Azure AD Connect: 旧バージョンから最新バージョンにアップグレードする

このトピックでは、Azure Active Directory (Azure AD) Connect のインストールを最新リリースにアップグレードするさまざまな方法について説明します。 以前の 1.x バージョンから大幅な構成変更やアップグレードを行う場合は、「スウィング移行」のセクションのステップを使用することをお勧めします。

注意

Azure AD Connect の最新リリースでサーバーを最新の状態に保つことが重要です。 AADConnect に対するアップグレードは絶えず行われており、これらのアップグレードには、セキュリティの問題およびバグの修正プログラムの他、サービス性、パフォーマンス、スケーラビリティの向上が含まれます。 最新バージョンを確認し、バージョン間で行われた変更点を把握するには、リリース バージョン履歴に関する記事を参照してください

Azure AD Connect 2.x より古いバージョンは現在非推奨になっています。詳細については、「Azure AD Connect v2.0 について」を参照してください。 現在、Azure AD Connect は、任意のバージョンから最新バージョンへのアップグレードがサポートされています。 DirSync または ADSync のインプレース アップグレードはサポートされておらず、スウィング移行が必要となります。 DirSync からアップグレードする場合は、Azure AD 同期ツール (DirSync) からのアップグレードに関するページまたは「スウィング移行」セクションを参照してください。

実際には、古いバージョンをご使用の場合、Azure AD Connect には直接関係のない問題が発生する可能性があります。 何年にもわたって運用されてきたサーバーは通常、さまざまなパッチが適用されており、その一部が考慮されていないことも考えられます。 一般に、12 か月から 18 か月間 (1 年半) アップグレードを行っていないお客様は、スウィング アップグレードを検討してください。これが最も慎重でリスクの少ない選択肢です。

Azure AD Connect のアップグレードで使用できる方法は複数あります。

Method 説明 長所 短所
自動アップグレード これは、高速インストールで最も簡単な方法です 手動による介入がない 自動アップグレード バージョンには最新の機能が含まれていない可能性がある
インプレース アップグレード サーバーが 1 台だけの場合は、同じサーバーでインストールをインプレース アップグレードできます 別のサーバーが不要 インプレース アップグレード中に問題が発生した場合、ロールバックできず、同期が中断される
スウィング移行 2 台のサーバーを用意し、一方に新しいリリースまたは構成を用意して、準備ができたらアクティブなサーバーを変更します 最も安全なアプローチであり、新しいバージョンへの移行がスムーズ。 Windows OS (オペレーティング システム) のアップグレードをサポートする。 同期は中断されず、運用環境にリスクがない 別のサーバーが必要

アクセス許可に関する情報については、アップグレードに必要なアクセス許可に関するセクションをご覧ください。

注意

新しい Azure AD Connect サーバーが Azure AD に対する変更の同期を開始できるようにした後は、DirSync または Azure AD Sync を使用してロールバックしないでください。Azure AD Connect から DirSync、Azure AD Sync などの従来のクライアントへのダウングレードはサポートされておらず、Azure AD のデータ損失などの問題につながる場合があります。

インプレース アップグレード

インプレース アップグレードは、Azure AD Sync または Azure AD Connect からの移動に使用できます。 DirSync からの移動、または Forefront Identity Manager (FIM) + Azure AD コネクタのソリューションには使用できません。

この方法は、サーバーが 1 台でオブジェクトが約 100,000 未満の場合にお勧めします。 標準の同期規則に対する変更があった場合は、アップグレード後にフル インポートと完全同期が実行されます。 この方法により、新しい構成がシステムのすべての既存のオブジェクトに適用されることが確実になります。 同期エンジンのスコープ内のオブジェクトの数によっては、数時間かかることがあります。 通常の差分同期スケジューラー (既定では 30 分ごとに同期) は中断されますが、パスワード同期は継続されます。 インプレース アップグレードは週末に実行するよう検討してください。 新しい Azure AD Connect リリースで標準構成に変更がなかった場合は、通常の差分インポートまたは差分同期が開始します。

