Compartir vía


Microsoft Entra Connect: actualización de una versión anterior a la versión más reciente

Importante

En lugar de actualizar a la última versión de Microsoft Entra Connect, compruebe si la sincronización en la nube es adecuada para usted. Para obtener más información, evalúe las opciones mediante el Asistente para evaluar las opciones de sincronización

En este tema se describen los distintos métodos que puede utilizar para actualizar la instalación de Microsoft Entra Connect a la versión más reciente. Microsoft recomienda seguir los pasos descritos en la sección Migración oscilante si realiza un cambio sustancial de la configuración o si actualiza desde versiones anteriores de la versión 1.x.

Nota:

Es importante mantener los servidores actualizados con las versiones más recientes de Microsoft Entra Connect. Constantemente realizamos actualizaciones de Microsoft Entra Connect, y estas actualizaciones incluyen correcciones de problemas de seguridad y errores, así como mejoras de capacidad de servicio, rendimiento y escalabilidad. Para ver cuál es la versión más reciente, y para saber qué cambios se han realizado entre versiones, consulte el historial de versiones.

Las versiones anteriores a Microsoft Entra Conect V2 están actualmente en desuso. Para obtener más información, consulte Introducción a Microsoft Entra Connect V2. Actualmente es compatible con la actualización de cualquier versión de Microsoft Entra Connect a la versión actual. No se admiten las actualizaciones locales de DirSync o ADSync y se requiere una migración oscilante. Si quiere actualizar desde DirSync, consulte la sección Actualización desde la herramienta Sincronización de Azure AD (DirSync) o la sección Migración oscilante.

En la práctica, los clientes de versiones anteriores pueden encontrar problemas que no están directamente relacionados con Microsoft Entra Connect. A los servidores que han estado en producción durante varios años normalmente se les ha aplicado varias revisiones y no todas ellas se pueden tener en cuenta. Asimismo, los clientes que no han realizado actualizaciones en el transcurso de 12 a 18 meses (aproximadamente, un año y medio) deben considerar realizar una actualización oscilante en su lugar, ya que esta es la opción más conservadora y menos arriesgada.

Hay algunas estrategias distintas que se pueden usar para actualizar Microsoft Entra Connect.

Método Descripción Ventajas Desventajas
Actualización automática Este es el método más sencillo para los clientes con una instalación rápida. - Ninguna intervención manual - Es posible que la versión de actualización automática no incluya las características más recientes
Actualización local Si tiene un solo servidor, puede actualizar la instalación local en el mismo servidor. : No requiere otro servidor

: Si hay un problema durante la actualización local, no puede revertir la nueva versión o configuración ni cambiar el servidor activo cuando esté listo

Migración oscilante Puede crear un nuevo servidor actualizado, antes de cambiar - Enfoque más seguro y transición más fluida a una versión más reciente
- Admite la actualización del sistema operativo Windows (sistemas operativos).
- La sincronización no se interrumpe y no supone un riesgo para la producción
- Requiere la instalación en un servidor independiente

Para obtener información acerca de los permisos, consulte los permisos requeridos para realizar una actualización.

Nota:

Después de que haya habilitado el nuevo servidor de Microsoft Entra Connect para que empiece a sincronizar los cambios en Microsoft Entra ID, no debe volver a usar DirSync o Sincronización de Azure AD. No se admite el cambio a una versión anterior de Microsoft Entra Connect de los clientes heredados, entre los que se incluyen DirSync y Sincronización de Azure AD, y puede causar problemas, como la pérdida de datos en Microsoft Entra ID.

Actualización local

Una actualización local sirve para migrar de Azure AD Sync o Microsoft Entra Connect. No funciona para movimientos desde DirSync.

Este método es adecuado cuando tiene un único servidor y menos de unos 100 000 objetos. Si hay cambios en las reglas de sincronización de fábrica, después de la actualización, se producen una importación y una sincronización completas. Este método garantiza que la nueva configuración se aplica a todos los objetos existentes en el sistema. Esta ejecución puede tardar varias horas, según el número de objetos que se encuentren en el ámbito del motor de sincronización. La sincronización delta normal programada (que se realiza cada 30 minutos de forma predeterminada) se suspende, pero continúa la sincronización de contraseñas. La actualización local se podría realizar durante un fin de semana. Si no hay ningún cambio en la configuración de fábrica con la nueva versión de Microsoft Entra Connect, en su lugar se inicia una importación y sincronización delta normales.

