Azure Active Directory 동기화 서비스 설치
업데이트: 2015년 7월 22일
중요
이 항목은 곧 보관될 예정입니다.
AADSync DirSync를 대체하는 "Azure Active Directory 커넥트"라는 새로운 제품이 있습니다.
Azure AD Connect는 이전에 DirSync 및 AAD 동기화로 릴리스된 구성 요소와 기능을 통합합니다.
미래의 어느 시점에서 Dirsync 및 AAD Sync 대한 지원이 종료됩니다.
이러한 도구는 더 이상 기능 향상으로 개별적으로 업데이트되지 않으며 향후 모든 개선 사항이 Azure AD 커넥트 업데이트에 포함됩니다.
이 항목에서는 환경에 Azure AD Sync를 설치하는 데 필요한 모든 정보를 설명합니다.
설치 요구 사항
이 섹션에서는 환경에 Azure AD Sync를 설치하는 데 충족해야 하는 요구 사항을 설명합니다.
Azure AD Sync를 사용하면 온-프레미스 Active Directory 도메인 서비스를 Azure AD 디렉터리와 통합할 수 있습니다.
따라서 온-프레미스 Active Directory 도메인 서비스뿐 아니라 Azure AD 디렉터리가 설치된 유효한 Azure 구독에도 액세스해야 합니다.
Azure AD Sync를 설치하려면 Windows Server 운영 체제를 실행 중인 컴퓨터가 필요합니다.
지원되는 버전은 다음과 같습니다.
Windows Server 2008
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
독립 실행형, 구성원 서버 또는 도메인 컨트롤러 컴퓨터를 사용할 수 있습니다.
다음 구성 요소를 설치해야 합니다.
.Net 4.5.1
PowerShell(PS3 이상 필요)
Azure AD Sync를 설치할 컴퓨터에서 로컬 관리자 권한이 있는 계정이 필요합니다.
Azure AD Sync를 사용하려면 ID 데이터를 저장할 SQL Server 데이터베이스가 필요합니다. 기본적으로 SQL Express LocalDB(SQL Server Express의 라이트 버전)가 설치되며 서비스에 대한 서비스 계정이 로컬 컴퓨터에 만들어집니다.
SQL Server Express에는 10GB 크기 제한이 있으므로 약 100.000개 개체를 관리할 수 있습니다.
더 많은 양의 디렉터리 개체를 관리해야 하는 경우 설치 프로세스에서 다른 버전의 SQL Server를 가리켜야 합니다.
AAD Sync는 SQL Server 2008에서 SQL Server 2014까지 모든 버전의 Microsoft SQL Server를 지원합니다.
시작하기 전에
Azure AD Sync를 설치하려면 먼저 다음 단계를 완료해야 합니다.
AD DS에 연결하기 위한 AD 계정 만들기
Azure AD에 연결하기 위한 계정 만들기
다음 섹션에 관련된 단계가 나옵니다.
AD DS에 연결하기 위한 AD 계정 만들기
Azure AD Sync를 구성하는 경우 Azure AD Sync에서 AD DS에 연결하는 데 사용하는 계정의 자격 증명을 제공해야 합니다.
일반 사용자 계정에는 기본 읽기 권한만 필요하므로 일반 계정은 사용할 수 있습니다.
다음 섹션에서는 AD DS 계정에 필요한 권한과 해당 계정이 액세스해야 하는 특성에 대한 추가 정보를 제공합니다.
암호 동기화에 대한 권한
사용자에 대해 온-프레미스 AD DS와 Azure Active Directory 간의 암호 동기화를 사용하도록 설정하려는 경우 Azure AD Sync가 AD DS에 연결하는 데 사용하는 계정에 다음 권한을 부여해야 합니다.
디렉터리 변경 내용 복제
모든 디렉터리 변경 내용 복제
계정이 온-프레미스 AD DS에서 암호 해시를 읽을 수 있도록 하려면 두 권한이 모두 필요합니다.
Office 365 Exchange 하이브리드 AAD 동기화는 특성과 사용 권한을 쓰기 저장합니다.
온-프레미스 Exchange 인프라 및 Office 365 간에 풍부한 공존이 이루어지려면(Exchange 하이브리드) Exchange 하이브리드 배포 옵션 기능을 선택하면 됩니다. 이 기능을 선택하면 AAD Sync에서 온-프레미스 환경에 특성을 쓰기 저장할 수 있습니다.
