Azure Active Directory 동기화 도구를 사용할 때 하나 이상의 개체가 동기화되지 않음

  • 아티클

이 문서에서는 하나 이상의 AD DS(Active Directory Domain Services) 개체 특성이 Azure Active Directory 동기화 도구를 통해 Microsoft Entra ID 동기화되지 않는 문제를 해결합니다.

              원본 제품 버전: Cloud Services(웹 역할/작업자 역할), Microsoft Entra ID, Microsoft Intune, Azure Backup, Office 365 Identity Management
원본 KB 번호: 2643629

참고

이 문서가 도움이 되었나요? 귀하의 입력은 우리에게 중요합니다. 이 페이지의 피드백 단추를 사용하여 이 문서가 얼마나 잘 작동했는지 또는 어떻게 개선할 수 있는지 알려주세요.

증상

하나 이상의 AD DS 개체 또는 특성이 예상대로 Microsoft Entra ID 동기화되지 않습니다. Active Directory 동기화가 실행되면 개체가 동기화되지 않으며 다음 증상 중 하나가 발생합니다.

  • 특성에 중복 값이 있음을 나타내는 오류 메시지가 표시됩니다.
  • 하나 이상의 특성이 문자 집합 또는 문자 길이와 같은 서식 요구 사항을 위반한다는 오류 메시지가 표시됩니다.
  • 오류 메시지가 표시되지 않으며 디렉터리 동기화가 완료된 것 같습니다. 그러나 일부 개체 또는 특성은 예상대로 업데이트되지 않습니다.

받을 수 있는 오류 메시지의 몇 가지 예는 다음과 같습니다.

동일한 프록시 주소를 가진 동기화된 개체가 이미 Microsoft Online Services 디렉터리에 있습니다.

사용자 ID를 찾을 수 없으므로 이 개체를 업데이트할 수 없습니다.

이 개체와 연결된 다음 특성에는 이미 로컬 디렉터리의 다른 개체와 연결될 수 있는 값이 있으므로 Microsoft Online Services에서 이 개체를 업데이트할 수 없습니다.

원인

이 문제는 다음과 같은 이유로 발생합니다.

  • AD DS 특성에 사용되는 도메인 값이 확인되지 않았습니다.

  • 고유 값이 필요한 하나 이상의 개체 특성에는 기존 사용자 계정에 중복 특성 값(예: proxyAddresses 특성 또는 U serPrincipalName 특성)이 있습니다.

  • 하나 이상의 개체 특성이 특성 값의 문자 및 문자 길이를 제한하는 서식 지정 요구 사항을 위반합니다.

  • 하나 이상의 개체 특성이 디렉터리 동기화에 대한 제외 규칙과 일치합니다.

    다음 표에는 기본 동기화 범위 지정 규칙이 표시됩니다.

    개체 유형 특성 이름 동기화가 실패할 때 특성 조건
    담당자 DisplayName "MSOL"을 포함합니다.
    msExchHideFromAddressLists 가 "True"로 설정됩니다.
    보안 사용 그룹 isCriticalSystemObject 가 "True"로 설정됩니다.
    메일 사용이 가능한 그룹
    (보안 그룹 또는 배포 목록)    		 proxyAddresses



    메일    		 "SMTP:" 주소 항목이 없습니다.



    가 없습니다.
    메일 사용 가능 연락처 proxyAddresses



    메일    		 "SMTP:" 주소 항목이 없습니다.



    가 없습니다.
    Inetorgperson sAMAccountName 존재하지 않습니다.
    isCriticalSystemObject 가 있음
    사용자 mailNickName "SystemMailbox"로 시작합니다.
    mailNickName "CAS_"로 시작합니다.



    에는 "}"가 포함되어 있습니다.
    sAMAccountName "CAS_"로 시작합니다.



    에는 "}"가 포함되어 있습니다.
    sAMAccountName "SUPPORT_388945a0"과 같습니다.
    sAMAccountName "MSOL_AD_Sync"과 같습니다.
    sAMAccountName 존재하지 않습니다.
    isCriticalSystemObject 가 "True"로 설정됩니다.

