Microsoft Entra Connect: Upgrade von einer früheren Version auf die aktuelle Version
Wichtig
Statt ein Upgrade auf die neueste Version von Microsoft Entra Connect durchzuführen, überprüfen Sie, ob die Cloudsynchronisierung für Sie geeignet ist. Weitere Informationen erhalten Sie, wenn Sie Ihre Optionen mit dem Assistenten zur Bewertung von Synchronisierungsoptionen erkunden.
In diesem Thema werden die verschiedenen Methoden beschrieben, mit denen Sie Ihre Microsoft Entra Connect-Installation auf die aktuelle Version aktualisieren können. Microsoft empfiehlt, die im Abschnitt Swing-Migration beschriebenen Schritte zu verwenden, wenn Sie eine erhebliche Konfigurationsänderung oder ein Upgrade von älteren 1.x-Versionen vornehmen.
Hinweis
Es ist wichtig, auf Ihren Servern immer das neueste Release von Microsoft Entra Connect zu verwenden. Wir führen ständig Upgrades von Microsoft Entra Connect durch, die Fixes für Sicherheitsprobleme und Fehler, Korrekturen sowie Verbesserungen bei der Leistung und Skalierbarkeit umfassen. Informationen zur aktuellen Version und zu den Änderungen, die zwischen den Versionen vorgenommen wurden, finden Sie im Versionsverlauf.
Alle Versionen, die älter als Microsoft Entra Connect V2 sind, sind derzeit veraltet. Weitere Informationen finden Sie unter Einführung in Microsoft Entra Connect V2. Derzeit kann ein Upgrade von einer beliebigen Microsoft Entra Connect-Version auf die aktuelle Version durchgeführt werden. Direkte Upgrades von DirSync oder ADSync werden nicht unterstützt, stattdessen ist eine Swingmigration erforderlich. Wenn Sie ein Upgrade von DirSync durchführen möchten, lesen Sie den Abschnitt Upgrade des Azure AD Sync-Tools (DirSync) oder den Abschnitt Swing-Migration.
In der Praxis treten bei Kund*innen mit alten Versionen möglicherweise Probleme auf, die nicht direkt mit Microsoft Entra Connect zusammenhängen. Bei Servern, die seit mehreren Jahren im Einsatz sind, wurden in der Regel mehrere Patches angewandt, die nicht alle berücksichtigt werden können. Kunden, die seit 12 bis 18 Monaten (1 bis 1 1/2 Jahre) kein Upgrade durchgeführt haben, sollten stattdessen ein Swingupgrade in Betracht ziehen, da dies die konservativste und risikoärmste Option ist.
Es gibt verschiedene Strategien für das Upgrade von Microsoft Entra Connect.
Methode | Beschreibung | Vorteile | Nachteile |
---|---|---|---|
Automatisches Upgrade | Für Kunden mit einer Expressinstallation ist dies die einfachste Methode | - Kein manueller Eingriff | - Die automatische Upgradeversion enthält möglicherweise nicht die neuesten Features |
Direktes Upgrade | Wenn Sie über einen einzelnen Server verfügen, können Sie die Installation des Upgrades direkt auf demselben Server vornehmen | – Erfordert keinen weiteren Server. |
– Wenn bei einem direkten Upgrade ein Problem auftritt, ist es nicht möglich, ein Rollback der neuen Version oder Konfiguration auszuführen und den aktiven Server zu ändern, wenn Sie fertig sind. |
Swing-Migration | Sie können vor dem Wechseln einen neuen aktualisierten Server erstellen. | - Sicherer Ansatz und reibungsloserer Übergang zu einer neueren Version - Unterstützt ein Upgrade des Windows-Betriebssystems - Keine Unterbrechung der Synchronisierung und kein Risiko für die Produktion |
- Erfordert die Installation auf einem separaten Server |
Informationen zu den Berechtigungen finden Sie unter Erforderliche Berechtigungen für ein Upgrade.
Hinweis
Nachdem Sie Ihren neuen Microsoft Entra Connect-Server aktiviert haben und mit dem Synchronisieren von Änderungen mit Microsoft Entra ID beginnen können, dürfen Sie kein Rollback zur Verwendung von DirSync oder Azure AD Sync mehr durchführen. Ein Downgrade von Microsoft Entra Connect auf Legacyclients (einschließlich DirSync und Azure AD Sync) wird nicht unterstützt und kann zu Problemen (z. B. zu einem Datenverlust in Microsoft Entra ID) führen.
