다음을 통해 공유

클라우드 동기화 문제 해결

  • 아티클

클라우드 동기화에는 다양한 종속성 및 상호 작용이 있어 다양한 문제가 발생할 수 있습니다. 이 문서는 이러한 문제를 해결하는 데 도움이 됩니다. 이 문서에서는 사용자가 집중할 수 있는 일반적인 영역, 추가 정보를 수집하는 방법 및 문제를 추적하는 데 사용할 수 있는 다양한 기술을 소개합니다.

에이전트 문제

에이전트 문제를 해결할 때 에이전트가 올바르게 설치되어 있고 Microsoft Entra ID와 통신하고 있는지 확인합니다. 특히 에이전트로 확인하려는 첫 번째 항목 중 일부는 다음과 같습니다.

  • 설치되어 있나요?
  • 에이전트가 로컬에서 실행되고 있나요?
  • 포털에 에이전트가 있나요?
  • 에이전트가 정상으로 표시되어 있나요?

포털 및 에이전트를 실행하는 로컬 서버에서 이러한 항목을 확인할 수 있습니다.

Microsoft Entra 관리 센터 에이전트 확인

Azure에서 에이전트를 검색하고 에이전트가 정상인지 확인하려면 다음 단계를 수행합니다.

  1. Microsoft Entra 관리 센터에 최소한 하이브리드 관리자로 로그인하세요.
  2. Microsoft Entra Connect>Cloud 동기화으로 이동하여 Identity>하이브리드 관리>을(를) 찾아보세요. 클라우드 동기화 홈 페이지의 스크린샷
  1. 클라우드 동기화을 선택합니다.
  2. 설치한 에이전트를 확인하세요. 해당 에이전트가 있는지 확인합니다. 모두 잘되면 에이전트에 대한 활성(녹색) 상태가 표시됩니다.

필요한 열린 포트 확인

Microsoft Entra 프로비저닝 에이전트가 Azure 데이터 센터와 성공적으로 통신할 수 있는지 확인합니다. 경로에 방화벽이 있는 경우 아웃바운드 트래픽에 대한 다음 포트가 열려 있는지 확인합니다.

포트 번호 사용 방법
80 TLS/SSL 인증서의 유효성을 검사하는 동안 CRL(인증서 해지 목록)을 다운로드합니다.
443 애플리케이션 프록시 서비스와의 모든 아웃바운드 통신 처리

방화벽이 원래 사용자에 따라 트래픽을 적용하는 경우 네트워크 서비스로 실행되는 Windows 서비스의 트래픽에 대해 포트 80 및 443도 엽니다.

URL에 대한 액세스 허용

다음 URL에 대한 액세스를 허용합니다.

URL 항구 사용 방법
*.msappproxy.net
*.servicebus.windows.net		 443/HTTPS 커넥터와 애플리케이션 프록시 클라우드 서비스 간의 통신
crl3.digicert.com
crl4.digicert.com
ocsp.digicert.com
crl.microsoft.com
oneocsp.microsoft.com
ocsp.msocsp.com
 80/HTTP 커넥터는 이러한 URL을 사용하여 인증서를 확인합니다.
login.windows.net
secure.aadcdn.microsoftonline-p.com
*.microsoftonline.com
*.microsoftonline-p.com
*.msauth.net
*.msauthimages.net
*.msecnd.net
*.msftauth.net
*.msftauthimages.net
*.phonefactor.net
enterpriseregistration.windows.net
management.azure.com
policykeyservice.dc.ad.msft.net
ctldl.windowsupdate.com
www.microsoft.com/pkiops		 443/HTTPS 커넥터는 등록 프로세스 중에 이러한 URL을 사용합니다.
ctldl.windowsupdate.com 80/HTTP 커넥터는 등록 프로세스 중에 이 URL을 사용합니다.

