Microsoft Entra Connect: 이전 버전에서 최신 버전으로 업그레이드

  • 아티클

Important

최신 버전의 Microsoft Entra Connect로 업그레이드하는 대신 클라우드 동기화가 사용자에게 적합한지 확인합니다. 자세한 내용을 보려면 동기화 옵션 평가 마법사를 사용하여 옵션을 평가합니다.

이 항목에서는 Microsoft Entra Connect 설치를 최신 릴리스로 업그레이드하는 데 사용할 수 있는 다양한 방법에 대해 설명합니다. 이전 1.x 버전에서 상당한 구성을 변경하거나 업그레이드할 때 스윙 마이그레이션 섹션의 단계를 사용하는 것이 좋습니다.

참고 항목

Microsoft Entra Connect의 최신 릴리스로 서버를 최신 상태로 유지해야 합니다. Microsoft Entra Connect로 지속적으로 업그레이드하고 있으며, 이러한 업그레이드에는 보안 이슈 및 버그에 대한 수정 사항과 서비스 기능, 성능 및 스케일링 기능 개선이 포함됩니다. 최신 버전이 무엇인지 확인하고 버전 간에 변경된 내용을 알아보려면 릴리스 버전 기록을 참조하세요.

Microsoft Entra 커넥트 V2 이전 버전은 현재 더 이상 사용되지 않습니다. 자세한 내용은 Microsoft Entra 커넥트 V2 소개를 참조하세요. 현재 모든 버전의 Microsoft Entra Connect에서 현재 버전으로 업그레이드하는 것이 지원됩니다. DirSync 또는 ADSync의 현재 위치 업그레이드는 지원되지 않으며 Swing 마이그레이션이 필요합니다. DirSync에서 업그레이드하려는 경우 대신 Azure AD Sync 도구(DirSync)에서 업그레이드 또는 Swing 마이그레이션 섹션을 참조하세요.

실제로 이전 버전을 사용하는 고객은 Microsoft Entra Connect와 직접 관련되지 않은 문제가 발생할 수 있습니다. 몇 년 동안 프로덕션에서 사용되던 서버는 일반적으로 여러 패치가 적용되었으며 이러한 모든 패치를 고려할 수 있는 것은 아닙니다. 12-18개월(약 1년 반) 안에 업그레이드하지 않은 고객은 가장 보수적이고 가장 위험하지 않은 옵션인 스윙 업그레이드를 고려해야 합니다.

Microsoft Entra Connect를 업그레이드하는 데 사용할 수 있는 몇 가지 전략이 있습니다.

메서드 설명 장점 단점
자동 업그레이드 빠른 설치를 사용하는 고객에게 가장 쉬운 방법입니다. - 수동 작업이 없음 - 자동 업그레이드 버전에 최신 기능이 포함되지 않을 수 있음
현재 위치 업그레이드 단일 서버가 있는 경우 동일한 서버에 설치된 항목에 대해 전체 업그레이드를 수행할 수 있습니다. - 다른 서버가 필요하지 않습니다.

 - 전체 업그레이드 중에 문제가 발생하면 새 릴리스 또는 구성을 롤백할 수 없으며 준비가 되었을 때 활성 서버를 변경할 수 없습니다.

스윙 마이그레이션 전환하기 전에 새로 업데이트된 서버를 따로 빌드할 수 있습니다. - 가장 안전한 방식으로 최신 버전으로의 원활하게 전환
- Windows OS(운영 체제) 업그레이드 지원
- 동기화가 중단되지 않으며 프로덕션에 위험을 미치지 않음		 - 별도의 서버에 설치 필요

사용 권한 정보는 업그레이드에 필요한 사용 권한을 참조하세요.

