Microsoft Entra Connect:從舊版升級到最新版本
重要
不要升級至最新版本的 Microsoft Entra 連線,請參閱雲端同步是否適合您。 如需詳細資訊,請使用精 靈評估同步選項來評估選項
本主題描述可用來將 Microsoft Entra 連線安裝升級至最新版本的不同方法。 當您進行大量設定變更或從舊版 1.x 升級時,Microsoft 建議您使用 Swing 移 轉一節中的 步驟。
注意
請務必讓伺服器保持最新版的 Microsoft Entra 連線。 我們不斷升級 Microsoft Entra 連線,這些升級包括安全性問題和 Bug 的修正,以及服務性、效能和延展性改善。 若要查看最新版本是什麼,並瞭解版本之間的變更,請參閱 版本歷程記錄
Microsoft Entra 連線 V2 以外的任何版本目前都已被取代。 如需詳細資訊,請參閱 Microsoft Entra 連線 V2 簡介。 目前支援從任何版本的 Microsoft Entra 連線升級至目前版本。 不支援 DirSync 或 ADSync 就地升級,而且需要變換移轉。 如果您想要從 DirSync 升級,請參閱 從 Azure AD 同步 工具升級 (DirSync) 或 Swing 移轉 一節。
實際上,舊版的客戶可能會遇到與 Microsoft Entra 連線不直接相關的問題。 數年來在生產環境中的伺服器通常已套用數個修補程式,並非所有這些修補程式都可以加以考慮。 未在 12-18 個月內升級(約 1 年半)的客戶應該考慮進行搖擺升級,因為這是最保守且風險最低的選項。
有幾種不同的策略可用來升級 Microsoft Entra 連線。
| 方法 | 描述 | 優點 | 缺點 |
|---|---|---|---|
| 自動升級 | 對於使用快速安裝的客戶,這是最簡單的方法。 | - 沒有手動介入 | - 自動升級版本可能不會包含最新的功能 |
| 就地升級 | 如果您只有一部伺服器,您可以在該伺服器上就地升級安裝 | - 不需要另一部伺服器 |
- 如果在就地升級時發生問題,您就無法復原新版本或組態,並在準備好時變更使用中伺服器 |
| 搖擺移轉 | 在切換之前,您可以先建置新的補救伺服器 | - 保管庫方法,更順暢地轉換至較新版本 - 支援 Windows OS (作業系統) 升級 - 同步不會中斷,也不會對生產環境造成風險 |
- 需要在個別伺服器上安裝 |
如需權限資訊,請參閱升級所需的權限。
注意
啟用新的 Microsoft Entra 連線 伺服器開始同步處理 Microsoft Entra 識別碼的變更之後,您不得使用 DirSync 或 Azure AD 同步 回復。不支援從 Microsoft Entra 連線降級為舊版用戶端,包括 DirSync 和 Azure AD 同步,而且可能會導致 Microsoft Entra 識別碼中的資料遺失等問題。
就地升級
就地升級適用于從 Azure AD 同步 或 Microsoft Entra 連線移動。 它不適用於從 DirSync 移動。
當您擁有單一伺服器且少於 100,000 個物件時,會偏好使用這個方法。 如果立即可用的同步處理規則有任何變更,升級之後將會發生完整匯入和完整同步處理。 此方法可確保新組態會套用至系統中所有現有的物件。 此執行可能需要數小時的時間,視同步處理引擎範圍內的物件數目而定。 一般的差異同步處理排程器(預設會每隔 30 分鐘同步處理一次)暫停,但密碼同步處理會繼續進行。 您可能會考慮在週末進行就地升級。 如果新的 Microsoft Entra 連線版本沒有變更現成的組態,則會改為開始一般差異匯入/同步處理。
如果您已變更現成的同步處理規則,這些規則會設定回升級時的預設組態。 若要確定您的組態會在升級之間保留,請確定您在變更預設組態 的最佳做法中所述 進行變更。 如果您已變更預設同步處理規則,請參閱如何在 開始升級程式之前修正 Microsoft Entra 連線 中修改過的預設規則。
在就地升級期間,可能會發生需要特定同步處理活動(包括完整匯入步驟和完整同步處理步驟)在升級完成之後執行的變更。 若要延遲這類活動,請參閱如何延遲升級 後的完整同步處理一節 。
如果您使用 Microsoft Entra 連線與非標準連接器(例如泛型 LDAP(輕量型目錄存取通訊協定)連線or 和泛型 SQL 連線or),則必須在就地升級之後,重新整理 Synchronization Service Manager 中的 對應連接器組態。 如需如何重新整理連接器組態的詳細資訊,請參閱連線或版本發行歷程記錄 - 疑難排解 一節 。 如果您未重新整理設定,匯入和匯出執行步驟將無法正確執行連接器。 您將會在應用程式事件記錄檔中收到下列錯誤:
Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".
