Share via

Microsoft Entra 동기화 중 오류 이해

  • 아티클

ID 데이터가 Windows Server Active Directory에서 Microsoft Entra ID로 동기화되는 중에 오류가 발생할 수 있습니다. 이 문서에서는 여러 동기화 오류 유형, 오류가 발생할 수 있는 몇 가지 상황, 오류를 해결할 수 있는 가능한 방법에 대한 개요를 제공합니다. 이 문서는 일반적인 오류 유형을 다루며 가능한 모든 오류를 포괄하지 못할 수 있습니다.

이 문서에서는 Microsoft Entra ID 및 Microsoft Entra Connect의 기본 디자인 개념에 익숙하다고 가정합니다.

Important

이 문서에서는 가장 일반적인 동기화 오류를 해결하고자 합니다. 아쉽게도 한 문서의 모든 시나리오를 다룰 수는 없습니다. 자세한 문제 해결 단계를 포함한 세부 내용은 Microsoft Entra Connect 개체 및 특성에 대한 엔드투엔드 문제 해결 및 Microsoft Entra 문제 해결 설명서의 사용자 프로비저닝 및 동기화 섹션을 참조하세요.

최신 버전의 Microsoft Entra Connect(2016년 8월 이상)를 사용하면 동기화 오류 보고서가 Microsoft Entra Connect Health의 일부로 Microsoft Entra 관리 센터에서 제공됩니다.

2016년 9월 1일부터 모든 Microsoft Entra 테넌트에 대해 Microsoft Entra ID 중복 특성 복원력이 기본적으로 사용 설정됩니다. 이 기능은 기존 테넌트에 대해 자동으로 사용 설정됩니다.

Microsoft Entra Connect는 가져오기, 동기화, 내보내기 등, 동기 상태를 유지하는 디렉터리로부터 세 가지 유형의 작업을 수행합니다. 오류는 세 가지 작업에서 모두 발생할 수 있습니다. 이 문서는 주로 Microsoft Entra ID로 내보내는 중 발생하는 오류에 초점을 맞춥니다.

Microsoft Entra ID로 내보내는 동안 오류 발생

다음 섹션에서는 Microsoft Entra 커넥터를 사용하여 Microsoft Entra ID로의 내보내기 작업 중 발생할 수 있는 여러 동기화 오류 유형을 설명합니다. 이 커넥터는 이름 형식(contoso.onmicrosoft.com)으로 식별할 수 있습니다. Microsoft Entra ID로 내보내는 동안 오류가 발생하면 Microsoft Entra ID에서 Microsoft Entra Connect(동기화 엔진)가 시도한 추가, 업데이트 또는 삭제와 같은 작업이 실패했음을 나타냅니다.

내보내기 오류 개요를 보여 주는 다이어그램

데이터 불일치 오류

이 섹션에서는 데이터 불일치 오류에 대해 설명합니다.

InvalidHardMatch

설명

Microsoft Entra ID에 있는 개체를 동일한 sourceAnchor 값을 가진 새 들어오는 개체와 하드 일치시키려하지만 BlockCloudObjectTakeoverThroughHardMatchEnabled 기능이 테넌트에서 사용하도록 설정된 경우 동기화 중에 InvalidHardMatch 오류가 발생합니다.

InvalidHardMatch 오류에 대한 예제 시나리오

  • DirSync는 테넌트에서 다시 사용하도록 설정되고 동일한 sourceAnchor를 사용하는 개체가 다시 동기화되지만 BlockCloudObjectTakeoverThroughHardMatchEnabled 기능이 활성화되어 하드 일치가 발생하지 않습니다.
  • 사용자가 동기화 범위에서 제외되고 Microsoft Entra ID 휴지통에서 복원되었습니다. 나중에 사용자가 동기화 범위에 다시 추가되고 동일한 sourceAnchor 값을 기반으로 Microsoft Entra ID에 이미 있는 개체를 인수하려고 하지만 BlockCloudObjectTakeoverThroughHardMatchEnabled 기능이 활성화되어 하드 일치가 발생하지 않습니다.

