Microsoft Entra Connect: Meningkatkan dari versi sebelumnya ke versi terbaru

  • Artikel

Penting

Alih-alih memutakhirkan ke versi terbaru Microsoft Entra Koneksi, lihat apakah sinkronisasi cloud tepat untuk Anda. Untuk informasi selengkapnya, evaluasi opsi Anda menggunakan Wizard untuk mengevaluasi opsi sinkronisasi

Topik ini menjelaskan berbagai metode yang dapat Anda gunakan untuk meningkatkan penginstalan Microsoft Entra Koneksi ke rilis terbaru. Microsoft merekomendasikan penggunaan langkah-langkah di bagian Migrasi swing saat Anda membuat perubahan atau peningkatan konfigurasi yang substansial dari versi 1.x yang lebih lama.

Catatan

Penting bahwa Anda menjaga server Anda tetap terkini dengan rilis terbaru Microsoft Entra Koneksi. Kami terus melakukan peningkatan ke Microsoft Entra Koneksi, dan peningkatan ini mencakup perbaikan untuk masalah keamanan dan bug, serta peningkatan layanan, performa, dan skalabilitas. Untuk melihat apa versi terbarunya, dan untuk mempelajari perubahan apa yang telah dibuat di antara versi, silakan lihat riwayat versi rilis

Versi apa pun yang lebih lama dari Microsoft Entra Koneksi V2 saat ini tidak digunakan lagi. Untuk informasi selengkapnya, lihat Pengenalan Microsoft Entra Koneksi V2. Saat ini didukung untuk meningkatkan dari versi Microsoft Entra Koneksi apa pun ke versi saat ini. Peningkatan DirSync atau ADSync di tempat tidak didukung, dan diperlukan migrasi ayur. Jika Anda ingin meningkatkan dari DirSync, lihat Meningkatkan dari alat Sinkronisasi Microsoft Azure AD (DirSync) atau bagian Migrasi ayur.

Dalam praktiknya, pelanggan pada versi lama mungkin mengalami masalah yang tidak terkait langsung dengan Microsoft Entra Koneksi. Server yang telah dalam produksi selama beberapa tahun biasanya telah memiliki beberapa patch yang diterapkan pada mereka dan tidak semua ini dapat diperhitungkan. Pelanggan yang belum meningkatkan dalam 12-18 bulan (sekitar 1 setengah tahun) harus mempertimbangkan peningkatan ayur sebagai gantinya karena ini adalah opsi yang paling konservatif dan paling tidak berisiko.

Ada beberapa strategi berbeda yang dapat Anda gunakan untuk meningkatkan Microsoft Entra Koneksi.

Metode Deskripsi Pro Kontra
Peningkatan Otomatis Ini adalah metode termudah untuk pelanggan dengan penginstalan cepat - Tidak ada intervensi manual - Versi peningkatan otomatis mungkin tidak menyertakan fitur terbaru
Peningkatan di tempat Jika memiliki satu server, Anda dapat meningkatkan penginstalan secara lokal di server yang sama - Tidak memerlukan server lain

 - Jika ada masalah saat peningkatan di tempat, Anda tidak dapat mengembalikan rilis atau konfigurasi baru dan mengubah server aktif saat Anda siap

Migrasi ayun Anda dapat membuat server baru yang diperbarui selain, sebelum beralih - pendekatan paling Brankas dan transisi yang lebih lancar ke versi yang lebih baru
- Mendukung peningkatan OS Windows (Sistem Operasi)
- Sinkronisasi tidak terganggu dan tidak memberlakukan risiko terhadap produksi		 - Memerlukan penginstalan pada server terpisah

Untuk informasi izin, lihat izin yang diperlukan untuk peningkatan.

Catatan

Setelah mengaktifkan server Microsoft Entra Koneksi baru untuk mulai menyinkronkan perubahan pada ID Microsoft Entra, Anda tidak boleh kembali menggunakan DirSync atau Azure AD Sync. Penurunan dari Microsoft Entra Koneksi ke klien warisan, termasuk DirSync dan Azure AD Sync, tidak didukung dan dapat menyebabkan masalah seperti kehilangan data di ID Microsoft Entra.