一括アップグレード

標準の同期規則を変更した場合は、これらの規則はアップグレード時に既定の構成に戻ります。 アップグレードの前後で構成が維持されていることを確認するには、既定の構成を変更するためのベスト プラクティスに関するページの説明に従って変更を行ってください。 既定の同期規則を既に変更している場合は、アップグレード プロセスを開始する前に、Azure AD Connect で変更された既定の規則を修正する方法を参照してください。

インプレース アップグレード中、アップグレード後に特定の同期アクティビティ (フル インポート手順、完全同期手順など) の実行を必要とする変更が行われる可能性があります。 このようなアクティビティを保留にするには、「アップグレード後に完全な同期を保留にする方法」を参照してください。

非標準のコネクタ (Generic LDAP (Lightweight Directory Access Protocol) コネクタや Generic SQL コネクタなど) で Azure AD Connect を使用している場合は、インプレース アップグレード後に Synchronization Service Manager で対応するコネクタ構成を更新する必要があります。 コネクタ構成を更新する方法の詳細については、「コネクタ バージョンのリリース履歴 - トラブルシューティング」をご覧ください。 構成を更新していない場合、インポート/エクスポートの実行手順がコネクタで正しく動作しなくなります。 アプリケーション イベント ログに以下のエラーが届きます。

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

スウィング移行

一部のお客様には、アップグレード中に問題が発生し、サーバーをロールバックできない場合、インプレース アップグレードで運用環境にかなりのリスクが発生する可能性があります。 初期同期サイクルには数日かかる可能性があり、この間は差分変更が処理されないので、運用サーバーが 1 台というのも実用的でない場合があります。

このようなシナリオでは、スウィング移行を使用することをお勧めします。 この方法は、Windows Server オペレーティング システムをアップグレードする必要がある場合や、運用環境にプッシュする前にテストが必要な環境構成に大幅な変更を加える予定がある場合にも使用できます。

アクティブ サーバーが 1 台とステージング サーバーが 1 台、(少なくとも) 2 台のサーバーが必要です。 アクティブ サーバー (次の図の青い実線) では、アクティブな運用負荷を処理します。 ステージング サーバー (次の図の紫の破線) では新しいリリースまたは構成を準備します。 このサーバーの準備ができたら、アクティブになります。 古くなったバージョンまたは構成がインストールされている前のアクティブ サーバーは、ステージング サーバーになりアップグレードされます。

2 つのサーバーには、それぞれ異なるバージョンを使用できます。 たとえば、使用を停止する予定のアクティブ サーバーでは Azure AD Sync を使用でき、新しいステージング サーバーでは Azure AD Connect を使用できます。 スウィング移行を使用して新しい構成を開発する場合は、2 つのサーバーで同じバージョンを使用することをお勧めします。

ステージング サーバーの図。

注意

このシナリオでは、3 台または 4 台のサーバーを使用することが望ましい場合があります。 ステージング サーバーがアップグレードされているときに、障害復旧用のバックアップ サーバーがないためです。 3 台か 4 台のサーバーを使用すると、更新されたバージョンのプライマリ/スタンバイ サーバーのセットを用意でき、引き継ぎ用のステージング サーバーが常に確保できます。

以下の手順は、Azure AD Sync または FIM + Azure AD Connector のソリューションからの移行にも使用できます。 この手順は DirSync には使用できませんが、同じスウィング移行方法 (並列デプロイとも呼ばれます) は DirSync に対応する手順も含めて、Azure Active Directory 同期 (DirSync) のアップグレード内にあります。