방화벽 또는 프록시에서 도메인 접미사를 기반으로 액세스 규칙을 구성할 수 있는 경우 *.msappproxy.net, *.servicebus.windows.net및 기타 이전 URL에 대한 연결을 허용할 수 있습니다. 그렇지 않은 경우 Azure IP 범위 및 서비스 태그(퍼블릭 클라우드)에 대한 액세스를 허용해야 합니다. IP 범위는 매주 업데이트됩니다.

중요하다

Microsoft Entra 프라이빗 네트워크 커넥터와 Microsoft Entra 애플리케이션 프록시 클라우드 서비스 간의 아웃바운드 TLS 통신에서 모든 형태의 인라인 검사 및 종료를 방지합니다.

Microsoft Entra 애플리케이션 프록시 엔드포인트에 대한 DNS 이름 확인

Microsoft Entra 애플리케이션 프록시 엔드포인트에 대한 공용 DNS 레코드는 A 레코드를 가리키는 연결된 CNAME 레코드입니다. 이렇게 하면 내결함성과 유연성이 보장됩니다. Microsoft Entra 프라이빗 네트워크 커넥터는 항상 도메인 접미사 *.msappproxy.net 또는 *.servicebus.windows.net사용하여 호스트 이름에 액세스합니다.

그러나 이름 확인 중에 CNAME 레코드에는 호스트 이름과 접미사가 다른 DNS 레코드가 포함될 수 있습니다. 따라서 디바이스가 체인의 모든 레코드를 확인할 수 있고 확인된 IP 주소에 대한 연결을 허용하는지 확인해야 합니다. 체인의 DNS 레코드는 때때로 변경될 수 있으므로 목록 DNS 레코드를 제공할 수 없습니다.

로컬 서버에서

에이전트가 실행 중인지 확인하려면 다음 단계를 수행합니다.

  1. 에이전트가 설치된 서버에서 Services엽니다. 시작>>Services.msc실행으로 이동하여 이 작업을 수행합니다.

  2. Services에서 Microsoft Entra Connect Agent UpdaterMicrosoft Entra Provisioning Agent 가 있는지 확인하세요. 또한 그들의 상태가 실행 중인지 확인합니다.

    로컬 서비스 및 해당 상태의 스크린샷

일반적인 에이전트 설치 문제

다음 섹션에서는 몇 가지 일반적인 에이전트 설치 문제와 이러한 문제의 일반적인 해결에 대해 설명합니다.

에이전트를 시작하지 못했습니다.

다음과 같은 오류 메시지가 표시될 수 있습니다.

'Microsoft Entra Provisioning Agent' 서비스를 시작하지 못했습니다. 시스템 서비스를 시작하기에 충분한 권한이 있는지 확인합니다.

이 문제는 일반적으로 그룹 정책에 의해 발생합니다. 이 정책으로 인해 설치 관리자(NT SERVICE\AADConnectProvisioningAgent)에서 만든 로컬 NT Service 로그인 계정에 사용 권한이 적용되지 않습니다. 서비스를 시작하려면 이러한 권한이 필요합니다.

이 문제를 해결하려면 다음 단계를 수행합니다.

  1. 관리자 계정으로 서버에 로그인합니다.

  2. 시작 >>Services.msc실행을이동하여 Services 엽니다.

  3. Services에서 Microsoft Entra Provisioning Agent을(를) 두 번 클릭합니다.

  4. 로그온 탭에서 이 계정을 도메인 관리자로 변경합니다. 그런 다음 서비스를 다시 시작하십시오.

    로그온 탭에서 사용할 수 있는 옵션을 보여 주는 스크린샷.

에이전트 시간이 초과되었거나 인증서가 유효하지 않습니다.

에이전트를 등록하려고 할 때 다음 오류 메시지가 표시될 수 있습니다.

시간 제한 오류 메시지를 보여 주는 스크린샷

이 문제는 일반적으로 에이전트가 하이브리드 ID 서비스에 연결할 수 없기 때문에 발생합니다. 이 문제를 해결하려면 아웃바운드 프록시를 구성합니다.

