입니다.

  10. 검토 + 생성를 선택한 다음, 생성를 선택합니다.

만들기를 선택하고 ILB가 배포되면 다음 스크린샷과 같이 부하 분산 장치 목록에서 볼 수 있습니다.

방금 만든 새 부하 분산 장치를 보여 주는 스크린샷입니다.

ILB를 사용하여 DNS 서버 업데이트

내부 DNS 서버를 사용하여 ILB의 A 레코드를 만듭니다. 이 설정은 fs.contoso.com에 전송된 모든 데이터가 적절한 경로를 사용하여 ILB에서 종료되도록 합니다. A 레코드는 ILB의 IP 주소를 가리키는 IP 주소를 가진 페더레이션 서비스를 제공해야 합니다. 예를 들어 ILB IP 주소가 10.3.0.8이고 설치된 페더레이션 서비스가 fs.contoso.com인 경우 10.3.0.8을 가리키는 fs.contoso.com에 대한 A 레코드를 만듭니다.

Warning

AD FS 데이터베이스에 WID(Windows 내부 데이터베이스)를 사용하는 경우 일시적으로 기본 AD FS 서버를 가리키도록 이 값을 설정합니다. 이 임시 설정을 변경하지 않으면 웹 애플리케이션 프록시를 등록할 수 없습니다. 모든 웹 애플리케이션 프록시 서버를 성공적으로 등록한 후 이 DNS 항목이 부하 분산 장치를 가리키도록 변경합니다.

참고 항목

배포에서 IPv6도 사용하는 경우 해당하는 AAAA 레코드를 만듭니다.

AD FS 서버에 연결하도록 웹 애플리케이션 프록시 서버 구성

웹 애플리케이션 프록시 서버가 ILB 뒤에 있는 AD FS 서버에 연결할 수 있도록 하려면 ILB의 %systemroot%\system32\drivers\etc\hosts 파일에 레코드를 만듭니다. DN(고유 이름)은 fs.contoso.com과 같은 페더레이션 서비스 이름이어야 합니다. 또한 IP 항목은 ILB의 IP 주소여야 하며 이 예제에서는 10.3.0.8입니다.

Warning

AD FS 데이터베이스에 WID(Windows 내부 데이터베이스)를 사용하는 경우 일시적으로 기본 AD FS 서버를 가리키도록 이 값을 설정합니다. 그렇지 않으면 웹 애플리케이션 프록시를 등록할 수 없습니다. 모든 웹 애플리케이션 프록시 서버를 성공적으로 등록한 후 이 DNS 항목이 부하 분산 장치를 가리키도록 변경합니다.

웹 애플리케이션 프록시 역할 설치

웹 애플리케이션 프록시 서버를 ILB 뒤에 있는 AD FS 서버에 연결할 수 있는지 확인하면 다음으로 웹 애플리케이션 프록시 서버를 설치할 수 있습니다. 웹 애플리케이션 프록시 서버를 도메인에 조인할 필요가 없습니다. 원격 액세스 역할을 선택하여 두 웹 애플리케이션 프록시 서버에 웹 애플리케이션 프록시 역할을 설치합니다. 서버 관리자가 WAP 설치를 완료하도록 안내합니다.

WAP를 배포하는 방법에 대한 자세한 내용은 웹 애플리케이션 프록시 서버 설치 및 구성을 참조하세요.

인터넷 연결(공용) 부하 분산 장치 만들기 및 배포

인터넷 연결 부하 분산 장치를 만들어 배포하려면:

  1. Azure Portal에서 부하 분산 장치를 선택한 다음 만들기를 선택합니다.

  2. 부하 분산 장치 만들기에서 기본 사항 탭으로 이동하여 다음 설정을 구성합니다.

    • 프로젝트 세부 정보 아래:

      • 구독에 대해 구독의 이름을 선택합니다.

      • 리소스 그룹의 경우 기존 리소스 그룹을 선택하거나 새로 만들기를 선택하여 새로 만듭니다.

    • 인스턴스 세부 정보에서

      • 이름에 부하 분산 장치의 이름을 입력합니다.

      • 지역의 경우 사용할 지역을 선택합니다.

      • 형식에서 공용을 선택합니다.

    • SKU계층을 기본값으로 둔 다음 다음 : 프런트 엔드 IP 구성을 선택합니다.

    공용 부하 분산 규칙을 추가하는 방법을 보여주는 스크린샷입니다.

