Microsoft Entra Connect:版本核發歷程記錄封存
Microsoft Entra 小組會定期更新 Microsoft Entra Connect 來提供新的特色和功能。 並非所有新增項目都適用於所有的對象。
注意
本文包含 Microsoft Entra ID - 1.5.42.0 和更舊版本之所有封存版本的版本參考資訊。 如需最新版本,請參閱 Microsoft Entra Connect 版本發行記錄 (部分機器翻譯)。
1.5.42.0
發行狀態
2020/07/10:已發行,可供下載
功能性變更
包含功能的公開預覽,可將現有 Microsoft Entra Connect 伺服器的設定匯出至 JSON 檔案。 安裝新的 Microsoft Entra Connect 伺服器以建立原始伺服器的複本時,便可使用此檔案。
這項新功能的詳細描述可在本文中找到
已修正的問題
- 已修正在升級期間,關於當地語系化組建上的本機資料庫大小誤判警告的錯誤 (bug)。
- 已修正帳戶名稱/網域名稱交換的應用程式事件中,會出現誤判錯誤的錯誤 (bug)。
- 已修正 Microsoft Entra Connect 無法安裝在 DC 上的錯誤,名稱為「找不到成員」。
1.5.30.0
發行狀態
2020/05/07:已發行可供下載
已修正的問題
此 Hotfix 組建會修正如果只選取孫系容器,從精靈 UI 中不正確選取了未選取網域的問題。
注意
此版本包含新的 Microsoft Entra Connect Sync V2 端點 API。 這個新的 V2 端點目前為公開預覽狀態。 需要此版本或更新版本才能使用新的 V2 端點 API。 不過,只安裝此版本並不會啟用 V2 端點。 除非啟用 V2 端點,否則您會繼續使用 V1 端點。 您必須遵循 Microsoft Entra Connect Sync V2 端點 API (公開預覽) (部分機器翻譯) 下的步驟執行,才能將其啟用並選擇加入公開預覽。
1.5.29.0
發行狀態
2020/04/23:已發行可供下載
已修正的問題
此 Hotfix 組建會修正組建 1.5.20.0 中引進的問題,其中使用 MFA 的租用戶系統管理員無法啟用 DSSO。
1.5.22.0
發行狀態
2020/04/20:已發行可供下載
已修正的問題
此 Hotfix 組建會修正如果已複製「從 AD 輸入 - 群組聯結」規則且尚未複製「從 AD 輸入 - 群組通用」規則,組建 1.5.20.0 中的問題。
1.5.20.0
發行狀態
2020/04/09:已發行可供下載
已修正的問題
- 此 Hotfix 組建會修正如果已啟用 [群組篩選] 功能並使用 mS-DS-ConsistencyGuid 作為來源錨點,組建 1.5.18.0 的相關問題。
- ADSyncConfig PowerShell 模組發生問題,其中用於所有 Set-ADSync* 權限 Cmdlet 的叫用 DSACLS 命令會導致下列其中一個錯誤:
GrantAclsNoInheritance : The parameter is incorrect. The command failed to complete successfully.
GrantAcls : No GUID Found for computer …
重要
如果已複製 In from AD - Group Join 同步規則且尚未複製 In from AD - Group Common 同步規則,並且計劃進行升級,請在升級過程中完成下列步驟:
- 在升級期間,取消核取 [在設定完成時開始同步處理程序] 選項。
- 編輯複製的聯結同步規則,然後新增下列兩個轉換:
- 將直接流程
objectGUID
設定為sourceAnchorBinary
。 - 將運算式流程
ConvertToBase64([objectGUID])
設定為sourceAnchor
。
- 使用
Set-ADSyncScheduler -SyncCycleEnabled $true
啟用排程器。
1.5.18.0
發行狀態
2020/02/04:已發行可供下載
ADSyncAutoUpgrade 功能性變更
- 已新增群組物件的 mS-DS-ConsistencyGuid 功能支援。 這可讓您在樹系之間移動群組,或將 AD 中的群組重新連線到已變更 AD 群組 objectID 的 Microsoft Entra ID。 如需詳細資訊,請參閱在樹系之間移動群組 (部分機器翻譯)。
- 所有同步的群組上都會自動設定 mS-DS-ConsistencyGuid 屬性,您不需要執行任何動作即可啟用此功能。
- 由於 Get-ADSyncRunProfile 無法再使用,因此已移除 Get-ADSyncRunProfile。
- 已變更在嘗試使用企業管理員或網域管理員帳戶作為 AD DS 連接器帳戶時所看到的警告,以提供更多內容。
- 已新增 Cmdlet 來從連接器空間移除物件,舊的 CSDelete.exe 工具會使用新的 Remove-ADSyncCSObject Cmdlet 來移除和取代。 Remove-ADSyncCSObject Cmdlet 接受 CsObject 作為輸入。 可使用 Get-ADSyncCSObject Cmdlet 擷取這個物件。
注意
舊 CSDelete.exe 工具已使用新 Remove-ADSyncCSObject Cmdlet 來移除和取代
已修正的問題
- 已修正在停用群組回寫樹系/OU 選擇器之後,重新執行 Microsoft Entra Connect 精靈時出現在此功能的錯誤。
- 已引進包含新說明連結的新錯誤頁面,如果遺漏必要的 DCOM 登錄值,就會顯示此頁面。 資訊也會寫入記錄檔。
- 已修正建立 Microsoft Entra 同步處理帳戶時的問題,其中啟用目錄延伸模組或 PHS 可能會失敗,因為帳戶尚未傳播到所有服務複本就嘗試使用。
- 已修正未正確處理代理字元的同步錯誤壓縮公用程式中的錯誤。
- 已修正自動升級時讓伺服器處於排程器暫停狀態中的錯誤。
1.4.38.0
發行狀態
2019/12/9:已發行可供下載。 無法透過自動升級取得。
新功能和改進
- 我們已更新 Microsoft Entra Domain Services 的密碼雜湊同步,以在 Kerberos 雜湊中適當考慮填補帳戶。 這會提升從 Microsoft Entra ID 到 Microsoft Entra Domain Services 密碼同步處理期間提供效能改善。
- 我們已新增對驗證代理程式與服務匯流排之間可靠工作階段的支援。
- 我們已新增驗證代理程式與雲端服務之間 WebSocket 連線的 DNS 快取。
- 我們已新增從雲端指定特定代理程式目標的功能,以測試代理程式連線。
已修正的問題
- 1.4.18.0 版有一個錯誤,其中適用於 DSSO 的 PowerShell Cmdlet 使用登入 Windows 認證,而非使用執行 PowerShell 時提供的系統管理員認證。 因此,無法透過 Microsoft Entra Connect 使用者介面,在多個樹系中啟用 DSSO。
- 已修正為透過 Microsoft Entra Connect 使用者介面在所有樹系中同時啟用 DSSO
1.4.32.0
發行狀態
2019/11/08:已發行可供下載。 無法透過自動升級取得。
重要
由於此版本 Microsoft Entra Connect 中的內部結構描述變更,如果您使用 Microsoft Graph PowerShell 管理 AD FS 信任關係設定,則必須將 Microsoft Graph PowerShell 模組更新為 1.1.183.57 版或更高版本。
已修正的問題
此版本會修正已現有 Microsoft Entra 混合式連結裝置發生的問題。 此版本包含可更正此問題的新裝置同步規則。 請注意,這項規則變更可能會導致從 Microsoft Entra ID 刪除作廢的裝置。 條件式存取授權期間,Microsoft Entra ID 不會使用這些裝置物件。 對於某些客戶,透過此規則變更刪除的裝置數目可能會超過刪除閾值。 如果您在超過匯出刪除閾值的 Microsoft Entra 中看到刪除裝置對象,請參閱如何允許刪除在超過刪除閾值時流動 (部分機器翻譯)
1.4.25.0
發行狀態
2019/9/28:已發行可供自動升級來選取租用戶。 未提供下載。
此版本會修正一個 Bug,其中從舊版自動升級至 1.4.18.0 的某些伺服器會遇到自助式密碼重設 (SSPR) 和密碼回寫問題。
已修正的問題
在某些情況下,自動升級至 1.4.18.0 版本的伺服器在完成升級之後並未重新啟用自助式密碼重設和密碼回寫。 此自動升級版本會修正該問題,並重新啟用自助式密碼重設和密碼回寫。
我們已修正未正確處理代理字元的同步錯誤壓縮公用程式中錯誤。
1.4.18.0
警告
我們正在對一個事件展開調查,其中某些客戶在升級至此版本的 Microsoft Entra Connect 之後,其現有的混合式聯結裝置發生問題。 建議已部署 Microsoft Entra 混合式聯結的客戶延遲升級至此版本,直到我們完全了解這些問題的根本原因並降低風險為止。 我們將盡快提供詳細資訊。
重要
使用此版本的 Microsoft Entra Connect 時,某些客戶可能會看到部分或所有的 Windows 裝置從 Microsoft Entra ID 消失。 條件式存取授權期間,Microsoft Entra ID 不會使用這些裝置身分識別。 如需詳細資訊,請參閱了解 Microsoft Entra Connect 1.4.xx.x 裝置消失 (部分機器翻譯)
發行狀態
2019/9/25:已發行僅供自動升級。
新功能和改進
- 新的疑難排解工具可協助針對「使用者未同步」、「群組未同步」或「群組成員未同步」案例進行疑難排解。
- 在 Microsoft Entra Connect 疑難排解指令碼中,新增國家雲端的支援。
- 客戶應該會收到通知,指出現已移除 MIIS_Service 的已淘汰 WMI 端點。 任何 WMI 作業現在都應透過 PowerShell cmdlet 來完成。
- 藉由重設 AZUREADSSOACC 物件上的限制委派來改善安全性。
- 新增/編輯同步處理規則時,如果規則中使用了連接器架構中未新增至連接器的任何屬性,則會自動將這些屬性新增至連接器。 這也適用於規則所影響的物件類型。 如有任何項目新增至連接器,則連接器將會標示為在下一個同步週期完整匯入。
- 新的 Microsoft Entra Connect 部署不再支援使用企業或網域管理員作為連接器帳戶。 使用企業或網域管理員作為連接器帳戶的目前 Microsoft Entra Connect 部署,將不會受到此版本的影響。
- 在同步處理管理員中,將會在規則建立/編輯/刪除時執行完整同步。 任何規則變更都會出現一個快顯視窗來通知使用者是否要執行完整匯入或完整同步。
- 已在 [連接器] > [屬性]> [連線] 頁面中,新增密碼錯誤的風險降低步驟。
- 已在連接器屬性頁面中新增同步服務管理員的淘汰警告。 此警告會通知使用者應透過 Microsoft Entra Connect 精靈進行變更。
- 已在使用者的密碼原則問題中新增錯誤。
- 防止依網域和 OU 篩選條件對群組篩選進行錯誤設定。 已篩選輸入群組的網域/OU 時,群組篩選會顯示錯誤。群組篩選會讓使用者繼續前進,直到問題解決為止。
- 使用者無法再於 Synchronization Service Manager UI 中建立 Active Directory Domain Services 或 Windows Azure Active Directory 的連接器。
- 已修正 Synchronization Service Manager 中自訂 UI 控制項的可存取性。
- 已針對 Microsoft Entra Connect 中的所有登入方法啟用六個同盟管理工作。 (先前只有「更新 AD FS TLS/SSL 憑證」工作可用於所有登入。)
- 已新增警告,指出當登入方法從同盟變更為 PHS 或 PTA 時,所有 Microsoft Entra 網域和使用者都會轉換成受控驗證。
- 已從「重設 Microsoft Entra ID 和 AD FS 信任」工作中移除權杖簽署憑證,並新增個別的子工作來更新這些憑證。
- 已新增稱為「管理憑證」的新同盟管理工作,其中包含為 AD FS 伺服器陣列更新 TLS 或權杖簽署憑證的子工作。
- 已新增稱為「指定主要伺服器」的新同盟管理子工作,其可讓系統管理員為 AD FS 伺服器陣列指定新的主要伺服器。
- 已新增稱為「管理伺服器」的新同盟管理工作,其中包含部署 AD FS 伺服器、部署 Web 應用程式 Proxy 伺服器和指定主要伺服器的子工作。
- 已新增稱為「檢視同盟設定」的新同盟管理工作,來顯示目前的 AD FS 設定。 (由於這項新增,AD FS 設定已從 [檢閱您的解決方案] 頁面中移除。)
已修正的問題
- 已解決當接管其對應連絡人物件的使用者物件具有自我參考時 (例如使用者是自己的經理),所發生的同步錯誤問題。
- 說明快顯現在會在鍵盤焦點上顯示。
- 針對自動升級,如有任何衝突的應用程式執行 6 小時,請將其終止並繼續升級。
- 選取目錄延伸模組時,將客戶可選取的屬性數目限制為每個物件 100 個。 此限制會防止在匯出期間發生錯誤,因為 Azure 的每個物件最多可有 100 個延伸模組屬性。
- 已修正錯誤 (bug),讓 AD 連線指令碼更健全。
- 已修正錯誤 (bug),讓機器上使用現有具名管道 WCF 服務的 Microsoft Entra Connect 安裝更健全。
- 針對不允許 ADSync 服務在一開始安裝時啟動的群組原則,已改善其診斷和疑難排解。
- 已修正未正確寫入 Windows 電腦顯示名稱的 Bug。
- 修正未正確寫入 Windows 電腦 OS 類型的 Bug。
- 已修正非 Windows 10 電腦意外同步的 Bug。 請注意,這項變更的影響是現在會刪除先前已同步非 Windows 10 電腦。 這不會影響任何功能,因為 Windows 電腦的同步只會用於混合式 Microsoft Entra 網域加入,而這僅適用於 Windows-10 裝置。
