Sdílet prostřednictvím

Microsoft Entra Connect: Upgrade z předchozí verze na nejnovější verzi

  • Článek

Důležité

Místo upgradu na nejnovější verzi microsoft Entra Connect zjistěte, jestli je pro vás cloudová synchronizace správná. Další informace získáte vyhodnocením možností pomocí Průvodce k vyhodnocení možností synchronizace.

Toto téma popisuje různé metody, které můžete použít k upgradu instalace Microsoft Entra Connect na nejnovější verzi. Microsoft doporučuje použít kroky v části Migrace swing , když provedete zásadní změnu konfigurace nebo upgradujete ze starších verzí 1.x.

Poznámka:

Je důležité udržovat servery aktuální s nejnovějšími verzemi microsoft Entra Connect. Neustále provádíme upgrady na Microsoft Entra Connect a mezi tyto upgrady patří opravy problémů se zabezpečením a chyb a také vylepšení možností služeb, výkonu a škálovatelnosti. Pokud chcete zjistit, co je nejnovější verze, a zjistit, jaké změny byly provedeny mezi verzemi, projděte si historii verzí verze.

Všechny verze starší než Microsoft Entra Connect V2 jsou aktuálně zastaralé. Další informace naleznete v tématu Úvod do microsoft Entra Connect V2. Můžete upgradovat z libovolné verze microsoft Entra Connect na aktuální verzi. Místní upgrady nástroje DirSync nebo ADSync se nepodporují a vyžaduje se migrace swingu. Pokud chcete upgradovat z nástroje DirSync, přečtěte si téma Upgrade z nástroje Azure AD Sync (DirSync) nebo části Migrace swingu.

V praxi můžou zákazníci ve starších verzích narazit na problémy, které přímo nesouvisí s Microsoft Entra Connect. Servery, které jsou v produkci po několik let, obvykle mají aplikováno několik oprav, a ne všechny z těchto oprav lze doložit. Zákazníci, kteří se neupgradovali za 12 až 18 měsíců (asi 1 a půl roku), by měli zvážit houpavý upgrade, protože se jedná o nejkonkonzertivnější a nejméně rizikovou možnost.

Existuje několik různých strategií, které můžete použít k upgradu microsoft Entra Connect.

metoda Popis Výhody Nevýhody
Automatický upgrade Jedná se o nejjednodušší způsob pro zákazníky s expresní instalací. - Bez ručního zásahu – Verze automatického upgradu nemusí obsahovat nejnovější funkce.
Místní upgrade Pokud máte jeden server, můžete instalaci upgradovat místně na stejném serveru. – Nevyžaduje jiný server.

 - Pokud dojde k problému během probíhajícího upgradu, nemůžete vrátit novou verzi nebo konfiguraci a změnit aktivní server, až budete připraveni.

Swing migrace Před přepnutím můžete vytvořit nový aktualizovaný server. - Nejbezpečnější přístup a plynulejší přechod na novější verzi
- Podporuje upgrade operačního systému Windows (operační systémy).
– Synchronizace není přerušená a neukládá riziko pro produkční prostředí		 - Vyžaduje instalaci na samostatném serveru.

Informace o oprávněních najdete v tématu věnovaném oprávněním požadovaným pro upgrade.

Poznámka:

Jakmile povolíte nový server Microsoft Entra Connect, aby se začaly synchronizovat změny s ID Microsoft Entra, nesmíte se vrátit zpět k používání nástroje DirSync nebo Azure AD Sync. Downgradování z Microsoft Entra Connect na starší klienty, včetně DirSync a Azure AD Sync, není podporováno a může vést k problémům, jako je ztráta dat v MICROSOFT Entra ID.

Místní upgrade

Místní upgrade funguje pro přechod ze služby Azure AD Sync nebo Microsoft Entra Connect. Při přesunu z nástroje DirSync to nefunguje.

Tato metoda je upřednostňovaná, pokud máte jeden server a méně než přibližně 100 000 objektů. Pokud dojde k nějakým změnám v předefinovaných pravidlech synchronizace, po upgradu proběhne úplná synchronizace importu a úplné synchronizace. Tato metoda zajišťuje, že se nová konfigurace použije na všechny existující objekty v systému. Spuštění může trvat několik hodin v závislosti na počtu objektů, které jsou v oboru synchronizačního modulu. Normální plánovač rozdílové synchronizace (který ve výchozím nastavení synchronizuje každých 30 minut) je pozastavený, ale synchronizace hesel pokračuje. Můžete zvážit místní upgrade o víkendu. Pokud v nové verzi Microsoft Entra Connect nedojde k žádným změnám konfigurace, spustí se normální rozdílový import/synchronizace.