참고 항목

새 Microsoft Entra Connect 서버를 사용하도록 설정하여 Microsoft Entra ID에 대한 변경 내용 동기화를 시작한 후에는 DirSync 또는 Azure AD Sync를 사용하여 롤백해서는 안 됩니다. Microsoft Entra Connect에서 DirSync 및 Azure AD Sync를 포함한 레거시 클라이언트로의 다운그레이드는 지원되지 않으며 Microsoft Entra ID의 데이터 손실과 같은 문제가 발생할 수 있습니다.

전체 업그레이드

전체 업그레이드는 Azure AD Sync 또는 Microsoft Entra Connect에서 이동하는 데 작동합니다. DirSync에서 이동하는 데는 작동하지 않습니다.

이 방법은 단일 서버가 있고 개체 수가 100,000개 미만인 경우에 사용하는 것이 좋습니다. 기본 동기화 규칙이 변경된 경우, 업그레이드 후에 전체 가져오기 및 전체 동기화가 발생합니다. 이 방법을 통해 시스템의 모든 기존 개체에 새 구성이 적용됩니다. 이 실행은 동기화 엔진 범위에 속하는 개체 수에 따라 몇 시간이 걸릴 수 있습니다. 기본적으로 30분마다 동기화되는 일반 델타 동기화 스케줄러는 일시 중단되지만 암호 동기화는 계속됩니다. 따라서 주말 동안 현재 위치 업그레이드를 수행하는 것이 좋습니다. 새로운 Microsoft Entra Connect 릴리스의 기본 구성에 변경 내용이 없으면 일반 델타 가져오기/동기화가 대신 시작됩니다.

In-place upgrade

기본 동기화 규칙을 변경한 경우 업그레이드 시 해당 규칙이 기본 구성으로 다시 설정됩니다. 업그레이드 간에 구성을 유지하려면 기본 구성 변경에 대한 모범 사례에 설명된 대로 변경해야 합니다. 기본 동기화 규칙을 이미 변경한 경우 업그레이드 프로세스를 시작하기 전에 Microsoft Entra Connect에서 수정된 기본 규칙 수정 방법을 참조하세요.

현재 위치 업그레이드 중 도입된 변경 내용으로 인해 업그레이드가 완료된 후 특정 동기화 작업(전체 가져오기 단계 및 전체 동기화 단계 포함)이 실행되어야 할 수도 있습니다. 이러한 작업을 연기하려면 업그레이드 후 전체 동기화를 연기하는 방법 섹션을 참조하세요.

Microsoft Entra Connect를 비표준 커넥터(예: 일반 LDAP(Lightweight Directory Access Protocol) 커넥터 및 일반 SQL 커넥터)와 함께 사용하는 경우 현재 위치 업그레이드 후 Synchronization Service Manager에서 해당 커넥터 구성을 새로 고쳐야 합니다. 커넥터 구성을 새로 고치는 방법에 대한 자세한 내용은 커넥터 버전 릴리스 내역 - 문제 해결 문서 섹션을 참조하세요. 구성을 새로 고치지 않으면 커넥터에 대해 가져오기 및 내보내기 실행 단계가 올바르게 작동하지 않습니다. 애플리케이션 이벤트 로그에 다음 오류가 표시됩니다.

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

스윙 마이그레이션

일부 고객의 경우 업그레이드하는 동안 문제가 있고 서버를 롤백할 수 없는 경우 현재 위치 업그레이드는 프로덕션에 상당한 위험을 초래할 수 있습니다. 단일 프로덕션 서버는 초기 동기화 주기에 며칠이 걸릴 수 있고 이 시간 동안 델타 변경이 처리되지 않으므로 비실용적일 수도 있습니다.

이 시나리오에서 권장되는 방법은 스윙 마이그레이션을 사용하는 것입니다. Windows Server 운영 체제를 업그레이드해야 하거나 프로덕션으로 푸시하기 전에 테스트해야 하는 환경 구성을 크게 변경하려는 경우에도 이 방법을 사용할 수 있습니다.

