내보내기(0) 인쇄
모두 확장

디렉터리 동기화 준비(영문일 수 있음)

게시: 2012년 6월

업데이트 날짜: 2014년 11월

적용 대상: Azure, Office 365, Windows Intune

note참고
이 항목은 중국의 Microsoft Azure 사용자에게 완전히 적용되지 않을 수 있습니다. 중국의 Azure 서비스에 대한 자세한 내용은 windowsazure.cn을 참조하세요.

관리자는 로컬 Active Directory를 Microsoft Azure AD(Microsoft Azure Active Directory)로 동기화하기 전에 일부 준비 작업을 수행해야 합니다.

Single Sign-On을 배포하는 경우 Single Sign-On을 설정한 후 디렉터리 동기화를 설정하는 것이 좋습니다.

Single Sign-On을 설정한 다음 아래의 문장이 참인지 확인합니다.

  • 필수 소프트웨어를 가지고 있습니다.

  • 올바른 권한을 설정했습니다.

  • 디렉터리 동기화와 관련된 성능 문제를 이해합니다.

디렉터리 동기화를 활성화할 때는 장기적인 안목으로 고려해야 합니다. 디렉터리 동기화를 활성화한 후에는 온-프레미스 Active Directory 관리 도구를 사용하여 동기화된 개체만 편집할 수 있습니다. 자세한 내용은 디렉터리 동기화 및 인증 원본(영문일 수 있음)를 참조하십시오.

Azure Active Directory 및 Office 365의 모든 고객은 기본적으로 개체 수가 50,000개(사용자, 메일 사용이 가능한 연락처 및 그룹)로 제한됩니다.
이 제한에 따라 테넌트에서 만들 수 있는 개체 수가 결정됩니다.
DirSync, Powershell 또는 GRAPH API를 사용하여 개체를 만들 수 있습니다.

첫 번째 도메인을 확인하면 이 개체 제한이 자동으로 300,000개 개체로 증가합니다.
각 테넌트에 대해 한 번만 증가합니다.

Important중요
도메인을 확인한 후 300,000개보다 더 많은 개체를 동기화해야 하는 경우 또는 확인할 도메인이 없고 50,000개보다 더 많은 개체를 동기화해야 하는 경우에는 Azure Active Directory 지원에 연락하여 개체 할당량 제한을 늘려 달라고 요청해야 합니다.

온-프레미스 Active Directory의 개체 수가 50,000개 미만인 경우 Microsoft SQL Server 2008 Express를 사용하여 디렉터리 동기화를 배포할 수 있습니다.
하지만 온-프레미스 Active Directory의 개체 수가 50,000개를 넘는 경우에는 SQL Server의 전체 인스턴스와 함께 디렉터리 동기화를 배포해야 합니다. SQL Server에 필요한 전체 인스턴스는 Microsoft SQL Server 2008 Standard, Microsoft SQL Server 2008 R2 또는 Microsoft SQL Server 2012입니다. SQL Server의 독립 실행형 버전에서 동기화를 배포하는 방법에 대한 자세한 내용은 SQL Server에 디렉터리 동기화 도구를 설치하는 방법를 참조하십시오.

이 섹션에서는 디렉터리 동기화 도구를 실행하기 위한 컴퓨터 요구 사항을 설명합니다. 디렉터리 동기화 도구는 도메인 컨트롤러 서버와 통신합니다. 디렉터리 동기화 도구의 기본 설치에는 한 버전의 Microsoft SQL Server 2012 Express SP1가 포함되어 있습니다.

디렉터리 동기화에 사용하는 컴퓨터는 다음 요구 사항을 충족해야 합니다.

  • Windows Server를 운영 체제로 실행해야 합니다. 지원되는 Windows Server 운영 체제 버전은 다음과 같습니다.

