Share via

Microsoft Entra Connect: Upgrade from a previous version to the latest (Azure AD Connect: upgraden van een vorige naar de meest recente versie)

  • Artikel

Belangrijk

In plaats van een upgrade uit te voeren naar de nieuwste versie van Microsoft Entra Connect, controleert u of cloudsynchronisatie geschikt is voor u. Evalueer uw opties voor meer informatie met behulp van de wizard om synchronisatieopties te evalueren

In dit onderwerp worden de verschillende methoden beschreven die u kunt gebruiken om uw Microsoft Entra Connect-installatie te upgraden naar de nieuwste versie. Microsoft raadt u aan de stappen in de sectie Swing-migratie te gebruiken wanneer u een aanzienlijke configuratiewijziging of upgrade uitvoert van oudere 1.x-versies.

Notitie

Het is belangrijk dat u uw servers actueel houdt met de nieuwste versies van Microsoft Entra Connect. We voeren voortdurend upgrades uit naar Microsoft Entra Connect en deze upgrades omvatten oplossingen voor beveiligingsproblemen en bugs, evenals verbeteringen in de service, prestaties en schaalbaarheid. Raadpleeg de versiegeschiedenis om te zien wat de nieuwste versie is en welke wijzigingen zijn aangebracht tussen versies

Alle versies ouder dan Microsoft Entra Connect V2 zijn momenteel afgeschaft. Zie Inleiding tot Microsoft Entra Connect V2 voor meer informatie. Het wordt momenteel ondersteund om een upgrade uit te voeren van elke versie van Microsoft Entra Connect naar de huidige versie. In-place upgrades van DirSync of ADSync worden niet ondersteund en er is een swingmigratie vereist. Als u een upgrade van DirSync wilt uitvoeren, raadpleegt u Upgrade van het Azure AD Sync-hulpprogramma (DirSync) of de sectie Swing-migratie .

In de praktijk kunnen klanten met oude versies problemen ondervinden die niet rechtstreeks verband houden met Microsoft Entra Connect. Servers die al enkele jaren in productie zijn, hebben meestal verschillende patches hierop toegepast en niet al deze kunnen worden verwerkt. Klanten die in 12-18 maanden (ongeveer 1 en een half jaar) geen upgrade hebben uitgevoerd, moeten in plaats daarvan een swing-upgrade overwegen, omdat dit de meest conservatieve en minst riskante optie is.

Er zijn enkele verschillende strategieën die u kunt gebruiken om Microsoft Entra Connect bij te werken.

Wijze Beschrijving Voordelen Nadelen
Automatische upgrade Dit is de eenvoudigste methode voor klanten met een snelle installatie - Geen handmatige interventie - De versie voor automatisch upgraden bevat mogelijk niet de nieuwste functies
In-place upgrade Als u één server hebt, kunt u de installatie in-place op dezelfde server bijwerken - Vereist geen andere server

 - Als er een probleem is tijdens de in-place upgrade, kunt u de nieuwe versie of configuratie niet terugdraaien en de actieve server wijzigen wanneer u klaar bent

Swingmigratie U kunt een nieuwe bijgewerkte server opzij bouwen voordat u overschakelt - Veilige benadering en soepelere overgang naar een nieuwere versie
- Ondersteunt een upgrade van het Windows-besturingssysteem (besturingssystemen)
- Synchronisatie wordt niet onderbroken en vormt geen risico voor productie		 - Vereist installatie op een afzonderlijke server

Zie de vereiste machtigingen voor een upgrade voor informatie over machtigingen.

Notitie

Nadat u uw nieuwe Microsoft Entra Connect-server hebt ingeschakeld om te beginnen met het synchroniseren van wijzigingen in Microsoft Entra ID, moet u niet terugkeren naar het gebruik van DirSync of Azure AD Sync. Downgraden van Microsoft Entra Connect met verouderde clients, waaronder DirSync en Azure AD Sync, wordt niet ondersteund en kan leiden tot problemen zoals gegevensverlies in Microsoft Entra-id.

