개인 네트워크 커넥터 설치 문제 해결
Microsoft Entra 개인 네트워크 커넥터는 아웃바운드 연결을 사용하여 사용 가능한 클라우드 엔드포인트에서 내부 도메인으로의 연결을 설정하는 내부 도메인 구성 요소입니다. 커넥터는 Microsoft Entra Private Access 및 Microsoft Entra 애플리케이션 프록시 모두에 사용됩니다.
커넥터 설치에 대한 일반적인 문제 영역
커넥터 설치가 실패한 경우 근본 원인은 대개 다음 영역 중 하나입니다. 문제 해결 전에 커넥터를 다시 부팅해야 합니다.
- 연결 – 성공적인 설치를 완료하려면 새 커넥터를 등록하고 향후 트러스트 속성을 설정해야 합니다. 신뢰는 Microsoft Entra 애플리케이션 프록시 클라우드 서비스에 연결하여 설정됩니다.
- 트러스트 설정 – 새 커넥터는 자체 서명된 인증서를 만들고 클라우드 서비스에 등록합니다.
- 관리자 인증 – 설치 중 사용자가 커넥터 설치를 완료하려면 관리자 자격 증명을 제공해야 합니다.
참고 항목
커넥터 설치 로그는 %TEMP%
폴더에서 찾을 수 있으며 설치 오류의 원인이 되는 항목에 대한 추가 정보를 제공하는 데 유용할 수 있습니다.
클라우드 애플리케이션 프록시 서비스 및 Microsoft 로그인 페이지에 대한 연결 확인
목표: 커넥터 컴퓨터가 애플리케이션 프록시 등록 엔드포인트 및 Microsoft 로그인 페이지에 연결할 수 있는지 확인합니다.
커넥터 서버에서 텔넷 또는 기타 포트 테스트 도구를 사용하여 포트 443 및 80이 열려 있는지 확인하는 방식으로 포트 테스트를 실행합니다.
방화벽 또는 백 엔드 프록시가 필수 도메인 및 포트에 액세스할 수 있는지 확인합니다. 커넥터 구성을 참조하세요.
브라우저 탭을 열고 다음을 입력합니다.
https://login.microsoftonline.com
. 로그인할 수 있는지 확인합니다.
머신 및 백엔드 구성 요소 인증서 지원 확인
목표: 커넥터 컴퓨터, 백 엔드 프록시 및 방화벽이 커넥터에서 만들어진 인증서를 지원할 수 있는지 확인합니다. 또한 인증서가 유효한지 확인합니다.
참고 항목
커넥터는 TLS(전송 계층 보안) 1.2에서 지원되는 SHA512
인증서를 만들려고 합니다. 컴퓨터 또는 백 엔드 방화벽 및 프록시가 TLS1.2를 지원하지 않으면 설치가 실패합니다.
필요한 필수 구성 요소를 검토합니다.
컴퓨터가 TLS(전송 계층 보안) 1.2를 지원하는지 확인합니다. 2012 R2 이후의 모든 Windows 버전은 TLS 1.2를 지원해야 합니다. 커넥터 컴퓨터가 2012 R2 이하 버전인 경우 필수 업데이트가 설치되어 있는지 확인합니다.
네트워크 관리자에게 연락하여 백 엔드 프록시와 방화벽이
SHA512
나가는 트래픽을 차단하지 않는지 확인하도록 요청합니다.
클라이언트 인증서를 확인하려면
현재 클라이언트 인증서의 지문을 확인합니다. 인증서 저장소는 %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml
에서 찾을 수 있습니다.
<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<CloudProxyTrust>
<Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
<IsInUserStore>false</IsInUserStore>
</CloudProxyTrust>
</ConnectorTrustSettingsFile>
가능한 IsInUserStore 값은 true 및 false입니다. true 값은 인증서가 자동으로 갱신되어 네트워크 서비스의 사용자 인증서 저장소에 있는 개인 컨테이너에 저장된다는 의미입니다. false 값은 Register-MicrosoftEntraPrivateNetworkConnector
에서 시작한 설치 또는 등록 중에 클라이언트 인증서가 만들어졌음을 의미합니다. 인증서는 로컬 컴퓨터의 인증서 저장소에 있는 개인 컨테이너에 저장됩니다.