.jpg "Optional features")
다음 표에서는 쓰기 저장이 필요한 개체 유형별 특성을 보여 줍니다.
개체 형식 |
데이터 원본 특성 |
연락처 |
proxyAddresses |
그룹화 |
proxyAddresses |
User/InetOrgPerson |
msExchArchiveStatus |
msExchBlockedSendersHash |
|
msExchSafeRecipientsHash |
|
msExchSafeSendersHash |
|
msExchUCVoiceMailSettings |
|
msExchUserHoldPolicies |
|
proxyAddresses |
커넥트 Active Directory Domain Services 대화 상자 페이지에서 구성하는 계정에는 위의 특성에 대한 특정 권한이 있어야 합니다.
다음 표에서는 DSACLS 명명법을 사용하여 이 계정에 필요한 최소 사용 권한 집합을 보여 줍니다.
개체 형식 |
데이터 원본 특성 |
사용 권한/액세스 권한 |
상속 |
연락처 |
proxyAddresses |
쓰기 |
자식 개체만 |
그룹화 |
proxyAddresses |
쓰기 |
자식 개체만 |
User/InetOrgPerson |
msExchArchiveStatus |
쓰기 |
자식 개체만 |
msExchBlockedSendersHash |
쓰기 |
자식 개체만 |
|
msExchSafeRecipientsHash |
쓰기 |
자식 개체만 |
|
msExchSafeSendersHash |
쓰기 |
자식 개체만 |
|
msExchUCVoiceMailSettings |
쓰기 |
자식 개체만 |
|
msExchUserHoldPolicies |
쓰기 |
자식 개체만 |
|
proxyAddresses |
쓰기 |
자식 개체만 |
암호 쓰기 저장 및 암호 변경 권한
암호 쓰기 저장 기능은 클라우드에서 온-프레미스 암호를 재설정할 수 있는 편리한 방법을 제공합니다. Azure AD Sync의 구성 중에 옵션 기능으로 암호 쓰기 저장을 활성화할 수 있습니다.
Azure AD Sync에서 구성한 각 포리스트에 대해 마법사에서 지정한 계정에는 포리스트에 있는 각 도메인의 루트 개체에 대해 "암호 재설정"및"암호 변경" 확장 권한이 부여되어야 합니다. 오른쪽은 모든 사용자 개체에서 상속된 것으로 표시되어야 합니다.
구성한 각 계정의 사용 권한을 설정하려면 다음 절차를 따릅니다.
"암호 다시 설정" 및 "암호 변경" 확장 권한을 구성하는 방법
Active Directory 사용자 및 컴퓨터를 엽니다.
맨 위의 보기 아래에 고급 기능이 켜져 있는지 확인합니다.
왼쪽에서 루트 도메인을 마우스 오른쪽 단추로 클릭하고 속성을 선택합니다.
보안 탭을 선택하고 고급을 클릭합니다.
.png "Password Writeback 2")
사용 권한 탭에서 추가를 클릭합니다.
.png "Password Writeback 3")
사용자 선택을 클릭하고 설정 중에 지정된 계정을 선택합니다.
드롭다운에서 하위 사용자 개체를 선택합니다.
사용 권한 섹션에서 암호 다시 설정 및 암호 변경을 선택합니다.
.png "Password Writeback 4")
Ok를 클릭합니다. 적용을 클릭합니다. Ok를 클릭합니다.
Azure AD에 연결하기 위한 계정 만들기
Azure AD Sync를 구성하는 경우 Azure AD Sync에서 Azure AD에 연결하는 데 사용하는 계정의 자격 증명을 제공해야 합니다.
이 계정에 다음의 모범 사례를 적용해야 합니다.
Azure AD Sync에만 사용되는 별도의 계정을 만들어야 합니다.
16자로 이루어진 강력한 암호로 계정을 구성해야 합니다.
계정에 “암호 사용 기간 제한 없음” 플래그를 설정해야 합니다.
이 작업을 수행하려면 다음 PowerShell 스크립트 코드를 사용할 수 있습니다.set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True조직 내 역할이 선택되어 있으므로 계정에 전역 관리자 권한이 있어야 합니다.