- 已在 ADSync PowerShell 模組中新增數個新的 (內部) Cmdlet。
1.3.21.0
重要
將 Microsoft Entra Connect 從舊版升級至 1.3.21.0 有一個已知問題,即使 Microsoft Entra Connect 升級成功,Microsoft 365 入口網站也不會反映更新的版本。
若要解決此問題,則必須匯入 AdSync 模組,然後在 Microsoft Entra Connect 伺服器上執行 Set-ADSyncDirSyncConfiguration
PowerShell Cmdlet。 您可以使用下列步驟:
- 以管理員模式開啟 PowerShell。
- 執行
Import-Module "ADSync"
。 - 執行
Set-ADSyncDirSyncConfiguration -AnchorAttribute ""
。
發行狀態
2019/05/14:已發行可供下載
已修正的問題
- 已修正 Microsoft Entra Connect 組建 1.3.20.0 中存在的權限提高弱點。 在某些情況下,此弱點可能會讓攻擊者在特殊權限帳戶內容中執行兩個 PowerShell Cmdlet,並執行特殊權限動作。 此安全性更新會藉由停用這些 Cmdlet 來解決此問題。 如需詳細資訊,請參閱安全性更新。
1.3.20.0
發行狀態
2019/04/24:已發行可供下載
新功能和改進
- 新增網域重新整理的支援
- Exchange 郵件公用資料夾功能已正式推出
- 改善服務失敗的精靈錯誤處理
- 已在連接器屬性頁面中新增 Synchronization Service Manager UI 的警告連結。
- 整合群組回寫功能現已正式推出
- 已改善 DC 遺漏 LDAP 控制項時的 SSPR 錯誤訊息
- 已新增針對安裝期間 DCOM 登錄錯誤的診斷
- 已改善 PHS RPC 錯誤的追蹤
- 允許來自子網域的 EA 認證
- 允許在安裝期間輸入資料庫名稱 (預設名稱為 ADSync)
- 升級至 ADAL 3.19.8 以取得 WS-Trust 的 Ping 修正,並為新的 Azure 執行個體新增支援
- 修改群組同步處理規則,以將 samAccountName、DomainNetbios 和 DomainFQDN 傳送至雲端 (宣告時需要)
- 已修改預設同步規則處理 (請在這裡閱讀更多資訊)。
- 已新增以 Windows 服務形式執行的新代理程式。 此代理程式名為「管理代理程式」,可對 Microsoft Entra Connect 伺服器進行更深入的遠端診斷,以協助 Microsoft 工程師在您開啟支援案例時進行疑難排解。 依預設不會安裝和啟用此代理程式。 如需如何安裝和啟用代理程式的詳細資訊,請參閱什麼是 Microsoft Entra Connect 管理代理程式?。(部分機器翻譯)
- 已更新使用者授權合約 (EULA)
- 已針對使用 AD FS 作為其登入類型的部署,新增自動升級支援。 這也會移除在升級程序中更新 AD FS Microsoft Entra ID 信賴憑證者信任的需求。
- 已新增 Microsoft Entra ID 信任管理工作,其中提供兩個選項:分析/更新信任和重設信任。
- 已變更 AD FS Microsoft Entra ID 信賴憑證者信任行為,使其一律使用 - SupportMultipleDomain 切換 (包括信任和 Microsoft Entra 網域更新)。
- 已變更安裝新的 AD FS 伺服器陣列行為,藉由移除使用預先安裝憑證的選項,使其需要 .pfx 憑證。
- 已更新安裝新的 AD FS 伺服器陣列工作流程,使其只允許部署 1 個 AD FS 和 1 部 WAP 伺服器。 在初始安裝之後,將會完成所有額外的伺服器。
已修正的問題
- 修正 ADSync 服務的 SQL 重新連線邏輯
- 修正以允許使用空的 SQL AOA DB 進行全新安裝
- 修正 PowerShell 權限指令碼以精簡 GWB 權限
- 修正 LocalDB 的 VSS 錯誤
- 修正物件類型不在範圍內時讓人誤解的錯誤訊息
- 已更正在伺服器上安裝 Microsoft Graph PowerShell 可能會導致組件與 Microsoft Entra Connect 發生衝突的問題。
- 已修正在 Synchronization Service Manager UI 中更新連接器認證時,預備伺服器上的 PHS Bug。
- 已修正一些記憶體流失
- 其他自動升級修正
- 匯出和未確認匯入處理的其他修正
- 已修正處理網域和 OU 篩選中反斜線的 Bug
- 已修正 ADSync 服務需要 2 分鐘以上的時間才會停止,並在升級時造成問題的問題。
1.2.70.0
發行狀態
2018/12/18:已發行可供下載
已修正的問題
此組建更新隨附於 Microsoft Entra Connect 的非標準連接器 (例如通用 LDAP 連接器和 Generic SQL 連接器)。 如需適用之連接器的詳細資訊,請參閱連接器版本發行歷程記錄中的 1.1.911.0 版。
1.2.69.0
發行狀態
2018/12/11:已發行可供下載
已修正的問題
此 Hotfix 組建讓使用者在啟用裝置回寫時,能為 RegisteredDevices 容器選取目標網域 (在指定的樹系內)。 在包含新的 [裝置選項] 功能的先前版本中 (1.1.819.0 – 1.2.68.0),RegisteredDevices 容器被位置限制在樹系根,而不允許子網域。 此限制只在新部署中出現 (就地升級不受影響)。
如果將包含更新的 [裝置選項] 功能的組建部署到新伺服器,並且已啟用裝置回寫,若您不想要容器是在樹系根中,便必須手動指定其位置。 若要這樣做,您需要停用裝置回寫並重新啟用,這可讓您在 [回寫樹系] 頁面上指定容器位置。
1.2.68.0
發行狀態
2018/11/30:已發行,可供下載
已修正的問題
此 Hotfix 修正一個衝突,當同步處理伺服器上的 Microsoft Graph PowerShell 資源庫模組獨立存在時,可能會造成驗證錯誤。
1.2.67.0
發行狀態
2018/11/19:已發行,可供下載
已修正的問題
此 Hotfix 組件修正前一個組件中的迴歸,當在 Windows Server 2008/R2 上使用「ADDS 網域控制站」時,「密碼回寫」會失敗。
1.2.65.0
發行狀態
2018/10/25:已發行可供下載
新功能和改進
- 變更屬性回寫的功能,確保裝載的語音信箱如預期般運作。 在某些情況下,Microsoft Entra ID 會在以 Null 值回寫期間覆寫 msExchUcVoicemailSettings 屬性。 如果未設定雲端值,Microsoft Entra ID 現在將不會再清除此屬性的內部部署值。
- 在 Microsoft Entra Connect 精靈中新增診斷,以調查和識別 Microsoft Entra ID 的連線能力問題。 使用 Test-AdSyncAzureServiceConnectivity Cmdlet 透過 PowerShell ,也可以直接執行這些相同的診斷。
- 在 Microsoft Entra Connect 精靈中新增診斷,可調查和識別 AD 的連線能力問題。 使用 ADConnectivityTools PowerShell 模組中的 Start-ConnectivityValidation 函式透過 PowerShell,也可以直接執行這些相同的診斷。 如需詳細資訊,請參閱什麼是 ADConnectivityTool PowerShell 模組?
- 針對 Microsoft Entra 混合式聯結和裝置回寫,新增 AD 結構描述版本前置檢查
- 目錄擴充頁面屬性搜尋已變更為不區分大小寫。
- 新增對 TLS 1.2 的完整支援。 這個版本支援在安裝 Microsoft Entra Connect 的電腦上,停用所有其他通訊協定,而僅啟用 TLS 1.2。 如需詳細資訊,請參閱 Microsoft Entra Connect 的 TLS 1.2 強制
已修正的問題
- 已修正使用 SQL Always On 時,Microsoft Entra Connect 升級便會失敗的錯誤。
- 已修正錯誤 (bug),可正確地剖析含有正斜線的 OU 名稱。
- 已修正在預備模式進行全新安裝時,就會停用傳遞驗證的問題。
- 已修正在執行疑難排解工具時會無法載入 PowerShell 模組的錯誤 (bug)
- 已修正會妨礙客戶在主機名稱的第一個字元使用數值的錯誤 (bug)。
- 已修正 Microsoft Entra Connect 允許無效資料分割和容器選取項目的錯誤
- 已修正在啟用傳統型 SSO 時的「密碼無效」錯誤訊息。
- AD FS 信任管理的各種錯誤 (bug)修正
- 在設定裝置回寫時的結構描述檢查,已修正為尋找 msDs-DeviceContainer 物件類別 (在 WS2012 R2 引進)
1.1.882.0
2018/9/7:已發行可供下載,不會發行供自動升級
已修正的問題
如果已為 ADSync DB 設定 SQL Always On 可用性,則 Microsoft Entra Connect 升級會失敗。 此 Hotfix 可解決此問題,並使升級成功。
1.1.880.0
發行狀態
8/21/2018:已發行,可供下載和自動升級。
新功能和改進
- Microsoft Entra Connect 中的 Ping Federate 整合現已正式運作。 深入了解如何將同盟的 Microsoft Entra ID 與 Ping Federate 整合
- 現在,每當進行更新時,Microsoft Entra Connect 現在會在 AD FS 中建立 Microsoft Entra ID 信任的備份,並將其儲存在個別的檔案中,以便視需要輕易還原。 深入瞭解 Microsoft Entra Connect 中的新功能和 Microsoft Entra ID 信任管理。
- 新的疑難排解工具可協助您進行變更主要電子郵件地址和在全域通訊清單中隱藏帳戶方面的疑難排解
- Microsoft Entra Connect 已更新,而包含最新的 SQL Server 2012 原生用戶端
- 當您在「變更使用者登入」工作中將使用者登入切換為 [密碼雜湊同步處理] 或 [傳遞驗證] 時,依預設會啟用 [無縫單一登入] 核取方塊。
- 已新增 Windows Server Essentials 2019 的支援
- Microsoft Entra Connect Health 代理程式已更新為最新版本 3.1.7.0
- 在升級期間,如果安裝程式偵測到預設同步規則的變更,將會先對管理員顯示警告,才覆寫修改過的規則。 這可讓使用者採取更正動作再繼續作業。 舊的行為:如果有任何修改過的預設規則,則會直接以手動升級覆寫這些規則,而不會對使用者顯示任何警告,並直接停用同步排程器而不通知使用者。 新的行為:使用者會在覆寫修改過的預設同步規則之前看到提示的警告。 使用者將可選擇停止升級程序,並在採取更正動作後再繼續作業。
- 提供更完善的 FIPS 合規性問題處理、針對 FIPS 相容環境中產生的 MD5 雜湊提供錯誤訊息,並以文件的連結提供此問題的因應措施。
- UI 更新可改善精靈中的同盟工作,這些工作現已可在個別的子群組中進行同盟。
- 所有其他的同盟工作現在都分組在單一子功能表下,以方便使用。
- 全新設計的 ADSyncConfig Posh Module (AdSyncConfig.psm1) 具有來自舊版 ADSyncPrep.psm1 (可能於近期淘汰) 的新式 AD 權限功能
已修正的問題
- 已修正 Microsoft Entra Connect 伺服器在升級至 .NET 4.7.2 之後會出現 CPU 使用率偏高狀況的錯誤
- 已修正會間歇性對自動解決的 SQL 死結問題產生錯誤訊息的 Bug
- 已修正 Sync Rules Editor 和 Sync Service Manager 的數個協助工具問題
- 已修正 Microsoft Entra Connect 無法取得登錄設定資訊的錯誤
- 已修正在使用者繼續使用/返回精靈時會產生問題的 Bug
- 已修正因在精靈中不當處理多執行緒而發生錯誤的 Bug
- 現在,[群組同步篩選] 頁面若在解析安全性群組時發生 LDAP 錯誤,Microsoft Entra Connect 已會傳回完整的例外狀況。 轉介例外狀況的根本原因仍未知,且將視同個別的 Bug 來解決。
- 已修正 STK 和 NGC 金鑰 (WHfB 使用者/裝置物件的 ms-DS-KeyCredentialLink 屬性) 權限未正確設定的錯誤。
- 已修正未正確呼叫「Set-ADSyncRestrictedPermissions」的錯誤
- 新增對 Microsoft Entra Connect 安裝精靈中的群組回寫授與權限的支援
- 當登入方法從「密碼雜湊同步」變更為 AD FS 時,不會停用「密碼雜湊同步」。
- 已新增 AD FS 組態中的 IPv6 位址驗證
- 已更新通知訊息,以通知有現有的組態存在。
- 裝置回寫無法偵測不受信任樹系中的容器。 此行為已更新,而會提供更明確的錯誤訊息,以及適當文件的連結
- 取消選取 OU 後,對應於該 OU 的同步處理/回寫會產生一般同步錯誤。 此行為已變更,而會產生更容易了解的錯誤訊息。
1.1.819.0
發行狀態
5/14/2018:已發行,可供自動升級和下載。
新功能和改進
新功能和改進
- 此版本包含 Microsoft Entra Connect 中 PingFederate 整合的公開預覽。 客戶可以使用此版本,輕易且可靠地設定其 Microsoft Entra 環境,以將 PingFederate 當作同盟提供者。 若要深入了解如何使用這項新功能,請造訪我們的線上文件。
- 已更新 Microsoft Entra Connect 精靈疑難排解公用程式,現在可在其中分析更多錯誤案例,例如,連結的信箱和 AD 動態群組。 在此深入了解如何針對公用程式進行疑難排解。
- 現在只會在 Microsoft Entra Connect 精靈中管理裝置回寫組態。