값이 true이면 다음 단계에 따라 인증서를 확인합니다.
- PsTools.zip을 다운로드합니다.
- 패키지에서 PsExec를 추출하고 관리자 권한 명령 프롬프트에서 psexec -i -u "nt authority\network service" cmd.exe를 실행합니다.
- 새로 나타난 명령 프롬프트에서 certmgr.msc를 실행합니다.
- 관리 콘솔에서 개인 컨테이너를 확장하고 인증서를 선택합니다.
- connectorregistrationca.msappproxy.net에서 발급한 인증서를 찾습니다.
값이 false인 경우 다음 단계에 따라 인증서를 확인합니다.
- certlm.msc를 실행합니다.
- 관리 콘솔에서 개인 컨테이너를 확장하고 인증서를 선택합니다.
- connectorregistrationca.msappproxy.net에서 발급한 인증서를 찾습니다.
클라이언트 인증서를 갱신하려면
커넥터가 몇 달 동안 서비스에 연결되지 않으면 해당 인증서가 오래되었을 수 있습니다. 인증서 갱신 오류가 발생하면 인증서가 만료됩니다. 인증서가 만료되면 커넥터 서비스 작동이 중지됩니다. 이벤트 1000은 커넥터의 관리자 로그에 기록됩니다.
Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.
이 경우 커넥터를 제거했다가 다시 설치하여 등록을 트리거하거나 다음 PowerShell 명령을 실행할 수 있습니다.
Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector
Register-MicrosoftEntraPrivateNetworkConnector
명령에 대해 자세히 알아보려면 Microsoft Entra 개인 네트워크 커넥터용 무인 설치 스크립트 만들기를 참조하세요.
관리자가 커넥터를 설치했는지 확인합니다.
목표: 커넥터를 설치하려고 하는 사용자가 올바른 자격 증명을 가진 관리자인지 확인합니다. 현재 설치가 성공하려면 사용자가 적어도 애플리케이션 관리자여야 합니다.
자격 증명이 올바른지 확인하려면:
https://login.microsoftonline.com
에 연결하고 동일한 자격 증명을 사용합니다. 로그인이 성공했는지 확인합니다. Microsoft Entra ID ->사용자 및 그룹 ->모든 사용자로 이동하여 사용자 역할을 확인할 수 있습니다.
사용자 계정을 선택한 다음 결과 메뉴에서 디렉터리 역할을 선택합니다. 선택한 역할이 애플리케이션 관리자인지 확인합니다. 이 단계를 따라 어떤 페이지에도 액세스할 수 없다면 필요한 역할이 없는 것입니다.
커넥터 오류
커넥터 마법사를 설치하는 동안 등록에 실패하는 경우 실패한 이유를 확인하는 두 가지 방법이 있습니다. Windows Logs\Application (filter by Source = "Microsoft Entra private network connector"
아래의 이벤트 로그를 살펴보거나 다음 Windows PowerShell 명령을 실행합니다.
Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1
이벤트 로그에서 커넥터 오류를 찾으면 일반적인 오류 테이블을 사용하여 문제를 해결합니다.
