Microsoft Entra Connect 개체 및 특성에 대한 엔드투엔드 문제 해결

이 문서는 Microsoft Entra ID에서 동기화 문제를 해결하는 방법에 대한 일반적인 사례를 수립하기 위한 것입니다. 이 메서드는 개체 또는 특성이 Azure Active AD와 동기화되지 않고 동기화 엔진, 애플리케이션 뷰어 로그 또는 Microsoft Entra 로그에 오류를 표시하지 않는 상황에 적용됩니다. 명백한 오류가 없는 경우 세부 정보에서 쉽게 손실됩니다. 그러나 모범 사례를 사용하여 문제를 격리하고 Microsoft 지원 엔지니어에게 인사이트를 제공할 수 있습니다.

이 문제 해결 방법을 환경에 적용하면 시간이 지남에 따라 다음 단계를 수행할 수 있습니다.

• 동기화 엔진 논리를 처음부터 끝까지 문제 해결합니다.
• 동기화 문제를 보다 효율적으로 해결합니다.
• 문제가 발생할 단계를 예측하여 문제를 보다 신속하게 식별합니다.
• 데이터를 검토하기 위한 시작점을 식별합니다.
• 최적의 해상도를 결정합니다.

여기에 제공된 단계는 로컬 Active Directory 수준에서 시작하여 Microsoft Entra ID로 진행됩니다. 이러한 단계는 동기화의 가장 일반적인 방향입니다. 그러나 동일한 원칙이 역방향(예: 특성 쓰기 저장)에 적용됩니다.

필수 조건

이 문서를 더 잘 이해하려면 먼저 다음 필수 구성 요소 문서를 참조하여 다른 원본(AD, AD CS, MV 등)에서 개체를 검색하는 방법을 더 잘 이해하고 개체의 연결선 및 계보를 확인하는 방법을 이해합니다.

• Microsoft Entra Connect: 계정 및 사용 권한
• Microsoft Entra ID와 동기화되지 않는 개체 문제 해결
• Microsoft Entra Connect 동기화를 사용하여 개체 동기화 문제 해결

잘못된 문제 해결 사례

Microsoft Entra ID의 DirSyncEnabled 플래그는 테넌트가 온-프레미스 AD의 개체 동기화를 허용할 준비가 되었는지 여부를 제어합니다. 많은 고객이 개체 또는 특성 동기화 문제를 해결하는 동안 테넌트에서 DirSync를 사용하지 않도록 설정하는 습관에 빠지는 것을 보았습니다. 다음 PowerShell cmdlet을 실행하여 디렉터리 동기화를 쉽게 해제할 수 있습니다.

Set-MsolDirSyncEnabled -EnableDirSync $false "Please DON'T and keep reading!"

그러나 테넌트에서 동기화된 모든 개체에 대해 SoA를 로컬 Active Directory에서 Microsoft Entra ID/Exchange Online으로 전송하는 복잡하고 긴 백 엔드 작업을 트리거하기 때문에 치명적일 수 있습니다. 이 작업은 각 개체를 DirSyncEnabled에서 클라우드 전용으로 변환하고 온-프레미스 AD에서 동기화되는 모든 섀도 속성을 정리하는 데 필요합니다(예: ShadowUserPrincipalName 및 ShadowProxyAddresses). 테넌트 크기에 따라 이 작업은 72시간 이상 걸릴 수 있습니다. 또한 작업이 언제 완료될지 예측할 수 없습니다. 이 메서드를 사용하여 동기화 문제를 해결하면 추가 피해가 발생하고 문제를 해결할 수 없기 때문입니다. 이 비활성화 작업이 완료될 때까지 DirSync를 다시 사용하도록 설정하지 못하도록 차단됩니다. 또한 DirSync를 다시 사용하도록 설정한 후 AADC는 모든 온-프레미스 개체를 기존 Microsoft Entra 개체와 다시 일치시켜야 합니다. 이 프로세스는 중단될 수 있습니다.

이 명령이 DirSync를 사용하지 않도록 지원하는 유일한 시나리오는 다음과 같습니다.

• 온-프레미스 동기화 서버를 서비스 해제하고 하이브리드 ID 대신 클라우드에서 ID를 계속 관리하려고 합니다.
• Microsoft Entra ID에서 클라우드 전용으로 유지하고 온-프레미스 AD에서 영구적으로 제거하려는 일부 동기화된 개체가 테넌트에 있습니다.
• 현재 AADC에서 사용자 지정 특성을 SourceAnchor로 사용하고 있으며(예: employeeId) AADC를 다시 설치하여 ms-Ds-Consistency-Guid/ObjectGuid를 새 SourceAnchor 특성으로 사용하기 시작합니다(또는 그 반대의 경우도 마찬가지).
• 위험한 사서함 및 테넌트 마이그레이션 전략을 포함하는 몇 가지 시나리오가 있습니다.

경우에 따라 일시적으로 동기화를 중지하거나 AADC 동기화 주기를 수동으로 제어해야 할 수 있습니다. 예를 들어 동기화 단계를 한 번에 하나씩 실행하려면 동기화를 중지해야 할 수 있습니다. 그러나 DirSync를 사용하지 않도록 설정하는 대신 다음 cmdlet을 실행하여 동기화 스케줄러만 중지할 수 있습니다.

Set-ADSyncScheduler -SyncCycleEnabled $false

준비가 되면 다음 cmdlet을 실행하여 동기화 주기를 수동으로 시작합니다.

Start-ADSyncSyncCycle

용어 설명

1단계: ADDS와 ADCS 간의 동기화

1단계 목표

개체 또는 특성이 ADCS에 있고 일관성이 있는지 여부를 확인합니다. ADCS에서 개체를 찾을 수 있고 모든 특성에 예상 값이 있는 경우 2단계로 이동합니다.

