Dropbox Active Directory 커넥터
2022년 4월 13일부터 Active Directory 커넥터 호출은 TLS 1.2 이상을 사용해야 합니다. 이 날짜 이후에는 TLS 1.0 및 1.1을 사용하는 호출이 지원되지 않습니다.
서비스 이용에 지장이 없도록 최대한 빨리 TLS 구성을 업데이트하세요.
참고: Dropbox 관리 콘솔에서 관리되는 사용자의 정보를 변경하면 다음 번에 AD(Active Directory) 커넥터가 실행될 때 이 변경 내용은 무시됩니다. 하지만 Dropbox 관리 콘솔에서 관리되지 않는 사용자의 정보를 변경하고 추가하면 AD에 해당 변경 내용이 반영되지 않습니다.
1단계: AD 커넥터의 우수 사례 보기
필수 조건
- Active Directory로부터 동기화하려는 모든 사용자는 단일 AD 도메인에서 활동 중 사용자여야 함
- PowerShell 4.0 이상
- Windows Server 2008(또는 이후 버전)
- 원격 서버 관리 도구
권장 사항
- 프로비저닝하려는 팀원들을 모두 포함하는 'Dropbox'라는 하나의 그룹을 만드세요. 이 Dropbox 그룹 내에 이들 사용자와 해당 그룹을 모두 둘 수 있습니다.
- 읽기 전용 액세스 권한이 있는 서버에 AD 커넥터를 설치하세요. AD 커넥터는 AD에서 시작하는 변경 내용만 동기화합니다.
- AD 커넥터의 이전 버전으로부터 업그레이드: 2.0.1 버전에서 2.0.2 버전으로 업그레이드할 때에는 간단히 설치만 하면 제대로 업데이트되지만, 1.0 버전에서 2.0 버전으로 주요 버전 간에 업그레이드하는 경우에는 현재 버전을 먼저 제거한 다음 새 버전으로 업데이트해야 합니다.
- 현재 AD 커넥터 릴리스의 경우, Active Directory에서 10,000명까지의 사용자만 동기화하도록 권장합니다. 10,000명 이상의 사용자에 대해 AD 커넥터를 사용하려면 Dropbox 고객 담당팀에 문의하세요.
2단계: AD 커넥터 Microsoft Installer(MSI) 다운로드
3단계: AD 커넥터 설치
- Dropbox-AD-Connector.msi 설치 관리자를 찾아 실행합니다.
- 다음을 클릭하여 설치 마법사를 통해 설치를 진행합니다.
- 이용약관에 동의함 확인란을 선택하고 다음을 클릭합니다.
- 기본 경로에 설치하려면 다음을 클릭합니다.
- 설치를 클릭한 다음 UAC(사용자 계정 컨트롤)가 나타나면 예를 선택합니다.
- 시작 가이드는 기본적으로 선택되어 있으므로 이 가이드를 이미 열었다면 해당 확인란을 선택 해제합니다.
- 마침을 선택하여 설치를 완료합니다.
4단계: AD 커넥터 구성 도구 설정
다음의 5단계를 거쳐 AD 커넥터 구성을 완료하세요.
- 설정
- Active Directory 사용자 동기화
- Active Directory 그룹 동기화
- 로그
- 이메일 알림
구성을 완료하려면 각 단계를 주의깊게 따르세요.
설정
- 바탕 화면에서 AD 커넥터 구성 바로 가기를 찾아 엽니다.
- [Get OAuth2 Token(OAuth2 토큰 받기)]을 클릭하여 Dropbox 계정을 연결합니다.
- 필요한 경우 관리자 로그인 정보로 dropbox.com에 로그인합니다.
- 필요한 경우, AD 커넥터 앱 권한을 승인하세요.
- 토큰을 복사합니다.
- 복사한 토큰을 [OAuth 2 DfB Token(OAuth 2 DfB 토큰)] 입력란에 붙여넣습니다.
- 설정 테스트를 실행하려면 Simulation Mode(시뮬레이션 모드) 확인란을 선택합니다.
- 참고: 시뮬레이션 모드에서 변경한 내용은 Dropbox 팀에 적용되지 않습니다.
Active Directory 사용자 동기화
- Dropbox 팀과 동기화할 Active Directory 그룹을 선택합니다.
- 가장 쉬운 방법은 'Dropbox'라는 Active Directory 그룹을 만드는 것입니다.
- Email Attribute(전자 메일 특성)가 Email Address(전자 메일 주소)로 설정되어 있는지 확인합니다.
- 관리 콘솔을 통해 직접 만든 사용자들에 대한 변경 내용을 동기화하려면 Manage existing users(기존 사용자 관리) 확인란을 선택합니다.
Active Directory 그룹 동기화
- Dropbox 팀에 그룹을 동기화할지 여부를 선택합니다. 그룹 동기화는 선택 사항입니다.
- 그룹을 동기화하려면 개별 사용자 동기화에 사용한 그룹을 사용하여 그룹도 동기화할지 여부를 선택합니다.
