Microsoft Entra Connect: frissítés egy előző verzióról a legújabbra

Fontos

A Microsoft Entra Csatlakozás legújabb verziójára való frissítés helyett ellenőrizze, hogy a felhőbeli szinkronizálás megfelelő-e Önnek. További információkért értékelje ki a beállításokat a varázslóval a szinkronizálási beállítások kiértékeléséhez

Ez a témakör a Microsoft Entra Csatlakozás legújabb kiadásra való frissítéséhez használható különböző módszereket ismerteti. A Microsoft a Swing migrálási szakasz lépéseit javasolja, ha jelentős konfigurációmódosítást vagy frissítést végzett a régebbi 1.x verziókról.

Megjegyzés:

Fontos, hogy a kiszolgálók naprakészek maradjanak a Microsoft Entra legújabb kiadásaival Csatlakozás. Folyamatosan frissítjük a Microsoft Entra Csatlakozás, és ezek a frissítések közé tartoznak a biztonsági problémák és hibák javítása, valamint a használhatóság, a teljesítmény és a méretezhetőség javítása. A legújabb verzió megtekintéséhez és a verziók közötti módosítások megismeréséhez tekintse meg a kiadási verzió előzményeit

A Microsoft Entra Csatlakozás V2-nél régebbi verziók jelenleg elavultak. További információ: Bevezetés a Microsoft Entra Csatlakozás V2-be. Jelenleg a Microsoft Entra Csatlakozás bármely verziójáról az aktuális verzióra való frissítés támogatott. A DirSync vagy az ADSync helyszíni frissítései nem támogatottak, és swing áttelepítésre van szükség. Ha frissíteni szeretne a DirSyncről, olvassa el a Frissítés Azure AD-szinkronizáló eszközről (DirSync) vagy a Swing migrálási szakaszában.

A gyakorlatban előfordulhat, hogy a régi verziók ügyfelei nem közvetlenül a Microsoft Entra Csatlakozás kapcsolatos problémákat tapasztalnak. Az évek óta éles környezetben lévő kiszolgálókra jellemzően több javítást alkalmaztak, és ezek nem mindegyike vehető figyelembe. Azok az ügyfelek, akik 12-18 hónapja (körülbelül 1 és fél éve) nem frissítettek, érdemes megfontolni a swingfrissítést, mivel ez a legkonzervatívabb és legkevésbé kockázatos lehetőség.

A Microsoft Entra Csatlakozás frissítéséhez többféle stratégia is használható.

Metódus	Description	Pros	Cons
Automatic upgrade	This is the easiest method for customers with an express installation	- Nincs manuális beavatkozás	– Előfordulhat, hogy az automatikus frissítés verziója nem tartalmazza a legújabb funkciókat
Frissítés helyben	If you have a single server, you can upgrade the installation in-place on the same server	– Nincs szükség másik kiszolgálóra	– Ha a helyszíni frissítés során probléma merül fel, nem állíthatja vissza az új kiadást vagy konfigurációt, és nem módosíthatja az aktív kiszolgálót, ha készen áll
Swing-migrálás	A váltás előtt létrehozhat egy új frissített kiszolgálót.	- Széf megközelítés és az újabb verzióra való zökkenőmentesebb áttérés – Támogatja a Windows operációs rendszer (operációs rendszerek) frissítését - A szinkronizálás nem szakad meg, és nem jelent kockázatot az éles környezetben	– Telepítést igényel egy külön kiszolgálón

For permissions information, see the permissions required for an upgrade.

Megjegyzés:

Miután engedélyezte az új Microsoft Entra Csatlakozás kiszolgálót a Módosítások szinkronizálása a Microsoft Entra-azonosítóra, nem szabad visszatérnie a DirSync vagy a Azure AD-szinkronizáló használatára. A Microsoft Entra Csatlakozás-ról örökölt ügyfelekre ( például a DirSyncre és a Azure AD-szinkronizáló) való leminősítés nem támogatott, és problémákhoz vezethet, például adatvesztéshez a Microsoft Entra-azonosítóban.