예제 사례

  1. Bob Smith는 contoso.com의 온-프레미스 Active Directory로부터 Microsoft Entra ID의 사용자와 동기화됩니다.
  2. 기본적으로 "abcdefghijklmnopqrstuv=="SourceAnchor 값은 온-프레미스 Active Directory Bob Smith의 MsDs-ConsistencyGUID 특성(또는 구성에 따라 ObjectGUID)을 사용하여 Microsoft Entra 커넥트 계산됩니다. 이 특성 값은 Microsoft Entra ID의 Bob Smith에 대한 immutableId 입니다.
  3. 관리 동기화 범위에서 Bob Smith를 제거하고 Microsoft Entra 커넥트 개체의 삭제를 내보냅니다.
  4. Bob Smith의 개체는 Microsoft Entra ID에서 일시 삭제되고 DirSyncEnabled 특성은 False로 전환됩니다. 그러나 이 프로세스는 개체를 클라우드 관리형으로 변환하지 않지만 여전히 온-프레미스 Active Directory 동기화된 개체로 간주됩니다. DirSyncEnabled 값은 현재 동기화 범위를 벗어났으며 다시 일치시킬 수 있음을 나타내는 False입니다.
  5. 관리 Bob Smith를 동기화 범위에 다시 추가하고 Microsoft Entra 커넥트 개체를 다시 동기화합니다.
  6. 일반적으로 하드 일치는 동일한 SourceAnchor를 기반으로 Microsoft Entra ID에 있는 개체를 인수하고 DirSyncEnabled 특성을 다시 'True'로 전환합니다. 그러나 BlockCloudObjectTakeoverThroughHardMatchEnabled 를 사용하면 이 작업이 허용되지 않으며 InvalidHardMatch가 throw됩니다.

InvalidHardMatch 오류 수정

Microsoft Entra ID의 기존 계정을 인수해야 하는 경우가 아니면 BlockCloudObjectTakeoverThroughHardMatchEnabled를 사용하도록 설정하는 것이 좋습니다.

InvalidHardtMatch 오류를 지우고 계정을 성공적으로 일치시켜야 하는 경우 하드 일치 및 소프트 일치설명된 대로 하드 일치를 다시 사용하도록 설정할 수 있습니다.

InvalidSoftMatch

설명

  • InvalidSoftMatch 오류는 하드 일치가 일치하는 개체를 찾지 못하고 소프트 일치가 일치하는 개체 를 찾지만 해당 개체의 immutableId 값이 들어오는 개체의 sourceAnchor와 다른 경우 발생합니다. 이 불일치는 일치하는 개체가 온-프레미스 Active Directory 다른 개체에서 동기화되었음을 시사합니다.

소프트 일치가 작동하려면 소프트 일치를 사용할 개체에 immutableId 특성에 대한 값이 없어야 합니다. immutableId 특성이 값으로 설정된 개체가 하드 일치에 실패하지만 소프트 일치 조건을 충족하면 작업이 InvalidSoftMatch 동기화 오류가 발생합니다.

Microsoft Entra 스키마에서는 다음 특성의 값이 둘 이상의 개체에서 동일할 수 없습니다. 이 목록은 일부만 포함하고 있습니다.

  • proxyAddresses
  • userPrincipalName
  • onPremisesSecurityIdentifier
  • objectId
  • immutableId

Microsoft Entra 특성 중복 특성 복원력](how-to-connect-syncservice-duplicate-attribute-resiliency.md)도 Microsoft Entra ID의 기본 동작으로 롤아웃되고 있습니다. 이 기능은 Microsoft Entra Connect 및 기타 동기화 클라이언트에서 볼 수 있는 동기화 오류 수를 줄입니다. 이를 통해 Microsoft Entra는 온-프레미스 Active Directory 환경에 있는 중복된 proxyAddressesuserPrincipalName 특성을 처리하는 방식으로 복원력이 향상됩니다.

이 기능은 중복 오류를 수정하지 않으므로 데이터를 수정해야 합니다. 하지만 Microsoft Entra ID의 중복 값으로 인해 다른 방식으로는 프로비전될 수 없는 새로운 개체의 프로비전이 가능해집니다. 또한 이 기능은 동기화 클라이언트에 반환되는 동기화 오류의 수를 줄입니다.

참고 항목

테넌트에 대해 Microsoft Entra 특성의 중복 특성 복원력을 사용하도록 설정하면 새 개체를 프로비전하는 동안 InvalidSoftMatch 동기화 오류가 표시되지 않습니다.

