SharePoint Server를 사용하여 Microsoft Identity Manager를 구현하기 위한 배포 고려 사항
적용 대상:
2013 
2016 2019 Subscription Edition SharePoint in Microsoft 365
SharePoint Server에서 MIM을 성공적으로 배포할 가능성을 높이려면 다음 권장 사항을 따르세요.
테스트 환경에서 프로덕션 환경으로의 마이그레이션 계획
계획하고 계획하고 좀 더 계획합니다. 이 단계는 아무리 강조해도 지나치지 않습니다. 실패한 동기화 대부분은 계획 부족 때문일 수 있습니다.
테스트 랩에서 MIM Synchronization Service를 적절히 설정하고 테스트 랩에서 프로덕션 환경으로의 마이그레이션을 신중하게 계획하는 과정은 배포 문제를 최소화하는 데 필수적입니다. 새 규칙을 테스트할 때 수천 개체를 처리하지 않도록 작은 테스트 환경을 사용하는 것이 좋습니다.
초기 테스트 환경 백업
MIM이 설치되고 관리 에이전트가 만들어지만 MIM 동기화 데이터베이스를 백업합니다. 그런 다음 백업 데이터베이스를 로드하여 언제든지 새로운 테스트 환경을 다시 만들 수 있습니다.
MIM에 대한 백업 및 복원 절차 테스트
정규 백업 절차는 실수로 데이터가 손실되지 않도록 하는 데 필수적입니다. 또한 비상 사태가 발생하기 전에 백업 및 복원 절차를 테스트하는 것이 좋습니다. MIM은 백업 및 복원하려면 Windows Server 2012 R2 운영 체제 및 SQL Server 2014와 함께 제공되는 백업 도구를 사용하세요.
MIM Synchronization Service 및 SQL Server를 같은 도메인에 설치
MIM 동기화 설정 중에 원격 데이터베이스 액세스는 설치 프로그램을 실행하는 데 사용하는 현재 로그온 계정의 액세스 권한에 따라 달라집니다. MIM을 호스트하는 Windows Server 2012 R2 운영 체제를 실행하는 서버와 SQL Server를 호스트하는 서버가 동일한 도메인에 있고 설치 프로그램을 실행하는 데 사용하는 계정에 SQL Server를 호스트하는 서버에 대한 액세스 권한이 있는지 확인합니다.
SQL Server가 원격 서버에 설치되어 있는 경우 액세스 권한 설정
원격 컴퓨터에서 SQL Server를 설치하는 경우, 즉 MIM을 실행하는 컴퓨터가 아닌 다른 컴퓨터에서 SQL Server 서비스 계정에 대한 정책이 네트워크에서 해당 컴퓨터에 사용자가 액세스하도록 허용하는지 확인합니다. 액세스가 허용되지 않으면 MIM 설정이 실패합니다.
중요
원격 컴퓨터에 SQL Server를 설치하고 원격 컴퓨터에 대한 네트워크 액세스를 허용하는 경우 MIM 설정에서 보안 경고가 표시됩니다. 이 시나리오에서는 경고를 무시해도 됩니다.
SQL Server를 실행하는 원격 서버에 대해 TCP/IP 포트 지정
MIM을 설치하는 동안 지정한 SQL Server 인스턴스가 원격 컴퓨터에 있으면 MIM 설치 중에 기본 TCP/IP 포트가 사용됩니다. 다른 포트를 지정하려면 SQL Server 함께 제공된 SQL Server 클라이언트 네트워크 유틸리티(Windows\System32\cliconfg.exe) 및 서버 네트워크 유틸리티 도구를 사용해야 합니다. 자세한 내용은 SQL Server 온라인 설명서를 참조하세요.