Direktes Upgrade
Ein direktes Upgrade ist möglich, wenn Sie von Azure AD Sync oder Microsoft Entra Connect umstellen. Es funktioniert nicht für das Bewegen von DirSync.
Dies ist die bevorzugte Methode, wenn Sie über einen einzelnen Server und weniger als ca. 100.000 Objekte verfügen. Wenn die standardmäßigen Synchronisierungsregeln geändert wurden, werden nach dem Upgrade ein vollständiger Import und eine vollständige Synchronisierung durchgeführt. Mit dieser Methode wird sichergestellt, dass die neue Konfiguration auf alle vorhandenen Objekte im System angewendet wird. Diese Ausführung kann einige Stunden dauern. Die Dauer ist abhängig von der Anzahl der Objekte, die vom Synchronisierungsmodul berücksichtigt werden. Der normale Deltasynchronisierungsscheduler (der standardmäßig alle 30 Minuten synchronisiert) wird angehalten, aber die Kennwortsynchronisierung wird fortgesetzt. Sie sollten für das direkte Upgrade ein Wochenende in Betracht ziehen. Wenn Sie keine Änderungen an der Standardkonfiguration der neuen Microsoft Entra Connect-Version vornehmen, wird stattdessen ein normaler Deltaimport bzw. eine Deltasynchronisierung gestartet.
Wenn Sie vordefinierte Synchronisierungsregeln geändert haben, werden diese Regeln beim Upgrade wieder auf die Standardkonfiguration zurückgesetzt. Um sicherzustellen, dass Ihre Konfiguration zwischen Upgrades erhalten bleibt, achten Sie darauf, dass die Änderungen wie in Best Practices zum Ändern der Standardkonfiguration beschrieben vorgenommen werden. Wenn Sie die Standardsynchronisierungsregeln bereits geändert haben, lesen Sie den Artikel Korrigieren von geänderten Standardregeln in Microsoft Entra Connect, bevor Sie den Upgradeprozess starten.
Bei einem direkten Upgrade werden unter Umständen Änderungen eingeführt, für die nach Abschluss des Upgrades bestimmte Synchronisierungsaktivitäten durchgeführt werden müssen (einschließlich vollständigem Import und vollständiger Synchronisierung). Wie Sie solche Aktivitäten zurückstellen, erfahren Sie im Abschnitt Zurückstellen der vollständigen Synchronisierung nach dem Upgrade.
Wenn Sie Microsoft Entra Connect mit einem nicht standardmäßigen Connector verwenden (z. B. den generischen LDAP-Connector [Lightweight Directory Access Protocol] und den generischen SQL-Connector), müssen Sie nach dem direkten Upgrade die entsprechende Connectorkonfiguration im Synchronization Service Manager aktualisieren. Weitere Informationen zum Aktualisieren der Konfiguration des Connectors finden Sie in diesem Artikel im Abschnitt Problembehandlung –Versionsverlauf für Connectorversion. Wenn Sie die Konfiguration nicht aktualisieren, funktionieren die Import- und Exportausführungsschritte für den Connector nicht ordnungsgemäß. Die folgenden Fehler werden im Anwendungsereignisprotokoll angezeigt:
Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".
Swing-Migration
Bei einigen Kunden kann ein direktes Upgrade ein erhebliches Risiko für die Produktion darstellen, wenn beim Upgrade ein Problem auftritt und für den Server kein Rollback durchgeführt werden kann. Ein einzelner Produktionsserver kann auch unpraktisch sein, da der anfängliche Synchronisierungszyklus mehrere Tage dauern kann und in dieser Zeit keine Deltaänderungen verarbeitet werden.
Die empfohlene Methode für diese Szenarien ist die Swing-Migration. Sie können diese Methode auch verwenden, wenn Sie das Windows Server-Betriebssystem aktualisieren müssen oder planen, erhebliche Änderungen an Ihrer Umgebungskonfiguration vorzunehmen, die vor dem Bereitstellen für die Produktion getestet werden müssen.