1단계 설명

ADDS와 ADCS 간의 동기화는 가져오기 단계에서 발생하며, AADC가 원본 디렉터리에서 읽고 데이터베이스에 데이터를 저장하는 순간입니다. 즉, 커넥터 공간에서 데이터가 준비되는 경우입니다. AD에서 델타를 가져오는 동안 AADC는 지정된 디렉터리 워터마크 후에 발생한 모든 새 변경 내용을 요청합니다. 이 호출은 Active Directory 복제 서비스에 대해 디렉터리 서비스 DirSync 컨트롤을 사용하여 AADC에서 시작됩니다. 이 단계에서는 마지막 워터마크를 마지막으로 성공한 AD 가져오기로 제공하고, 모든(델타) 변경 내용을 검색해야 하는 시점의 지정 시간 참조를 AD에 제공합니다. AADC는 AD에서 모든 데이터(동기화 범위)를 가져온 다음 ADCS에 있지만 AD에서 가져오지 않은 모든 개체를 사용되지 않는 것으로 표시(및 삭제)하므로 전체 가져오기가 다릅니다. AD와 AADC 간의 모든 데이터는 LDAP를 통해 전송되며 기본적으로 암호화됩니다.

AD와의 연결이 성공했지만 개체 또는 특성이 ADCS에 없는 경우(도메인 또는 개체가 동기화 범위에 있다고 가정) 문제는 ADDS 권한과 관련이 있습니다. ADCA는 ADCS로 데이터를 가져오기 위해 AD의 개체에 대한 최소 읽기 권한이 필요합니다. 기본적으로 MSOL 계정에는 모든 사용자, 그룹 및 컴퓨터 속성에 대한 명시적 읽기/쓰기 권한이 있습니다. 그러나 다음 조건이 충족되는 경우에도 이 상황은 여전히 문제가 될 수 있습니다.

• AADC는 사용자 지정 ADCA를 사용하지만 AD에 충분한 권한이 제공되지 않았습니다.
• 부모 OU는 도메인의 루트에서 사용 권한 전파를 방지하는 상속을 차단했습니다.
• 개체 또는 특성 자체가 상속을 차단하여 사용 권한 전파를 방지합니다.
• 개체 또는 특성에는 ADCA가 읽지 못하도록 하는 명시적 거부 권한이 있습니다.

Active Directory 문제 해결

AD와의 연결

동기화 서비스 관리자의 "AD에서 가져오기" 단계에서는 연결 상태에서 어떤 도메인 컨트롤러에 연결할지 보여 줍니다. AD에 영향을 주는 연결 문제가 있는 경우 여기에 오류가 표시될 가능성이 큽니다.

특히 Microsoft Entra Connect 서버에 오류가 표시되지 않거나 제품을 설치하는 과정에 있는 경우 AD에 대한 연결 문제를 추가로 해결해야 하는 경우 ADConnectivityTool을 사용하여 시작합니다.

ADDS에 대한 연결 문제에는 다음과 같은 원인이 있습니다.

• 잘못된 AD 자격 증명입니다. 예를 들어 ADCA가 만료되었거나 암호가 변경되었습니다.
• DirSync Control이 AD 복제 서비스와 통신하지 않는 경우 일반적으로 높은 네트워크 패킷 조각화로 인해 발생하는 "검색 실패" 오류입니다.
• AD에 DNS(이름 확인 문제)가 있을 때 발생하는 "no-start-ma" 오류입니다.
• 이름 확인 문제, 네트워크 라우팅 문제, 차단된 네트워크 포트, 높은 네트워크 패킷 조각화, 쓰기 가능한 DC 없음 등으로 인해 발생할 수 있는 기타 문제 이러한 경우 문제를 해결하기 위해 디렉터리 서비스 또는 네트워킹 지원 팀을 포함해야 할 수 있습니다.

문제 해결 요약

• 사용되는 도메인 컨트롤러를 식별합니다.
• 기본 설정 도메인 컨트롤러를 사용하여 동일한 도메인 컨트롤러를 대상으로 지정합니다.
• ADCA를 올바르게 식별합니다.
• ADConnectivityTool을 사용하여 문제를 식별합니다.
• LDP 도구를 사용하여 ADCA를 사용하여 도메인 컨트롤러에 바인딩하려고 합니다.
• 문제를 해결하려면 디렉터리 서비스 또는 네트워킹 지원 팀에 문의하세요.

동기화 문제 해결사 실행

AD 연결 문제를 해결한 후에는 개체 또는 특성이 동기화되지 않는 가장 명백한 이유를 검색할 수 있으므로 개체 동기화 문제 해결 도구를 실행합니다.

AD 권한

AD 권한이 부족하면 동기화의 양방향에 영향을 줄 수 있습니다.

• ADDS에서 ADCS로 가져올 때 권한이 부족하면 AADC가 가져오기 스트림에서 ADDS 업데이트를 가져올 수 없도록 AADC가 개체 또는 특성을 건너뛸 수 있습니다. 이 오류는 ADCA에 개체를 읽을 수 있는 충분한 권한이 없기 때문에 발생합니다.
• ADCS에서 ADDS로 내보낼 때 권한이 부족하면 "permission-issue" 내보내기 오류가 발생합니다.

사용 권한을 확인하려면 AD 개체의 속성 창을 열고 보안>고급을 선택한 다음 상속 사용 안 함 단추를 선택하여 개체의 허용/거부 ACL을 검사합니다(상속을 사용하는 경우). 형식별로 열 내용을 정렬하여 모든 "거부" 권한을 찾을 수 있습니다. AD 권한은 매우 다양할 수 있습니다. 그러나 기본적으로 "Exchange 신뢰할 수 있는 하위 시스템"에 대해 "거부 ACL"이 하나만 표시될 수 있습니다. 대부분의 권한은 허용으로 표시됩니다.

