Microsoft Entra Connect: uaktualnianie z wcześniejszej wersji do najnowszej

  • Artykuł

Ważne

Zamiast uaktualniać do najnowszej wersji programu Microsoft Entra Połączenie, sprawdź, czy synchronizacja w chmurze jest odpowiednia dla Ciebie. Aby uzyskać więcej informacji, oceń opcje przy użyciu Kreatora w celu oceny opcji synchronizacji

W tym temacie opisano różne metody, których można użyć do uaktualnienia instalacji usługi Microsoft Entra Połączenie do najnowszej wersji. Firma Microsoft zaleca wykonanie czynności opisanych w sekcji Migracja huśtawka w przypadku wprowadzenia znacznej zmiany konfiguracji lub uaktualnienia ze starszych wersji 1.x.

Uwaga

Ważne jest, aby serwery były aktualne w najnowszych wersjach programu Microsoft Entra Połączenie. Stale wprowadzamy uaktualnienia do Połączenie firmy Microsoft, a te uaktualnienia obejmują poprawki problemów z zabezpieczeniami i usterek, a także możliwości obsługi, wydajności i skalowalności. Aby zobaczyć, jaka jest najnowsza wersja, i dowiedzieć się, jakie zmiany zostały wprowadzone między wersjami, zapoznaj się z historią wersji

Wszystkie wersje starsze niż Microsoft Entra Połączenie V2 są obecnie przestarzałe. Aby uzyskać więcej informacji, zobacz Wprowadzenie do usługi Microsoft Entra Połączenie v2. Obecnie obsługiwane jest uaktualnienie z dowolnej wersji programu Microsoft Entra Połączenie do bieżącej wersji. Uaktualnienia w miejscu narzędzia DirSync lub ADSync nie są obsługiwane i wymagana jest migracja huśtawka. Jeśli chcesz uaktualnić narzędzie DirSync, zobacz Uaktualnianie z narzędzia Azure AD Sync (DirSync) lub sekcję Migracja huśtawka.

W praktyce klienci korzystający ze starych wersji mogą napotkać problemy, które nie są bezpośrednio związane z firmą Microsoft Entra Połączenie. Serwery, które są w środowisku produkcyjnym od kilku lat, zwykle miały kilka poprawek zastosowanych do nich, a nie wszystkie z nich można uwzględnić. Klienci, którzy nie uaktualnili w ciągu 12-18 miesięcy (około 1 i pół roku), powinni rozważyć uaktualnienie huśtawka, ponieważ jest to najbardziej konserwatywna i najmniej ryzykowna opcja.

Istnieje kilka różnych strategii, których można użyć do uaktualnienia Połączenie firmy Microsoft.

Metoda Opis Zalety Wady
Uaktualnianie automatyczne Jest to najprostsza metoda dla klientów z instalacją ekspresową - Brak interwencji ręcznej — Wersja automatycznego uaktualniania może nie zawierać najnowszych funkcji
Uaktualnienie w miejscu Jeśli masz jeden serwer, możesz uaktualnić instalację w miejscu na tym samym serwerze - Nie wymaga innego serwera

 — Jeśli podczas uaktualniania w miejscu występuje problem, nie można wycofać nowej wersji lub konfiguracji i zmienić aktywnego serwera, gdy wszystko będzie gotowe

Migracja huśtawka Przed przełączeniem można utworzyć nowy zaktualizowany serwer na bok - Sejf stą metodę i łagodniejsze przejście do nowszej wersji
— Obsługuje uaktualnianie systemu operacyjnego Windows (systemy operacyjne)
— Synchronizacja nie jest przerywana i nie nakłada ryzyka na produkcję		 — Wymaga instalacji na osobnym serwerze

Aby uzyskać informacje o uprawnieniach, zobacz uprawnienia wymagane do uaktualnienia.

Uwaga

Po włączeniu nowego serwera Microsoft Entra Połączenie, aby rozpocząć synchronizowanie zmian z identyfikatorem Entra firmy Microsoft, nie można cofnąć korzystania z narzędzia DirSync ani usługi Azure AD Sync. Obniżanie z usługi Microsoft Entra Połączenie do starszych klientów, w tym dirSync i Azure AD Sync, nie jest obsługiwane i może prowadzić do problemów, takich jak utrata danych w identyfikatorze Entra firmy Microsoft.