Peningkatan di tempat

Peningkatan di tempat berfungsi untuk berpindah dari Azure AD Sync atau Microsoft Entra Koneksi. Ini tidak berfungsi untuk pindah dari DirSync.

Metode ini lebih disarankan ketika Anda memiliki satu server dan kurang dari sekitar 100.000 objek. Jika ada perubahan pada aturan sinkronisasi di luar kotak, impor penuh dan sinkronisasi penuh akan terjadi setelah peningkatan. Metode ini memastikan bahwa konfigurasi baru diterapkan ke semua objek yang ada dalam sistem. Proses ini mungkin memakan waktu beberapa jam, tergantung jumlah objek yang berada dalam cakupan mesin sinkronisasi. Penjadwal sinkronisasi delta normal (yang menyinkronkan setiap 30 menit secara default) ditangguhkan, tetapi sinkronisasi kata sandi berlanjut. Anda mungkin mempertimbangkan untuk melakukan peningkatan di tempat selama akhir pekan. Jika tidak ada perubahan pada konfigurasi out-of-box dengan rilis microsoft Entra Koneksi baru, maka impor/sinkronisasi delta normal dimulai sebagai gantinya.

In-place upgrade

Jika Anda telah membuat perubahan pada aturan sinkronisasi di luar kotak, aturan ini diatur kembali ke konfigurasi default saat peningkatan. Untuk memastikan konfigurasi disimpan di antara peningkatan, pastikan Anda membuat perubahan seperti yang dijelaskan dalam Praktik terbaik untuk mengubah konfigurasi default. Jika Anda sudah mengubah aturan sinkronisasi default, silakan lihat cara Memperbaiki aturan default yang dimodifikasi di Microsoft Entra Koneksi, sebelum memulai proses peningkatan.

Selama peningkatan di tempat, mungkin ada perubahan yang diperkenalkan yang memerlukan aktivitas sinkronisasi tertentu (termasuk langkah Impor Penuh dan langkah Sinkronisasi Penuh) yang akan dijalankan setelah peningkatan selesai. Untuk menunda aktivitas tersebut, lihat bagian Cara menunda sinkronisasi penuh setelah peningkatan.

Jika Anda menggunakan Microsoft Entra Koneksi dengan konektor non-standar (misalnya, Generic LDAP (Lightweight Directory Access Protocol) Koneksi or dan Generic SQL Koneksi or), Anda harus menyegarkan konfigurasi konektor yang sesuai di Synchronization Service Manager setelah peningkatan di tempat. Untuk detail tentang cara me-refresh konfigurasi konektor, lihat bagian artikel Koneksi atur Riwayat Rilis Versi - Pemecahan Masalah. Jika Anda tidak merefresh konfigurasi, langkah-langkah impor dan ekspor yang dijalankan tidak akan berfungsi dengan benar untuk konektor. Anda akan menerima kesalahan berikut dalam log peristiwa aplikasi:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migrasi ayun

Untuk beberapa pelanggan, peningkatan di tempat dapat memberlakukan risiko yang cukup besar untuk produksi jika ada masalah saat meningkatkan dan server tidak dapat digulung balik. Satu server produksi mungkin juga tidak praktis karena siklus sinkronisasi awal mungkin perlu waktu beberapa hari, dan selama periode ini, tidak ada perubahan delta yang diproses.

Metode yang direkomendasikan untuk skenario ini adalah menggunakan migrasi ayun. Anda juga dapat menggunakan metode ini ketika Anda perlu meningkatkan sistem operasi Windows Server, atau Anda berencana untuk membuat perubahan besar pada konfigurasi lingkungan Anda, yang perlu diuji sebelum didorong ke produksi.

