다음을 통해 공유

Microsoft Entra Connect 동기화: 스케줄러

  • 아티클

이 항목에서는 Microsoft Entra Connect Sync(동기화 엔진)의 기본 제공 스케줄러에 대해 설명합니다.

이 기능은 빌드 1.1.105.0(2016년 2월 릴리스)에서 도입되었습니다.

개요

Microsoft Entra Connect Sync는 스케줄러를 사용하여 온-프레미스 디렉터리에서 발생하는 변경 사항을 동기화합니다. 두 개의 스케줄러 프로세스가 있습니다. 하나는 암호 동기화용이고 다른 하나는 개체/특성 동기화 및 유지 관리 작업용입니다. 이 항목에서는 후자를 다룹니다.

이전 릴리스에서는 개체 및 특성에 대한 스케줄러가 동기화 엔진 외부에 있었습니다. Windows 작업 스케줄러 또는 별도의 Windows 서비스를 사용하여 동기화 프로세스를 트리거했습니다. 스케줄러는 동기화 엔진에 기본 제공되는 1.1 릴리스를 사용하며 일부 사용자 지정을 허용합니다. 새 기본 동기화 빈도는 30분입니다.

스케줄러는 다음 두 가지 작업을 담당합니다.

  • 동기화 주기. 변경 내용을 가져오고 동기화하고 내보내는 프로세스입니다.
  • 유지 관리 작업. 암호 재설정 및 DRS(디바이스 등록 서비스)에 대한 키 및 인증서를 갱신합니다. 작업 로그에서 이전 항목을 제거합니다.

스케줄러 자체는 항상 실행되지만 이러한 작업 중 하나만 실행하도록 구성할 수 있습니다. 예를 들어 고유한 동기화 주기 프로세스가 필요한 경우 스케줄러에서 이 작업을 사용하지 않도록 설정할 수 있지만 유지 관리 작업을 계속 실행할 수 있습니다.

중요하다

기본적으로 30분마다 동기화 주기가 실행됩니다. 동기화 주기를 수정한 경우 동기화 주기가 7일마다 한 번 이상 실행되는지 확인해야 합니다.

  • 델타 동기화는 마지막 델타 동기화로부터 7일 이내에 이루어져야 합니다.
  • 델타 동기화(전체 동기화에 따라)는 마지막 전체 동기화가 완료된 후 7일 이내에 수행해야 합니다.

이렇게 하지 않으면 동기화 문제가 발생할 수 있으며, 이를 해결하려면 전체 동기화를 실행해야 합니다. 스테이징 모드의 서버에도 적용됩니다.

스케줄러 구성

현재 구성 설정을 보려면 PowerShell로 이동하여 Get-ADSyncScheduler실행합니다. 이 그림과 같은 내용이 표시됩니다.

getSyncScheduler

이 cmdlet을 실행할 때 동기화 명령 또는 cmdlet이 사용 불가능하다는 메시지가 표시되면 PowerShell 모듈이 로드되지 않은 것입니다. 이 문제는 도메인 컨트롤러 또는 PowerShell 제한 수준이 기본 설정보다 높은 서버에서 Microsoft Entra Connect를 실행하는 경우에 발생할 수 있습니다. 이 오류가 표시되면 Import-Module ADSync 실행하여 cmdlet을 사용할 수 있도록 합니다.