變換移轉
對於某些客戶,就地升級可能會對生產環境造成相當大的風險,以防升級時發生問題,且伺服器無法回復。 單一生產伺服器也可能不切實際,因為初始同步處理週期可能需要數天的時間,而且在此期間,不會處理差異變更。
這類案例的建議方法是改用變換移轉。 當您需要升級 Windows Server 作業系統,或計畫對環境設定進行重大變更時,您也可以使用此方法,而這些設定必須在推送至實際執行環境之前進行測試。
您需要 (至少) 兩部伺服器 - 一部作用中的伺服器和一部預備伺服器。 使用中伺服器(下圖中顯示純藍色線條)負責作用中的生產負載。 預備伺服器(以虛線紫色線條顯示)已準備好新版本或組態。 準備就緒時,這台伺服器的狀態會變成作用中。 先前的作用中伺服器 (現在安裝的版本或設定已過時) 會變成預備伺服器,然後進行升級。
這兩部伺服器可以使用不同的版本。 例如,您打算解除委任的作用中伺服器可以使用 Azure AD 同步,而新的預備伺服器可以使用 Microsoft Entra 連線。 如果您使用搖擺移轉來開發新的組態,最好在兩部伺服器上有相同的版本。
注意
某些客戶偏好在此案例中擁有三或四部伺服器。 升級預備伺服器時,您沒有用於災害復原 的 備份伺服器。 使用三或四部伺服器,您可以使用更新的版本來準備一組主要/待命伺服器,這可確保一律有準備接管的預備伺服器。
這些步驟也可用來從 AZURE AD 同步或使用 MIM 和 Microsoft Entra 連線or 的解決方案移動。 這些步驟不適用於 DirSync,但與 DirSync 的步驟相同的搖擺移轉方法(也稱為平行部署)是在升級 Azure Active Directory 同步處理 (DirSync) 中 。
使用搖擺移轉升級
- 如果您只有一部 Microsoft Entra 連線 伺服器,如果您要從 AD 同步 升級,或從舊版升級,最好在新的 Windows Server 上安裝新版本。 如果您已經有兩部 Microsoft Entra 連線 伺服器,請先升級預備伺服器。 並將暫存升階為使用中。 建議一律保留一對作用中/預備伺服器執行相同版本,但並非必要。
- 如果您已建立自訂群組態,且預備伺服器沒有它,請遵循將自訂群組態從使用中伺服器移至預備伺服器 底下 的步驟。
- 讓同步處理引擎在預備伺服器上執行完整匯入和完整同步處理。
- 使用驗證服務器 組態中的 [驗證] 底下的步驟,確認新組態並未造成任何非預期的變更。 如果某個專案未如預期般,請加以更正、執行同步處理迴圈,並確認資料,直到資料看起來良好為止。
- 升級另一部伺服器之前,先將它切換為預備模式,然後將預備伺服器升階為作用中伺服器。 這是驗證服務器組態的過程中 的最後一個步驟「切換使用中伺服器 」。
- 將目前處於預備模式的伺服器升級至最新版本。 依照與先前相同的步驟,來為資料及組態升級。 如果您從 Azure AD 同步 升級,您現在可以關閉舊伺服器並解除委任。
注意
請務必完全解除委任舊的 Microsoft Entra 連線伺服器,因為這些伺服器可能會導致同步處理問題,難以進行疑難排解,當舊的同步處理伺服器留在網路上,或稍後錯誤地重新開機。 這類「流氓」伺服器通常會以舊資訊覆寫 Microsoft Entra 資料,因為它們可能無法再存取內部部署的 Active Directory(例如,當電腦帳戶過期時,連接器帳戶密碼已變更,etcetera),但仍可以連線到 Microsoft Entra ID,並導致屬性值在每個同步週期中持續還原 (例如, 每 30 分鐘)。 若要完全解除委任 Microsoft Entra 連線 伺服器,請確定您完全卸載產品及其元件,或如果它是虛擬機器,請永久刪除伺服器。
將自訂群組態從使用中伺服器移至預備伺服器
如果您已對使用中伺服器進行組態變更,您必須確定相同的變更會套用至新的預備伺服器。 為了協助進行這項移動,您可以使用功能來 匯出和匯入同步處理設定 。 透過這項功能,您可以在幾個步驟中部署新的預備伺服器,其設定與網路中另一部 Microsoft Entra 連線 伺服器完全相同。
移動個別自訂同步處理規則
針對您已建立的個別自訂同步規則,您可以使用 PowerShell 來移動它們。 如果您必須在這兩個系統上以相同的方式套用其他變更,且無法移轉變更,則您可能必須在這兩部伺服器上手動執行下列設定:
- 相同樹系的連線
- 任何網域和 OU 篩選
- 相同的選擇性功能,例如密碼同步處理和密碼回寫
複製自訂同步處理規則
若要將自訂同步處理規則複製到另一部伺服器,請執行下列動作:
在您的作用中伺服器上開啟 同步處理規則編輯器 。
選取自訂規則。 按一下 [匯出] 。 這會顯示記事本視窗。 儲存具有 PS1 副檔名的暫存檔。 這使得它成為 PowerShell 腳本。 將 PS1 檔案複製到預備伺服器。