프로비전 에이전트는 아웃바운드 프록시 사용을 지원합니다. 다음 에이전트 .config 파일을 편집하여 구성할 수 있습니다. C:\Program Files\Microsoft Azure AD Connect Provisioning Agent\AADConnectProvisioningAgent.exe.config.

닫는 </configuration> 태그 바로 앞의 파일 끝 부분에 다음 줄을 추가합니다. [proxy-server] 변수와 [proxy-port] 프록시 서버 이름 및 포트 값으로 바꿉니다.

    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
                usesystemdefault="true"
                proxyaddress="http://[proxy-server]:[proxy-port]"
                bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

보안 오류로 에이전트 등록 실패

클라우드 프로비저닝 에이전트를 설치할 때 오류 메시지가 표시될 수 있습니다. 이 문제는 일반적으로 로컬 PowerShell 실행 정책으로 인해 에이전트가 PowerShell 등록 스크립트를 실행할 수 없기 때문에 발생합니다.

이 문제를 해결하려면 서버에서 PowerShell 실행 정책을 변경합니다. 컴퓨터 및 사용자 정책을 Undefined 또는 RemoteSigned설정해야 합니다. Unrestricted설정되면 이 오류가 표시됩니다. 자세한 내용은 PowerShell 실행 정책참조하세요.

로그 파일

기본적으로 에이전트는 최소한의 오류 메시지와 스택 추적 정보를 내보낸다. 다음 폴더에서 이러한 추적 로그를 찾을 수 있습니다. C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace.

에이전트 관련 문제 해결에 대한 추가 세부 정보를 수집하려면 다음 단계를 수행합니다.

  1. AADCloudSyncTools PowerShell 모듈설치합니다.
  2. Export-AADCloudSyncToolsLogs PowerShell cmdlet을 사용하여 정보를 캡처합니다. 다음 옵션을 사용하여 데이터 수집을 미세 조정할 수 있습니다.
    • 자세한 로그를 캡처하지 않고 현재 로그만 내보내도록 SkipVerboseTrace(기본값 = false).
    • 다른 캡처 기간을 지정하는 TracingDurationMins(기본값 = 3분).
    • 다른 출력 경로(기본값 = 사용자의 문서 폴더)를 지정하는 OutputPath.

개체 동기화 문제

포털에서 프로비전 로그를 사용하여 개체 동기화 문제를 추적하고 해결하는 데 도움이 될 수 있습니다. 로그를 보려면 로그을 선택합니다.

로그 단추를 보여 주는 스크린샷

프로비전 로그는 온-프레미스 Active Directory 환경과 Azure 간에 동기화되는 개체의 상태에 대한 풍부한 정보를 제공합니다.

로그 프로비저닝에 대한 정보를 보여 주는 스크린샷

보기를 필터링하여 날짜와 같은 특정 문제에 집중할 수 있습니다. Active Directory ObjectGuid사용하여 Active Directory 개체와 관련된 활동에 대한 로그를 검색할 수도 있습니다. 개별 이벤트를 두 번 클릭하여 추가 정보를 확인합니다.

프로비저닝 로그 드롭다운 목록 정보를 보여 주는 스크린샷

이 정보는 자세한 단계와 동기화 문제가 발생하는 위치를 제공합니다. 이러한 방식으로 문제의 정확한 지점을 정확히 파악할 수 있습니다.

건너뛴 항목

Active Directory에서 사용자 및 그룹을 동기화한 경우 Microsoft Entra ID에서 하나 이상의 그룹을 찾을 수 없습니다. 이는 동기화가 아직 완료되지 않았거나 Active Directory에서 개체 만들기를 아직 따라잡지 못했거나, Microsoft Entra ID에서 생성되는 개체를 차단하는 동기화 오류 또는 개체를 제외한 동기화 규칙 범위 지정 규칙이 적용될 수 있기 때문일 수 있습니다.

