클라우드 동기화 관련 문제 해결

  • 아티클

클라우드 동기화에는 다양한 종속성 및 상호 작용이 있어 다양한 문제가 발생할 수 있습니다. 이 문서는 해당 문제를 해결하는 데 도움이 됩니다. 여기서는 중점적으로 살펴볼 일반적인 영역, 추가 정보를 수집하는 방법 및 문제를 추적하는 데 사용할 수 있는 다양한 기술을 소개합니다.

에이전트 문제

에이전트 문제를 해결하는 경우 에이전트가 올바르게 설치되었는지와 Microsoft Entra ID와 통신하는지 확인합니다. 특히 에이전트를 사용하여 먼저 확인해야 할 사항은 다음과 같습니다.

  • 설치 여부
  • 에이전트가 로컬에서 실행되고 있는지 여부
  • 에이전트가 포털에 있는지 여부
  • 에이전트가 정상으로 표시되는지 여부

포털과 에이전트를 실행하는 로컬 서버에서 이러한 항목을 확인할 수 있습니다.

Microsoft Entra 관리 센터 에이전트 확인

이 문서의 단계는 시작하는 포털에 따라 약간 다를 수 있습니다.

Azure에서 에이전트를 검색하고 에이전트가 정상인지 확인하려면 다음 단계를 수행합니다.

  1. 최소한 하이브리드 관리자Microsoft Entra 관리 센터에 로그인합니다.
  2. ID>하이브리드 관리>Microsoft Entra Connect>클라우드 동기화로 이동합니다. 클라우드 동기화 홈페이지의 스크린샷.
  1. 클라우드 동기화를 선택합니다.
  2. 설치한 에이전트가 표시됩니다. 해당 에이전트가 있는지 확인합니다. 문제가 없으면 에이전트에 대한 활성(녹색) 상태가 표시됩니다.

필요한 열린 포트 확인

Microsoft Entra 프로비저닝 에이전트가 Azure 데이터 센터와 성공적으로 통신할 수 있는지 확인합니다. 경로에 방화벽이 있는 경우 아웃바운드 트래픽에 대한 다음 포트가 열려 있는지 확인합니다.

포트 번호 사용 방법
80 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록) 다운로드
443 애플리케이션 프록시 서비스와의 모든 아웃바운드 통신 처리

방화벽이 원래 사용자에 따라 트래픽에 적용되는 경우 네트워크 서비스로 실행하는 Windows 서비스의 트래픽에 대해 80 및 443 포트를 엽니다.

URL에 대한 액세스 허용

다음 URL에 대한 액세스를 허용합니다.

URL Port 사용 방법
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 커넥터와 애플리케이션 프록시 클라우드 서비스 간의 통신
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 커넥터는 이러한 URL을 사용하여 인증서를 확인합니다.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS 커넥터는 등록 프로세스 동안 다음과 같은 URL을 사용합니다.
ctldl.windowsupdate.com 80/HTTP 커넥터는 등록 프로세스 동안 이 URL을 사용합니다.

방화벽 또는 프록시에서 도메인 접미사에 따라 액세스 규칙을 구성할 수 있는 경우 *.msappproxy.net, *.servicebus.windows.net 및 위의 기타 URL에 대한 연결을 허용할 수 있습니다. 그렇지 않은 경우 Azure IP 범위 및 서비스 태그 - 퍼블릭 클라우드에 대한 액세스를 허용해야 합니다. IP 범위는 매주 업데이트됩니다.

Important

Microsoft Entra 프라이빗 네트워크 커넥터와 Microsoft Entra 애플리케이션 프록시 클라우드 서비스 간의 아웃바운드 TLS 통신에서 모든 형태의 인라인 검사 및 종료를 방지합니다.

Microsoft Entra 애플리케이션 프록시 엔드포인트에 대한 DNS 이름 확인

Microsoft Entra 애플리케이션 프록시 엔드포인트에 대한 공용 DNS 레코드는 A 레코드를 가리키는 연결된 CNAME 레코드입니다. 이렇게 하면 내결함성 및 유연성이 보장됩니다. Microsoft Entra 프라이빗 네트워크 커넥터는 항상 할 일기본 접미사 *.msappproxy.net 또는 *.servicebus.windows.net.

그러나 이름 확인 중에 CNAME 레코드에는 호스트 이름 및 접미사가 다른 DNS 레코드가 포함될 수 있습니다. 이로 인해 디바이스에서 체인의 모든 레코드를 확인하고 확인된 IP 주소에 대한 연결을 허용할 수 있는지 확인해야 합니다. 체인의 DNS 레코드는 수시로 변경될 수 있으므로 목록 DNS 레코드를 제공할 수 없습니다.

