다음을 통해 공유

Microsoft Entra ID와 동기화되지 않는 개체 문제 해결

  • 아티클

개체가 Microsoft Entra ID와 예상대로 동기화되지 않는 경우 여러 가지 이유 때문일 수 있습니다. Microsoft Entra ID에서 오류 이메일을 받았거나 Microsoft Entra Connect Health에 오류가 표시되는 경우 동기화 중 오류 문제 해결을 읽어보시기 바랍니다. Microsoft Entra ID에 개체가 없는 문제를 해결하려면 이 문서를 참조하세요. 온-프레미스 구성 요소 Microsoft Entra Connect 동기화에서 오류를 찾는 방법을 설명합니다.

중요하다

버전 1.1.749.0 이상의 Microsoft Entra Connect 배포의 경우 개체 동기화 문제를 해결하기 위해 마법사의 문제 해결 작업을 사용합니다.

동기화 프로세스

동기화 문제를 조사하기 전에 Microsoft Entra Connect 동기화 프로세스를 이해해 보겠습니다.

Microsoft Entra Connect 동기화 프로세스 다이어그램

용어

  • CS: 커넥터 스페이스, 데이터베이스 테이블
  • MV: 메타버스, 데이터베이스의 테이블

동기화 단계

동기화 프로세스에는 다음 단계가 포함됩니다.

  1. AD에서 가져오기: Active Directory 개체가 Active Directory CS로 가져와집니다.

  2. Microsoft Entra ID에서 가져오기: Microsoft Entra 개체가 Microsoft Entra CS로 가져옵니다.

  3. 동기화: 인바운드 동기화 규칙 및 아웃바운드 동기화 규칙은 우선 순위의 순서대로 실행됩니다. 동기화 규칙을 보려면 데스크톱 애플리케이션에서 동기화 규칙 편집기로 이동합니다. 인바운드 동기화 규칙은 CS에서 MV로 데이터를 가져옵니다. 아웃바운드 동기화 규칙은 MV에서 CS로 데이터를 이동합니다.

  4. AD로 내보내기: 동기화한 후 개체가 Active Directory CS에서 Active Directory로 내보내집니다.

  5. Microsoft Entra ID로 내보내기: 동기화한 후에는 Microsoft Entra CS에서 Microsoft Entra ID로 개체를 내보냅니다.

문제 해결

오류를 찾으려면 다음 순서대로 몇 가지 다른 위치를 확인합니다.

  1. 작업 로그는 가져오기 및 동기화 중에 동기화 엔진에서 식별된 오류를 찾기 위해을 기록합니다.
  2. 누락된 개체와 동기화 오류를 찾기 위해 커넥터 공간을 사용하세요.
  3. 데이터 관련 문제를 찾기 위한 메타버스.

먼저 동기화 서비스 관리자를 시작합니다. 그런 다음, 다음 단계를 수행합니다.

운영

동기화 서비스 관리자의 작업 탭에서 문제 해결을 시작해야 합니다. 이 탭은 가장 최근 작업의 결과를 보여 줍니다.

동기화 서비스 관리자 스크린샷 , 작업 탭이 선택된 상태를 보여주는

작업 탭의 위쪽 절반에는 모든 실행이 시간순으로 표시됩니다. 기본적으로 작업 로그는 지난 7일에 대한 정보를 유지하지만 스케줄러이 설정을 변경할 수 있습니다. 성공 상태를 표시하지 않는 실행을 찾습니다. 머리글을 선택하여 정렬을 변경할 수 있습니다.

상태 열에는 가장 중요한 정보가 포함되어 있으며 실행에 가장 심각한 문제가 표시됩니다. 다음은 조사 우선 순위 순서에서 가장 일반적인 상태에 대한 빠른 요약입니다(여기서 *는 몇 가지 가능한 오류 문자열을 나타낸다).

상태 주석
중지-* 실행이 완료되지 않았습니다. 예를 들어 원격 시스템이 다운되어 연결할 수 없는 경우 이런 일이 발생할 수 있습니다.
중지된 오류 제한 5,000개 이상의 오류가 있습니다. 많은 수의 오류로 인해 실행이 자동으로 중지되었습니다.
완료-*-오류 실행이 완료되었지만 조사해야 하는 오류(5,000개 미만)가 있습니다.
완료됨-*-경고 실행이 완료되었지만 일부 데이터는 예상 상태가 아닙니다. 오류가 있는 경우 이 메시지는 증상일 뿐입니다. 오류를 해결할 때까지 경고를 조사하지 마세요.
성공 문제가 없습니다.

