Microsoft Entra Connect: Uppgradera från en tidigare version till den senaste

  • Artikel

Viktigt!

I stället för att uppgradera till den senaste versionen av Microsoft Entra Anslut kan du se om molnsynkronisering passar dig. Mer information finns i utvärdera dina alternativ med hjälp av guiden för att utvärdera synkroniseringsalternativ

Det här avsnittet beskriver de olika metoder som du kan använda för att uppgradera din Microsoft Entra-Anslut installation till den senaste versionen. Microsoft rekommenderar att du använder stegen i avsnittet Swing-migrering när du gör en betydande konfigurationsändring eller uppgradering från äldre 1.x-versioner.

Kommentar

Det är viktigt att du håller dina servrar aktuella med de senaste versionerna av Microsoft Entra Anslut. Vi gör ständigt uppgraderingar till Microsoft Entra Anslut, och dessa uppgraderingar omfattar korrigeringar av säkerhetsproblem och buggar, samt förbättringar av servicebarhet, prestanda och skalbarhet. Om du vill se vad den senaste versionen är och om du vill veta vilka ändringar som har gjorts mellan versioner kan du läsa versionshistoriken

Alla versioner som är äldre än Microsoft Entra Anslut V2 är för närvarande inaktuella. Mer information finns i Introduktion till Microsoft Entra Anslut V2. Det stöds för närvarande för att uppgradera från alla versioner av Microsoft Entra Anslut till den aktuella versionen. Uppgraderingar på plats av DirSync eller ADSync stöds inte och en svängmigrering krävs. Om du vill uppgradera från DirSync läser du Uppgradera från Azure AD Sync-verktyget (DirSync) eller avsnittet Swing-migrering .

I praktiken kan kunder i gamla versioner stöta på problem som inte är direkt relaterade till Microsoft Entra Anslut. Servrar som har varit i produktion i flera år har vanligtvis haft flera korrigeringar tillämpade på dem och alla dessa kan inte redovisas. Kunder som inte har uppgraderat på 12-18 månader (cirka 1 och ett halvt år) bör överväga en swinguppgradering istället eftersom detta är det mest konservativa och minst riskfyllda alternativet.

Det finns några olika strategier som du kan använda för att uppgradera Microsoft Entra Anslut.

Metod Beskrivning Fördelar Nackdelar
Automatisk uppgradering Det här är den enklaste metoden för kunder med en expressinstallation – Inga manuella åtgärder – Den automatiska uppgraderingsversionen kanske inte innehåller de senaste funktionerna
Uppgradering på plats Om du har en enda server kan du uppgradera installationen på plats på samma server – Kräver inte någon annan server

 – Om det uppstår ett problem vid uppgradering på plats kan du inte återställa den nya versionen eller konfigurationen och ändra den aktiva servern när du är redo

Swing-migrering Du kan skapa en ny uppdaterad server åt sidan innan du byter - Valv ste metoden och smidigare övergång till en nyare version
– Stöder uppgradering av Windows OS (operativsystem)
– Synkroniseringen avbryts inte och medför ingen risk för produktionen		 – Kräver installation på en separat server

Information om behörigheter finns i behörigheter som krävs för en uppgradering.

Kommentar

När du har aktiverat din nya Microsoft Entra-Anslut-server för att börja synkronisera ändringar i Microsoft Entra-ID får du inte återställa till att använda DirSync eller Azure AD Sync. Nedgradering från Microsoft Entra Anslut till äldre klienter, inklusive DirSync och Azure AD Sync, stöds inte och kan leda till problem som dataförlust i Microsoft Entra-ID.

Uppgradering på plats

En uppgradering på plats fungerar för att flytta från Azure AD Sync eller Microsoft Entra Anslut. Det fungerar inte för att flytta från DirSync.

Den här metoden rekommenderas när du har en enskild server och mindre än cirka 100 000 objekt. Om det finns några ändringar i de färdiga synkroniseringsreglerna sker en fullständig import och fullständig synkronisering efter uppgraderingen. Den här metoden säkerställer att den nya konfigurationen tillämpas på alla befintliga objekt i systemet. Den här körningen kan ta några timmar, beroende på antalet objekt som ingår i synkroniseringsmotorns omfång. Den normala deltasynkroniseringsschemaläggaren (som synkroniserar var 30:e minut som standard) pausas, men lösenordssynkroniseringen fortsätter. Du kan överväga att göra uppgraderingen på plats under helgen. Om det inte finns några ändringar i den färdiga konfigurationen med den nya Versionen av Microsoft Entra Anslut startar en normal deltaimport/synkronisering i stället.