Dafür benötigen Sie (mindestens) zwei Server: einen aktiven Server und einen Stagingserver. Der aktive Server (im folgenden Diagramm mit durchgezogenen blauen Linien dargestellt) ist für die aktive Produktionslast verantwortlich. Der Stagingserver (mit violettem Strichlinien gezeigt) wird mit der neuen Version oder Konfiguration vorbereitet. Wenn er vollständig bereit ist, wird dieser Server zum aktiven Server gemacht. Der vorherige aktive Server, auf dem jetzt die alte Version oder Konfiguration installiert ist, wird zum Stagingserver und wird aktualisiert.
Die beiden Server können unterschiedliche Versionen verwenden. Sie können beispielsweise für den aktiven Server, den Sie außer Betrieb nehmen möchten, Azure AD Sync und für den neuen Stagingserver Microsoft Entra Connect verwenden. Wenn Sie für die Entwicklung einer neuen Konfiguration die Swing-Migration verwenden, ist es ratsam, auf beiden Servern dieselben Versionen auszuführen.
Hinweis
Einige Kunden bevorzugen für dieses Szenario die Verwendung von drei oder vier Servern. Wenn der Stagingserver aktualisiert wird, steht Ihnen in dieser Zeit kein Sicherungsserver für eine Notfallwiederherstellung zur Verfügung. Mit drei oder vier Servern können Sie einen Satz aus primären Servern/Standbyservern mit der aktualisierten Version vorbereiten. Dadurch ist sichergestellt, dass immer ein Stagingserver für eine Übernahme zur Verfügung steht.
Diese Schritte funktionieren auch beim Wechsel von Azure AD Sync oder für eine Lösung mit MIM und dem Microsoft Entra-Connector. Diese Schritte gelten nicht für DirSync, aber die entsprechende Swing-Migration (auch parallele Bereitstellung genannt) mit Schritten für DirSync finden Sie unter Upgrade von Azure Active Directory Sync (DirSync).
Verwenden der Swing-Migration für das Upgraden
- Wenn Sie nur über einen Microsoft Entra Connect-Server verfügen und ein Upgrade von AD Sync oder einer alten Version durchführen, empfiehlt es sich, die neue Version auf einer neuen Windows Server-Instanz zu installieren. Wenn Sie bereits über zwei Microsoft Entra Connect-Server verfügen, aktualisieren Sie zuerst den Stagingserver, und stufen Sie dann den Stagingserver zum aktiven Server hoch. Es ist empfehlenswert, aber nicht zwingend erforderlich, immer ein Paar aus aktivem Server und Stagingserver mit derselben Version auszuführen.
- Wenn Sie eine benutzerdefinierte Konfiguration erstellt haben, die auf dem Stagingserver nicht vorhanden ist, führen Sie die Schritte unter Verschieben einer benutzerdefinierten Konfiguration vom aktiven Server auf den Stagingserver aus.
- Führen Sie mit dem Synchronisierungsmodul einen vollständigen Import und eine vollständige Synchronisierung auf dem Stagingserver aus.
- Stellen Sie mithilfe der Schritte unter „Überprüfen“ im Abschnitt Überprüfen der Konfiguration eines Servers sicher, dass die neue Konfiguration nicht zu unerwarteten Änderungen führt. Wenn etwas nicht Ihren Erwartungen entspricht, korrigieren Sie es. Führen Sie einen Synchronisierungszyklus aus, und überprüfen Sie die Daten, bis Sie zufrieden sind.
- Wechseln Sie vor dem Upgrade des anderen Servers in den Stagingmodus, und stufen Sie den Stagingserver zum aktiven Server hoch. „Wechseln des aktiven Servers“ ist der letzte Schritt beim Überprüfen der Konfiguration eines Servers.
- Führen Sie für den Server, der sich jetzt im Stagingmodus befindet, ein Upgrade auf die neueste Version durch. Führen Sie die gleichen Schritte wie zuvor aus, um die Daten und die Konfiguration zu aktualisieren. Wenn Sie ein Upgrade von Azure AD Sync durchgeführt haben, können Sie den alten Server jetzt ausschalten und außer Betrieb nehmen.