오류 | 권장되는 단계 |
---|---|
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' |
Microsoft Entra ID에 로그인하지 않고 등록 창을 닫은 경우, 커넥터 마법사를 다시 실행하여 커넥터를 등록합니다. 등록 창이 열렸다가 로그인을 허용하지 않고 즉시 닫히면 오류가 발생합니다. 시스템에 네트워킹 오류가 있을 때 오류가 발생합니다. 브라우저에서 공용 웹 사이트에 연결할 수 있는지, 포트가 커넥터 구성에 지정된 대로 열려 있는지 확인합니다. |
Clear error is presented in the registration window. Cannot proceed |
이 오류가 표시되고 창이 닫힌 경우 잘못된 사용자 이름 또는 암호를 입력했습니다. 다시 시도하세요. |
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. |
액세스하고자 하는 디렉터리의 조직 ID 일부인 도메인이 아닌 Microsoft 계정을 사용하여 로그인을 시도하고 있습니다. 관리자는 테넌트 도메인과 동일한 도메인 이름에 속해야 합니다. 예를 들어, Microsoft Entra 도메인이 contoso.com 인 경우 관리자는 admin@contoso.com 이어야 합니다. |
Failed to retrieve the current execution policy for running PowerShell scripts. |
커넥터 설치에 실패한다면 PowerShell 실행 정책이 사용하지 않도록 설정되어 있지 않은지 확인합니다. 1. 그룹 정책 편집기를 엽니다. 2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Windows PowerShell로 이동한 다음 스크립트 실행 켜기를 두 번 클릭합니다. 3. 실행 정책은 구성 안 함 또는 사용으로 설정될 수 있습니다. 사용으로 설정했다면 옵션에 있는 실행 정책을 로컬 스크립트 및 원격 서명된 스크립트 허용 또는 모든 스크립트 허용으로 설정했는지 확인합니다. |
Connector failed to download the configuration. |
인증에 사용되는 커넥터의 클라이언트 인증서가 만료되었습니다. 프록시 뒤에 커넥터가 설치되어 있는 경우 문제가 발생합니다. 이 경우 커넥터는 인터넷에 액세스할 수 없으며 원격 사용자에게 애플리케이션을 제공할 수 없습니다. Register-MicrosoftEntraPrivateNetworkConnector Windows PowerShell에서 cmdlet을 사용하여 트러스트를 수동으로 갱신합니다. 커넥터가 프록시 뒤에 있는 경우 커넥터 계정 network services 및 local system 에 인터넷 액세스 권한을 부여해야 합니다. 액세스 권한 부여는 프록시에 대한 액세스 권한을 부여하거나 프록시를 무시하여 수행됩니다. |
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' |
로그인하려는 별칭은 이 도메인의 관리자가 아닙니다. 커넥터는 항상 사용자의 도메인을 소유하는 디렉터리에 대해 설치됩니다. 로그인하려는 관리자 계정에 최소한 Microsoft Entra 테넌트에 대한 애플리케이션 관리자 권한이 있는지 확인합니다. |
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. |
커넥터가 애플리케이션 프록시 클라우드 서비스에 연결할 수 없습니다. 연결을 차단하는 방화벽 규칙이 있는 경우 문제가 발생합니다. 커넥터 구성에 나열된 올바른 포트 및 URL에 대한 액세스를 허용합니다. |
커넥터 문제에 대한 순서도
이 순서도는 일반적인 몇 가지 커넥터 문제를 디버깅하는 단계를 안내합니다. 각 단계에 대한 세부 정보는 순서도 다음에 나오는 표를 참조하세요.
단계 | 작업 | 설명 |
---|---|---|
1 | 앱에 할당된 커넥터 그룹 찾기 | 여러 서버에 커넥터를 설치했을 수 있습니다. 이 경우 커넥터는 커넥터 그룹에 할당되어야 합니다. 커넥터 그룹에 대해 자세히 알아보려면 Microsoft Entra 개인 네트워크 커넥터 그룹 이해를 참조하세요. |
