Microsoft Entra Connect: Upgrade z předchozí verze na nejnovější verzi

  • Článek

Důležité

Místo upgradu na nejnovější verzi Microsoft Entra Připojení zjistěte, jestli je pro vás cloudová synchronizace správná. Další informace získáte vyhodnocením možností pomocí Průvodce k vyhodnocení možností synchronizace.

Toto téma popisuje různé metody, které můžete použít k upgradu instalace Microsoft Entra Připojení na nejnovější verzi. Microsoft doporučuje použít kroky v části Migrace swing , když provedete zásadní změnu konfigurace nebo upgradujete ze starších verzí 1.x.

Poznámka:

Je důležité udržovat servery aktuální s nejnovějšími verzemi microsoft Entra Připojení. Neustále provádíme upgrady na Microsoft Entra Připojení a tyto upgrady zahrnují opravy problémů se zabezpečením a chyb a také vylepšení možností služeb, výkonu a škálovatelnosti. Pokud chcete zjistit, co je nejnovější verze, a zjistit, jaké změny byly provedeny mezi verzemi, projděte si historii verzí verze.

Všechny verze starší než Microsoft Entra Připojení V2 jsou aktuálně zastaralé. Další informace naleznete v tématu Úvod do microsoft Entra Připojení V2. V současné době se podporuje upgrade z jakékoli verze microsoft Entra Připojení na aktuální verzi. Místní upgrady nástroje DirSync nebo ADSync se nepodporují a vyžaduje se migrace swingu. Pokud chcete upgradovat z nástroje DirSync, přečtěte si téma Upgrade z nástroje Azure AD Sync (DirSync) nebo části Migrace swingu.

V praxi můžou zákazníci ve starších verzích narazit na problémy, které přímo nesouvisí s Microsoft Entra Připojení. Servery, které byly v produkčním prostředí po dobu několika let, mají obvykle několik oprav, které se na ně vztahují, a ne všechny tyto opravy se dají zohlednit. Zákazníci, kteří se neupgradovali za 12 až 18 měsíců (asi 1 a půl roku), by měli zvážit houpavý upgrade, protože se jedná o nejkonkonzertivnější a nejméně rizikovou možnost.

Existuje několik různých strategií, které můžete použít k upgradu microsoft Entra Připojení.

Metoda Popis Výhody Nevýhody
Automatický upgrade Jedná se o nejjednodušší způsob pro zákazníky s expresní instalací. - Bez ručního zásahu – Verze automatického upgradu nemusí obsahovat nejnovější funkce.
Místní upgrade Pokud máte jeden server, můžete instalaci upgradovat místně na stejném serveru. – Nevyžaduje jiný server.

 – Pokud dojde k problému při probíhajícím upgradu, nemůžete vrátit zpět novou verzi nebo konfiguraci a změnit aktivní server, až budete připravení.

Swing migrace Před přepnutím můžete vytvořit nový aktualizovaný server. – Sejf st přístup a plynulejší přechod na novější verzi
- Podporuje upgrade operačního systému Windows (operační systémy).
- Synchronizace není přerušena a neukládá riziko pro produkční prostředí.		 - Vyžaduje instalaci na samostatném serveru.

Informace o oprávněních najdete v tématu věnovaném oprávněním požadovaným pro upgrade.

Poznámka:

Jakmile povolíte nový server Microsoft Entra Připojení, aby se začaly synchronizovat změny s ID Microsoft Entra, nesmíte se vrátit zpět k používání nástroje DirSync nebo Azure AD Sync. Downgradování z Microsoft Entra Připojení na starší klienty, včetně DirSync a Azure AD Sync, není podporováno a může vést k problémům, jako je ztráta dat v Microsoft Entra ID.

Místní upgrade

Místní upgrade funguje pro přechod ze služby Azure AD Sync nebo Microsoft Entra Připojení. Při přesunu z nástroje DirSync to nefunguje.

Tato metoda je upřednostňovaná, pokud máte jeden server a méně než přibližně 100 000 objektů. Pokud dojde k nějakým změnám v předefinovaných pravidlech synchronizace, po upgradu proběhne úplná synchronizace importu a úplné synchronizace. Tato metoda zajišťuje, že se nová konfigurace použije na všechny existující objekty v systému. Spuštění může trvat několik hodin v závislosti na počtu objektů, které jsou v oboru synchronizačního modulu. Normální plánovač rozdílové synchronizace (který ve výchozím nastavení synchronizuje každých 30 minut) je pozastavený, ale synchronizace hesel pokračuje. Můžete zvážit místní upgrade o víkendu. Pokud v nové verzi Microsoft Entra Připojení nedojde k žádným změnám konfigurace, spustí se normální rozdílový import a synchronizace.

