Microsoft Entra Connect: 旧バージョンから最新バージョンにアップグレードする
重要
最新バージョンの Microsoft Enra Connect にアップグレードするのではなく、クラウド同期が最適かどうかを確認してください。 詳細については、同期オプションを評価するウィザードを使用して、オプションを評価してください。
このトピックでは、Microsoft Entra Connect のインストールを最新リリースにアップグレードするために使用できるさまざまな方法について説明します。 以前の 1.x バージョンから大幅な構成変更やアップグレードを行う場合は、「スウィング移行」のセクションのステップを使用することをお勧めします。
Note
Microsoft Entra Connect の最新リリースでサーバーを最新の状態に保つことが重要です。 Microsoft Entra Connect に対するアップグレードは絶えず行われており、これらのアップグレードには、セキュリティの問題およびバグの修正プログラムの他、サービス性、パフォーマンス、スケーラビリティの向上が含まれます。 最新バージョンを確認し、バージョン間で行われた変更点を把握するには、リリース バージョン履歴に関する記事を参照してください
Microsoft Entra Connect V2 より古いバージョンは、現在非推奨となっています。 詳細については、「Microsoft Entra Connect V2 の概要」を参照してください。 現在、Microsoft Entra Connect の任意のバージョンから現在のバージョンへのアップグレードがサポートされています。 DirSync または ADSync のインプレース アップグレードはサポートされておらず、スウィング移行が必要となります。 DirSync からアップグレードする場合は、Azure AD Sync ツール (DirSync) からのアップグレードに関するページまたは「スウィング移行」セクションを参照してください。
実際には、古いバージョンをご使用の場合、Microsoft Entra Connect には直接関係のない問題が発生する可能性があります。 何年にもわたって運用されてきたサーバーは通常、さまざまなパッチが適用されており、その一部が考慮されていないことも考えられます。 12 か月から 18 か月間 (およそ 1 年半) アップグレードを行っていないお客様は、代わりにスウィング アップグレードを検討してください。これが最も慎重でリスクの少ない選択肢です。
Microsoft Entra Connect のアップグレードで使用できる方法は複数あります。
メソッド | 説明 | プロ | 短所 |
---|---|---|---|
自動アップグレード | これは、高速インストールで最も簡単な方法です | - 手動による介入がない | - 自動アップグレード バージョンには最新の機能が含まれていない可能性がある |
インプレース アップグレード | サーバーが 1 台だけの場合は、同じサーバーでインストールをインプレース アップグレードできます | - 別のサーバーが不要 |
- インプレース アップグレード中に問題が発生した場合、新しいリリースまたは構成をロールバックして、準備ができたらアクティブ サーバーを変更することはできません |
スウィング移行 | 切り替える前に、更新された新しいサーバーを別に構築できます | - 最も安全なアプローチであり、新しいバージョンへの移行がスムーズ - Windows OS (オペレーティング システム) のアップグレードをサポートする - 同期は中断されず、運用環境にリスクがない |
- 別のサーバーにインストールする必要がある |
アクセス許可に関する情報については、アップグレードに必要なアクセス許可に関するセクションをご覧ください。
Note
新しい Microsoft Entra Connect サーバーが Microsoft Entra ID に対する変更の同期を開始できるようにした後は、DirSync または Azure AD Sync を使用してロールバックしないでください。Azure AD Connect から DirSync、Microsoft Entra Sync などの従来のクライアントへのダウングレードはサポートされておらず、Microsoft Entra ID のデータ損失のような問題につながる場合があります。
一括アップグレード
インプレース アップグレードは、Azure AD Sync または Microsoft Entra Connect からの移行に使用できます。 DirSync から移動しても、これは機能しません。
この方法は、サーバーが 1 台でオブジェクトが約 100,000 未満の場合にお勧めします。 標準の同期規則に対する変更があった場合は、アップグレード後にフル インポートと完全同期が実行されます。 この方法により、新しい構成がシステムのすべての既存のオブジェクトに適用されることが確実になります。 同期エンジンのスコープ内のオブジェクトの数によっては、数時間かかることがあります。 通常の差分同期スケジューラー (既定では 30 分ごとに同期) は中断されますが、パスワード同期は継続されます。 インプレース アップグレードは週末に実行するよう検討してください。 新しい Microsoft Entra Connect リリースで標準構成に変更がなかった場合は、通常の差分インポートまたは差分同期が開始します。