- 已新增稱為 ADSyncTools.psm1 的新 PowerShell 模組,其可針對 SQL 連線問題和各種其他疑難排解公用程式進行疑難排解。 在此深入了解 ADSyncTools 模組。
- 已新增其他新工作「設定裝置選項」。 您可以使用此工作來設定下列兩項作業:
- 加入混合式 Microsoft Entra:如果您的環境具有內部部署 AD 使用量,而且您想要從 Microsoft Entra ID 提供的功能獲得好處,您可以實作已加入混合式 Microsoft Entra 的裝置。 這些裝置既可以加入您的內部部署 Active Directory,也可以加入 AMicrosoft Entra ID。
- 裝置回寫:裝置回寫用於對 AD FS (2012 R2 或更高版本) 保護的裝置啟用裝置型條件式存取
注意
- 從自訂同步處理選項啟用裝置回寫的選項會呈現灰色。
- 在此版本中,適用於 ADPrep 的 PowerShell 模組已被取代。
已修正的問題
- 這個版本會將 SQL Server Express 安裝更新為 SQL Server 2012 SP4,這個版本相較於其他版本,會提供數個安全性弱點的修正。 如需 SQL Server 2012 SP4 的詳細資訊,請參閱這裡。
- 同步規則處理:如果父系同步規則不再適用,則應取消套用沒有聯結條件的輸出聯結同步規則
- 數個協助工具修正已套用至 Synchronization Service Manager UI 和 Sync Rules Editor
- Microsoft Entra Connect 精靈:如果 Microsoft Entra Connect 位於工作群組中,則建立 AD 連接器帳戶時發生錯誤
- Microsoft Entra Connect 精靈:每當 AD 網域與 Microsoft Entra ID 已驗證網域有任何不符情形,便會在 Microsoft Entra 登入頁面上顯示驗證核取方塊
- 自動升級 PowerShell 修正程式,以在嘗試自動升級之後,在某些情況下正確設定自動升級狀態。
- Microsoft Entra Connect 精靈:已將遙測更新為擷取先前遺漏的資訊
- Microsoft Entra Connect 精靈:當您使用「變更使用者登入」工作以從 AD FS 切換至傳遞驗證時,已進行下列變更:
- 在我們將網域從同盟轉換為受控之前,傳遞驗證代理程式是安裝在 Microsoft Entra Connect 伺服器上,且已啟用傳遞驗證功能。
- 使用者無法再從同盟轉換為受控。 只會轉換網域。
- Microsoft Entra Connect 精靈:當使用者 UPN 有 ' 特殊字元規則運算式更新可支援特殊字元時,AD FS 多網域規則運算式不正確
- Microsoft Entra Connect 精靈:若沒有變更,則會移除偽造的「設定來源錨點屬性」訊息
- Microsoft Entra Connect 精靈:AD FS 支援雙重同盟案例
- Microsoft Entra Connect 精靈:將受控網域轉換為同盟網域時,不會針對新增的網域更新 AD FS 宣告
- Microsoft Entra Connect 精靈:在偵測已安裝的套件期間,我們找到過時的 Dirsync/Azure AD Sync/Azure AD Connect 相關產品。 我們現在將嘗試解除安裝過時的產品。
- Microsoft Entra Connect 精靈:當傳遞驗證代理程式安裝失敗,更正錯誤訊息對應
- Microsoft Entra Connect 精靈:已從 [網域 OU 篩選] 頁面中移除「組態」容器
- 同步處理引擎安裝:從同步處理引擎安裝 msi 移除偶爾會失敗的不必要舊版邏輯
- Microsoft Entra Connect 精靈:修正密碼雜湊同步處理 [選擇性功能] 頁面上的快顯說明文字
- 同步處理引擎執行階段:修正 CS 物件具有已匯入刪除和同步處理規則嘗試的案例,以重新佈建此物件。
- 同步處理引擎執行階段:將線上連線疑難排解指南的說明連結,新增至匯入錯誤的事件記錄
- 同步處理引擎執行階段:已減少同步處理排程器在列舉連接器時的記憶體使用量
- Microsoft Entra Connect 精靈:修正問題以解決沒有 AD 讀取權限的自訂同步處理服務帳戶
- Microsoft Entra Connect 精靈:改善網域和 OU 篩選選取項目的記錄
- Microsoft Entra Connect 精靈:AD FS 會將預設宣告新增至為 MFA 案例建立的同盟信任
- Microsoft Entra Connect 精靈:AD FS 部署 WAP:新增伺服器無法使用新的憑證
- Microsoft Entra Connect 精靈:未針對網域初始化 onPremCredentials 時的 DSSO 例外狀況
- 優先從作用中使用者物件傳送 AD distinguishedName 屬性。
- 已修正將第一個 OOB 同步規則的優先順序設定為 99 (而非 100) 時的外觀錯誤
1.1.751.0
4/12/2018 狀態:已發行,僅可供下載
Microsoft Entra Connect Sync
已修正的問題
已更正中國租用戶的自動 Azure 執行個體探索偶爾會失敗的問題。
AD FS 管理
已修正的問題
組態重試邏輯有問題,該問題會造成表示「已新增具有相同索引鍵的項目」的 ArgumentException。 這會導致所有重試作業失敗。
1.1.750.0
2018/3/22 狀態:已發行,可供自動升級和下載。
注意
當新的版本的升級完成時,這會自動觸發 Microsoft Entra 連接器的完整同步處理和完整匯入,以及 AD 連接器的完整同步處理。 由於這可能需要一些時間,視您的 Microsoft Entra Connect 環境大小而定,所以請確定您已採取支援這項作業的必要步驟,否則請暫緩升級直到您找到方便執行這項作業的時間。
注意
有部分部署晚於 1.1.524.0 組建的租用戶,其自動升級功能遭錯誤停用。 若要確定 Microsoft Entra Connect 執行個體是否仍可自動升級,請執行下列 PowerShell Cmdlet:「Set-ADSyncAutoUpgrade -AutoupGradeState Enabled」
Microsoft Entra Connect
已修正的問題
- 先前,自動升級狀態設為 [暫止],則 Set-ADSyncAutoUpgrade Cmdlet 會封鎖自動升級。 此功能現在已變更,因此不會封鎖未來組建的自動升級。
- 已將使用者登入頁面選項「密碼同步處理 」變更為「密碼雜湊同步處理 」。 Microsoft Entra Connect 同步處理密碼雜湊,而不是密碼,以便與實際發生事件對應。 如需詳細資訊,請參閱使用 Microsoft Entra Connect 同步實作密碼雜湊同步處理 (部分機器翻譯)
1.1.749.0
狀態:已發行給選定的客戶
注意
當新的版本的升級完成時,這會自動觸發 Microsoft Entra 連接器的完整同步處理和完整匯入,以及 AD 連接器的完整同步處理。 由於這可能需要一些時間,視您的 Microsoft Entra Connect 環境大小而定,所以請確定您已採取支援這項作業的必要步驟,否則請暫緩升級直到您找到方便執行這項作業的時間。
Microsoft Entra Connect
已修正的問題
修正計時視窗切換至下一個頁面時,在 [資料分割篩選] 頁面背景工作的問題。
修正在 ConfigDB 自訂動作期間造成存取違規的錯誤 (bug)。
修正從 SQL 復原連線逾時的錯誤 (bug)。
修正含 SAN 萬用字元的憑證在必要條件檢查中失敗的錯誤 (bug)。
修正在 Microsoft Entra 連接器匯出期間造成 miiserver.exe 當機的錯誤。
修正當執行 Microsoft Entra Connect 精靈變更設定時,錯誤密碼嘗試登入 DC 的錯誤。
新功能和改進
- 新增「一般資料保護規定」(GDPR) 的「隱私權設定」。 如需詳細資訊,請參閱這裡的文章。
注意
本文提供關於如何從裝置或服務刪除個人資料的步驟,並且可以用來支援遵循 GDPR 的義務。 如需 GDPR 的一般資訊,請參閱 Microsoft 信任中心的 GDPR 區段和服務信任入口網站的 GDPR 區段。
應用程式遙測 - 系統管理員可以任意切換此資料類別的開啟/關閉
Microsoft Entra Health 資料 - 系統管理員必須瀏覽健康情況入口網站來控制其健康情況設定。 一旦變更服務原則,代理程式會讀取並強制執行它。
加入裝置回寫式設定動作和頁面初始化的進度列。
改善 ZIP 文字 / HTML 報表中 HTML 報表與完整資料集合的一般診斷。
改善自動升級的可靠性,並加入其他遙測,以確保您可以判斷伺服器的健康情況。
限制 AD 連接器帳戶的特殊權限帳戶的可用權限。
在新的安裝中,精靈會限制在建立 Microsoft Graph PowerShell 帳戶後,特殊權限帳戶對 Microsoft Graph PowerShell 帳戶的權限。
這些變更涵蓋:
- 快速安裝
- 含自動建立帳戶的自訂安裝
- 已更改安裝程式,使其在全新安裝 Microsoft Entra Connect 時不需要 SA 權限
加入新的公用程式,可針對特定物件的同步處理問題進行疑難排解。 這可在 Microsoft Entra Connect 精靈疑難排解其他工作的「針對物件同步處理進行疑難排解」選項底下使用。 目前,此公用程式會檢查下列各項:
同步處理使用者物件與 Microsoft Entra 租用戶中使用者帳戶的 UserPrincipalName 不符。
是否因為網域篩選而從同步處理篩選物件
是否因為組織單位 (OU) 篩選而從同步處理篩選物件
加入新的公用程式來同步處理目前儲存在內部部署 Active Directory 中的特定使用者帳戶的密碼雜湊。
此公用程式不需要變更密碼。 這可在 Microsoft Entra Connect 精靈疑難排解其他工作的「針對密碼雜湊同步處理進行疑難排解」選項底下使用。
1.1.654.0
狀態:2017 年 12 月 12 日
Microsoft Entra Connect
Microsoft Entra Connect 1.1.654.0 版 (和更新版本) 已新增改進,以確保 Microsoft Entra Connect 在建立 AD DS 帳戶時,自動套用鎖定 AD DS 帳戶的存取權 (部分機器翻譯) 章節中所述的建議權限變更。
- 設定 Microsoft Entra Connect 時,安裝系統管理員可以提供現有的 AD DS 帳戶,或讓 Microsoft Entra Connect 自動建立帳戶。 權限變更會自動套用到 Microsoft Entra Connect 在設定期間所建立的 AD DS 帳戶。 權限變更並不會套用到安裝系統管理員提供的現有 AD DS 帳戶。
- 對於已從舊版 Microsoft Entra Connect 升級至 1.1.654.0 版 (或更新版本) 的客戶,權限變更不會回溯套用至升級之前建立的現有 AD DS 帳戶。 它們只會套用到升級之後所建立的新 AD DS 帳戶。 僅當您將要進行同步的新 AD 樹系新增至 Microsoft Entra ID 時,才會發生這種情況。
注意
此版本所能移除的弱點,僅限於安裝流程在當中建立服務帳戶的 Microsoft Entra Connect 新安裝中的弱點。 您應該確定現有的安裝或是您自行提供帳戶時,不會出現這項弱點。
鎖定 AD DS 帳戶的存取權
透過在內部部署 AD 中實作下列權限變更,來鎖定 AD DS 帳戶的存取權:
- 停用指定物件上的繼承
- 將特定物件上所有的 ACE 移除,除了 SELF 特有的 ACE 之外。 關於 SELF,我們需要將預設權限維持不變。
- 指派這些特定權限:
類型 | 名稱 | 存取 | 套用至 |
---|---|---|---|
允許 | 系統 | 完全控制 | 此物件 |
允許 | Enterprise Admins | 完全控制 | 此物件 |
允許 | Domain Admins | 完全控制 | 此物件 |
允許 | 系統管理員 | 完全控制 | 此物件 |
允許 | Enterprise Domain Controllers | 清單內容 | 此物件 |
允許 | Enterprise Domain Controllers | 讀取所有屬性 | 此物件 |
允許 | Enterprise Domain Controllers | 讀取權限 | 此物件 |
允許 | 已驗證的使用者 | 清單內容 | 此物件 |
允許 | 已驗證的使用者 | 讀取所有屬性 | 此物件 |
允許 | 已驗證的使用者 | 讀取權限 | 此物件 |
可加強預先存在之服務帳戶的 PowerShell 指令碼
若要使用 PowerShell 指令碼將這些設定套用到預先存在的 AD DS 帳戶 (由貴組織提供、或由先前安裝 Microsoft Entra Connect 建立),請從上方提供的連結下載指令碼。
使用方式:
Set-ADSyncRestrictedPermissions -ObjectDN <$ObjectDN> -Credential <$Credential>
其中
$ObjectDN = 必須加強權限的 Active Directory 帳戶。
$Credential = 具備限制 $ObjectDN 帳戶權限之必要權限的系統管理員認證。 這些權限通常會由企業或網域管理員所持有。 使用系統管理員帳戶的完整網域名稱以避免帳戶對應失敗。 範例:contoso.com\admin。
注意
$credential.UserName 應該為 FQDN\username 格式。 範例:contoso.com\admin
範例:
Set-ADSyncRestrictedPermissions -ObjectDN "CN=TestAccount1,CN=Users,DC=bvtadwbackdc,DC=com" -Credential $credential
系統是否使用這項弱點來取得未經授權的存取?
