Password Sync를 설정하는 중에 문제가 발생하는 경우 다음 해결 방법을 검토하여 일반적인 문제를 해결하세요.
시작하기 전에
문제 해결을 시작하기 전에 모든 시스템 요구사항을 충족하고 설정 단계를 모두 완료했는지 확인하세요. 자세한 내용은 Password Sync 설정하기를 참고하세요.
문제 해결 옵션
옵션 1: 자동 문제 해결
Password Sync 지원 도구(Google의 오픈소스 도구)를 사용하여 모든 도메인 컨트롤러에서 Password Sync 로그 및 문제 해결 정보를 수집할 수 있습니다.
- 링크를 클릭하여 Password Sync 지원 도구를 다운로드합니다.
- 도구를 실행한 다음 컴퓨터의 바탕화면에서 ZIP 파일을 찾아 엽니다.
- 트레이스 로그의 압축을 풀어 Google 관리 콘솔 도구 상자 로그 분석 도구에 제출합니다.
대부분의 경우 문제 제출 후 짧은 시간 내에 원인을 파악할 수 있습니다.
Google Workspace 지원팀은 Password Sync 지원 도구를 지원하지 않습니다.
옵션 2: 수동 문제 해결
자동 문제 해결 단계로 문제를 해결할 수 없거나 Password Sync 지원 도구를 실행할 수 없는 경우 문제 해결 정보를 직접 수집할 수 있습니다. 이 작업의 일부 단계에서는 콘솔 명령어를 실행해야 합니다.
1단계: 도메인 컨트롤러 나열하기
- 도메인 관리자 그룹의 회원인지 확인합니다.
자세한 내용은 Password Sync 설치 프로그램이 실패했습니다(이 페이지 뒷부분에 있음)를 참고하세요.
- 시작 메뉴에서 Windows 시스템
명령 프롬프트를 클릭합니다.
일부 시스템의 경우 명령 프롬프트를 마우스 오른쪽 버튼으로 클릭한 다음 더보기
- 도메인 컨트롤러를 나열하려면 다음 명령어를 입력합니다.
nltest /dclist:your-ad-domain
your-ad-domain을 내 Active Directory 도메인 이름으로 바꿉니다.
2단계: 각 도메인 컨트롤러에서 다음 사항 확인하기
- 적합한 버전의 Password Sync(32비트 또는 64비트)가 서버에 설치되어 있고 Password Sync 설치 후 서버를 다시 시작했는지 확인합니다.
- 네트워크 및 프록시 설정이 올바르게 설정되어 있는지 확인합니다.
자세한 내용은 Password Sync에 프록시 설정 구성하기(이 페이지 뒷부분)를 참고하세요.
- Microsoft Internet Explorer, Microsoft Edge의 Chromium 기반 버전 또는 Chrome 브라우저를 사용하여 https://www.googleapis.com/에 액세스할 수 있는지 확인합니다.
이 페이지에 Google 오류 또는 찾을 수 없음이 표시되면 정상입니다. 페이지에 인증서 오류 또는 프록시 인증 요청이 표시되지 않아야 합니다. 인증된 프록시 서버는 지원되지 않습니다.
- 현재 사용자의 프록시 설정을 시스템 전체 프록시 설정으로 복사하려면 다음 명령어를 입력합니다.
netsh winhttp import proxy ie
- 프록시 서버를 사용하지 않는데 프록시 관련 문제가 계속 발생하는 경우 문제를 해결하려면 다음 명령어를 입력합니다.
bitsadmin /util /setieproxy networkservice no_proxy
- Password Sync DLL이 컴퓨터에 등록되어 있는지 확인하려면 다음 명령어를 입력합니다.
reg query HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Notification Packages"
결과에 password_sync_dll이라는 텍스트가 포함되어야 합니다. 그렇지 않으면 Password Sync를 재설치해야 합니다.