활성 서버 하나와 스테이징 서버 하나, (적어도) 두 개의 서버가 필요합니다. 활성 서버(아래 다이어그램에 파란색 실선으로 표시됨)는 활성 프로덕션 부하를 담당합니다. 스테이징 서버(자주색 파선으로 표시됨)는 새 릴리스 또는 구성으로 준비됩니다. 완벽하게 준비되면 이 서버가 활성 상태가 됩니다. 이제 오래된 버전 또는 구성이 설치된 이전 활성 서버가 스테이징 서버가 되며 업그레이드됩니다.

두 서버는 서로 다른 버전을 사용할 수 있습니다. 예를 들어, 서비스를 해제하려는 활성 서버는 Azure AD Sync를 사용할 수 있고, 새 준비 서버는 Microsoft Entra Connect를 사용할 수 있습니다. 스윙 마이그레이션을 사용하여 새 구성을 개발하는 경우 두 서버에서 동일한 버전을 사용하는 것이 좋습니다.

Diagram of the staging server.

참고 항목

일부 고객은 이 시나리오를 위해 기본적으로 서너 대의 서버를 유지합니다. 스테이징 서버가 업그레이드되면, 재해 복구를 위한 백업 서버가 없습니다. 서너 대의 서버가 있으면 업데이트된 버전의 기본/대기 서버 집합을 준비할 수 있으므로 스테이징 서버가 항상 준비된 상태로 유지됩니다.

또한 이러한 단계는 Azure AD Sync 또는 MIM 및 Microsoft Entra 커넥트or를 사용하는 솔루션에서 이동하기 위해 작동합니다. 이러한 단계는 DirSync에서 작동하지 않지만 DirSync 단계를 사용하는 동일한 스윙 마이그레이션 방법(병렬 배포라고도 함)은 Azure Active Directory Sync(DirSync) 업그레이드에서 확인할 수 있습니다.

스윙 마이그레이션을 사용하여 업그레이드

  1. Microsoft Entra Connect 서버가 하나만 있는 경우, AD Sync에서 업그레이드하거나 이전 버전에서 업그레이드하는 경우 새 Windows Server에 새 버전을 설치하는 것이 좋습니다. 이미 두 개의 Microsoft Entra Connect 서버가 있는 경우 먼저 준비 서버를 업그레이드합니다. 스테이징을 활성으로 승격합니다. 동일한 버전을 실행하는 활성/스테이징 서버 쌍을 항상 유지하는 것이 좋지만 필수 사항은 아닙니다.
  2. 일부 사용자 지정 구성을 적용했는데 스테이징 서버에 해당 구성이 없는 경우 활성 서버에서 스테이징 서버로 사용자 지정 구성 이동에 설명된 단계를 따릅니다.
  3. 동기화 엔진에서 전체 가져오기를 실행하고 준비 서버에서 전체 동기화를 실행합니다.
  4. 서버의 구성 확인 에서 "확인"아래의 단계를 사용하여 새 구성으로 인해 예기치 않은 변경이 발생하지 않았는지 확인합니다. 예기치 않은 변경이 발생한 경우 이를 수정하고 동기화 주기를 실행한 후 데이터가 올바르게 표시될 때까지 확인합니다.
  5. 다른 서버를 업그레이드하기 전에 스테이징 모드로 전환하고 스테이징 서버를 활성 서버로 승격합니다. 이는 서버 구성 확인 프로세스의 마지막 단계인 "활성 서버 전환" 단계입니다.
  6. 현재 스테이징 모드에 있는 서버를 최신 릴리스로 업그레이드합니다. 이전과 동일한 단계에 따라 데이터 및 구성을 업그레이드합니다. Azure AD Sync에서 업그레이드 한 경우, 이제 이전 서버를 끄고 서비스 해제를 할 수 있습니다.