행을 선택하면 작업 탭의 아래쪽이 업데이트되어 해당 실행의 세부 정보를 표시합니다. 이 영역의 맨 왼쪽에 단계 #목록이 있을 수 있습니다. 이 목록은 포리스트에 여러 도메인이 존재하고, 각각의 도메인이 단계별로 표현될 때에만 나타납니다. 도메인 이름은 제목 아래의파티션에서 찾을 수 있습니다. 동기화 통계 제목 아래에서 처리된 변경 내용 수에 대한 자세한 정보를 찾을 수 있습니다. 링크를 선택하여 변경된 개체 목록을 가져옵니다. 오류가 있는 개체가 있는 경우 해당 오류는 동기화 오류 제목 아래에 표시됩니다.

작업 탭의 오류

오류가 있는 경우 동기화 서비스 관리자는 오류의 개체와 오류 자체를 더 많은 정보를 제공하는 링크로 표시합니다.

동기화 서비스 관리자에서 발견된 오류의 스크린샷
먼저 오류 문자열을 선택합니다. (위의 그림에서 오류 문자열은 sync-rule-error-function-triggered입니다.) 먼저 개체의 개요가 표시됩니다. 실제 오류를 보려면 스택 추적선택합니다. 이 추적은 오류에 대한 디버그 수준 정보를 제공합니다.

호출 스택 정보 상자를 마우스 오른쪽 버튼으로 클릭하고, 전체 선택을 선택한 다음, 복사를 선택합니다. 그런 다음 스택을 복사하고 메모장과 같이 즐겨 찾는 편집기에서 오류를 확인합니다.

SyncRulesEngine에서 오류가 발생하면 개체의 모든 속성이 먼저 호출 스택 정보에 나열됩니다. 아래로 스크롤하여 "InnerException =>" 제목을 찾을 때까지 기다리세요.

동기화 서비스 관리자의 스크린샷으로, InnerException => 제목 아래에 오류 정보를 보여줍니다.

제목 뒤의 줄에 오류가 표시됩니다. 위의 그림에서 오류는 Fabrikam에서 만든 사용자 지정 동기화 규칙에서 발생합니다.

오류가 충분한 정보를 제공하지 않는 경우 데이터 자체를 살펴볼 때입니다. 개체 식별자가 포함된 링크를 선택한 후 커넥터 공간의 가져온 개체문제 해결을 계속합니다.

커넥터 공간 개체 속성

작업 탭에 오류가 표시되지 않으면 Active Directory의 커넥터 공간 개체를 따라 메타버스에서 Microsoft Entra ID로 이동합니다. 이 경로에서 문제가 있는 위치를 찾아야 합니다.

CS에서 개체 검색

동기화 서비스 관리자에서 커넥터선택하고 Active Directory Connector를 선택한 다음 커넥터 공간검색을 선택합니다.

범위 상자에서 CN 특성을 검색하고 싶다면 RDN 을 선택하거나 distinguishedName 특성을 검색하고 싶다면 DN 또는 앵커 를 선택합니다. 값을 입력하고 검색을 선택하십시오.

커넥터 공간 검색 스크린샷

찾으려는 개체를 찾지 못하면, 도메인 기반 필터링 또는 OU 기반 필터링로 인해 필터링되었을 수 있습니다. 필터링이 예상대로 구성되었는지 확인하려면 Microsoft Entra Connect Sync: 필터링 구성 읽어보세요.

Microsoft Entra Connector를 선택하여 다른 유용한 검색을 수행할 수 있습니다. 범위 상자에서 보류 중인 가져오기을 선택하고, 추가 확인란을 선택합니다. 이 검색은 온-프레미스 개체와 연결할 수 없는 Microsoft Entra ID의 모든 동기화된 개체를 제공합니다.

커넥터 공간 검색 고아의 스크린샷

이러한 개체는 다른 동기화 엔진 또는 다른 필터링 구성을 사용하는 동기화 엔진에 의해 만들어졌습니다. 이러한 고립된 객체는 더 이상 관리되지 않습니다. 이 목록을 검토하고 Microsoft Graph PowerShell cmdlet을 사용하여 이러한 개체를 제거하는 것이 좋습니다.