標準の同期規則を変更した場合は、これらの規則はアップグレード時に既定の構成に戻ります。 アップグレードの前後で構成が維持されていることを確認するには、既定の構成を変更するためのベスト プラクティスに関するページの説明に従って変更を行ってください。 既定の同期規則を既に変更している場合は、アップグレード プロセスを開始する前に、Microsoft Entra Connect で変更された既定の規則を修正する方法を参照してください。
インプレース アップグレード中、アップグレード後に特定の同期アクティビティ (フル インポート手順、完全同期手順など) の実行を必要とする変更が行われる可能性があります。 このようなアクティビティを保留にするには、「アップグレード後に完全な同期を保留にする方法」を参照してください。
非標準のコネクタ (Generic LDAP (Lightweight Directory Access Protocol) コネクタや Generic SQL コネクタなど) で Microsoft Entra Connect を使用している場合は、インプレース アップグレード後に Synchronization Service Manager で対応するコネクタ構成を更新する必要があります。 コネクタ構成を更新する方法の詳細については、「コネクタ バージョンのリリース履歴 - トラブルシューティング」をご覧ください。 構成を更新していない場合、インポート/エクスポートの実行手順がコネクタで正しく動作しなくなります。 アプリケーション イベント ログに以下のエラーが届きます。
Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".
スウィング移行
一部のお客様には、アップグレード中に問題が発生し、サーバーをロールバックできない場合、インプレース アップグレードで運用環境にかなりのリスクが発生する可能性があります。 初期同期サイクルには数日かかる可能性があり、この間は差分変更が処理されないので、運用サーバーが 1 台というのも実用的でない場合があります。
このようなシナリオでは、スウィング移行を使用することをお勧めします。 この方法は、Windows Server オペレーティング システムをアップグレードする必要がある場合や、運用環境にプッシュする前にテストが必要な環境構成に大幅な変更を加える予定がある場合にも使用できます。
アクティブ サーバーが 1 台とステージング サーバーが 1 台、(少なくとも) 2 台のサーバーが必要です。 アクティブ サーバー (次の図の青い実線) では、アクティブな運用負荷を処理します。 ステージング サーバー (次の図の紫の破線) では新しいリリースまたは構成を準備します。 このサーバーの準備ができたら、アクティブになります。 古くなったバージョンまたは構成がインストールされている前のアクティブ サーバーは、ステージング サーバーになりアップグレードされます。
2 つのサーバーには、それぞれ異なるバージョンを使用できます。 たとえば、使用を停止する予定のアクティブ サーバーでは Azure AD Sync を使用でき、新しいステージング サーバーでは Microsoft Entra Connect を使用できます。 スウィング移行を使用して新しい構成を開発する場合は、2 つのサーバーで同じバージョンを使用することをお勧めします。
Note
このシナリオでは、3 台または 4 台のサーバーを使用することが望ましい場合があります。 ステージング サーバーがアップグレードされているときに、障害復旧用のバックアップ サーバーがないためです。 3 台か 4 台のサーバーを使用すると、更新されたバージョンのプライマリ/スタンバイ サーバーのセットを用意でき、引き継ぎ用のステージング サーバーが常に確保できます。
以下の手順は、Azure AD Sync または MIM と Microsoft Entra コネクタのソリューションからの移行にも使用できます。 この手順は DirSync には使用できませんが、DirSync 用の手順が組み込まれた同じスウィング移行方法 (並列デプロイとも呼ばれます) が、Azure Active Directory Sync (DirSync) のアップグレードに関するページで説明されています。
スウィング移行を使用してアップグレードする
- Microsoft Entra Connect サーバーが 1 台しかない場合、AD Sync からアップグレードする場合、または古いバージョンからアップグレードする場合は、新しい Windows Server に新しいバージョンをインストールすることをお勧めします。 既に 2 台の Microsoft Entra Connect サーバーがある場合は、まずステージング サーバーをアップグレードします。 そして、ステージングをアクティブに昇格させます。 アクティブ/ステージング サーバーのペアで常に同じバージョンを実行することをお勧めしますが、必須ではありません。