  • AllowedSyncCycleInterval. Microsoft Entra ID에서 허용하는 동기화 주기 사이의 가장 짧은 시간 간격입니다. 이 설정보다 더 자주 동기화할 수 없으며 그렇게 하면 지원되지 않습니다.
  • CurrentlyEffectiveSyncCycleInterval. 현재 적용 중인 일정입니다. AllowedSyncInterval보다 빈번하지 않은 경우 CustomizedSyncInterval(설정된 경우)과 동일한 값을 가집니다. 1.1.281 이전에 빌드를 사용하고 CustomizedSyncCycleInterval을 변경하는 경우 이 변경 내용은 다음 동기화 주기 후에 적용됩니다. 빌드 1.1.281부터 변경 내용이 즉시 적용됩니다.
  • CustomizedSyncCycleInterval. 스케줄러가 기본 30분이 아닌 다른 빈도로 실행되도록 하려면 이 설정을 구성합니다. 이전 그림에서 스케줄러는 1시간마다 실행되도록 설정되어 있습니다. 이 설정을 AllowedSyncInterval보다 낮은 값으로 설정하면 후자가 사용됩니다.
  • nextSyncCyclePolicyType. 델타 또는 초기입니다. 다음 실행에서 델타 변경 내용만 처리해야 하는지 또는 다음 실행에서 전체 가져오기 및 동기화를 수행해야 하는지 여부를 정의합니다. 후자는 또한 새롭거나 변경된 규칙을 다시 처리합니다.
  • NextSyncCycleStartTimeInUTC. 다음에 스케줄러가 다음 동기화 주기를 시작할 때
  • PurgeRunHistoryInterval. 시간 운영 로그를 유지해야 합니다. 이러한 로그는 동기화 서비스 관리자에서 검토할 수 있습니다. 기본값은 이러한 로그를 7일 동안 유지하는 것입니다.
  • SyncCycleEnabled. 스케줄러가 작업의 일부로 가져오기, 동기화 및 내보내기 프로세스를 실행하고 있는지를 나타냅니다.
  • MaintenanceEnabled. 유지 관리 프로세스가 사용되는지 확인합니다. 인증서/키를 업데이트하고 작업 로그를 제거합니다.
  • StagingModeEnabled. 스테이징 모드이 활성화되었는지 보여 줍니다. 이 설정을 사용하면 내보내기가 실행되지 않지만 가져오기 및 동기화가 계속 실행됩니다.
  • 스케줄러중단됨. 업그레이드하는 동안 Connect에 의해 설정되어 스케줄러의 실행을 일시적으로 차단합니다.

Set-ADSyncScheduler이러한 설정 중 일부를 변경할 수 있습니다. 다음 매개 변수를 수정할 수 있습니다.

  • 사용자 지정 동기화 주기 간격
  • NextSyncCyclePolicyType
  • PurgeRunHistoryInterval
  • 동기화 주기 활성화
  • 유지보수 활성화

Microsoft Entra Connect의 이전 빌드에서 isStagingModeEnabled이 Set-ADSyncScheduler에서 공개되었습니다. 이 속성을 설정하는 것은 지원되지 않는 . SchedulerSuspended 속성은 오직 Connect만이 수정할 수 있습니다. 이것을 PowerShell을 사용하여 직접 설정하는 것은 지원되지 않는입니다.

스케줄러 구성은 Microsoft Entra ID에 저장됩니다. 스테이징 서버가 있는 경우 주 서버의 변경 내용도 스테이징 서버에 영향을 줍니다(IsStagingModeEnabled 제외).

사용자 지정 동기화 주기 간격

구문: Set-ADSyncScheduler -CustomizedSyncCycleInterval d.HH:mm:ss
d - 날, HH - 시간, mm - 분, ss - 초

예: Set-ADSyncScheduler -CustomizedSyncCycleInterval 03:00:00
3시간마다 실행되도록 스케줄러를 변경합니다.

예: Set-ADSyncScheduler -CustomizedSyncCycleInterval 1.0:0:0
스케줄러를 매일 실행되도록 변경합니다.

스케줄러 사용 안 함

구성을 변경해야 하는 경우 스케줄러를 사용하지 않도록 설정하려고 합니다. 예를 들어 필터링 구성하거나 동기화 규칙을 변경할 .

스케줄러를 사용하지 않도록 설정하려면 Set-ADSyncScheduler -SyncCycleEnabled $false실행합니다.

스케줄러 사용하지 않도록

변경할 때 Set-ADSyncScheduler -SyncCycleEnabled $true스케줄러를 다시 사용하도록 설정하는 것을 잊지 마세요.

