페푸리의 Office Server 이야기

1. Office 365 기업용 체험판 신청하기

2. Name Server VM 구성

3. Domain Controller VM 구성

4. ADFS VM 구성

5. Web Application Proxy 구성

6. 도메인 등록 과정진행 (Name Server 에 기록)

7. AD Sync

예전 기준에는 작성된 부분은 오류가 많아서 현재 시점에서 다시 작성하였으므로 비교해서 참고하시기 바랍니다.

2021.06.23 - [Office 365] - M365. 테스트 환경 구축(4). ADFS 구성

2021.06.23 - [Office 365] - M365. 테스트 환경 구축(5). WAP 구성

2021.06.23 - [Office 365] - M365. 테스트 환경 구축(6). Azure AD Connector 설치

ADFS VM 구성에 이어서 이번에는 Web Application Proxy(WAP) 구성에 대해서 다뤄 보도록 하겠습니다. WAP 의 구성이 필요한 이유는 외부에서 Single Sign On (SSO) 을 이용하기 위함입니다. 만약 WAP 없이 AD Sync 및 ADFS 구성작업을 진행하면 외부에서 192.168.5.5, sts.limcm.xyz 를 찾을 수 없기 때문에 로그인이 불가능합니다. WAP 을 구성함으로서 내부에서는 사설IP 로, 외부에서는 공인IP 로 접속할 수 있게 해주는 역할입니다.

흐름도는 대략 아래와 같습니다.

사용자 -> https://portal.office.com -> 계정 입력 -> sts.limcm.xyz(211.X.X.X) 리디렉션 -> WAP -> ADFS(192.168.5.5)

만약 같은 네트워크 대역대에 Exchange Server 와 같이 443 포트를 이용하는 서버가 있다면 IP가 2개가 필요하며 이러한 경우에는 WAP 에 네트워크 어댑터를 2개 연결하여 하나는 외부망, 하나는 내부망을 연결해 주는 구성이 필요합니다. 그렇다면 아래와 같은 흐름이 될 것입니다.

(이 경우 내부 네트워크 어댑터에는 Gateway 및 DNS 값을 입력하지 않습니다.)

사용자 -> https://portal.office.com -> 계정 입력 -> sts.limcm.xyz(211.X.X.X) 리디렉션 -> WAP(211.X.X.X)-> WAP 내부IP(192.168.5.6) -> ADFS(192.168.5.5)

흐름을 보면 WAP은 Bypass 와 같은 역할을 하는 것입니다.

본격적으로 WAP 구성 작업을 진행하도록 하겠습니다. 먼저 명심해야 할 사항으로 현재의 흐름도 구성에서는 AD에 Join 하지 않습니다.

그리고 DNS는 외부 DNS 값을 입력합니다. Test 환경의 경우 SK 망이므로 SK DNS 값을 입력하였습니다.

[기본 준비사항]

PC 이름 PC00, 접미사 limcm.xyz

IP 설정 - 절대로 DNS 값은 DC 를 바라보지 않습니다.

Test 환경은 SK DNS 값

내부 ADFS 통신 설정

C:\Windows\system32\drivers\etc 경로 이동 - hosts 파일을 우클릭 - 연결 프로그램 클릭

메모장 을 선택

192.168.5.5 sts.limcm.xyz 를 입력한 뒤 저장합니다.

공유기 포트 포워딩 및 DMZ 설정

DNS는 DC가 아닌 Name Server 를 가르킵니다.

DMZ는 WAP 을 가르킵니다.

인증서

ADFS -> WAP 으로 인증서 내보내기 작업을 진행해야합니다.

IIS 관리자 에서 sts.limcm.xyz 인증서를 우클릭 - 내보내기 를 클릭합니다.

파일명 및 암호를 입력 후 확인을 클릭합니다.

그리고는 해당 인증서를 WAP 으로 복사한 뒤 가져오기 작업을 진행합니다.

로컬 컴퓨터를 선택합니다.

다음을 클릭한 뒤 암호를 입력합니다.

다음을 클릭합니다.

다음 - 마침을 클릭하여 인증서 가져오기 작업을 완료합니다.

[단계1] Web Application Proxy 기능 설치

역할 및 기능 추가에서 원격 액세스를 설치합니다.

웹 응용 프로그램 프록시를 체크 한 뒤 다음을 클릭합니다.

설치가 완료되면 웹 응용 프로그램 프록시 마법사 열기를 진행합니다.

페더레이션 서비스 이름 및 계정 정보를 입력합니다.

인증서를 선택합니다.

구성을 완료합니다.

관리 콘솔에서 게시 버튼을 클릭합니다.

사전 인증 에서 통과를 선택한 뒤 다음을 클릭합니다.

이름, URL, 인증서 정보를 입력합니다.

게시를 클릭합니다.

[단계2] 기타 설정 및 연결 확인

네임 서버 - DNS 관리자에서 sts.limcm.xyz 의 공인 IP 에 대한 A 레코드를 추가합니다.

아래의 내부 ADFS 구성과 마찬가지로 아래의 URL 형태로 올바르게 접속 및 로그인이 되는지 확인합니다.

https://adfsname.domain.com/adfs/ls/IdpInitiatedSignon.aspx

여기서 adfsname.domain.com 은 추가한 ADFS 의 PC 이름이 아닌 서비스 주소입니다.

Ex) https://sts.limcm.xyz/adfs/ls/idpinitiatedsignon