- カスタム構成を行っていて、ステージング サーバーにそれが含まれていない場合は、「カスタム構成のアクティブ サーバーからステージング サーバーへの移動」の手順に従ってください。
- 同期エンジンがステージング サーバーで完全なインポートと完全な同期を実行するまで待ちます。
- 「サーバーの構成の確認」の「確認」のステップを使用して、新しい構成で予期しない変更が発生しなかったことを確認します。 予期しないことがあった場合は、問題がなくなるまで、修正、同期サイクルの実行、データの確認を繰り返します。
- もう一方のサーバーをアップグレードする前に、ステージング モードに切り替えて、ステージング サーバーをアクティブ サーバーに昇格させます。 これは、「サーバーの構成の確認」の最後のステップである「アクティブなサーバーの切り替え」にあたります。
- ステージング モードになったサーバーを最新リリースにアップグレードします。 前と同じ手順に従って、データと構成をアップグレードします。 Azure AD Sync からアップグレードしている場合は、ここで、以前のサーバーの電源を切って、使用を停止できます。
Note
古い Microsoft Entra Connect サーバーを完全に使用停止にすることが重要です。古い同期サーバーがネットワーク上に残っていたり、後で誤って電源が入ったりした場合に、同期の問題が発生したり、トラブルシューティングが困難になったりする可能性があるためです。 このような "悪い" サーバーは、Microsoft Entra データを古い情報で上書きする傾向があります。これは、オンプレミスの Active Directory にアクセスできなくなった (たとえば、コンピューター アカウントの有効期限が切れた、コネクタ アカウントのパスワードが変更された場合など) にもかかわらず、Microsoft Entra ID には接続できるため、同期サイクルごと (たとえば、30 分ごと) に属性値が継続的に元に戻される可能性があるためです。 Microsoft Entra Connect サーバーを完全に使用停止にするには、製品とそのコンポーネントを完全にアンインストールするか、仮想マシンの場合はサーバーを完全に削除してください。
カスタム構成のアクティブ サーバーからステージング サーバーへ移動する
アクティブ サーバーの構成を変更してある場合は、新しいステージング サーバーに同じ変更が適用されていることを確認する必要があります。 この移動を支援するために、同期設定のエクスポートとインポートの機能を使用できます。 この機能を使用すると、ネットワーク内の別の Microsoft Entra Connect サーバーとまったく同じ設定で、いくつかのステップで新しいステージング サーバーをデプロイできます。
個々のカスタム同期規則の移動
作成した個々のカスタム同期規則は、PowerShell を使用して移動できます。 両方のシステムで同じ方法で他の変更を適用する必要があり、変更を移行できない場合、両方のサーバーで次の構成を手動で行う必要がある場合があります。
- 同じフォレストへの接続
- ドメインと OU のすべてのフィルター処理
- 同じオプション機能 (パスワード同期やパスワード ライトバックなど)
カスタム同期規則のコピー
カスタム同期規則を別のサーバーにコピーするには、次の操作を行います。
アクティブ サーバーで 同期規則エディター を開きます。
カスタム規則を選択します。 [エクスポート] をクリックします。 メモ帳ウィンドウが表示されます。 一時ファイルを PS1 という拡張子で保存します。 そうすることで、PowerShell スクリプトになります。 PS1 ファイルをステージング サーバーにコピーします。
コネクタの GUID (一意識別子) はステージング サーバーでは異なり、これを変更する必要があります。 GUID を取得するには、同期規則エディターを起動し、同じ接続先システムを表す既定の規則のいずれかを選択して、 [エクスポート] をクリックします。 PS1 ファイルの GUID を、ステージング サーバーから取得した GUID に置き換えます。
PowerShell プロンプトで、PS1 ファイルを実行します。 これにより、ステージング サーバーにカスタム同期規則が作成されます。
すべてのカスタム規則について、これを繰り返します。
アップグレード後に完全な同期を保留にする方法
インプレース アップグレード中、特定の同期アクティビティ (フル インポート手順、完全同期手順など) の実行を必要とする変更が行われる可能性があります。 たとえば、コネクタ スキーマを変更した場合はフル インポート手順を、既定の同期規則を変更した場合は完全同期手順を、影響を受けるコネクタで実行する必要があります。 アップグレード中、Microsoft Entra Connect が、必要な同期アクティビティを判断し、"オーバーライド" として記録します。 次の同期サイクルで、同期スケジューラはこうしたオーバーライドを取得して、実行します。 オーバーライドは、正常に実行された時点で削除されます。