Uaktualnienie w miejscu

Uaktualnienie w miejscu działa w celu przejścia z usługi Azure AD Sync lub microsoft Entra Połączenie. Nie działa w przypadku przenoszenia z narzędzia DirSync.

Ta metoda jest preferowana, jeśli masz jeden serwer i mniej niż około 100 000 obiektów. Jeśli po uaktualnieniu zostaną wprowadzone jakiekolwiek zmiany w regułach synchronizacji gotowej do użycia, nastąpi pełna synchronizacja importu i pełna synchronizacja. Ta metoda gwarantuje, że nowa konfiguracja zostanie zastosowana do wszystkich istniejących obiektów w systemie. Ten przebieg może potrwać kilka godzin, w zależności od liczby obiektów, które znajdują się w zakresie aparatu synchronizacji. Normalny harmonogram synchronizacji różnic (który domyślnie synchronizuje się co 30 minut) jest zawieszony, ale synchronizacja haseł jest kontynuowana. W weekend warto rozważyć przeprowadzenie uaktualnienia w miejscu. Jeśli nie ma żadnych zmian w konfiguracji gotowej do użycia z nową wersją microsoft Entra Połączenie, zamiast tego rozpocznie się normalny import/synchronizacja różnicowa.

In-place upgrade

Jeśli wprowadzono zmiany w wbudowanych regułach synchronizacji, te reguły są ustawione z powrotem na domyślną konfigurację podczas uaktualniania. Aby upewnić się, że konfiguracja jest zachowywana między uaktualnieniami, upewnij się, że wprowadzono zmiany zgodnie z opisem w artykule Najlepsze rozwiązania dotyczące zmiany konfiguracji domyślnej. Jeśli reguły synchronizacji domyślne zostały już zmienione, zobacz, jak naprawić zmodyfikowane reguły domyślne w usłudze Microsoft Entra Połączenie przed rozpoczęciem procesu uaktualniania.

Podczas uaktualniania w miejscu mogą zostać wprowadzone zmiany, które wymagają wykonania określonych działań synchronizacji (w tym kroku pełnej synchronizacji i kroku pełnej synchronizacji) po zakończeniu uaktualniania. Aby odroczyć takie działania, zapoznaj się z sekcją Jak odroczyć pełną synchronizację po uaktualnieniu.

Jeśli używasz Połączenie firmy Microsoft z łącznikiem niestandardowym (na przykład generic LDAP (Lightweight Directory Access Protocol) Połączenie or i generic SQL Połączenie or), należy odświeżyć odpowiednią konfigurację łącznika w programie Synchronization Service Manager po uaktualnieniu w miejscu. Aby uzyskać szczegółowe informacje na temat odświeżania konfiguracji łącznika, zapoznaj się z sekcją artykułu Połączenie lub Historia wersji — rozwiązywanie problemów. Jeśli konfiguracja nie zostanie odświeżona, kroki importowania i eksportowania przebiegu nie będą działać poprawnie dla łącznika. W dzienniku zdarzeń aplikacji zostanie wyświetlony następujący błąd:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migracja typu swing

W przypadku niektórych klientów uaktualnienie w miejscu może nałożyć znaczne ryzyko dla środowiska produkcyjnego w przypadku wystąpienia problemu podczas uaktualniania i nie można wycofać serwera. Pojedynczy serwer produkcyjny może być również niepraktyczny, ponieważ cykl synchronizacji początkowej może potrwać wiele dni, a w tym czasie nie są przetwarzane żadne zmiany różnicowe.

Zalecaną metodą dla tych scenariuszy jest użycie migracji typu swing. Można również użyć tej metody, gdy konieczne jest uaktualnienie systemu operacyjnego Windows Server lub zaplanowanie wprowadzenia znaczących zmian w konfiguracji środowiska, które należy przetestować przed ich wypchnięciem do środowiska produkcyjnego.