InvalidSoftMatch 오류의 예제 시나리오

  • 온-프레미스 Active Directory에 동일한 proxyAddresses 특성 값을 갖는 개체가 둘 이상 존재합니다. Microsoft Entra ID에서는 하나만 프로비전됩니다.
  • 온-프레미스 Active Directory에 동일한 userPrincipalName 특성 값을 갖는 개체가 둘 이상 존재합니다. Microsoft Entra ID에서는 하나만 프로비전됩니다.
  • 온-프레미스 Active Directory에 Microsoft Entra ID의 기존 개체와 proxyAddresses 특성 값이 같은 개체가 추가되었습니다. 온-프레미스에 추가된 개체는 Microsoft Entra ID에서 프로비전되지 않습니다.
  • 온-프레미스 Active Directory에 Microsoft Entra ID의 계정과 userPrincipalName 특성 값이 같은 개체가 추가되었습니다. 개체가 Microsoft Entra ID에서 프로비전되지 않습니다.
  • 동기화된 계정이 포리스트 A에서 포리스트 B로 옮겨졌습니다. Microsoft Entra Connect(동기화 엔진)는 objectGUID 특성을 사용하여 sourceAnchor를 계산했습니다. 포리스트 이동 후 sourceAnchor 특성이 다릅니다. 포리스트 B에서 새 개체가 Microsoft Entra ID의 기존 개체와 동기화하지 못합니다.
  • 동기화된 개체가 우발적으로 온-프레미스 Active Directory에서 삭제되고 동일한 엔터티(예: 사용자)에 대해 Microsoft Entra ID의 계정 삭제 없이 새 개체가 Active Directory에 생성되었습니다. 새 계정이 기존 Microsoft Entra 개체와 동기화되지 않습니다.
  • Microsoft Entra Connect를 제거 후 다시 설치했습니다. 다시 설치하는 동안 다른 특성을 sourceAnchor 특성으로 선택했습니다. 이전에 동기화된 모든 개체가 InvalidSoftMatch 오류와의 동기화를 중지합니다.

예제 사례

  1. Bob Smith는 contoso.com의 온-프레미스 Active Directory로부터 Microsoft Entra ID의 사용자와 동기화됩니다.
  2. Bob Smith의 사용자 계정 이름은 bobs@contoso.com(으)로 설정됩니다.
  3. "abcdefghijklmnopqrstuv=="sourceAnchor 특성은 온-프레미스 Active Directory에서의 Bob Smith의 objectGUID 특성을 사용하여 Microsoft Entra Connect에서 계산됩니다. 이 특성은 Microsoft Entra ID의 Bob Smith에 대한 immutableId 특성입니다.
  4. 또한 proxyAddresses 특성에는 다음 값이 있습니다.
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  5. 새 사용자 Bob Taylor가 온-프레미스 Active Directory에 추가됩니다.
  6. Bob Taylor의 사용자 계정 이름은 bobt@contoso.com(으)로 설정됩니다.
  7. "abcdefghijkl0123456789=="sourceAnchor 특성은 온-프레미스 Active Directory에서의 Bob Taylor의 objectGUID 특성을 사용하여 Microsoft Entra Connect에서 계산됩니다.
  8. Bob Taylor의 proxyAddresses 특성 값은 다음과 같습니다.
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
    • smtp: bob@contoso.com
  9. 동기화하는 동안 Microsoft Entra Connect는 온-프레미스 Active Directory에서 Bob Taylor의 추가를 인식하고 Microsoft Entra ID에 동일한 변경을 요청합니다.
  10. Microsoft Entra는 먼저 하드 일치를 수행합니다. 즉, immutableId 특성이 "abcdefghijkl0123456789=="인 개체를 검색합니다. Microsoft Entra ID의 다른 개체에 immutableId 특성이 없으므로 하드 일치는 실패합니다.
  11. 그런 다음, Microsoft Entra ID에서 소프트 일치를 수행하여 Bob Taylor를 찾습니다. 즉, smtp: bob@contoso.com를 포함하여 세 값과 동일한 proxyAddresses 특성을 가진 개체가 있는지 검색합니다.
  12. Microsoft Entra ID는 소프트 일치 조건에 맞는 Bob Smith의 개체를 찾습니다. 그러나 이 개체의 값은 immutableId = "abcdefghijklmnopqrstuv=="입니다. 이는 이 개체가 온-프레미스 Active Directory의 다른 개체와 동기화되었음을 나타냅니다. Microsoft Entra ID는 이러한 개체와 소프트 일치시킬 수 없으므로 InvalidSoftMatch 동기화 오류가 throw됩니다.