  • UPN(사용자 계정 이름)은 초기 동기화 후에 변경되었으며 수동으로 업데이트해야 합니다.

  • 동기화된 사용자의 Exchange Online SMTP(Simple Mail Transfer Protocol) 주소는 온-프레미스 Active Directory 스키마에 적절하게 채워지지 않습니다.

해결 방법

이 문제를 resolve 상황에 맞게 다음 방법 중 하나를 사용합니다.

IdFix를 실행하여 중복, 누락된 특성 및 규칙 위반에 대한 검사

IdFix DirSync 오류 수정 도구를 사용하여 Microsoft Entra ID 동기화를 방지하는 개체 및 오류를 찾습니다.

  • IdFix를 실행한 후 ERROR 열에 "Blank"가 표시되면 개체의 displayName 특성이 정의되지 않습니다. 이 문제를 resolve 다음 단계를 사용하여 개체의 displayName 특성 값을 지정합니다.
  1. 개체의 UPDATE 열에 displayName 특성의 이름을 입력합니다.
  2. ACTION 열에서 편집을 클릭한 다음 적용을 클릭합니다.
  3. ERROR 열에 "빈" 항목이 있는 각 개체에 대해 1단계와 2단계를 반복합니다.
  4. IdFix를 다시 실행하여 더 많은 개체 오류를 찾습니다.
  • IdFix를 실행한 후 ERROR 열에 "중복"이 표시되면 둘 이상의 개체에 동일한 전자 메일 주소가 있습니다. 이 문제를 resolve 하려면 다음 단계를 사용하여 개체에 대한 고유한 전자 메일 주소를 지정합니다.
  1. 개체의 UPDATE 열에 아직 사용되지 않은 전자 메일 주소를 입력합니다.
  2. ACTION 열에서 편집을 클릭한 다음 적용을 클릭합니다.
  3. IdFix를 다시 실행하여 더 많은 개체 오류를 찾습니다.

디렉터리 동기화를 통해 Microsoft Entra ID 만들어지지 않은 개체로 인해 발생하는 특성 충돌 확인

관리 도구를 사용하여 만든(및 디렉터리 동기화를 통해 Microsoft Entra ID 생성되지 않은) 사용자 개체로 인한 특성 충돌을 확인하려면 다음 단계를 수행합니다.

  1. 온-프레미스 AD DS 사용자 계정의 고유한 특성을 확인합니다. 이렇게 하려면 Windows 지원 도구가 설치된 컴퓨터에서 다음 단계를 수행합니다.

    1. 시작을 선택하고 실행을 선택하고 ldp.exe 입력한 다음 확인을 선택합니다.

    2. 연결을 선택하고 연결을 선택하고 AD DS 도메인 컨트롤러의 컴퓨터 이름을 입력한 다음 확인을 선택합니다.

    3. 연결을 선택하고 바인딩을 선택한 다음 확인을 선택합니다.

    4. 보기를 선택하고 트리 뷰를 선택하고 BaseDN 드롭다운 목록에서 AD DS 도메인을 선택한 다음 확인을 선택합니다.

    5. 탐색 창에서 올바르게 동기화되지 않는 개체를 찾아 두 번 클릭합니다. 창 오른쪽의 세부 정보 창에는 모든 개체 특성이 나열됩니다. 다음 예제에서는 개체 특성을 보여줍니다.

      모든 개체 특성을 나열한 Windows 지원 도구의 탐색 및 세부 정보 창 스크린샷

    6. multivalue proxyAddresses 특성에 userPrincipalName 특성 및 각 SMTP 주소의 값을 기록합니다. 나중에 이러한 값이 필요합니다.

      특성 이름 예제 참고
      proxyAddresses proxyAddresses (3): x500:/o=Exchange/ou=Exchange 관리 그룹(FYDIBOHF23SPDLT)/cn=Recipients/cn=1ae75fca0d3a4303802cea9ca50fcd4f-7628376; smtp:7628376@service.contoso.com; SMTP:7628376@contoso.com;
      1. 특성 레이블 옆에 괄호로 표시되는 숫자는 다중값 특성의 프록시 주소 값 수를 나타냅니다.