다음 기본 권한은 가장 관련성이 높습니다.

• 인증된 사용자

  

• 모두

  

• 사용자 지정 ADCA 또는 MSOL 계정

  

• Windows 2000 이전 버전 호환 액세스

  

• SELF

  

사용 권한 문제를 해결하는 가장 좋은 방법은 AD 사용자 및 컴퓨터 콘솔에서 "유효 액세스" 기능을 사용하는 것입니다. 이 기능은 문제 해결하려는 대상 개체 또는 특성에 대해 지정된 계정(ADCA)에 대한 유효 권한을 확인합니다.

• 가장 가까운 도메인 컨트롤러에 필요한 내용을 직접 변경하고 있는지 확인합니다("AD와의 연결" 섹션 참조).
• ADDS 복제가 발생할 때까지 기다립니다.
• 가능하면 ADSync 서비스를 다시 시작하여 캐시를 지웁니다.

문제 해결 요약

• 사용되는 도메인 컨트롤러를 식별합니다.
• 기본 설정 도메인 컨트롤러를 사용하여 동일한 도메인 컨트롤러를 대상으로 지정합니다.
• ADCA를 올바르게 식별합니다.
• AD DS 커넥터 계정 권한 구성 도구를 사용합니다.
• AD 사용자 및 컴퓨터에서 "유효 액세스" 기능을 사용합니다.
• LDP 도구를 사용하여 ADCA가 있는 도메인 컨트롤러에 바인딩하고 실패한 개체 또는 특성을 읽으려고 합니다.
• 임시로 엔터프라이즈 관리자 또는 도메인 관리자에 ADCA를 추가하고 ADSync 서비스를 다시 시작합니다.

중요: 이를 솔루션으로 사용하지 마세요.

• 권한 문제를 확인한 후 높은 권한의 그룹에서 ADCA를 제거하고 필요한 AD 권한을 ADCA에 직접 제공합니다.
• 디렉터리 서비스 또는 네트워크 지원 팀에 참여하여 상황을 해결하는 데 도움을 줍니다.

AD 복제

이 문제는 더 큰 문제를 일으키기 때문에 Microsoft Entra Connect에 영향을 줄 가능성이 적습니다. 그러나 Microsoft Entra Connect가 지연된 복제를 사용하여 도메인 컨트롤러에서 데이터를 가져오는 경우 AD에서 최신 정보를 가져오지 않습니다. 이로 인해 AD에서 최근에 만들거나 변경된 개체 또는 특성이 Microsoft Entra Connect가 연락하는 도메인 컨트롤러에 복제되지 않았기 때문에 Microsoft Entra ID와 동기화되지 않는 동기화 문제가 발생합니다. 이것이 문제인지 확인하려면 AADC가 가져오기에 사용하는 도메인 컨트롤러("AD에 연결" 참조)를 확인하고 AD 사용자 및 컴퓨터 콘솔을 사용하여 이 서버에 직접 연결합니다(다음 이미지의 도메인 컨트롤러 변경 참조). 그런 다음 이 서버의 데이터가 최신 데이터에 해당하는지, 그리고 해당 ADCS 데이터와 일치하는지 확인합니다. 이 단계에서 AADC는 도메인 컨트롤러 및 네트워킹 계층에 더 큰 부하를 생성합니다.

또 다른 방법은 RepAdmin 도구를 사용하여 모든 도메인 컨트롤러에서 개체의 복제 메타데이터를 확인하고, 모든 도메인 컨트롤러에서 값을 얻고, 도메인 컨트롤러 간의 복제 상태를 확인하는 것입니다.

• 모든 도메인 컨트롤러의 특성 값:

  repadmin /showattr * "DC=contoso,DC=com" /subtree /filter:"sAMAccountName=User01" /attrs:pwdLastSet,UserPrincipalName

  

• 모든 DC의 개체 메타데이터:

  repadmin /showobjmeta * "CN=username,DC=contoso,DC=com" > username-ObjMeta.txt

  

• AD 복제 요약

  repadmin /replsummary

  

문제 해결 요약

• 사용되는 도메인 컨트롤러를 식별합니다.
• 도메인 컨트롤러 간의 데이터를 비교합니다.
• RepAdmin 결과를 분석합니다.
• 문제를 해결하려면 디렉터리 서비스 또는 네트워크 지원 팀에 문의하세요.

도메인 및 OU 변경 내용, ADDS 커넥터에서 필터링되거나 제외된 개체 형식 또는 특성

• 도메인 또는 OU 필터링을 변경하려면 전체 가져오기가 필요합니다.

  도메인 또는 OU 필터링이 확인되더라도 도메인 또는 OU 필터링에 대한 변경 내용은 전체 가져오기 단계를 실행한 후에만 적용됩니다.

• Microsoft Entra 앱 및 특성 필터링을 사용하여 특성 필터링

  동기화되지 않는 특성에 대한 손쉬운 시나리오는 Microsoft Entra Connect가 Microsoft Entra 앱 및 특성 필터링 기능으로 구성된 경우입니다. 기능이 활성화되어 있는지 여부와 특성 에 대해 확인하려면 일반 진단 보고서를 작성합니다.

• ADDS 커넥터 구성에서 제외된 개체 유형

  이 상황은 사용자 및 그룹에 대해 일반적으로 발생하지 않습니다. 그러나 ADCS에서 특정 개체 형식의 모든 개체가 누락된 경우 ADDS Connector 구성에서 사용하도록 설정된 개체 형식을 검사하는 것이 유용할 수 있습니다.