Místní upgrade

Pokud jste provedli změny v výchozích synchronizačních pravidlech, jsou tato pravidla při upgradu nastavená zpět na výchozí konfiguraci. Abyste měli jistotu, že se konfigurace uchovává mezi upgrady, ujistěte se, že provádíte změny, jak jsou popsány v osvědčených postupech pro změnu výchozí konfigurace. Pokud jste už změnili výchozí pravidla synchronizace, přečtěte si, jak před zahájením procesu upgradu opravit upravená výchozí pravidla v nástroji Microsoft Entra Connect.

Během místního upgradu mohou být zavedeny změny, které vyžadují, aby se po dokončení upgradu spustily určité synchronizační aktivity (včetně kroku úplného importu a úplného synchronizace). Pokud chcete tyto aktivity odložit, přečtěte si část Jak po upgradu odložit úplnou synchronizaci.

Pokud používáte Microsoft Entra Connect s nestandardním konektorem (například generickým konektorem LDAP (Lightweight Directory Access Protocol) a obecným konektorem SQL), musíte po místní upgradu aktualizovat odpovídající konfiguraci konektoru v Synchronization Service Manageru. Podrobnosti o aktualizaci konfigurace konektoru najdete v části Historie verzí konektoru – Řešení potíží. Pokud konfiguraci neaktualizujete, kroky spuštění importu a exportu nebudou u konektoru fungovat správně. V protokolu událostí aplikace se zobrazí následující chyba:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Postupná migrace

U některých zákazníků může místní upgrade představovat značné riziko pro produkční prostředí v případě, že dojde k problému při upgradu a server se nedá vrátit zpět. Jediný produkční server může být také nepraktický, protože počáteční cyklus synchronizace může trvat několik dnů a během této doby se nezpracovávají žádné rozdílové změny.

V těchto scénářích doporučujeme využít postupnou migraci. Tuto metodu můžete použít, když potřebujete upgradovat operační systém Windows Server. Kromě toho ho můžete použít, když plánujete provést podstatné změny konfigurace prostředí, které je potřeba otestovat před jejich odesláním do produkčního prostředí.

Potřebujete (alespoň) dva servery – jeden aktivní server a jeden pracovní server. Aktivní server (zobrazený s plnou modrou čárou v následujícím diagramu) zodpovídá za aktivní produkční zatížení. Přípravný server (zobrazený s přerušovanými fialovými čárami) je připravený s novou verzí nebo konfigurací. Jakmile bude tento server plně připravený, převede se na aktivní. Předchozí aktivní server, na kterém je teď nainstalovaná zastaralá verze nebo konfigurace, se převede na pracovní server a upgraduje se.

Tyto dva servery můžou používat různé verze. Například aktivní server, který plánujete vyřadit z provozu, může používat Azure AD Sync a nový přípravný server může používat Microsoft Entra Connect. Pokud k vývoji nové konfigurace použijete migraci swingu, je vhodné mít na dvou serverech stejné verze.

Diagram přípravného serveru

Poznámka:

Někteří zákazníci v tomto scénáři raději mají tři nebo čtyři servery. Při upgradu přípravného serveru nemáte záložní server pro zotavení po havárii. Se třemi nebo čtyřmi servery můžete připravit jednu sadu primárních/pohotovostních serverů s aktualizovanou verzí, která zajistí, že je vždy přípravný server, který je připravený převzít.

Tyto kroky také pracují na přesunu ze služby Azure AD Sync nebo řešení pomocí MIM a konektoru Microsoft Entra Connector. Tento postup nefunguje pro nástroj DirSync, ale stejná metoda migrace swingu (označovaná také jako paralelní nasazení) s kroky pro nástroj DirSync je v upgradu synchronizace Azure Active Directory (DirSync).