In-place upgrade

Si se realizaron cambios en las reglas de sincronización originales, estas volverán a su configuración predeterminada tras la actualización. Para asegurarse de que la configuración se mantiene entre una actualización y la siguiente, asegúrese de que los cambios se realizan como se describe en Azure AD Connect Sync: procedimientos recomendados de cambio de la configuración predeterminada. Si ya ha cambiado las reglas de sincronización predeterminadas, consulte cómo corregir las reglas predeterminadas modificadas en Microsoft Entra Connect antes de iniciar el proceso de actualización.

Durante la actualización en contexto, puede que se hayan introducido cambios que requieran que se ejecuten actividades específicas de sincronización (incluidos los pasos de importación completa y sincronización completa) una vez completada la actualización. Para aplazar estas actividades, consulte la sección Aplazamiento de la sincronización completa después de la actualización.

Si utiliza Microsoft Entra Connect con un conector no estándar como, por ejemplo, el conector LDAP genérico (Protocolo ligero de acceso a directorio) y el conector SQL genérico, debe actualizar la configuración del conector correspondiente en Synchronization Service Manager después de la actualización local. Para obtener información sobre cómo actualizar la configuración del conector, consulte la sección del artículo Historial de versiones de conectores: Solución de problemas. Si no actualiza la configuración, los pasos de ejecución de importación y exportación no funcionarán correctamente para el conector. Recibirá el siguiente error en el registro de eventos de la aplicación:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migración oscilante

Para algunos clientes, una actualización local puede suponer un riesgo considerable para la producción, en caso de que haya un problema durante la actualización y el servidor no se pueda revertir. Tener un único servidor de producción también podría ser poco práctico, ya que el ciclo de sincronización inicial puede tardar varios días y, durante este tiempo, no se procesan cambios de tipo delta.

El método recomendado para estos escenarios es usar una migración oscilante. También puede usar este método cuando necesite actualizar el sistema operativo Windows Server o si tiene previsto realizar cambios sustanciales en la configuración del entorno, ya que estos deben probarse antes de insertarlos en la producción.

Se necesitan (al menos) dos servidores, uno activo y otro provisional. El primero (que se muestra con líneas azules continuas en el siguiente diagrama) es el responsable de la carga de producción activa. El segundo (que se muestra con líneas discontinuas de color púrpura) está preparado con la nueva versión o configuración. Cuando esté totalmente preparado, se activa el servidor. El servidor activo anterior, que ahora tiene la versión o configuración anteriores instaladas, se convierte en el servidor provisional y se actualiza.

Los dos servidores pueden usar versiones diferentes. Por ejemplo, el servidor activo que planea retirar puede utilizar Sincronización de Azure AD y el nuevo servidor de ensayo puede usar Microsoft Entra Connect. Si usa la migración oscilante para desarrollar una configuración nueva, es aconsejable tener las mismas versiones en ambos servidores.

Diagram of the staging server.

Nota:

Algunos clientes prefieren tener tres o cuatro servidores para este escenario. Cuando se actualiza el servidor de ensayo, deja de tenerse un servidor de copia de seguridad para la recuperación ante desastres. Con tres o cuatro servidores, se puede preparar un conjunto de servidores principales o en espera con la versión actualizada, lo que garantiza que siempre haya un servidor provisional listo para tomar el control.

Estos pasos también sirven para movimientos desde Sincronización de Azure AD o una solución con MIM y Microsoft Entra Connector. Estos pasos no sirven para DirSync, pero el mismo método de migración oscilante (también llamada implementación paralela) con los pasos para DirSync se encuentra en Actualización de Azure Active Directory Sync (DirSync).