참고 항목

이전 동기화 서버가 네트워크에 남아 있거나 실수로 나중에 전원을 다시 켜면 해결하기 어려운 동기화 문제가 발생할 수 있으므로 이전 Microsoft Entra Connect 서버를 완전히 해제하는 것이 중요합니다. 이러한 "불법" 서버는 더 이상 온-프레미스 Active Directory에 액세스할 수 없기 때문에 Microsoft Entra 데이터를 이전 정보로 덮어쓰는 경향이 있습니다(예를 들어, 컴퓨터 계정이 만료된 경우, 커넥터 계정 암호가 변경된 경우 등). 하지만 여전히 Microsoft Entra ID에 연결하여 모든 동기화 주기(예: 30분마다)에서 특성 값을 계속 되돌릴 수 있습니다. Microsoft Entra Connect 서버를 완전히 해제하려면 제품과 해당 구성 요소를 완전히 제거하거나 서버가 가상 머신인 경우 서버를 영구적으로 삭제해야 합니다.

활성 서버에서 스테이징 서버로 사용자 지정 구성 이동

활성 서버에 대한 구성을 변경한 경우 동일한 변경 내용이 새 스테이징 서버에 적용되는지 확인해야 합니다. 이러한 이동에 도움이 되도록 동기화 설정 내보내기 및 가져오기 기능을 사용할 수 있습니다. 이 기능을 사용하면 네트워크의 다른 Microsoft Entra Connect 서버와 정확히 동일한 설정을 사용하여 몇 단계만으로 새 준비 서버를 배포할 수 있습니다.

개별 사용자 지정 동기화 규칙 이동

사용자가 만든 개별 사용자 지정 동기화 규칙의 경우 PowerShell을 사용하여 이동할 수 있습니다. 두 시스템에서 다른 변경 내용을 동일한 방식으로 적용해야 하고 변경 내용을 마이그레이션할 수 없는 경우 두 서버에서 다음 구성을 수동으로 수행해야 할 수 있습니다.

  • 동일한 포리스트에 대한 연결
  • 모든 도메인 및 OU 필터링
  • 동일한 선택적 기능(예: 암호 동기화 및 비밀번호 쓰기 저장)

사용자 지정 동기화 규칙 복사
사용자 지정 동기화 규칙을 다른 서버에 복사하려면 다음을 수행합니다.

  1. 활성 서버에서 동기화 규칙 편집기 를 엽니다.

  2. 사용자 지정 규칙을 선택합니다. 내보내기를 클릭합니다. 그러면 메모장 창이 열립니다. PS1 확장명으로 임시 파일을 저장합니다. 이렇게하면 PowerShell 스크립트가 됩니다. PS1 파일을 스테이징 서버에 복사합니다.

    Screenshot showing the synchronization rules editor export window.

  3. 스테이징 서버에서는 커넥터 GUID(Globally Unique Identifier)가 다르므로 변경해야 합니다. GUID를 가져오려면 동기화 규칙 편집기를 시작하여 동일한 연결된 시스템을 나타내는 기본 규칙 중 하나를 선택하고 내보내기를 클릭합니다. PS1 파일의 GUID를 스테이징 서버의 GUID로 바꿉니다.

  4. PowerShell 프롬프트에서 PS1 파일을 실행합니다. 스테이징 서버에 사용자 지정 동기화 규칙이 만들어집니다.

  5. 모든 사용자 지정 규칙에 대해 이 단계를 반복합니다.

업그레이드 후 전체 동기화를 연기하는 방법

현재 위치 업그레이드 중 도입된 변경 내용으로 인해 특정 동기화 작업(전체 가져오기 단계 및 전체 동기화 단계 포함)이 실행되어야 할 수도 있습니다. 예를 들어 커넥터 스키마 변경 시 영향받는 커넥터에 대해 전체 가져오기 단계가 실행되어야 하고, 기본 제공 동기화 규칙 변경 시 전체 동기화 단계가 실행되어야 합니다. 업그레이드 중에 Microsoft Entra Connect는 필요한 동기화 작업을 결정하고 이를 재정의로 기록합니다. 다음 동기화 주기에서 동기화 스케줄러는 이러한 재정의를 선택하고 실행합니다. 재정의가 성공적으로 실행되면 제거됩니다.