Použití swing migrace k upgradu

  1. Pokud máte jenom jeden server Microsoft Entra Connect, pokud upgradujete ze služby AD Sync nebo upgradujete ze staré verze, je vhodné nainstalovat novou verzi na nový Windows Server. Pokud už máte dva servery Microsoft Entra Connect, upgradujte nejprve přípravný server. a zvyšte úroveň přípravy na aktivní. Doporučujeme vždy udržovat dvojici aktivního/přípravného serveru se stejnou verzí, ale nevyžaduje se.
  2. Pokud jste vytvořili vlastní konfiguraci a pracovní server ji nemá, postupujte podle kroků v části Přesunutí vlastní konfigurace z aktivního serveru na pracovní server.
  3. Nechte synchronizační modul běžet na přípravném serveru s úplným importem a úplnou synchronizací.
  4. Pomocí kroků v části Ověření v Ověřte konfiguraci serveruověřte, že nová konfigurace nezpůsobila žádné neočekávané změny. Pokud něco není podle očekávání, opravte ho, spusťte cyklus synchronizace a ověřte data, dokud nevypadá dobře.
  5. Před upgradem druhého serveru ho přepněte do pracovního režimu a povyšte pracovní server na aktivní server. Toto je poslední krok "Přepnutí aktivního serveru" v procesu ověření konfigurace serveru.
  6. Upgradujte server, který je teď v pracovním režimu, na nejnovější verzi. Při upgradu dat a konfigurace postupujte stejně jako předtím. Pokud upgradujete ze služby Azure AD Sync, můžete teď vypnout a vyřadit starý server z provozu.

Poznámka:

Je důležité úplně vyřadit staré servery Microsoft Entra Connect, protože to může způsobit problémy se synchronizací, obtížné vyřešit problémy, když starý synchronizační server zůstane v síti nebo se znovu spustí později omylem. Takové "podvodné" servery mají tendenci přepsat data Microsoft Entra starými informacemi, protože už nemusí mít přístup k místní Active Directory (například když vypršela platnost účtu počítače, změnilo se heslo účtu konektoru atd.), ale stále se může připojit k Microsoft Entra ID a způsobit, že hodnoty atributů se budou neustále vracet v každém cyklu synchronizace (například každých 30 minut). Pokud chcete server Microsoft Entra Connect úplně vyřadit z provozu, ujistěte se, že produkt a jeho součásti úplně odinstalujete nebo server trvale odstraníte, pokud se jedná o virtuální počítač.

Přesunutí vlastní konfigurace z aktivního serveru na pracovní server

Pokud jste na aktivním serveru provedli změny konfigurace, musíte se ujistit, že se na nový pracovní server použijí stejné změny. K usnadnění tohoto přesunu můžete použít funkci pro export a import nastavení synchronizace. Pomocí této funkce můžete nasadit nový přípravný server v několika krocích se stejným nastavením jako jiný server Microsoft Entra Connect ve vaší síti.

Přesun jednotlivých vlastních synchronizačních pravidel

Pro jednotlivá vlastní pravidla synchronizace, která jste vytvořili, je můžete přesunout pomocí PowerShellu. Pokud musíte použít jiné změny stejným způsobem v obou systémech a nemůžete tyto změny migrovat, možná budete muset na obou serverech ručně provést následující konfigurace:

  • Připojení ke stejným doménových strukturám
  • Filtrování libovolné domény a organizační jednotky
  • Stejné volitelné funkce, jako je synchronizace hesel a zpětný zápis hesla

Kopírování vlastních synchronizačních pravidel
Pokud chcete zkopírovat vlastní synchronizační pravidla na jiný server, postupujte takto:

  1. Na aktivním serveru otevřete Editor synchronizačních pravidel.

  2. Vyberte vlastní pravidlo. Vyberte Exportovat. Tím se otevře okno Poznámkového bloku. Uložte dočasný soubor s příponou PS1. Díky tomu se jedná o skript PowerShellu. Zkopírujte soubor PS1 do přípravného serveru.

    Snímek obrazovky znázorňující okno exportu editoru synchronizačních pravidel

  3. Identifikátor GUID konektoru (globálně jedinečný identifikátor) se na přípravném serveru liší a musíte ho změnit. Pokud chcete získat identifikátor GUID, spusťte Editor pravidel synchronizace, vyberte jedno z výchozích pravidel, která představují stejný připojený systém, a zvolte Export. Identifikátor GUID v souboru PS1 nahraďte identifikátorem GUID z přípravného serveru.

  4. Na příkazovém řádku PowerShellu spusťte soubor PS1. Tím se na přípravném serveru vytvoří vlastní synchronizační pravidlo.