관리 에이전트 규칙을 변경할 때마다 관리 에이전트 내보내기를 사용하여 관리 에이전트 백업
관리 에이전트 내보내기를 사용하면 관리 에이전트 가져오기 명령을 사용하여 특정 버전의 관리 에이전트를 가져올 수 있습니다. 또한 서버 구성 내보내기 및 서버 구성 가져오기 명령을 사용하여 관리 에이전트를 내보내고 가져올 수도 있지만 이렇게 하면 메타버스 스키마 외에 모든 관리 에이전트를 가져옵니다. 구성 및 가져오기 방법에 대한 자세한 내용은 관리 에이전트 구성 및 서버 구성 가져오기 및 내보내기를 참조하세요.
검색 결과를 더 쉽게 식별하기 위해 메타버스에 displayName 특성 채우기
메타버스 검색을 사용하여 개체를 나열하는 경우 MIM은 displayName 특성으로 식별되는 결과를 반환합니다. displayName 특성이 채워지지 않으면 검색 결과가 GUID(Globally Unique Identifier)로 식별됩니다. 메타버스 검색을 사용하는 방법에 대한 자세한 내용은 메타버스 검색 사용을 참조하세요.
개체 상태에 따라 작동하도록 흐름 규칙 디자인
개체 상태를 유발한 이벤트를 사용하지 않고 개체의 상태를 사용하여 개체 동기화의 다음 단계 확인
중요
개체를 동기화할 때 지정된 순서로 평가되려면 선언적 규칙이나 규칙 확장의 규칙에 의존하지 않도록 합니다. 규칙은 순서와 관계없이 평가됩니다.
연결된 데이터 원본을 처음으로 메타버스로 마이그레이션하는 경우 구축 사용 안 함
MIM을 처음으로 배포하는 경우 프로비저닝을 사용하도록 설정하기 전에 연결된 모든 데이터 원본을 마이그레이션하고 조인하는 것이 좋습니다. 모든 항목이 성공적으로 마이그레이션 및 조인되었는지 확인한 후에는 프로비저닝을 사용하도록 설정하고 관리 에이전트의 전체 동기화를 실행하여 연결된 모든 개체에 프로비저닝 규칙을 적용할 수 있습니다. 프로비저닝 규칙을 구성하는 방법에 대한 자세한 내용은 프로비전 규칙을 참조하세요.
실행 프로필 단계에 삭제 임계값을 설정하여 실수로 인한 삭제 횟수 제한
삭제 임계값 설정을 사용하여 가져오기 또는 내보내기 작업 중에 발생할 수 있는 실수로 인한 삭제 횟수를 제한할 수 있습니다. 삭제 임계값은 임계값 제한에 도달할 때 관리 에이전트를 중지하거나 관리 에이전트가 시작되지 못하게 합니다. 자세한 내용은 관리 에이전트 구성을 참조하세요.
검색 커넥터 공간을 사용하여 개체 검사
검색 커넥터 공간을 사용하면 관리 에이전트의 커넥터 공간에서 개체를 검색할 수 있습니다. 이름 또는 오류 상태 또는 개체의 상태(즉, 연결, 연결 끊김 또는 가져오기 또는 내보내기 대기 중)로 개체를 찾을 수 있습니다.
미리 보기를 사용하여 동기화 테스트 및 오류 해결
미리 보기를 사용하여 동기화 테스트를 실행하고, 메타버스에 변경 내용을 커밋하지 않고도 결과를 볼 수 있습니다. 또한 미리 보기를 사용하여 새로운 규칙 확장을 테스트하고 참가 실패 또는 스키마 위반으로 인해 동기화 오류를 해결할 수도 있습니다.
디스커넥터를 자동으로 처리하도록 델타 동기화 단계를 사용하여 되풀이 실행 프로필 예약
조인에 실패한 개체는 델타 가져오기 및 델타 동기화 실행 프로필 단계에서 다시 평가되지 않으며 연결 끊김으로 유지될 수 있습니다. 델타 동기화 단계를 정기적으로 실행하면 이러한 연결 끊김이 다시 평가되고 처리됩니다. 프로필 단계를 실행하는 방법에 대한 자세한 내용은 관리 에이전트 구성을 참조하세요.