    • 64비트 버전의 Windows Server 2008 Datacenter

    • 64비트 버전의 Windows Server 2008 R2 Standard 또는 Enterprise, Windows Server 2008 R2 Datacenter

    • 64비트 버전의 Windows Server 2012 Standard 또는 Datacenter

    • 64비트 버전의 Windows Server 2012 R2 Standard 또는 Datacenter

  • Active Directory에 가입되어야 합니다. 디렉터리 동기화 컴퓨터는 동기화할 Active Directory 포리스트에 가입되어야 합니다. 다양한 공존 환경의 경우 쓰기 저장에 대한 사용 권한을 설정하려면 DirSync 서버가 포리스트의 모든 도메인 컨트롤러를 명시적으로 열거하고 여기에 연결해야 하므로 이 항목은 요구 사항입니다. 하이브리드 배포를 사용하지 않는 경우에는 요구 사항이 아닙니다.
    또한 포리스트에 있는 모든 도메인의 다른 모든 도메인 컨트롤러에 연결할 수 있어야 합니다. 포리스트는 동일한 클래스 및 특성 정의, 사이트 및 복제 정보, 포리스트 전체 검색 기능 등을 공유하는 하나 이상의 Active Directory 도메인입니다.

  • Microsoft .NET Framework 3.5 SP1 및 Microsoft .NET Framework 4.0을 실행해야 합니다. Windows Server 2008을 실행 중인 경우 .NET Framework가 이미 설치되어 있으며, 그렇지 않은 경우 다음 위치에서 다운로드할 수 있습니다.

  • Windows PowerShell을 실행해야 합니다. Windows Server 2003을 실행 중인 경우 Windows PowerShell을 다운로드해야 합니다. Windows Server 2008을 실행 중인 경우 Windows PowerShell을 사용하도록 설정해야 합니다. 자세한 내용은 디렉터리 동기화 컴퓨터에 Windows PowerShell 설치를 참조하십시오.

  • 액세스가 제어되는 환경에 있어야 합니다. 디렉터리 동기화 도구를 실행 중인 컴퓨터에 대한 액세스는 Active Directory 도메인 컨트롤러 및 기타 중요한 네트워크 구성 요소에 대한 액세스 권한을 가지고 있는 사용자로 제한되어야 합니다. Active Directory에서 도메인 컨트롤러를 변경하는 데 필요한 사용 권한이 있는 사용자 또는 관리자만 이 컴퓨터에 액세스할 수 있어야 합니다.

note참고
디렉터리 동기화 도구를 실행할 수 있는 지원 서버 목록에 Windows Server 2012가 추가되었습니다.

Important중요
온-프레미스 Active Directory 및 Office 365 테넌트 간에 디렉터리 동기화 도구를 실행하는 컴퓨터를 한 대만 설치할 수 있습니다.

다음 표에는 Office 365 환경과 통신하는 Active Directory 포리스트에 배포된 도메인 컨트롤러에 대한 요구 사항이 나와 있습니다.

 

구성 요소 요구 사항

Active Directory 포리스트

  • Windows Server 2003 포리스트 기능 모드 또는 그 이상

도메인 컨트롤러

  • 32비트 또는 64비트 Windows Server 2003 Standard Edition 또는 Enterprise Edition SP1(서비스 팩 1)

  • 32비트 또는 64비트 버전의 Windows Server 2008 Standard 또는 Enterprise, Windows Server 2008 R2 Standard 또는 Enterprise, Windows Server 2008 Datacenter 또는 Windows Server 2008 R2 Datacenter

  • 32비트 또는 64비트 버전의 Windows Server 2012 Standard 또는 Datacenter

Important중요
Exchange 2010 SP2 하이브리드 서버를 설치할 모든 Active Directory 사이트에서 글로벌 카탈로그 서버를 하나 이상 구성해야 합니다.

디렉터리 동기화 도구를 설치할 때 마법사가 서비스 계정을 만들어 로컬 Active Directory를 읽고 Azure AD에 쓰는 데 사용합니다. 마법사는 로컬 Active Directory 관리자 권한과 설치 중에 사용자가 제공한 클라우드 서비스 관리자 권한을 모두 사용하여 이 계정을 만듭니다.