Potrzebne są (co najmniej) dwa serwery — jeden aktywny serwer i jeden serwer przejściowy. Aktywny serwer (pokazany z niebieskimi liniami na poniższym diagramie) jest odpowiedzialny za aktywne obciążenie produkcyjne. Serwer przejściowy (pokazany z przerywanymi fioletowymi liniami) jest przygotowany przy użyciu nowej wersji lub konfiguracji. Gdy jest on w pełni gotowy, ten serwer jest aktywowany. Poprzedni aktywny serwer, który ma zainstalowaną nieaktualną wersję lub konfigurację, jest wprowadzany za serwer przejściowy i uaktualniany.

Dwa serwery mogą używać różnych wersji. Na przykład aktywny serwer, który planujesz zlikwidować, może korzystać z usługi Azure AD Sync, a nowy serwer przejściowy może używać usługi Microsoft Entra Połączenie. Jeśli używasz migracji swing do tworzenia nowej konfiguracji, dobrym pomysłem jest posiadanie tych samych wersji na dwóch serwerach.

Diagram of the staging server.

Uwaga

Niektórzy klienci wolą mieć trzy lub cztery serwery w tym scenariuszu. Po uaktualnieniu serwera przejściowego nie masz serwera kopii zapasowej na potrzeby odzyskiwania po awarii. W przypadku trzech lub czterech serwerów można przygotować jeden zestaw serwerów podstawowych/rezerwowych ze zaktualizowaną wersją, co gwarantuje, że zawsze istnieje serwer przejściowy, który jest gotowy do przejęcia.

Te kroki również działają, aby przejść z usługi Azure AD Sync lub rozwiązania z programem MIM i aplikacją Microsoft Entra Połączenie or. Te kroki nie działają w przypadku narzędzia DirSync, ale ta sama metoda migracji swing (nazywana również wdrażaniem równoległym) z krokami narzędzia DirSync znajduje się w temacie Uaktualnianie usługi Azure Active Directory Sync (DirSync).

Uaktualnianie przy użyciu migracji swing

  1. Jeśli masz tylko jeden serwer Microsoft Entra Połączenie, jeśli przeprowadzasz uaktualnienie z usługi AD Sync lub uaktualniasz ze starej wersji, dobrym pomysłem jest zainstalowanie nowej wersji w nowym systemie Windows Server. Jeśli masz już dwa serwery microsoft Entra Połączenie, najpierw uaktualnij serwer przejściowy. i podwyższyć poziom przemieszczania do aktywnego. Zaleca się, aby zawsze przechowywać parę aktywnych/przejściowych serwerów z tą samą wersją, ale nie jest to wymagane.
  2. Jeśli utworzono konfigurację niestandardową, a serwer przejściowy go nie ma, wykonaj kroki opisane w sekcji Przenoszenie konfiguracji niestandardowej z aktywnego serwera do serwera przejściowego.
  3. Pozwól, aby aparat synchronizacji uruchamiał pełny import i pełną synchronizację na serwerze przejściowym.
  4. Sprawdź, czy nowa konfiguracja nie spowodowała żadnych nieoczekiwanych zmian, wykonując kroki opisane w sekcji „Weryfikuj” w temacie Weryfikowanie konfiguracji serwera. Jeśli coś nie jest zgodne z oczekiwaniami, popraw to, uruchom cykl synchronizacji i zweryfikuj dane, dopóki nie wygląda to dobrze.
  5. Przed uaktualnieniem drugiego serwera przełącz go do trybu przejściowego i podwyższ poziom serwera przejściowego, aby był aktywnym serwerem. Jest to ostatni krok "Przełącz aktywny serwer" w procesie w celu zweryfikowania konfiguracji serwera.
  6. Uaktualnij serwer, który jest teraz w trybie przejściowym, do najnowszej wersji. Wykonaj te same kroki co poprzednio, aby uzyskać uaktualnione dane i konfigurację. W przypadku uaktualniania z usługi Azure AD Sync możesz teraz wyłączyć i zlikwidować stary serwer.