InvalidSoftMatch 오류 수정

InvalidSoftMatch 오류가 발생하는 가장 일반적인 원인은 sourceAnchor(immutableId) 특성이 다른 두 개체가 Microsoft Entra ID에서 소프트 일치 프로세스 중에 사용되는 proxyAddresses 또는 userPrincipalName 특성에 동일한 값을 갖기 때문입니다. InvalidSoftMatch 오류 해결 방법:

  1. 중복된 proxyAddresses, userPrincipalName 또는 기타 오류의 원인이 된 특성 값을 파악합니다. 또한 충돌에 연루된 둘 이상의 개체를 식별합니다. 동기화에 대한 Microsoft Entra Connect Health가 생성한 보고서가 이 두 개체를 찾는 데 도움이 될 수 있습니다.
  2. 중복된 값을 계속 포함해야 하는 개체와 중복되지 않아야 하는 개체를 식별합니다.
  3. 그 값을 가져서는 되는 개체에서 중복 값을 제거합니다. 개체의 출처가 되는 디렉터리에서 변경을 수행합니다. 경우에 따라 충돌 개체 중 하나를 삭제해야 할 수 있습니다.
  4. 온-프레미스 Active Directory에서 변경할 경우 Microsoft Entra Connect가 변경 내용을 동기화하게 합니다.

동기화를 위한 Microsoft Entra Connect Health 내 동기화 오류 보고서는 30분 간격으로 업데이트되며 최신 동기화 시도에서의 오류를 포함합니다.

참고 항목

정의에 따라 ImmutableId 특성은 개체의 수명에서 변경되지 않아야 합니다. 그러나 Microsoft Entra Connect가 이전 목록에서 염두에 둔 일부 시나리오로 구성되지 않았을 수 있습니다. 이 경우 Microsoft Entra Connect는 계속 사용하려는 기존 Microsoft Entra 개체가 있는 동일한 엔터티(동일한 사용자, 그룹 또는 연락처)를 나타내는 Active Directory 개체에 대한 sourceAnchor 특성의 다른 값을 계산할 수 있습니다.

관련 문서

Microsoft 365에서 디렉터리 동기화를 방해하는 중복 또는 잘못된 특성

ObjectTypeMismatch

설명

Microsoft Entra ID가 두 개체의 소프트 일치를 시도할 때 "개체 유형"(예: 사용자, 그룹, 연락처)이 다른 두 개체가 소프트 일치 수행에 사용된 특성에 대해 동일한 값을 가질 수 있습니다. 이러한 특성의 중복은 Microsoft Entra ID에서 허용되지 않으므로 이 작업에서 ObjectTypeMismatch 동기화 오류가 발생합니다.

ObjectTypeMismatch 오류의 예제 시나리오

Microsoft 365에서 메일을 지원하는 보안 그룹이 만들어집니다. 관리자가 아직 Microsoft Entra ID와 동기화되지 않은 온-프레미스 Active Directory에 Microsoft 365 그룹과 proxyAddresses 특성 값이 같은 새 사용자나 연락처를 추가합니다.

예제 사례

  1. 관리자가 Microsoft 365에서 Tax 부서에 대해 새 메일 지원 보안 그룹을 만들고 이메일 주소를 tax@contoso.com으로 제공합니다. 이 그룹은 smtp: tax@contoso.comproxyAddresses 특성 값이 할당됩니다.
  2. 새 사용자가 Contoso.com에 가입하고 이 사용자에 대해 온-프레미스에서 proxyAddresses 특성이 smtp: tax@contoso.com인 계정이 만들어집니다.
  3. Microsoft Entra Connect가 새 사용자 계정을 동기화하면 ObjectTypeMismatch 오류가 발생합니다.