- Password Sync DLL이 로드되었는지 확인하려면 다음 명령어를 입력합니다.
tasklist /m password_sync_dll.dll
프로세스 lsass.exe가 결과에 나열되어야 합니다. 표시되지 않으면 DLL이 로드되지 않은 것입니다. DLL이 등록되어 있으며 시스템에 맞는 버전(32비트 또는 64비트)인지 확인합니다. 그런 다음 컴퓨터를 다시 시작하면 DLL이 로드됩니다.
3단계: Password Sync 서비스가 시작되었는지 확인하기
Password Sync 서비스가 시작되었는지 확인하려면 sc query "Password Sync" 명령어(Password SyncG Suite Password Sync로, 버전 1.6 이하를 실행 중인 경우 Google Apps Password Sync로 대체)를 입력합니다.
쿼리 결과는 다음과 같이 표시됩니다.
- 상태: 실행 중: Password Sync 서비스가 실행 중임
- 상태: 중지됨: Password Sync 서비스가 실행되고 있지 않음
- 지정된 서비스는 설치된 서비스가 아닙니다: Password Sync 서비스가 설치되지 않음
Password Sync가 실행되지 않는 경우 sc start "Password Sync" 명령어(Password SyncG Suite Password Sync로, 버전 1.6 이하를 실행 중인 경우 Google Apps Password Sync로 대체)를 입력합니다.
Password Sync가 설치되어 있지 않은 경우 Password Sync 구성하기의 단계를 완료합니다.
일반적인 비밀번호 동기화 문제
문제가 계속 발생하면 다음 해결 방법을 확인하세요.
동기화가 올바르게 작동했는지 확인하기보안 조사 도구를 사용하여 확인할 수 있습니다.
- Google 관리 콘솔에서 관리자 로그 이벤트 검색을 실행합니다.
자세한 내용은 관리자 로그 이벤트를 참고하세요.
- 비밀번호 변경 이벤트를 검색하는 필터를 추가합니다.
- 검색을 실행하고 결과를 검토합니다. 이벤트에 연결된 작업 수행자의 이름은 Password Sync를 설정한 방법에 따라 다릅니다. 다음을 사용한 경우:
- UI 인터페이스: 작업 수행자는 입력한 관리자의 이메일 주소로 표시됩니다.
- 명령줄: 작업 수행자는 --admin_email 명령어로 매개변수에 사용된 이메일 주소로 표시됩니다.
일부 사용자의 비밀번호가 동기화되지 않는다면 다음 사항을 확인하세요.
- 도메인의 Microsoft Active Directory 서버(도메인 컨트롤러) 전체에 비밀번호 동기화 설치를 완료했는지 확인합니다. Microsoft Windows Server 2008 이상에서는 쓰기 가능한 도메인 컨트롤러에만 비밀번호 동기화를 설치해야 합니다. 확실하지 않다면 모든 도메인 컨트롤러에 비밀번호 동기화를 설치하세요. 이렇게 해도 아무런 문제가 발생하지 않습니다.
- 업데이트에 실패한 사용자의 관리자 권한은 비밀번호 동기화 구성에 입력된 관리자 이메일 주소의 권한을 초과하지 않습니다. 권한이 적은 사용자 계정은 권한이 더 많은 계정의 비밀번호를 변경할 수 없습니다. 예를 들어 관리자 권한을 위임한 계정은 최고 관리자 권한이 있는 계정의 비밀번호를 업데이트할 수 없습니다.
- 관리자가 구성 단계에서 메일 속성에 지정한 속성에 사용자의 이메일 주소가 있는지 확인합니다. 이 주소는 도메인 부분을 포함하여 Google 기본 이메일 주소와 정확히 일치해야 합니다.
- 비밀번호가 사용자 이름 및 그룹 이름 가이드라인을 준수하는지 확인합니다. 비밀번호에 지원되지 않는 문자가 포함되어 동기화되지 않으면 비밀번호 동기화에서 Windows 애플리케이션 이벤트 로그에 경고를 기록합니다. 예를 들면 다음과 같습니다.