로컬 서버에서 에이전트 확인

에이전트가 실행되는지 확인하려면 다음 단계를 수행합니다.

  1. 에이전트가 설치된 서버에서 서비스를 엽니다. 시작>실행>Services.msc로 이동하여 이 작업을 수행합니다.

  2. 서비스 아래에 Microsoft Entra Connect Agent UpdaterMicrosoft Entra 프로비전 에이전트가 있는지 확인합니다. 또한 해당 상태가 실행 중인지 확인합니다.

    로컬 서비스 및 해당 상태의 스크린샷

일반적인 에이전트 설치 문제

다음 섹션에서는 몇 가지 일반적인 에이전트 설치 문제와 해당 문제의 일반적인 해결 방법에 대해 설명합니다.

에이전트를 시작하지 못함

다음과 같은 오류 메시지가 표시될 수 있습니다.

'Microsoft Entra 프로비전 에이전트' 서비스를 시작하지 못했습니다. 시스템 서비스를 시작할 수 있는 권한이 있는지 확인하세요.

이 문제는 일반적으로 그룹 정책으로 인해 발생합니다. 정책 때문에 설치 관리자(NT SERVICE\AADConnectProvisioningAgent)가 생성한 로컬 NT 서비스 로그인 계정에 사용 권한을 적용할 수 없습니다. 이러한 사용 권한은 서비스를 시작하는 데 필요합니다.

이 문제를 해결하려면 다음 단계를 수행합니다.

  1. 관리자 계정으로 서버에 로그인합니다.

  2. 시작>실행>Services.msc로 이동하여 서비스를 엽니다.

  3. 서비스에서 Microsoft Entra 프로비전 에이전트를 두 번 클릭합니다.

  4. 로그온 탭에서 이 계정을 도메인 관리자로 변경합니다. 그런 다음, 서비스를 다시 시작합니다.

    로그온 탭에서 사용할 수 있는 옵션을 보여 주는 스크린샷

에이전트 시간이 초과하거나 인증서가 잘못됨

에이전트를 등록하려고 시도할 때 다음과 같은 오류 메시지가 나타날 수 있습니다.

시간 제한 오류 메시지를 보여 주는 스크린샷

이 문제는 일반적으로 에이전트가 하이브리드 ID 서비스에 연결할 수 없기 때문에 발생합니다. 이 문제를 해결하려면 아웃바운드 프록시를 구성합니다.

프로비저닝 에이전트는 아웃바운드 프록시 사용을 지원합니다. 다음 에이전트 .config 파일: C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config를 편집하여 에이전트를 구성할 수 있습니다.

파일의 끝 쪽으로 닫는 </configuration> 태그 바로 앞에 다음 줄을 추가합니다. [proxy-server][proxy-port] 변수를 프록시 서버 이름 및 포트 값으로 바꿉니다.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

보안 오류로 인해 에이전트를 등록하지 못함

클라우드 프로비저닝 에이전트를 설치할 때 오류 메시지가 나타날 수 있습니다. 이 문제는 일반적으로 에이전트가 로컬 PowerShell 실행 정책으로 인해 PowerShell 등록 스크립트를 실행할 수 없기 때문에 발생합니다.

이 문제를 해결하려면 서버에서 PowerShell 실행 정책을 변경합니다. 머신 및 사용자 정책이 Undefined 또는 RemoteSigned로 설정되어 있어야 합니다. Unrestricted로 설정된 경우 이 오류가 표시됩니다. 자세한 내용은 PowerShell 실행 정책을 참조하세요.

로그 파일

기본적으로 에이전트는 최소한의 오류 메시지 및 스택 추적 정보를 내보냅니다. 해당 추적 로그는 다음 C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace 폴더에서 확인할 수 있습니다.

에이전트 관련 문제를 해결하는 데 필요한 추가 정보를 수집하려면 다음 단계를 수행합니다.

  1. AADCloudSyncTools PowerShell 모듈을 설치합니다.
  2. Export-AADCloudSyncToolsLogs PowerShell cmdlet을 사용하여 정보를 캡처합니다. 다음 옵션을 사용하여 데이터 컬렉션을 세밀하게 조정할 수 있습니다.
    • SkipVerboseTrace(기본값 = false): 자세한 정보 로그를 캡처하지 않고 현재 로그만 내보려는 경우.
    • TracingDurationMins(기본값 = 3분): 다른 캡처 기간을 지정하려는 경우
    • OutputPath(기본값 = 사용자의 문서 폴더): 다른 출력 경로를 지정하려는 경우

개체 동기화 문제

포털에서 프로비저닝 로그를 사용하여 개체 동기화 문제를 추적하고 해결할 수 있습니다. 로그를 보려면 로그를 선택합니다.

