Sdílet prostřednictvím

Microsoft Entra Connect: Upgrade z předchozí verze na nejnovější verzi

Důležité

Místo upgradu na nejnovější verzi microsoft Entra Connect zjistěte, jestli je pro vás cloudová synchronizace správná. Další informace získáte vyhodnocením možností pomocí Průvodce k vyhodnocení možností synchronizace.

Toto téma popisuje různé metody, které můžete použít k upgradu instalace Microsoft Entra Connect na nejnovější verzi. Microsoft doporučuje použít kroky v části Swing migrace při zásadní změně konfigurace nebo při upgradu ze starších verzí 1.x.

Poznámka:

Je důležité udržovat servery aktuální s nejnovějšími verzemi microsoft Entra Connect. Neustále provádíme upgrady na Microsoft Entra Connect a mezi tyto upgrady patří opravy problémů se zabezpečením a chyb a také vylepšení možností služeb, výkonu a škálovatelnosti. Pokud chcete zjistit, jaká je nejnovější verze, a dozvědět se, jaké změny byly provedeny mezi verzemi, projděte si historii vydání verzí.

Všechny verze starší než Microsoft Entra Connect V2 jsou aktuálně zastaralé. Další informace naleznete v tématu Úvod do microsoft Entra Connect V2. Můžete upgradovat z libovolné verze microsoft Entra Connect na aktuální verzi. Upgrady nástrojů DirSync nebo ADSync na místě nejsou podporovány a je vyžadována migrace pomocí swingu. Pokud chcete upgradovat z nástroje DirSync, přečtěte si téma Upgrade z nástroje Azure AD Sync (DirSync) nebo část Swing Migrace.

V praxi můžou zákazníci ve starších verzích narazit na problémy, které přímo nesouvisí s Microsoft Entra Connect. Servery, které jsou v produkci po několik let, obvykle mají aplikováno několik oprav, a ne všechny z těchto oprav lze doložit. Zákazníci, kteří se neupgradovali za 12 až 18 měsíců (asi 1 a půl roku), by měli zvážit houpavý upgrade, protože se jedná o nejkonkonzertivnější a nejméně rizikovou možnost.

Existuje několik různých strategií, které můžete použít k upgradu microsoft Entra Connect.

metoda Popis Výhody Nevýhody
Automatická aktualizace Jedná se o nejjednodušší způsob pro zákazníky s expresní instalací. - Bez ručního zásahu – Verze automatického upgradu nemusí obsahovat nejnovější funkce.
Aktualizace na místě Pokud máte jeden server, můžete instalaci upgradovat místně na stejném serveru. – Nevyžaduje jiný server.

 - Pokud dojde k problému během probíhajícího upgradu, nemůžete vrátit novou verzi nebo konfiguraci a změnit aktivní server, až budete připraveni.

Přešvihová migrace Před přepnutím můžete vytvořit nový aktualizovaný server. - Nejbezpečnější přístup a plynulejší přechod na novější verzi
- Podporuje upgrade operačního systému Windows (operační systémy).
– Synchronizace není přerušená a neukládá riziko pro produkční prostředí		 - Vyžaduje instalaci na samostatném serveru.

Informace o oprávněních najdete v tématu věnovaném oprávněním požadovaným pro upgrade.

Poznámka:

Jakmile povolíte nový server Microsoft Entra Connect, aby se začaly synchronizovat změny s ID Microsoft Entra, nesmíte se vrátit zpět k používání nástroje DirSync nebo Azure AD Sync. Downgradování z Microsoft Entra Connect na starší klienty, včetně DirSync a Azure AD Sync, není podporováno a může vést k problémům, jako je ztráta dat v MICROSOFT Entra ID.

Upgrade na místě

Místní upgrade funguje pro přechod ze služby Azure AD Sync nebo Microsoft Entra Connect. Při přesunu z nástroje DirSync to nefunguje.

Tato metoda je upřednostňovaná, pokud máte jeden server a méně než přibližně 100 000 objektů. Pokud dojde k nějakým změnám v předdefinovaných pravidlech synchronizace, po upgradu proběhne úplný import a úplná synchronizace. Tato metoda zajišťuje, že se nová konfigurace použije na všechny existující objekty v systému. Spuštění může trvat několik hodin v závislosti na počtu objektů, které jsou v oboru synchronizačního modulu. Normální plánovač rozdílové synchronizace (který ve výchozím nastavení synchronizuje každých 30 minut) je pozastavený, ale synchronizace hesel nadále pokračuje. Můžete zvážit provedení in-place upgradu o víkendu. Pokud v nové verzi Microsoft Entra Connect nedojde k žádným změnám konfigurace v základním nastavení, spustí se místo toho normální rozdílový import/synchronizace.