Anda memerlukan (setidaknya) dua server--satu server aktif dan satu server staging. Server aktif (ditunjukkan dengan garis biru solid dalam diagram berikut) bertanggung jawab atas beban produksi aktif. Server penahapan (ditampilkan dengan garis ungu putus-putus) disiapkan dengan rilis atau konfigurasi baru. Jika sudah sepenuhnya siap, server ini akan diaktifkan. Server aktif sebelumnya, yang sekarang memiliki versi lama atau konfigurasi yang diinstal, dibuat menjadi server staging dan ditingkatkan.

Dua server dapat menggunakan versi yang berbeda. Misalnya, server aktif yang Anda rencanakan untuk dinonaktifkan dapat menggunakan Azure AD Sync, dan server penahapan baru dapat menggunakan Microsoft Entra Koneksi. Jika Anda menggunakan migrasi ayun untuk mengembangkan konfigurasi baru, ada baiknya Anda memiliki versi yang sama di dua server.

Diagram of the staging server.

Catatan

Beberapa pelanggan lebih memilih memiliki tiga atau empat server untuk skenario ini. Ketika server penahapan ditingkatkan, Anda tidak memiliki server cadangan untuk pemulihan bencana. Dengan tiga atau empat server, Anda dapat menyiapkan satu set server primer/siaga dengan versi yang diperbarui, yang memastikan bahwa selalu ada server penahapan yang siap untuk mengambil alih.

Langkah-langkah ini juga berfungsi untuk berpindah dari Azure AD Sync atau solusi dengan MIM dan Microsoft Entra Koneksi or. Langkah-langkah ini tidak berfungsi untuk DirSync, tetapi metode migrasi ayunan yang sama (juga disebut penyebaran paralel) dengan langkah-langkah untuk DirSync ada di Upgrade Azure Active Directory Sync (DirSync).

Menggunakan migrasi ayun untuk meningkatkan

  1. Jika Anda hanya memiliki satu server Microsoft Entra Koneksi, jika Anda memutakhirkan dari Sinkronisasi AD, atau memutakhirkan dari versi lama, ada baiknya menginstal versi baru di Windows Server baru. Jika Anda sudah memiliki dua server Microsoft Entra Koneksi, tingkatkan server penahapan terlebih dahulu. dan mempromosikan penahapan menjadi aktif. Disarankan untuk selalu menyimpan sepasang server aktif/penahapan yang menjalankan versi yang sama, tetapi tidak diperlukan.
  2. Jika Anda telah membuat konfigurasi kustom dan server penahapan Anda tidak memilikinya, ikuti langkah-langkah di bawah Memindahkan konfigurasi kustom dari server aktif ke server penahapan.
  3. Biarkan mesin sinkronisasi menjalankan impor penuh dan sinkronisasi penuh di server penahapan Anda.
  4. Pastikan konfigurasi baru tidak menyebabkan perubahan yang tidak terduga menggunakan langkah-langkah di bagian "Verifikasi" di Verifikasi konfigurasi server. Jika ada yang tidak sesuai harapan, perbaiki, jalankan siklus sinkronisasi, dan verifikasi data hingga terlihat bagus.
  5. Sebelum meningkatkan server lain, alihkan ke mode staging dan promosikan server staging menjadi server aktif. Ini adalah langkah terakhir "Beralih server aktif" dalam proses untuk Memverifikasi konfigurasi server.
  6. Tingkatkan server yang sekarang dalam mode staging ke rilis terbaru. Ikuti langkah yang sama seperti sebelumnya untuk meningkatkan data dan konfigurasi. Jika Anda meningkatkan dari Azure AD Sync, Anda sekarang dapat menonaktifkan dan menonaktifkan server lama Anda.