  Get-ADSyncConnector cmdlet을 사용하여 다음 이미지와 같이 커넥터에서 사용하도록 설정된 개체 형식을 검색할 수 있습니다. 다음은 기본적으로 사용하도록 설정해야 하는 개체 형식입니다.

  (Get-ADSyncConnector | where Name -eq "Contoso.com").ObjectInclusionList

  다음은 기본적으로 사용하도록 설정해야 하는 개체 형식입니다.

  

  참고 항목

  publicFolder 개체 유형은 메일 사용 공용 폴더 기능을 사용하는 경우에만 존재합니다.

• ADCS에서 제외된 특성

  동일한 방식으로 모든 개체에 대해 특성이 누락된 경우 AD 커넥터에서 특성이 선택되어 있는지 확인합니다.

  ADDS Connector에서 활성화된 특성을 확인하려면 다음 이미지와 같이 동기화 관리자를 사용하거나 다음 PowerShell cmdlet을 실행합니다.

  (Get-ADSyncConnector | where Name -eq "Contoso.com").AttributeInclusionList

  

  참고 항목

  Synchronization Service Manager에서 개체 형식 또는 특성을 포함하거나 제외하는 것은 지원되지 않습니다.

문제 해결 요약

• Microsoft Entra 앱 및 특성 필터링 기능 확인
• 개체 형식이 ADCS에 포함되어 있는지 확인합니다.
• 특성이 ADCS에 포함되어 있는지 확인합니다.
• 전체 가져오기를 실행합니다.

1단계 리소스

기본 리소스:

• Get-ADSyncConnectorAccount - AADC에서 사용하는 올바른 커넥터 계정 식별

• ADConnectivityTool

• ADDS를 사용하여 연결 문제 식별

• Trace-ADSyncToolsADImport(ADSyncTools) - ADDS에서 가져오는 추적 데이터

• LDIFDE - ADDS에서 개체를 덤프하여 ADDS와 ADCS 간의 데이터 비교

• LDP - ADCA의 보안 컨텍스트에서 개체를 읽을 수 있는 AD 바인딩 연결 및 권한 테스트

• DSACLS - ADDS 권한 비교 및 평가

• Set-ADSync< 기능 >권한 - ADDS에서 기본 AADC 권한 적용

• RepAdmin - AD 개체 메타데이터 및 AD 복제 상태 확인

2단계: ADCS와 MV 간의 동기화

2단계 목표

이 단계에서는 개체 또는 특성이 CS에서 MV로 흐르는지 확인합니다(즉, 개체 또는 특성이 MV에 프로젝션되는지 여부). 이 단계에서는 개체가 있는지 또는 ADCS에서 특성이 올바른지 확인한 다음(1단계에서 설명) 개체의 동기화 규칙 및 계보를 살펴보기 시작합니다.

2단계 설명

ADCS와 MV 간의 동기화는 델타/전체 동기화 단계에서 발생합니다. 이 시점에서 AADC는 ADCS에서 준비된 데이터를 읽고, 모든 동기화 규칙을 처리하고, 해당 MV 개체를 업데이트합니다. 이 MV 개체에는 해당 속성에 기여하는 CS 개체를 가리키는 CS 링크(또는 커넥터)와 동기화 단계에서 적용된 동기화 규칙의 계보가 포함됩니다. 이 단계에서 AADC는 SQL Server(또는 LocalDB) 및 네트워킹 계층에서 더 많은 부하를 생성합니다.

개체에 대한 ADCS > MV 문제 해결

• 프로비전에 대한 인바운드 동기화 규칙 확인

  ADCS에 있지만 MV에서 누락된 개체는 해당 개체에 적용된 프로비저닝 동기화 규칙에 대한 범위 지정 필터가 없음을 나타냅니다. 따라서 개체가 MV에 투영되지 않았습니다. 이 문제는 사용하지 않도록 설정되거나 사용자 지정된 동기화 규칙이 있는 경우에 발생할 수 있습니다.

  인바운드 프로비저닝 동기화 규칙 목록을 얻으려면 다음 명령을 실행합니다.

  Get-ADSyncRule | where {$_.Name -like "In From AD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

  

• ADCS 개체의 계보 확인

  "커넥터 공간 검색"에서 "DN 또는 앵커"를 검색하여 ADCS에서 실패한 개체를 검색할 수 있습니다. 계보 탭에서 개체가 연결 끊김(MV에 대한 링크 없음)이고 계보가 비어 있는 것을 볼 수 있습니다. 또한 동기화 오류 탭이 있는 경우 개체에 오류가 있는지 확인합니다.

  

• ADCS 개체에서 미리 보기 실행

  미리 보기>커밋 미리 보기> 생성을 선택하여 개체가 MV에 프로젝트되는지 확인합니다. 이 경우 전체 동기화 주기가 동일한 상황에서 다른 개체에 대한 문제를 해결해야 합니다.

  

  

• 개체를 XML로 내보내기

  자세한 분석(또는 오프라인 분석)을 위해 Export-ADSyncObject cmdlet을 사용하여 개체와 관련된 모든 데이터베이스 데이터를 수집할 수 있습니다. 이 내보낸 정보는 개체를 필터링하는 규칙을 결정하는 데 도움이 됩니다. 즉, 프로비저닝 동기화 규칙의 인바운드 범위 지정 필터로 인해 개체가 MV에 프로젝팅되지 않습니다.

  Export-ADsyncObject 구문의 몇 가지 예는 다음과 같습니다.

  • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
  • Export-ADsyncObject -DistinguishedName 'CN=TestUser,OU=Sync,DC=Domain,DC=Contoso,DC=com' -ConnectorName 'Domain.Contoso.com'
  • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose

문제 해결 요약(개체)

• "In From AD" 인바운드 프로비저닝 규칙에 대한 범위 지정 필터를 확인합니다.
• 개체의 미리 보기를 만듭니다.
• 전체 동기화 주기를 실행합니다.
• Export-ADSyncObject 스크립트를 사용하여 개체 데이터를 내보냅니다 .