In-place upgrade

Om du har gjort ändringar i de färdiga synkroniseringsreglerna ställs dessa regler tillbaka till standardkonfigurationen vid uppgraderingen. Kontrollera att konfigurationen sparas mellan uppgraderingarna genom att se till att du gör ändringar på det sätt som beskrivs i Metodtips för att ändra standardkonfigurationen. Om du redan har ändrat standardsynkroniseringsreglerna kan du se hur du åtgärdar ändrade standardregler i Microsoft Entra Anslut innan du påbörjar uppgraderingsprocessen.

Under uppgraderingen på plats kan det finnas ändringar som kräver att specifika synkroniseringsaktiviteter (inklusive steget Fullständig import och Fullständig synkronisering) körs när uppgraderingen har slutförts. Om du vill skjuta upp sådana aktiviteter läser du avsnittet Så här skjuter du upp fullständig synkronisering efter uppgraderingen.

Om du använder Microsoft Entra Anslut med icke-standardanslutningsprogram (till exempel Generic LDAP (Lightweight Directory Access Protocol) Anslut or och Generic SQL Anslut or) måste du uppdatera motsvarande anslutningskonfiguration i Synkroniseringstjänsthanteraren efter uppgraderingen på plats. Mer information om hur du uppdaterar anslutningskonfigurationen finns i artikeln Anslut eller Versionshistorik för version – Felsökning. Om du inte uppdaterar konfigurationen fungerar inte körningsstegen för import och export korrekt för anslutningsappen. Du får följande fel i programhändelseloggen:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Swingmigrering

För vissa kunder kan en uppgradering på plats medföra en betydande risk för produktionen om det uppstår ett problem vid uppgradering och servern inte kan återställas. En enskild produktionsserver kan också vara opraktisk eftersom den inledande synkroniseringscykeln kan ta flera dagar, och under den här tiden bearbetas inga deltaändringar.

Den rekommenderade metoden för dessa scenarier är att använda en swingmigrering. Du kan också använda den här metoden när du behöver uppgradera Windows Server-operativsystemet, eller om du planerar att göra betydande ändringar i din miljökonfiguration, som måste testas innan de skickas till produktion.

Du behöver (minst) två servrar – en aktiv server och en mellanlagringsserver. Den aktiva servern (visas med helblå linjer i följande diagram) ansvarar för den aktiva produktionsbelastningen. Mellanlagringsservern (visas med streckade lila linjer) förbereds med den nya versionen eller konfigurationen. När den är helt klar aktiveras den här servern. Den tidigare aktiva servern, som nu har den inaktuella versionen eller konfigurationen installerad, görs till mellanlagringsservern och uppgraderas.

De två servrarna kan använda olika versioner. Den aktiva server som du planerar att inaktivera kan till exempel använda Azure AD Sync, och den nya mellanlagringsservern kan använda Microsoft Entra Anslut. Om du använder swingmigrering för att utveckla en ny konfiguration är det en bra idé att ha samma versioner på de två servrarna.

Diagram of the staging server.

Kommentar

Vissa kunder föredrar att ha tre eller fyra servrar för det här scenariot. När mellanlagringsservern uppgraderas har du ingen säkerhetskopieringsserver för haveriberedskap. Med tre eller fyra servrar kan du förbereda en uppsättning primära/väntelägesservrar med den uppdaterade versionen, vilket säkerställer att det alltid finns en mellanlagringsserver som är redo att ta över.

De här stegen fungerar också för att flytta från Azure AD Sync eller en lösning med MIM och Microsoft Entra-Anslut eller. De här stegen fungerar inte för DirSync, men samma swingmigreringsmetod (kallas även parallell distribution) med stegen för DirSync i Uppgradera Azure Active Directory Sync (DirSync).

