프라이빗 네트워크 커넥터 설치 문제 해결

  • 아티클

Microsoft Entra 프라이빗 네트워크 커넥터는 아웃바운드 연결을 사용하여 클라우드 사용 가능한 엔드포인트에서 내부 do기본로의 연결을 설정하는 내부 do기본 구성 요소입니다. 커넥터는 Microsoft Entra 개인 액세스 및 Microsoft Entra 애플리케이션 프록시 모두에서 사용됩니다.

커넥터 설치의 일반적인 문제 영역

커넥터 설치가 실패한 경우 근본 원인은 대개 다음 영역 중 하나입니다. 문제 해결 전에 커넥터를 다시 부팅해야 합니다.

  • 연결 – 성공적인 설치를 완료하려면 새 커넥터를 등록하고 향후 트러스트 속성을 설정해야 합니다. 신뢰는 Microsoft Entra 애플리케이션 프록시 클라우드 서비스에 연결하여 설정됩니다.
  • 트러스트 설정 – 새 커넥터는 자체 서명된 인증서를 만들고 클라우드 서비스에 등록합니다.
  • 관리자 인증 – 설치하는 동안 사용자는 커넥터 설치를 완료하기 위해 관리자 자격 증명을 제공해야 합니다.

참고 항목

커넥터 설치 로그는 폴더에서 %TEMP% 찾을 수 있으며 설치 실패의 원인에 대한 추가 정보를 제공하는 데 도움이 될 수 있습니다.

클라우드 애플리케이션 프록시 서비스 및 Microsoft 로그인 페이지에 대한 연결 확인

목표: 커넥터 컴퓨터가 애플리케이션 프록시 등록 엔드포인트 및 Microsoft 로그인 페이지에 연결할 수 있는지 확인합니다.

  1. 커넥터 서버에서 텔넷 또는 기타 포트 테스트 도구를 사용하여 포트 443 및 80이 열려 있는지 확인하는 방식으로 포트 테스트를 실행합니다.

  2. 방화벽 또는 백 엔드 프록시가 필요한 do기본 및 포트에 액세스할 수 있는지 확인하고 커넥터를 구성합니다.

  3. 브라우저 탭을 열고 다음 https://login.microsoftonline.com을 입력합니다. 로그인할 수 있는지 확인합니다.

컴퓨터 및 백 엔드 구성 요소 인증서 지원 확인

목표: 커넥터 머신, 백 엔드 프록시 및 방화벽이 커넥터에서 만든 인증서를 지원할 수 있는지 확인합니다. 또한 인증서가 유효한지 확인합니다.

참고 항목

커넥터는 TLS(전송 계층 보안) 1.2에서 지원하는 인증서를 만들려고 SHA512 합니다. 컴퓨터 또는 백 엔드 방화벽 및 프록시가 TLS 1.2를 지원하지 않으면 설치가 실패합니다.

필요한 필수 구성 요소를 검토합니다.

  1. 컴퓨터가 TLS(전송 계층 보안) 1.2를 지원하는지 확인합니다. 2012 R2 이후의 모든 Windows 버전은 TLS 1.2를 지원해야 합니다. 커넥터 컴퓨터가 2012 R2 이하 버전인 경우 필수 업데이트가 설치되어 있는지 확인합니다.

  2. 네트워크 관리자에게 문의하여 백 엔드 프록시 및 방화벽이 나가는 트래픽을 차단 SHA512 하지 않는지 확인하도록 요청합니다.

클라이언트 인증서를 확인하려면

현재 클라이언트 인증서의 지문을 확인합니다. 인증서 저장소는 %ProgramData%\microsoft\Microsoft AAD private network connector\Config\TrustSettings.xml에서 찾을 수 있습니다.

<?xml version="1.0" encoding="utf-8"?>
<ConnectorTrustSettingsFile xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <CloudProxyTrust>
    <Thumbprint>4905CC64B2D81BBED60962ECC5DCF63F643CCD55</Thumbprint>
    <IsInUserStore>false</IsInUserStore>
  </CloudProxyTrust>
</ConnectorTrustSettingsFile>

가능한 IsInUserStore 값은 truefalse입니다. true은 인증서가 자동으로 갱신되고 네트워크 서비스의 사용자 인증서 저장소에 있는 개인 컨테이너에 저장됨을 의미합니다. false은 설치 또는 등록 중에 클라이언트 인증서가 생성됨을 Register-MicrosoftEntraPrivateNetworkConnector의미합니다. 인증서는 로컬 컴퓨터의 인증서 저장소에 있는 개인 컨테이너에 저장됩니다.