Hinweis
Es ist wichtig, alte Microsoft Entra Connect-Server vollständig außer Betrieb zu nehmen. Es kann zu schwer behebbaren Problemen bei der Synchronisierung kommen, wenn ein alter Synchronisierungsserver im Netzwerk verbleibt oder später versehentlich wieder eingeschaltet wird. Solche „Rogue“-Server neigen dazu, Microsoft Entra-Daten mit ihren alten Informationen zu überschreiben, weil sie möglicherweise nicht mehr auf die lokale Active Directory-Instanz zugreifen können (z. B. wenn das Computerkonto abgelaufen ist, das Kennwort für das Connectorkonto geändert wurde usw.), aber immer noch eine Verbindung mit Microsoft Entra ID herstellen können und dafür sorgen, dass die Attributwerte in jedem Synchronisierungszyklus (z. B. alle 30 Minuten) kontinuierlich zurückgesetzt werden. Um einen Microsoft Entra Connect-Server vollständig außer Betrieb zu nehmen, müssen Sie das Produkt und seine Komponenten vollständig deinstallieren oder den Server endgültig löschen, wenn es sich um eine VM handelt.
Verschieben einer benutzerdefinierten Konfiguration vom aktiven Server auf den Stagingserver
Wenn Sie Änderungen an der Konfiguration des aktiven Servers vorgenommen haben, müssen Sie sicherstellen, dass dieselben Änderungen auch auf dem Stagingserver angewendet werden. Um diesen Schritt zu unterstützen, können Sie das Feature zum Exportieren und Importieren von Synchronisierungseinstellungen verwenden. Mit diesem Feature können Sie in wenigen Schritten einen neuen Stagingserver mit exakt denselben Einstellungen wie ein anderer Microsoft Entra Connect-Server in Ihrem Netzwerk bereitstellen.
Verschieben einzelner benutzerdefinierter Synchronisierungsregeln
Einzelne benutzerdefinierte Synchronisierungsregeln, die Sie erstellt haben, können Sie mithilfe von PowerShell verschieben. Wenn Sie auf andere Änderungen die gleiche Weise auf beide Systeme anwenden müssen und die Änderungen nicht migrieren können, müssen Sie möglicherweise die folgenden Konfigurationen auf beiden Servern manuell vornehmen:
- Verbindung mit den gleichen Gesamtstrukturen
- Filter von Domänen und Organisationseinheiten
- Die gleichen optionalen Features wie Kennwortsynchronisierung und Kennwortrückschreiben
Kopieren benutzerdefinierter Synchronisierungsregeln
Gehen Sie wie folgt vor, um benutzerdefinierte Synchronisierungsregeln auf einen anderen Server zu kopieren:
Öffnen Sie den Synchronisierungsregel-Editor auf dem aktiven Server.
Wählen Sie eine benutzerdefinierte Regel aus. Klicken Sie auf Exportieren. Ein Editor-Fenster wird geöffnet. Speichern Sie die temporäre Datei mit der Erweiterung „PS1“. Damit ist es ein PowerShell-Skript. Kopieren Sie die PS1-Datei auf den Stagingserver.
Die Connector-GUID (Globally Unique Identifier) weicht auf dem Stagingserver ab und muss von Ihnen geändert werden. Um die GUID abzurufen, starten Sie den Synchronisierungsregel-Editor. Wählen Sie eine der vordefinierten Regeln aus, die das gleiche verbundene System darstellen, und klicken Sie auf Exportieren. Ersetzen Sie die GUID in der PS1-Datei durch die GUID des Stagingservers.
Führen Sie die PS1-Datei an einer PowerShell-Eingabeaufforderung aus. Dadurch wird die benutzerdefinierte Synchronisierungsregel auf dem Stagingserver erstellt.
Wiederholen Sie diesen Schritt für alle Ihre benutzerdefinierten Regeln.
Zurückstellen der vollständigen Synchronisierung nach dem Upgrade
Bei einem direkten Upgrade werden unter Umständen Änderungen eingeführt, für die bestimmte Synchronisierungsaktivitäten durchgeführt werden müssen (einschließlich vollständigem Import und vollständiger Synchronisierung). Bei Connectorschemaänderungen muss beispielsweise der Schritt Vollständiger Import und bei Änderungen an den standardmäßigen Synchronisierungsregeln der Schritt Vollständige Synchronisierung für die betroffenen Connectors ausgeführt werden. Während des Upgrades ermittelt Microsoft Entra Connect die erforderlichen Synchronisierungsaktivitäten und protokolliert sie als Außerkraftsetzungen. Im folgenden Synchronisierungszyklus greift der Synchronisierungsplaner diese Außerkraftsetzungen auf und führt sie aus. Erfolgreich ausgeführte Außerkraftsetzungen werden entfernt.
