Azure AD Connect 동기화 오류는 어디서 확인하나요?

Azure Portal의 Microsoft Entra 관리 센터에서 '하이브리드 관리' > 'Azure AD Connect' 섹션에서 동기화 상태 및 오류를 확인할 수 있습니다. 또한, 동기화 서비스 관리자 GUI에서도 확인 가능합니다.

Azure AD Connect 동기화 중 '개체 충돌' 오류가 발생하는 이유는 무엇인가요?

이 오류는 온-프레미스 Active Directory와 Azure AD에 동일한 속성(예: UserPrincipalName, mail)을 가진 개체가 존재할 때 발생합니다. 클라우드와 온-프레미스 간의 개체 일관성을 유지하기 위해 충돌하는 개체를 수정하거나 삭제해야 합니다.

Azure AD Connect 동기화 성능을 개선하는 방법은 무엇인가요?

필요한 속성만 동기화하도록 필터링 규칙을 조정하고, 불필요한 동기화 주기를 줄이는 것이 좋습니다. 또한, Azure AD Connect 서버의 하드웨어 리소스(CPU, 메모리)를 충분히 확보하고, 최신 버전으로 업데이트하는 것도 성능 향상에 도움이 됩니다.

B2B Solution/트러블슈팅

Azure AD Connect 동기화 오류: 3가지 주요 원인과 해결 방법

SangPedia 2026. 3. 24. 13:03

Azure AD Connect 동기화 오류 진단 및 해결 가이드

Azure AD Connect는 온-프레미스 Active Directory와 Azure Active Directory (Azure AD) 간의 동기화를 담당하는 중요한 구성 요소입니다. 이 도구가 제대로 작동하지 않으면 사용자 계정, 그룹, 속성 등이 클라우드에 정확하게 반영되지 않아 업무에 지장을 초래할 수 있습니다. 이 글에서는 Azure AD Connect 동기화 과정에서 발생할 수 있는 일반적인 오류를 진단하고 해결하는 방법을 단계별로 안내합니다.

Sync-Service: The sync service encountered an error while processing a change.  The operation will be retried.

Details:
ErrorCode: 0x80230604
ErrorText: The object with ID 'xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx' in forest 'contoso.com' could not be found in the metaverse.

Connector: Contoso.com
Connector ID: yyyyyyyy-yyyy-yyyy-yyyy-yyyyyyyyyyyy

Attribute: userPrincipalName
Attribute Value: testuser@contoso.com

이 오류는 특정 개체를 Metaverse에서 찾을 수 없음을 나타냅니다. 이는 일반적으로 온-프레미스 Active Directory에서 개체가 삭제되었지만, Azure AD Connect가 변경 사항을 처리하기 전에 삭제가 Azure AD에 동기화되지 않았을 때 발생합니다.

또 다른 예시로, 암호 동기화 관련 오류가 발생할 수도 있습니다.

Event ID: 611
Task Category: PasswordSync
Description:
Password synchronization failed for domain contoso.com for user CN=Test User,OU=Users,DC=contoso,DC=com with error 80070005.  Check the permissions.

이 오류는 Azure AD Connect 계정에 암호 동기화를 수행할 권한이 없음을 나타냅니다. 이 문제는 계정에 필요한 권한을 부여하여 해결할 수 있습니다.

원인 분석

Azure AD Connect 동기화 오류의 원인은 다양하지만, 가장 흔한 원인은 다음과 같습니다.

1. 개체 충돌 (Object Conflicts)

가장 흔한 원인 중 하나는 온-프레미스 Active Directory와 Azure AD 간의 개체 충돌입니다. 이는 동일한 UserPrincipalName 또는 메일 주소를 가진 두 개 이상의 개체가 존재할 때 발생합니다. 예를 들어, 사용자가 온-프레미스 AD와 클라우드 AD 양쪽에 존재하는 경우 발생할 수 있습니다. 이러한 충돌은 Azure AD Connect가 어떤 개체를 동기화해야 할지 결정하는 데 혼란을 야기합니다.

Mermaid diagram: graph TD

2. 권한 부족 (Insufficient Permissions)

Azure AD Connect 계정에 Active Directory를 읽고 Azure AD를 업데이트할 수 있는 충분한 권한이 없는 경우 동기화 오류가 발생할 수 있습니다. 특히 암호 동기화 기능을 사용하는 경우, 계정에 특정 권한이 필요합니다. 예를 들어, 계정에 'Replicating Directory Changes' 권한이 없는 경우 암호 변경 사항을 동기화할 수 없습니다.

3. 네트워크 문제 (Network Issues)

Azure AD Connect 서버가 Active Directory 도메인 컨트롤러 또는 Azure AD에 연결할 수 없는 경우 동기화가 실패할 수 있습니다. 방화벽 설정, DNS 문제 또는 인터넷 연결 문제로 인해 연결 문제가 발생할 수 있습니다. 또한, Azure AD Connect 서버와 Active Directory 간의 통신에 필요한 포트가 차단된 경우에도 문제가 발생할 수 있습니다.