Uwaga

Ważne jest, aby w pełni zlikwidować stare serwery microsoft Entra Połączenie, ponieważ mogą to powodować problemy z synchronizacją, trudne do rozwiązania, gdy stary serwer synchronizacji pozostanie w sieci lub jest ponownie obsługiwany później przez pomyłkę. Takie "nieautoryzowane" serwery mają tendencję do zastępowania danych firmy Microsoft Entra ze starymi informacjami, ponieważ mogą już nie mieć dostępu do lokalna usługa Active Directory (na przykład gdy konto komputera wygasło, hasło konta łącznika zostało zmienione itp.), ale nadal może łączyć się z identyfikatorem Entra firmy Microsoft i powodować ciągłe przywracanie wartości atrybutów w każdym cyklu synchronizacji (na przykład co 30 minut). Aby w pełni zlikwidować serwer Microsoft Entra Połączenie, upewnij się, że całkowicie odinstalujesz produkt i jego składniki lub trwale usuń serwer, jeśli jest to maszyna wirtualna.

Przenoszenie konfiguracji niestandardowej z aktywnego serwera do serwera przejściowego

Jeśli wprowadzono zmiany konfiguracji na aktywnym serwerze, należy upewnić się, że te same zmiany są stosowane do nowego serwera przejściowego. Aby pomóc w tym przeniesieniu, możesz użyć funkcji eksportowania i importowania ustawień synchronizacji. Dzięki tej funkcji można wdrożyć nowy serwer przejściowy w kilku krokach, z dokładnie tymi samymi ustawieniami co inny serwer Microsoft Entra Połączenie w sieci.

Przenoszenie poszczególnych niestandardowych reguł synchronizacji

W przypadku indywidualnych utworzonych niestandardowych reguł synchronizacji można je przenieść przy użyciu programu PowerShell. Jeśli musisz zastosować inne zmiany w taki sam sposób w obu systemach i nie można przeprowadzić migracji zmian, może być konieczne ręczne wykonanie następujących konfiguracji na obu serwerach:

  • Połączenie do tych samych lasów
  • Filtrowanie dowolnej domeny i jednostki organizacyjnej
  • Te same funkcje opcjonalne, takie jak synchronizacja haseł i zapisywanie zwrotne haseł

Kopiowanie niestandardowych reguł synchronizacji
Aby skopiować niestandardowe reguły synchronizacji na inny serwer, wykonaj następujące czynności:

  1. Otwórz Edytor reguł synchronizacji na aktywnym serwerze.

  2. Wybierz regułę niestandardową. Kliknij przycisk wyeksportować. Spowoduje to wyświetlenie okna Notatnik. Zapisz plik tymczasowy przy użyciu rozszerzenia PS1. Dzięki temu skrypt programu PowerShell jest uruchamiany. Skopiuj plik PS1 na serwer przejściowy.

    Screenshot showing the synchronization rules editor export window.

  3. Identyfikator GUID Połączenie or (unikatowy identyfikator globalny) różni się na serwerze przejściowym i musisz go zmienić. Aby uzyskać identyfikator GUID, uruchom Edytor reguł synchronizacji, wybierz jedną z wbudowanych reguł reprezentujących ten sam połączony system, a następnie kliknij przycisk Eksportuj. Zastąp identyfikator GUID w pliku PS1 identyfikatorem GUID z serwera przejściowego.

  4. W wierszu polecenia programu PowerShell uruchom plik PS1. Spowoduje to utworzenie niestandardowej reguły synchronizacji na serwerze przejściowym.

  5. Powtórz to dla wszystkich reguł niestandardowych.

Jak odroczyć pełną synchronizację po uaktualnieniu

Podczas uaktualniania w miejscu mogą zostać wprowadzone zmiany, które wymagają wykonania określonych działań synchronizacji (w tym kroku pełnego importu i kroku pełnej synchronizacji). Na przykład zmiany schematu łącznika wymagają pełnego kroku importowania i wprowadzania wbudowanych zmian reguł synchronizacji wymagają wykonania pełnego kroku synchronizacji na łącznikach, których dotyczy problem. Podczas uaktualniania firma Microsoft Entra Połączenie określa, jakie działania synchronizacji są wymagane i rejestruje je jako przesłonięcia. W poniższym cyklu synchronizacji harmonogram synchronizacji pobiera te przesłonięcia i wykonuje je. Po pomyślnym wykonaniu przesłonięcia zostanie ono usunięte.