로그 단추를 보여 주는 스크린샷

프로비저닝 로그는 온-프레미스 Active Directory 환경과 Azure 간에 동기화되는 개체의 상태에 대한 다양한 정보를 제공합니다.

프로비저닝 로그에 대한 정보를 보여 주는 스크린샷

보기를 필터링하여 날짜와 같은 특정 문제에 집중할 수 있습니다. ObjectGuid Active Directory를 사용하여 Active Directory 개체와 관련된 활동에 대한 로그를 검색할 수도 있습니다. 개별 이벤트를 두 번 클릭하면 추가 정보가 표시됩니다.

프로비저닝 로그 드롭다운 목록 정보를 보여 주는 스크린샷

이 정보는 자세한 단계와 동기화 문제가 발생한 위치를 제공합니다. 이렇게 하면 문제가 발생한 지점을 정확하게 파악할 수 있습니다.

건너뛴 개체

Active Directory에서 사용자와 그룹을 동기화한 경우 Microsoft Entra ID에서 하나 이상의 그룹을 찾을 수 없습니다. 이는 동기화가 아직 완료되지 않았거나 Active Directory에서 개체 만들기를 아직 따라잡지 못했거나, Microsoft Entra ID에서 생성되는 개체를 차단하는 동기화 오류 또는 개체를 제외하는 동기화 규칙 범위 지정 규칙이 적용되기 때문일 수 있습니다.

동기화를 다시 시작한 다음 프로비전 주기가 완료되면 프로비전 로그에서 해당 개체의 ObjectGuid Active Directory를 사용하여 개체와 관련된 활동을 검색하세요. 원본 ID와 Skipped의 상태만 포함하는 ID가 있는 이벤트가 로그에 있는 경우 에이전트가 범위를 벗어나 Active Directory 개체를 필터링했음을 나타낼 수 있습니다.

기본적으로 범위 지정 규칙은 다음 개체가 Microsoft Entra ID와 동기화되지 않도록 제외합니다.

  • Active Directory의 많은 기본 제공 사용자 및 그룹을 비롯해 IsCriticalSystemObject이(가) TRUE로 설정된 사용자, 그룹 및 연락처
  • 복제 희생자 개체

동기화 스키마에는 추가 제한 사항이 있을 수 있습니다.

Microsoft Entra 개체 삭제 임계값

동일한 Microsoft Entra 테넌트로 내보내는 Microsoft Entra 커넥트 및 Microsoft Entra Cloud Sync가 있는 구현 토폴로지를 사용하거나 Microsoft Entra 커넥트 사용하여 Microsoft Entra Cloud Sync로 완전히 이동한 경우 정의된 범위에서 여러 개체를 삭제하거나 이동할 때 다음 내보내기 오류 메시지가 표시될 수 있습니다.

내보내기 오류를 보여 주는 스크린샷.

이 오류는 Microsoft Entra Connect 클라우드 동기화의 실수로 인한 삭제 방지 기능과 관련이 없습니다. 이는 Microsoft Entra Connect의 Microsoft Entra 디렉터리에 설정된 실수로 인한 삭제 방지 기능에 의해 실행됩니다. 기능을 전환할 수 있는 Microsoft Entra Connect 서버가 설치되어 있지 않은 경우 Microsoft Entra Connect 클라우드 동기화 에이전트와 함께 설치된 "AADCloudSyncTools" PowerShell 모듈을 사용하여 테넌트의 설정을 사용하지 않고 차단된 삭제를 예상하여 허용해야 하는지 확인한 후 내보내기를 허용할 수 있습니다. 다음 명령을 사용합니다.

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "340ab039-c6b1-48a5-9ba7-28fe88f83980"

다음 프로비저닝 주기 동안 삭제로 표시된 개체를 Microsoft Entra 디렉터리에서 삭제해야 합니다.

프로비저닝 격리 문제

클라우드 동기화는 구성의 상태를 모니터링하고 비정상 개체를 격리 상태에 배치합니다. 오류(예: 잘못된 관리자 자격 증명)로 인해 대상 시스템에 대해 수행된 대부분 또는 모든 호출이 일관되게 실패하는 경우 동기화 작업은 격리 상태로 표시됩니다.

격리 상태를 보여 주는 스크린샷

상태를 선택하여 격리에 대한 추가 정보를 볼 수 있습니다. 오류 코드 및 메시지를 가져올 수도 있습니다.

격리에 대한 추가 정보를 보여 주는 스크린샷.