해결 방법

1. 개체 충돌 해결

개체 충돌을 해결하려면 다음 단계를 따르세요.

충돌하는 개체 식별: Azure AD Connect Health 또는 Microsoft Entra 관리 센터를 사용하여 충돌하는 개체를 식별합니다. 오류 메시지에 충돌하는 개체의 DN (Distinguished Name)이 포함되어 있습니다.
충돌 해결: 충돌하는 개체를 수정하거나 삭제합니다. 예를 들어, UserPrincipalName이 중복된 경우, 한 개체의 UserPrincipalName을 변경합니다. 필요하다면, 온-프레미스 AD에서 더 이상 사용되지 않는 계정을 삭제하는 것이 좋습니다.

실행 전 확인: 충돌하는 개체의 속성을 확인합니다.

```powershell
# 온-프레미스 AD에서 개체 정보 확인
Get-ADUser -Identity "<충돌하는 사용자>" -Properties UserPrincipalName, mail
# Azure AD에서 개체 정보 확인
Get-AzureADUser -ObjectId "<충돌하는 사용자>" | Format-List UserPrincipalName, mail
```

해결 방법: UserPrincipalName을 변경합니다.

```powershell
# 온-프레미스 AD에서 UserPrincipalName 변경
Set-ADUser -Identity "<충돌하는 사용자>" -UserPrincipalName "<새로운 UserPrincipalName>"
# 변경 사항 동기화
Start-ADSyncSyncCycle -PolicyType Delta
```

실행 후 확인: 변경된 UserPrincipalName을 확인합니다.

powershell Get-ADUser -Identity "<충돌하는 사용자>" -Properties UserPrincipalName, mail

2. 권한 문제 해결

Azure AD Connect 계정에 필요한 권한이 있는지 확인하려면 다음 단계를 따르세요.

계정 확인: Azure AD Connect를 실행하는 데 사용되는 계정을 확인합니다. 일반적으로 'MSOL_...'으로 시작하는 계정입니다.
필요한 권한 부여: 계정에 Active Directory에서 'Replicating Directory Changes' 권한을 부여하고, Azure AD에서 'Global Administrator' 또는 'Hybrid Identity Administrator' 역할을 할당합니다.

실행 전 확인: 현재 계정의 권한을 확인합니다.

powershell # Active Directory 권한 확인 (예시) Get-ADObject -Identity "<계정 DN>" -Properties rights | Select-Object -ExpandProperty rights

해결 방법: 'Replicating Directory Changes' 권한 부여 (예시).

powershell # Active Directory 권한 부여 (PowerShell을 사용하여 도메인 컨트롤러에서 실행) Add-ADGroupMember -Identity "<그룹 DN>" -Members "<계정 DN>"

실행 후 확인: 변경된 권한을 확인합니다.

powershell Get-ADObject -Identity "<계정 DN>" -Properties rights | Select-Object -ExpandProperty rights

3. 네트워크 문제 해결

네트워크 연결 문제를 해결하려면 다음 단계를 따르세요.

연결 확인: Azure AD Connect 서버가 Active Directory 도메인 컨트롤러 및 인터넷에 연결할 수 있는지 확인합니다. ping 명령 또는 Test-NetConnection cmdlet을 사용하여 연결을 테스트할 수 있습니다.
방화벽 확인: 방화벽이 Azure AD Connect 서버와 Active Directory 도메인 컨트롤러 간의 통신을 차단하지 않는지 확인합니다. 필요한 포트 (예: LDAP 389, Global Catalog 3268)가 열려 있는지 확인합니다.
DNS 확인: Azure AD Connect 서버가 Active Directory 도메인 컨트롤러의 DNS 이름을 올바르게 확인할 수 있는지 확인합니다. nslookup 명령을 사용하여 DNS 확인을 테스트할 수 있습니다.

Mermaid diagram: sequenceDiagram

실행 전 확인: 네트워크 연결 상태를 확인합니다.

powershell Test-NetConnection -ComputerName <AD 도메인 컨트롤러> -Port 389 Test-NetConnection -ComputerName login.microsoftonline.com -Port 443

해결 방법: 방화벽 규칙을 수정하여 필요한 포트를 엽니다.

powershell # 방화벽 규칙 추가 (예시, Windows Firewall) New-NetFirewallRule -DisplayName "Allow LDAP" -Direction Inbound -LocalPort 389 -Protocol TCP -Action Allow

실행 후 확인: 네트워크 연결 상태를 다시 확인합니다.

powershell Test-NetConnection -ComputerName <AD 도메인 컨트롤러> -Port 389 Test-NetConnection -ComputerName login.microsoftonline.com -Port 443

예방 조치

동기화 오류를 예방하기 위해 다음 조치를 취할 수 있습니다.