Upgrade na místě

Pokud jste provedli změny v předaných synchronizačních pravidlech, nastaví se tato pravidla zpět na výchozí konfiguraci při upgradu. Abyste měli jistotu, že se konfigurace uchovává mezi upgrady, ujistěte se, že provádíte změny, jak jsou popsány v osvědčených postupech pro změnu výchozí konfigurace. Pokud jste už změnili výchozí pravidla synchronizace, přečtěte si, jak před zahájením procesu upgradu opravit upravená výchozí pravidla v nástroji Microsoft Entra Connect.

Během místního upgradu mohou být zavedeny změny, které vyžadují, aby se po dokončení upgradu spustily určité synchronizační aktivity (včetně kroku úplného importu a úplného synchronizace). Pokud chcete tyto aktivity odložit, přečtěte si část Jak po upgradu odložit úplnou synchronizaci.

Pokud používáte Microsoft Entra Connect s nestandardním konektorem (například generickým konektorem LDAP (Lightweight Directory Access Protocol) a obecným konektorem SQL), musíte po místní upgradu aktualizovat odpovídající konfiguraci konektoru v Synchronization Service Manageru. Podrobnosti o aktualizaci konfigurace konektoru najdete v části Historie verzí konektoru – Řešení potíží. Pokud konfiguraci neaktualizujete, kroky spuštění importu a exportu nebudou u konektoru fungovat správně. V protokolu událostí aplikace se zobrazí následující chyba:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Postupná migrace

U některých zákazníků může místní upgrade představovat značné riziko pro produkční prostředí v případě, že dojde k problému při upgradu a server se nedá vrátit zpět. Jediný produkční server může být také nepraktický, protože počáteční cyklus synchronizace může trvat několik dnů a během této doby se nezpracovávají žádné změny typu delta.

V těchto scénářích doporučujeme využít postupnou migraci. Tuto metodu můžete použít, když potřebujete upgradovat operační systém Windows Server. Kromě toho ho můžete použít, když plánujete provést podstatné změny konfigurace prostředí, které je potřeba otestovat před jejich odesláním do produkčního prostředí.

Potřebujete (alespoň) dva servery – jeden aktivní server a jeden pracovní server. Aktivní server (zobrazený s plnou modrou čárou v následujícím diagramu) zodpovídá za aktivní produkční zatížení. Testovací server (zobrazený s přerušovanými fialovými linkami) je připraven s novou verzí nebo konfigurací. Jakmile bude tento server plně připravený, převede se na aktivní. Předchozí aktivní server, na kterém je teď nainstalovaná zastaralá verze nebo konfigurace, se převede na pracovní server a upgraduje se.

Tyto dva servery můžou používat různé verze. Například aktivní server, který plánujete vyřadit z provozu, může používat Azure AD Sync a nový přípravný server může používat Microsoft Entra Connect. Pokud k vývoji nové konfigurace použijete swing migration, je vhodné mít na dvou serverech stejné verze.

Diagram přípravného serveru

Poznámka:

Někteří zákazníci v tomto scénáři raději mají tři nebo čtyři servery. Při upgradu přípravného serveru nemáte záložní server pro zotavení po havárii. Se třemi nebo čtyřmi servery můžete připravit jednu sadu primárních/pohotovostních serverů s aktualizovanou verzí, která zajistí, že je vždy přípravný server, který je připravený převzít.

Tyto kroky také pracují na přesunu ze služby Azure AD Sync nebo řešení s MIM a konektorem Microsoft Entra. Tento postup nefunguje pro nástroj DirSync, ale stejná metoda migrace swingu (označovaná také jako paralelní nasazení) s kroky pro nástroj DirSync je v Upgrade Azure Active Directory Sync (DirSync).