정기적으로 Operations에서 관리 에이전트 실행 내역 저장 및 지우기
운영은 모든 관리 에이전트 실행 기록을 기록합니다. 각 관리 에이전트 실행 내역은 SQL Server 데이터베이스에 저장되며 데이터베이스가 시간이 지남에 따라 커지면서 성능에 영향을 줄 수 있습니다. Operations를 사용하여 실행 내역을 저장할 수 있습니다. 작업을 사용하는 방법에 대한 자세한 내용은 작업 사용을 참조하세요.
참고
많은 수의 실행을 한꺼번에 삭제하면 시간이 매우 오래 걸릴 수 있습니다. 한 번에 100개 이하의 실행을 삭제하는 것이 좋습니다.
관리 에이전트의 다중 파티션을 사용하여 단일 개체 형식의 동기화 제어
파일 기반 관리 에이전트에서 단일 개체 형식의 동기화를 제어하려면 각 개체 형식에 대한 파티션을 만듭니다. 예를 들어 개체 형식 사서함 및 그룹 을 동기화하려면 관리 에이전트에서 두 개의 파티션을 만들고 한 파티션에는 사서함 을, 다른 파티션에는 그룹 을 할당합니다. 그런 다음 각 파티션에 대해 관리 에이전트 실행 프로필을 만듭니다. 이 구성을 사용하면 하나의 관리 에이전트에서 선택한 개체 형식 중 하나 또는 둘 다를 유연하게 동기화할 수 있습니다. 파티션을 사용하는 방법에 대한 자세한 내용은 메타버스 및 커넥터 공간을 참조하세요.
용량 계획
MIM 배포의 전체 용량 및 성능에 영향을 줄 수 있는 많은 변수가 있습니다.
시스템의 모든 데이터베이스가 더 작은 크기로 만들어지고 특히 작은 증가로 자동 증가하도록 설정된 경우 성능에 부정적인 영향을 미칠 수 있습니다. SQL Server에 대해 최소 16GB의 RAM이 필요하지만 더 많은 메모리를 활용할 수 있습니다. SQL 서버에 16개 이상의 CPU 코어가 있어야 하지만 더 많은 코어가 전반적인 성능에 도움이 됩니다.
마지막으로 동일한 서버에서 MIM 및 SharePoint 데이터베이스를 함께 실행하지 않는 것이 좋습니다.
높은 가용성
MIM 솔루션은 단일 실패 지점을 방지하기 위해 가용성이 뛰어나도록 설계되었습니다. 고가용성을 위해서는 다음과 같은 구성 요소를 고려해야 합니다.
참고
이 섹션의 정보는 권장 사항일 뿐입니다.
MIM 동기화 서비스 - MIM 동기화 서비스의 클러스터링이 지원되지 않지만 웜 대기 서버를 배포하여 오류가 발생할 경우 주 데이터베이스의 워크로드를 가정할 수 있습니다. 그러나 MIM 동기화 서비스가 여러 실제 노드에서 호스트되는 가상 머신에서 실행되므로 하드웨어 오류는 문제가 되지 않습니다. 또한 소프트웨어 오류가 있는 경우 동기화 서버를 호스트하는 가상 머신을 이전 백업에서 신속하게 복구하거나 처음부터 다시 작성할 수 있습니다. 이 서비스의 가동 중지 시간은 이 솔루션과의 최종 사용자 상호 작용에 아무런 영향도 미치지 않습니다. 모든 액세스 구축 및 구축 해제 요청의 이행만 지연됩니다. 서비스가 다시 온라인 상태가 되면 해당 작업은 데이터 손실 없이 다시 시작됩니다. MIM 동기화 서비스의 웜 대기는 주 인스턴스와 동일한 SQL Server 데이터베이스에 연결되며 주 인스턴스가 다운되어 적시에 다시 시작할 수 없는 경우 스크립트를 통해 활성화되어야 합니다. MIM Synchronization Service 데이터베이스 및 MIM Service 데이터베이스 간에 데이터를 동기화하는 데 사용되는 MIM 관리 에이전트는 로컬 MIM 서비스 인스턴스를 가리켜야 합니다.