スウィング移行を使用してアップグレードする

  1. Azure AD Connect サーバーが 1 台しかない場合、AD Sync からアップグレードする場合、または古いバージョンからアップグレードする場合は、新しい Windows Server に新しいバージョンをインストールすることをお勧めします。 既に 2 台の Azure AD Connect サーバーがある場合は、まずステージング サーバーをアップグレードします。 そして、ステージングをアクティブに昇格させます。 アクティブ/ステージング サーバーのペアで常に同じバージョンを実行することをお勧めしますが、必須ではありません。
  2. カスタム構成を行っていて、ステージング サーバーにそれが含まれていない場合は、「カスタム構成のアクティブ サーバーからステージング サーバーへ移動する」のステップに従ってください。
  3. 同期エンジンがステージング サーバーで完全なインポートと完全な同期を実行するまで待ちます。
  4. サーバーの構成の確認」の「確認」のステップを使用して、新しい構成で予期しない変更が発生しなかったことを確認します。 予期しないことがあった場合は、問題がなくなるまで、修正、同期サイクルの実行、データの確認を繰り返します。
  5. もう一方のサーバーをアップグレードする前に、ステージング モードに切り替えて、ステージング サーバーをアクティブ サーバーに昇格させます。 これは、「サーバーの構成の確認」の最後のステップである「アクティブなサーバーの切り替え」にあたります。
  6. ステージング モードになったサーバーを最新リリースにアップグレードします。 前と同じ手順に従って、データと構成をアップグレードします。 Azure AD Sync からアップグレードしている場合は、ここで、以前のサーバーの電源を切って、使用を停止できます。

注意

古い Azure AD Connect サーバーを完全に使用停止にすることが重要です。古い同期サーバーがネットワーク上に残っていたり、後で誤って電源が入ったりした場合に、同期の問題が発生したり、トラブルシューティングが困難になったりする可能性があるためです。 このような "悪い" サーバーは、Azure AD データを古い情報で上書きする傾向があります。これは、オンプレミスの Active Directory にアクセスできなくなった (たとえば、コンピューター アカウントの有効期限が切れた、コネクタ アカウントのパスワードが変更された場合など) にもかかわらず、Azure AD には接続できるため、同期サイクルごと (たとえば、30 分ごと) に属性値が継続的に元に戻される可能性があるためです。 Azure AD Connect サーバーを完全に使用停止にするには、製品とそのコンポーネントを完全にアンインストールするか、仮想マシンの場合はサーバーを完全に削除してください。

カスタム構成のアクティブ サーバーからステージング サーバーへ移動する

アクティブ サーバーの構成を変更してある場合は、新しいステージング サーバーに同じ変更が適用されていることを確認する必要があります。 この移動を支援するために、同期設定のエクスポートとインポートの機能を使用できます。 この機能を使用すると、ネットワーク内の別の Azure AD Connect サーバーとまったく同じ設定で、いくつかのステップで新しいステージング サーバーをデプロイできます。

作成した個々のカスタム同期規則は、PowerShell を使用して移動できます。 両方のシステムで同じ方法で他の変更を適用する必要があり、変更を移行できない場合は、両方のサーバーで次の構成を手動で行う必要があります。

  • 同じフォレストへの接続
  • ドメインと OU のすべてのフィルター処理
  • 同じオプション機能 (パスワード同期やパスワード ライトバックなど)

カスタム同期規則のコピー
カスタム同期規則を別のサーバーにコピーするには、次の操作を行います。

  1. アクティブ サーバーで 同期規則エディター を開きます。

  2. カスタム規則を選択します。 [エクスポート] をクリックします。 メモ帳ウィンドウが表示されます。 一時ファイルを PS1 という拡張子で保存します。 そうすることで、PowerShell スクリプトになります。 PS1 ファイルをステージング サーバーにコピーします。

    同期ルール エディターのエクスポート ウィンドウを示すスクリーンショット。

  3. コネクタの GUID (一意識別子) は、ステージング サーバーでは異なるため、変更する必要があります。 GUID を取得するには、同期規則エディターを起動し、同じ接続先システムを表す既定の規則のいずれかを選択して、 [エクスポート] をクリックします。 PS1 ファイルの GUID を、ステージング サーバーから取得した GUID に置き換えます。