Použijte swing migraci k upgradu

  1. Pokud máte jenom jeden server Microsoft Entra Connect, pokud upgradujete ze služby AD Sync nebo upgradujete ze staré verze, je vhodné nainstalovat novou verzi na nový Windows Server. Pokud už máte dva servery Microsoft Entra Connect, upgradujte nejprve přípravný server. a povýšit přípravu na aktivní fázi. Doporučujeme vždy udržovat dvojici aktivního/přípravného serveru se stejnou verzí, ale nevyžaduje se.
  2. Pokud jste vytvořili vlastní konfiguraci a pracovní server ji nemá, postupujte podle kroků v části Přesunutí vlastní konfigurace z aktivního serveru na pracovní server.
  3. Nechte synchronizační modul běžet na přípravném serveru s úplným importem a úplnou synchronizací.
  4. Pomocí kroků v části Ověření v Ověřte konfiguraci serveruověřte, že nová konfigurace nezpůsobila žádné neočekávané změny. Pokud něco není podle očekávání, opravte ho, spusťte cyklus synchronizace a ověřte data, dokud nevypadá dobře.
  5. Před upgradem druhého serveru ho přepněte do pracovního režimu a povyšte pracovní server na aktivní server. Toto je poslední krok "Přepnutí aktivního serveru" v procesu ověření konfigurace serveru.
  6. Upgradujte server, který je teď v pracovním režimu, na nejnovější verzi. Při upgradu dat a konfigurace postupujte stejně jako předtím. Pokud upgradujete ze služby Azure AD Sync, můžete teď vypnout a vyřadit starý server z provozu.

Poznámka:

Je důležité úplně vyřadit staré servery Microsoft Entra Connect, protože to může způsobit problémy se synchronizací, obtížné vyřešit problémy, když starý synchronizační server zůstane v síti nebo se znovu spustí později omylem. Takové "podvodné" servery mají tendenci přepsat data Microsoft Entra starými informacemi, protože už nemusí mít přístup k místní Active Directory (například když vypršela platnost účtu počítače, změnilo se heslo účtu konektoru atd.), ale stále se může připojit k Microsoft Entra ID a způsobit, že hodnoty atributů se budou neustále vracet v každém cyklu synchronizace (například každých 30 minut). Pokud chcete server Microsoft Entra Connect úplně vyřadit z provozu, ujistěte se, že produkt a jeho součásti úplně odinstalujete nebo server trvale odstraníte, pokud se jedná o virtuální počítač.

Přesunout vlastní konfiguraci z aktivního serveru na testovací server

Pokud jste na aktivním serveru provedli změny konfigurace, musíte se ujistit, že se na nový pracovní server použijí stejné změny. K usnadnění tohoto přesunu můžete použít funkci pro export a import nastavení synchronizace. Pomocí této funkce můžete nasadit nový přípravný server v několika krocích se stejným nastavením jako jiný server Microsoft Entra Connect ve vaší síti.

Přesun jednotlivých vlastních synchronizačních pravidel

Pro jednotlivá vlastní pravidla synchronizace, která jste vytvořili, je můžete přesunout pomocí PowerShellu. Pokud musíte použít jiné změny stejným způsobem v obou systémech a nemůžete tyto změny migrovat, možná budete muset na obou serverech ručně provést následující konfigurace:

  • Připojení ke stejným lesům
  • Filtrování libovolné domény a organizační jednotky
  • Stejné volitelné funkce, jako je synchronizace hesel a zpětný zápis hesla

Kopírování vlastních synchronizačních pravidel
Pokud chcete zkopírovat vlastní synchronizační pravidla na jiný server, postupujte takto:

  1. Na aktivním serveru otevřete Editor synchronizačních pravidel.

  2. Vyberte vlastní pravidlo. Vyberte Exportovat. Tím se otevře okno Poznámkového bloku. Uložte dočasný soubor s příponou PS1. Díky tomu se jedná o skript PowerShellu. Zkopírujte soubor PS1 do přípravného serveru.

    Snímek obrazovky znázorňující okno exportu editoru synchronizačních pravidel

  3. Identifikátor GUID konektoru (globálně jedinečný identifikátor) se na přípravném serveru liší a musíte ho změnit. Pokud chcete získat identifikátor GUID, spusťte Editor pravidel synchronizace, vyberte jedno z výchozích pravidel, která představují stejný připojený systém, a zvolte Export. Nahraďte GUID v souboru PS1 GUIDem z přípravného serveru.

  4. Na příkazovém řádku PowerShellu spusťte soubor PS1. Tím se na přípravném serveru vytvoří vlastní synchronizační pravidlo.