In-place upgrade

A helyszíni frissítés Azure AD-szinkronizáló vagy Microsoft Entra Csatlakozás vált. Nem működik a DirSyncről való áthelyezéshez.

Ez a módszer akkor ajánlott, ha egyetlen kiszolgálóval rendelkezik, és kevesebb mint 100 000 objektummal rendelkezik. Ha a beépített szinkronizálási szabályok módosulnak, a frissítés után teljes importálás és teljes szinkronizálás következik be. Ez a módszer biztosítja, hogy az új konfiguráció a rendszer összes meglévő objektumára legyen alkalmazva. Ez a futtatás a szinkronizálási motor hatókörében lévő objektumok számától függően eltarthat néhány óráig. A normál delta-szinkronizálás ütemezője (amely alapértelmezés szerint 30 percenként szinkronizál) fel van függesztve, de a jelszó-szinkronizálás folytatódik. A hétvégén érdemes lehet elvégezni a helyszíni frissítést. Ha az új Microsoft Entra Csatlakozás kiadással nem változik a beépített konfiguráció, akkor helyette egy normál változásimportálás/szinkronizálás indul el.

Ha módosította a beépített szinkronizálási szabályokat, a rendszer visszaállítja ezeket a szabályokat a frissítés alapértelmezett konfigurációjára. Annak érdekében, hogy a konfiguráció a frissítések között maradjon, győződjön meg arról, hogy az alapértelmezett konfiguráció módosítására vonatkozó ajánlott eljárásokban ismertetett módosításokat hajtja végre. Ha már módosította az alapértelmezett szinkronizálási szabályokat, a frissítési folyamat megkezdése előtt tekintse meg, hogyan javíthatja ki a módosított alapértelmezett szabályokat a Microsoft Entra Csatlakozás.

A helyszíni frissítés során előfordulhatnak olyan módosítások, amelyek bizonyos szinkronizálási tevékenységeket igényelnek (beleértve a teljes importálási lépést és a teljes szinkronizálási lépést) a frissítés befejezése után. Az ilyen tevékenységek elhalasztásához tekintse meg a teljes szinkronizálás elhalasztására vonatkozó szakaszt a frissítés után.

Ha a Microsoft Entra Csatlakozás nem szabványos összekötővel (például Általános LDAP (Lightweight Directory Access Protocol) Csatlakozás or és általános SQL Csatlakozás or) használja, a helyi frissítés után frissítenie kell a megfelelő összekötő-konfigurációt a Szinkronizálási szolgáltatáskezelőben. Az összekötő konfigurációjának frissítéséről további információt a Csatlakozás or verziókiadási előzményei – Hibaelhárítás című cikk tartalmaz. Ha nem frissíti a konfigurációt, az importálási és exportálási futtatási lépések nem fognak megfelelően működni az összekötő esetében. Az alkalmazás eseménynaplójában a következő hibaüzenet jelenik meg:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Swing migration

Egyes ügyfelek esetében a helyszíni frissítés jelentős kockázatot jelenthet az éles környezetben, ha probléma merül fel a frissítés során, és a kiszolgáló nem állítható vissza. Egy önálló éles kiszolgáló sem minden esetben célravezető, hiszen a kezdeti szinkronizálási ciklus több napot is igénybe vehet, és ez idő alatt a rendszer nem dolgozza fel a változási különbözeteket.

The recommended method for these scenarios is to use a swing migration. You can also use this method when you need to upgrade the Windows Server operating system, or you plan to make substantial changes to your environment configuration, which need to be tested before they're pushed to production.

Szüksége lesz (legalább) két kiszolgálóra – egy aktív és egy átmeneti kiszolgálóra. Az aktív kiszolgáló (az alábbi ábrán egyszínű kék vonalakkal) felelős az aktív éles terhelésért. Az előkészítési kiszolgáló (szaggatott lila vonalakkal) az új kiadással vagy konfigurációval készül el. When it's fully ready, this server is made active. The previous active server, which now has the outdated version or configuration installed, is made into the staging server and is upgraded.