값이 true이면 다음 단계에 따라 인증서를 확인합니다.

  1. PsTools.zip 다운로드합니다.
  2. 패키지에서 PsExec를 추출하고 관리자 권한 명령 프롬프트에서 psexec -i -u "nt authority\network service" cmd.exe를 실행합니다.
  3. 새로 나타난 명령 프롬프트에서 certmgr.msc를 실행합니다.
  4. 관리 콘솔 개인 컨테이너를 확장하고 인증서를 선택합니다.
  5. connectorregistrationca.msappproxy.net 발급한 인증서를 찾습니다.

값이 false인 경우 다음 단계에 따라 인증서를 확인합니다.

  1. certlm.msc를 실행합니다.
  2. 관리 콘솔 개인 컨테이너를 확장하고 인증서를 선택합니다.
  3. connectorregistrationca.msappproxy.net 발급한 인증서를 찾습니다.

클라이언트 인증서를 갱신하려면

커넥터가 몇 달 동안 서비스에 연결되지 않은 경우 인증서가 오래될 수 있습니다. 인증서 갱신 오류가 발생하면 인증서가 만료됩니다. 인증서가 만료되면 커넥터 서비스가 작동을 중지합니다. 이벤트 1000은 커넥터의 관리자 로그에 기록됩니다.

Connector re-registration failed: The Connector trust certificate expired. Run the PowerShell cmdlet Register-MicrosoftEntraPrivateNetworkConnector on the computer on which the Connector is running to re-register your Connector.

이 경우 커넥터를 제거했다가 다시 설치하여 등록을 트리거하거나 다음 PowerShell 명령을 실행할 수 있습니다.

Import-module MicrosoftEntraPrivateNetworkConnectorPSModule
Register-MicrosoftEntraPrivateNetworkConnector

명령에 대한 Register-MicrosoftEntraPrivateNetworkConnector 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터에 대한 무인 설치 스크립트 만들기를 참조하세요.

관리자가 커넥터를 설치했는지 확인합니다.

목표: 커넥터를 설치하려고 하는 사용자가 올바른 자격 증명을 가진 관리자인지 확인합니다. 현재 설치가 성공하려면 사용자가 적어도 애플리케이션 관리자여야 합니다.

자격 증명이 올바른지 확인하려면:

https://login.microsoftonline.com에 연결하고 동일한 자격 증명을 사용합니다. 로그인이 성공했는지 확인합니다. Microsoft Entra ID ->사용자 및 그룹 ->모든 사용자로 이동하여 사용자 역할을 확인할 수 있습니다.

사용자 계정을 선택한 다음 결과 메뉴에서 디렉터리 역할을 선택합니다. 선택한 역할이 Application 관리istrator인지 확인합니다. 이러한 단계에 따라 페이지에 액세스할 수 없는 경우 필요한 역할이 없습니다.

커넥터 오류

커넥터 마법사를 설치하는 동안 등록이 실패하는 경우 실패 이유를 보는 두 가지 방법이 있습니다. 아래의 이벤트 로그 Windows Logs\Application (filter by Source = "Microsoft Entra private network connector" 를 확인하거나 다음 Windows PowerShell 명령을 실행합니다.

Get-EventLog application –source "Microsoft Entra private network connector" –EntryType "Error" –Newest 1

이벤트 로그에서 커넥터 오류가 발견되면 이 일반적인 오류 표를 사용하여 문제를 해결합니다.

오류 권장되는 단계
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'One or more errors occurred.' Microsoft Entra ID에 로그인하지 않고 등록 창을 닫은 경우 커넥터 마법사를 다시 실행하고 커넥터를 등록합니다.