상태를 마우스 오른쪽 단추로 클릭하면 추가 옵션이 표시됩니다.

  • 프로비저닝 로그를 봅니다.
  • 에이전트를 봅니다.
  • 격리를 지웁니다.

오른쪽 클릭 메뉴 옵션을 보여 주는 스크린샷.

격리 해결

격리를 해결하는 두 가지 다른 방법이 있습니다. 격리를 지우거나 프로비전 작업을 다시 시작할 수 있습니다.

격리 지우기

워터마크를 지우고 프로비전 작업에서 델타 동기화를 실행하려면 상태를 마우스 오른쪽 단추로 클릭하고 격리 지우기를 선택합니다.

격리가 해제되고 있다는 알림이 표시되어야 합니다.

격리가 지워진다는 알림을 보여 주는 스크린샷.

그러면 에이전트의 상태가 정상으로 표시되어야 합니다.

에이전트 상태가 정상임을 보여 주는 스크린샷

프로비저닝 작업 다시 시작

포털을 사용하여 프로비전 작업을 다시 시작합니다. 에이전트 구성 페이지에서 동기화 다시 시작을 선택합니다.

에이전트 구성 페이지의 옵션을 보여 주는 스크린샷

또는 Microsoft Graph를 사용하여 프로비전 작업을 다시 시작할 수 있습니다. 다시 시작하는 작업을 완전히 제어할 수 있습니다. 다음을 지우도록 선택할 수 있습니다.

  • 에스크로: 격리 상태에 도달할 때까지 누적되는 에스크로 카운터를 다시 시작하려는 경우.
  • 격리: 격리에서 애플리케이션을 제거하려는 경우.
  • 워터마크.

다음 요청을 사용합니다.

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

클라우드 동기화 서비스 계정 복구

클라우드 동기화 서비스 계정을 복구해야 하는 경우 Repair-AADCloudSyncToolsAccount 명령을 사용할 수 있습니다.

  1. AADCloudSyncTools PowerShell 모듈을 설치합니다.

  2. 관리자 권한으로 Windows PowerShell 세션에서 다음을 입력하거나 복사하여 붙여넣습니다.

    Connect-AADCloudSyncTools

  3. Microsoft Entra 전역 관리자 자격 증명을 입력합니다.

  4. 다음을 입력하거나 복사하여 붙여넣습니다.

    Repair-AADCloudSyncToolsAccount

  5. 이 작업이 완료되면 계정이 성공적으로 복구된 것입니다.

비밀번호 쓰기 저장

클라우드 동기화에서 비밀번호 쓰기 저장을 활성화하고 사용하려면 다음 사항에 유의하세요.

  • gMSA 권한을 업데이트해야 하는 경우 이러한 권한으로 디렉터리의 모든 개체를 복제하는 데 한 시간 이상 걸릴 수 있습니다. 이러한 권한을 할당하지 않으면 쓰기 저장이 올바르게 구성된 것처럼 표시되지만 사용자가 클라우드에서 온-프레미스 암호를 업데이트할 때 오류가 발생할 수 있습니다. 만료되지 않은 암호가 표시되도록 하려면 이 개체 및 모든 하위 개체에 사용 권한을 적용해야 합니다.
  • 일부 사용자 계정의 암호가 온-프레미스 디렉터리에 다시 기록되지 않는 경우 온-프레미스 AD DS(Active Directory Domain Services) 환경의 계정에 대해 상속이 비활성화되어 있지 않은지 확인합니다. 기능이 제대로 작동하려면 암호에 대한 쓰기 권한을 하위 개체에 적용해야 합니다.
  • 온-프레미스 AD DS 환경의 암호 정책에 따라 암호 재설정이 올바르게 처리되지 않을 수 있습니다. 이 기능을 테스트하고 사용자 암호를 하루에 두 번 이상 다시 설정하려면 최소 암호 사용 기간에 대한 그룹 정책을 0으로 설정해야 합니다. 이 설정은 다음 위치(gpmc.msc 내의 컴퓨터 구성>정책>Windows 설정>보안 설정>계정 정책)에서 찾을 수 있습니다.
    • 그룹 정책을 업데이트하는 경우 업데이트된 정책이 복제될 때까지 기다리거나 gpupdate /force 명령을 사용합니다.
    • 암호를 즉시 변경하려면 최소 암호 사용 기간을 0으로 설정해야 합니다. 그러나 사용자가 온-프레미스 정책을 준수하고 최소 암호 사용 기간을 0보다 큰 값으로 설정한 경우 온-프레미스 정책이 평가되면 비밀번호 쓰기 저장이 작동하지 않습니다.

다음 단계