디렉터리 동기화 도구를 실행하려면 다음에 대한 관리자 권한이 있어야 합니다.

  • 디렉터리 동기화 도구를 실행하는 컴퓨터

  • 회사의 로컬 Active Directory

  • 회사의 Microsoft 클라우드 서비스 관리자 계정(Azure AD 자격 증명 참조)

디렉터리 동기화 도구를 처음 실행하면 모든 관련 개체(사용자 계정 및 보안 그룹)가 Azure AD에 복사됩니다. 이 작업을 수행하기 전에 이 작업이 네트워크 응답 시간과 Microsoft Exchange Server를 실행하는 컴퓨터에 주는 영향을 미리 계획할 수 있도록 복사될 개체 수를 알아야 합니다.

note참고
Azure AD 서비스는 최대 50,000개 개체의 동기화를 지원합니다. 50,000개가 넘는 개체를 동기화하려면 지원 서비스에 문의하십시오.

Tip
Office 365를 사용하시겠습니까? 온-프레미스 디렉터리 서비스에서 동기화된 개체는 GAL(전체 주소 목록)에 즉시 표시되지만 이러한 개체가 OAB(오프라인 주소록) 및 Lync Online에 표시되려면 최대 24시간이 걸릴 수 있습니다.

디렉터리 동기화를 설정하려면 컴퓨터 한 대를 디렉터리 동기화 컴퓨터로 지정한 다음 해당 컴퓨터에 디렉터리 동기화 도구를 설치해야 합니다.

디렉터리 동기화 도구의 성능은 디렉터리 동기화 도구가 실행되는 하드웨어는 물론 고객이 운영하는 Active Directory의 규모와 복잡성에 따라 달라집니다. 요구 사항에 못 미치는 하드웨어에서 디렉터리 동기화 도구를 실행하면 도구의 성능이 저하되므로 대기 시간이 길어지고 온-프레미스 데이터를 클라우드에 전파하지 못할 수도 있습니다.

50,000개가 넘는 개체가 포함된 Active Directory 배포의 경우 디렉터리 동기화 도구를 전체 SQL 인스턴스와 함께 배포하는 것이 좋습니다. 즉, 이런 경우 SQL Express SKU가 아닌 SQL Server Standard/Enterprise/DataCenter 등의 배포를 사용하는 것이 좋습니다. 개체가 50,000개 미만인 경우에도 전체 SQL 인스턴스를 사용할 수 있지만 이 경우 디렉터리 동기화 도구와 함께 기본적으로 설치되는 SQL Express면 충분합니다.

다음 표에서는 온-프레미스 Active Directory에 있는 개체 수와 관련하여 디렉터리 동기화 컴퓨터에 권장되는 최소 하드웨어 요구 사항을 보여 줍니다.

 

Active Directory의 개체 수 CPU 메모리 하드 드라이브 크기

10,000개 미만

1.6 GHz

4 GB

70 GB

10,000–50,000

1.6 GHz

4 GB

70 GB

50,000–100,000

전체 SQL Server 필요

1.6 GHz

16 GB

100 GB

100,000–300,000

전체 SQL Server 필요

1.6 GHz

32 GB

300 GB

300,000–600,000

전체 SQL Server 필요

1.6 GHz

32 GB

450 GB

600,000개 초과

전체 SQL Server 필요

1.6 GHz

32 GB

500 GB

디렉터리 동기화 도구 안의 여러 프로세스가 하드 디스크 공간을 사용합니다. 디렉터리 동기화 도구에서 사용하는 디스크 공간은 이 디렉터리 동기화 도구가 동기화되는 Active Directory 인프라의 규모 및 복잡성을 포함해 여러 요인에 따라 증가합니다.

위의 표에 나와 있는 하드 디스크 용량은 설명된 크기의 Active Directory를 동기화하는 데 필요한 총 디스크 공간의 추정치입니다.

