Azure AD Connect 마스터: 동기화 일정 및 강제 실행

튜토리얼
PowerShell

온-프레미스 Active Directory 도메인 서비스(AD)를 Azure AD와 통합하고 동기화하는 것은 Synchronization Service Manager GUI 또는 PowerShell을 사용하여 수행됩니다.

Azure AD를 온-프레미스에서 사용하는 두 가지 방법이 있습니다. 직접 인증(인증 요청을 직접 Azure AD로 전송) 또는 온-프레미스 AD와 Azure AD 간에 암호 해시를 동기화하는 디렉터리 동기화입니다. 이 블로그 포스트에서는 Azure Active Directory Connect 소프트웨어를 설정하여 암호 해시를 동기화하는 방법을 다룰 것입니다.

정기 동기화를 실행하는 방법과 Azure AD Connect를 사용하여 암호 해시 동기화를 강제로 수행하는 방법을 다룰 것입니다.

요약하면, PowerShell로 Azure AD를 동기화하려면 다음 단계가 필요합니다:

  1. Azure Active Directory Connect 설치
  2. ADSync PowerShell 모듈 가져오기
  3. Start-AdSyncSchedule cmdlet 실행(도메인 컨트롤러의 암호 해시를 읽고 Azure AD와 동기화)

비디오를 통해 학습하는 것이 더 좋다면, 이 유익한 TechSnips 비디오를 확인해보세요.

Azure AD Connect 설치

온프레미스 액티브 디렉터리를 Azure AD 테넌트에 동기화하려면 먼저 Azure AD Connect 소프트웨어를 다운로드하고 설치해야 합니다. 이를 위해 두 가지 옵션이 있습니다. Azure 포털에서 다운로드하거나 소프트웨어 패키지에 직접 접속하여 다운로드할 수 있습니다.

Azure 포털에서 다운로드하기

Microsoft 사이트에서 패키지를 다운로드하지 않기로 선택한 경우 Azure 포털에서 패키지를 가져와야 합니다.

포털에서 “Azure Active Directory”를 검색하십시오. Azure Active Directory 섹션에서 Azure AD Connect를 클릭합니다. 여기에서 Sync Status 섹션과 Azure AD Connect 다운로드 링크가 있는 것을 찾을 수 있습니다.

Azure Portal – Azure AD Connect

동기화 도구

Azure AD Connect를 설치하면 주로 두 가지 도구가 설치됩니다. 이 도구를 사용하여 동기화 일정을 설정하거나 동기화를 강제로 수행할 수 있습니다.

  • ADSync PowerShell 모듈
  • 동기화 서비스 관리자

이 두 도구를 사용하여 Azure AD 동기화를 주기적으로 수행하는 반복 일정을 설정하거나 동기화를 강제로 수행할 수 있습니다. 두 도구는 동일한 작업을 수행하지만 하나는 명령줄(PowerShell)을 통해 수행되고 다른 하나는 GUI 응용 프로그램입니다.

ADSync PowerShell 모듈 설정하기

Azure AD Connect를 설치하면 ADSync라는 PowerShell 모듈이 설치됩니다. 이 모듈에는 PowerShell을 사용하여 동기화 프로세스를 관리할 수 있는 기능이 포함되어 있습니다.

이 문서에서는 Windows PowerShell 5.1을 사용하고 있습니다. 이전 버전을 사용하는 경우 결과가 다를 수 있습니다.

모든 PowerShell 모듈과 마찬가지로, 모듈을 가져오는 것은 간단합니다. 그러나 모듈은 알려진 Windows PowerShell 모듈 폴더에 위치하지 않습니다. 설치는 PowerShell 모듈을 C:\Program Files\Microsoft Azure AD Connect Sync\Bin 폴더에 설치합니다.

모듈을 가져오려면 PowerShell 콘솔을 열고 다음을 입력하십시오:

PS51> Import-Module –Name "C:\Program Files\Microsoft Azure AD Sync\Bin\ADSync" -Verbose

모듈이 가져와졌는지 확인하려면 Get-Module을 사용하십시오. ADSync 모듈이 나열되어야 합니다.

ADSync PowerShell Module

기본 Azure AD 동기화 일정

Azure AD Connect는 기본적으로 30분마다 디퍼런스(다른 개체만 동기화) 동기화를 실행하는 예약된 작업을 생성합니다. 일정은 작업 스케줄러를 열어 확인할 수 있습니다. Microsoft -> Windows 아래에 Azure AD Sync Scheduler라는 예약된 작업이 있는 것을 알 수 있어야 합니다.

Azure AD Sync Scheduler scheduled task

이 일정을 변경할 수 있지만, 30분이 최소 지원 간격임을 유념하십시오. 동기화 간격을 변경하여 변경 사항을 충분히 수집하도록 설정하는 것이 목표입니다. 동기화 간격이 너무 짧으면 네트워크를 포화시킬 위험이 있습니다.

스케줄러는 두 가지 작업을 처리합니다:

  • 동기화 주기 – 변경 사항을 가져오고 동기화하며 내보내는 프로세스입니다.
  • 유지보수 작업 – 비밀번호 재설정 및 디바이스 등록 서비스(DRS)를 위한 키와 인증서를 갱신합니다. 또한 운영 로그에서 오래된 항목을 정리합니다.

스케줄러 자체는 항상 실행되지만 이러한 작업 중 하나 또는 전혀 실행되지 않도록 구성할 수 있습니다.