등록 창이 열리고 로그인을 허용하지 않고 즉시 닫히면 오류가 발생합니다. 이 오류는 시스템에 네트워킹 오류가 있을 때 발생합니다. 브라우저에서 공용 웹 사이트로 연결할 수 있고 포트가 구성 커넥터에 지정된 대로 열려 있는지 확인합니다.
Clear error is presented in the registration window. Cannot proceed 오류가 표시되고 창이 닫히면 잘못된 사용자 이름 또는 암호를 입력했습니다. 다시 시도하세요.
Connector registration failed: Make sure you enabled application proxy in the Azure Management Portal and that you entered your Active Directory user name and password correctly. Error: 'AADSTS50059: No tenant-identifying information found in either the request or implied by any provided credentials and search by service principal URI has failed. 액세스하고자 하는 디렉터리의 조직 ID 일부인 도메인이 아닌 Microsoft 계정을 사용하여 로그인을 시도하고 있습니다. 관리자는 테넌트처럼 동일한 do기본 이름의 일부여야 기본. 예를 들어 Microsoft Entra가 기본 contoso.com관리자여야 admin@contoso.com합니다.
Failed to retrieve the current execution policy for running PowerShell scripts. 커넥터 설치가 실패하면 PowerShell 실행 정책을 사용하지 않도록 설정하지 않도록 검사.

1. 그룹 정책 편집기를 엽니다.
2. 컴퓨터 구성>관리 템플릿>Windows 구성 요소>Windows PowerShell로 이동한 다음 스크립트 실행 켜기를 두 번 클릭합니다.
3. 실행 정책은 구성 안 함 또는 사용으로 설정될 수 있습니다. 사용으로 설정했다면 옵션에 있는 실행 정책을 로컬 스크립트 및 원격 서명된 스크립트 허용 또는 모든 스크립트 허용으로 설정했는지 확인합니다.
Connector failed to download the configuration. 인증에 사용되는 커넥터의 클라이언트 인증서가 만료되었습니다. 커넥터가 프록시 뒤에 설치된 경우 문제가 발생합니다. 이 경우 커넥터는 인터넷에 액세스할 수 없으며 원격 사용자에게 애플리케이션을 제공할 수 없습니다. Register-MicrosoftEntraPrivateNetworkConnector Windows PowerShell에서 cmdlet을 사용하여 트러스트를 수동으로 갱신합니다. 커넥터가 프록시 뒤에 있는 경우 커넥터 계정에 대한 인터넷 액세스 권한을 부여해야 합니다.network serviceslocal system 액세스 권한 부여는 프록시에 대한 액세스 권한을 부여하거나 프록시를 우회하여 수행됩니다.
Connector registration failed: Make sure you are an Application Administrator of your Active Directory to register the connector. Error: 'The registration request was denied.' 로그인하려는 별칭은 관리자가 아닙니다기본. 커넥터는 항상 사용자의 작업을 소유하는 디렉터리에 대해 설치됩니다기본. 로그인하려는 관리자 계정에 최소한 Microsoft Entra 테넌트에 대한 애플리케이션 관리자 권한이 있는지 확인합니다.
The connector was unable to connect to the service due to networking issues. The connector tried to access the following URL. 커넥터가 애플리케이션 프록시 클라우드 서비스에 연결할 수 없습니다. 이 문제는 연결을 차단하는 방화벽 규칙이 있는 경우에 발생합니다. 커넥터 구성에 나열된 올바른 포트 및 URL에 대한 액세스를 허용합니다.

커넥터 문제에 대한 순서도

이 순서도는 일반적인 몇 가지 커넥터 문제를 디버깅하는 단계를 안내합니다. 각 단계에 대한 세부 정보는 순서도 다음에 나오는 표를 참조하세요.

커넥터 디버깅 단계를 보여 주는 순서도입니다.

단계 작업 설명
1 앱에 할당된 커넥터 그룹 찾기 여러 서버에 커넥터가 설치되어 있을 수 있습니다. 이 경우 커넥터를 커넥터 그룹에 할당해야 합니다. 커넥터 그룹에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 그룹 이해를 참조하세요.
2 커넥터 설치 및 그룹 할당 커넥터가 설치되지 않은 경우 커넥터 구성을 참조 하세요).

커넥터가 그룹에 할당되지 않은 경우 그룹에 커넥터 할당을 참조하세요.