  3. + 프런트 엔드 IP 구성 추가를 선택한 다음 프런트 엔드 IP 구성 추가 페이지에서 이 정보를 입력하거나 선택합니다.

    • 이름에 프런트 엔드 IP 구성 이름을 입력합니다.

    • IP 유형에 대해 IP 주소를 선택합니다.

    • 공용 IP 주소의 경우 드롭다운 목록에서 사용할 공용 IP 주소를 선택하거나 만들기를 선택하여 새로 만든 다음 추가를 선택합니다.

    공용 부하 분산 장치를 만들 때 프런트 엔드 IP 구성을 추가하는 방법을 보여 주는 스크린샷입니다.

  4. 다음: 백 엔드 풀을 선택한 다음 + 백 엔드 풀 추가를 선택합니다.

  5. 백 엔드 풀 추가 페이지에서 이름 필드에 백 엔드 풀의 이름을 입력합니다. IP 구성 영역에서 + 추가를 선택합니다.

  6. 백 엔드 풀 추가 페이지에서 백 엔드 풀에 맞출 VM을 선택하고 추가를 선택한 다음 저장을 선택합니다. 공용 부하 분산 장치를 만들 때 백 엔드 풀을 추가하는 방법을 보여 주는 스크린샷입니다.

  7. 다음: 인바운드 규칙을 선택한 다음 부하 분산 규칙 추가를 선택합니다. 부하 분산 규칙 추가 페이지에서 다음 설정을 구성합니다.

    • 이름에 규칙의 이름을 입력합니다.

    • 프런트 엔드 IP 주소의 경우 이전에 만든 주소를 선택합니다.

    • 백 엔드 풀의 경우 이전에 만든 백 엔드 풀을 선택합니다.

    • 프로토콜의 경우 TCP를 선택합니다.

    • 포트443을 입력합니다.

    • 백 엔드 포트의 경우 443을 입력합니다.

    • 상태 프로브에 다음 값을 입력합니다.

      • 이름에 상태 프로브의 이름을 입력합니다.

      • 프로토콜HTTP를 입력합니다.

      • 포트80을 입력합니다.

      • 경로/adfs/probe를 입력합니다.

      • 간격의 경우 기본값인 5로 둡니다.

      • 완료되면 저장을 선택합니다.

    • 완료되면 저장을 선택하여 인바운드 규칙을 저장합니다.

  8. 검토 + 생성를 선택한 다음, 생성를 선택합니다.

만들기를 선택하고 공용 ILB가 배포되면 부하 분산 장치 목록이 포함되어야 합니다.

인바운드 규칙을 저장하는 방법을 보여 주는 스크린샷입니다.

공용 IP에 DNS 레이블 할당

공용 IP에 대한 DNS 레이블을 구성하려면:

  1. Azure Portal에서 공용 IP 주소를 검색한 다음, 편집하려는 IP 주소를 선택합니다.

  2. 설정에서 구성을 선택합니다.

  3. DNS 레이블 제공(선택 사항)에서 외부 부하 분산 장치의 DNS 레이블(예: contosofs.westus.cloudapp.azure.com)으로 확인되는 텍스트 필드(예: fs.contoso.com)에 항목을 추가합니다.

  4. 저장을 선택하여 DNS 레이블 할당을 완료합니다.

AD FS 로그인 테스트

AD FS를 테스트하는 가장 쉬운 방법은 IdpInitiatedSignOn.aspx 페이지를 사용하는 것입니다. 이렇게 하려면 AD FS 속성에서 IdpInitiatedSignOn을 사용하도록 설정해야 합니다.

IdpInitiatedSignOn 속성을 사용하도록 설정했는지 확인하려면 다음을 수행합니다.

  1. PowerShell의 AD FS 서버에서 다음 cmdlet을 실행하여 사용하도록 설정합니다.

    Set-AdfsProperties -EnableIdPInitiatedSignOnPage $true

  2. 외부 컴퓨터에서 https:\//adfs-server.contoso.com/adfs/ls/IdpInitiatedSignon.aspx에 액세스합니다.

  3. 다음 AD FS 페이지가 표시됩니다.

    테스트 로그인 페이지의 스크린샷입니다.

  4. 로그인을 시도합니다. 성공적으로 로그인하면 다음 스크린샷에 표시된 것처럼 메시지가 표시됩니다.

    테스트 성공 메시지를 보여 주는 스크린샷입니다.