ObjectTypeMismatch 오류 수정

ObjectTypeMismatch 오류의 가장 일반적인 원인은 두 개체의 다른 유형(예: 사용자, 그룹, 연락처)이 동일한 proxyAddresses 특성 값을 갖기 때문입니다. ObjectTypeMismatch 오류 해결 방법:

  1. 오류의 원인이 된 중복된 proxyAddresses(또는 기타 특성) 값을 파악합니다. 또한 충돌에 연루된 둘 이상의 개체를 식별합니다. 동기화에 대한 Microsoft Entra Connect Health가 생성한 보고서가 이 두 개체를 찾는 데 도움이 될 수 있습니다.
  2. 중복된 값을 계속 포함해야 하는 개체와 중복되지 않아야 하는 개체를 식별합니다.
  3. 그 값을 가져서는 되는 개체에서 중복 값을 제거합니다. 개체의 출처가 되는 디렉터리에서 변경을 수행합니다. 경우에 따라 충돌 개체 중 하나를 삭제해야 할 수 있습니다.
  4. 온-프레미스 AD에서 변경할 경우 Microsoft Entra Connect가 변경을 동기화하게 합니다. 동기화를 위한 Microsoft Entra Connect Health의 동기화 오류 보고서는 30분마다 업데이트됩니다. 보고서에는 최신 동기화 시도의 오류가 포함됩니다.

중복 특성

이 섹션에서는 중복 특성 오류에 대해 설명합니다.

AttributeValueMustBeUnique

설명

Microsoft Entra 스키마에서는 다음 특성의 값이 둘 이상의 개체에서 동일할 수 없습니다. Microsoft Entra ID의 각 개체는 특정 인스턴스에서 다음 특성에 대해 고유한 값을 가져야 합니다.

  • mail
  • proxyAddresses
  • signInName
  • userPrincipalName

Microsoft Entra Connect가 이미 Microsoft Entra ID의 다른 개체에 할당된 이전 특성 값에 대해 새 개체를 추가하거나 기존 개체를 업데이트하려 하면 작업에서 AttributeValueMustBeUnique 동기화 오류가 발생합니다.

가능한 시나리오

중복 값이 이미 동기화된 개체에 할당되어 다른 동기화 개체와 충돌합니다.

예제 사례

  1. Bob Smith는 contoso.com의 온-프레미스 Active Directory로부터 Microsoft Entra ID의 사용자와 동기화됩니다.
  2. Bob Smith의 온-프레미스 사용자 계정 이름이 bobs@contoso.com(으)로 설정됩니다.
  3. 또한 proxyAddresses 특성에는 다음 값이 있습니다.
    • smtp: bobs@contoso.com
    • smtp: bob.smith@contoso.com
    • smtp: bob@contoso.com
  4. 새 사용자 Bob Taylor가 온-프레미스 Active Directory에 추가됩니다.
  5. Bob Taylor의 사용자 계정 이름은 bobt@contoso.com(으)로 설정됩니다.
  6. Bob Taylor의 proxyAddresses 특성 값은 다음과 같습니다.
    • smtp: bobt@contoso.com
    • smtp: bob.taylor@contoso.com
  7. Bob Taylor의 개체가 Microsoft Entra ID와 성공적으로 동기화되었습니다.
  8. 관리자가 Bob Taylor의 proxyAddresses 특성을 다음 값으로 업데이트하기로 결정했습니다.
    • smtp: bob@contoso.com
  9. Microsoft Entra ID는 Microsoft Entra ID에서 Bob Taylor의 개체를 이전 값으로 업데이트하려고 하지만 해당 proxyAddresses 값이 Bob Smith에 이미 할당되어 있으므로 해당 작업이 실패합니다. 결과는 AttributeValueMustBeUnique 오류입니다.

AttributeValueMustBeUnique 오류 해결

AttributeValueMustBeUnique 오류의 가장 일반적인 이유는 sourceAnchor (immutableId) 특성이 다른 두 개체가 proxyAddresses 또는 userPrincipalName 특성에 대해 동일한 값을 가지기 때문입니다. AttributeValueMustBeUnique 오류 해결 방법:

  1. 중복된 proxyAddresses, userPrincipalName 또는 기타 오류의 원인이 된 특성 값을 파악합니다. 또한 충돌에 연루된 둘 이상의 개체를 식별합니다. 동기화에 대한 Microsoft Entra Connect Health가 생성한 보고서가 이 두 개체를 찾는 데 도움이 될 수 있습니다.
  2. 중복된 값을 계속 포함해야 하는 개체와 중복되지 않아야 하는 개체를 식별합니다.
  3. 그 값을 가져서는 되는 개체에서 중복 값을 제거합니다. 개체의 출처가 되는 디렉터리에서 변경을 수행합니다. 경우에 따라 충돌 개체 중 하나를 삭제해야 할 수 있습니다.
  4. 온-프레미스 Active Directory에서 변경할 경우 Microsoft Entra Connect가 오류 수정을 위해 변경을 동기화하게 합니다.