스케줄러 시작

스케줄러는 기본적으로 30분마다 실행됩니다. 경우에 따라 예약된 주기 간에 동기화 주기를 실행하거나 다른 형식을 실행해야 할 수 있습니다.

델타 동기화 주기

델타 동기화 주기에는 다음 단계가 포함됩니다.

  • 모든 커넥터에서 델타 적용
  • 모든 커넥터에서 델타 동기화
  • 모든 커넥터에서 내보내기

전체 동기화 주기

전체 동기화 주기에는 다음 단계가 포함됩니다.

  • 모든 커넥터에서 전체 가져오기
  • 모든 커넥터의 전체 동기화
  • 모든 커넥터에서 데이터 내보내기

즉시 동기화해야 하는 긴급한 변경이 있을 수 있으므로 주기를 수동으로 실행해야 합니다.

동기화 주기를 수동으로 실행해야 하는 경우 PowerShell에서 Start-ADSyncSyncCycle -PolicyType Delta실행합니다.

전체 동기화 주기를 시작하려면 PowerShell 프롬프트에서 Start-ADSyncSyncCycle -PolicyType Initial 실행합니다.

전체 동기화 주기를 실행하는 데 시간이 많이 걸릴 수 있습니다. 이 프로세스를 최적화하는 방법을 읽어 보려면 다음 섹션을 참조하세요.

다양한 구성 변경에 필요한 동기화 단계

구성 변경 내용이 모든 개체에 올바르게 적용되도록 하려면 서로 다른 동기화 단계가 필요합니다.

  • 원본 디렉터리에서 가져올 개체 또는 특성을 더 추가했습니다(동기화 규칙을 추가/수정하여).
    • 해당 원본 디렉터리에 대한 커넥터에 전체 가져오기가 필요합니다.
  • 동기화 규칙을 변경했습니다.
    • 커넥터에서 변경된 동기화 규칙에 대한 전체 동기화가 필요합니다.
  • 필터링 이 변경되어에 다른 수의 개체가 포함될 것입니다.
    • AD 커넥터 각각에 대해 커넥터에서 전체 가져오기가 필요합니다. 예외는 특성 기반 필터링을 사용하는 경우로, 이미 동기화 엔진에 가져오고 있는 특성을 기반으로 하는 경우입니다.

동기화 주기를 사용자 지정하여 델타 동기화와 전체 동기화 단계를 적절하게 조합하십시오.

전체 동기화 주기를 실행하지 않도록 하려면 다음 cmdlet을 사용하여 특정 커넥터를 표시하여 전체 단계를 실행할 수 있습니다.

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid> -FullSyncRequired $true

Get-ADSyncSchedulerConnectorOverride -Connector <ConnectorGuid>

예: 새 가져온 특성이 필요하지 않은 커넥터 "AD 포리스트 A"에 대한 동기화 규칙을 변경한 경우 다음 cmdlet을 실행하여 해당 커넥터에 대한 전체 동기화 단계를 수행한 델타 동기화 주기를 실행합니다.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

예: 커넥터 "AD 포리스트 A"에 대한 동기화 규칙을 변경하여 새 특성을 가져와야 하는 경우 다음 cmdlet을 실행하여 해당 커넥터에 대한 전체 가져오기, 전체 동기화 단계를 수행한 델타 동기화 주기를 실행합니다.

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullImportRequired $true

Set-ADSyncSchedulerConnectorOverride -ConnectorName “AD Forest A” -FullSyncRequired $true

Start-ADSyncSyncCycle -PolicyType Delta

스케줄러를 중지하십시오

스케줄러가 현재 동기화 주기를 실행 중인 경우 중지해야 할 수 있습니다. 예를 들어 설치 마법사를 시작하면 다음 오류가 발생합니다.

스크린샷은 구성 오류 메시지를 변경할 수 없음을 보여줍니다.