- 다른 그룹을 사용하여 그룹을 동기화하기로 한 경우에는 그룹의 이름을 선택합니다.
로그
- 로그 파일을 다른 경로에 저장하려면 변경을 클릭합니다.
- 참고: 다른 파일 경로를 제공하지 않으면 기본 위치인 C:\ProgramData\Dropbox\AD Connector\db_ad_connector.log에 로그가 저장됩니다.
이메일 알림
- 동기화 오류에 대한 이메일 알림을 받으려면 설정을 클릭합니다.
- 참고: 587번 포트나 25번 포트(암호화되지 않음)를 사용하세요. 465번 포트는 현재 지원되지 않습니다.
- 각 섹션을 마친 후 연결 테스트를 클릭하여 구성이 올바른지 확인합니다.
- 이메일 옵션 구성을 마쳤으면 OK(확인)를 클릭합니다.
마침
- 모든 구성 설정을 저장하려면 Save(저장)를 클릭합니다.
5단계: AD 커넥터 실행 도구로 AD 커넥터를 테스트 실행하여 제대로 실행하는지 확인
- 바탕 화면에서 AD 커넥터 실행 바로 가기를 찾습니다.
- AD 커넥터 실행 도구를 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 클릭합니다.
- 결과를 살펴보고 해당 사용자가 모두 나타나는지 확인합니다.
- 아무 문제가 없다면 AD 커넥터 구성 도구를 다시 열어 Simulation Mode(시뮬레이션 모드) 옵션을 선택 해제합니다.
- AD 커넥터 실행 도구를 사용하여 새 팀원을 Dropbox 팀과 동기화합니다.
6단계: 예약된 작업을 찾아 실행하도록 설정
- 프로그램 파일 \ Dropbox \ AD 커넥터 \ 도우미를 찾습니다.
- AD-Connector-CreateTask.bat 파일을 마우스 오른쪽 버튼으로 클릭한 다음 관리자 권한으로 실행을 선택합니다.
- Windows Server용 작업 스케줄러를 엽니다.
- Dropbox Tasks 폴더를 엽니다.
- Dropbox AD 커넥터 작업을 마우스 오른쪽 버튼으로 클릭하고 사용을 선택합니다.
- 참고: 이 작업을 찾을 수 없으면 작업 스케줄러 라이브러리를 마우스 오른쪽 버튼으로 클릭한 다음 새로 고침을 선택하세요.
- 해당 작업을 마우스 오른쪽 버튼으로 클릭한 다음 실행을 선택합니다.
- AD 커넥터 동기화 로그를 찾아 살펴보고 테스트 실행이 제대로 이루어졌는지 확인합니다.
- 관리 콘솔의 팀원 페이지를 살펴보고 팀원에게 초대 메시지가 전송되었는지 확인합니다.
예약된 작업을 만드는 데 대한 참고 사항:
- 기본적으로 이 작업은 하루에 한 번 오전 2시(현지 시간 기준)에 실행되도록 설정되어 있습니다.
- 이 작업의 실행 간격을 늘리고 싶다면 최대 3시간에 한 번씩은 괜찮으나 이보다 더 자주 실행하는 것은 좋지 않습니다.
- 예약된 작업들이 서로 방해되는 일이 없도록 Settings(설정) 탭에서 반드시 Do not start a new instance(새 인스턴스 시작하지 않음)를 선택하세요.
고급 설정 및 문제 해결(선택 사항)
그룹 및 Dropbox Active Directory 커넥터
Active Directory 내 그룹은 Dropbox와 동기화되는 반면, Dropbox 그룹은 AD와 동기화되지 않습니다. Dropbox의 변경 내용이 다시 Active Directory로 동기화되지는 않습니다. Dropbox에서 그룹을 삭제해도 Active Directory에서까지 삭제되지는 않습니다. Dropbox와 Active Directory 양쪽에서 그룹을 삭제하는 방법을 알아보세요.
- Active Directory의 동기화 그룹에서 모든 구성원을 제거
- 구성 단계에서 동기화 그룹 제거
이때 다음 사항에 유념하세요.
- Active Directory와 Dropbox 간에 같은 이름의 그룹이 여러 개 있는 경우에는 그룹이 동기화되지 않으며 오류가 로그에 기록됩니다.
- Dropbox의 다른 그룹 안에 그룹을 중첩시킬 수 없습니다. Dropbox에서는 그룹이 다층 구조일 수 없습니다. 즉, 각각의 그룹은 다른 그룹을 포함할 수 없는 단일 계층입니다.
사용자 동기화와 그룹 동기화 둘 다에 하나의 그룹을 선택하면 어떻게 되나요?
사용자가 동기화 그룹에 속하지 않은 다른 그룹의 구성원인 경우에는 해당 그룹이 Dropbox에 동기화되지 않습니다.
사용자 계정 동기화를 위해 다른 Active Directory 그룹을 사용할 경우 그룹이 Dropbox에 어떻게 동기화되나요?