A két kiszolgáló különböző verziókat használhat. A leszerelésre tervezett aktív kiszolgáló használhatja például a Azure AD-szinkronizáló, az új átmeneti kiszolgáló pedig a Microsoft Entra Csatlakozás. Ha a swing migrálással új konfigurációt fejleszt, érdemes ugyanazokat a verziókat használni a két kiszolgálón.

Megjegyzés:

Egyes ügyfelek inkább három vagy négy kiszolgálóval rendelkeznek ehhez a forgatókönyvhöz. Az átmeneti kiszolgáló frissítésekor nem rendelkezik biztonsági mentési kiszolgálóval vészhelyreállításhoz. Három vagy négy kiszolgálóval egy elsődleges/készenléti kiszolgálókészletet készíthet elő a frissített verzióval, amely biztosítja, hogy mindig legyen egy átmeneti kiszolgáló, amely készen áll az átvételre.

Ezek a lépések Azure AD-szinkronizáló vagy a MIM és a Microsoft Entra Csatlakozás or használatával történő megoldásról is működnek. Ezek a lépések nem működnek a DirSync esetében, de ugyanez a swing áttelepítési módszer (más néven párhuzamos üzembe helyezés) és a DirSync lépései az Azure Active Directory Sync (DirSync) frissítésében találhatók.

Váltásos migrálás használata a frissítéshez

1. Ha csak egy Microsoft Entra Csatlakozás-kiszolgálóval rendelkezik, ha AD-szinkronizáló vagy egy régi verzióról frissít, érdemes telepíteni az új verziót egy új Windows Serverre. Ha már két Microsoft Entra Csatlakozás-kiszolgálóval rendelkezik, először frissítse az előkészítési kiszolgálót. és előlépteti az előkészítést aktívra. Javasoljuk, hogy mindig maradjon egy pár aktív/átmeneti kiszolgáló, amely ugyanazt a verziót futtatja, de nem szükséges.
2. Ha egyéni konfigurációt készített, és az átmeneti kiszolgáló nem rendelkezik vele, kövesse az Egyéni konfiguráció áthelyezése az aktív kiszolgálóról az átmeneti kiszolgálóra című szakasz lépéseit.
3. Hagyja, hogy a szinkronizálási motor teljes importálást és teljes szinkronizálást futtasson az előkészítési kiszolgálón.
4. A Kiszolgáló konfigurációjának ellenőrzése című cikk „Ellenőrzés” szakaszában található lépésekkel ellenőrizze, hogy az új konfiguráció nem okozott-e váratlan módosításokat. Ha valami nem a várt módon működik, javítsa ki, futtasson szinkronizálási ciklust, és ellenőrizze az adatokat, amíg megfelelőnek nem tűnnek.
5. Before upgrading the other server, switch it to staging mode and promote the staging server to be the active server. Ez az utolsó lépés az "Aktív kiszolgáló váltása" folyamat során a kiszolgáló konfigurációjának ellenőrzéséhez.
6. Frissítse az átmeneti módban lévő kiszolgálót a legfrissebb kiadásra. Follow the same steps as before to get the data and configuration upgraded. Ha Azure AD-szinkronizáló frissít, kikapcsolhatja és le tudja szerelni a régi kiszolgálót.

Megjegyzés:

Fontos a régi Microsoft Entra Csatlakozás-kiszolgálók teljes leszerelése, mivel ezek szinkronizálási problémákat okozhatnak, amelyek nehezen háríthatók el, ha egy régi szinkronizálási kiszolgáló a hálózaton marad, vagy később hiba miatt újra működik. Az ilyen "gazember" kiszolgálók általában felülírják a Microsoft Entra-adatokat a régi adataikkal, mert előfordulhat, hogy már nem férnek hozzá a helyi Active Directory (például amikor a számítógépfiók lejárt, az összekötőfiók jelszava megváltozott stb.), de továbbra is csatlakozhatnak a Microsoft Entra-azonosítóhoz, és az attribútumértékek minden szinkronizálási ciklusban folyamatosan visszatérnek (például: 30 percenként). A Microsoft Entra Csatlakozás-kiszolgáló teljes leszereléséhez győződjön meg arról, hogy teljesen eltávolítja a terméket és annak összetevőit, vagy véglegesen törli a kiszolgálót, ha az egy virtuális gép.