동기화를 다시 시작한 다음 프로비저닝 주기가 완료되면 프로비저닝 로그에서 해당 개체의 Active Directory ObjectGuid사용하여 개체와 관련된 활동을 검색합니다. 원본 ID와 Skipped 상태만 포함하는 ID가 있는 이벤트가 로그에 있는 경우 에이전트가 범위를 벗어났기 때문에 Active Directory 개체를 필터링했음을 나타낼 수 있습니다.

기본적으로 범위 지정 규칙은 다음 개체가 Microsoft Entra ID와 동기화되지 않도록 제외합니다.

  • IsCriticalSystemObject 값이 TRUE로 설정된 사용자, 그룹 및 연락처와 Active Directory의 많은 기본 제공 사용자 및 그룹을 포함하여
  • 복제 피해자 개체

동기화 스키마 추가 제한 사항이 있을 수 있습니다.

Microsoft Entra 개체 삭제 임계값

동일한 Microsoft Entra 테넌트로 내보내는 Microsoft Entra Connect 및 Microsoft Entra Cloud Sync 구현 토폴로지를 사용하거나 Microsoft Entra Connect를 사용하여 Microsoft Entra Cloud Sync로 완전히 이동한 경우 정의된 범위에서 여러 개체를 삭제하거나 이동할 때 다음 내보내기 오류 메시지가 표시될 수 있습니다.

내보내기 오류를 보여 주는 스크린샷

이 오류는 Microsoft Entra Connect 클라우드 동기화의 실수로 인한 삭제 방지 기능 관련이 없습니다. Microsoft Entra Connect의 Microsoft Entra 디렉터리에 설정된 실수로 인한 삭제 방지 기능 트리거됩니다. 기능을 전환할 수 있는 Microsoft Entra Connect 서버가 설치되어 있지 않은 경우 Microsoft Entra Connect 클라우드 동기화 에이전트와 함께 설치된 "AADCloudSyncTools" PowerShell 모듈을 사용하여 테넌트에서 설정을 사용하지 않도록 설정하고 차단된 삭제가 예상되는지 확인한 후 내보내도록 허용할 수 있습니다. 다음 명령을 사용합니다.

Disable-AADCloudSyncToolsDirSyncAccidentalDeletionPrevention -tenantId "aaaabbbb-0000-cccc-1111-dddd2222eeee"

다음 프로비저닝 주기 동안 삭제로 표시된 개체를 Microsoft Entra 디렉터리에서 삭제해야 합니다.

격리된 문제를 프로비저닝하기

클라우드 동기화는 구성 상태를 모니터링하고 비정상 개체를 격리 상태로 만듭니다. 오류(예: 잘못된 관리자 자격 증명)로 인해 대상 시스템에 대한 호출의 대부분 또는 전부가 일관되게 실패하는 경우 동기화 작업은 격리로 표시됩니다.

격리 상태를 보여 주는 스크린샷

상태를 선택하면 격리에 대한 추가 정보를 볼 수 있습니다. 오류 코드와 메시지를 가져올 수도 있습니다.

격리에 대한 추가 정보를 보여 주는 스크린샷

상태를 마우스 오른쪽 단추로 클릭하면 다음과 같은 추가 옵션이 표시됩니다.

  • 프로비저닝 로그를 봅니다.
  • 에이전트들을 보세요.
  • 격리를 지웁다.

오른쪽 클릭 메뉴 옵션을 보여 주는 스크린샷

격리를 해제하다

격리를 해결하는 방법에는 두 가지가 있습니다. 격리를 지우거나 프로비전 작업을 다시 시작할 수 있습니다.

격리 해제하기

워터마크를 지운 후 프로비전 작업에서 델타 동기화를 실행하려면, 상태를 마우스 오른쪽 버튼으로 클릭하고 격리 해제를 선택하면 됩니다.

격리가 해제되는 알림을 보게 될 것입니다.

