Microsoft Entra Connect 연결 문제 해결
이 문서는 Microsoft Entra Connect와 Microsoft Entra ID 간 연결의 작동 방식 및 연결 문제 해결 방법을 설명합니다. 이러한 문제는 프록시 서버를 사용하는 환경에서 나타날 가능성이 높습니다.
설치 마법사의 연결 문제
Microsoft Entra Connect는 인증을 위해 MSAL(Microsoft 인증 라이브러리)을 사용합니다. 설치 마법사와 동기화 엔진은 .NET 애플리케이션이므로 machine.config를 올바르게 구성해야 합니다.
참고 항목
Azure AD Connect v1.6.xx.x는 ADAL(Active Directory 인증 라이브러리)을 사용합니다. ADAL은 더 이상 사용되지 않으며 지원은 2022년 6월에 종료됩니다. 최신 버전의 Microsoft Entra Connect v2로 업그레이드하는 것이 좋습니다.
이 문서에서는 Fabrikam이 해당 프록시를 통해 Microsoft Entra ID에 연결되는 방법을 보여 줍니다. 프록시 서버의 이름은 fabrikamproxy이고 포트 8080을 사용합니다.
먼저 machine.config가 올바르게 구성되어 있고 machine.config 파일 업데이트 후 Microsoft Entra ID Sync 서비스가 한 번 다시 시작되었는지 확인합니다.
참고 항목
Microsoft 이외의 일부 블로그에서는 machine.config 파일 대신 miiserver.exe.config를 변경해야 한다고 나타냅니다. 그러나 업그레이드할 때마다 miiserver.exe.config 파일을 덮어씁니다. 초기 설치 시 파일이 작동되더라도 첫 번째 업그레이드 시 시스템이 작동을 멈춥니다. 따라서 이 문서에 설명된 대로 machine.config를 업데이트하는 것이 좋습니다.
또한 프록시 서버에 필요한 URL이 열려 있어야 합니다. 공식 목록은 Office 365 URL 및 IP 주소 범위 에 나와 있습니다.
이러한 URL 중에서 다음 표에 나열된 URL은 Microsoft Entra ID에 연결할 수 있는 최소한의 절대적인 URL입니다. 이 목록은 비밀번호 쓰기 저장 또는 Microsoft Entra Connect Health와 같은 선택적 기능은 포함하지 않습니다. 초기 구성에 대한 문제 해결에 도움이 되는 정보가 여기에 제공됩니다.
| URL | Port | 설명 |
|---|---|---|
mscrl.microsoft.com |
HTTP/80 | CRL(인증서 해지 목록) 목록을 다운로드하는 데 사용됩니다. |
*.verisign.com |
HTTP/80 | CRL 목록을 다운로드하는 데 사용됩니다. |
*.entrust.net |
HTTP/80 | MFA(다단계 인증)를 위한 CRL 목록을 다운로드하는 데 사용됩니다. |
*.management.core.windows.net(Azure Storage)*.graph.windows.net(Azure AD 그래프) |
HTTPS/443 | 다양한 Azure 서비스에 사용됩니다. |
secure.aadcdn.microsoftonline-p.com |
HTTPS/443 | MFA에 사용됩니다. |
*.microsoftonline.com |
HTTPS/443 | Microsoft Entra 디렉터리를 구성하고 데이터 가져오거나 내보내는 데 사용됩니다. |
*.crl3.digicert.com |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.crl4.digicert.com |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.digicert.cn |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.ocsp.digicert.com |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.www.d-trust.net |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.root-c3-ca2-2009.ocsp.d-trust.net |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.crl.microsoft.com |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.oneocsp.microsoft.com |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
*.ocsp.msocsp.com |
HTTP/80 | 인증서를 확인하는 데 사용됩니다. |
마법사 오류
설치 마법사는 서로 다른 두 가지 보안 컨텍스트를 사용합니다. Microsoft Entra ID에 연결 페이지에서 현재 로그인한 사용자를 사용합니다. 구성 페이지에서 동기화 엔진용 서비스를 실행하는 계정으로 변경됩니다. 문제가 발생하면 프록시 구성이 전역이므로 마법사의 Microsoft Entra ID에 연결 페이지에 오류가 나타날 가능성이 큽니다.
다음 문제는 설치 마법사에서 발생할 수 있는 가장 일반적인 오류입니다.
설치 마법사가 올바르게 구성되지 않았습니다.
이 오류는 마법사 자체가 프록시에 연결할 수 없을 때 나타납니다.
이 오류가 표시되면 machine.config 파일이 올바르게 구성되었는지 확인합니다. machine.config가 올바르면 프록시 연결 확인의 단계를 완료하여 마법사 외부에서도 문제가 발생하는지 확인합니다.
Microsoft 계정이 사용됨
학교 또는 조직 계정 대신 Microsoft 계정을 사용하는 경우 제네릭 오류가 표시됩니다.