In-place upgrade

Een in-place upgrade werkt voor het overstappen van Azure AD Sync of Microsoft Entra Connect. Het werkt niet voor het verplaatsen van DirSync.

Deze methode heeft de voorkeur wanneer u één server hebt en minder dan 100.000 objecten. Als er wijzigingen zijn aangebracht in de out-of-box-synchronisatieregels, vindt er een volledige import en volledige synchronisatie plaats na de upgrade. Deze methode zorgt ervoor dat de nieuwe configuratie wordt toegepast op alle bestaande objecten in het systeem. Deze uitvoering kan enkele uren duren, afhankelijk van het aantal objecten dat binnen het bereik van de synchronisatie-engine valt. De normale deltasynchronisatieplanner (die standaard elke 30 minuten synchroniseert) wordt onderbroken, maar wachtwoordsynchronisatie wordt voortgezet. U kunt overwegen om de in-place upgrade in het weekend uit te voeren. Als er geen wijzigingen zijn in de out-of-box-configuratie met de nieuwe Microsoft Entra Connect-release, wordt in plaats daarvan een normale delta-import/synchronisatie gestart.

In-place upgrade

Als u wijzigingen hebt aangebracht in de kant-en-klare synchronisatieregels, worden deze regels tijdens het upgraden teruggezet naar de standaardconfiguratie. Als u er zeker van wilt zijn dat uw configuratie tijdens upgrades bewaard blijft, moet u ervoor zorgen dat u wijzigingen aanbrengt zoals beschreven in Aanbevolen procedures voor het wijzigen van de standaardconfiguratie. Als u de standaardsynchronisatieregels al hebt gewijzigd, raadpleegt u hoe u gewijzigde standaardregels in Microsoft Entra Connect kunt herstellen voordat u het upgradeproces start.

Tijdens de in-place upgrade worden er mogelijk wijzigingen geïntroduceerd waarvoor specifieke synchronisatieactiviteiten (inclusief volledige import en volledige synchronisatie) moeten worden uitgevoerd nadat de upgrade is voltooid. Als u dergelijke activiteiten wilt uitstellen, raadpleegt u de sectie Volledige synchronisatie uitstellen na de upgrade.

Als u Microsoft Entra Connect gebruikt met niet-standaardconnector (bijvoorbeeld Generic LDAP (Lightweight Directory Access Protocol) Connector en Generic SQL Connector, moet u de bijbehorende connectorconfiguratie vernieuwen in Synchronization Service Manager na de in-place upgrade. Raadpleeg de sectie Versiegeschiedenis van connectorversies voor probleemoplossing voor meer informatie over het vernieuwen van de connectorconfiguratie. Als u de configuratie niet vernieuwt, werken de stappen voor het importeren en exporteren van de uitvoering niet goed voor de connector. U ontvangt de volgende fout in het gebeurtenislogboek van de toepassing:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Swingmigratie

Voor sommige klanten kan een in-place upgrade een aanzienlijk risico vormen voor productie als er een probleem is tijdens het upgraden en de server niet kan worden teruggedraaid. Een enkele productieserver kan ook onpraktisch zijn omdat de initiële synchronisatiecyclus meerdere dagen kan duren en gedurende deze periode geen deltawijzigingen worden verwerkt.

De aanbevolen methode voor deze scenario's is het gebruik van een swingmigratie. U kunt deze methode ook gebruiken wanneer u het Windows Server-besturingssysteem moet upgraden of als u van plan bent om aanzienlijke wijzigingen aan te brengen in de configuratie van uw omgeving, die moeten worden getest voordat ze naar productie worden gepusht.