  5. Opakujte tento postup pro všechna vlastní pravidla.

Jak po upgradu odložit úplnou synchronizaci

Během místního upgradu můžou být zavedeny změny, které vyžadují provedení konkrétních synchronizačních aktivit (včetně kroku úplného importu a úplného synchronizace). Například změny schématu konektoru vyžadují krok úplného importu a změny pravidel synchronizace z krabice vyžadují, aby se na ovlivněných konektorech spustil krok úplné synchronizace. Během upgradu Microsoft Entra Connect určuje, jaké synchronizační aktivity jsou vyžadovány, a zaznamenává je jako předvolby. V následujícím cyklu synchronizace plánovač synchronizace tato přepisování vybere a provede je. Po úspěšném provedení přepsání se odebere.

V situacích, kdy nechcete, aby se tyto změny provedly okamžitě po upgradu. Máte například mnoho synchronizovaných objektů a chcete, aby tyto kroky synchronizace probíhaly po pracovní době. Odebrat tato přepsání:

  1. Během upgradu zrušte zaškrtnutí možnosti Spustit proces synchronizace po dokončení konfigurace. Tím se deaktivuje plánovač synchronizace a zabrání se automatickému provedení synchronizačního cyklu, dokud nebudou odstraněna přepsání.

    Snímek obrazovky se zvýrazněnou možností Spustit proces synchronizace po dokončení konfigurace, kterou je potřeba vymazat

  2. Po dokončení upgradu spusťte následující cmdlet a zjistěte, jaká přepsání byla přidána: Get-ADSyncSchedulerConnectorOverride | fl

    Poznámka:

    Náhrady jsou specifické pro konektory. V následujícím příkladu jsme přidali krok úplného importu a úplnou synchronizaci do místního konektoru AD i konektoru Microsoft Entra Connector.

    ZakázatPlnouSynchronizaciPoAktualizaci

  3. Poznamenejte si existující přetížení, která byla přidána.

  4. Chcete-li zrušit přepsání jak pro úplný import, tak pro úplnou synchronizaci libovolného konektoru, spusťte následující rutinu: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Chcete-li odstranit přepsání u všech konektorů, spusťte následující skript programu PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Pokud chcete obnovit plánovač, spusťte následující cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

    Důležité

    Nezapomeňte provést požadované kroky synchronizace při nejbližším pohodlí. Tyto kroky můžete provést ručně pomocí Správce synchronizační služby nebo přidat přepisování zpět pomocí rutiny Set-ADSyncSchedulerConnectorOverride cmdlet.

Pokud chcete přidat přepsání nastavení pro úplný import a úplnou synchronizaci libovolného konektoru, spusťte následující rutinu: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Upgrade serverového operačního systému

Pokud potřebujete upgradovat operační systém serveru Microsoft Entra Connect, doporučujeme připravit nový server s požadovaným operačním systémem a provést houpací migraci.

Pokud to ale není možné, podporují se následující místní upgrady operačního systému.

Počáteční operační systém Podporovaný místní upgrade operačního systému
Windows Server 2016 Windows Server 2022
Windows Server 2019 Windows Server 2022

Řešení problému

Následující část obsahuje řešení potíží a informace, které můžete použít, pokud narazíte na problém s upgradem služby Microsoft Entra Connect.

Při upgradu Microsoft Entra Connect chybí konektor Microsoft Entra.

Při upgradu microsoft Entra Connect z předchozí verze může dojít k následující chybě na začátku upgradu:

Chyba

K této chybě dochází, protože konektor Microsoft Entra s identifikátorem b891884f-051e-4a83-95af-2544101c9083 neexistuje v aktuální konfiguraci Microsoft Entra Connect. Abyste ověřili, že je tomu tak, otevřete okno PowerShellu a spusťte Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083.

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Rutina PowerShell hlásí chybu zadanou MA nelze nalézt.

K této chybě dochází, protože aktuální konfigurace nástroje Microsoft Entra Connect není pro upgrade podporovaná.

Pokud chcete nainstalovat novější verzi nástroje Microsoft Entra Connect: zavřete průvodce Microsoft Entra Connect, odinstalujte stávající aplikaci Microsoft Entra Connect a proveďte čistou instalaci novější aplikace Microsoft Entra Connect.

Další kroky

Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.