업그레이드 후 즉시 재정의를 수행하지 않으려는 경우도 있을 수 있습니다. 예를 들어 많은 동기화된 개체가 있고 이러한 동기화 단계를 업무 시간 후에 수행하려고 합니다. 이러한 재정의를 제거하려면

  1. 업그레이드 중에 구성이 완료되면 동기화 프로세스를 시작합니다. 옵션을 선택 취소합니다. 이렇게 하면 동기화 스케줄러가 비활성화되며, 재정의가 제거되기 전에 동기화 주기가 자동으로 수행되지 않습니다.

    Screenshot that highlights the Start the synchronization process when configuration completes option that you need to clear.

  2. 업그레이드가 완료된 후 다음 cmdlet을 실행하여 추가된 재정의를 확인합니다. Get-ADSyncSchedulerConnectorOverride | fl

    참고 항목

    재정의는 커넥터마다 다릅니다. 다음 예에서는 전체 가져오기 단계와 전체 동기화 단계가 온-프레미스 AD 커넥터와 Microsoft Entra 커넥터 모두에 추가되었습니다.

    DisableFullSyncAfterUpgrade

  3. 추가된 기존 재정의를 적어둡니다.

  4. 임의 커넥터에서 전체 가져오기 및 전체 동기화 둘 다에 대해 재정의를 제거하려면 다음 cmdlet을 실행합니다. Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    모든 커넥터에서 재정의를 제거하려면 다음 PowerShell 스크립트를 실행합니다.

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. 스케줄러를 다시 시작하려면 다음 cmdlet을 실행합니다. Set-ADSyncScheduler -SyncCycleEnabled $true

    Important

    가능한 한 빨리 필수 동기화 단계를 실행해야 합니다. Synchronization Service Manager를 사용하여 수동으로 이 단계를 실행하거나, ADSyncSchedulerConnectorOverride cmdlet을 사용하여 재정의를 다시 추가할 수 있습니다.

임의 커넥터에서 전체 가져오기 및 전체 동기화 둘 다에 대해 재정의를 추가하려면 다음 cmdlet을 실행합니다. Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

서버 운영 체제 업그레이드

Microsoft Entra Connect 서버의 운영 체제를 업그레이드해야 하는 경우 OS(운영 체제)의 전체 업그레이드를 사용하지 마세요. 대신 원하는 운영 체제로 새 서버를 준비하고 스윙 마이그레이션을 수행합니다.

문제 해결

다음 섹션에는 Microsoft Entra Connect를 업그레이드하는 데 문제가 발생할 경우 사용할 수 있는 문제 해결 및 정보가 포함되어 있습니다.

Microsoft Entra Connect 업그레이드 중 Microsoft Entra 커넥터 누락 오류

이전 버전에서 Microsoft Entra Connect를 업그레이드하는 경우 업그레이드 시작 시 다음 오류가 발생할 수 있습니다.

Error

이 오류는 식별자가 b891884f-051e-4a83-95af-2544101c9083인 Microsoft Entra 커넥터가 현재 Microsoft Entra Connect 구성에 없기 때문에 발생합니다. 이러한 경우인지 확인하려면 PowerShell 창을 열고 Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083를 실행합니다.

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

이 PowerShell Cmdlet은 오류 지정된 MA를 찾을 수 없습니다.를 보고합니다.

이 오류는 현재 Microsoft Entra Connect 구성이 업그레이드를 지원하지 않기 때문에 발생합니다.

최신 버전의 Microsoft Entra Connect를 설치하려면 Microsoft Entra Connect 마법사를 닫고 기존 Microsoft Entra Connect를 제거한 다음 최신 Microsoft Entra Connect를 새로 설치합니다.

다음 단계

온-프레미스 ID를 Microsoft Entra ID와 통합하는 방법에 대해 자세히 알아봅니다.