こうしたオーバーライドを、アップグレードの直後に実行したくない場合があります。 たとえば、同期されたオブジェクトが多数あり、こうした同期ステップを営業時間後に実行したい場合などです。 こうしたオーバーライドを削除するには、次の手順に従います。
アップグレード中、 [構成が完了したら、同期プロセスを開始してください] オプションをオフにします。 これにより同期スケジューラが無効になり、オーバーライドが削除される前に、同期サイクルが自動的に実行されることがなくなります。
アップグレードの完了後、次のコマンドレットを実行して、追加されたオーバーライドを確認します:
Get-ADSyncSchedulerConnectorOverride | fl
注意
オーバーライドはコネクタ固有です。 次の例では、フル インポート手順と完全同期手順が、オンプレミスの AD コネクタと Microsoft Entra コネクタの両方に追加されます。
追加された既存のオーバーライドを書き留めてください。
任意のコネクタでフル インポートと完全同期の両方に対するオーバーライドを削除するには、次のコマンドレットを実行します。
Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false
すべてのコネクタでオーバーライドを削除するには、次の PowerShell スクリプトを実行します。
foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride) { Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false }
スケジューラを再開するには、次のコマンドレットを実行します。
Set-ADSyncScheduler -SyncCycleEnabled $true
重要
必要な同期手順は、できるだけ早く実行してください。 Synchronization Service Manager を使用してこの手順を手動で実行するか、Set-ADSyncSchedulerConnectorOverride コマンドレットを使用して、オーバーライドを戻すことができます。
任意のコネクタでフル インポートと完全同期の両方に対するオーバーライドを追加するには、次のコマンドレットを実行します。Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true
サーバーのオペレーティング システムをアップグレードする
Microsoft Entra Connect サーバーのオペレーティング システムをアップグレードする必要がある場合は、OS (オペレーティング システム) のインプレース アップグレードを使用しないでください。 代わりに、目的のオペレーティング システムで新しいサーバーを準備し、スウィング移行を実行します。
トラブルシューティング
次のセクションには、Microsoft Entra Connect のアップグレード時に問題が発生した場合に使用できるトラブルシューティングと情報が含まれています。
Microsoft Entra Connect のアップグレード中に Microsoft Entra コネクタが見つからないエラーが発生する
Microsoft Entra Connect を以前のバージョンからアップグレードする際に、アップグレードの最初の段階で次のエラーに遭遇することがあります。
このエラーは、Microsoft Entra コネクタ (ID b891884f-051e-4a83-95af-2544101c9083) が現在の Microsoft Entra Connect の構成に存在しないことが原因で発生します。 それが事実であるかどうかを確認するには、PowerShell ウィンドウを開いて Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
コマンドレットを実行します。
PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
ctor], ConnectorNotFoundException
+ FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet
PowerShell コマンドレットから "the specified MA could not be found (指定された MA が見つかりませんでした) " というエラーが報告されます。
このエラーが発生するのは、現在の Microsoft Entra Connect の構成がアップグレードでサポートされていないためです。
新しいバージョンの Microsoft Entra Connect をインストールする場合は、Microsoft Entra Connect ウィザードを閉じ、既存の Microsoft Entra Connect をアンインストールして、新しい Microsoft Entra Connect のクリーン インストールを実行してください。
次のステップ
詳細については、オンプレミス ID と Microsoft Entra ID の統合に関する記事を参照してください。