連線or GUID(全域唯一識別碼)在預備伺服器上不同,您必須加以變更。 若要取得 GUID,請啟動 [同步處理規則編輯器 ],選取其中一個代表相同連線系統的現成規則,然後按一下 [ 匯出 ]。 將 PS1 檔案中的 GUID 取代為預備伺服器的 GUID。
在 PowerShell 提示字元中,執行 PS1 檔案。 這會在預備伺服器上建立自訂同步處理規則。
針對所有自訂規則重複此作業。
如何在升級後延遲完整同步處理
在就地升級期間,可能會發生需要執行特定同步處理活動(包括完整匯入步驟和完整同步處理步驟)的變更。 例如,連接器架構變更需要 完整的匯 入步驟,而現成的同步處理規則變更需要在 受影響的連接器上執行完整同步 處理步驟。 在升級期間,Microsoft Entra 連線 會決定需要哪些同步處理活動,並將其記錄為覆寫。 在下列同步處理週期中,同步處理排程器會挑選這些覆寫並加以執行。 成功執行覆寫之後,即會將其移除。
在某些情況下,您可能不希望這些覆寫在升級后立即進行。 例如,您有許多已同步處理的物件,而且您希望這些同步處理步驟在上班時間之後發生。 若要移除這些覆寫:
在升級期間,取消核取 [設定完成時啟動同步處理程式] 選項。 這會停用同步處理排程器,並防止在移除覆寫之前自動進行同步處理迴圈。
升級完成之後,請執行下列 Cmdlet 來找出已新增的覆寫:
Get-ADSyncSchedulerConnectorOverride | fl注意
覆寫是連接器特有的。 在下列範例中,已將完整匯入步驟和完整同步處理步驟新增至內部部署 AD 連線 or 和 Microsoft Entra 連線 or。
記下已新增的現有覆寫。
若要在任意連接器上移除完整匯入和完整同步處理的覆寫,請執行下列 Cmdlet:
Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false若要移除所有連接器上的覆寫,請執行下列 PowerShell 腳本:
foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride) { Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false }若要繼續排程器,請執行下列 Cmdlet:
Set-ADSyncScheduler -SyncCycleEnabled $true重要
請記得儘早執行必要的同步處理步驟。 您可以使用 Synchronization Service Manager 手動執行這些步驟,或使用 Set-ADSyncScheduler 連線 orOverride Cmdlet 將覆寫新增回去。
若要在任意連接器上新增完整匯入和完整同步處理的覆寫,請執行下列 Cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true
升級伺服器作業系統
如果您需要升級 Microsoft Entra 連線 伺服器的作業系統,請勿使用作業系統(操作系統)就地升級。 相反地,請準備具有所需操作系統的新伺服器,並執行 搖擺移轉。
疑難排解
下一節包含您在升級 Microsoft Entra 連線 時遇到問題時可以使用的疑難解答和資訊。
Microsoft Entra 連接器在 Microsoft Entra 連線 升級期間遺失錯誤
當您從舊版升級 Microsoft Entra 連線 時,可能會在升級開始時遇到下列錯誤:
之所以發生此錯誤,是因為標識符為 b891884f-051e-4a83-95af-2544101c9083 的 Microsoft Entra 連接器不存在於目前的 Microsoft Entra 連線 組態中。 若要確認這種情況,請開啟PowerShell視窗,執行 Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
ctor], ConnectorNotFoundException
+ FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet
PowerShell Cmdlet 會報告找不到指定MA的錯誤。
之所以發生此錯誤,是因為目前的 Microsoft Entra 連線 設定不支持升級。
如果您想要安裝較新版本的 Microsoft Entra 連線:關閉 Microsoft Entra 連線 精靈、卸載現有的 Microsoft Entra 連線,然後執行較新的 Microsoft Entra 連線 全新安裝。