특성에 대한 ADCS > MV 문제 해결

1. 특성의 인바운드 동기화 규칙 및 변환 규칙 식별

   각 특성에는 ADCS에서 MV로 값을 지시하는 고유한 변환 규칙 집합이 있습니다. 첫 번째 단계는 문제 해결 중인 특성에 대한 변환 규칙이 포함된 동기화 규칙을 식별하는 것입니다.

   지정된 특성에 대한 변환 규칙이 있는 동기화 규칙을 식별하는 가장 좋은 방법은 동기화 규칙 편집기의 기본 제공 필터링 기능을 사용하는 것입니다.

   

2. ADCS 개체의 계보 확인

   CS와 MV 간의 각 커넥터(또는 링크)에는 해당 CS 개체에 적용되는 동기화 규칙에 대한 정보가 포함된 계보가 있습니다. 이전 단계에서는 ADCS에서 MV로 올바른 값을 전달하기 위해 개체의 계보에 있어야 하는 인바운드 동기화 규칙 집합(프로비전 또는 동기화 규칙 조인 여부)을 알려줍니다. ADCS 개체의 계보를 검사하여 해당 동기화 규칙이 개체에 적용되었는지 여부를 확인할 수 있습니다.

   

   MV 개체에 연결된 여러 커넥터(여러 AD 포리스트)가 있는 경우 메타버스 개체 속성을 검사하여 문제를 해결하려는 특성에 특성 값을 기여하는 커넥터를 확인해야 할 수 있습니다. 커넥터를 식별한 후 해당 ADCS 개체의 계보를 검사합니다.

   

3. 인바운드 동기화 규칙에서 범위 지정 필터 확인

   동기화 규칙을 사용하도록 설정했지만 개체의 계보에 없는 경우 동기화 규칙의 범위 지정 필터를 통해 개체를 필터링해야 합니다. 동기화 규칙의 범위 지정 필터, ADCS 개체의 데이터 및 동기화 규칙의 사용 여부를 확인하여 해당 동기화 규칙이 ADCS 개체에 적용되지 않은 이유를 확인할 수 있습니다.

   다음은 Exchange 속성 동기화를 담당하는 동기화 규칙의 일반적인 문제 범위 지정 필터의 예입니다. 개체에 mailNickName에 대한 null 값이 있는 경우 변환 규칙의 Exchange 특성 중 어느 것도 Microsoft Entra ID로 전달되지 않습니다.

   

4. ADCS 개체에서 미리 보기 실행

   ADCS 개체의 계보에서 동기화 규칙이 누락된 이유를 확인할 수 없는 경우 미리 보기 생성 및 커밋 미리 보기를 사용하여 개체의 전체 동기화를 사용하여 미리 보기를 실행합니다. 특성이 MV에서 업데이트되고 미리 보기가 있는 경우 전체 동기화 주기가 동일한 상황에서 다른 개체에 대한 문제를 해결해야 합니다.

5. 개체를 XML로 내보내기

   자세한 분석 또는 오프라인 분석을 위해 Export-ADSyncObject 스크립트를 사용하여 개체와 관련된 모든 데이터베이스 데이터를 수집할 수 있습니다. 이 내보낸 정보는 특성이 MV에 프로젝션되지 않도록 하는 개체에 누락된 동기화 규칙 또는 변환 규칙을 결정하는 데 도움이 될 수 있습니다(이 문서의 앞부분에 있는 Export-ADSyncObject 예제 참조).

문제 해결 요약(특성의 경우)

• 특성을 MV로 전달해야 하는 올바른 동기화 규칙 및 변환 규칙을 식별합니다.
• 개체의 계보를 확인합니다.
• 동기화 규칙이 활성화되었는지 확인합니다.
• 개체의 계보에 누락된 동기화 규칙의 범위 지정 필터를 확인합니다.

동기화 규칙 파이프라인의 고급 문제 해결

동기화 규칙 처리 측면에서 ADSync 엔진(MiiServer라고도 함)을 추가로 디버그해야 하는 경우 .config 파일(C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config)에서 ETW 추적을 사용하도록 설정할 수 있습니다. 이 메서드는 동기화 규칙의 모든 처리를 보여 주는 광범위한 자세한 텍스트 파일을 생성합니다. 그러나 모든 정보를 해석하기 어려울 수 있습니다. 이 메서드를 최후의 수단으로 사용하거나 Microsoft 지원 표시된 경우 사용합니다.

2단계 리소스

• Synchronization Service Manager UI
• 동기화 규칙 편집기
• Export-ADsyncObject 스크립트
• Start-ADSyncSyncCycle -PolicyType Initial
• ETW 추적 SyncRulesPipeline(miiserver.exe.config)

3단계: MV와 AADCS 간의 동기화

3단계 목표

이 단계에서는 개체 또는 특성이 MV에서 AADCS로 흐르는지 여부를 확인합니다. 이 시점에서 개체가 있는지 또는 ADCS 및 MV에서 특성이 올바른지 확인합니다(1단계와 2단계에서 설명). 그런 다음 개체의 동기화 규칙 및 계보를 검사합니다. 이 단계는 ADCS에서 MV로 의 인바운드 방향을 검사한 2단계와 유사합니다. 그러나 이 단계에서는 MV에서 AADCS로 흐르는 아웃바운드 동기화 규칙 및 특성에 집중합니다.