In-place upgrade

Pokud jste provedli změny v předaných synchronizačních pravidlech, nastaví se tato pravidla zpět na výchozí konfiguraci při upgradu. Abyste měli jistotu, že se konfigurace uchovává mezi upgrady, ujistěte se, že provádíte změny, jak jsou popsány v osvědčených postupech pro změnu výchozí konfigurace. Pokud jste už změnili výchozí pravidla synchronizace, přečtěte si, jak před zahájením procesu upgradu opravit upravená výchozí pravidla v microsoft Entra Připojení.

Během místního upgradu mohou být zavedeny změny, které vyžadují, aby se po dokončení upgradu spustily určité synchronizační aktivity (včetně kroku úplného importu a úplného synchronizace). Pokud chcete tyto aktivity odložit, přečtěte si část Jak po upgradu odložit úplnou synchronizaci.

Pokud používáte Microsoft Entra Připojení s nestandardním konektorem (například Generic LDAP (Lightweight Directory Access Protocol) Připojení or a generickým SQL Připojení or), musíte po místní upgradu aktualizovat odpovídající konfiguraci konektoru ve Správci synchronizační služby. Podrobnosti o aktualizaci konfigurace konektoru najdete v části článku Připojení or historie verzí – Řešení potíží. Pokud konfiguraci neaktualizujete, kroky spuštění importu a exportu nebudou pro konektor správně fungovat. V protokolu událostí aplikace se zobrazí následující chyba:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Postupná migrace

U některých zákazníků může místní upgrade představovat značné riziko pro produkční prostředí v případě, že dojde k problému při upgradu a server se nedá vrátit zpět. Jediný produkční server může být také nepraktický, protože počáteční cyklus synchronizace může trvat několik dnů a během této doby se nezpracovávají žádné rozdílové změny.

V těchto scénářích doporučujeme využít postupnou migraci. Tuto metodu můžete využít také v případě, že potřebujete upgradovat operační systém Windows Server nebo plánujete provést zásadní změny v konfiguraci prostředí, které je potřeba před odesláním do produkčního prostředí otestovat.

Potřebujete (alespoň) dva servery – jeden aktivní server a jeden pracovní server. Aktivní server (zobrazený s plnou modrou čárou v následujícím diagramu) zodpovídá za aktivní produkční zatížení. Přípravný server (zobrazený s přerušovanými fialovými čárami) je připravený s novou verzí nebo konfigurací. Jakmile bude tento server plně připravený, převede se na aktivní. Předchozí aktivní server, na kterém je teď nainstalovaná zastaralá verze nebo konfigurace, se převede na pracovní server a upgraduje se.

Tyto dva servery můžou používat různé verze. Například aktivní server, který plánujete vyřadit z provozu, může používat Azure AD Sync a nový přípravný server může používat Microsoft Entra Připojení. Pokud k vývoji nové konfigurace použijete migraci swingu, je vhodné mít na dvou serverech stejné verze.

Diagram of the staging server.

Poznámka:

Někteří zákazníci v tomto scénáři raději mají tři nebo čtyři servery. Při upgradu přípravného serveru nemáte záložní server pro zotavení po havárii. Se třemi nebo čtyřmi servery můžete připravit jednu sadu primárních/pohotovostních serverů s aktualizovanou verzí, která zajistí, že je vždy přípravný server, který je připravený převzít.

Tyto kroky také pracují na přesunu ze služby Azure AD Sync nebo řešení s MIM a nástrojem Microsoft Entra Připojení or. Tento postup nefunguje pro nástroj DirSync, ale stejná metoda migrace swingu (označovaná také jako paralelní nasazení) s kroky pro nástroj DirSync je v upgradu synchronizace Azure Active Directory (DirSync).