U hebt ten minste twee servers nodig - één actieve server en één faseringsserver. De actieve server (weergegeven met effen blauwe lijnen in het volgende diagram) is verantwoordelijk voor de actieve productiebelasting. De faseringsserver (weergegeven met onderbroken paarse lijnen) wordt voorbereid met de nieuwe release of configuratie. Wanneer deze gereed is, wordt deze server actief gemaakt. De vorige actieve server, waarop nu de verouderde versie of configuratie is geïnstalleerd, wordt veranderd in de faseringsserver en wordt bijgewerkt.

De twee servers kunnen verschillende versies gebruiken. De actieve server die u uit bedrijf wilt nemen, kan bijvoorbeeld Gebruikmaken van Azure AD Sync en de nieuwe faseringsserver kan Microsoft Entra Connect gebruiken. Als u swingmigratie gebruikt om een nieuwe configuratie te ontwikkelen, is het handig dat de twee servers dezelfde versies hebben.

Diagram van de faseringsserver.

Notitie

Sommige klanten hebben liever drie of vier servers voor dit scenario. Wanneer de faseringsserver wordt bijgewerkt, hebt u geen back-upserver voor herstel na noodgevallen. Met drie of vier servers kunt u één set primaire/stand-byservers voorbereiden met de bijgewerkte versie, die ervoor zorgt dat er altijd een faseringsserver is die klaar is om over te nemen.

Deze stappen werken ook om over te stappen van Azure AD Sync of een oplossing met MIM en de Microsoft Entra Connector. Deze stappen werken niet voor DirSync, maar dezelfde swingmigratiemethode (ook wel parallelle implementatie genoemd) met stappen voor DirSync is in Upgrade Azure Active Directory Sync (DirSync).

Een swingmigratie gebruiken voor een upgrade

  1. Als u slechts één Microsoft Entra Connect-server hebt, als u een upgrade uitvoert van AD Sync of een upgrade uitvoert van een oude versie, is het een goed idee om de nieuwe versie te installeren op een nieuwe Windows Server. Als u al twee Microsoft Entra Connect-servers hebt, moet u eerst de faseringsserver upgraden. en promoot de fasering tot actief. Het is raadzaam om altijd een paar actieve/faseringsservers met dezelfde versie te houden, maar dit is niet vereist.
  2. Als u een aangepaste configuratie hebt gemaakt en uw faseringsserver deze niet heeft, volgt u de stappen onder Een aangepaste configuratie van de actieve server naar de faseringsserver verplaatsen.
  3. Laat de synchronisatie-engine volledige import en volledige synchronisatie uitvoeren op uw faseringsserver.
  4. Controleer of de nieuwe configuratie geen onverwachte wijzigingen heeft veroorzaakt met behulp van de stappen onder ´Verifiëren´ in De configuratie van een server controleren. Als iets niet naar verwachting is, corrigeert u het, voert u een synchronisatiecyclus uit en controleert u de gegevens totdat het er goed uitziet.
  5. Voordat u de andere server bijwerkt, schakelt u over naar de faseringsmodus en promoveert u de faseringsserver naar de actieve server. Dit is de laatste stap 'Overschakelen van actieve server' in het proces om de configuratie van een server te verifiëren.
  6. Upgrade de server die zich nu in de faseringsmodus bevindt naar de nieuwste release. Volg dezelfde stappen als voorheen om de gegevens en configuratie te upgraden. Als u een upgrade uitvoert van Azure AD Sync, kunt u uw oude server nu uitschakelen en buiten gebruik stellen.