관련 문서

Microsoft 365에서 디렉터리 동기화를 방해하는 중복 또는 잘못된 특성

데이터 유효성 검사 실패

이 섹션에서는 데이터 유효성 검사 실패에 대해 설명합니다.

IdentityDataValidationFailed

설명

Microsoft Entra ID는 데이터를 디렉터리에 쓰도록 허용하기 전에 데이터 자체에 다양한 제약을 적용합니다. 이러한 제한 사항은 최종 사용자가 이 데이터에 종속된 애플리케이션을 사용하는 동안 최상의 환경을 얻을 수 있도록 하기 위한 것입니다.

시나리오

  • userPrincipalName 특성 값에 유효하지 않거나 지원되지 않는 문자가 있습니다.
  • userPrincipalName 특성이 필요한 형식을 따르지 않습니다.

이전 시나리오의 결과는 IdentityDataValidationFailed 오류입니다.

IdentityDataValidationFailed 오류 해결

userPrincipalName 특성이 지원되는 문자와 필요한 형식을 따르는지 확인합니다.

관련 문서

Microsoft 365 디렉터리 동기화를 통한 사용자 프로비전 준비

삭제 액세스 위반 및 암호 액세스 위반 오류

Microsoft Entra ID는 Microsoft Entra Connect를 통해 클라우드 전용 개체가 업데이트되지 않도록 보호합니다. Microsoft Entra 커넥트 통해 이러한 개체를 업데이트할 수는 없지만 클라우드 전용 개체를 변경하기 위해 Microsoft Entra 백 엔드에 직접 호출할 수 있습니다. 이렇게 하면 다음 오류가 반환될 수 있습니다.

  • 이 동기화 작업인 삭제는 유효하지 않습니다. 기술 지원에 문의하세요(오류 유형 114).
  • 하나 이상의 클라우드 전용 사용자 자격 증명 업데이트가 현재 요청에 포함되어 있으므로 이 업데이트를 처리할 수 없습니다.
  • 클라우드 전용 개체 삭제는 지원되지 않습니다. Microsoft 고객 지원 서비스에 문의하세요.
  • 암호 변경 요청은 지원되지 않는 하나 이상의 클라우드 전용 사용자 개체에 대한 변경 내용을 포함하므로 실행할 수 없습니다. Microsoft 고객 지원 서비스에 문의하세요.

DeletingCloudOnlyObjectNotAllowed 해결(오류 유형 114)

이 섹션에서는 DeletingCloudOnlyObjectNotAllowed(오류 유형 114)를 해결하는 잠재적 원인 및 해결 방법을 설명합니다.

조직에는 두 개의 클라우드 전용 응급 액세스 계정에 Global 관리istrator 역할이 영구적으로 할당되는 것이 좋습니다. 이러한 계정은 높은 권한을 부여받으며 특정 개인에게 할당되지 않습니다. 계정은 일반 계정을 사용할 수 없거나 다른 모든 관리자가 실수로 잠긴 비상 또는 "중단" 시나리오로 제한됩니다. 이러한 계정은 긴급 액세스 계정 권장 사항에 따라 만들어야 합니다.

설명

고객이 하이브리드에서 클라우드 전용으로 마이그레이션하려는 시나리오입니다. 관리자는 사용자를 범위 밖으로 이동하기 위해 Microsoft Entra 커넥트 호출을 시작하지만 Microsoft Entra 커넥트 DeletingCloudOnlyObjectNotAllowed(또는 오류 유형 114)를 반환합니다. "이 동기화 작업인 삭제는 유효하지 않습니다. 기술 지원에 문의하세요."

이 오류가 발생하는 원인은 다음과 같습니다.

  • Microsoft Entra 커넥트 호출에는 UPN, 신규 또는 고유 GUID 또는 기타 필수 정보가 없습니다.
  • Microsoft Entra 커넥트 데이터를 내보내려고 하지만 False로 설정되었습니다DirSyncEnabled.
  • Microsoft Entra 커넥트 복원된 사용자 또는 다른 개체를 삭제하려고 합니다. 이는 일반적으로 사용자 또는 다른 개체 참조가 동기화 범위를 벗어나거나 분실한 컨테이너로 이동되었기 때문입니다.