Použití swing migrace k upgradu

  1. Pokud máte pouze jeden server Microsoft Entra Připojení, pokud upgradujete ze služby AD Sync nebo upgradujete ze staré verze, je vhodné nainstalovat novou verzi na nový Windows Server. Pokud už máte dva servery Microsoft Entra Připojení, upgradujte nejprve přípravný server. a zvyšte úroveň přípravy na aktivní. Doporučujeme vždy udržovat dvojici aktivního/přípravného serveru se stejnou verzí, ale nevyžaduje se.
  2. Pokud jste vytvořili vlastní konfiguraci a pracovní server ji nemá, postupujte podle kroků v části Přesunutí vlastní konfigurace z aktivního serveru na pracovní server.
  3. Nechte synchronizační modul běžet na přípravném serveru s úplným importem a úplnou synchronizací.
  4. Pomocí postupu v části Ověření konfigurace serveru ověřte, že nová konfigurace nezpůsobila žádné neočekávané změny. Pokud něco neodpovídá očekávání, spusťte cyklus synchronizace a ověřujte data, dokud nebudou v pořádku.
  5. Před upgradem druhého serveru ho přepněte do pracovního režimu a povyšte pracovní server na aktivní server. Toto je poslední krok "Přepnutí aktivního serveru" v procesu ověření konfigurace serveru.
  6. Upgradujte server, který je teď v pracovním režimu, na nejnovější verzi. Při upgradu dat a konfigurace postupujte stejně jako předtím. Pokud upgradujete ze služby Azure AD Sync, můžete teď vypnout a vyřadit starý server z provozu.

Poznámka:

Je důležité úplně vyřadit staré servery Microsoft Entra Připojení, protože to může způsobit problémy se synchronizací, obtížné řešení potíží, když starý synchronizační server zůstane v síti nebo se znovu spustí později omylem. Takové "podvodné" servery mají tendenci přepsat data Microsoft Entra starými informacemi, protože už nemusí mít přístup k místní Active Directory (například když vypršela platnost účtu počítače, změnilo se heslo účtu konektoru atd.), ale stále se může připojit k Microsoft Entra ID a způsobit, že hodnoty atributů se budou neustále vracet v každém cyklu synchronizace (například každých 30 minut). Pokud chcete plně vyřadit server Microsoft Entra Připojení, ujistěte se, že produkt a jeho součásti úplně odinstalujete nebo server trvale odstraníte, pokud se jedná o virtuální počítač.

Přesunutí vlastní konfigurace z aktivního serveru na pracovní server

Pokud jste na aktivním serveru provedli změny konfigurace, musíte se ujistit, že se na nový pracovní server použijí stejné změny. K usnadnění tohoto přesunu můžete použít funkci pro export a import nastavení synchronizace. Pomocí této funkce můžete nasadit nový přípravný server v několika krocích se stejným nastavením jako jiný server Microsoft Entra Připojení ve vaší síti.

Přesun jednotlivých vlastních synchronizačních pravidel

Pro jednotlivá vlastní pravidla synchronizace, která jste vytvořili, je můžete přesunout pomocí PowerShellu. Pokud musíte použít jiné změny stejným způsobem v obou systémech a nemůžete tyto změny migrovat, možná budete muset na obou serverech ručně provést následující konfigurace:

  • Připojení ion do stejných doménových struktur
  • Filtrování libovolné domény a organizační jednotky
  • Stejné volitelné funkce, jako je synchronizace hesel a zpětný zápis hesla

Kopírování vlastních synchronizačních pravidel
Pokud chcete zkopírovat vlastní synchronizační pravidla na jiný server, postupujte takto:

  1. Na aktivním serveru otevřete Editor synchronizačních pravidel.

  2. Vyberte vlastní pravidlo. Klikněte na Exportovat. Tím se zobrazí okno Poznámkový blok. Uložte dočasný soubor s příponou PS1. Díky tomu se jedná o skript PowerShellu. Zkopírujte soubor PS1 do přípravného serveru.

    Screenshot showing the synchronization rules editor export window.

  3. Identifikátor GUID Připojení oru (globálně jedinečný identifikátor) se na přípravném serveru liší a musíte ho změnit. Pokud chcete získat identifikátor GUID, spusťte Editor synchronizačních pravidel, vyberte jedno z předpojených pravidel, která představují stejný připojený systém, a klikněte na tlačítko Exportovat. Identifikátor GUID v souboru PS1 nahraďte identifikátorem GUID z přípravného serveru.