사용자 동기화 그룹에 있는 모든 사용자는 동기화되며, 사용자 동기화 그룹에 있는 그룹은 무시됩니다. 그룹 동기화 그룹에 있는 사용자들은 사용자 동기화 그룹에도 있지 않는 한 무시됩니다. 사용자 동기화 그룹에 있는 그룹은 그룹 동기화 그룹에도 있지 않는 한 무시됩니다.
계정 이전 및 Dropbox Active Directory 커넥터
AD 커넥터는 계정을 다른 팀원에게 자동으로 이전하는 기능은 지원하지 않습니다. 삭제된 계정 및 이 계정과 연결된 파일은 관리 콘솔에 보관되므로 여기에서 이 계정을 이전하거나 영구 삭제할 수는 있습니다.
원격 삭제 및 Dropbox Active Directory 커넥터
AD 커넥터로 사용자를 일시 중단하거나 삭제하면 모든 장치가 자동으로 원격 삭제됩니다. 모든 콘텐츠를 원격 삭제하지 않으면서 사용자나 장치를 제거하려면 관리 콘솔을 사용해야 합니다.
Active Directory 커넥터가 동기화에 실패하면 어떻게 해야 하나요?
AD 커넥터를 실행할 때마다 로그 파일 끝에 종료 코드가 추가됩니다. 이 코드는 실패 이유와 프로세스의 어느 부분에서 실패했는지 알려줍니다. 다음 표에 실패 이유의 예가 나와 있습니다.
- 참고: 성공적으로 실행 완료되면 AD 커넥터가 로그 파일에 0을 기록합니다.
코드 |
실패 이유 |
이 오류를 해결하는 방법 |
SSL/TLS 보안 채널을 만들지 못함 |
서버 또는 클라이언트가 TLS 1.2를 지원하지 않음 |
|
-1 |
PowerShell 버전이 지원되지 않음 |
|
-10 |
구성 파일을 읽을 수 없음 |
|
-11 |
관리자 권한으로 스크립트를 실행해야 함 |
|
-12 |
Active Directory 모듈을 초기화할 수 없음 |
|
-13 |
Dropbox API를 초기화하지 못함 |
|
-14 |
Dropbox API에서 팀 정보를 가져오지 못함 |
|
-15 |
구성된 Active Directory 그룹에서 어떤 사용자도 찾을 수 없음 |
|
-16 |
Dropbox API에서 팀원을 가져오지 못함 |
|
-17 |
동기화 중 실패함 |
|
AD 커넥터의 실행 프로세스는 어떤 단계로 구성되나요?
1단계: 관리되는 사용자 파악
AD 커넥터는 관리되는 사용자만 업데이트합니다. 아래 조건이 충족될 경우 관리되는 사용자로 간주됩니다.
- AD 커넥터는 먼저 프로비저닝을 완료하는데, 프로비저닝은 1) 구성된 Active Directory 그룹에 사용자의 이메일 주소가 추가될 때, 2) 이 이메일 주소가 Dropbox에 없는 경우에 이루어집니다.
- 이 사용자는 Dropbox 팀의 기존 사용자로, Dropbox 팀과 구성된 Active Directory 그룹 간에 이메일 주소가 일치하는 경우입니다.
참고:
- 위의 기존 사용자 여부 검사는 AD 커넥터 구성 시 기존 사용자 관리 옵션을 선택한 경우에만 수행됩니다.
- 위 두 가지 조건 중 하나라도 충족되지 않을 경우, 해당 사용자는 관리되지 않는 사용자로 간주됩니다. AD 커넥터는 관리되지 않는 사용자를 업데이트하지 않습니다. 대부분의 경우, 관리자는 Manage existing users(기존 사용자 관리) 옵션을 선택하는 것이 좋습니다.
2단계: 관리되는 사용자의 정보만 업데이트
- 사용자 이름
- 사용자 성
- 사용자 이메일 주소
AD 커넥터는 1단계에서 관리되는 사용자의 외부 ID가 Dropbox와 AD 간에 서로 일치하는지 확인시켜 줍니다.
예외: Dropbox 계정에서 사용자가 계정에 ‘초대된’ 상태인 경우, AD 커넥터가 이 사용자를 업데이트하지 않습니다. AD 커넥터가 다음 번에 실행되면 이 사용자를 업데이트하려고 다시 시도합니다.
3단계: 관리되는 사용자의 상태만 업데이트
- 관리되는 사용자를 비활성화하더라도 Dropbox 팀에서 해당 사용자가 삭제되지 않고 Active Directory 동기화 그룹에서 해당 사용자가 삭제되지도 않습니다. 대신, 이러한 사용자는 Dropbox 팀에서 계정이 일시 중단됩니다.
- 1단계에서 관리되는 사용자로 식별되었으면 AD 커넥터가 Dropbox에서 해당 사용자의 상태(‘활동 중’, ‘사용 중지됨’ ‘삭제됨’ 중 하나)가 AD의 사용자 상태와 일치하도록 업데이트합니다.