MFA 엔드포인트에 연결할 수 없습니다.
엔드포인트 https://secure.aadcdn.microsoftonline-p.com에 연결할 수 없고 하이브리드 ID 관리자가 MFA를 사용하도록 설정한 경우 이 오류가 표시됩니다.
이 오류가 표시되면 secure.aadcdn.microsoftonline-p.com 엔드포인트가 프록시에 추가되었는지 확인합니다.
암호를 확인할 수 없습니다.
설치 마법사가 Microsoft Entra ID 연결에 성공했지만 암호 자체를 확인할 수 없는 경우 이 오류가 표시됩니다.
암호는 변경해야 하는 임시 암호인가요? 실제로 올바른 암호인가요? Microsoft Entra Connect 서버가 아닌 다른 컴퓨터에서 https://login.microsoftonline.com에 로그인을 시도하고 계정을 사용할 수 있는지 확인합니다.
프록시 연결 확인
Microsoft Entra Connect 서버가 프록시 및 인터넷에 연결되어 있는지 확인하려면 일부 PowerShell cmdlet을 사용하여 프록시가 웹 요청을 허용하는지 확인합니다. PowerShell에서 Invoke-WebRequest -Uri https://adminwebservice.microsoftonline.com/ProvisioningService.svc을 실행합니다. (기술적으로 첫 번째 호출은 https://login.microsoftonline.com에 대한 것이며 이 URI도 작동하지만 다른 URI가 더 빠르게 응답합니다.)
PowerShell은 프록시에 연결하기 위해 machine.config의 구성을 사용합니다. winhttp/netsh의 설정은 이러한 cmdlet에 영향을 주지 않아야 합니다.
프록시가 올바르게 구성된 경우 성공 상태가 나타납니다.
원격 서버에 연결할 수 없습니다 메시지가 표시되면 PowerShell이 프록시를 사용하지 않고 직접 호출을 시도하거나 DNS가 올바르게 구성되지 않은 것입니다. machine.config 파일이 올바르게 구성되었는지 확인합니다.
프록시가 올바르게 구성되지 않은 경우 403 또는 407 오류 메시지가 나타납니다.
다음 표에서는 403 및 407 프록시 오류에 대해 설명합니다.
| 오류 | 오류 텍스트 | 설명 |
|---|---|---|
| 403 | 금지 | 요청된 URL에 대한 프록시가 열리지 않았습니다. 프록시 구성을 다시 확인하고 URL 이 열려 있는지 확인합니다. |
| 407 | 프록시 인증 필요 | 프록시 서버에 로그인이 필요한데 아무 것도 제공되지 않았습니다. 프록시 서버에 인증이 필요한 경우 machine.config에서 이 설정을 구성했는지 확인합니다. 또한 마법사를 실행하는 사용자와 서비스 계정에 대해 도메인 계정을 사용하고 있는지 확인합니다. |
프록시 유휴 시간 제한 설정
Microsoft Entra Connect가 Microsoft Entra ID로 내보내기 요청을 전송하면 Microsoft Entra ID는 응답을 생성하기 전에 요청을 처리하는 데 최대 5분이 소요될 수 있습니다. 큰 그룹 멤버 자격이 있는 많은 그룹 개체가 동일한 내보내기 요청에 포함된 경우 특히 응답이 지연될 수 있습니다. 프록시 유휴 시간 제한을 5분보다 크게 구성해야 합니다. 그렇지 않으면 Microsoft Entra Connect 서버에서 Microsoft Entra ID에 일시적인 연결 문제가 발생할 수 있습니다.
Microsoft Entra Connect와 Microsoft Entra ID 간의 통신 패턴
이 문서에 설명된 모든 단계를 따랐지만 여전히 연결할 수 없는 경우 이 시점에서 네트워크 로그를 확인할 수 있습니다. 이 섹션에서는 정상적이고 성공적인 연결 패턴에 대해 설명합니다.
그러나 먼저 무시할 수 있는 네트워크 로그의 데이터에 대한 몇 가지 일반적인 우려 사항이 있습니다.
https://dc.services.visualstudio.com에 대한 호출이 있습니다. 설치가 성공하는 데 프록시에 이 URL이 열려 있을 필요는 없으므로 이러한 호출은 무시해도 됩니다.- DNS 확인에서 실제 호스트가 DNS 네임스페이스
nsatc.net에 있는 것으로 나열되고microsoftonline.com아래에 없는 다른 네임스페이스가 표시됩니다. 그러나 실제 서버 이름에는 웹 서비스 요청이 없습니다. 이러한 URL을 프록시에 추가할 필요가 없습니다. adminwebservice및provisioningapi엔드포인트는 검색 엔드포인트이며 사용할 실제 엔드포인트를 찾는 데 사용됩니다. 이러한 엔드포인트는 사용자의 하위 지역에 따라 다릅니다.