      2. 각 고유 프록시 주소 값은 세미콜론(;) 표시됩니다.

      3. 기본 SMTP 프록시 주소 값은 대문자 "SMTP:"로 표시됩니다.
      userPrincipalName 7628376@contoso.com

      참고

      Ldp.exe Windows Server 2008 및 Windows Server 2003 지원 도구에 포함되어 있습니다. Windows Server 2003 지원 도구는 Windows Server 2003 설치 미디어에 포함되어 있습니다. 또는 지원 도구를 얻으려면 Microsoft 웹 사이트 Windows Server 2003 서비스 팩 2 32비트 지원 도구로 이동하세요.

  2. Windows PowerShell Azure Active Directory 모듈을 사용하여 Microsoft Entra ID 연결합니다. 자세한 내용은 Windows PowerShell 사용하여 Microsoft Entra ID 관리를 참조하세요.

    콘솔 창을 열어 둡니다. 다음 단계에서 사용해야 합니다.

  3. 중복된 userPrincipalName 특성을 확인합니다.

    2단계에서 연 콘솔 연결에서 표시되는 순서대로 다음 명령을 입력합니다. 각 명령 다음에 Enter 키를 누릅니다.

    $userUPN = "<search UPN>"

    참고

    이 명령에서 자리 표시자 "<search UPN>"은 1단계에서 기록한 UserPrincipalName 특성을 나타냅니다.

    Get-MSOLUser -UserPrincipalName $userUPN | where {$_.LastDirSyncTime -eq $null}

    참고

    Azure AD 및 MSOnline PowerShell 모듈은 2024년 3월 30일부터 더 이상 사용되지 않습니다. 자세한 내용은 사용 중단 업데이트를 참조하세요. 이 날짜 이후에는 이러한 모듈에 대한 지원이 Microsoft Graph PowerShell SDK 및 보안 수정에 대한 마이그레이션 지원으로 제한됩니다. 사용되지 않는 모듈은 2025년 3월 30일까지 계속 작동합니다.

    Microsoft Entra ID(이전의 Azure AD)와 상호 작용하려면 Microsoft Graph PowerShell로 마이그레이션하는 것이 좋습니다. 일반적인 마이그레이션 질문은 마이그레이션 FAQ를 참조하세요. 참고: MSOnline 버전 1.0.x는 2024년 6월 30일 이후에 중단이 발생할 수 있습니다.

    콘솔 창을 열어 둡니다. 다음 단계에서 다시 사용합니다.

  4. 중복된 proxyAddresses 특성을 확인합니다. 2단계에서 연 콘솔 연결에서 다음 명령을 실행합니다.

    Import-Module ExchangeOnlineManagement

  5. 1단계에서 기록한 각 프록시 주소 항목에 대해 표시되는 순서대로 다음 명령을 입력합니다. 각 명령 다음에 Enter 키를 누릅니다.

    $proxyAddress = "<search proxyAddress>"

    참고

    이 명령에서 자리 표시자 "<search proxyAddress>"는 1단계에서 기록한 proxyAddresses 특성의 값을 나타냅니다.

    Get-EXOMailbox | where {[string] $str = ($_.EmailAddresses); $str.tolower().Contains($proxyAddress.tolower()) -eq $true} | foreach {get-MSOLUser -UserPrincipalName $_.MicrosoftOnlineServicesID | where {($_.LastDirSyncTime -eq $null)}}

3단계와 4단계에서 명령을 실행한 후 반환되는 항목은 디렉터리 동기화를 통해 생성되지 않았고 올바르게 동기화되지 않는 개체와 충돌하는 특성이 있는 사용자 개체를 나타냅니다.

중복, 규칙 위반 및 범위 지정 제외를 제거하도록 AD DS 특성 업데이트

다음 정보를 기반으로 동기화를 방지하는 특정 특성을 식별합니다.