3단계 설명

MV와 AADCS 간의 동기화는 델타/전체 동기화 단계에서 AADC가 MV에서 데이터를 읽고, 모든 동기화 규칙을 처리하고, 해당 AADCS 개체를 업데이트할 때 발생합니다. 이 MV 개체에는 해당 속성에 기여하는 CS 개체와 동기화 단계에서 적용된 동기화 규칙의 계보를 가리키는 CS 링크(커넥터라고도 함)가 포함됩니다. 이 시점에서 AADC는 SQL Server(또는 localDB) 및 네트워킹 계층에서 더 많은 부하를 생성합니다.

개체에 대한 MV에서 AADCS로 문제 해결

1. 프로비전에 대한 아웃바운드 동기화 규칙 확인

   MV에 있지만 AADCS에 누락된 개체는 해당 개체에 적용된 프로비저닝 동기화 규칙에 대한 범위 지정 필터가 없음을 나타냅니다. 예를 들어 다음 이미지에 표시된 "Out to Microsoft Entra ID" 동기화 규칙을 참조하세요. 따라서 개체가 AADCS에서 프로비전되지 않았습니다. 이 오류는 사용하지 않도록 설정되거나 사용자 지정된 동기화 규칙이 있는 경우에 발생할 수 있습니다.

   인바운드 프로비저닝 동기화 규칙 목록을 얻으려면 다음 명령을 실행합니다.

   Get-ADSyncRule | where {$_.Name -like "Out to AAD*" -and $_.LinkType -eq "Provision"} | select Name,Direction,LinkType,Precedence,Disabled | ft

   

2. ADCS 개체의 계보 확인

   MV에서 실패한 개체를 검색하려면 메타버스 검색을 사용한 다음 커넥터 탭을 검사합니다. 이 탭에서 MV 개체가 AADCS 개체에 연결되어 있는지 여부를 확인할 수 있습니다. 또한 동기화 오류 탭이 있는 경우 개체에 오류가 있는지 확인합니다.

   

   AADCS 커넥터가 없으면 개체가 cloudFiltered=True로 설정될 가능성이 높습니다. 동기화 규칙이 cloudFiltered 값에 기여하는 MV 특성을 검사하여 개체가 클라우드 필터링되었는지 확인할 수 있습니다.

3. AADCS 개체에서 미리 보기 실행

   미리 보기>생성 미리 보기>커밋 미리 보기를 선택하여 개체가 AADCS에 연결되는지 여부를 확인합니다. 그렇다면 전체 동기화 주기가 동일한 상황에서 다른 개체에 대한 문제를 해결해야 합니다.

4. 개체를 XML로 내보내기

   자세한 분석 또는 오프라인 분석을 위해 Export-ADSyncObject 스크립트를 사용하여 개체와 관련된 모든 데이터베이스 데이터를 수집할 수 있습니다. 이 내보낸 정보는 (아웃바운드) 동기화 규칙 구성과 함께 개체를 필터링하는 규칙을 결정하는 데 도움이 될 수 있으며 프로비저닝 동기화 규칙에서 개체가 AADCS에 연결하지 못하도록 하는 아웃바운드 범위 지정 필터를 확인할 수 있습니다.

   Export-ADsyncObject 구문의 몇 가지 예는 다음과 같습니다.

   • Import-Module "C:\Program Files\Microsoft Azure Active Directory Connect\Tools\AdSyncTools.psm1"
   • Export-ADsyncObject -ObjectId '{46EBDE97-7220-E911-80CB-000D3A3614C0}' -Source Metaverse -Verbose
   • Export-ADsyncObject -DistinguishedName 'CN={2B4B574735713744676B53504C39424D4C72785247513D3D}' -ConnectorName 'Contoso.onmicrosoft.com - AAD'

개체에 대한 문제 해결 요약

• "Out to Microsoft Entra ID" 아웃바운드 프로비저닝 규칙에 대한 범위 지정 필터를 확인합니다.
• 개체의 미리 보기를 만듭니다.
• 전체 동기화 주기를 실행합니다.
• Export-ADSyncObject 스크립트를 사용하여 개체 데이터를 내보냅니다 .

특성에 대한 MV에서 AADCS로 문제 해결

1. 특성의 아웃바운드 동기화 규칙 및 변환 규칙 식별

   각 특성에는 MV에서 AADCS로 값을 전달해야 하는 고유한 변환 규칙 집합이 있습니다. 먼저 문제 해결 중인 특성에 대한 변환 규칙이 포함된 동기화 규칙을 식별합니다.

   지정된 특성에 대한 변환 규칙이 있는 동기화 규칙을 식별하는 가장 좋은 방법은 동기화 규칙 편집기의 기본 제공 필터링 기능을 사용하는 것입니다.

   

2. ADCS 개체의 계보 확인

   CS와 MV 사이의 각 커넥터(또는 링크)에는 해당 CS 개체에 적용된 동기화 규칙에 대한 정보가 포함된 계보가 있습니다. 이전 단계에서는 MV에서 AADCS로 올바른 값을 전달하기 위해 개체의 계보에 있어야 하는 아웃바운드 동기화 규칙 집합(프로비전 또는 동기화 규칙 조인 여부)을 알려줍니다. AADCS 개체의 계보를 검사하여 해당 동기화 규칙이 개체에 적용되었는지 여부를 확인할 수 있습니다.

   

3. 아웃바운드 동기화 규칙의 범위 지정 필터 확인

   동기화 규칙이 활성화되어 있지만 개체의 계보에 없는 경우 동기화 규칙의 범위 지정 필터를 통해 필터링해야 합니다. 동기화 규칙의 범위 지정 필터의 존재 여부와 MV 개체의 데이터 및 동기화 규칙의 사용 여부를 확인하여 해당 동기화 규칙이 AADCS 개체에 적용되지 않은 이유를 확인할 수 있습니다.