Använda en swingmigrering för att uppgradera

  1. Om du bara har en Microsoft Entra-Anslut-server, om du uppgraderar från AD Sync eller uppgraderar från en gammal version, är det en bra idé att installera den nya versionen på en ny Windows Server. Om du redan har två Microsoft Entra-Anslut servrar uppgraderar du mellanlagringsservern först. och befordra mellanlagringen till aktiv. Vi rekommenderar att du alltid har ett par aktiva/mellanlagringsservrar som kör samma version, men det krävs inte.
  2. Om du har gjort en anpassad konfiguration och mellanlagringsservern inte har den följer du stegen under Flytta en anpassad konfiguration från den aktiva servern till mellanlagringsservern.
  3. Låt synkroniseringsmotorn köra fullständig import och fullständig synkronisering på mellanlagringsservern.
  4. Kontrollera att den nya konfigurationen inte orsakar några oväntade ändringar med hjälp av stegen under ”Verifiera” i Verifiera konfigurationen av en server. Om något inte är som förväntat korrigerar du det, kör en synkroniseringscykel och verifierar data tills det ser bra ut.
  5. Innan du uppgraderar den andra servern växlar du den till mellanlagringsläge och befordrar mellanlagringsservern till den aktiva servern. Det här är det sista steget "Växla aktiv server" i processen för att verifiera konfigurationen av en server.
  6. Uppgradera servern som nu är i mellanlagringsläge till den senaste versionen. Följ samma steg som tidigare för att uppgradera data och konfiguration. Om du uppgraderar från Azure AD Sync kan du nu inaktivera och inaktivera den gamla servern.

Kommentar

Det är viktigt att helt inaktivera gamla Microsoft Entra-Anslut servrar eftersom dessa kan orsaka synkroniseringsproblem, svåra att felsöka, när en gammal synkroniseringsserver lämnas kvar i nätverket eller startas igen senare av misstag. Sådana "oseriösa" servrar tenderar att skriva över Microsoft Entra-data med sin gamla information eftersom de kanske inte längre kan komma åt lokal Active Directory (till exempel när datorkontot har upphört att gälla, lösenordet för anslutningskontot har ändrats osv.), men kan fortfarande ansluta till Microsoft Entra-ID och orsaka att attributvärdena kontinuerligt återställs i varje synkroniseringscykel (till exempel var 30:e minut). Om du vill inaktivera en Microsoft Entra-Anslut-server helt avinstallerar du produkten och dess komponenter eller tar bort servern permanent om det är en virtuell dator.

Flytta en anpassad konfiguration från den aktiva servern till mellanlagringsservern

Om du har gjort konfigurationsändringar på den aktiva servern måste du se till att samma ändringar tillämpas på den nya mellanlagringsservern. Om du vill hjälpa till med den här flytten kan du använda funktionen för att exportera och importera synkroniseringsinställningar. Med den här funktionen kan du distribuera en ny mellanlagringsserver i några få steg, med exakt samma inställningar som en annan Microsoft Entra-Anslut-server i nätverket.

Flytta enskilda anpassade synkroniseringsregler

För enskilda anpassade synkroniseringsregler som du har skapat kan du flytta dem med hjälp av PowerShell. Om du måste tillämpa andra ändringar på samma sätt på båda systemen och du inte kan migrera ändringarna kan du behöva göra följande konfigurationer manuellt på båda servrarna:

  • Anslut till samma skogar
  • Alla domän- och organisationsenhetsfiltreringar
  • Samma valfria funktioner, till exempel lösenordssynkronisering och tillbakaskrivning av lösenord

Kopiera anpassade synkroniseringsregler
Om du vill kopiera anpassade synkroniseringsregler till en annan server gör du följande:

  1. Öppna Redigeraren för synkroniseringsregler på den aktiva servern.

  2. Välj en anpassad regel. Klicka på Exportera. Då visas ett Anteckningar fönster. Spara den temporära filen med ett PS1-tillägg. Detta gör det till ett PowerShell-skript. Kopiera PS1-filen till mellanlagringsservern.

    Screenshot showing the synchronization rules editor export window.

  3. Anslut eller-GUID (globalt unik identifierare) skiljer sig på mellanlagringsservern och du måste ändra det. Om du vill hämta GUID startar du Redigeraren för synkroniseringsregler, väljer en av de färdiga reglerna som representerar samma anslutna system och klickar på Exportera. Ersätt GUID i PS1-filen med GUID från mellanlagringsservern.