기본적으로 디렉터리 동기화 도구는 Microsoft SQL Server 2008 R2 Express Edition을 설치합니다. 데이터 파일은 Microsoft Online Directory Sync Product 파일과 같은 디렉터리에 저장되며 이 경로는 디렉터리 동기화 도구 설치 중에 C:\Program Files\Microsoft Online Directory Sync로 지정됩니다. 이 데이터베이스 파일의 위치는 SQL Server 2008 R2 Express Edition에 대해서는 구성할 수 없습니다.

기존 SQL Server 인스턴스를 사용하는 고객이 디렉터리 동기화 도구를 사용할 경우 반드시 특정 하드 디스크 구성을 구축해야 할 필요는 없습니다. 그러나 디렉터리 동기화 프로세스는 SQL에 최적화된 디스크 구성을 채택한 컴퓨터에서 훨씬 더 나은 전반적 성능을 보여 줍니다.

사용자가 Microsoft Online Services에 로그인할 수 있도록 하려면 Active Directory 환경을 올바르게 구성해야 합니다. 특히 사용자 로그온 이름이라고도 하는 UPN(userPrincipalName) 특성이 각 사용자에 대해 고유한 방식으로 올바르게 설정되어 있어야 합니다. UserPrincipalName 특성은 공개적으로 라우팅 가능한 도메인을 사용해야 합니다. 현재 공개적으로 라우팅 가능한 도메인을 사용하지 않는 경우 사용자의 UserPrincipalName을 업데이트해야 합니다. 이렇게 하려면 온-프레미스 Active Directory에 대체 UPN 접미사를 추가합니다.

대체 UPN 접미사를 추가하여 사용자의 회사 자격 증명을 Office 365 환경과 연결해야 합니다. UPN 접미사는 UPN에서 @ 문자 오른쪽에 있는 부분입니다. Single Sign-On에 사용되는 UPN에는 문자, 숫자, 마침표, 대시 및 밑줄을 포함할 수 있으며 다른 유형의 문자는 포함할 수 없습니다.

  1. 시작, 관리 도구, Active Directory 도메인 및 트러스트를 차례로 클릭합니다.

  2. 조직의 Active Directory 도메인 컨트롤러에 로그온합니다.

  3. 콘솔 트리에서 Active Directory 도메인 및 트러스트를 마우스 오른쪽 단추로 클릭한 다음 속성을 클릭합니다.

  4. UPN 접미사 탭을 선택하고 포리스트의 대체 UPN 접미사를 입력한 다음 추가를 클릭합니다.

  5. 대체 UPN 접미사를 더 추가하려면 3단계를 반복합니다.

Active Directory 동기화를 아직 설정하지 않은 경우 이 작업을 건너뛰고 다음 섹션을 진행할 수 있습니다.

Active Directory 동기화를 이미 설정한 경우에는 사용자의 Office 365 UPN이 Active Directory에 정의된 사용자의 온-프레미스 UPN과 일치하지 않을 수도 있습니다. 도메인이 확인되기 전에 사용자에게 라이선스가 할당된 경우 이와 같은 문제가 발생할 수 있습니다.

이 문제를 해결하려면 Windows PowerShell을 사용하여 회사 사용자 이름 및 도메인과 일치하도록 사용자의 Office 365 UPN을 업데이트하십시오.

Single Sign-On을 선택적으로 설정하고, 디렉터리 동기화 컴퓨터를 준비했으므로 디렉터리 동기화 활성화 준비가 완료되었습니다.

note참고
이 문서의 내용에 대해 질문이 있거나 일반적인 의견이 있는 경우 Windows Azure Active Directory Discussion Forum에 메시지를 게시하십시오.

참고 항목

개념

Single Sign-On 준비
Azure AD 자격 증명

기타 리소스

Windows Azure Active Directory 동기화 도구를 배포하고 관리하기 위한 모범 사례
Windows Azure Active Directory 동기화 도구로 동기화되는 특성 목록

이 정보가 도움이 되었습니까?
(1500자 남음)
의견을 주셔서 감사합니다.

커뮤니티 추가 항목

추가
표시:
© 2014 Microsoft