Catatan

Penting untuk sepenuhnya menonaktifkan server Microsoft Entra Koneksi lama karena ini dapat menyebabkan masalah sinkronisasi, sulit untuk memecahkan masalah, ketika server sinkronisasi lama dibiarkan di jaringan atau dihidupkan lagi nanti secara tidak sengaja. Server "nakal" seperti itu cenderung menimpa data Microsoft Entra dengan informasi lamanya karena, mereka mungkin tidak lagi dapat mengakses Active Directory lokal (misalnya, ketika akun komputer kedaluwarsa, kata sandi akun konektor telah berubah, dlletera), tetapi masih dapat terhubung ke ID Microsoft Entra dan menyebabkan nilai atribut terus dikembalikan dalam setiap siklus sinkronisasi (misalnya, setiap 30 menit). Untuk sepenuhnya menonaktifkan server Microsoft Entra Koneksi, pastikan Anda benar-benar menghapus instalasi produk dan komponennya atau menghapus server secara permanen jika itu adalah komputer virtual.

Memindahkan konfigurasi kustom dari server aktif ke server penahapan

Jika Anda telah membuat perubahan konfigurasi ke server aktif, Anda perlu memastikan bahwa perubahan yang sama diterapkan ke server penahapan baru. Untuk membantu pemindahan ini, Anda dapat menggunakan fitur untuk mengekspor dan mengimpor pengaturan sinkronisasi. Dengan fitur ini Anda dapat menyebarkan server penahapan baru dalam beberapa langkah, dengan pengaturan yang sama persis dengan server Microsoft Entra Koneksi lain di jaringan Anda.

Memindahkan aturan sinkronisasi kustom individual

Untuk aturan sinkronisasi kustom individual yang telah Anda buat, Anda bisa memindahkannya dengan menggunakan PowerShell. Jika Anda harus menerapkan perubahan lain dengan cara yang sama pada kedua sistem, dan Anda tidak dapat memigrasikan perubahan, maka Anda mungkin harus melakukan konfigurasi berikut secara manual di kedua server:

  • Koneksi ke forest yang sama
  • Pemfilteran domain dan unit organisasi mana pun
  • Fitur opsional yang sama, seperti sinkronisasi kata sandi dan tulis balik kata sandi

Menyalin aturan sinkronisasi kustom
Untuk menyalin aturan sinkronisasi kustom ke server lain, lakukan hal berikut:

  1. Buka Editor Aturan Sinkronisasi di server aktif Anda.

  2. Pilih aturan kustom. Klik Ekspor. Ini memunculkan jendela Notepad. Simpan file sementara dengan ekstensi PS1. Ini membuat file menjadi skrip PowerShell. Salin file PS1 ke server penahapan.

    Screenshot showing the synchronization rules editor export window.

  3. GUID Koneksi or (pengidentifikasi unik global) berbeda di server penahapan, dan Anda harus mengubahnya. Untuk mendapatkan GUID, mulai Editor Aturan Sinkronisasi, pilih salah satu aturan di luar kotak yang mewakili sistem tersambung yang sama, dan klik Ekspor. Ganti GUID di file PS1 Anda dengan GUID dari server penahapan.

  4. Dalam perintah PowerShell, jalankan file PS1. Ini membuat aturan sinkronisasi kustom pada server penahapan.

  5. Ulangi langkah ini untuk semua aturan kustom Anda.

Cara menunda sinkronisasi penuh setelah peningkatan

Selama peningkatan di tempat, mungkin ada perubahan yang diperkenalkan yang memerlukan aktivitas sinkronisasi tertentu (termasuk langkah Impor Penuh dan langkah Sinkronisasi Penuh) untuk dijalankan. Misalnya, perubahan skema konektor memerlukan langkah impor penuh dan perubahan aturan sinkronisasi di luar kotak memerlukan langkah sinkronisasi penuh untuk dijalankan pada konektor yang terpengaruh. Selama peningkatan, Microsoft Entra Koneksi menentukan aktivitas sinkronisasi apa yang diperlukan dan merekamnya sebagai penimpaan. Dalam siklus sinkronisasi berikut, penjadwal sinkronisasi mengambil penimpaan ini dan menjalankannya. Setelah penimpaan berhasil dijalankan, penimpaan akan dihapus.