SQL Server - MIM 솔루션에서 데이터베이스 계층에 대해 고가용성을 제공하기 위해서는 SQL Server 클러스터가 필요합니다. MIM 클러스터는 이전 단락에 자세히 설명된 사양을 갖는 2대의 서버로 구성됩니다. 각 SQL 노드에 두 SQL 인스턴스가 모두 설치되지만 한 번에 두 인스턴스 중 하나만 활성화됩니다.
이 디자인은 각 노드를 초과 구독하지 않고 클러스터형 가상 머신을 가장 잘 사용하며 장애 조치(failover)가 있는 경우 두 노드가 모두 다운될 수 있습니다.
데이터베이스는 원격 SQL Server에서 호스트되므로 MIM 서버와 SQL Server 간의 네트워크 연결은 1Gbit여야 합니다. 100Mbit 네트워크는 충분한 대역폭을 제공하지 않으며 동기화 성능을 20~30% 저하합니다.
항상 사용자 프로필 관리에서 Active Directory 가져오기를 동기화 설정으로 사용
MIM 동기화 서비스를 사용하려는 경우 선택하지 마세요. 대신 Use SharePoint Active Directory Import 옵션을 선택합니다. 외부 ID 관리자 사용 옵션이 선택된 경우 대상 그룹 컴파일 및 관리자 특성에 알려진 문제가 있습니다.
참고
이 문제는 2017년 2월 PU(공용 업데이트)에서 수정되었습니다. 2017년 2월 21일, SharePoint Server 2016용 업데이트(KB3141517)를 참조하세요.
동기화 형식 간에 전환하지 마세요.
SharePoint 중앙 관리 웹 사이트에서 동기화 설정 구성 을 사용하여 동기화 형식을 다른 동기화 유형으로 전환하는 경우 SharePoint Connector 인스턴스에서 가져오기가 시작될 때 반환되는 개체가 없고 ULS 로그에 결과가 없는 문제가 발생합니다.
형식 전환에서 복구하려면 복구 단계 섹션에서 SharePoint 2016: UPA AD 가져오기/외부 ID 관리자(MIM)에서 동기화 형식 간 전환으로 인한 문제를 참조하세요.
SharePoint에서 Active Directory로 그림 내보내기
Microsoft Identity Manager는 SharePoint에서 Active Directory로 사용자 프로필 사진 내보내기를 지원합니다.
추가 프로필 속성을 지원하기 위한 BCS 통합 없음
MIM에서 프로필 속성을 지원하기 위한 Business Connectivity Services 통합이 없습니다. 이러한 지원을 위해 커넥터를 수동으로 구성할 수 있습니다.
사용자 프로필 속성
SharePoint 서버에서 새 사용자 프로필 속성을 만들 수 있습니다. 그러나 매핑은 SharePoint에서 만들어지지 않고 MIM 내에서 만들어집니다.
NetBIOS 이름
외부 ID 관리자를 선택하는 경우 도메인의 NetBIOS 이름이 도메인의 FQDN(정규화된 도메인 이름) 이름과 다른 시나리오를 지원하기 위해 User Profile Application Service 응용 프로그램을 만드는 즉시 NetBIOSDomainNamesEnabled 속성을 사용하도록 설정해야 합니다.
보안 채널을 통해 동기화 작업 수행
동기화에는 종종 개인 식별 정보가 포함되므로 동기화 실행은 HTTPS 또는 LDAPS와 같은 보안 채널을 통해 수행하는 것이 좋습니다.
참고 항목
기타 리소스
SharePoint Server의 Microsoft Identity Manager Synchronization Service 개요