若要查看系統是否使用這項弱點來入侵您的 Microsoft Entra Connect 設定,您應該確認服務帳戶最後重設密碼的日期。 如果是非預期的時間戳記,就應該透過事件記錄,對該密碼重設事件採取進一步調查。
如需詳細資訊,請參閱 Microsoft Security Advisory 4056318
1.1.649.0
狀態:2017 年 10 月 27 日
Microsoft Entra Connect
已修正的問題
- 已修正 Microsoft Entra Connect 與適用於同步的 Microsoft Entra Connect Health 代理程式 (用於同步處理) 之間的版本相容性問題。 此問題會影響要執行 Microsoft Entra Connect 就地升級到 1.1.647.0 版,但目前擁有的是 Health 代理程式 3.0.127.0 版的客戶。 升級之後,健康情況代理程式就不會再將有關 Microsoft Entra Connect 同步處理服務的健康情況資料傳送至 Microsoft Entra 健全狀況服務。 透過此修正,便會在 Microsoft Entra Connect 就地升級期間安裝健康情況代理程式 3.0.129.0 版。 健康情況代理程式 3.0.129.0 版與 Microsoft Entra Connect 1.1.649.0 版沒有相容性問題。
1.1.647.0
狀態:2017 年 10 月 19 日
重要
Microsoft Entra Connect 1.1.647.0 與適用於同步的 Microsoft Entra Connect Health 代理程式 (用於同步處理) 版本 3.0.127.0 之間有已知的版本相容性問題。 此問題會阻止 Health Agent 將有關 Microsoft Entra Connect 同步處理服務的健康情況資料 (包括物件同步處理錯誤和執行歷程記錄) 傳送至 Microsoft Entra 健全狀況服務。 在手動將 Microsoft Entra Connect 部署升級至 1.1.647.0 版之前,請驗證目前安裝在 Microsoft Entra Connect 伺服器上的 Microsoft Entra Connect Health Agent 版本。 作法為移至 [控制台] → [新增或移除程式],然後尋找應用程式 [Microsoft Entra Connect Health Agent for Sync]。若其版本為 3.0.127.0,建議您先等待下一個 Microsoft Entra Connect 版本可用時,再進行升級。 如果健康情況代理程式版本不是 3.0.127.0,則可繼續進行手動、就地升級。 請注意,此問題並不會影響轉移升級或全新安裝 Microsoft Entra Connect 的客戶。
Microsoft Entra Connect
已修正的問題
已修正 Microsoft Entra Connect 精靈中「變更使用者登入」工作發生的問題:
當現有的 Microsoft Entra Connect 部署已啟用密碼同步化,而且您正要嘗試將使用者登入方法設定為「傳遞驗證」時,就會發生此問題。 在套用變更之前,精靈不正確地顯示「停用密碼同步化」提示。 不過,在套用變更之後,密碼同步化仍維持啟用狀態。 透過此修正,精靈不再顯示此提示。
根據設計,當您使用「變更使用者登入」工作,更新使用者登入方法時,精靈不會停用密碼同步化。 這是為了避免中斷想要保留密碼同步化的客戶,因為他們即使將啟用傳遞驗證或同盟作為其主要使用者登入方法,也想要保留密碼同步化。
如果想要在更新使用者登入方法之後停用密碼同步化,您必須在精靈中執行「自訂同步處理設定」工作。 當瀏覽至 [選用功能] 頁面時,請取消核取 [密碼同步化] 選項。
請注意,如果您嘗試啟用/停用無縫單一登入,也會發生相同的問題。 尤其,現有的 Microsoft Entra Connect 部署已啟用密碼同步化,而且已將使用者登入方法設定為「傳遞驗證」。 當使用者登入方法仍設定為 [傳遞驗證] 時,您嘗試使用「變更使用者登入」工作,勾選/取消勾選 [啟用無縫單一登入] 選項。 在套用變更之前,精靈不正確地顯示「停用密碼同步化」提示。 不過,在套用變更之後,密碼同步化仍維持啟用狀態。 透過此修正,精靈不再顯示此提示。
已修正 Microsoft Entra Connect 精靈中「變更使用者登入」工作發生的問題:
當現有的 Microsoft Entra Connect 部署已停用密碼同步化,而且您正要嘗試將使用者登入方法設定為「傳遞驗證」時,就會發生此問題。 套用變更時,精靈會同時啟用傳遞驗證和密碼同步化。 透過此修正,精靈不再啟用密碼同步化。
以前,密碼同步化是啟用傳遞驗證的必要條件。 當您將使用者登入方法設定為「傳遞驗證」時,精靈會同時啟用傳遞驗證和密碼同步化。 最近,已移除密碼同步化作為必要條件。 在 Microsoft Entra Connect 1.1.557.0 版中,已變更 Microsoft Entra Connect,以便在您將使用者登入方法設定為「傳遞驗證」時不啟用密碼同步化。 不過,此變更僅適用於 Microsoft Entra Connect 安裝。 透過此修正,相同的變更也適用於「變更使用者登入」工作。
請注意,如果您嘗試啟用/停用無縫單一登入,也會發生相同的問題。 尤其,現有的 Microsoft Entra Connect 部署已停用密碼同步化,而且已將使用者登入方法設定為「傳遞驗證」。 當使用者登入方法仍設定為 [傳遞驗證] 時,您嘗試使用「變更使用者登入」工作,勾選/取消勾選 [啟用無縫單一登入] 選項。 套用變更時,精靈會啟用密碼同步化。 透過此修正,精靈不再啟用密碼同步化。
已修正導致 Microsoft Entra Connect 升級失敗的問題,錯誤為「無法升級同步處理服務」。 此外,啟動同步處理服務時,不再出現事件錯誤「服務無法啟動,因為資料庫的版本比已安裝的二進位檔版本還新」。 當執行升級的系統管理員對 Microsoft Entra Connect 正在使用的 SQL 伺服器沒有 sysadmin 權限,便會發生此問題。 透過此修正,Microsoft Entra Connect 只需要系統管理員在升級期間對 ADSync 資料庫具有 db_owner 權限。
已修正 Microsoft Entra Connect 升級問題,此問題影響已啟用無縫單一登入的客戶。 在 Microsoft Entra Connect 升級之後,即使功能仍保持啟用狀態且完全正常運作,無縫單一登入在 Microsoft Entra Connect 精靈中不正確地顯示為已停用。 透過此修正,現在功能在精靈中正確地顯示為已啟用。
已修正下列問題:導致 Microsoft Entra Connect 精靈在 [準備好設定] 頁面上永遠顯示「設定來源錨點」提示,即使未進行任何與來源錨點相關的變更。
在執行 Microsoft Entra Connect 的手動就地升級時,需要客戶提供對應 Microsoft Entra 租用戶的全域管理員認證。 以前,即使全域管理員的認證屬於不同的 Microsoft Entra 租用戶,升級仍能繼續進行。 雖然升級似乎完全成功,但是某些設定由於升級而未正確地保存。 透過這項變更,如果提供的認證與 Microsoft Entra 租用戶不符,精靈就會阻止升級繼續進行。
已移除在開始手動升級時不必要地重新啟動 Microsoft Entra Connect 健全狀況服務的備援邏輯。
新功能和改進
- 已新增邏輯以簡化使用 Microsoft Germany Cloud 設定 Microsoft Entra Connect 所需的步驟。 以前,您需要更新 Microsoft Entra Connect 伺服器上的特定登錄機碼,才能正確地使用 Microsoft Germany Cloud,如本文所述。 現在,Microsoft Entra Connect 可以根據設定期間提供的混合式身分識別管理員認證,自動偵測您的租用戶是否位於 Microsoft Germany Cloud。
Microsoft Entra Connect Sync
注意
注意:同步處理服務具有 WMI 介面,可讓您開發專屬的自訂排程器。 此介面現在已被取代,而且將從 2018 年 6 月 30 日之後提供的 Microsoft Entra Connect 版本中移除。 想要自訂同步處理排程的客戶應使用內建排程器。
已修正的問題
當 Microsoft Entra Connect 精靈建立從內部部署 Active Directory 同步處理變更所需的 AD 連接器帳戶時,這不會正確地將讀取 PublicFolder 物件所需的權限指派給帳戶。 此問題會同時影響快速安裝和自訂安裝。 這項變更會修正此問題。
已修正下列問題:導致未對從 Windows Server 2016 執行的系統管理員正確地呈現 Microsoft Entra Connect 精靈疑難排解頁面。
新功能和改進
使用 Microsoft Entra Connect 精靈疑難排解頁面,針對密碼同步進行疑難排解時,疑難排解頁面現在會傳回網域特定狀態。
以前,如果您嘗試啟用密碼雜湊同步處理,Microsoft Entra Connect 並不會驗證 AD 連接器帳戶是否具有必要的權限,可同步處理來自內部部署 AD 的密碼雜湊。 現在,如果 AD 連接器帳戶沒有足夠的權限,Microsoft Entra Connect 精靈將確認並警告您。
AD FS 管理
已修正的問題
- 已修正與使用 ms-DS-ConsistencyGuid 作為來源錨點功能相關的問題。 此問題會影響已將「與 AD FS 同盟」設定為使用者登入方法的客戶。 當您在精靈中執行「設定來源錨點」工作時,Microsoft Entra Connect 會切換成使用 * ms-DS-ConsistencyGuid 作為 immutableId 的來源屬性。 進行這項變更時,Microsoft Entra Connect 會嘗試更新 AD FS 中 ImmutableId 的宣告規則。 不過,這個步驟失敗,因為 Microsoft Entra Connect 沒有設定 AD FS 所需的系統管理員認證。 透過此修正,現在當您執行「設定來源錨點」工作時,Microsoft Entra Connect 會提示您輸入 AD FS 的系統管理員認證。
1.1.614.0
狀態:2017 年 9 月 5 日
Microsoft Entra Connect
已知問題
此處有導致 Microsoft Entra Connect 升級失敗的已知問題,錯誤為「無法升級同步處理服務」。 此外,啟動同步處理服務時,不再出現事件錯誤「服務無法啟動,因為資料庫的版本比已安裝的二進位檔版本還新」。 當執行升級的系統管理員對 Microsoft Entra Connect 正在使用的 SQL 伺服器沒有 sysadmin 權限,便會發生此問題。 Dbo 權限不足。
此處有 Microsoft Entra Connect 升級的已知問題,影響已啟用無縫單一登入的客戶。 升級 Microsoft Entra Connect 之後,即使該功能維持啟用,在精靈中此功能也會呈現為停用。 未來的版本將提供此問題的修正。 若客戶擔憂該顯示問題,可在精靈中啟用無縫單一登入,手動修正問題。
已修正的問題
- 已修正在內部部署 AD FS 中啟用將 ms-DS-ConsistencyGuid 當作來源錨點功能時,導致 Microsoft Entra Connect 無法更新宣告規則的問題。 如果您嘗試針對已將 AD FS 設為登入方法的現有 Microsoft Entra Connect 部署啟用此功能,便會發生此問題。 問題發生的原因在於,精靈不會在嘗試更新 AD FS 中的宣告規則之前提示您輸入 ADFS 認證。
- 已修正在內部部署 AD 樹系停用 NTLM 的情況下,導致 Microsoft Entra Connect 無法安裝的問題。 該問題是由於 Microsoft Entra Connect 精靈在建立 Kerberos 驗證所需的資訊安全內容時,未提供完整認證所致。 這會導致 Kerberos 驗證失敗,且 Microsoft Entra Connect 精靈會切換回 NTLM。
Microsoft Entra Connect Sync
已修正的問題
- 已修正如果未填入標記屬性,將無法建立新同步處理規則的問題。
- 已修正即使 Kerberos 可使用,Microsoft Entra Connect 仍會連線到內部部署 AD 使用 NTLM 處理密碼同步化的問題。 如果內部部署 AD 拓撲具有從備份還原的一或多個網域控制站,便會發生此問題。
- 已修正升級後會導致出現不必要的完整同步處理步驟的問題。 一般而言,如果現成的同步處理規則有所變更,才需要在升級後執行完整的同步處理步驟。 問題原因在於變更偵測邏輯發生錯誤,當碰到同步處理規則運算式有新行字元時,會誤偵測到變更。 新行字元會插入到同步處理規則運算式,以提高可讀性。
- 已修正會導致 Microsoft Entra Connect 伺服器在自動升級後無法正常運作的問題。 此問題會影響 Microsoft Entra Connect 伺服器 1.1.443.0 版 (或更早的版本)。 如需此問題的詳細資訊,請參閱 Microsoft Entra Connect 在自動升級之後無法正常運作 一文。
- 已修正會導致遇到錯誤時每隔 5 分鐘重試自動升級的問題。 藉由修正,自動升級會在遇到錯誤時使用指數退避法重試。
- 已修正 Windows 應用程式事件記錄將密碼同步化事件 611 錯誤顯示為資訊而非錯誤的問題。 只要密碼同步化發生問題,都會產生事件 611。
- 已修正未選取群組回寫所需的 OU 即允許啟用群組回寫功能的 Microsoft Entra Connect 精靈問題。
新功能和改進
- 已將疑難排解工作新增到 Microsoft Entra Connect 精靈的 [其他工作] 之下。 客戶可以利用這項工作,對於密碼同步化的相關問題進行疑難排解,並收集一般診斷資訊。 未來,疑難排解工作將會擴大納入其他目錄同步作業的相關問題。
- Microsoft Entra Connect 現在支援新的安裝模式,稱為使用現有的資料庫。 此安裝模式可讓客戶安裝指定現有 ADSync 資料庫的 Microsoft Entra Connect。 如需這項功能的詳細資訊,請參閱文章使用現有的資料庫。
- 為了提升安全性,Microsoft Entra Connect 現在預設使用 TLS1.2 連線到 Microsoft Entra ID 進行目錄同步作業。 先前預設使用 TLS1.0。
- 啟動 Microsoft Entra Connect 密碼同步處理代理程式時,將會嘗試連線到 Microsoft Entra 已知端點進行密碼同步化。 連線成功時,將會重新導向到區域特定端點。 先前,密碼同步化代理程式會快取區域特定的端點,直到重新啟動為止。 現在如果代理程式遇到區域特定端點的連線問題,會清除快取,並重試已知端點。 快取的區域特定端點無法繼續使用時,這項變更可確保密碼同步化可以容錯移轉至不同的區域特定端點。