4. AADCS 개체에서 미리 보기 실행

   동기화 규칙이 ADCS 개체의 계보에서 누락된 이유를 확인하려면 미리 보기 생성 및 커밋 미리 보기를 사용하여 개체의 전체 동기화를 사용하는 미리 보기를 실행합니다. 미리 보기를 사용하여 MV에서 특성을 업데이트하는 경우 전체 동기화 주기가 동일한 상황에서 다른 개체에 대한 문제를 해결해야 합니다.

5. 개체를 XML로 내보내기

   보다 자세한 분석 또는 오프라인 분석을 위해 "Export-ADSyncObject" 스크립트를 사용하여 개체와 관련된 모든 데이터베이스 데이터를 수집할 수 있습니다. 이 내보낸 정보는 (아웃바운드) 동기화 규칙 구성과 함께 특성이 AADCS로 흐르지 못하게 하는 개체에서 누락된 동기화 규칙 또는 변환 규칙을 결정하는 데 도움이 될 수 있습니다(앞의 "Export-ADSyncObject" 예제 참조).

특성에 대한 문제 해결 요약

• 특성을 AADCS로 전달해야 하는 올바른 동기화 규칙 및 변환 규칙을 식별합니다.
• 개체의 계보를 확인합니다.
• 동기화 규칙이 사용하도록 설정되어 있는지 확인합니다.
• 개체의 계보에 누락된 동기화 규칙의 범위 지정 필터를 확인합니다.

동기화 규칙 파이프라인 문제 해결

동기화 규칙 처리 측면에서 ADSync 엔진(MiiServer라고도 함)을 추가로 디버그해야 하는 경우 .config 파일(C:\Program Files\Microsoft Azure AD Sync\Bin\miiserver.exe.config)에서 ETW 추적을 사용하도록 설정할 수 있습니다. 이 메서드는 동기화 규칙의 모든 처리를 보여 주는 광범위한 자세한 텍스트 파일을 생성합니다. 그러나 모든 정보를 해석하기 어려울 수 있습니다. 이 메서드는 최후의 수단으로 사용하거나 Microsoft 지원 표시된 경우에만 사용합니다.

리소스

• Synchronization Service Manager UI
• 동기화 규칙 편집기
• Export-ADsyncObject 스크립트
• Start-ADSyncSyncCycle -PolicyType Initial
• ETW 추적 SyncRulesPipeline(miiserver.exe.config)

4단계: AADCS와 AzureAD 간의 동기화

4단계 목표

이 단계에서는 AADCS 개체를 Microsoft Entra ID로 프로비전된 해당 개체와 비교합니다.

4단계 설명

Microsoft Entra ID로 데이터를 가져오고 내보내는 데 관련된 여러 구성 요소 및 프로세스로 인해 다음과 같은 문제가 발생할 수 있습니다.

• 인터넷에 연결
• 내부 방화벽 및 ISP 연결(예: 차단된 네트워크 트래픽)
• DirSync Webservice 앞에 있는 Microsoft Entra Gateway(AdminWebService 엔드포인트라고도 함)
• The DirSync Webservice API
• Microsoft Entra Core 디렉터리 서비스

다행히 이러한 구성 요소에 영향을 주는 문제는 일반적으로 Microsoft 지원 추적할 수 있는 이벤트 로그에서 오류를 생성합니다. 따라서 이러한 문제는 이 문서의 범위를 벗어납니다. 그럼에도 불구하고 여전히 검사할 수 있는 몇 가지 "침묵" 문제가 있습니다.

AADCS 문제 해결

• Microsoft Entra ID로 내보내는 여러 활성 AADC 서버

  Microsoft Entra ID의 개체가 특성 값을 앞뒤로 대칭 이동하는 일반적인 시나리오에서는 둘 이상의 활성 Microsoft Entra Connect 서버가 있으며 이러한 서버 중 하나는 로컬 AD와의 접촉을 끊지만 인터넷에 연결되어 있으며 Microsoft Entra ID로 데이터를 내보낼 수 있습니다. 따라서 이 "부실" 서버가 다른 활성 서버에서 만든 동기화된 개체에서 Microsoft Entra ID에서 변경 내용을 가져올 때마다 동기화 엔진은 ADCS에 있는 부실 AD 데이터에 따라 변경 내용을 되돌립니다. 이 시나리오의 일반적인 증상은 Microsoft Entra ID와 동기화되는 AD를 변경하지만 변경 내용은 몇 분 후(최대 30분) 원래 값으로 되돌아간다는 것입니다. 이 문제를 신속하게 완화하려면 서비스 해제된 이전 서버 또는 가상 머신으로 돌아가서 ADSync 서비스가 여전히 실행 중인지 확인합니다.

• DirSyncOverrides를 사용하는 모바일 특성

  관리자가 MSOnline 또는 AzureAD PowerShell 모듈을 사용하거나 사용자가 Office Portal로 이동하여 모바일 특성을 업데이트하는 경우 온-프레미스 AD(DirSyncEnabled라고도 함)에서 동기화되는 개체에도 불구하고 AzureAD에서 업데이트된 전화 번호를 덮어씁니다.

  또한 이 업데이트와 함께 Microsoft Entra ID는 이 사용자에게 Microsoft Entra ID에 휴대폰 번호가 "덮어쓰여진" 상태임을 표시하도록 개체에 DirSyncOverrides를 설정합니다. 이 시점부터 온-프레미스에서 시작된 모바일 특성에 대한 업데이트는 더 이상 온-프레미스 AD에서 관리되지 않으므로 무시됩니다.

  BypassDirSyncOverrides 기능 및 Microsoft Entra ID에서 온-프레미스 Active Directory Mobile 및 otherMobile 특성의 동기화를 복원하는 방법에 대한 자세한 내용은 Microsoft Entra 테넌트에서 BypassDirSyncOverrides 기능을 사용하는 방법을 참조하세요.