Egyéni konfiguráció áthelyezése az aktív kiszolgálóról az átmeneti kiszolgálóra

Ha módosította az aktív kiszolgáló konfigurációját, győződjön meg arról, hogy ugyanazokat a módosításokat alkalmazza az új átmeneti kiszolgálóra. Az áthelyezéshez használhatja a funkciót a szinkronizálási beállítások exportálásához és importálásához. Ezzel a funkcióval néhány lépésben üzembe helyezhet egy új átmeneti kiszolgálót, pontosan ugyanazokkal a beállításokkal, mint egy másik Microsoft Entra Csatlakozás kiszolgáló a hálózaton.

Egyéni szinkronizálási szabályok áthelyezése

A létrehozott egyéni szinkronizálási szabályokhoz a PowerShell használatával helyezheti át őket. Ha a többi módosítást ugyanúgy kell alkalmaznia mindkét rendszeren, és nem tudja migrálni a módosításokat, akkor előfordulhat, hogy manuálisan kell elvégeznie a következő konfigurációkat mindkét kiszolgálón:

• Csatlakozás ugyanahhoz az erdőhöz
• Bármely tartomány és szervezeti egység szűrése
• Ugyanazok az opcionális funkciók, mint például a jelszószinkronizálás és a jelszóvisszaíró

Egyéni szinkronizálási szabályok másolása
Ha egyéni szinkronizálási szabályokat szeretne másolni egy másik kiszolgálóra, tegye a következőket:

1. Nyissa meg a Szinkronizálási szabályok szerkesztőt az aktív kiszolgálón.

2. Válasszon ki egy egyéni szabályt. Kattintson az Exportálás gombra. Ekkor megjelenik egy Jegyzettömb ablak. Mentse az ideiglenes fájlt EGY PS1 kiterjesztéssel. Ez egy PowerShell-szkript. Másolja a PS1 fájlt az előkészítési kiszolgálóra.

   

3. A Csatlakozás or GUID (globálisan egyedi azonosító) eltérő az átmeneti kiszolgálón, ezért módosítania kell. A GUID beszerzéséhez indítsa el a Szinkronizálási szabályok szerkesztőt, válassza ki az azonos csatlakoztatott rendszert képviselő beépített szabályok egyikét, majd kattintson az Exportálás gombra. Cserélje le a PS1 fájl GUID azonosítóját az átmeneti kiszolgáló GUID azonosítójára.

4. Egy PowerShell-parancssorban futtassa a PS1 fájlt. Ezzel létrehozza az egyéni szinkronizálási szabályt az átmeneti kiszolgálón.

5. Ismételje meg ezt az összes egyéni szabály esetében.

A teljes szinkronizálás késleltetése a frissítés után

A helyszíni frissítés során előfordulhatnak olyan módosítások, amelyek bizonyos szinkronizálási tevékenységeket igényelnek (beleértve a teljes importálási lépést és a teljes szinkronizálási lépést). Az összekötőséma módosításaihoz például teljes importálási lépésre van szükség, és a beépített szinkronizálási szabály módosításaihoz teljes szinkronizálási lépést kell végrehajtani az érintett összekötőkön. A frissítés során a Microsoft Entra Csatlakozás határozza meg, hogy milyen szinkronizálási tevékenységekre van szükség, és felülbírálásként rögzíti őket. A következő szinkronizálási ciklusban a szinkronizálásütemező felveszi ezeket a felülbírálásokat, és végrehajtja őket. A felülbírálás sikeres végrehajtása után az el lesz távolítva.