Uso de una migración oscilante para realizar la actualización

  1. Si solo tiene un servidor de Microsoft Entra Connect y quiere realizar la actualización desde ADSync o desde una versión anterior, es recomendable instalar la nueva versión en un nuevo servidor de Windows Server. Si ya tiene dos servidores de Microsoft Entra Connect, actualice primero el servidor provisional. y establezca el provisional como activo. Se recomienda mantener siempre un par de servidores activos o de almacenamiento provisional que ejecuten la misma versión, pero no es imprescindible.
  2. Si ha realizado una configuración personalizada y el servidor provisional no la tiene, siga los pasos que se indican en Movimiento de una configuración personalizada del servidor activo al servidor provisional.
  3. Permita que el motor de sincronización ejecute la importación y la sincronización completas en el servidor provisional.
  4. Compruebe que la nueva configuración no ha provocado ningún cambio inesperado usando los pasos que se indican en "Comprobar" en Comprobación de la configuración de un servidor. Si algo no funciona como esperaba, corríjalo, ejecute un ciclo de sincronización y compruebe los datos hasta sean correctos.
  5. Antes de actualizar el otro servidor, cámbielo al modo de almacenamiento provisional y promueva el servidor provisional para que sea el servidor activo. "Cambio de servidor activo" es el paso final en el proceso de Comprobación de la configuración de un servidor.
  6. Actualice el servidor que ahora está en modo de almacenamiento provisional a la versión más reciente. Siga los mismos pasos que antes para actualizar los datos y la configuración. Si va a actualizar desde Azure AD Sync, puede desactivar y retirar el servidor anterior.

Nota:

Es importante retirar completamente los servidores antiguos de Microsoft Entra Connect, ya que pueden provocar problemas de sincronización difíciles de solucionar; por ejemplo, si un servidor de sincronización anterior se deja en la red o se vuelve a encender más tarde por error. Dichos servidores "no autorizados" tienden a sobrescribir los datos de Microsoft Entra con su información antigua porque es posible que ya no puedan acceder a la instancia local de Active Directory (por ejemplo, cuando la cuenta del equipo expira o si la contraseña de la cuenta del conector ha cambiado, entre otras cosas), pero aún pueden conectarse a Microsoft Entra ID y hacer que los valores de los atributos se reviertan continuamente en cada ciclo de sincronización (por ejemplo, cada 30 minutos). Para retirar completamente un servidor de Microsoft Entra Connect, asegúrese de desinstalar por completo el producto y sus componentes o eliminar permanentemente el servidor si es una máquina virtual.

Movimiento de una configuración personalizada del servidor activo al servidor provisional

Si ha realizado cambios en la configuración del servidor activo, debe asegurarse de que los mismos cambios se aplican en el nuevo servidor provisional. Para ello, puede usar la característica para exportar e importar la configuración de sincronización. Con esta característica, puede implementar un nuevo servidor provisional en unos pocos pasos y conseguir que tenga la misma configuración exacta que otro servidor de Microsoft Entra Connect en la red.

Mover reglas de sincronización personalizadas individuales

En el caso de las reglas de sincronización personalizadas individuales que ha creado, puede moverlas mediante PowerShell. Si debe aplicar otros cambios de la misma manera en ambos sistemas y no puede migrar los cambios, es posible que deba realizar manualmente las siguientes configuraciones en ambos servidores:

  • Conexión a los mismos bosques
  • Filtrado por dominio y unidad organizativa
  • Las mismas características opcionales, como la sincronización de contraseña y la escritura diferida de contraseñas

Copia de las reglas de sincronización personalizadas
Para copiar las reglas de sincronización personalizadas en otro servidor, haga lo siguiente:

  1. Abra el Editor de reglas de sincronización en el servidor activo.

  2. Seleccione una regla personalizada. Haga clic en Exportar. Se abre una ventana del Bloc de notas. Guarde el archivo temporal con una extensión PS1. Lo convierte en un script de PowerShell. Copie el archivo PS1 en el servidor provisional.

    Screenshot showing the synchronization rules editor export window.

  3. El GUID (identificador único global) del conector del servidor provisional es diferente, por lo que debe cambiarse. Para obtener el GUID, inicie el Editor de reglas de sincronización, seleccione una de las reglas originales que represente el mismo sistema conectado y haga clic en Exportar. Reemplace el GUID del archivo PS1 por el GUID del servidor de ensayo.