Azure AD Connect 동기화 강제

객체의 동기화를 강제로 실행해야 하는 경우가 있을 수 있습니다. 예를 들어, 동기화 주기를 직접 처리해야 하는 경우 스케줄러에서 이 작업을 비활성화하지만 여전히 유지보수 작업을 실행할 수 있습니다.

Azure Active Directory Connect를 사용하여 암호 동기화 및 기타 정보를 강제로 실행하려면 동기화 서비스 관리자 또는 PowerShell을 사용할 수 있습니다.

동기화 서비스 관리자를 사용하여 동기화 강제 실행

Azure AD Connect가 설치된 서버에서 시작 메뉴로 이동하고 AD Connect를 선택한 다음 동기화 서비스를 선택합니다.

처음 보면 압도적으로 보일 수 있지만, 오른쪽 패널의 커넥터 탭에만 관심을 가지면 됩니다. 오른쪽 패널을 살펴보면 동기화를 중지(중지)하고 실행(실행)할 수 있는 옵션을 확인할 수 있습니다.

Synchronization Service Manager

싱크 주기가 실행 중인 경우 구성 변경을 할 수 없습니다. 현재 주기를 중지해도 문제가 발생하지 않으며 대기 중인 변경 사항은 다음 실행 시 처리됩니다.

PowerShell로 동기화 상태 가져오기

동기화를 강제로 실행하기 전에 현재 동기화 주기의 상태를 확인하는 것이 좋습니다. 현재 실행 중인 동기화 중에 동기화를 강제로 실행하면 나중에 문제가 발생할 수 있습니다.

현재 설정을 보려면 Azure Active Directory Connect가 설치된 서버에서 PowerShell 콘솔을 열고 Get-ADSyncScheduler를 실행하십시오. 몇 가지 유용한 정보를 제공하는 몇 가지 속성이 표시됩니다.

Get-AdSyncScheduler

파싱해야 할 정보가 꽤 많습니다. 한 줄씩 살펴보겠습니다:

  • AllowedSyncCycleInterval – 이것은 동기화 간의 가장 짧은 시간입니다. 기본값은 30분으로 설정되어 있으며 가장 짧은 허용 시간입니다.
  • CurrentlyEffectiveSyncCycleInterval – 현재 적용 중인 일정입니다. CustomizedSyncInterval (설정된 경우)과 값이 같으며 AllowedSyncInterval보다 더 자주 실행되지 않는 경우에 해당합니다. 빌드 1.1.281 이전 버전을 사용하고 CustomizedSyncCycleInterval을 변경하면 이 변경은 다음 동기화 주기 이후에 적용됩니다. 빌드 1.1.281 이후부터는 즉시 적용됩니다.
  • CustomizedSyncCycleInterval – 기본 30분이 아닌 다른 주기로 스케줄러를 실행하려는 경우에 설정합니다.
  • NextSyncCyclePolicyType – 이 매개변수는 다음 실행이 무엇을 처리해야 하는지 정의합니다. 다음 실행이 완전한 동기화인 경우, 처음에 표시됩니다.
  • NextSyncCycleStartTimeInUTC – 이것은 스케줄러가 다음 동기화 주기를 시작하는 시간입니다.
  • PurgeRunHistoryInterval – 작업 로그를 유지하는 기간을 설정합니다. 기본값은 로그를 7일 동안 유지하는 것입니다.
  • SyncCycleEnabled – 스케줄러가 가져오기, 동기화 및 내보내기 프로세스를 실행하는지 여부를 나타냅니다.
  • MaintenanceEnabled – 유지 관리가 활성화되면 인증서/키를 업데이트하고 작업 로그를 삭제합니다.
  • StagingModeEnabled – 활성화된 경우 내보내기가 실행되지 않습니다. 동기화입니다.
  • SchedulerSuspended – 일시적으로 스케줄러를 실행하지 않도록 설정합니다.

PowerShell을 사용하여 동기화 강제하기

Active Directory에서 유출된 및 안전하지 않은 암호를 확인하여 NCSC 암호 목록에 대해 확인하세요.

동기화를 강제하는 경우 몇 가지 옵션이 있습니다. 전체 동기화 또는 델타 동기화를 강제할 수 있습니다. 전체 동기화는 AD 전체 객체를 확인합니다. 델타 동기화는 마지막 실행 이후의 변경 사항만 확인하고 동기화합니다.

전체 동기화를 시작하려면 Start-AdSyncSyncCycle cmdlet을 사용할 수 있습니다. PolicyType 매개변수를 사용하여 원하는 동기화 유형에 따라 Full 또는 Delta를 선택하십시오. 어느 방법을 사용하더라도 Office 365, 사용자 ID 계정 및 다른 모든 속성에 대한 AD 동기화를 강제로 실행합니다.

PS51> Start-ADSyncSyncCycle -PolicyType Full
PS51> Start-ADSyncSyncCycle -PolicyType Delta

동기화 중지

진행 중인 동기화를 중지하려면 Stop-ADSyncSyncCycle cmdlet을 사용할 수도 있습니다.

PS51> Stop-ADSyncSyncCycle

요약

GUI 또는 PowerShell을 사용하든지, 이제 Azure Active Directory Connect 도구를 사용하여 온프레미스 Active Directory 환경과 Azure AD 간에 일정을 예약하거나 강제로 동기화하는 다양한 방법을 알고 있어야 합니다.

Source:
https://adamtheautomator.com/azure-ad-connect/