동기화 주기가 실행 중인 경우 구성을 변경할 수 없습니다. 스케줄러가 프로세스를 완료할 때까지 기다릴 수 있지만 즉시 변경할 수 있도록 중지할 수도 있습니다. 현재 주기를 중지하는 것은 해롭지 않으며 보류 중인 변경 내용은 다음 실행과 함께 처리됩니다.

  1. 먼저 PowerShell cmdlet Stop-ADSyncSyncCycle을(를) 사용하여 스케줄러에게 현재 주기를 중지하도록 지시합니다.

  2. 1.1.281 이전에 빌드를 사용하는 경우 스케줄러를 중지해도 현재 커넥터가 현재 작업에서 중지되지 않습니다. 커넥터를 강제로 중지하려면 다음 작업을 수행합니다.

    스크린샷에는 동기화 서비스 관리자에 커넥터가 선택되어 있고, 실행 중인 커넥터가 강조 표시된 상태에서 중지 작업이 선택된 모습이 나타나 있습니다.

    • 시작 메뉴에서 동기화 서비스을 시작합니다. 커넥터로 이동하여 상태 실행 중인커넥터를 강조 표시하고, 동작에서 중지를 선택합니다.

스케줄러는 여전히 활성 상태이며 다음 기회에 다시 시작됩니다.

사용자 지정 스케줄러

이 섹션에 설명된 cmdlet은 빌드 1.1.130.0 이상에서만 사용할 수 있습니다.

기본 제공 스케줄러가 요구 사항을 충족하지 않는 경우 PowerShell을 사용하여 커넥터를 예약할 수 있습니다.

Invoke-ADSyncRunProfile

다음과 같은 방법으로 커넥터에 대한 프로필을 시작할 수 있습니다.

Invoke-ADSyncRunProfile -ConnectorName "name of connector" -RunProfileName "name of profile"

커넥터 이름실행 프로필 이름에 사용할 이름은 동기화 서비스 관리자 UI에서 찾을 수 있습니다.

실행 프로필 호출

Invoke-ADSyncRunProfile cmdlet은 동기적입니다. 즉, 커넥터가 작업을 성공적으로 완료하거나 오류가 발생할 때까지 컨트롤을 반환하지 않습니다.

커넥터를 예약하는 경우 다음 순서로 예약하는 것이 좋습니다.

  1. (전체/델타) Active Directory와 같은 온-프레미스 디렉터리에서 가져오기
  2. (전체/델타) Microsoft Entra ID에서 가져오기
  3. (전체/델타) Active Directory와 같은 온-프레미스 디렉터리에서 동기화
  4. (전체/델타) Microsoft Entra ID에서 동기화
  5. Microsoft Entra ID로 내보내기
  6. Active Directory와 같은 온-프레미스 디렉터리로 내보내기

기본 제공 스케줄러는 이 순서에 따라 커넥터를 실행합니다.

Get-ADSyncConnectorRunStatus

동기화 엔진이 사용 중인지 유휴 상태인지를 모니터링할 수도 있습니다. 동기화 엔진이 유휴 상태이고 커넥터를 실행하지 않는 경우 이 cmdlet은 빈 결과를 반환합니다. 커넥터가 실행 중인 경우 커넥터의 이름을 반환합니다.

Get-ADSyncConnectorRunStatus

커넥터 실행 상태
위의 그림에서 첫 번째 줄은 동기화 엔진이 유휴 상태인 상태입니다. Microsoft Entra Connector가 실행 중일 때의 두 번째 줄입니다.

스케줄러 및 설치 마법사

설치 마법사를 시작하면 스케줄러가 일시적으로 일시 중단됩니다. 이 동작은 구성을 변경한 것으로 가정하고 동기화 엔진이 적극적으로 실행되는 경우 이러한 설정을 적용할 수 없기 때문입니다. 따라서 동기화 엔진이 동기화 작업을 수행하지 못하도록 중지하므로 설치 마법사를 열어 두지 마세요.

다음 단계

Microsoft Entra Connect 동기화 구성에 대해 더 알아보기.

온-프레미스 ID를 Microsoft Entra ID과 통합하는 방법에 대해 자세히 알아보세요.