2 | 커넥터 설치 및 그룹 할당 | 커넥터가 설치되어 있지 않으면 커넥터 구성을 참조하세요. 커넥터가 그룹에 할당되지 않은 경우 그룹에 커넥터 할당을 참조하세요. 애플리케이션이 커넥터 그룹에 할당되지 않은 경우 커넥터 그룹에 애플리케이션 할당을 참조하세요. |
3 | 커넥터 서버에서 포트 테스트 실행 | 커넥터 서버에서 telnet 또는 기타 포트 테스트 도구를 사용해 포트 테스트를 실행하여 포트가 올바르게 구성되었는지 확인합니다. 자세한 내용은 커넥터 구성을 참조하세요. |
4 | 도메인 및 포트 구성 | 커넥터에 대한 커넥터를 구성합니다. 특정 포트가 열려 있어야 하며 서버가 액세스할 수 있어야 하는 URL이 있어야 합니다. 자세한 내용은 커넥터 구성을 참조하세요. |
5 | 백 엔드 프록시가 사용 중인지 확인 | 커넥터에서 백 엔드 프록시 서버를 사용하고 있는지 또는 우회하는지 확인합니다. 자세한 내용은 커넥터 프록시 및 서비스 연결 문제 해결을 참조하세요. |
6 | 백 엔드 프록시 정보로 커넥터 및 업데이트 프로그램 설정 업데이트 | 백 엔드 프록시를 사용 중인 경우 커넥터가 동일한 프록시를 사용하고 있는지 확인합니다. 프록시 서버를 사용하도록 커넥터를 구성하고 문제를 해결하는 방법에 대한 자세한 내용은 기존 온-프레미스 프록시 서버 작업을 참조하세요. |
7 | 커넥터 서버에서 앱의 내부 URL 로드 | 커넥터 서버에서 앱의 내부 URL을 로드합니다. |
8 | 내부 네트워크 연결 확인 | 내부 네트워크에 이 디버깅 흐름이 진단할 수 없는 연결 문제가 있습니다. 커넥터가 작동하려면 애플리케이션이 내부적으로 액세스할 수 있어야 합니다. 개인 네트워크 커넥터에 설명된 대로 커넥터 이벤트 로그를 사용하도록 설정하고 볼 수 있습니다. |
9 | 백 엔드에서 시간 제한 값 증가 | 애플리케이션에 대한 추가 설정에서 백 엔드 애플리케이션 시간 제한 설정을 장기로 변경합니다. Microsoft Entra ID에 온-프레미스 앱 추가를 참조하세요. |
10 | 문제가 지속되면 애플리케이션을 디버그합니다. | 애플리케이션 프록시 디버그 애플리케이션 문제 |
자주 묻는 질문
커넥터가 여전히 이전 버전을 사용하고 있으며 최신 버전으로 자동 업그레이드되지 않는 이유는 무엇인가요?
이 문제는 업데이트 프로그램 서비스가 올바르게 작동하지 않거나 서비스에서 설치할 수 있는 새 업데이트가 없는 경우에 발생할 수 있습니다.
업데이트 프로그램 서비스가 실행 중이고 이벤트 로그(애플리케이션 및 서비스 로그 -> Microsoft -> Microsoft Entra 개인 네트워크 -> 업데이트 프로그램 -> 관리)에 기록된 오류가 없으면 정상입니다.
Important
주 버전만 자동 업그레이드용으로 릴리스됩니다. 필요한 경우에만 커넥터를 수동으로 업데이트하는 것이 좋습니다. 예를 들어, 단지 알려진 문제를 해결해야 하거나 새 기능을 사용하기 위해 주 릴리스를 기다릴 수는 없습니다. 새 릴리스, 릴리스 형식(다운로드, 자동 업그레이드), 버그 수정 및 새로운 기능에 대한 자세한 내용은 Microsoft Entra 개인 네트워크 커넥터: 버전 릴리스 내역을 참조하세요.
커넥터를 수동으로 업그레이드하려면
- 최신 버전의 커넥터를 다운로드합니다. (Microsoft Entra 관리 센터의 전역 보안 액세스>연결>커넥터에서 찾습니다.)
- 설치 프로그램이 Microsoft Entra 개인 네트워크 커넥터 서비스를 다시 시작합니다. 일부 경우에는 설치 관리자가 모든 파일을 바꿀 수 없는 경우 서버를 다시 부팅해야 할 수 있습니다. 따라서 업그레이드를 시작하기 전에 모든 애플리케이션을 닫는 것이 좋습니다(예: 이벤트 뷰어).
- 설치 관리자를 실행합니다. 업그레이드 프로세스는 빠르며 자격 증명을 제공할 필요가 없으며 커넥터가 다시 등록되지 않습니다.
개인 네트워크 커넥터 서비스는 기본 사용자 컨텍스트와 다른 사용자 컨텍스트에서 실행될 수 있나요?
아니요. 이 시나리오는 지원되지 않습니다. 기본 설정은 다음과 같습니다.
- Microsoft Entra 개인 네트워크 커넥터 - WAPCSvc - Network Service
- Microsoft Entra 개인 네트워크 커넥터 업데이트 프로그램 - WAPCUpdaterSvc - NT Authority\System
활성 관리자 역할 할당을 가진 게스트 사용자가 (게스트) 테넌트에 대한 커넥터를 등록할 수 있나요?