Előfordulhatnak olyan helyzetek, amikor nem szeretné, hogy ezek a felülbírálások közvetlenül a frissítés után lezajljanak. Például számos szinkronizált objektummal rendelkezik, és szeretné, ha ezek a szinkronizálási lépések munkaidő után történnek. A felülbírálások eltávolítása:

1. A frissítés során törölje a jelet a beállításból: Indítsa el a szinkronizálási folyamatot a konfiguráció befejeződésekor. Ez letiltja a szinkronizálásütemezőt, és megakadályozza, hogy a szinkronizálási ciklus automatikusan lezajlson a felülbírálások eltávolítása előtt.

   

2. A frissítés befejezése után futtassa a következő parancsmagot, hogy megtudja, milyen felülbírálások lettek hozzáadva: Get-ADSyncSchedulerConnectorOverride | fl

   Megjegyzés:

   A felülbírálások összekötőspecifikusak. Az alábbi példában a Teljes importálás és a Teljes szinkronizálás lépés a helyszíni AD Csatlakozás orhoz és a Microsoft Entra Csatlakozás orhoz is hozzáadva.

   

3. Jegyezze fel a már meglévő felülbírálásokat.

4. Ha el szeretné távolítani a teljes importálás és a teljes szinkronizálás felülbírálásait egy tetszőleges összekötőn, futtassa a következő parancsmagot: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

   Az összes összekötő felülbírálásainak eltávolításához hajtsa végre a következő PowerShell-szkriptet:

   foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
   {
       Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
   }
   

5. Az ütemező folytatásához futtassa a következő parancsmagot: Set-ADSyncScheduler -SyncCycleEnabled $true

   Fontos

   Ne felejtse el a szükséges szinkronizálási lépéseket a lehető leghamarabb végrehajtani. Ezeket a lépéseket manuálisan is végrehajthatja a Szinkronizálási szolgáltatáskezelővel, vagy hozzáadhatja a felülbírálásokat a Set-ADSyncScheduler Csatlakozás orOverride parancsmaggal.

A teljes importálás és a teljes szinkronizálás felülbírálásainak tetszőleges összekötőn való hozzáadásához futtassa a következő parancsmagot: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

A kiszolgáló operációs rendszerének frissítése

Ha frissítenie kell a Microsoft Entra Csatlakozás-kiszolgáló operációs rendszerét, ne használja az operációs rendszer (operációs rendszer) helyben történő frissítését. Ehelyett készítsen elő egy új kiszolgálót a kívánt operációs rendszerrel, és végezzen swing áttelepítést.

Hibaelhárítás

Az alábbi szakasz a Microsoft Entra Csatlakozás frissítésével kapcsolatos probléma esetén használható hibaelhárítást és információkat tartalmazza.

A Microsoft Entra-összekötő nem jelenik meg a Microsoft Entra Csatlakozás frissítés során

Ha a Microsoft Entra Csatlakozás egy korábbi verzióról frissít, a frissítés elején a következő hibaüzenet jelenhet meg:

Ez a hiba azért fordul elő, mert a b891884f-051e-4a83-95af-2544101c9083 azonosítójú Microsoft Entra-összekötő nem létezik az aktuális Microsoft Entra Csatlakozás konfigurációban. Ennek ellenőrzéséhez nyisson meg egy PowerShell-ablakot, és futtassa a parancsmagot Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

A PowerShell-parancsmag azt jelenti, hogy a megadott ma nem található.

Ez a hiba azért fordul elő, mert az aktuális Microsoft Entra Csatlakozás konfiguráció nem támogatott a frissítéshez.

Ha a Microsoft Entra Csatlakozás újabb verzióját szeretné telepíteni: zárja be a Microsoft Entra Csatlakozás varázslót, távolítsa el a meglévő Microsoft Entra Csatlakozás, és végezze el az újabb Microsoft Entra Csatlakozás tiszta telepítését.

További lépések

További információ a helyszíni identitások Microsoft Entra-azonosítóval való integrálásáról.