가능한 시나리오

Microsoft Entra 커넥트 클라이언트는 하이브리드에서 클라우드로만 마이그레이션하는 동안 사용자를 삭제하지 못하여 오류 유형 114가 발생합니다.

사용자가 삭제되지 않는 잠재적 원인은 다음과 같습니다.

  • 고객이 사용자를 범위 밖으로 이동하기 위해 만든 규칙은 특성을 기반으로 Admin 합니다.
  • 동기화(Azure AD 동기화) 작업 중에 오류 유형 114가 반환되어 사용자를 삭제하지 못했습니다.
  • 특정 기능에 대한 동기화가 실패하여 사용자가 그에 따라 삭제되지 않습니다.

오류 예제

내보내기 오류의 예:

TimeOccurred (UTC) 2021-10-20 23:51:28
MachineId 321d15e1-4ad6-49c7-918b-40a62a5140bd
Connector Name IDEXX.onmicrosoft.com - AAD
ErrorType 114
ErrorCode 0x8023134a
ErrorLiteral This synchronization operation, Delete, is not valid. Contact Technical Support. Tracking Id: 09fb1e9b-3ff7-4163-9731-581785e347e5
ServerErrorDetail N/A
CsObjectIdentifier {2819A5C8-BE27-EC11-A970-000D3A1B4EEE}
Dn CN={783456306961654236304B58786A66746377643748773D3D}

오류 수정

이 문제를 해결하려면:

  1. 문제 개체 참조를 식별합니다.
  2. PowerShell을 사용하여 클라우드 계정을 일시 삭제합니다.
  3. 계정 삭제를 성공적으로 가져와야 하는 실행을 실행 Start-ADSyncSyncCycle -PolicyType Delta 합니다.
  4. 삭제에 성공했는지 확인합니다.
  5. 휴지통에서 사용자를 복원합니다.
  6. 서버에서 실행 Start-ADSyncSyncCycle -PolicyType Delta 하여 오류가 다시 발생하지 않는지 확인합니다.

Warning

사용자가 동기화 범위에서 제외되면 개체가 Microsoft Entra ID에서 일시 삭제되고 해당 DirSyncEnabled 특성이 False로 전환됩니다. 그러나 이 프로세스는 클라우드에서 관리할 수 없는 온-프레미스 Active Directory 동기화된 특성 및 값이 여전히 포함되어 있으므로 개체를 클라우드 관리형으로 변환하지 않습니다. DirSyncEnabled 값은 현재 동기화 범위를 벗어났으며 다시 일치시킬 수 있음을 나타내는 False입니다.

LargeObject 또는 ExceededAllowedLength

이 섹션에서는 LargeObject 또는 ExceededAllowedLength 오류에 대해 설명합니다.

설명

한 특성이 Microsoft Entra 스키마에서 정한 허용된 크기 제한, 길이 제한 또는 수 제한을 초과할 경우 동기화 작업에서 LargeObject 또는 ExceededAllowedLength 동기화 오류가 발생합니다. 일반적으로 이 오류는 다음 특성에 대해 발생합니다.

  • userCertificate
  • userSMIMECertificate
  • thumbnailPhoto
  • proxyAddresses

Microsoft Entra ID는 userCertificate 특성에서 하드 코드된 15개 인증서 제한과 각 디렉터리 확장명이 최대 250자인 디렉터리 확장의 최대 100개 특성 제한을 제외하고 특성당 제한을 부과하지 않습니다. 전체 개체에 대한 크기 제한이 있습니다. Microsoft Entra Connect에서 이 개체의 크기 제한을 초과하는 개체를 동기화하려는 경우 내보내기 오류가 throw됩니다.

모든 특성은 개체의 최종 크기에 기여합니다. 추가 처리 오버헤드로 인해 일부 특성의 가중치 승수는 다릅니다. 예를 들어 인덱싱된 값이 있습니다. 또한 개체의 전체 크기에도 영향을 주는 더 많은 특성을 소비하는 계정에 다양한 클라우드 서비스, 서비스 계획, 라이선스가 할당될 수 있습니다.

Microsoft Entra ID에서 특성이 보유할 수 있는 항목 수를 정확히 확인할 수 없습니다(예: proxyAddresses 특성에 들어갈 수 있는 SMTP 주소 수). 수는 개체에 채워진 모든 특성의 크기 및 곱하기 요인에 따라 달라집니다.