- 若要同步處理內部部署 AD 樹系的變更,需要 AD DS 帳戶。 您可以 (i) 自行建立 AD DS 帳戶,並將其認證提供給 Microsoft Entra Connect,或 (ii) 提供企業系統管理員的認證,並讓 Microsoft Entra Connect 為您建立 AD DS 帳戶。 過去,(i) 為 Microsoft Entra Connect 精靈的預設選項。 現在,(ii) 是預設選項。
Microsoft Entra Connect Health
新功能和改進
- 已新增 Microsoft Azure Government Cloud 和 Microsoft Cloud Germany 的支援。
AD FS 管理
已修正的問題
- AD prep PowerShell 模組中的 Initialize-ADSyncNGCKeysWriteBack Cmdlet 並未正確地將 ACL 套用至裝置註冊容器,因此僅會繼承現有的權限。 已經過更新,因此同步服務帳戶會有正確的權限。
新功能和改進
- Microsoft Entra Connect 驗證已更新 ADFS 登入工作,因此會依照 Microsoft Online 而非僅從 ADFS 擷取權杖驗證登入。
- 使用 Microsoft Entra Connect 設定新的 ADFS 伺服器陣列時,由於已移動要求提供 ADFS 認證的頁面,因此現在會在要求使用者提供 ADFS 和 WAP 伺服器之前出現。 這可讓 Microsoft Entra Connect 檢查指定的帳戶是否有正確的權限。
- 在 Microsoft Entra Connect 升級期間,如果 ADFS Microsoft Entra ID Trust 無法更新,則不會再進行升級。 如果發生這種情況,使用者將看見適當的警告訊息,並且應該透過 Microsoft Entra Connect 其他工作繼續重設該信任。
無縫單一登入
已修正的問題
- 已修正嘗試啟用無縫單一登入會導致 Microsoft Entra Connect 精靈傳回錯誤的問題。 錯誤訊息是「Microsoft Entra Connect 驗證代理程式的設定失敗。」此問題會影響到已按照此篇文章所述的步驟手動升級傳遞驗證的預覽版驗證代理程式的客戶。
1.1.561.0
狀態:2017 年 7 月 23 日
Microsoft Entra Connect
已修正的問題
已修正導致現成同步處理規則 “Out to AD - User ImmutableId” 遭到移除的問題:
升級 Microsoft Entra Connect 時,或是使用 Microsoft Entra Connect 精靈中的工作選項 [更新同步處理設定] 更新 Microsoft Entra Connect 同步處理設定時,便會發生此問題。
此同步處理規則適用於已啟用 ms-DS-ConsistencyGuid 作為來源錨點功能的客戶。 此功能已在版本 1.1.524.0 和之後版本中引入。 移除同步處理規則之後,Microsoft Entra Connect 便無法再使用 ObjectGuid 屬性值填入內部部署 AD ms-DS-ConsistencyGuid 屬性。 這無法防止將新的使用者佈建至 Microsoft Entra ID。
只要已啟用此功能,此修正就可確保在升級期間或設定變更期間,將不再移除同步處理規則。 對於已受到此問題影響的現有客戶,此修正也可確保在升級至這個版本的 Microsoft Entra Connect 之後,會重新新增此同步處理規則。
已修正導致現成同步處理規則之優先順序值小於 100 的問題:
通常會將優先順序值 0-99 保留給自訂同步處理規則。 在升級期間,會更新現成同步處理規則的優先順序值,以容納同步處理規則變更。 由於發生此問題,因而可能會為現成同步處理規則指派小於 100 的優先順序值。
此修正可防止在升級期間發生此問題。 不過,不會針對已受到此問題影響的現有客戶還原優先順序值。 未來將提供個別的修正,以協助進行還原。
已修正即使已啟用 OU 型篩選,Microsoft Entra Connect 精靈中的「網域和 OU 篩選畫面」還是會顯示已選取 [同步所有網域及 OU] 選項的問題。
已修正導致 Synchronization Service Manager 中的 [設定目錄分割] 畫面在按一下 [重新整理] 按鈕時傳回錯誤的問題。 錯誤訊息是「重新整理網域時發生錯誤:無法將物件從 'System.Collections.ArrayList' 類型轉換為 ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject' 類型。」將新的 AD 網域新增至現有的 AD 樹系,而且您嘗試使用 [重新整理] 按鈕更新 Microsoft Entra Connect 時,就會發生此錯誤。
新功能和改進
- 自動升級功能已擴充,能夠支援具備下列設定的客戶:
- 您已啟用裝置回寫功能。
- 您已啟用群組回寫功能。
- 安裝不是快速設定或 DirSync 升級。
- Metaverse 中的物件超過 100,000 個。
- 您正連接到超過一個樹系。 快速安裝只會連接到一個樹系。
- AD 連接器帳戶不再是預設 Microsoft Graph PowerShell 帳戶。
- 伺服器已設定為處於預備模式。
- 您已啟用使用者回寫功能。
注意
[自動升級] 功能的範圍擴充會影響使用 Microsoft Entra Connect 組建 1.1.105.0 和之後版本的客戶。 如果您不想讓 Microsoft Entra Connect 伺服器自動升級,則必須在 Microsoft Entra Connect 伺服器上執行下列 Cmdlet:Set-ADSyncAutoUpgrade -AutoUpgradeState disabled
。 如需啟用/停用自動升級的詳細資訊,請參閱 Microsoft Entra Connect︰自動升級一文。
1.1.558.0
狀態:不會發行。 這個組建中的變更隨附於版本 1.1.561.0 中。
Microsoft Entra Connect
已修正的問題
已修正導致在更新 OU 型篩選設定時,讓現成同步處理規則 “Out to AD - User ImmutableId” 遭到移除的問題。 需要有此同步處理規則,才能將 ms-DS-ConsistencyGuid 作為來源錨點功能。
已修正即使已啟用 OU 型篩選,Microsoft Entra Connect 精靈中的「網域和 OU 篩選畫面」還是會顯示已選取 [同步所有網域及 OU] 選項的問題。
已修正導致 Synchronization Service Manager 中的 [設定目錄分割] 畫面在按一下 [重新整理] 按鈕時傳回錯誤的問題。 錯誤訊息是「重新整理網域時發生錯誤:無法將物件從 'System.Collections.ArrayList' 類型轉換為 ‘Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject' 類型。」將新的 AD 網域新增至現有的 AD 樹系,而且您嘗試使用 [重新整理] 按鈕更新 Microsoft Entra Connect 時,就會發生此錯誤。
新功能和改進
- 自動升級功能已擴充,能夠支援具備下列設定的客戶:
- 您已啟用裝置回寫功能。
- 您已啟用群組回寫功能。
- 安裝不是快速設定或 DirSync 升級。
- Metaverse 中的物件超過 100,000 個。
- 您正連接到超過一個樹系。 快速安裝只會連接到一個樹系。
- AD 連接器帳戶不再是預設 Microsoft Graph PowerShell 帳戶。
- 伺服器已設定為處於預備模式。
- 您已啟用使用者回寫功能。
注意
[自動升級] 功能的範圍擴充會影響使用 Microsoft Entra Connect 組建 1.1.105.0 和之後版本的客戶。 如果您不想讓 Microsoft Entra Connect 伺服器自動升級,則必須在 Microsoft Entra Connect 伺服器上執行下列 Cmdlet:Set-ADSyncAutoUpgrade -AutoUpgradeState disabled
。 如需啟用/停用自動升級的詳細資訊,請參閱 Microsoft Entra Connect︰自動升級一文。
1.1.557.0
狀態:2017 年 7 月
Microsoft Entra Connect
已修正的問題
- 已修正 Initialize-ADSyncDomainJoinedComputerSync Cmdlet 的問題,此問題會導致現有服務連接點物件上設定的驗證網域遭到變更,即使它仍是有效網域也一樣。 當您的 Microsoft Entra 租用戶具有多個驗證網域可用來設定服務連接點時,便會發生此問題。
新功能和改進
密碼回寫現在適用於透過 Microsoft Azure Government 雲端和 Microsoft Cloud Germany 進行預覽。 如需 Microsoft Entra Connect 支援不同服務執行個體的詳細資訊,請參閱 Microsoft Entra Connect:執行個體的特殊考量。
Initialize-ADSyncDomainJoinedComputerSync Cmdlet 現在有一個名為 AzureADDomain 的新選擇性參數。 這個參數可讓您指定要使用哪一個驗證網域來設定服務連接點。
傳遞驗證
新功能和改進
傳遞驗證所需的代理程式名稱已從 Microsoft Entra 私人網路連接器變更為 Microsoft Entra Connect 驗證代理程式。
啟用傳遞驗證預設不再啟用密碼雜湊同步處理。
1.1.553.0
狀態:2017 年 6 月
重要
這個組建引進了結構描述和同步處理規則變更。 升級之後,Microsoft Entra Connect 同步處理服務將會觸發完整匯入和完整同步處理步驟。 變更的詳細資料如下所述。 若要在升級之後,暫時延遲完整匯入和完整同步處理步驟,請參閱如何延遲升級之後的完整同步處理。
Microsoft Entra Connect Sync
已知問題
- 有個問題會影響搭配 Microsoft Entra Connect 同步處理使用 OU 型篩選的客戶。當您在 Microsoft Entra Connect 精靈中瀏覽至網域和 OU 篩選頁面時,預期會有下列行為:
- 如果已啟用 OU 型篩選,即會選取 [同步所選取的網域及 OU] 選項。
- 否則,會選取 [同步所有網域及 OU] 選項。
發生的問題是當您執行精靈時,一律會選取 [同步所有網域及 OU] 選項。 即使先前已設定 OU 型篩選,還是會發生此問題。 在儲存任何 Microsoft Entra Connect 設定變更之前,請確定已選取 [同步處理選取的網域及 OU] 選項,並確認已啟用所有需要同步處理的 OU。 否則,將會停用 OU 型篩選。
已修正的問題
已修正密碼回寫的問題,可讓 Microsoft Entra 系統管理員重設內部部署中有 AD 特殊權限使用者帳戶的密碼。 在透過具特殊權限的帳戶為 Microsoft Entra Connect 授與重設密碼權限時,便會發生此問題。 此問題在這個版本的 Microsoft Entra Connect 中已獲解決,方法是不允許 Microsoft Entra 系統管理員重設內部部署 AD 權限使用者帳戶的密碼。 如需詳細資訊,請參閱資訊安全諮詢 4033453。
已修正與 ms-DS-ConsistencyGuid 作為來源錨點功能相關的問題,其中 Microsoft Entra Connect 不會回寫至內部部署 AD ms-DS-ConsistencyGuid 屬性。 有多個已新增至 Microsoft Entra Connect 的內部部署 AD 樹系,而且已選取 [使用者識別身分存在於多個目錄之間選項]時,即會發生此問題。 使用這類設定時,Metaverse 中的結果同步處理規則就不會填入 sourceAnchorBinary 屬性。 sourceAnchorBinary 屬性可用來作為 ms-DS-ConsistencyGuid 屬性的來源屬性。 如此一來,便不會發生回寫至 ms-DSConsistencyGuid 屬性。 為了修正此問題,已更新下列同步處理規則,以確保一律會填入 Metaverse 中的 sourceAnchorBinary 屬性:
In from AD - InetOrgPerson AccountEnabled.xml
In from AD - InetOrgPerson Common.xml
In from AD - User AccountEnabled.xml
In from AD - User Common.xml
In from AD - User Join SOAInAAD.xml
在過去,即使未啟用 ms-DS-ConsistencyGuid 作為來源錨點功能,仍會將“Out to AD – User ImmutableId”同步處理規則新增至 Microsoft Entra Connect。 效果是良性的,而且不會回寫 ms-DS-ConsistencyGuid 屬性。 為了避免混淆,已新增邏輯,以確保只會在啟用此功能時新增同步處理規則。
已修正導致密碼雜湊同步處理失敗且產生錯誤事件 611 的問題。 從內部部署 AD 中移除一或多個網域控制站之後,即會發生此問題。 在每個密碼同步處理週期結束時,由內部部署 AD 所發出的同步處理 Cookie 會包含已移除網域控制站的呼叫識別碼且 USN (更新序列號碼) 值為 0。 密碼同步處理管理員無法保存包含 USN 值為 0 的同步處理 Cookie,其會失敗並產生錯誤事件 611。 在下一個同步處理週期中,密碼同步處理管理員會重複使用最後一個保存的同步處理 Cookie,其不包含 0 的 USN 值。 這會導致重新同步處理相同的密碼變更。 透過此修正,密碼同步處理管理員會正確保存同步處理 Cookie。
在過去,即使已使用 Set-ADSyncAutoUpgrade Cmdlet 停用自動升級,自動升級程序仍會繼續定期檢查升級,並依賴下載的安裝程式來遵守停用。 透過此修正,自動升級程序便不再定期檢查升級。 當適用於此 Microsoft Entra Connect 版本的升級安裝程式執行一次之後,便會自動套用此修正。
新功能和改進
在過去,ms-DS-ConsistencyGuid 作為來源錨點功能僅適用於新的部署。 現在,這可用於現有的部署。 更明確地說:
若要存取此功能,請開啟 Microsoft Entra Connect 精靈,然後選擇 [更新來源錨點] 選項。
只有使用 objectGuid 作為 sourceAnchor 屬性的現有部署才能看見此選項。
設定此選項時,精靈會驗證內部部署 Active Directory 中 ms-DS-ConsistencyGuid 屬性的狀態。 如果目錄中沒有任何使用者物件設定了此屬性,精靈就會使用 ms-DS-ConsistencyGuid 作為 sourceAnchor 屬性。 如果目錄中有一或多個使用者物件設定了此屬性,則精靈會認為其他應用程式正在使用此屬性,因此,不適合將其作為 sourceAnchor 屬性,並且不允許來源錨點變更繼續執行。 如果您確定現有應用程式並沒有使用此屬性,則請連絡支援人員,以取得如何隱藏此錯誤的資訊。