  5. Tento postup opakujte pro všechna vlastní pravidla.

Jak po upgradu odložit úplnou synchronizaci

Během místního upgradu můžou být zavedeny změny, které vyžadují provedení konkrétních synchronizačních aktivit (včetně kroku úplného importu a úplného synchronizace). Například změny schématu konektoru vyžadují úplný krok importu a změny pravidel synchronizace, které jsou připraveny, vyžadují , aby se na ovlivněných konektorech spustil úplný krok synchronizace . Během upgradu microsoft Entra Connect určuje, jaké synchronizační aktivity se vyžadují, a zaznamenává je jako přepsání. V následujícím cyklu synchronizace plánovač synchronizace tyto přepsání vybere a spustí je. Po úspěšném spuštění přepsání se odebere.

V situacích, kdy nechcete, aby se tyto změny provedly okamžitě po upgradu. Máte například mnoho synchronizovaných objektů a chcete, aby tyto kroky synchronizace probíhaly po pracovní době. Odebrání těchto přepsání:

  1. Během upgradu zrušte zaškrtnutí možnosti Spustit proces synchronizace po dokončení konfigurace. Tím se plánovač synchronizace zakáže a zabrání automatickému provedení synchronizačního cyklu před odebráním přepsání.

    Snímek obrazovky se zvýrazněnou možností Spustit proces synchronizace po dokončení konfigurace, kterou je potřeba vymazat

  2. Po dokončení upgradu spusťte následující rutinu a zjistěte, které přepsání se přidalo: Get-ADSyncSchedulerConnectorOverride | fl

    Poznámka:

    Přepsání jsou specifická pro konektory. V následujícím příkladu jsme přidali krok úplného importu a úplnou synchronizaci do místního konektoru AD i konektoru Microsoft Entra Connector.

    DisableFullSyncAfterUpgrade

  3. Poznamenejte si existující přepsání, která byla přidána.

  4. Pokud chcete odebrat přepsání pro úplnou synchronizaci importu i úplné synchronizace libovolného konektoru, spusťte následující rutinu: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Pokud chcete odebrat přepsání u všech konektorů, spusťte následující skript PowerShellu:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Pokud chcete obnovit plánovač, spusťte následující rutinu: Set-ADSyncScheduler -SyncCycleEnabled $true

    Důležité

    Nezapomeňte provést požadované kroky synchronizace při nejbližším pohodlí. Tyto kroky můžete provést ručně pomocí Správce synchronizační služby nebo přidat přepsání zpět pomocí rutiny Set-ADSyncSchedulerConnectorOverride.

Pokud chcete přidat přepsání pro úplnou synchronizaci importu i úplné synchronizace libovolného konektoru, spusťte následující rutinu: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Upgrade serverového operačního systému

Pokud potřebujete upgradovat operační systém serveru Microsoft Entra Connect, doporučujeme připravit nový server s požadovaným operačním systémem a provést houpací migraci.

Pokud to ale není možné, podporují se následující místní upgrady operačního systému.

Intial OS Podporovaný místní upgrade operačního systému
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Řešení problému

Následující část obsahuje řešení potíží a informace, které můžete použít, pokud narazíte na problém s upgradem služby Microsoft Entra Connect.

Při upgradu microsoft Entra Connect chybí konektor Microsoft Entra Connect

Při upgradu microsoft Entra Connect z předchozí verze může dojít k následující chybě na začátku upgradu:

Chyba

K této chybě dochází, protože konektor Microsoft Entra s identifikátorem b891884f-051e-4a83-95af-2544101c9083 neexistuje v aktuální konfiguraci Microsoft Entra Connect. Pokud chcete ověřit, že se jedná o tento případ, otevřete okno PowerShellu a spusťte rutinu. Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Rutina PowerShellu hlásí chybu , která nebyla nalezena zadanou ma.

K této chybě dochází, protože aktuální konfigurace nástroje Microsoft Entra Connect není pro upgrade podporovaná.

Pokud chcete nainstalovat novější verzi nástroje Microsoft Entra Connect: zavřete průvodce Microsoft Entra Connect, odinstalujte stávající aplikaci Microsoft Entra Connect a proveďte čistou instalaci novější aplikace Microsoft Entra Connect.

Další kroky

Přečtěte si další informace o integraci místních identit s Microsoft Entra ID.