가능한 시나리오

  • Bob의 userCertificate 특성이 Bob에게 할당된 너무 많은 인증서를 저장하고 있습니다. 이러한 인증서에는 만료된 이전 인증서가 포함될 수 있습니다. 하드 한도는 15개의 인증서입니다. userCertificate 특성에서 LargeObject 오류를 처리하는 방법에 대한 자세한 내용은 userCertificate 특성으로 인한 LargeObject 오류 처리를 참조하세요.
  • Bob의 userSMIMECertificate 특성이 Bob에게 할당된 너무 많은 인증서를 저장하고 있습니다. 이러한 인증서에는 만료된 이전 인증서가 포함될 수 있습니다. 하드 한도는 15개의 인증서입니다.
  • Active Directory에서 설정한 Bob의 thumbnailPhoto 특성이 너무 커 Microsoft Entra ID에서 동기화할 수 없습니다.
  • Active Directory의 proxyAddresses 특성 자동 입력 중에 개체에 너무 많은 proxyAddresses 특성이 할당되었습니다.

다음은 userCertificateproxyAddresses와 같은 특성의 다양한 가중치를 보여 주는 예입니다.

  • 필수 Active Directory 특성 외에 다른 특성이 채워지지 않은 동기화된 사용자로, 메일은 최대 332개의 프록시 주소를 동기화할 수 있습니다.
  • mailNickName 특성과 10개의 사용자 인증서가 있는 동기화된 유사한 사용자의 경우 최대 프록시 주소가 329개로 줄어듭니다.
  • 10개의 사용자 인증서가 있는 유사한 동기화된 사용자 및 4개의 구독이 할당된 인스턴스의 경우(모든 서비스 계획 사용) 최대 프록시 주소가 311개로 줄어듭니다.
  • 이제 최대 프록시 주소 수를 이미 보유하고 있는 이전 사용자를 가져와서 SMTP 주소를 하나 더 추가해야 한다고 가정해 보겠습니다. 312개의 프록시 주소를 달성하려면 인증서 크기에 따라 3개 이상의 사용자 인증서를 제거해야 합니다.

참고 항목

이러한 숫자는 조금씩 다를 수 있습니다. 경험한 바에 따르면 향후 개체 및 채워진 특성의 증가를 위한 공간을 남겨 두기 위해 proxyAddresses 특성의 SMTP 주소의 제한이 대략 300개 주소라고 가정하는 것이 더 안전합니다.

LargeObject 또는 ExceededAllowedLength 오류 해결

사용자 속성을 검토하고 더 이상 필요하지 않을 수 있는 특성 값을 제거합니다. 예를 들어 해지되거나 만료된 인증서와 SMTP, X.400, X.500, MSMail 및 CcMail과 같은 오래되었거나 불필요한 주소가 있습니다.

기존 관리자 역할 충돌

설명

기존 관리자 역할 충돌 동기화 오류는 해당 사용자 개체에 다음이 있는 경우 동기화하는 동안 사용자 개체에서 발생합니다.

  • 관리자 권한
  • 기존 Microsoft Entra 개체와 동일한 userPrincipalName 특성입니다.

Microsoft Entra Connect는 온-프레미스 AD의 사용자 개체를 관리 역할이 할당된 Microsoft Entra ID의 사용자 개체와 소프트 일치할 수 없습니다. 자세한 내용은 Microsoft Entra userPrincipalName 채우기를 참조하세요.

기존 관리자 역할 충돌 동기화 오류 수를 보여 주는 스크린샷.

기존 관리자 역할 충돌 오류 해결

이 문제를 해결하려면:

  1. 모든 관리자 역할에서 Microsoft Entra 계정(소유자)을 제거합니다.
  2. 클라우드에서 격리된 개체를 영구 삭제합니다.
  3. 이제 클라우드 사용자가 더 이상 하이브리드 ID 관리자가 아니므로 다음 동기화 주기에는 온-프레미스 사용자를 클라우드 계정에 소프트 일치시키는 작업을 처리합니다.
  4. 소유자의 역할 멤버 자격을 복원합니다.

참고 항목

온-프레미스 사용자 개체와 Microsoft Entra 사용자 개체 간의 소프트 일치가 완료된 후 기존 사용자 개체에 관리자 역할을 다시 할당할 수 있습니다.