Mogą wystąpić sytuacje, w których nie chcesz, aby te przesłonięcia odbywały się natychmiast po uaktualnieniu. Na przykład masz wiele zsynchronizowanych obiektów i chcesz, aby te kroki synchronizacji miały miejsce po godzinach pracy. Aby usunąć te przesłonięcia:

  1. Podczas uaktualniania usuń zaznaczenie opcji Uruchom proces synchronizacji po zakończeniu konfiguracji. Spowoduje to wyłączenie harmonogramu synchronizacji i uniemożliwia automatyczne wykonywanie cyklu synchronizacji przed usunięciem przesłonięć.

    Screenshot that highlights the Start the synchronization process when configuration completes option that you need to clear.

  2. Po zakończeniu uaktualniania uruchom następujące polecenie cmdlet, aby dowiedzieć się, jakie przesłonięcia zostały dodane: Get-ADSyncSchedulerConnectorOverride | fl

    Uwaga

    Zastąpienia są specyficzne dla łącznika. W poniższym przykładzie krok pełnego importu i krok pełnej synchronizacji zostały dodane zarówno do lokalnej usługi AD Połączenie or, jak i usługi Microsoft Entra Połączenie or.

    DisableFullSyncAfterUpgrade

  3. Zanotuj istniejące przesłonięcia, które zostały dodane.

  4. Aby usunąć przesłonięcia dla pełnej synchronizacji importu i pełnej dla dowolnego łącznika, uruchom następujące polecenie cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Aby usunąć przesłonięcia dla wszystkich łączników, wykonaj następujący skrypt programu PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Aby wznowić harmonogram, uruchom następujące polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

    Ważne

    Pamiętaj, aby wykonać wymagane kroki synchronizacji najwcześniejszej wygody. Te kroki można wykonać ręcznie przy użyciu programu Synchronization Service Manager lub dodać przesłonięcia z powrotem przy użyciu polecenia cmdlet Set-ADSyncScheduler Połączenie orOverride.

Aby dodać przesłonięcia dla pełnej synchronizacji importu i pełnej w dowolnym łączniku, uruchom następujące polecenie cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Uaktualnianie systemu operacyjnego serwera

Jeśli musisz uaktualnić system operacyjny serwera Microsoft Entra Połączenie, nie należy używać uaktualnienia systemu operacyjnego (operacyjnego) w miejscu. Zamiast tego przygotuj nowy serwer z odpowiednim systemem operacyjnym i przeprowadź migrację huśtawka.

Rozwiązywanie problemów

Poniższa sekcja zawiera informacje dotyczące rozwiązywania problemów i informacje, których można użyć w przypadku wystąpienia problemu podczas uaktualniania Połączenie firmy Microsoft.

Brak błędu łącznika Microsoft Entra podczas uaktualniania Połączenie firmy Microsoft

Podczas uaktualniania Połączenie firmy Microsoft z poprzedniej wersji może wystąpić następujący błąd na początku uaktualnienia:

Error

Ten błąd występuje, ponieważ łącznik Microsoft Entra z identyfikatorem b891884f-051e-4a83-95af-2544101c9083 nie istnieje w bieżącej konfiguracji microsoft Entra Połączenie. Aby sprawdzić, czy tak jest, otwórz okno programu PowerShell, uruchom polecenie cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Polecenie cmdlet programu PowerShell zgłasza błąd nie można odnaleźć określonego narzędzia MA.

Ten błąd występuje, ponieważ bieżąca konfiguracja Połączenie firmy Microsoft nie jest obsługiwana w celu uaktualnienia.

Jeśli chcesz zainstalować nowszą wersję programu Microsoft Entra Połączenie: zamknij kreatora microsoft Entra Połączenie, odinstaluj istniejącą Połączenie firmy Microsoft Entra i wykonaj czystą instalację nowszej Połączenie Microsoft Entra.

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.