  4. Na příkazovém řádku PowerShellu spusťte soubor PS1. Tím se na přípravném serveru vytvoří vlastní synchronizační pravidlo.

  5. Tento postup opakujte pro všechna vlastní pravidla.

Jak po upgradu odložit úplnou synchronizaci

Během místního upgradu můžou být zavedeny změny, které vyžadují provedení konkrétních synchronizačních aktivit (včetně kroku úplného importu a úplného synchronizace). Například změny schématu konektoru vyžadují úplný krok importu a změny pravidel synchronizace, které jsou připraveny, vyžadují , aby se na ovlivněných konektorech spustil úplný krok synchronizace . Během upgradu microsoft Entra Připojení určuje, jaké synchronizační aktivity se vyžadují, a zaznamenává je jako přepsání. V následujícím cyklu synchronizace plánovač synchronizace tyto přepsání vybere a spustí je. Po úspěšném spuštění přepsání se odebere.

V situacích, kdy nechcete, aby se tato přepsání uskutečnila okamžitě po upgradu. Máte například mnoho synchronizovaných objektů a chcete, aby tyto kroky synchronizace probíhaly po pracovní době. Odebrání těchto přepsání:

  1. Během upgradu zrušte zaškrtnutí možnosti Spustit proces synchronizace po dokončení konfigurace. Tím se plánovač synchronizace zakáže a zabrání automatickému provedení synchronizačního cyklu před odebráním přepsání.

    Screenshot that highlights the Start the synchronization process when configuration completes option that you need to clear.

  2. Po dokončení upgradu spusťte následující rutinu a zjistěte, které přepsání se přidalo: Get-ADSyncSchedulerConnectorOverride | fl

    Poznámka:

    Přepsání jsou specifická pro konektory. V následujícím příkladu jsme přidali krok úplného importu a úplnou synchronizaci jak do místního Připojení AD, tak do nástroje Microsoft Entra Připojení or.

    DisableFullSyncAfterUpgrade

  3. Poznamenejte si existující přepsání, která byla přidána.

  4. Pokud chcete odebrat přepsání pro úplnou synchronizaci importu i úplné synchronizace libovolného konektoru, spusťte následující rutinu: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Pokud chcete odebrat přepsání u všech konektorů, spusťte následující skript PowerShellu:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Pokud chcete obnovit plánovač, spusťte následující rutinu: Set-ADSyncScheduler -SyncCycleEnabled $true

    Důležité

    Nezapomeňte provést požadované kroky synchronizace při nejbližším pohodlí. Tyto kroky můžete buď provést ručně pomocí Správce synchronizační služby, nebo můžete přepsání přidat zpět pomocí rutiny Set-ADSyncScheduler Připojení orOverride.

Pokud chcete přidat přepsání pro úplnou synchronizaci importu i úplné synchronizace libovolného konektoru, spusťte následující rutinu: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Upgrade serverového operačního systému

Pokud potřebujete upgradovat operační systém serveru Microsoft Entra Připojení, nepoužívejte místní upgrade operačního systému (operačního systému). Místo toho připravte nový server s požadovaným operačním systémem a proveďte houpačku migrace.

Řešení problému

Následující část obsahuje řešení potíží a informace, které můžete použít, pokud narazíte na problém s upgradem microsoft Entra Připojení.

Chybějící konektor Microsoft Entra během upgradu nástroje Microsoft Entra Připojení

Při upgradu microsoft Entra Připojení z předchozí verze může dojít k následující chybě na začátku upgradu:

Error

K této chybě dochází, protože konektor Microsoft Entra s identifikátorem b891884f-051e-4a83-95af-2544101c9083 neexistuje v aktuální konfiguraci Microsoft Entra Připojení. Pokud chcete ověřit, že se jedná o tento případ, otevřete okno PowerShellu a spusťte rutinu. Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Rutina PowerShellu hlásí chybu , která nebyla nalezena zadanou ma.

K této chybě dochází, protože aktuální konfigurace nástroje Microsoft Entra Připojení není pro upgrade podporována.

Pokud chcete nainstalovat novější verzi nástroje Microsoft Entra Připojení: zavřete průvodce Připojení Microsoft Entra, odinstalujte stávající Připojení Microsoft Entra a proveďte čistou instalaci novějšího Připojení Microsoft Entra.

Další kroky

Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.