아니요. 현재는 가능하지 않습니다. 등록 시도는 항상 사용자의 홈 테넌트에서 수행됩니다.
백 엔드 애플리케이션은 여러 웹 서버에서 호스트되며 사용자 세션 지속성(연결 유지)이 필요합니다. 세션 지속성을 실현하려면 어떻게 해야 하나요?
권장 사항은 개인 네트워크 커넥터 및 애플리케이션의 고가용성 및 부하 분산을 참조하세요.
커넥터 서버에서 Azure로의 트래픽에 대한 TLS 종료(TLS/HTTPS 검사 또는 가속)가 지원되나요?
개인 네트워크 커넥터는 Azure에 대한 인증서 기반 인증을 수행합니다. TlS 종료(TLS/HTTPS 검사 또는 가속)는 이 인증 방법을 중단하며 지원되지 않습니다. 커넥터에서 Azure로의 트래픽은 TLS 종료를 수행하는 모든 디바이스를 무시해야 합니다.
모든 연결에 TLS 1.2가 필요한가요?
예. 고객에게 동급 최고의 암호화를 제공하기 위해 애플리케이션 프록시 서비스는 TLS 1.2 프로토콜에 대한 액세스만 제한합니다. 이러한 변경 내용은 2019년 8월 31일 이후에 점진적으로 롤아웃되고 유효합니다. TLS 1.2를 사용하여 애플리케이션 프록시 서비스에 대한 연결을 유지하도록 모든 클라이언트-서버 및 브라우저-서버 조합을 업데이트해야 합니다. 여기에는 사용자가 애플리케이션 프록시를 통해 게시된 애플리케이션에 액세스할 때 사용하는 클라이언트도 포함됩니다. Office 365의 TLS 1.2에서 유용한 참고 자료 및 리소스를 확인하세요.
커넥터 서버와 백 엔드 애플리케이션 서버 간에 전달 프록시 디바이스를 배치할 수 있나요?
예, 이 시나리오는 커넥터 버전 1.5.1526.0부터 지원됩니다. 기존 온-프레미스 프록시 서버 작업을 참조하세요.
Microsoft Entra 애플리케이션 프록시에 커넥터를 등록하려면 전용 계정을 만들어야 하나요?
전용 계정을 만들 이유가 없습니다. 애플리케이션 관리자 역할이 있는 모든 계정이 작동합니다. 설치 중에 입력한 자격 증명은 등록 프로세스 후에 사용되지 않습니다. 대신, 해당 지점에서의 인증에 사용되는 인증서가 커넥터에 발급됩니다.
Microsoft Entra 개인 네트워크 커넥터의 성능을 어떻게 모니터링할 수 있나요?
커넥터와 함께 설치되는 성능 모니터 카운터가 있습니다. 이 내용을 확인하려면 다음을 수행하십시오.
- 시작을 선택하고 "Perfmon"을 입력한 다음, Enter 키를 누릅니다.
- 성능 모니터를 선택하고 녹색 + 아이콘을 클릭합니다.
- 모니터링하려는 Microsoft Entra 개인 네트워크 커넥터 카운터를 추가합니다.
Microsoft Entra 개인 네트워크 커넥터는 리소스와 동일한 서브넷에 있어야 하나요?
커넥터가 동일한 서브넷에 있을 필요는 없습니다. 그러나 리소스에 대한 이름 확인(DNS, hosts 파일) 및 필요한 네트워크 연결(리소스에 대한 라우팅, 리소스에서 열린 포트 등)이 필요합니다. 권장 사항은 Microsoft Entra 애플리케이션 프록시 사용 시 네트워크 토폴로지 고려 사항을 참조하세요.
서버에서 커넥터를 제거한 후에도 Microsoft Entra 관리 센터에 커넥터가 계속 표시되는 이유는 무엇인가요?
커넥터가 실행 중인 경우 서비스에 연결됨에 따라 활성 상태가 유지됩니다. 제거된 커넥터 또는 미사용 커넥터는 비활성으로 태그가 지정되고 비활성 상태가 된 지 10일 후에 포털에서 제거됩니다. Microsoft Entra 관리 센터에서 비활성 커넥터를 수동으로 제거할 수 있는 방법은 없습니다.