• UserPrincipalName 변경 내용이 Microsoft Entra ID에서 업데이트되지 않음

  UserPrincipalName 특성이 Microsoft Entra ID에서 업데이트되지 않고 다른 특성이 예상대로 동기화되는 경우 SynchronizeUpnForManagedUsers라는 기능이 테넌트에서 사용하도록 설정되지 않을 수 있습니다. 이 시나리오는 자주 발생합니다.

  이 기능을 추가하기 전에 사용자가 Microsoft Entra ID로 프로비전되고 라이선스가 할당된 후 온-프레미스에서 온-프레미스에서 온 UPN에 대한 업데이트는 "자동으로" 무시되었습니다. 관리자는 MSOnline 또는 Azure AD PowerShell을 사용하여 Microsoft Entra ID에서 UPN을 직접 업데이트해야 합니다. 이 기능이 업데이트된 후 UPN에 대한 모든 업데이트는 사용자가 라이선스(관리)되었는지 여부에 관계없이 Microsoft Entra로 전달됩니다.

  참고 항목

  사용하도록 설정한 후에는 이 기능을 사용하지 않도록 설정할 수 없습니다.

  UserPrincipalName 업데이트는 사용자에게 라이선스가 없는 경우 작동합니다. 그러나 SynchronizeUpnForManagedUsers 기능이 없으면 사용자가 프로비전된 후 UserPrincipalName이 변경되고 Microsoft Entra ID에서 업데이트되지 않는 라이선스가 할당됩니다. Microsoft는 고객을 대신하여 이 기능을 사용하지 않도록 설정하지 않습니다.

• 잘못된 문자 및 ProxyCalc 내부

  동기화 오류를 생성하지 않는 잘못된 문자와 관련된 문제는 온-프레미스 AD에서 동기화된 값을 자동으로 삭제하는 ProxyCalc 처리의 연계 효과 때문에 UserPrincipalName 및 ProxyAddresses 특성에서 더 번거롭습니다. 이 상황은 다음과 같이 발생합니다.

  1. Microsoft Entra ID의 결과 UserPrincipalName은 MailNickName 또는 CommonName @(at) 초기 도메인이 됩니다. 예를 들어 Microsoft Entra ID의 John.Smith@Contoso.comUserPrincipalName은 온-프레미스 AD의 UPN 값에 보이지 않는 문자가 있기 때문일 수 있습니다smithj@Contoso.onmicrosoft.com.

  2. ProxyAddress에 공백 문자가 포함된 경우 ProxyCalc는 공백 문자를 삭제하고 초기 도메인의 MailNickName을 기반으로 전자 메일 주소를 자동으로 생성합니다. 예를 들어 "SMTP: John.Smith@Contoso.com"는 콜론 뒤의 공백 문자를 포함하므로 Microsoft Entra ID에 표시되지 않습니다.

  3. 공백 문자를 포함하는 UserPrincipalName 또는 보이지 않는 문자가 포함된 ProxyAddress는 동일한 문제를 발생합니다.

     UserPrincipalName 또는 ProxyAddress에서 잘못된 문자 문제를 해결하려면 파일로 내보낸 LDIFDE 또는 PowerShell에서 로컬 AD에 저장된 값을 검사합니다. 보이지 않는 문자를 검색하는 쉬운 트릭은 내보낸 파일의 내용을 복사한 다음 PowerShell 창에 붙여넣는 것입니다. 보이지 않는 문자는 다음 예제와 같이 물음표(?)로 대체됩니다.

     

• ThumbnailPhoto 특성(KB4518417)

  AD에서 ThumbnailPhoto를 처음 동기화한 후에는 더 이상 업데이트할 수 없다는 일반적인 오해가 있습니다. 이는 부분적으로만 사실입니다.

  일반적으로 Microsoft Entra ID의 ThumbnailPhoto 는 지속적으로 업데이트됩니다. 그러나 업데이트된 그림이 해당 워크로드 또는 파트너(예: EXO 또는 SfBO)에 의해 Microsoft Entra ID에서 더 이상 검색되지 않는 경우 문제가 발생합니다. 이 문제로 인해 그림이 온-프레미스 AD에서 Microsoft Entra ID로 동기화되지 않았다는 잘못된 노출이 발생합니다.

  ThumbnailPhoto 문제를 해결하는 기본 단계

  1. 이미지가 AD에 올바르게 저장되고 크기 제한인 100KB를 초과하지 않는지 확인합니다.

  2. 계정 포털에서 이미지를 확인하거나 Get-AzureADUserThumbnailPhoto를 사용합니다. 이러한 메서드는 Microsoft Entra ID에서 ThumbnailPhoto를 직접 읽기 때문입니다.

  3. AD(또는 AzureAD) thumbnailPhoto에 올바른 이미지가 있지만 다른 온라인 서비스 올바르지 않은 경우 다음 조건이 적용될 수 있습니다.

  • 사용자의 사서함에 HD 이미지가 포함되어 있으며 Microsoft Entra thumbnailPhoto의 저해상도 이미지를 허용하지 않습니다. 해결 방법은 사용자의 사서함 이미지를 직접 업데이트하는 것입니다.
  • 사용자의 사서함 이미지가 올바르게 업데이트되었지만 원본 이미지가 계속 표시됩니다. 해결 방법은 Office 365 사용자 포털 또는 Azure Portal에서 업데이트된 이미지를 보기 위해 6시간 이상 기다리는 것입니다.

추가 리소스

• 동기화 중 오류 문제 해결
• Microsoft Entra Connect 동기화를 사용하여 개체 동기화 문제 해결
• Microsoft Entra ID와 동기화되지 않는 개체 문제 해결
• Microsoft Entra Connect 단일 개체 동기화

도움을 요청하십시오.

질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.