애플리케이션이 커넥터 그룹에 할당되지 않은 경우 커넥터 그룹에 애플리케이션 할당을 참조하세요.
3 커넥터 서버에서 포트 테스트 실행 커넥터 서버에서 텔넷 또는 다른 포트 테스트 도구를 사용하여 포트 테스트를 실행하여 포트가 올바르게 구성되었는지 검사. 자세한 내용은 커넥터 구성을 참조 하세요.
4 도메인 및 포트 구성 커넥터에 대한 커넥터를 구성합니다 . 서버에서 액세스할 수 있어야 하는 특정 포트와 URL이 열려 있어야 합니다. 자세한 내용은 커넥터 구성을 참조 하세요.
5 백 엔드 프록시가 사용 중인지 확인 커넥터에서 백 엔드 프록시 서버를 사용하고 있는지 또는 우회하는지 확인합니다. 자세한 내용은 커넥터 프록시 및 서비스 연결 문제 해결을 참조하세요.
6 백 엔드 프록시 정보로 커넥터 및 업데이트자 설정 업데이트 백 엔드 프록시를 사용하는 경우 커넥터가 동일한 프록시를 사용하고 있는지 확인합니다. 프록시 서버를 사용하도록 커넥터를 구성하고 문제를 해결하는 방법에 대한 자세한 내용은 기존 온-프레미스 프록시 서버 작업을 참조하세요.
7 커넥터 서버에서 앱의 내부 URL 로드 커넥터 서버에서 앱의 내부 URL을 로드합니다.
8 내부 네트워크 연결 확인 내부 네트워크에 이 디버깅 흐름이 진단할 수 없는 연결 문제가 있습니다. 커넥터가 작동하려면 애플리케이션이 내부적으로 액세스할 수 있어야 합니다. 프라이빗 네트워크 커넥터에 설명된 대로 커넥터 이벤트 로그를 사용하도록 설정하고 볼 수 있습니다.
9 백 엔드에서 시간 제한 값 증가 애플리케이션에 대한 추가 설정에서 백 엔드 애플리케이션 시간 제한 설정을 장기로 변경합니다. Microsoft Entra ID에 온-프레미스 앱 추가를 참조하세요.
10 문제가 지속되면 애플리케이션을 디버그합니다. 애플리케이션 프록시 애플리케이션 문제를 디버그합니다.

자주 묻는 질문

커넥터가 여전히 이전 버전을 사용하고 최신 버전으로 자동 업그레이드되지 않는 이유는 무엇인가요?

이 문제는 업데이트 프로그램 서비스가 올바르게 작동하지 않거나 서비스에서 설치할 수 있는 새 업데이트가 없는 경우에 발생할 수 있습니다.

업데이트 프로그램 서비스가 실행 중이고 이벤트 로그에 기록된 오류가 없는 경우 정상입니다(애플리케이션 및 서비스 로그 -> Microsoft -> Microsoft Entra 프라이빗 네트워크 - Updater ->> 관리).

Important

주 버전만 자동 업그레이드용으로 릴리스됩니다. 필요한 경우에만 커넥터를 수동으로 업데이트하는 것이 좋습니다. 예를 들어, 단지 알려진 문제를 해결해야 하거나 새 기능을 사용하기 위해 주 릴리스를 기다릴 수는 없습니다. 새 릴리스, 릴리스 유형(다운로드, 자동 업그레이드), 버그 수정 및 새 기능에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터: 버전 릴리스 기록을 참조하세요.

커넥터를 수동으로 업그레이드하려면

  • 최신 버전의 커넥터를 다운로드합니다. (Microsoft Entra 관리 센터의 애플리케이션 프록시에서 찾을 수 있습니다.
  • 설치 관리자가 Microsoft Entra 프라이빗 네트워크 커넥터 서비스를 다시 시작합니다. 일부 경우에는 설치 관리자가 모든 파일을 바꿀 수 없는 경우 서버를 다시 부팅해야 할 수 있습니다. 따라서 업그레이드를 시작하기 전에 모든 애플리케이션을 닫는 것이 좋습니다(예: 이벤트 뷰어).
  • 설치 관리자를 실행합니다. 업그레이드 프로세스는 빠르며 자격 증명을 제공할 필요가 없으며 커넥터가 다시 등록되지 않습니다.

프라이빗 네트워크 커넥터 서비스는 기본값과 다른 사용자 컨텍스트에서 실행할 수 있나요?

아니요. 이 시나리오는 지원되지 않습니다. 기본 설정은 다음과 같습니다.

  • Microsoft Entra 프라이빗 네트워크 커넥터 - WAPCSvc - 네트워크 서비스
  • Microsoft Entra 프라이빗 네트워크 커넥터 Updater - WAPCUpdaterSvc - NT Authority\System

Global 관리istrator 또는 Application 관리istrator 역할을 가진 게스트 사용자가 (게스트) 테넌트에 대한 커넥터를 등록할 수 있나요?

