Azure AD Connect는 온프레미스 Active Directory (AD)와 Azure Active Directory (Azure AD)를 통합 및 동기화하는 도구입니다.
Azure AD Connect를 사용하면 온프레미스 환경과 클라우드 환경 간의 사용자 및 보안 그룹을 효율적으로 관리하고, 하이브리드 아이덴티티를 구축하여 사용자 인증 및 접근 관리를 간소화할 수 있습니다.
1) Azure AD Connect : 디자인 개념
sourceAnchor
- sourceAnchor 속성 (=immutableId)
* 개체의 수명 동안 변경할 수 없는 속성- 온-프레미스 및 Azure AD에서 동일한 개체로 고유하게 식별하는 데에 사용됨
- 선택 가능한 sourceAnchor 속성 값
objectGUID
기본적으로 Azure AD Connect(버전 1.1.486.0 이하)는 objectGUID를 sourceAnchor 특성으로 사용- ms-DS-ConsistencyGuid
- Azure AD Connect의 최신 버전(1.1.524.0 이상)만 새로 설치하는 동안 ConsistencyGuid를 sourceAnchor로 사용하는 것을 지원
- ms-DS-ConsistencyGuid
- AAD Connect 재 설치 시나리오
* 새 동기화 엔진 서버가 빌드되면, 이 특성은 Azure AD의 기존 개체를 온-프레미스 개체와 연결합니다.- 다른 Azure AD Connect 서버를 설치하는 경우 이전에 사용한 것과 동일한 sourceAnchor 특성을 선택해야 합니다.
- 개체를 Azure AD로 내보낸 후 sourceAnchor 값이 변경되면 Azure AD Connect 동기화에서 오류가 발생함
- 다른 Azure AD Connect 서버를 설치하는 경우 이전에 사용한 것과 동일한 sourceAnchor 특성을 선택해야 합니다.
2) Topology
<Single forest, single Azure AD tenant>
- Azure AD Connect의 express 설치는 이 토폴로지만 지원합니다.
3) 설치
사전 요구 사항
온프렘 AD
- AD 스키마 버전 및 포리스트 기능 수준은 Windows Server 2003 이상
- AD 휴지통 활성화 권장
* 실수로 온-프레미스 AD 사용자 개체를 삭제한 경우, 삭제된 Azure AD 사용자 개체를 30일 동안 일시 삭제된 상태로 유지함- 온-프레미스 AD 휴지통 기능이 활성화된 경우,
- Source Anchor 값을 변경하지 않고 삭제된 온-프레미스 AD 사용자 개체를 복원 가능.
- 복구된 온-프레미스 AD 사용자 개체가 Azure AD와 동기화되면 Azure AD는 일시 삭제된 해당 Azure AD 사용자 개체를 복원함
- Source Anchor 값을 변경하지 않고 삭제된 온-프레미스 AD 사용자 개체를 복원 가능.
- 온-프레미스 AD 휴지통 기능이 활성화되지 않은 경우,
- 삭제된 개체를 대체할 AD 사용자 개체를 생성해야 할 수 있음
- 새로 만든 AD 사용자 개체가 Azure AD와 동기화되면 Azure AD는 일시 삭제된 Azure AD 사용자 개체를 복원하는 대신 새 Azure AD 사용자 개체를 생성함
- 삭제된 개체를 대체할 AD 사용자 개체를 생성해야 할 수 있음
- 'sourceAnchor'
- 온-프레미스 AD 휴지통 기능이 활성화된 경우,
AzureAD Connect
- 도메인에 가입된 Windows Server 2016 이상
- .Net Framework 버전은 4.6.2 이상
- Windows Server 2016 이상을 사용하는 경우 Azure AD Connect V2.0을 사용해야 함
- PowerShell 실행 정책 : "RemoteSigned"
* PowerShell 실행 정책 가이드 - ID 데이터를 저장하기 위한 SQL Server 데이터베이스가 필요
기본적으로 SQL Server 2019 Express LocalDB(SQL Server Express의 라이트 버전)가 설치됨
약 100,000개의 개체를 관리할 수 있는 10GB 크기 제한 - SQL 인스턴스당 하나의 동기화 엔진만 가질 수 있습니다.
* DirSync 또는 Azure AD Sync와 SQL 인스턴스를 공유하는 것은 지원되지 않습니다. - DCOM 전제 조건
아래 Registry key 존재 유무 확인
HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
위 registry key 하위에, 아래 value 유무/값 확인
MachineAccessRestriction
MachineLaunchRestriction
DefaultLaunchPermission - 하드웨어 요구 사항
| Active Directory의 개체 수 | CPU | 메모리 | 하드 드라이브 크기 |
|---|---|---|---|
| 10,000 미만 | 1.6GHz | 4GB | 70GB |
| 10,000–50,000 | 1.6GHz | 4GB | 70GB |
| 50,000–100,000 | 1.6GHz | 16GB | 100GB |
* 100,000개 이상의 개체에는 SQL Server 정식 버전이 필요서비스 계정
-
필요 권한
- "디렉토리 변경 사항 복제"
- "디렉토리 변경 사항 모두 복제"
- 온-프레미스 Active Directory의 ms-DS-ConsistencyGuid 특성에 대한 쓰기 권한
- Enterprise Administrator 계정
-
Azure AD의 'Hybrid id administrator' 역할
Port
| (On-prem AD) <-> (AzureAD Connect) | (AzureAD Connect) <-> (Azure AD) | (AzureAD Connect Health) <-> (Azure AD) |
|---|---|---|
| DNS 53 (TCP/UDP) | HTTP 80 (TCP) | HTTPS 443(TCP) |
| Kerberos 88 (TCP/UDP) | HTTPS 443(TCP) | Azure Service Bus 5671 (TCP) |
| MS-RPC 135 (TCP) | ||
| LDAP 389 (TCP/UDP) | ||
| SMB 445 (TCP) | ||
| LDAP/SSL 636 (TCP/UDP) | ||
| RPC 49152- 65535 (TCP) | ||
| WinRM 5985 (TCP) | ||
| AD DS Web Services 9389 (TCP) | ||
| Global Catalog 3268 (TCP) |
운영
디렉토리 동기화 상태 확인
-
동기화 상태 점검
* M365 관리 센터 -> 상태 -> 디렉토리 동기화 상태-
Windows 2016 버전
-
Windows 2019 버전
-
계정 강제 동기화
AzureAD Connect의 동기화 스케쥴의 간격은 기본 30분이라서, 동기화 작업이 즉시 필요할 경우, 아래 명령어를 진행한다.
Start-ADSyncSyncCycle -PolicyType Delta
ADSync service 계정의 password 초기화
Cloud Engineer