Notitie

Het is belangrijk om oude Microsoft Entra Connect-servers volledig buiten gebruik te stellen, omdat dit synchronisatieproblemen kan veroorzaken, moeilijk op te lossen, wanneer een oude synchronisatieserver zich in het netwerk bevindt of later opnieuw wordt ingeschakeld. Dergelijke 'rogue' servers overschrijven Microsoft Entra-gegevens meestal met de oude informatie, omdat ze mogelijk geen toegang meer hebben tot on-premises Active Directory (bijvoorbeeld wanneer het computeraccount is verlopen, het wachtwoord van het connectoraccount is gewijzigd, enzovoort), maar ze kunnen nog steeds verbinding maken met Microsoft Entra-id en ervoor zorgen dat kenmerkwaarden voortdurend worden teruggezet in elke synchronisatiecyclus (bijvoorbeeld om de 30 minuten). Als u een Microsoft Entra Connect-server volledig buiten gebruik wilt stellen, moet u het product en de bijbehorende onderdelen volledig verwijderen of de server permanent verwijderen als het een virtuele machine is.

Een aangepaste configuratie van de actieve server naar de faseringsserver verplaatsen

Als u configuratiewijzigingen hebt aangebracht op de actieve server, moet u ervoor zorgen dat dezelfde wijzigingen worden toegepast op de nieuwe faseringsserver. Voor hulp bij deze verplaatsing kunt u de functie gebruiken voor het exporteren en importeren van synchronisatie-instellingen. Met deze functie kunt u in een paar stappen een nieuwe faseringsserver implementeren, met exact dezelfde instellingen als een andere Microsoft Entra Connect-server in uw netwerk.

Afzonderlijke aangepaste synchronisatieregels verplaatsen

Voor afzonderlijke aangepaste synchronisatieregels die u hebt gemaakt, kunt u deze verplaatsen met behulp van PowerShell. Als u andere wijzigingen op beide systemen op dezelfde manier moet toepassen en u de wijzigingen niet kunt migreren, moet u mogelijk handmatig de volgende configuraties uitvoeren op beide servers:

  • Verbinding met dezelfde forests
  • Eventuele domein- en OE-filters
  • Dezelfde optionele functies, zoals wachtwoordsynchronisatie en wachtwoord terugschrijven

Aangepaste synchronisatieregels kopiëren
Ga als volgt te werk om aangepaste synchronisatieregels naar een andere server te kopiëren:

  1. Open de Synchronization Rules Editor op uw actieve server.

  2. Selecteer een aangepast model. Klik op exporteren. Er wordt een Kladblok-venster geopend. Sla het tijdelijke bestand op met een PS1-extensie. Hiermee wordt het een PowerShell-script. Kopieer het PS1-bestand naar de faseringsserver.

    Schermopname van het exportvenster van de editor voor synchronisatieregels.

  3. De GUID van de connector (globally unique identifier) verschilt op de faseringsserver en u moet deze wijzigen. Als u de GUID wilt ophalen, start u de Synchronization Rules Editor, selecteert u een van de kant-en-klare regels die hetzelfde verbonden systeem vertegenwoordigen en klikt u op Exporteren. Vervang de GUID in uw PS1-bestand door de GUID van de faseringsserver.

  4. Voer in een PowerShell-prompt het PS1-bestand uit. Hiermee maakt u de aangepaste synchronisatieregel op de faseringsserver.

  5. Herhaal dit voor al uw aangepaste regels.

Volledige synchronisatie uitstellen na de upgrade

Tijdens de in-place upgrade worden er mogelijk wijzigingen geïntroduceerd waarvoor specifieke synchronisatieactiviteiten (inclusief volledige import en volledige synchronisatie) moeten worden uitgevoerd. Voor wijzigingen in connectorschema's is bijvoorbeeld volledige import vereist en voor wijzigingen in kant-en-klare synchronisatieregels is volledige synchronisatie op de betrokken connectors vereist. Tijdens de upgrade bepaalt Microsoft Entra Connect welke synchronisatieactiviteiten vereist zijn en registreert deze als onderdrukkingen. In de volgende synchronisatiecyclus worden deze overschrijvingen door de synchronisatieplanner opgehaald en uitgevoerd. Zodra een onderdrukking is uitgevoerd, wordt deze verwijderd.