CS 가져오기

CS 개체를 열면 위쪽에 여러 탭이 있습니다. 가져오기 탭에는 가져오기 후에 준비된 데이터가 표시됩니다.

가져오기 탭이 선택된 커넥터 공간 개체 속성 창의 스크린샷

이전 값 열에는 현재 Connect에 저장된 항목이 표시됩니다. 새 값 열에는 원본 시스템에서 수신된 항목이 표시되며 아직 적용되지 않습니다. 개체에 오류가 있으면 변경 내용이 처리되지 않습니다.

동기화 오류 탭은 개체에 문제가 있는 경우에만 커넥터 공간 개체 속성 창에 표시됩니다. 자세한 내용은 작업 탭에서 동기화 오류를 해결하는 방법을 확인하세요.

커넥터 공간 개체 속성 창 동기화 오류 탭의 스크린샷

CS 계보

커넥터 공간 개체 속성 창의 계보 탭은 커넥터 공간 개체가 메타버스 개체와 어떻게 관련되어 있는지 보여줍니다. 커넥터가 마지막으로 연결된 시스템에서 변경 내용을 가져온 시기와 메타버스의 데이터를 채우기 위해 적용된 규칙을 확인할 수 있습니다.

커넥터 공간 개체 속성 창 계보 탭을 보여 주는 스크린샷

앞의 그림에서 Action 열은 Provision작업을 갖춘 인바운드 동기화 규칙을 보여줍니다. 이 커넥터 공간 개체가 있는 한 메타버스 개체는 그대로 유지됨을 나타냅니다. 동기화 규칙 목록에 프로비전 작업이 포함된 아웃바운드 동기화 규칙이 표시될 경우, 메타버스 객체가 삭제되면 해당 객체도 삭제됩니다.

커넥터 공간 개체 속성 창의 계보 탭에 있는 계보 창의 스크린샷

위의 그림에서는 PasswordSync 열에서 한 개의 동기화 규칙이 True값을 가지기 때문에 인바운드 커넥터 공간이 암호 변경에 기여할 수 있음을 확인할 수 있습니다. 이 암호는 아웃바운드 규칙을 통해 Microsoft Entra ID로 전송됩니다.

계보 탭에서 메타버스 개체 속성선택하여 메타버스에 연결할 수 있습니다.

미리 보기

커넥터 공간 개체 속성 창의 왼쪽 아래 모서리에는 미리 보기 단추가 있습니다. 이 단추를 선택하여 단일 개체를 동기화할 수 있는 미리 보기 페이지를 엽니다. 이 페이지는 일부 사용자 지정 동기화 규칙의 문제를 해결하고 단일 개체에 대한 변경의 영향을 확인하려는 경우에 유용합니다. 전체 동기화 또는 델타 동기화선택할 수 있습니다. 미리 보기 생성선택할 수도 있습니다. 그러면 메모리의 변경 내용만 유지됩니다. 또는 커밋 미리 보기을 선택하여 메타버스를 업데이트하고 모든 변경 내용을 대상 커넥터 공간에 스테이징합니다.

미리 보기 페이지의 스크린샷으로, 미리 보기 시작이 선택되었습니다

미리 보기에서 개체를 검사하고 특정 특성 흐름에 적용된 규칙을 확인할 수 있습니다.

미리 보기 페이지를 보여 주는 스크린샷, 특성 흐름 가져오기

로그

미리 보기 단추 옆에 있는 로그 단추를 선택하여 로그 페이지를 엽니다. 여기에서 암호 동기화 상태 및 기록을 볼 수 있습니다. 자세한 내용은 Microsoft Entra Connect Sync를 사용한 암호 해시 동기화 문제 해결을 참조하세요.

메타버스 개체 속성

원본 Active Directory 커넥터 공간에서 검색을 시작하는 것이 좋습니다. 그러나 메타버스에서 검색을 시작할 수도 있습니다.

MV에서 개체 검색

동기화 서비스 관리자에서, 다음 그림과 같이 메타버스 검색을 선택합니다. 사용자를 찾은 것으로 알고 있는 쿼리를 만듭니다. accountName(sAMAccountName) 및 userPrincipalName같은 일반적인 속성을 찾습니다. 자세한 내용은 Sync Service Manager 메타버스 검색참조하세요.