Log Name: Application
Source: GoogleAppsPasswordSync
Event ID: 40963
Level: Warning
Contents: An attempt to change the password for user USERNAME was made. However, the new password contains unsupported characters. The password can not be updated on the Google Account, and will be out of sync with Active Directory.
비밀번호 동기화를 설치하려면 Active Directory에서 도메인 관리자 그룹의 구성원이어야 합니다. 관리자 그룹의 구성원에게 부여되는 권한으로는 충분치 않습니다.
설정하는 도메인 컨트롤러와 동일한 도메인의 도메인 관리자로 Windows에 로그인해야 합니다. 다른 도메인의 관리자(예: 다른 도메인의 엔터프라이즈 관리자, 신뢰할 수 있는 도메인의 관리자)로 로그인하는 경우 비밀번호 동기화를 설치하거나 구성할 권한이 없습니다.
설정이 다음과 같은지 확인하세요.
- 네트워크를 통해서가 아니라 로컬에서 설치 프로그램을 실행해야 합니다.
- 서버 아키텍처(32비트 또는 64비트)에 맞는 비밀번호 동기화 버전을 선택해야 합니다.
Google Workspace 서비스에 앱 액세스 제어 권한을 부여했는지 확인합니다. 자세한 내용은 어떤 서드 파티 및 내부 앱이 Google Workspace 데이터에 액세스할 수 있는지 설정하기를 참고하세요.
모든 도메인 컨트롤러에서 시스템 전체에 적용되는 프록시 설정을 구성하면 비밀번호 동기화에서 프록시 연결이 지원됩니다.
- Internet Explorer, Chromium 기반 Edge 또는 Chrome 브라우저에서 https://www.googleapis.com/으로 이동하여 현재 사용자의 프록시 설정이 올바르게 설정되어 있는지 확인합니다.
google.com 페이지 또는 'Not Found(찾을 수 없음)'라는 페이지로 리디렉션되는 경우 프록시가 올바르게 설정되었을 확률이 높습니다. 인증 프롬프트 또는 인증서 오류가 표시되면 프록시가 잘못 설정되었을 수 있습니다.
- 프록시 구성을 가져오려면 다음 명령어를 입력합니다.
netsh winhttp import proxy ie
- (선택사항) 프록시 서버를 사용하지 않는데 프록시 관련 문제가 계속 발생한다면 다음 명령어를 입력합니다.
bitsadmin /util /setieproxy networkservice no_proxy
이 명령어를 사용해 Windows에서 시스템에 나타날 수 있는 프록시 자동 구성을 무시하도록 설정할 수 있습니다.
참고:
- 비밀번호 동기화는 인증되지 않은 프록시만 지원합니다. 인증(기본, Kerberos 또는 NTLM)이 필요한 프록시의 경우 도메인 컨트롤러에서부터 도메인 컨트롤러 설정하기에 지정된 URL 및 포트로의 인증되지 않은 연결 또는 직접 연결을 허용하도록 구성해야 합니다.
- 비밀번호 동기화에서 프록시 연결을 지원하더라도 프록시 서버로 인해 문제가 발생하는 일이 없도록 직접 연결을 사용해야 할 수도 있습니다. 프록시 구성은 로컬 설정에 따라 달라지므로 Google Workspace에서 구성 문제를 지원해 드릴 수 없습니다. 프록시 관련 문제가 발생하면 네트워크 관리자에게 문의하세요.
3-legged OAuth를 사용하여 Google 도메인을 인증하는 경우 클라이언트별 사용자 계정당 토큰 제한이 있습니다. 한도에 도달하면 토큰을 만들 때 경고 없이 자동으로 가장 오래된 토큰을 무효화합니다. 자세한 내용은 갱신 토큰 만료를 참고하세요.
토큰 제한이 적용되지 않도록 하려면 3-legged OAuth 대신 서비스 계정을 사용해야 합니다. 자세한 내용은 인증 방법 선택하기를 참고하세요.
Google, Google Workspace 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.