.jpg "Role")
Azure AD Sync 설치 및 구성
다음 링크를 사용하여 최신 버전의 Azure AD Sync 다운로드할 수 있습니다.https://go.microsoft.com/fwlink/?LinkId=511690
설치 프로세스를 시작하려면 MicrosoftAzureADConnectionTool.exe라는 실행 파일을 시작합니다.
이 자동 압축 풀기 실행 파일은 필요한 파일을 모두 로컬 드라이브에 저장하고 설치 프로세스를 시작합니다.
설치 절차를 취소하는 경우 시작 메뉴와 바탕 화면에 바로 가기가 만들어집니다.
SQL Server나 서비스 계정의 도메인 계정을 사용해야 하는 경우 지금 마법사를 취소해야 합니다. 이 시점에는 설치 프로세스에서 Azure AD Sync 관련 파일을 포함하는 로컬 폴더가 이미 만들어졌습니다. 이 폴더의 내용이 있어야 매개 변수를 사용하여 설치 프로세스를 다시 실행할 수 있습니다.
설치 프로세스를 다시 실행하려면 다음 단계를 수행합니다.
명령 프롬프트를 열고 C:\Program Files\Microsoft Azure AD Connection Tool로 이동합니다.
다음 매개 변수를 사용하여 마법사를 다시 시작합니다.
DirectorySyncTool.exe /sqlserver localhost /sqlserverinstance InstanceName /serviceAccountDomain Azure AD Sync /serviceAccountName Azure AD SyncSvc /serviceAccountPassword VerySecretP@ssw0rd참고
기본 SQL 파티션을 사용하려면 이 매개 변수를 지정하지 마세요.
이제 설치 프로세스와 관련된 대화 상자 페이지를 완료할 준비가 되었습니다.
Azure AD Sync 도구를 설치하려면 다음 대화 상자 페이지를 완료해야 합니다.
설치
Azure Active Directory에 연결
Active Directory 도메인 서비스에 연결
사용자 일치 구성
선택적 기능
Azure AD 앱
Azure AD 특성
구성 준비
Finished
설치
.jpg "Welcome to Azure AD Sync")
설치 프로세스의 첫 단계로, 사용 약관에 동의하고 Azure AD Sync의 위치를 지정해야 합니다.
Azure Active Directory에 연결
Azure AD 디렉터리에 연결하려면 Azure AD Sync 도구에서 충분한 권한이 있는 계정의 자격 증명이 필요합니다.
.jpg "Connect to Azure AD")
자세한 내용은 Azure AD 연결할 계정 만들기를 참조하세요.
Active Directory 도메인 서비스에 연결
.jpg "Connect to AD DS")
Active Directory 도메인 서비스에 연결하려면 Azure AD Sync 도구에서 충분한 권한이 있는 계정의 자격 증명이 필요합니다.
자세한 내용은 AD DS에 연결할 AD 계정 만들기를 참조하세요.
사용자 일치 구성
.jpg "Uniquely identifying your users")
이 페이지에서는 다음을 구성해야 합니다.
Matching across forests(포리스트 간 일치)
Matching with Azure AD(Azure AD와 일치)
Matching across forests(포리스트 간 일치)
Matching across forests(포리스트 간 일치) 기능을 사용하면 ADDS 포리스트의 사용자가 Azure AD에 표시되는 방식을 정의할 수 있습니다.
사용자는 포리스트 전반에 걸쳐 한번만 표시할 수 있거나 활성화된 계정과 비활성화된 계정의 조합으로 이루어집니다.