Manchmal sollen diese Außerkraftsetzungen aber möglicherweise nicht direkt nach dem Upgrade stattfinden. Beispiel: Sie verfügen über zahlreiche synchronisierte Objekte, und die Synchronisierungsschritte sollen außerhalb der Geschäftszeiten ausgeführt werden. Gehen Sie zum Entfernen dieser Außerkraftsetzungen wie folgt vor:
Deaktivieren Sie während des Upgrades die Option Starten Sie den Synchronisierungsvorgang, nachdem die Konfiguration abgeschlossen wurde. Dadurch wird der Synchronisierungsplaner deaktiviert und sichergestellt, dass der Synchronisierungszyklus nicht automatisch beginnt, bevor die Außerkraftsetzungen entfernt wurden.
Führen Sie nach Abschluss des Upgrades das folgende Cmdlet aus, um zu ermitteln, welche Außerkraftsetzungen hinzugefügt wurden:
Get-ADSyncSchedulerConnectorOverride | fl
Hinweis
Die Außerkraftsetzungen sind connectorspezifisch. Im folgenden Beispiel wurden die Schritte „Vollständiger Import“ und „Vollständige Synchronisierung“ dem lokalen AD-Connector und dem Microsoft Entra-Connector hinzugefügt.
Notieren Sie sich die vorhandenen Außerkraftsetzungen, die hinzugefügt wurden.
Führen Sie das folgende Cmdlet aus, um die Außerkraftsetzungen für den vollständigen Import und die vollständige Synchronisierung von einem beliebigen Connector zu entfernen:
Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false
Wenn Sie die Außerkraftsetzungen für alle Connectors entfernen möchten, führen Sie das folgende PowerShell-Skript aus:
foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride) { Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false }
Führen Sie das folgende Cmdlet aus, um den Planer fortzusetzen:
Set-ADSyncScheduler -SyncCycleEnabled $true
Wichtig
Die erforderlichen Synchronisierungsschritte sollten zum frühestmöglichen Zeitpunkt ausgeführt werden. Sie können die Schritte entweder manuell mit dem Synchronization Service Manager ausführen oder die Außerkraftsetzungen mithilfe des Cmdlets „Set-ADSyncSchedulerConnectorOverride“ wieder hinzufügen.
Führen Sie das folgende Cmdlet aus, um die Außerkraftsetzungen für den vollständigen Import und die vollständige Synchronisierung eines beliebigen Connectors hinzuzufügen: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true
Upgrade des Serverbetriebssystems
Wenn ein Upgrade des Betriebssystems Ihres Microsoft Entra Connect-Servers erforderlich ist, führen Sie kein direktes Upgrade des Betriebssystems durch. Bereiten Sie stattdessen einen neuen Server mit dem gewünschten Betriebssystem vor, und führen Sie eine Swing-Migration durch.
Problembehandlung
Der folgende Abschnitt enthält Details zur Problembehandlung sowie Informationen, die hilfreich sind, wenn beim Upgrade von Microsoft Entra Connect Probleme auftreten.
Fehler „Microsoft Entra-Connector fehlt“ beim Upgrade von Microsoft Entra Connect
Wenn Sie ein Microsoft Entra Connect-Upgrade von einer vorherigen Version durchführen, wird zu Beginn des Upgrades unter Umständen der folgende Fehler angezeigt:
Dieser Fehler tritt auf, weil der Microsoft Entra-Connector mit dem Bezeichner „b891884f-051e-4a83-95af-2544101c9083“ in der aktuellen Microsoft Entra Connect-Konfiguration nicht vorhanden ist. Um zu überprüfen, ob dies der Fall ist, öffnen Sie ein PowerShell-Fenster, und führen Sie das Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
aus:
PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
ctor], ConnectorNotFoundException
+ FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet
Das PowerShell-Cmdlet meldet den Fehler, dass der angegebene MA nicht gefunden wurde.
Dieser Fehler tritt auf, weil für die aktuelle Microsoft Entra Connect-Konfiguration kein Upgrade unterstützt wird.
Wenn Sie eine neuere Version von Microsoft Entra Connect installieren möchten: Schließen Sie den Microsoft Entra Connect-Assistenten, deinstallieren Sie die vorhandene Microsoft Entra Connect-Instanz, und führen Sie eine Neuinstallation der neueren Microsoft Entra Connect-Version durch.
Nächste Schritte
Erfahren Sie mehr zum Integrieren lokaler Identitäten in Microsoft Entra ID.