  4. Kör PS1-filen i en PowerShell-prompt. Detta skapar den anpassade synkroniseringsregeln på mellanlagringsservern.

  5. Upprepa detta för alla dina anpassade regler.

Så här skjuter du upp fullständig synkronisering efter uppgraderingen

Under uppgraderingen på plats kan det finnas ändringar som kräver att specifika synkroniseringsaktiviteter (inklusive steget Fullständig import och Fullständig synkronisering) körs. Schemaändringar för anslutningsprogram kräver till exempel fullständigt importsteg , och ändringar i synkroniseringsregeln som inte är färdiga kräver att fullständigt synkroniseringssteg körs på berörda anslutningsappar. Under uppgraderingen avgör Microsoft Entra Anslut vilka synkroniseringsaktiviteter som krävs och registrerar dem som åsidosättningar. I följande synkroniseringscykel hämtar synkroniseringsschemaläggaren dessa åsidosättningar och kör dem. När en åsidosättning har körts tas den bort.

Det kan finnas situationer där du inte vill att dessa åsidosättningar ska ske omedelbart efter uppgraderingen. Du har till exempel många synkroniserade objekt, och du vill att de här synkroniseringsstegen ska ske efter kontorstid. Så här tar du bort dessa åsidosättningar:

  1. Under uppgraderingen avmarkerar du alternativet Starta synkroniseringsprocessen när konfigurationen är klar. Detta inaktiverar synkroniseringsschemaläggaren och förhindrar att synkroniseringscykeln sker automatiskt innan åsidosättningarna tas bort.

    Screenshot that highlights the Start the synchronization process when configuration completes option that you need to clear.

  2. När uppgraderingen är klar kör du följande cmdlet för att ta reda på vilka åsidosättningar som har lagts till: Get-ADSyncSchedulerConnectorOverride | fl

    Kommentar

    Åsidosättningarna är anslutningsspecifika. I följande exempel har steget Fullständig import och Fullständig synkronisering lagts till i både den lokala AD-Anslut orn och Microsoft Entra Anslut or.

    DisableFullSyncAfterUpgrade

  3. Anteckna de befintliga åsidosättningar som har lagts till.

  4. Om du vill ta bort åsidosättningarna för både fullständig import och fullständig synkronisering på en godtycklig anslutningsapp kör du följande cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Om du vill ta bort åsidosättningarna för alla anslutningsappar kör du följande PowerShell-skript:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Kör följande cmdlet för att återuppta schemaläggaren: Set-ADSyncScheduler -SyncCycleEnabled $true

    Viktigt!

    Kom ihåg att köra nödvändiga synkroniseringssteg så snart som möjligt. Du kan antingen köra de här stegen manuellt med hjälp av Synchronization Service Manager eller lägga till åsidosättningarna igen med hjälp av cmdleten Set-ADSyncScheduler Anslut orOverride.

Om du vill lägga till åsidosättningar för både fullständig import och fullständig synkronisering på en godtycklig anslutningsapp kör du följande cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Uppgradera serverns operativsystem

Om du behöver uppgradera operativsystemet för din Microsoft Entra-Anslut-server ska du inte använda en uppgradering på plats av operativsystemet (operativsystem). Förbered i stället en ny server med önskat operativsystem och utför en svängmigrering.

Felsökning

Följande avsnitt innehåller felsökning och information som du kan använda om du stöter på ett problem med att uppgradera Microsoft Entra Anslut.

Fel om att Microsoft Entra-anslutningsappen saknades under uppgraderingen av Microsoft Entra Anslut

När du uppgraderar Microsoft Entra Anslut från en tidigare version kan du stöta på följande fel i början av uppgraderingen:

Error

Det här felet inträffar eftersom Microsoft Entra-anslutningsprogrammet med identifieraren b891884f-051e-4a83-95af-2544101c9083 inte finns i den aktuella Microsoft Entra-Anslut konfigurationen. Kontrollera att så är fallet genom att öppna ett PowerShell-fönster, köra Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

PowerShell-cmdleten rapporterar felet som angiven MA inte kunde hittas.

Det här felet beror på att den aktuella Microsoft Entra-Anslut konfigurationen inte stöds för uppgradering.

Om du vill installera en nyare version av Microsoft Entra Anslut: stäng guiden Microsoft Entra Anslut, avinstallera den befintliga Microsoft Entra-Anslut och utföra en ren installation av den nyare Microsoft Entra-Anslut.

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.