메타버스 검색 탭이 선택된 동기화 서비스 관리자의 스크린샷

검색 결과 창에서 개체를 선택합니다.

개체를 찾지 못한 경우, 해당 객체는 메타버스에 아직 도착하지 않았습니다. Active Directory 커넥터 공간개체를 계속 검색합니다. Active Directory 커넥터 공간에서 개체를 찾으면 개체가 메타버스로 들어오는 것을 차단하는 동기화 오류가 있을 수 있습니다. 또는 동기화 규칙 범위 지정 필터가 적용될 수 있습니다.

MV에서 개체를 찾을 수 없음

개체가 Active Directory CS에 있지만 MV에 없는 경우 범위 지정 필터가 적용됩니다. 범위 지정 필터를 보려면 데스크톱 애플리케이션 메뉴로 이동하여 동기화 규칙 편집기선택합니다. 아래 필터를 조정하여 개체에 적용되는 규칙을 필터링합니다.

동기화 규칙 편집기에서 인바운드 동기화 규칙 검색을 보여 주는 스크린샷

위의 목록에서 각 규칙을 보고 범위 지정 필터을 확인하십시오. 다음 범위 지정 필터에서 isCriticalSystemObject 값이 null이거나 FALSE이거나 비어 있으면 범위에 있습니다.

인바운드 동기화 규칙 검색에 대한 범위 지정 필터 스크린샷

CS 가져오기 속성 목록으로 이동하여 개체가 MV로 이동하지 못하도록 차단하는 필터를 확인합니다. 커넥터 공간 특성 목록에는 null이 아닌 특성과 비어있지 않은 특성만 표시됩니다. 예를 들어 isCriticalSystemObject 목록에 표시되지 않으면 이 특성의 값은 null이거나 비어 있습니다.

Microsoft Entra CS에서 개체를 찾을 수 없음

개체가 Microsoft Entra ID의 커넥터 공간에 없지만 MV에 있는 경우 해당 커넥터 공간의 아웃바운드 규칙 범위 지정 필터를 확인합니다. MV 특성이 조건을 충족하지 않아서 개체가 필터링되는지 확인하십시오.

아웃바운드 범위 지정 필터를 보려면 다음 필터를 조정하여 개체에 적용 가능한 규칙을 선택합니다. 각 규칙을 보고 해당 MV 특성 값을 확인합니다.

동기화 규칙 편집기에서 아웃바운드 동기화 규칙 검색 결과를 보여주는 스크린샷

MV 속성

특성 탭에서 값과 기여한 커넥터를 볼 수 있습니다.

특성 탭이 선택된 메타버스 개체 속성 창의 스크린샷

개체가 동기화되지 않는 경우 메타버스의 특성 상태에 대해 다음 질문을 합니다.

  • cloudFiltered 특성이 존재하고 True설정되었나요? 그렇다면 특성 기반 필터링단계에 따라 필터링됩니다.
  • 속성 의 원본 앵커에 있습니까? 그렇지 않다면, 계정 자원 포리스트 토폴로지를 사용하고 계십니까? 개체가 연결된 사서함(msExchRecipientTypeDetails 특성에 2값이 있음)으로 식별되는 경우 sourceAnchor 활성화된 Active Directory 계정으로 포리스트에 의해 기여됩니다. 마스터 계정을 가져오고 올바르게 동기화했는지 확인합니다. 마스터 계정은 개체의 커넥터 목록에 포함되어야 합니다.

MV 커넥터

커넥터 탭은 객체가 표현된 모든 커넥터 공간을 보여줍니다.

커넥터 탭이 선택된 메타버스 개체 속성 창의 스크린샷

다음을 위한 커넥터가 있어야 합니다.

  • 사용자가 속한 각 Active Directory 포리스트입니다. 이 표현에는 foreignSecurityPrincipalsContact 개체가 포함될 수 있습니다.
  • Microsoft Entra ID의 커넥터입니다.

Microsoft Entra ID에 대한 커넥터가 누락된 경우 MV 특성 섹션을 검토하여 Microsoft Entra ID에 프로비전하는 기준을 확인합니다.

커넥터 탭에서 커넥터 공간 개체로 이동할 수 있습니다. 행을 선택하고 속성선택합니다.

다음 단계