아니요. 현재는 가능하지 않습니다. 등록 시도는 항상 사용자의 홈 테넌트에서 수행됩니다.

백 엔드 애플리케이션은 여러 웹 서버에서 호스트되며 사용자 세션 지속성(연결 유지)이 필요합니다. 세션 지속성을 실현하려면 어떻게 해야 하나요?

권장 사항은 프라이빗 네트워크 커넥터 및 애플리케이션의 고가용성 및 부하 분산을 참조 하세요.

커넥터 서버에서 Azure로의 트래픽에 대한 TLS 종료(TLS/HTTPS 검사 또는 가속)가 지원되나요?

프라이빗 네트워크 커넥터는 Azure에 대한 인증서 기반 인증을 수행합니다. TlS 종료(TLS/HTTPS 검사 또는 가속)는 이 인증 방법을 중단하며 지원되지 않습니다. 커넥터에서 Azure로의 트래픽은 TLS 종료를 수행하는 모든 디바이스를 무시해야 합니다.

모든 연결에 TLS 1.2가 필요한가요?

예. 고객에게 동급 최고의 암호화를 제공하기 위해 애플리케이션 프록시 서비스는 TLS 1.2 프로토콜에 대한 액세스만 제한합니다. 이러한 변경 내용은 2019년 8월 31일 이후에 점진적으로 롤아웃되고 유효합니다. 애플리케이션 프록시 서비스에 대한 연결을 기본 위해 TLS 1.2를 사용하도록 모든 클라이언트-서버 및 브라우저 서버 조합이 업데이트되었는지 확인합니다. 여기에는 사용자가 애플리케이션 프록시를 통해 게시된 애플리케이션에 액세스하는 데 사용하는 클라이언트가 포함됩니다. Office 365의 TLS 1.2에서 유용한 참고 자료 및 리소스를 확인하세요.

커넥터 서버와 백 엔드 애플리케이션 서버 사이에 전달 프록시 디바이스를 배치할 수 있나요?

예, 이 시나리오는 커넥터 버전 1.5.1526.0부터 지원됩니다. 기존 온-프레미스 프록시 서버 작업을 참조하세요.

커넥터를 Microsoft Entra 애플리케이션 프록시에 등록하는 전용 계정을 만들어야 하나요?

이렇게 해야 할 이유는 없습니다. 모든 전역 관리자 또는 애플리케이션 관리자 계정이 작동합니다. 설치 중에 입력한 자격 증명은 등록 프로세스 후에 사용되지 않습니다. 대신, 해당 지점에서의 인증에 사용되는 인증서가 커넥터에 발급됩니다.

Microsoft Entra 프라이빗 네트워크 커넥터의 성능을 모니터링하는 방법

커넥터와 함께 설치되는 성능 모니터 카운터가 있습니다. 이 내용을 확인하려면 다음을 수행하십시오.

  1. 시작을 선택하고 "Perfmon"을 입력한 다음, Enter 키를 누릅니다.
  2. 성능 모니터를 선택하고 녹색 + 아이콘을 클릭합니다.
  3. 모니터링하려는 Microsoft Entra 프라이빗 네트워크 커넥터 카운터를 추가합니다.

Microsoft Entra 프라이빗 네트워크 커넥터는 리소스와 동일한 서브넷에 있어야 합니까?

커넥터가 동일한 서브넷에 있을 필요는 없습니다. 그러나 리소스에 대한 이름 확인(DNS, hosts 파일) 및 필요한 네트워크 연결(리소스에 대한 라우팅, 리소스에서 열린 포트 등)이 필요합니다. 권장 사항은 Microsoft Entra 애플리케이션 프록시 사용 시 네트워크 토폴로지 고려 사항을 참조하세요.

서버에서 커넥터를 제거한 후에도 커넥터가 Microsoft Entra 관리 센터에 계속 표시되는 이유는 무엇인가요?

커넥터가 실행 중인 경우 서비스에 연결됨에 따라 활성 상태가 유지됩니다. 제거되거나 사용되지 않는 커넥터는 비활성으로 태그가 지정되고 포털에서 10일 동안 활동이 없으면 제거됩니다. Microsoft Entra 관리 센터에서 비활성 커넥터를 수동으로 제거할 수 있는 방법은 없습니다.

다음 단계