In bepaalde situaties wilt u mogelijk niet dat deze overschrijvingen direct na de upgrade plaatsvinden. U hebt bijvoorbeeld talloze gesynchroniseerde objecten en u wilt dat deze synchronisatiestappen plaatsvinden na kantooruren. Ga als volgt te werk om deze overschrijvingen te verwijderen:

  1. Schakel tijdens de upgrade de optie Het synchronisatieproces starten wanneer de configuratie is voltooid uit. Hierdoor wordt de synchronisatieplanner uitgeschakeld en wordt voorkomen dat de synchronisatiecyclus automatisch wordt uitgevoerd voordat de overschrijvingen zijn verwijderd.

    Schermopname waarin de optie 'Het synchronisatieproces starten wanneer de configuratie is voltooid' die u moet uitschakelen is gemarkeerd.

  2. Nadat de upgrade is voltooid, voert u de volgende cmdlet uit om erachter te komen welke overschrijvingen er zijn toegevoegd: Get-ADSyncSchedulerConnectorOverride | fl

    Notitie

    De onderdrukkingen zijn connectorspecifiek. In het volgende voorbeeld zijn de stap Volledig importeren en de volledige synchronisatiestap toegevoegd aan zowel de on-premises AD-connector als de Microsoft Entra-connector.

    DisableFullSyncAfterUpgrade

  3. Noteer de bestaande overschrijvingen die zijn toegevoegd.

  4. Als u de overschrijvingen voor zowel volledige import als volledige synchronisatie op een willekeurige connector wilt verwijderen, voert u de volgende cmdlet uit: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Als u de overschrijvingen voor alle connectors wilt verwijderen, voert u het volgende PowerShell-script uit:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Voer de volgende cmdlet uit om de planner te hervatten: Set-ADSyncScheduler -SyncCycleEnabled $true

    Belangrijk

    Vergeet niet om de vereiste synchronisatiestappen zo snel mogelijk uit te voeren. U kunt deze stappen handmatig uitvoeren met de Synchronization Service Manager of de overschrijvingen opnieuw toevoegen met behulp van de cmdlet Set-ADSyncSchedulerConnectorOverride.

Als u de overschrijvingen voor zowel volledige import als volledige synchronisatie aan een willekeurige connector wilt toevoegen, voert u de volgende cmdlet uit: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Het besturingssysteem van de server bijwerken

Als u het besturingssysteem van uw Microsoft Entra Connect-server moet upgraden, is de aanbevolen methode om een nieuwe server met het gewenste besturingssysteem voor te bereiden en een swingmigratie uit te voeren.

Als dit echter niet mogelijk is, worden de volgende in-place besturingssysteemupgrades ondersteund.

Intial OS Ondersteund in-place upgrade-besturingssysteem
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Probleemoplossing

De volgende sectie bevat probleemoplossing en informatie die u kunt gebruiken als u een probleem ondervindt met het upgraden van Microsoft Entra Connect.

Fout in Microsoft Entra Connect-connector ontbreekt tijdens de upgrade van Microsoft Entra Connect

Wanneer u Microsoft Entra Connect bijwerken vanaf een eerdere versie, wordt mogelijk de volgende fout aan het begin van de upgrade weergegeven:

Error

Deze fout treedt op omdat de Microsoft Entra-connector met id b891884f-051e-4a83-95af-2544101c9083 niet bestaat in de huidige Microsoft Entra Connect-configuratie. Als u wilt controleren of dit het geval is, opent u een PowerShell-venster en voert u de cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083 uit

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

De PowerShell-cmdlet geeft de fout de opgegeven MA kan niet worden gevonden.

Deze fout treedt op omdat de huidige Configuratie van Microsoft Entra Connect niet wordt ondersteund voor de upgrade.

Als u een nieuwere versie van Microsoft Entra Connect wilt installeren: sluit de wizard Microsoft Entra Connect, verwijder de bestaande Microsoft Entra Connect en voer een schone installatie uit van de nieuwere Microsoft Entra Connect.

Volgende stappen

Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra ID.