  4. En un símbolo del sistema de PowerShell, ejecute el archivo PS1. Esta acción crea la regla de sincronización personalizada en el servidor provisional.

  5. Repita esta operación para todas las reglas personalizadas.

Aplazamiento de la sincronización completa después de la actualización

Durante la actualización en contexto, puede que se hayan introducido cambios que requieran que se ejecuten actividades específicas de sincronización (incluidos los pasos de importación completa y sincronización completa). Por ejemplo, los cambios de esquema de conector requieren que se ejecute el paso de importación completa y los cambios de regla de sincronización de serie requieren que se ejecute el paso de sincronización completa en los conectores afectados. Durante la actualización, Microsoft Entra Connect determina las actividades de sincronización que son necesarias y las registra como invalidaciones. En el siguiente ciclo de sincronización, el programador de sincronización selecciona estas invalidaciones y las ejecuta. Una vez ejecutada correctamente una invalidación, se quita.

Puede que haya situaciones en las no quiere que estas invalidaciones se produzcan inmediatamente después de actualizar. Por ejemplo, si tiene numerosos objetos sincronizados y quiere que estos pasos de sincronización se produzcan después del horario comercial. Para quitar estas invalidaciones:

  1. Durante la actualización, desactive la opción Inicie el proceso de sincronización cuando se complete la configuración. Así, deshabilita el programador de sincronización e impide que el ciclo de sincronización se produzca automáticamente antes de quitar las invalidaciones.

    Screenshot that highlights the Start the synchronization process when configuration completes option that you need to clear.

  2. Una vez completada la actualización, ejecute el siguiente cmdlet para averiguar qué invalidaciones se han agregado: Get-ADSyncSchedulerConnectorOverride | fl

    Nota:

    Las invalidaciones son específicas del conector. En el ejemplo siguiente, se han agregado los pasos de importación completa y sincronización completa al conector AD local y a Microsoft Entra Connector.

    DisableFullSyncAfterUpgrade

  3. Anote las invalidaciones existentes que se han agregado.

  4. Para quitar las invalidaciones de importación completa y sincronización completa de un conector arbitrario, ejecute el siguiente cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Para quitar las invalidaciones de todos los conectores, ejecute el siguiente script de PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
    {
        Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
    }
    
  5. Para reanudar el programador, ejecute el cmdlet siguiente: Set-ADSyncScheduler -SyncCycleEnabled $true

    Importante

    No olvide ejecutar lo antes posible los pasos de sincronización necesarios. Puede ejecutar estos pasos manualmente con el Synchronization Service Manager o volver a agregar las invalidaciones con el cmdlet Set-ADSyncSchedulerConnectorOverride.

Para agregar las invalidaciones de importación completa y sincronización completa en un conector arbitrario, ejecute el siguiente cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Actualización del sistema operativo del servidor

Si necesita actualizar el sistema operativo del servidor Microsoft Entra Connect, no use una actualización local del sistema operativo. En su lugar, prepare un nuevo servidor con el sistema operativo deseado y realice una migración oscilante.

Solucionar problemas

La siguiente sección contiene instrucciones de solución de problemas e información que puede usar si se produce un problema al actualizar Microsoft Entra Connect.

Error de ausencia del conector de Microsoft Entra durante la actualización de Microsoft Entra Connect

Cuando se actualiza Microsoft Entra Connect desde una versión anterior, podría aparecer el siguiente error al principio de la actualización:

Error

Este error se produce porque el conector de Microsoft Entra con el identificador b891884f-051e-4a83-95af-2544101c9083 no existe en la configuración actual de Microsoft Entra Connect. Para comprobar que este es el caso, abra una ventana de PowerShell y ejecute el cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

El cmdlet de PowerShell informa del error no se encontró el MA especificado.

La razón por la que se produce este error es porque no se admite la configuración actual de Microsoft Entra Connect para la actualización.

Si desea instalar una versión más reciente de Microsoft Entra Connect: cierre el Asistente de Microsoft Entra Connect, desinstale la instancia existente de Microsoft Entra Connect y realice una instalación limpia de la instancia de Microsoft Entra Connect más reciente.

Pasos siguientes

Más información sobre la integración de las identidades locales con Microsoft Entra ID.