Azure에서 AD FS를 배포하는 템플릿

템플릿에서는 도메인 컨트롤러, AD FS 및 WAP에 대해 각각 2대의 컴퓨터가 있는 6개의 컴퓨터 설정을 배포합니다.

Azure 배포 템플릿에서 AD FS

이 템플릿을 배포하는 동안에는 기존 가상 네트워크를 사용하거나 새 가상 네트워크를 만들 수 있습니다. 다음 표에서는 배포를 사용자 지정하도록 사용할 수 있는 매개 변수를 나열합니다.

매개 변수 설명
위치 리소스를 배포하려는 지역입니다.
StorageAccountType 만들려는 스토리지 계정의 형식입니다.
VirtualNetworkUsage 새 가상 네트워크를 만들지 또는 기존 가상 네트워크를 선택할지 여부를 나타냅니다.
VirtualNetworkName 가상 네트워크의 이름입니다. 기존 또는 새로운 가상 네트워크 사용 모두에 필수입니다.
VirtualNetworkResourceGroupName 기존 가상 네트워크가 있는 리소스 그룹의 이름을 지정합니다. 기존 가상 네트워크를 사용하는 경우 이 옵션이 필수 매개 변수이므로 배포에서 기존 가상 네트워크의 ID를 찾을 수 있습니다.
VirtualNetworkAddressRange 새 가상 네트워크의 주소 범위입니다. 새 가상 네트워크를 만드는 경우에 필수입니다.
InternalSubnetName 내부 서브넷의 이름입니다. 새로운 가상 네트워크 및 기존 가상 네트워크 사용 옵션 모두에 대해 필수입니다.
InternalSubnetAddressRange 도메인 컨트롤러 및 AD FS 서버를 포함한 내부 서브넷의 주소 범위입니다. 새 가상 네트워크를 만드는 경우에 필수입니다.
DMZSubnetAddressRange Windows 애플리케이션 프록시 서버를 포함한 DMZ 서브넷의 주소 범위입니다. 새 가상 네트워크를 만드는 경우에 필수입니다.
DMZSubnetName 새로운 가상 네트워크 및 기존 가상 네트워크 사용 옵션 모두에 필수인 내부 서브넷의 이름입니다.
ADDC01NICIPAddress 첫 번째 도메인 컨트롤러의 내부 IP 주소입니다. 이 IP 주소는 DC에 정적으로 할당되며 내부 서브넷 내의 유효한 IP 주소여야 합니다.
ADDC02NICIPAddress 두 번째 도메인 컨트롤러의 내부 IP 주소입니다. 이 IP 주소는 DC에 정적으로 할당되며 내부 서브넷 내의 유효한 IP 주소여야 합니다.
ADFS01NICIPAddress 첫 번째 AD FS 서버의 내부 IP 주소입니다. 이 IP 주소는 AD FS 서버에 정적으로 할당되며 내부 서브넷 내의 유효한 IP 주소여야 합니다.
ADFS02NICIPAddress 두 번째 AD FS 서버의 내부 IP 주소입니다. 이 IP 주소는 AD FS 서버에 정적으로 할당되며 내부 서브넷 내의 유효한 IP 주소여야 합니다.
WAP01NICIPAddress 첫 번째 WAP 서버의 내부 IP 주소입니다. 이 IP 주소는 WAP 서버에 정적으로 할당되며 DMZ 서브넷 내의 유효한 IP 주소여야 합니다.
WAP02NICIPAddress 두 번째 WAP 서버의 내부 IP 주소입니다. 이 IP 주소는 WAP 서버에 정적으로 할당되며 DMZ 서브넷 내의 유효한 IP 주소여야 합니다.
ADFSLoadBalancerPrivateIPAddress AD FS 부하 분산 장치의 내부 IP 주소입니다. 이 IP 주소는 부하 분산 장치에 정적으로 할당되며 내부 서브넷 내의 유효한 IP 주소여야 합니다.
ADDCVMNamePrefix 도메인 컨트롤러의 VM 이름 접두사입니다.
ADFSVMNamePrefix AD FS 서버의 VM 이름 접두사입니다.
WAPVMNamePrefix WAP 서버의 VM 이름 접두사입니다.
ADDCVMSize 도메인 컨트롤러의 VM 크기입니다.
ADFSVMSize AD FS 서버의 VM 크기입니다.
WAPVMSize WAP 서버의 VM 크기입니다.
AdminUserName VM의 로컬 관리자 이름입니다.
AdminPassword VM의 관리자 계정에 대한 암호입니다.

다음 단계