격리가 지워지는 알림을 보여 주는 스크린샷

그러면 에이전트의 상태가 정상으로 표시됩니다.

에이전트 상태가 정상임을 보여 주는 스크린샷

프로비저닝 작업 다시 시작

포털을 사용하여 프로비전 작업을 다시 시작합니다. 에이전트 구성 페이지에서 동기화 다시 시작을 선택합니다.

에이전트 구성 페이지의 옵션을 보여 주는 스크린샷

또는 Microsoft Graph를 사용하여 프로비저닝 작업 다시 시작할 수 있습니다. 다시 시작하는 항목을 완전히 제어할 수 있습니다. 다음 항목을 삭제할 수 있습니다.

  • 에스크로를 사용하여 격리 상태로 발생하는 에스크로 카운터를 다시 시작합니다.
  • 애플리케이션을 격리에서 제거하려면, 격리 해제합니다.
  • 워터마크.

다음 요청을 사용합니다.

POST /servicePrincipals/{id}/synchronization/jobs/{jobId}/restart

클라우드 동기화 서비스 계정 복구

클라우드 동기화 서비스 계정을 복구해야 하는 경우 Repair-AADCloudSyncToolsAccount 명령을 사용할 수 있습니다.

  1. AADCloudSyncTools PowerShell 모듈설치합니다.

  2. 관리자 권한이 있는 PowerShell 세션에서 다음을 입력하거나 복사하여 붙여넣습니다.

    Connect-AADCloudSyncTools

  3. Microsoft Entra 전역 관리자 자격 증명을 입력합니다.

  4. 다음을 입력하거나 복사하여 붙여넣습니다.

    Repair-AADCloudSyncToolsAccount

  5. 이 작업이 완료되면 계정이 성공적으로 복구되었다고 말해야 합니다.

비밀번호 되쓰기

클라우드 동기화에서 비밀번호 쓰기 저장을 사용하도록 설정하고 사용하려면 다음 사항에 유의하세요.

  • gMSA 권한을 업데이트해야 하는 경우 이러한 권한이 디렉터리의 모든 개체에 복제되는 데 1시간 이상이 걸릴 수 있습니다. 이러한 권한을 할당하지 않으면 쓰기 저장이 올바르게 구성된 것처럼 보일 수 있지만 사용자는 클라우드에서 온-프레미스 암호를 업데이트할 때 오류가 발생할 수 있습니다. 권한은 이 개체와 모든 하위 개체에 적용되어야암호 만료 해제가 표시됩니다.
  • 일부 사용자 계정의 암호가 온-프레미스 디렉터리에 기록되지 않는 경우, 온-프레미스 Active Directory Domain Services (AD DS) 환경에서 계정의 상속이 비활성화되지 않았는지 확인하세요. 기능이 제대로 작동하려면 암호에 대한 쓰기 권한을 하위 개체에 적용해야 합니다.
  • 온-프레미스 AD DS 환경의 암호 정책으로 인해 암호 재설정이 올바르게 처리되지 않을 수 있습니다. 이 기능을 테스트하고 사용자의 암호를 하루에 두 번 이상 재설정하려는 경우 최소 암호 사용 기간의 그룹 정책을 0으로 설정해야 합니다. 컴퓨터 구성>정책>Windows 설정>보안 설정>계정 정책gpmc.msc내에서 이 설정을 찾을 수 있습니다.
    • 그룹 정책을 업데이트하는 경우 업데이트된 정책이 복제되기를 기다리거나 gpupdate /force 명령을 사용합니다.
    • 암호를 즉시 변경하려면 최소 암호 사용 기간을 0으로 설정해야 합니다. 그러나 사용자가 온-프레미스 정책을 준수하고 최소 암호 사용 기간이 0보다 큰 값으로 설정된 경우 온-프레미스 정책을 평가한 후에는 비밀번호 쓰기 저장이 작동하지 않습니다.

다음 단계