  • 관리 전자 메일 메시지
  • Office 365 배포 준비 도구의 출력 보고서
  • 기본 디렉터리 동기화 범위 지정 규칙 및 사용자 지정 규칙

특정 특성 값을 식별한 후 다음 방법 중 하나를 사용하여 특성 값을 편집합니다.

  • Active Directory 사용자 및 컴퓨터 도구를 사용하여 특성 값을 편집합니다.
  1. Active Directory 사용자 및 컴퓨터 연 다음 AD DS 도메인의 루트 노드를 선택합니다.
  2. 보기를 선택한 다음 고급 기능 옵션이 선택되어 있는지 확인합니다.
  3. 왼쪽 탐색 창에서 사용자 개체를 찾아 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  4. 개체 편집기 탭에서 원하는 특성을 찾습니다. 편집을 선택한 다음 특성 값을 원하는 값으로 편집합니다.
  5. 확인을 두 번 선택합니다.
  • ADSI(Active Directory 서비스 인터페이스) 편집을 사용하여 AD DS에서 개체 특성을 업데이트합니다. WINDOWS Server 도구 키트의 일부로 ADSI Edit를 다운로드하여 설치할 수 있습니다. ADSI 편집을 사용하여 특성을 편집하려면 다음 단계를 수행합니다.

경고

이 절차를 수행하려면 ADSI 편집이 필요합니다. ADSI 편집을 잘못 사용하면 운영 체제를 다시 설치해야 할 수 있는 심각한 문제가 발생할 수 있습니다. Microsoft는 ADSI 편집의 잘못된 사용으로 인한 문제를 해결할 수 있다고 보장할 수 없습니다. 사용자 고유의 위험에서 ADSI 편집을 사용합니다.

  1. 시작을 선택하고 실행을 선택하고 ADSIEdit.msc를 입력한 다음 확인을 선택합니다.
  2. 탐색 창에서 ADSI 편집 을 마우스 오른쪽 단추 로 클릭하고 연결을 선택한 다음 확인을 선택하여 도메인 파티션을 로드합니다.
  3. 사용자 개체를 찾아 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.
  4. 특성 목록에서 원하는 특성을 찾습니다. 편집을 선택한 다음 특성 값을 원하는 값으로 편집합니다.
  5. 확인을 두 번 선택한 다음 ADSI 편집을 종료합니다.

새 그룹을 Create 동기화되지 않는 기본 제공 그룹에 추가합니다.

일부 기본 제공 그룹(예: 도메인 사용자 그룹)이 동기화되지 않는 시나리오에서 문제를 resolve 적용 가능한 모든 멤버와 기본 제공 그룹의 적절한 권한이 포함된 새 그룹을 만듭니다. 그런 다음 동기화되지 않은 기본 제공 그룹에 해당 그룹을 멤버로 추가합니다. 기본 제공 그룹 대신 새 그룹을 사용하여 멤버를 관리합니다. 이 메서드를 사용하면 여전히 하나의 그룹만 관리합니다.

기본 제공 그룹의 특성을 변경하거나 중요한 시스템 개체를 동기화할 수 있도록 ID 동기화 어플라이언스 범위 지정 규칙을 변경하지 않으려는 것입니다. 다른 예기치 않은 동작을 트리거할 수 있습니다.

SMTP 일치를 사용하여 온-프레미스 사용자 개체가 기존 사용자 개체와 동기화되도록 합니다.

자세한 내용은 SMTP 일치를 사용하여 온-프레미스 사용자 계정을 일치시켜 디렉터리 동기화를 위해 사용자 계정을 Office 365 방법을 참조하세요.

사용자 계정 UPN 수동 업데이트

초기 디렉터리 동기화가 발생한 후 라이선스가 부여된 사용자 계정 UPN을 업데이트하려면 다음 단계를 수행합니다.

  1. Azure Active Directory v2 PowerShell 모듈을 설치합니다. 자세한 내용은 Azure Active Directory v2 PowerShell 모듈을 참조하세요.

  2. Azure Active Directory v2 PowerShell 프롬프트에서 다음 cmdlet을 실행합니다.

    $cred = get-credential

    참고

    메시지가 표시되면 관리자 자격 증명을 입력합니다.