專屬於裝置物件上的 userCertificate 屬性,Microsoft Entra Connect 現在會尋找將已加入網域的裝置連接到 Microsoft Entra ID 以體驗 Windows 10 所需的憑證值,並且在同步處理至 Microsoft Entra ID 之前篩選出其餘部分。 為了啟用此行為,已更新現成的同步處理規則“Out to Microsoft Entra ID - Device Join SOAInAD”。
Microsoft Entra Connect 現在支援 Exchange Online cloudPublicDelegates 屬性到內部部署 AD publicDelegates 屬性的回寫。 這會啟用下列案例:Exchange Online 信箱可授與 SendOnBehalfTo 權限給使用內部部署 Exchange 信箱的使用者。 為了支援此功能,已新增新的現成同步處理規則 “Out to AD – User Exchange Hybrid PublicDelegates writeback”。 只有在啟用 Exchange 混合功能時,才會將此同步處理規則新增至 Microsoft Entra Connect。
Microsoft Entra Connect 現在支援從 Microsoft Entra ID 同步處理 altRecipient 屬性。 為了支援此變更,已更新下列現成的同步處理規則以包含必要的屬性流程:
In from AD – User Exchange
輸出至 Microsoft Entra ID – User ExchangeOnline
Metaverse 中的 cloudSOAExchMailbox 屬性會指出指定的使用者是否具有 Exchange Online 信箱。 它的定義已更新,以包含其他 Exchange Online RecipientDisplayTypes 作為這類設備與會議室信箱。 為了啟用此變更,已將 cloudSOAExchMailbox 屬性的定義 (可在現成的同步處理規則「In from Microsoft Entra ID – User Exchange Hybrid」下方找到) 從:
CBool(IIF(IsNullOrEmpty([cloudMSExchRecipientDisplayType]),NULL,BitAnd([cloudMSExchRecipientDisplayType],&HFF) = 0))
...更新為下列內容:
CBool( IIF(IsPresent([cloudMSExchRecipientDisplayType]),( IIF([cloudMSExchRecipientDisplayType]=0,True,( IIF([cloudMSExchRecipientDisplayType]=2,True,( IIF([cloudMSExchRecipientDisplayType]=7,True,( IIF([cloudMSExchRecipientDisplayType]=8,True,( IIF([cloudMSExchRecipientDisplayType]=10,True,( IIF([cloudMSExchRecipientDisplayType]=16,True,( IIF([cloudMSExchRecipientDisplayType]=17,True,( IIF([cloudMSExchRecipientDisplayType]=18,True,( IIF([cloudMSExchRecipientDisplayType]=1073741824,True,( IF([cloudMSExchRecipientDisplayType]=1073741840,True,False)))))))))))))))))))),False))
已新增下列這組 X509Certificate2 相容的函式,可用來建立同步處理規則運算式,以處理 userCertificate 屬性中的憑證值:
CertSubject
CertIssuer
CertKeyAlgorithm
CertSubjectNameDN
CertIssuerOid
CertNameInfo
CertSubjectNameOid
CertIssuerDN
IsCert
CertFriendlyName
CertThumbprint
CertExtensionOids
CertFormat
CertNotAfter
CertPublicKeyOid
CertSerialNumber
CertNotBefore
CertPublicKeyParametersOid
CertVersion
CertSignatureAlgorithmOid
選取
CertKeyAlgorithmParams
CertHashString
其中
With
已引進下列結構描述變更,以允許客戶建立自訂的同步處理規則來流動群組物件的 sAMAccountName、domainNetBios 和 domainFQDN,以及使用者物件的 distinguishedName:
已將下列屬性新增至 MV 結構描述中:
群組:AccountName
群組:domainNetBios
群組:domainFQDN
人員:distinguishedName
已將下列屬性新增至 Microsoft Entra 連接器結構描述中:
群組:OnPremisesSamAccountName
群組:NetBiosName
群組:DnsDomainName
使用者:OnPremisesDistinguishedName
ADSyncDomainJoinedComputerSync Cmdlet 現在有一個名為 AzureEnvironment 的新選擇性參數。 此參數可用來指定裝載對應 Microsoft Entra 租用戶的區域。 有效值包括:
AzureCloud (預設值)
AzureChinaCloud
AzureGermanyCloud
USGovernment
已更新的同步處理規則編輯器,可在同步處理規則建立期間,使用聯結 (而非佈建) 作為連結類型的預設值。
AD FS 管理
已修正的問題
下列 URL 是由 Microsoft Entra ID 所引進的新 Web 服務同盟端點,可改善驗證中斷的復原,而且將會新增至內部部署 AD FS 信賴憑證者信任設定中:
https://ests.login.microsoftonline.com/login.srf
https://stamp2.login.microsoftonline.com/login.srf
已修正導致 AD FS 針對 IssuerID 產生錯誤宣告值的問題。 如果 Microsoft Entra 租用戶中有多個已驗證的網域,且用來產生 IssuerID 宣告的 userPrincipalName 屬性的網域尾碼深度至少有 3 層 (例如 johndoe@us.contoso.com),便會發生此問題。 已藉由更新宣告規則所使用的 RegEx 來解決此問題。
新功能和改進
- 在過去,Microsoft Entra Connect 所提供的 ADFS 憑證管理功能僅能與透過 Microsoft Entra Connect 管理的 ADFS 伺服器陣列搭配使用。 現在,您可以將此功能與未使用 Microsoft Entra Connect 管理的 ADFS 農場陣列搭配使用。
1.1.524.0
發行日期:2017 年 5 月
重要
這個組建引進了結構描述和同步處理規則變更。 升級之後,Microsoft Entra Connect 同步處理服務將會觸發完整匯入和完整同步處理步驟。 變更的詳細資料如下所述。
修正的問題:
Microsoft Entra Connect Sync
- 已修正導致下列情況的問題:即使客戶已使用 Set-ADSyncAutoUpgrade Cmdlet 停用此功能,Microsoft Entra Connect 伺服器仍發生自動升級。 透過此修正,伺服器上的自動升級程序仍會定期檢查升級,但下載的安裝程式會接受自動升級組態。
- 在 DirSync 就地升級期間,Microsoft Entra Connect 會建立 Microsoft Entra 服務帳戶,以供 Microsoft Entra 連接器用來與 Microsoft Entra ID 同步處理。 建立帳戶之後,Microsoft Entra Connect 會使用帳戶向 Microsoft Entra ID 進行驗證。 有時候,驗證會因為暫時性問題而失敗,這會導致 DirSync 就地升級失敗,並出錯「實行設定 Azure AD 同步工作時發生錯誤︰AADSTS50034︰若要登入此應用程式,必須將帳戶新增至 xxx.onmicrosoft.com 目錄。」錯誤為了改善 DirSync 升級的彈性,Microsoft Entra Connect 現在會重試驗證步驟。
- 組建 443 發生問題,其導致 DirSync 就地升級成功,但未建立目錄同步作業所需的執行設定檔。 修復邏輯已包含在 Microsoft Entra Connect 的組建中。 當客戶升級到此組建時,Microsoft Entra Connect 會偵測遺漏的執行設定檔並加以建立。
- 已修正導致下列情況的問題:密碼同步處理程序無法啟動,出現事件識別碼 6900 和「已新增具有相同索引鍵的項目」錯誤。 如果您將 OU 篩選組態更新為包含 AD 組態分割,就會發生此問題。 若要修正此問題,密碼同步處理程序現在只會從 AD 網域分割同步處理密碼變更。 系統會略過非網域分割,例如組態分割。
- 在快速安裝期間,Microsoft Entra Connect 會建立內部部署 AD DS 帳戶,以供 AD 連接器用來與內部部署 AD 通訊。 先前建立此帳戶時,PASSWD_NOTREQD 旗標設定於 user-Account-Control 屬性上,而隨機密碼會設定於此帳戶上。 現在,Microsoft Entra Connect 會在密碼設定於帳戶之後,明確地移除 PASSWD_NOTREQD 旗標。
- 已修正導致下列情況的問題:在內部部署 AD 結構描述中找到 mailNickname 屬性,但該屬性並未繫結至 AD 使用者物件類別時,DirSync 升級失敗,並出現「嘗試取得應用程式鎖定的 SQL Server 發生死結」錯誤。
- 已修正導致下列情況的問題:當系統管理員使用 Microsoft Entra Connect 精靈更新 Microsoft Entra Connect Sync 組態時,裝置回寫功能自動停用。 這個問題是由針對內部部署 AD 中現有裝置回寫設定執行先決條件檢查的精靈所造成,而且檢查會失敗。 如果先前已啟用裝置回寫,此修正就會略過檢查。
- 若要設定 OU 篩選,您可以使用 Microsoft Entra Connect 精靈或 Synchronization Service Manager。 先前,如果您使用 Microsoft Entra Connect 精靈來設定 OU 篩選,則會包含後來建立的新 OU 以便進行目錄同步作業。 如果您不想要包含新的 OU,您必須使用 Synchronization Service Manager 設定 OU 篩選。 現在,您可以使用 Microsoft Entra Connect 精靈達成相同的行為。
- 已修正導致下列情況的問題:Microsoft Entra Connect 所需的預存程序建立於安裝系統管理員的結構描述之下,而不是建立於 dbo 結構描述之下。
- 已修正導致下列情況的問題:Microsoft Entra Connect 伺服器事件記錄中省略 Microsoft Entra ID 所傳回的 TrackingId 屬性。 如果 Microsoft Entra Connect 收到來自 Microsoft Entra ID 和 Microsoft Entra Connect 的重新導向訊息無法連線到提供的端點,就會發生此問題。 在疑難排解期間,支援工程師可以使用 TrackingId 與服務端記錄相互關聯。
- 當 Microsoft Entra Connect 從 Microsoft Entra ID 收到 LargeObject 錯誤時,Microsoft Entra Connect 會產生一個事件 (EventID 6941) 並出現 「佈建的物件是太大」。請修剪此物件的屬性值數量」訊息。在此同時,Microsoft Entra Connect 也會產生誤導事件 (EventID 6900) 並出現「Microsoft.Online.Coexistence.ProvisionRetryException︰無法與 Windows Azure Active Directory 服務通訊。」訊息為了避免混淆,Microsoft Entra Connect 不再於收到 LargeObject 錯誤時產生後面的事件。
- 已修正導致下列情況的問題:Synchronization Service Manager 在嘗試更新「一般 LDAP 連接器」的組態時變得沒有反應。
新功能/改進︰
Microsoft Entra Connect Sync
同步處理規則變更 – 已實作下列同步處理規則變更︰
已將預設同步處理規則集更新為 userCertificate 和 userSMIMECertificate 屬性有超過 15 個值時不匯出屬性。
AD 屬性 employeeID 和 msExchBypassModerationLink 現在已包含在預設同步處理規則集中。
已經從預設同步處理規則集中移除 AD 屬性 photo。
已將 preferredDataLocation 新增至 Metaverse 結構描述和 Microsoft Entra Connector 結構描述。 想要在 Microsoft Entra ID 中更新任一屬性的客戶,可以實作自訂同步處理規則來執行此作業。
已將 userType 新增至 Metaverse 結構描述和 Microsoft Entra Connector 結構描述。 想要在 Microsoft Entra ID 中更新任一屬性的客戶,可以實作自訂同步處理規則來執行此作業。
Microsoft Entra Connect 現在會自動啟用使用 ConsistencyGuid 屬性,作為內部部署 AD 物件的來源錨點屬性。 此外,如果 ConsistencyGuid 屬性為空,Microsoft Entra Connect 就會使用 objectGuid 屬性值加以填入。 這項功能僅適用於新的部署。 若要深入了解此功能,請參閱 Microsoft Entra Connect:設計概念 - 使用 ms-DS-ConsistencyGuid 作為 sourceAnchor 文章一節。
已新增疑難排解 Cmdlet Invoke-ADSyncDiagnostics,可協助診斷密碼雜湊同步處理相關問題。 如需使用此 Cmdlet 的相關資訊,請參閱針對使用 Microsoft Entra Connect 同步執行的密碼雜湊同步處理進行疑難排解一文。
Microsoft Entra Connect 現在支援將擁有郵件功能的公用資料夾物件從內部部署 AD 同步處理到 Microsoft Entra ID。 您可以在 [選用功能] 之下使用 Microsoft Entra Connect 精靈啟用此功能。 若要瞭解有關此功能的詳細資訊,請參閱 Office 365 目錄架構邊緣封鎖支援內部部署中擁有郵件功能的公用資料夾 \(英文\) 一文。