참조 프록시 로그
다음 예는 실제 프록시 로그 및 이를 가져온 설치 마법사 페이지의 덤프입니다(동일한 엔드포인트에 대한 중복 항목은 제거됨). 이 섹션은 고유한 프록시 및 네트워크 로그에 대한 참조로 사용할 수 있습니다. 실제 엔드포인트는 사용자 환경에서 다를 수 있습니다(특히 기울임꼴의 URL).
Microsoft Entra ID에 연결
| 시간 | URL |
|---|---|
| 1/11/2016 8:31 | connect:/login.microsoftonline.com:443 |
| 1/11/2016 8:31 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:32 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:33 | connect://bwsc02-relay.microsoftonline.com:443 |
구성
| 시간 | URL |
|---|---|
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:43 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://bba800-anchor.microsoftonline.com:443 |
| 1/11/2016 8:44 | connect://login.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://provisioningapi.microsoftonline.com:443 |
| 1/11/2016 8:46 | connect://bwsc02-relay.microsoftonline.com:443 |
초기 동기화
| 시간 | URL |
|---|---|
| 1/11/2016 8:48 | connect://login.windows.net:443 |
| 1/11/2016 8:49 | connect://adminwebservice.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba900-anchor.microsoftonline.com:443 |
| 1/11/2016 8:49 | connect://bba800-anchor.microsoftonline.com:443 |
인증 오류
이 섹션에서는 ADAL 및 PowerShell에서 반환될 수 있는 오류를 다룹니다. 오류 설명은 다음 단계를 식별하는 데 도움이 됩니다.
잘못된 권한 부여
잘못된 사용자 이름 또는 암호를 입력했습니다. 자세한 내용은 암호를 확인할 수 없음을 참조하세요.
알 수 없는 사용자 유형
Microsoft Entra 디렉터리를 찾거나 확인할 수 없습니다. 확인되지 않은 도메인에서 사용자 이름으로 로그인을 시도했나요?
사용자 영역 검색 실패
네트워크 또는 프록시 구성 문제 네트워크에 연결할 수 없습니다. 설치 마법사의 연결 문제를 참조하세요.
사용자 암호 만료됨
자격 증명이 만료되었습니다. 암호를 변경합니다.
권한 부여 실패
Microsoft Entra Connect가 사용자에게 Microsoft Entra ID에서 작업을 수행할 수 있는 권한을 부여하지 못했습니다.
인증 취소됨
MFA 챌린지가 취소되었습니다.
MSOnline에 연결하지 못했습니다.
인증에 성공했지만 Azure AD PowerShell에 인증 문제가 있습니다.
필요한 Microsoft Entra 전역 관리자 역할
사용자가 성공적으로 인증되었지만 사용자에게 전역 관리자 역할이 할당되지 않았습니다. 사용자에게 전역 관리자 역할을 할당할 수 있습니다.
Privileged Identity Management 사용
인증에 성공했지만 Privileged Identity Management가 사용하도록 설정되었고 사용자가 현재 하이브리드 ID 관리자가 아닙니다. 자세한 내용은 Privileged Identity Management를 참조하세요.
회사 정보를 사용할 수 없음
인증에 성공했지만 Microsoft Entra ID에서 회사 정보를 검색할 수 없습니다.
도메인 정보를 사용할 수 없음
인증에 성공했지만 Microsoft Entra ID에서 도메인 정보를 검색할 수 없습니다.
지정되지 않은 인증 오류
설치 마법사에서 예기치 않은 오류로 표시됩니다. 이 오류는 학교 또는 조직 계정 대신 Microsoft 계정을 사용하려고 할 때 발생할 수 있습니다.
이전 릴리스의 문제 해결 단계
빌드 번호 1.1.105.0(2016년 2월에 발표됨)으로 시작하는 릴리스에서 로그인 도우미 사용이 중지되었습니다. 로그인 도우미 구성은 더 이상 필요하지 않지만 다음 섹션의 정보는 참조용으로 포함되어 있습니다.
단일 로그인 도우미가 작동하려면 Microsoft Windows HTTP 서비스(WinHTTP)를 구성해야 합니다. netsh를 사용하여 WinHTTP를 구성할 수 있습니다.
로그인 도우미가 올바르게 구성되지 않았습니다.
이 오류는 로그인 도우미가 프록시에 연결할 수 없거나 프록시가 요청을 허용하지 않는 경우에 나타납니다.
이 오류가 표시되면 netsh에서 프록시 구성을 보고 올바른지 확인합니다.
프록시 구성이 올바르면 프록시 연결 확인의 단계를 완료하여 마법사 외부에서 문제가 발생하는지 확인합니다.
다음 단계
온-프레미스 ID를 Microsoft Entra ID와 통합하는 방법에 대해 자세히 알아봅니다.