  4. PowerShell プロンプトで、PS1 ファイルを実行します。 これにより、ステージング サーバーにカスタム同期規則が作成されます。

  5. すべてのカスタム規則について、これを繰り返します。

アップグレード後に完全な同期を保留にする方法

インプレース アップグレード中、特定の同期アクティビティ (フル インポート手順、完全同期手順など) の実行を必要とする変更が行われる可能性があります。 たとえば、コネクタ スキーマを変更した場合はフル インポート手順を、既定の同期規則を変更した場合は完全同期手順を、影響を受けるコネクタで実行する必要があります。 アップグレード中、Azure AD Connect が、必要な同期アクティビティを判断し、"オーバーライド" として記録します。 次の同期サイクルで、同期スケジューラはこうしたオーバーライドを取得して、実行します。 オーバーライドは、正常に実行された時点で削除されます。

こうしたオーバーライドを、アップグレードの直後に実行したくない場合があります。 たとえば、同期されたオブジェクトが多数あり、こうした同期ステップを営業時間後に実行したい場合などです。 こうしたオーバーライドを削除するには、次の手順に従います。

  1. アップグレード中、 [構成が完了したら、同期プロセスを開始してください] オプションをオフにします。 これにより同期スケジューラが無効になり、オーバーライドが削除される前に、同期サイクルが自動的に実行されることがなくなります。

    オフにする必要がある [構成が完了したら、同期プロセスを開始してください] オプションが強調表示されているスクリーンショット。

  2. アップグレードの完了後、次のコマンドレットを実行して、追加されたオーバーライドを確認します: Get-ADSyncSchedulerConnectorOverride | fl

    注意

    オーバーライドはコネクタ固有です。 次の例では、フル インポート手順と完全同期手順が、オンプレミスの AD コネクタと Azure AD コネクタの両方に追加されます。

    DisableFullSyncAfterUpgrade

  3. 追加された既存のオーバーライドを書き留めてください。

  4. 任意のコネクタでフル インポートと完全同期の両方に対するオーバーライドを削除するには、次のコマンドレットを実行します。Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    すべてのコネクタでオーバーライドを削除するには、次の PowerShell スクリプトを実行します。

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
    {
        Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
    }
    
  5. スケジューラを再開するには、次のコマンドレットを実行します。Set-ADSyncScheduler -SyncCycleEnabled $true

    重要

    必要な同期手順は、できるだけ早く実行してください。 Synchronization Service Manager を使用してこの手順を手動で実行するか、Set-ADSyncSchedulerConnectorOverride コマンドレットを使用して、オーバーライドを戻すことができます。

任意のコネクタでフル インポートと完全同期の両方に対するオーバーライドを追加するには、次のコマンドレットを実行します。Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

サーバーのオペレーティング システムをアップグレードする

Azure AD Connect サーバーのオペレーティング システムをアップグレードする必要がある場合は、OS (オペレーティング システム) のインプレース アップグレードを使用しないでください。 代わりに、目的のオペレーティング システムで新しいサーバーを準備し、スウィング移行を実行します。

トラブルシューティング

次のセクションには、Azure AD Connect のアップグレード時に問題が発生した場合に使用できるトラブルシューティングと情報が含まれています。

Azure AD Connect のアップグレード時に Azure Active Directory コネクタが存在しないというエラーが発生する

Azure AD Connect を以前のバージョンからアップグレードするとき、アップグレードの最初の段階で次のエラーに遭遇することがあります。

エラー

このエラーは、Azure Active Directory コネクタ (ID b891884f-051e-4a83-95af-2544101c9083) が現在の Azure AD Connect の構成に存在しないことが原因で発生します。 それが事実であるかどうかを確認するには、PowerShell ウィンドウを開いて Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083 コマンドレットを実行します。

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

PowerShell コマンドレットから "the specified MA could not be found (指定された MA が見つかりませんでした) " というエラーが報告されます。

このエラーが発生するのは、現在の Azure AD Connect の構成がアップグレードでサポートされていないためです。

新しいバージョンの Azure AD Connect をインストールする場合は、Azure AD Connect ウィザードを閉じ、既存の Azure AD Connect をアンインストールして、新しい Azure AD Connect のクリーン インストールを実行してください。

次のステップ

オンプレミス ID と Azure Active Directory の統合に関する記事をご覧ください。