    Connect-AzureAD

    Set-AzureADUser -ObjectId [CurrentUPN] -UserPrincipalName [NewUPN]

온-프레미스 Active Directory 특성을 사용하여 사용자 SMTP 주소 업데이트

SMTP 특성이 예상된 방식으로 Exchange Online 동기화되지 않은 경우 온-프레미스 Active Directory 특성을 업데이트해야 할 수 있습니다. 올바른 전자 메일 주소가 Exchange Online 표시되도록 온-프레미스 Active Directory 특성을 업데이트하려면 해결 방법 2를 사용하여 다음 표의 특성을 조작합니다.

온-프레미스 Active Directory 특성 이름 온-프레미스 Active Directory 특성 값 예제 이메일 주소 예제 Exchange Online
proxyAddresses Smtp:user1@contoso.com 기본 SMTP: user1@contoso.com
보조 SMTP: user1@contoso.onmicrosoft.com
proxyAddresses Smtp:user1@contoso.com 기본 SMTP: user1@contoso.onmicrosoft.com 보조 SMTP: user1@contoso.com
proxyAddresses Smtp:user1@contoso.com
Smtp:user1@sub.contoso.com		 기본 SMTP: user1@contoso.com
보조 SMTP: user1@sub.contoso.com
보조 SMTP: user1@contoso.onmicrosoft.com
메일 User1@contoso.com 기본 SMTP: user1@contoso.com
보조 SMTP: user1@contoso.onmicrosoft.com
UserPrincipalName User1@contoso.com 기본 SMTP: user1@contoso.com
보조 SMTP: user1@contoso.onmicrosoft.com

기본 도메인(예: user1@contoso.onmicrosoft.com)과 연결된 MOERA(Microsoft Online Email 라우팅 주소) 항목은 사용자 계정의 별칭을 기반으로 해석된 값입니다. 이 특수 전자 메일 주소는 각 Exchange Online 받는 사람에게 불가분하게 연결됩니다. 받는 사람에 대한 추가 MOERA 주소를 관리, 삭제 또는 만들 수 없습니다. 그러나 MOERA 주소는 온-프레미스 Active Directory 사용자 개체의 특성을 사용하여 기본 SMTP 주소로 과도하게 사용될 수 있습니다.

참고

proxyAddresses 특성에 데이터가 있으면 Exchange Online 메일 주소 채우기에 대한 메일 특성의 데이터가 완전히 마스킹됩니다.

참고

proxyAddresses 특성, 메일 특성 또는 두 특성 모두에 데이터가 있으면 Exchange Online 전자 메일 주소 채우기에 대한 UserPrincipalName 데이터가 완전히 마스킹됩니다. UPN을 사용하여 전자 메일 주소를 관리할 수 있습니다. 그러나 관리자는 proxyAddresses 또는 메일 특성을 입력하여 메일 주소 및 UPN을 별도로 관리하도록 결정할 수 있습니다.

동기화된 사용자의 Exchange Online 이메일 주소를 관리하기 위해 이러한 특성 중 하나를 일관되게 사용하는 것이 좋습니다.

추가 정보

이 문서에 언급된 Windows PowerShell 명령에는 Windows PowerShell Azure Active Directory 모듈이 필요합니다. Windows PowerShell Azure Active Directory 모듈에 대한 자세한 내용은 다음 문서를 참조하세요.
Windows PowerShell 사용하여 Microsoft Entra ID 관리합니다.

특성별 디렉터리 동기화 필터링에 대한 자세한 내용은 다음 Microsoft TechNet wiki 문서를 참조하세요.
Azure Active Directory 동기화 도구에서 동기화되는 특성 목록

도움을 요청하십시오.

질문이 있거나 도움이 필요한 경우 지원 요청을 생성하거나Azure 커뮤니티 지원에 문의하세요. Azure 피드백 커뮤니티에 제품 피드백을 제출할 수도 있습니다.