정기적인 모니터링: Azure AD Connect Health를 사용하여 동기화 상태를 정기적으로 모니터링하고, 오류가 발생하면 즉시 대응합니다.
자동화된 스크립트: PowerShell 스크립트를 사용하여 Active Directory 개체의 일관성을 검사하고, 충돌 가능성이 있는 개체를 식별합니다. 예를 들어, 주기적으로 UserPrincipalName이 중복된 개체를 검색하는 스크립트를 실행할 수 있습니다.

```powershell

UserPrincipalName 중복 검사 스크립트 예시

$UPNs = Get-ADUser -Filter * -Properties UserPrincipalName | Group-Object -Property UserPrincipalName | Where-Object {$.Count -gt 1}
if ($UPNs) {
Write-Warning "중복된 UserPrincipalName 발견됨"
$UPNs | ForEach-Object {
Write-Host "UserPrincipalName: $($.Name)"
$.Group | ForEach-Object { Write-Host " - $($.Name)" }
}
}
```
* 알림 설정: Azure Monitor를 사용하여 동기화 오류에 대한 알림을 설정합니다. 오류가 발생하면 이메일 또는 SMS로 알림을 받을 수 있도록 구성합니다.
* 최신 버전 유지: Azure AD Connect를 최신 버전으로 유지하여 알려진 문제에 대한 수정 사항 및 개선 사항을 적용합니다.

FAQ

Azure AD Connect 동기화가 얼마나 자주 실행되나요?

기본적으로 Azure AD Connect는 30분마다 동기화를 실행합니다. 그러나 필요에 따라 PowerShell을 사용하여 동기화 주기를 변경할 수 있습니다. Set-ADSyncScheduler cmdlet을 사용하여 동기화 주기를 조정할 수 있습니다. 예를 들어, Set-ADSyncScheduler -CustomizedSyncIntervalInMinute 15 명령은 동기화 주기를 15분으로 변경합니다.
Azure AD Connect 동기화 로그는 어디에 저장되나요?

Azure AD Connect 동기화 로그는 Windows 이벤트 로그에 저장됩니다. 'Application' 로그에서 'ADSync' 소스를 검색하여 동기화 관련 이벤트를 확인할 수 있습니다. 또한, Synchronization Service Manager GUI에서 자세한 동기화 통계를 확인할 수 있습니다.
Azure AD Connect 서버를 백업하는 방법은 무엇인가요?

Azure AD Connect 서버를 백업하려면 구성 내보내기 기능을 사용하는 것이 좋습니다. Synchronization Service Manager GUI에서 구성을 내보내어 백업 파일로 저장할 수 있습니다. 또한, Azure AD Connect 서버의 가상 머신 스냅샷을 생성하여 백업할 수도 있습니다. 백업에서 복원하려면 Azure AD Connect를 다시 설치하고, 내보낸 구성 파일을 가져오면 됩니다.

저작자표시 (새창열림)

'B2B Solution > 트러블슈팅' 카테고리의 다른 글

쿠버네티스 트러블슈팅 종합 가이드: Pod, Service, Network 문제 해결 (0)	2026.03.25
조건부 액세스(Conditional Access) 정책 설정 가이드: 기업 환경 보안 강화 (0)	2026.03.25
AD FS SAML 연동 오류: 만료된 Certificate 문제 해결 가이드 (ADFS4.0) (0)	2026.03.24
Prometheus & Grafana 기반 IT 인프라 모니터링 구축 A to Z (초급 가이드) (0)	2026.03.24
Redis 캐시 설정 완벽 가이드: 기업 환경 적용 사례와 성능 최적화 전략 (0)	2026.03.24

현재글Azure AD Connect 동기화 오류: 3가지 주요 원인과 해결 방법

하루에 1% 성장을 목표로 한다는 것은 작은 변화들이 쌓여 큰 성과를 이룰 수 있다는 믿음을 기반으로 한 멋진 접근 방식입니다. 일상의 경험을 통해 우리는 삶의 다양한 측면에서 배울 수 있으며, 이를 통해 자기 계발을 지속할 수 있습니다. 주식 분석은 금융 시장에 대한 이해를 높이고, 투자 결정에 도움을 줄 수 있는 유익한 활동입니다. IT 제품 및 지식에 대한 탐구는 현대 사회에서 기술의 발전과 그 영향을 이해하는 데 필수적입니다.

디렉터리 서비스, Azure Ad, SSO, Active Directory, IT 인프라, LLM, 트러블슈팅, 컨테이너, 보안, 비교 분석, iam, 자동화, DevOps, kubernetes, 인증, 클라우드, CI/CD, AI, 인공지능, 마이크로서비스,

Today :
Yesterday :

TopSecret SangPedia

Azure AD Connect 동기화 오류: 3가지 주요 원인과 해결 방법

Azure AD Connect 동기화 오류 진단 및 해결 가이드

목차