Mungkin ada situasi di mana Anda tidak ingin penimpaan ini segera dilakukan setelah peningkatan. Misalnya, Anda memiliki banyak objek yang disinkronkan, dan Anda ingin langkah-langkah sinkronisasi ini terjadi setelah jam kerja. Untuk menghapus penimpaan ini:

  1. Selama peningkatan, hapus centang opsi Mulai proses sinkronisasi saat konfigurasi selesai. Ini menonaktifkan penjadwal sinkronisasi dan mencegah siklus sinkronisasi berlangsung secara otomatis sebelum penimpaan dihapus.

    Screenshot that highlights the Start the synchronization process when configuration completes option that you need to clear.

  2. Setelah peningkatan selesai, jalankan cmdlet berikut untuk mengetahui penimpaan apa yang telah ditambahkan: Get-ADSyncSchedulerConnectorOverride | fl

    Catatan

    Penimpaan spesifik konektor. Dalam contoh berikut, langkah Impor Penuh dan langkah Sinkronisasi Penuh telah ditambahkan ke ad Koneksi or lokal dan Microsoft Entra Koneksi or.

    DisableFullSyncAfterUpgrade

  3. Catat penimpaan yang ada yang telah ditambahkan.

  4. Untuk menghapus penimpaan untuk impor penuh dan sinkronisasi penuh pada konektor arbitrer, jalankan cmdlet berikut: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Untuk menghapus penimpaan pada semua konektor, jalankan skrip PowerShell berikut:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Untuk melanjutkan penjadwal, jalankan cmdlet berikut: Set-ADSyncScheduler -SyncCycleEnabled $true

    Penting

    Ingatlah untuk menjalankan langkah-langkah sinkronisasi yang diperlukan secepat mungkin. Anda dapat menjalankan langkah-langkah ini secara manual menggunakan Synchronization Service Manager atau menambahkan penimpaan kembali menggunakan cmdlet Set-ADSyncSchedulerConnectorOverride.

Guna menambahkan pengambilan alih untuk impor penuh dan sinkronisasi penuh pada konektor arbitrer, jalankan cmdlet berikut: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Meningkatkan Sistem Operasi server

Jika Anda perlu meningkatkan sistem operasi server Microsoft Entra Koneksi Anda, jangan gunakan peningkatan OS (Sistem Operasi) di tempat. Sebagai gantinya, siapkan server baru dengan sistem operasi yang diinginkan dan lakukan migrasi ayun.

Pemecahan Masalah

Bagian berikut berisi pemecahan masalah dan informasi yang bisa Anda gunakan jika mengalami masalah saat memutakhirkan Microsoft Entra Koneksi.

Kesalahan konektor Microsoft Entra hilang selama peningkatan Microsoft Entra Koneksi

Saat memutakhirkan Microsoft Entra Koneksi dari versi sebelumnya, Anda mungkin mengalami kesalahan berikut di awal peningkatan:

Error

Kesalahan ini terjadi karena konektor Microsoft Entra dengan pengidentifikasi, b891884f-051e-4a83-95af-2544101c9083, tidak ada dalam konfigurasi Microsoft Entra Koneksi saat ini. Untuk memverifikasi ini masalah tersebut, buka jendela PowerShell, jalankan Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Cmdlet PowerShell melaporkan kesalahan MA yang ditentukan tidak dapat ditemukan.

Kesalahan ini terjadi karena konfigurasi Microsoft Entra Koneksi saat ini tidak didukung untuk pemutakhiran.

Jika Anda ingin menginstal versi Microsoft Entra Koneksi yang lebih baru: tutup wizard Microsoft Entra Koneksi, hapus instalan Microsoft Entra Koneksi yang ada, dan lakukan penginstalan bersih Microsoft Entra Koneksi yang lebih baru.

Langkah berikutnya

Pelajari selengkapnya tentang mengintegrasikan identitas lokal Anda dengan ID Microsoft Entra.