설정 |
설명 |
My users are only represented once across all forests(내 사용자가 모든 포리스트에서 한 번만 표시됨) |
모든 사용자가 Azure AD에 개별 개체로 만들어집니다. 개체는 메타 버스에 연결되지 않습니다. |
메일 특성 |
메일 특성에 다른 포리스트의 동일한 값이 있는 경우 이 옵션은 사용자 및 연락처를 연결합니다. 연락처를 GALSync를 사용하여 만든 경우 이 옵션을 사용하는 것이 좋습니다. |
ObjectSID 및 msExchangeMasterAccountSID |
이 옵션은 계정 포리스트의 사용하도록 설정한 사용자를 Exchange 리소스 포리스트의 사용하지 않도록 설정한 사용자와 조인합니다. 이를 Exchange의 연결된 사서함이라고도 합니다. |
sAMAccountName 및 MailNickName |
이 옵션은 사용자의 로그인 ID를 찾을 수 있다고 예상되는 특성을 조인합니다. |
My own attribute(내 특성) |
이 옵션을 사용하면 고유한 특성을 선택할 수 있습니다. CTP의 제한 사항: 메타버스에 이미 존재하는 특성을 선택해야 합니다. 사용자 지정 특성을 선택하면 마법사를 완료할 수 없습니다. |
Matching with Azure AD(Azure AD와 일치)
이 옵션을 사용하여 ID 페더레이션에 사용할 특성을 지정할 수 있습니다. sourceAnchor 특성은 사용자 개체의 수명 동안 변경되지 않는 특성입니다. 계정이 포리스트 간에 이동되지 않는 단일 포리스트 환경에서는 objectGUID가 적합합니다. 사용자가 포리스트나 도메인 간에 이동하는 경우에는 대체 특성을 선택해야 합니다.
userPrincipalName 특성은 Azure AD에서 사용자의 로그인 ID입니다. 기본적으로 ADDS의 userPrincipalName 특성이 사용됩니다. 이 특성이 라우팅 가능하지 않거나 로그인 ID로 적합하지 않는 경우 설치 가이드에서 메일과 같은 다른 특성을 선택할 수 있습니다.
선택적 기능
Exchange 하이브리드 배포를 사용하는 경우 이 확인란을 선택합니다. 그러면 Exchange 온라인의 일부 특성이 온-프레미스 Active Directory에 쓰기 저장됩니다.
암호 쓰기 저장은 Azure Active Directory Premium 기능입니다. 이 구성 방법에 대한 자세한 내용은 다음을 참조 https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx하세요.
Azure AD와 동기화되는 특성을 검토하거나 제한하려면 Azure AD 앱 및 특성 필터링을 선택합니다. 그러면 마법사에서 두 페이지가 추가로 표시됩니다.
암호 동기화에 대한 자세한 내용은 Azure Active Directory 동기화를 사용하여 암호 동기화 구현을 참조하세요.
Azure AD 앱
.jpg "Azure AD apps")
Azure AD에 동기화되는 특성을 제한하려면 먼저 사용 중인 서비스를 선택합니다. 이 페이지를 구성하는 경우 설치 가이드를 다시 실행하여 새 서비스를 명시적으로 선택해야 합니다.
Azure AD 특성
.jpg "Azure AD attributes")
이전 단계에서 선택한 서비스를 기준으로 이 페이지에서 동기화될 특성이 모두 표시됩니다. 이 목록은 동기화된 모든 개체 형식의 조합입니다. 특정 특성을 동기화하지 않아야 하는 경우 선택 취소할 수 있습니다. 위 그림에서는 extensionAttributes 및 homePhone이 선택 취소되어 있으므로 Azure AD에 동기화되지 않습니다.
구성 준비
.jpg "Ready to configure")
이 페이지에서는 구성을 요약해서 보여 줍니다. 이 요약 정보를 신중히 살펴본 후에 다음 페이지로 진행해야 합니다.
"Microsoft Azure Active Directory 서비스와 통신할 수 없습니다." 오류를 나타내며 이 단계가 실패하고 프록시 서버를 구성한 경우 Azure AD Sync 컴퓨터의 "machine.config" 파일에 프록시 설정을 추가해야 합니다.
자세한 내용은 proxy> 요소(네트워크 설정)를 참조<하세요.
Finished
.jpg "Finished")
이제 기본 구성이 만들어졌습니다. 동기화를 시작할 준비가 되었으면 마침을 클릭합니다.
동기화를 시작하기 전에 몇 가지 추가 구성을 수행해야 하는 경우 지금 동기화를 선택 취소한 다음 마침을 클릭합니다. 그러면 작업 스케줄러에 사용하지 않도록 설정한 작업이 만들어집니다. 구성을 마치면 이 작업을 사용하도록 설정하여 주기적 동기화를 시작합니다.
참고 항목
개념
Azure Active Directory 동기화
Azure Active Directory 동기화 버전 릴리스 기록
Azure Active Directory 동기화로 암호 동기화 구현