Microsoft Entra Connect 要求 AD DS 帳戶從內部部署 AD 進行同步處理。 在過去,如果您使用快速模式安裝 Microsoft Entra Connect,就可以提供企業系統管理員帳戶的認證,且 Microsoft Entra Connect 會建立所需的 AD DS 帳戶。 不過,針對自訂安裝以及將樹系新增至現有的部署,會要求您改為提供 AD DS 帳戶。 現在,您也可以選擇在自訂安裝期間提供企業系統管理員帳戶的認證,讓 Microsoft Entra Connect 能夠建立所需的 AD DS 帳戶。
Microsoft Entra Connect 現在支援 SQL AOA。 您必須先啟用 SQL AOA,才能安裝 Microsoft Entra Connect。 在安裝期間,Microsoft Entra Connect 會偵測是否已針對 SQL AOA 啟用所提供的 SQL 執行個體。 如果已啟用 SQL AOA,Microsoft Entra Connect 會進一步瞭解是否設定 SQL AOA 以使用同步複寫或非同步複寫。 設定可用性群組接聽程式時,建議將 RegisterAllProvidersIP 屬性設定為 0。 這個建議是因為 Microsoft Entra Connect 目前使用 SQL Native Client 來連線至 SQL,且 SQL Native Client 不支援使用 MultiSubNetFailover 屬性。
如果您使用 LocalDB 作為 Microsoft Entra Connect 伺服器的資料庫,而且已達到其 10 GB 大小的限制,同步處理服務便無法再啟動。 先前,您需要在 LocalDB 上執行 ShrinkDatabase 作業,以收回足夠的 DB 空間以供同步處理服務啟動。 在那之後,您可以使用 Synchronization Service Manager 來刪除執行歷程記錄,以回收更多的 DB 空間。 現在,您可以使用 Start-ADSyncPurgeRunHistory Cmdlet 來清除 LocalDB 中的執行歷程記錄資料,以回收 DB 空間。 此外,此 cmdlet 支援可在同步處理服務未執行時使用的離線模式 (藉由指定離線參數)。 注意︰只有在同步處理服務未執行且使用的資料庫是 LocalDB 時,才能使用離線模式。
為了減少所需的儲存體空間,Microsoft Entra Connect 現在會在 LocalDB/SQL 資料庫中儲存同步處理錯誤詳細資料前加以壓縮。 從舊版 Microsoft Entra Connect 升級到此版本時,Microsoft Entra Connect 會對現有的同步處理錯誤詳細資料執行一次性壓縮。
先前,在更新 OU 篩選組態之後,您必須手動執行完整匯入,以確保目錄同步作業正確包含/排除現有的物件。 現在,Microsoft Entra Connect 會在下一個同步處理週期內自動觸發完整匯入。 此外,完整匯入只會套用至受到更新影響的 AD 連接器。 注意︰這項改進只適用於使用 Microsoft Entra Connect 精靈進行的 OU 篩選更新。 不適用於使用 Synchronization Service Manager 進行的 OU 篩選更新。
先前,以群組為基礎的篩選僅支援使用者、群組和連絡人物件。 現在,以群組為基礎的篩選也支援電腦物件。
先前,您可以刪除連接器空間資料,而不需停用 Microsoft Entra Connect Sync 排程器。 現在,如果 Synchronization Service Manager 偵測到已啟用排程器,則會阻止刪除連接器空間資料。 此外,還會傳回警告,通知客戶有關刪除連接器空間資料可能會遺失資料。
先前,您必須停用 PowerShell 謄寫,Microsoft Entra Connect 精靈才能正常執行。 此問題已部份解決。 如果您使用 Microsoft Entra Connect 精靈來管理同步處理設定,您可以啟用 PowerShell 謄寫。 如果您使用 Microsoft Entra Connect 精靈來管理 ADFS 設定,您必須停用 PowerShell 謄寫。
1.1.486.0
發行日期︰2017 年 4 月
修正的問題:
- 修正 Microsoft Entra Connect 無法在已 Windows 伺服器的當地語系化版本上成功安裝的問題。
1.1.484.0
發行日期︰2017 年 4 月
已知問題:
- 如果下列條件都成立,此 Microsoft Entra Connect 版本將無法成功安裝:
- 您執行 DirSync 就地升級或全新安裝的 Microsoft Entra Connect。
- 您使用已當地語系化的 Windows Server 版本,其中伺服器上的內建系統管理員群組名稱不是「Administrators」。
- 您使用與 Microsoft Entra Connect 一併安裝的預設 SQL Server 2012 Express LocalDB,而不是提供自己的完整 SQL。
修正的問題:
Microsoft Entra Connect Sync
- 修正當一或多個連接器遺漏某個同步處理步驟的執行設定檔時,同步排程器會略過該整個同步處理步驟的問題。 例如,您已使用 Synchronization Service Manager 來手動新增某個連接器,但沒有為它建立「差異匯入」執行設定檔。 這項修正可確保同步排程器會繼續執行其他連接器的「差異匯入」。
- 修正「同步處理服務」在遇到其中一個執行步驟發生問題時,將會立即停止處理執行設定檔的問題。 這項修正可確保「同步處理服務」會略過該執行步驟並繼續處理其餘步驟。 例如,您有一個「差異匯入」執行設定檔,用於具有多個執行步驟 (每個內部部署 AD 網域各有一個執行步驟) 的 AD 連接器。 即使其中一個 AD 網域有網路連線問題,「同步處理服務」也會在其他 AD 網域執行「差異匯入」。
- 修正導致在進行「自動升級」時略過 Microsoft Entra Connector 更新的問題。
- 修正導致 Microsoft Entra Connect 在設定時不正確地判斷伺服器是否為網域控制站的問題,進而導致 DirSync 升級失敗。
- 修正導致 DirSync 就地升級不會為 Microsoft Entra Connector 建立任何執行設定檔的問題。
- 修正在嘗試設定「一般 LDAP 連接器」時,Synchronization Service Manager 使用者介面變成沒有反應的問題。
AD FS 管理
- 修正在已將 AD FS 主要節點移至另一部伺服器的情況下,Microsoft Entra Connect 精靈會發生失敗的問題。
傳統型 SSO
- 修正 Microsoft Entra Connect 精靈中的問題,也就是在進行新安裝時,如果您選擇 [密碼同步處理] 作為登入選項,[登入] 畫面將不會讓您啟用 [桌面 SSO] 功能。
新功能/改進︰
Microsoft Entra Connect Sync
- Microsoft Entra Connect Sync 現在支援使用「虛擬服務帳戶」、「受控服務帳戶」及「群組受控服務帳戶」作為其服務帳戶。 這僅適用於新的 Microsoft Entra Connect 安裝。 安裝 Microsoft Entra Connect:
- 根據預設,Microsoft Entra Connect 精靈會建立一個「虛擬服務帳戶」,並將其使用作為其服務帳戶。
- 如果您是在網域控制站上進行安裝,Microsoft Entra Connect 就會返回先前行為,也就是會建立網域使用者帳戶,並改用其作為服務帳戶。
- 您可以透過提供下列其中一項,來覆寫預設的行為:
- 群組受控服務帳戶
- 受控服務帳戶
- 網域使用者帳戶
- 本機使用者帳戶
- 以前,如果您升級至包含連接器更新或同步處理規則變更的新組建 Microsoft Entra Connect,Microsoft Entra Connect 將觸發一個完整的同步處理週期。 現在,Microsoft Entra Connect 會選擇性地僅針對具有更新的連接器觸發「完整匯入」步驟,以及僅針對具有同步處理規則變更的連接器觸發「完整同步處理」步驟。
- 以前,「匯出刪除閾值」僅適用於透過同步排程器觸發的匯出。 現在,該功能已延伸到包含由客戶使用 Synchronization Service Manager 來手動觸發的匯出。
- 在您的 Microsoft Entra 租用戶上,有一個指出是否已為租用戶啟用「密碼同步處理」功能的服務設定。 先前,當您有作用中伺服器和暫存伺服器時,Microsoft Entra Connect 很容易以不正確的方式設定服務設定。 現在,Microsoft Entra Connect 會嘗試讓服務設定只與您的作用中 Microsoft Entra Connect 伺服器保持一致。
- 如果內部部署 AD 未啟用「AD 資源回收筒」,Microsoft Entra Connect 精靈現在會偵測到並傳回警告。
- 先前,如果批次中物件的組合大小超出特定閾值,「匯出至 Microsoft Entra ID」便會逾時。 現在,如果遇到此問題,「同步處理服務」會重新嘗試以個別、較小的批次重新傳送物件。
- 「同步處理服務金鑰管理」應用程式已從 Windows [開始] 功能表中移除。 將會透過命令列介面使用 miiskmu.exe 來繼續支援加密金鑰的管理。 如需管理加密金鑰的資訊,請參閱放棄 Microsoft Entra Connect 同步加密密鑰一文。
- 先前,如果您變更 Microsoft Entra Connect Sync 服務帳戶密碼,「同步處理服務」將會無法正確啟動,直到您放棄加密金鑰並將 Microsoft Entra Connect Sync 服務帳戶密碼重新初始化為止。 現在,不再需要此程序。
傳統型 SSO
- 設定「傳遞驗證」和「桌面 SSO」時,Microsoft Entra Connect 精靈已不再需要於網路上開啟連接埠 9090。 只需要開啟連接埠 443。
1.1.443.0
發行日期︰2017 年 3 月
修正的問題:
Microsoft Entra Connect Sync
- 修正當「Microsoft Entra 連接器」的顯示名稱不包含指派給 Microsoft Entra 租用戶的初始 onmicrosoft.com 網域時,造成 Microsoft Entra Connect 精靈發生失敗的問題。
- 修正當「同步處理服務帳戶」的密碼包含特殊字元 (例如單引號、冒號和空格) 時,將會造成 Microsoft Entra Connect 精靈在連線到 SQL Database 時發生失敗的問題。
- 已修正在暫時將內部部署 AD 物件從同步作業中排除又再重新包含在同步作業之後,將會造成處於預備模式的 Microsoft Entra Connect 伺服器上發生「映像具有與映像不同錨點」錯誤的問題。
- 修正在您暫時將內部部署 AD 物件從同步處理作業中排除又再重新包含在同步處理作業中之後,將會造成在處於預備模式的 Microsoft Entra Connect 伺服器上發生「DN 所定位的物件是虛設項目」錯誤的問題。
AD FS 管理
- 修正在設定「替代登入 ID」之後,Microsoft Entra Connect 精靈不會更新 AD FS 設定並在信賴憑證者信任上設定正確宣告。
- 修正 Microsoft Entra Connect 精靈無法正確處理服務帳戶是使用 userPrincipalName 格式,而非 sAMAccountName 格式設定的 AD FS 伺服器。
傳遞驗證
- 修正在已選取「傳遞驗證」但註冊其連接器失敗的情況下,將會造成 Microsoft Entra Connect 精靈發生失敗的問題。
- 修正在已啟用「桌面 SSO」功能的情況下,將會造成 Microsoft Entra Connect 精靈在所選登入方法上略過驗證檢查的問題。
密碼重設
- 修正防火牆或代理程式伺服器已清除連線時,可能導致 Microsoft Entra Connect 伺服器不會嘗試重新連線的問題。
新功能/改進︰
Microsoft Entra Connect Sync
- Get-ADSyncScheduler Cmdlet 現在會傳回一個名為 SyncCycleInProgress 的新布林值屬性。 如果傳回的值為 true,即表示有已排定進行中的同步處理循環。
- 用來儲存 Microsoft Entra Connect 安裝和設定記錄的目的地資料夾已經從
%localappdata%\AADConnect
移到%programdata%\AADConnect
,以提升記錄的存取便利性。
AD FS 管理
- 已新增對更新 AD FS 伺服器陣列 TLS/SSL 憑證的支援。
- 新增對管理 AD FS 2016 的支援。
- 您現在可以在安裝 AD FS 時指定現有的 gMSA (群組受控服務帳戶)。
- 您現在可以為 Microsoft Entra ID 信賴憑證者信任設定 SHA-256 作為簽章雜湊演算法。
密碼重設
- 已導入允許產品在具有更嚴格防火牆規則的環境中運作的增強功能。
- 已改良對 Azure 服務匯流排的連線可靠性。
1.1.380.0
發行日期︰2016 年 12 月
已修正問題:
- 修正此組建中遺漏 Active Directory Federation Services (AD FS) 之 issuerid 宣告規則的問題。
注意
此組建無法透過 Microsoft Entra Connect 自動升級功能提供客戶使用。
1.1.371.0
發行日期︰2016 年 12 月
已知問題:
- 此組建中遺漏 ADFS 的 issuerid 宣告規則。 如果您要讓多個網域與 Microsoft Entra ID 同盟,就必須要有此 issuerid 宣告規則。 如果您使用 Microsoft Entra Connect 來管理您的內部部署 AD FS 部署,則升級至此組建將會從 AD FS 設定中移除現有的 issuerid 宣告規則。 您可以在安裝/升級後新增 issuerid 宣告規則來解決此問題。 如需有關新增 issuerid 宣告規則的詳細資料,請參閱與 Microsoft Entra ID 同盟的多個網域支援 (部分機器翻譯) 一文。
已修正問題:
- 如果未開啟連接埠 9090 供輸出連線,Microsoft Entra Connect 安裝或升級失敗。
注意
此組建無法透過 Microsoft Entra Connect 自動升級功能提供客戶使用。
1.1.370.0
發行日期︰2016 年 12 月
已知問題:
- 此組建中遺漏 ADFS 的 issuerid 宣告規則。 如果您要讓多個網域與 Microsoft Entra ID 同盟,就必須要有此 issuerid 宣告規則。 如果您使用 Microsoft Entra Connect 來管理您的內部部署 AD FS 部署,則升級至此組建將會從 AD FS 設定中移除現有的 issuerid 宣告規則。 您可以在安裝/升級後新增 issuerid 宣告規則來解決此問題。 如需有關新增 issuerid 宣告規則的詳細資料,請參閱與 Microsoft Entra ID 同盟的多個網域支援 (部分機器翻譯) 一文。
- 連接埠 9090 必須開啟輸出以完成安裝。
新功能:
- 傳遞驗證。
注意
此組建無法透過 Microsoft Entra Connect 自動升級功能提供客戶使用。
1.1.343.0
發行日期:2016 年 11 月
已知問題:
- 此組建中遺漏 ADFS 的 issuerid 宣告規則。 如果您要讓多個網域與 Microsoft Entra ID 同盟,就必須要有此 issuerid 宣告規則。 如果您使用 Microsoft Entra Connect 來管理您的內部部署 AD FS 部署,則升級至此組建將會從 AD FS 設定中移除現有的 issuerid 宣告規則。 您可以在安裝/升級後新增 issuerid 宣告規則來解決此問題。 如需有關新增 issuerid 宣告規則的詳細資料,請參閱與 Microsoft Entra ID 同盟的多個網域支援 (部分機器翻譯) 一文。
修正的問題:
- 有時候,Microsoft Entra Connect 安裝失敗,因為無法建立密碼符合組織密碼原則所指定複雜程度的本機服務帳戶。
- 已修正以下問題:當連接器空間中的物件同時落在某個聯結規則的範圍外以及另一個聯結規則的範圍內時,不會重新評估聯結規則。 如果有兩個或多個聯結規則的聯結條件互斥,也可能發生此問題。
- 已修正以下問題:相較於包含聯結規則的輸入同步處理規則,如果未包含聯結規則的輸入同步處理規則 (來自 Microsoft Entra ID) 具有較低的優先順序值,則不會處理未包含聯結規則的輸入同步處理規則。
改善:
- 已新增在 Windows Server 2016 標準或更新版本上安裝 Microsoft Entra Connect 的支援。
- 已新增使用 SQL Server 2016 作為 Microsoft Entra Connect 遠端資料庫的支援。
1.1.281.0
發行日期:2016 年 8 月
修正的問題:
- 直到下一個同步週期完成後,才會進行同步間隔的變更。
- Microsoft Entra Connect 精靈不接受使用者名稱以底線 (_) 開頭的 Microsoft Entra 帳戶。
- 如果帳戶密碼包含太多特殊字元,Microsoft Entra Connect 精靈便無法驗證 Microsoft Entra 帳戶。 此時會傳回「無法驗證認證。 已發生未預期的錯誤。」
- 解除安裝暫存伺服器會使 Microsoft Entra 租用戶的密碼同步處理停用,並導致作用中伺服器的密碼同步作業失敗。
- 在使用者未儲存任何密碼雜湊的罕見情況下,密碼同步處理會失敗。
- 當針對暫存模式啟用 Microsoft Entra Connect 伺服器時,不會暫時停用密碼回寫。
- 當伺服器處於預備模式時,Microsoft Entra Connect 精靈不會顯示實際的密碼同步處理和密碼回寫組態。 這些一律會顯示為停用。
- 伺服器處於預備模式時,Microsoft Entra Connect 精靈不會保存密碼同步處理和密碼回寫的組態變更。
改善:
- 已更新 Start-ADSyncSyncCycle Cmdlet,表示是否可成功啟動新的同步週期。
- 已新增 Stop-ADSyncSyncCycle Cmdlet,可終止目前正在進行中的同步處理週期和作業。
- 已更新 Stop-ADSyncScheduler Cmdlet,可終止目前正在進行中的同步處理週期和作業。
- 在 Microsoft Entra Connect 精靈中設定目錄延伸模組時,現在可以選取「Teletex 字串」類型的 Microsoft Entra 屬性。
1.1.189.0
發行日期:2016 年 6 月
已修正的問題和改進︰
- 現在,Microsoft Entra Connect 可以安裝在符合 FIPS 規範的伺服器上。
- 針對密碼同步處理,請參閱密碼雜湊同步處理和 FIPS。
- 已修正下列問題:NetBIOS 名稱無法解析為 Active Directory 連接器中的 FQDN。
1.1.180.0
發行日期:2016 年 5 月
新功能:
- 如果您未先驗證網域便執行 Microsoft Entra Connect,將會發出警告並協助您驗證網域。
- 已新增對 Microsoft Cloud Germany的支援。
- 已新增對最新 Microsoft Azure Government 雲端 基礎結構與新的 URL 需求的支援。
已修正的問題和改進︰
- 對同步處理規則編輯器新增篩選,以更加容易找到同步處理規則。
- 提升刪除連接器空間時的效能。
- 修正在同一個回合中同時刪除和新增相同物件 (稱為刪除/新增) 時的問題。
- 已停用的同步處理規則不會在升級或目錄結構描述重新整理時,再重新啟用包含的物件和屬性。
1.1.130.0
發行日期︰2016 年 4 月
新功能:
1.1.119.0
發行日期︰2016 年 3 月
修正的問題:
- 請確定 Windows Server 2008 (發行前 R2) 上無法使用快速安裝,因為此作業系統不支援密碼同步處理。
- 使用自訂篩選器設定從 DirSync 升級並未如預期般運作。
- 升級至較新版本且沒有進行任何設定變更時,不應排程完整匯入/同步處理。
1.1.110.0
發行日期︰2016 年 2 月
修正的問題:
- 如果安裝不是位於預設的 C:\Program Files 資料夾中,則無法從舊版升級。
- 如果您安裝並在結束安裝精靈時清除 [啟動同步處理程序],再次執行安裝精靈將不會啟用排程器。
- 在日期/時間格式並非美式英文的伺服器上,排程器將無法正常運作。 並且會封鎖
Get-ADSyncScheduler
傳回正確的時間。 - 如果您是以 AD FS 做為登入選項和升級,來安裝舊版 Microsoft Entra Connect,便無法再次執行安裝精靈。
1.1.105.0
發行日期︰2016 年 2 月
新功能:
- Automatic upgrade 功能。
- 使用安裝精靈中的 Microsoft Entra 多重要素驗證和 Privileged Identity Management 支援全域管理員。
- 如果您使用多重要素驗證,則需要讓代理程式同時允許流量
https://secure.aadcdn.microsoftonline-p.com
。 - 您必須將
https://secure.aadcdn.microsoftonline-p.com
新增至信任的網站清單,讓多重要素驗證正常運作。 - 允許在初始安裝之後變更使用者的登入方法。
- 允許在安裝精靈中使用 網域和 OU 篩選。 這也會允許連線到並非所有網域都可供使用的樹系。
- 排程器是同步處理引擎的內建功能。
從預覽版升級到 GA 的功能:
新的預覽功能:
- 新的預設同步處理週期間隔為 30 分鐘。 過去所有舊版本都是 3 小時。 已新增對變更 排程器 行為的支援。
修正的問題:
- 驗證 DNS 網域頁面不一定都能辨識網域。
- 設定 ADFS 時,出現網域系統管理員認證提示。
- 當內部部署 AD 帳戶所在網域的 DNS 樹狀目錄與根網域不同時,安裝精靈便無法辨識這些帳戶。
1.0.9131.0
發行日期︰2015 年 12 月
修正的問題:
- 您變更 Active Directory Domain Services (AD DS) 中的密碼時,密碼同步處理可能會無法作用,但是在您設定密碼時將可作用。
- 如果您有 Proxy 伺服器,則安裝期間或已在設定頁面上取消升級時,Microsoft Entra ID 驗證可能失敗。
- 若您並非 SQL Server 系統管理員 (SA),從有完整 SQL Server 執行個體的舊版 Microsoft Entra Connect 更新將會失敗。
- 從使用遠端 SQL Server 更新舊版 Microsoft Entra Connect 時,將顯示「無法存取 ADSync SQL Database」錯誤。
1.0.9125.0
發行日期:2015 年 11 月
新功能:
- 可以將 AD FS 重新設定為 Microsoft Entra ID 信任。
- 可以重新整理 Active Directory 結構描述並重新產生同步處理規則。
- 可以停用同步處理規則。
- 可以在同步處理規則中定義 "AuthoritativeNull" 做為新的常值。
新的預覽功能:
新的支援案例:
- 支援多個內部部署的 Exchange 組織。 如需詳細資訊,請參閱內含多個 Active Directory 樹系的混合式部署。
修正的問題:
- 密碼同步處理問題:
- 從範圍外移到範圍內的物件不會同步處理其密碼。 這包含 OU 及屬性篩選。
- 選取要包含在同步處理的新 OU 不需要完整密碼同步處理。
- 啟用已停用的使用者時,不會同步處理密碼。
- 密碼重試佇列為無限,而且已移除 5000 個物件要淘汰的先前限制。
- 無法連接到具 Windows Server 2016 樹系功能等級的 Active Directory。
- 初始安裝後,無法變更群組篩選所使用的群組。
- 針對在啟用密碼回寫的情況下執行密碼變更的每個使用者,將無法再於 Microsoft Entra Connect 伺服器上建立新的使用者設定檔。
- 無法在同步處理規則範圍中使用長整數值。
- 如果有無法連線的網域控制站,[裝置回寫] 核取方塊會維持停用狀態。
1.0.8667.0
發行日期:2015 年 8 月
新功能:
- Microsoft Entra Connect 安裝精靈現在已進行所有 Windows Server 語言的當地語系化。
- 新增在使用 Microsoft Entra 密碼管理時的帳戶解除鎖定支援。
修正的問題:
- 如果另一位使用者繼續安裝,而不是最先開始安裝的人,則 Microsoft Entra Connect 安裝精靈會當機。
- 如果 Microsoft Entra Connect 的先前解除安裝作業無法將 Microsoft Entra Connect Sync 完全解除安裝,則不可能重新安裝。
- 如果使用者不在樹系的根網域中或已使用非英文版的 Active Directory,則無法使用快速安裝 Microsoft Entra Connect。
- 如果無法解析 Active Directory 使用者帳戶的 FQDN,則會顯示「無法認可結構描述」的誤導性錯誤訊息。
- 如果 Active Directory 連接器上使用的帳戶已在精靈外部變更,精靈將無法進行後續的執行。
- Microsoft Entra Connect 有時無法在網域控制站上安裝。
- 如果已新增擴充屬性,則無法啟用和停用「暫存模式」。
- 因為 Active Directory 連接器上的密碼不正確,所以有些設定的密碼回寫失敗。
- 如果辨別名稱 (DN) 用於屬性篩選,則無法升級 DirSync。
- 使用密碼重設時,CPU 使用率過高。
已移除的預覽功能:
- 根據預覽版客戶的意見反應,已暫時移除 [ 使用者回寫 ] 預覽功能。 當我們處理所提供的意見反應之後,未來將會重新新增它。
1.0.8641.0
發行日期:2015 年 6 月
Microsoft Entra Connect 的初始版本。
名稱從 Azure AD Sync 變更為 Microsoft Entra Connect。
新功能:
- 快速設定安裝
- 可以設定 AD FS
- 可以從 DirSync 升級
- 防止意外刪除
- 引入 預備模式
新的預覽功能:
1.0.494.0501
發行日期:2015 年 5 月
新需求︰
- Azure AD Sync 現在需要安裝 .Net framework 4.5.1 版。
修正的問題:
- Microsoft Entra ID 密碼回寫出現 Azure 服務匯流排連線錯誤。
1.0.491.0413
發行日期︰2015 年 4 月
已修正的問題和改進︰
- 如果已啟用資源回收筒且樹系中有多個網域,則 Active Directory 連接器不會正確處理刪除。
- 已改善 Microsoft Entra 連接器的匯入作業效能。
- 當群組已超過成員資格限制 (預設限制已設為 50000 個物件),則會在 Microsoft Entra ID 中刪除此群組。 透過新的行為而不刪除群組、已擲回錯誤,且不會匯出新的成員資格變更。
- 如果連接器空間已存在具有相同 DN 的分段刪除,則無法佈建新的物件。
- 在差異同步處理期間,儘管物件上沒有預備的變更,某些物件仍會被標示為同步處理中。
- 強制執行密碼同步也會移除慣用的 DC 清單。
- CSExportAnalyzer 有一些物件狀態的問題。
新功能:
- 聯結現在可以連接到 MV 中的「任何」物件類型。
1.0.485.0222
發行日期︰2015 年 2 月
改善:
- 改進匯入效能。
修正的問題:
- 密碼同步處理會接受屬性篩選所用的 cloudFiltered 屬性。 經過篩選的物件不再於密碼同步處理的範圍中。
- 在拓撲有很多網域控制站的少數情況下,無法進行密碼同步處理。
- 在 Azure AD/Intune 中啟用裝置管理之後,從 Microsoft Entra 連接器匯入時的「停止的伺服器」。
- 從相同樹系中的多個網域加入外部安全性主體 (FSP) 會造成模稜兩可的加入錯誤。
1.0.475.1202
發行日期︰2014 年 12 月
新功能:
- 現在支援透過以屬性為基礎的篩選進行密碼同步處理。 如需詳細資訊,請參閱透過篩選進行密碼同步處理。
- ms-DS-ExternalDirectoryObjectID 屬性會寫回至 Active Directory。 這項功能新增適用於 Microsoft 365 應用程式的支援。 其使用 OAuth2 來存取 Exchange 混合式部署的線上和內部部署信箱。
已修正的升級問題︰
- 在伺服器上可使用較新版的登入小幫手。
- 自訂安裝路徑用來安裝 Azure AD Sync。
- 無效的自訂加入準則會封鎖升級。
其他修正︰
- 已修正適用於 Office Pro Plus 的範本。
- 已修正以破折號開頭的使用者名稱所造成的安裝問題。
- 已修正第二次執行安裝精靈時遺失 sourceAnchor 設定的問題。
- 已修正密碼同步處理的 ETW 追蹤。
1.0.470.1023
發行日期︰2014 年 10 月
新功能:
- 從多個內部部署 Active Directory 至 Microsoft Entra ID 的密碼同步處理。
- 所有 Windows Server 語言的當地語系化安裝 UI。
從 AADSync 1.0 GA 升級
如果您已安裝 Azure AD 同步,您必須進行一個額外步驟,以免您已變更任何現成可用的同步處理規則。 在升級至 1.0.470.1023 版本之後,您已修改的同步規則會重複。 針對每個已修改的同步處理規則,執行下列作業︰
- 找出您已修改的同步處理規則並記下變更。
- 刪除同步處理規則。
- 找出 Azure AD Sync 建立的新同步處理規則,然後重新套用變更。
Active Directory 帳戶的權限
Active Directory 帳戶必須獲得其他權限,才能讀取來自 Active Directory 的密碼雜湊。 要授與的權限名為「複寫目錄變更」和「複寫所有目錄變更」。 需要有這兩個權限才能讀取密碼雜湊。
1.0.419.0911
發行日期︰2014 年 9 月
Azure AD Sync 的最初發行版本。
下一步
深入了解將內部部署身分識別與 Microsoft Entra ID 整合 (部分機器翻譯)。