Partage via


Microsoft Entra Connect : effectuer une mise à niveau vers la dernière version

Important

Au lieu d’effectuer une mise à niveau vers la dernière version de Microsoft Entra, vérifiez si la synchronisation cloud vous convient. Pour plus d’informations, évaluez vos options avec de l’Assistant pour l’évaluation des options de synchronisation

Cette rubrique décrit les différentes méthodes que vous pouvez utiliser pour mettre à niveau votre installation Microsoft Entra Connect vers la dernière version. Microsoft recommande d’utiliser les étapes décrites dans la section Migration « swing » quand vous procédez à une modification de configuration substantielle ou à une mise à niveau à partir d’anciennes versions 1.x.

Remarque

Il est important de garder les serveurs à jour avec les dernières versions de Microsoft Entra Connect. Nous effectuons constamment des mises à niveau vers Microsoft Entra Connect, et ces mises à niveau incluent des correctifs pour les problèmes de sécurité et les bogues, ainsi que des améliorations de la maintenance, de niveau de performance et de la scalabilité. Pour voir la version la plus récente et savoir quelles modifications ont été apportées entre les versions, consultez l’historique des versions

Toutes les versions antérieures à Microsoft Entra Connect V2 sont actuellement déconseillées. Pour plus d’informations, consultez Présentation de Microsoft Entra Connect V2. Vous pouvez effectuer une mise à niveau à partir de n’importe quelle version de Microsoft Entra Connect vers la version actuelle. Les mises à niveau en place de DirSync ou ADSync ne sont pas prises en charge et une migration swing est nécessaire. Si vous souhaitez effectuer une mise à niveau à partir de DirSync, consultez Effectuer une mise à niveau à partir de l’outil Azure AD Sync (DirSync) ou la section Migration « swing ».

Dans la pratique, les clients qui utilisent des versions anciennes peuvent rencontrer des problèmes qui ne sont pas directement liés à Microsoft Entra Connect. Les serveurs en production pendant plusieurs années ont généralement plusieurs correctifs appliqués à eux, et tous ces correctifs ne peuvent pas être pris en compte. Les clients qui n’ont pas effectué de mise à niveau pendant 12 à 18 mois (de 1 an à 1 an et demi) devraient plutôt envisager une mise à niveau swing, car c’est l’option la plus stable et la moins risquée.

Il existe plusieurs stratégies que vous pouvez utiliser pour mettre à niveau Microsoft Entra Connect.

Méthode Description Avantages Inconvénients
Mise à niveau automatique Pour les clients avec une installation rapide, il s’agit de la méthode la plus simple - Aucune intervention manuelle - La version de mise à niveau automatique risque de ne pas inclure les dernières fonctionnalités
Mise à niveau sur place Si vous avez un seul serveur, vous pouvez mettre à niveau l’installation sur place sur le même serveur - N’a pas besoin d’un autre serveur

- En cas de problème lors de la mise à niveau sur place, vous ne pouvez pas restaurer la nouvelle version ou la configuration et modifier le serveur actif lorsque vous êtes prêt

Migration « swing » Vous pouvez créer un nouveau serveur mis à jour de côté, avant de changer – Approche la plus sûre et transition plus fluide vers une version plus récente
– Prend en charge la mise à niveau du système d'exploitation Windows (systèmes d'exploitation)
- La synchronisation n’est pas interrompue et n’impose pas de risque pour la production
– Nécessite une installation sur un serveur séparé

Pour plus d’informations sur les autorisations, reportez-vous aux autorisations requises pour une mise à niveau.

Remarque

Une fois que vous avez activé votre nouveau serveur Microsoft Entra Connect pour commencer à synchroniser les modifications apportées à l’ID Microsoft Entra, vous ne devez pas revenir à l’utilisation de DirSync ou d’Azure AD Sync. La rétrogradation de Microsoft Entra Connect vers des clients hérités, notamment DirSync et Azure AD Sync, n’est pas prise en charge et peut entraîner des problèmes tels que la perte de données dans l’ID Microsoft Entra.

Mise à niveau sur place

Une mise à niveau sur place fonctionne à partir d’Azure AD Sync ou de Microsoft Entra Connect. Elle ne fonctionne pas pour la migration à partir de DirSync.

Nous vous recommandons cette méthode si vous avez un seul serveur et moins de 100 000 objets environ. S’il y a des changements dans les règles de synchronisation prêtes à l’emploi, une importation complète et une synchronisation complète succéderont à la mise à niveau. pour que la nouvelle configuration s’applique à tous les objets existants dans le système. Cette opération peut prendre plusieurs heures selon le nombre d’objets figurant dans l’étendue du moteur de synchronisation. La synchronisation différentielle normale planifiée (par défaut toutes les 30 minutes) est suspendue, mais la synchronisation des mots de passe continue. Vous pouvez envisager une mise à niveau sur place pendant le week-end. S’il n’y a aucune modification de la configuration par défaut avec la nouvelle version de Microsoft Entra Connect, une importation/synchronisation différentielle normale démarre à la place.

Mise à niveau sur place

Si des modifications ont été apportées aux règles de synchronisation prêtes à l’emploi, ces règles sont renvoyées à la configuration par défaut lors de la mise à niveau. Pour conserver votre configuration d’une mise à niveau à l’autre, vérifiez que les modifications sont effectuées conformément aux meilleures pratiques pour modifier la configuration par défaut. Si vous avez déjà modifié les règles de synchronisation par défaut, découvrez comment Corriger les règles par défaut modifiées dans Microsoft Entra Connect avant de démarrer le processus de mise à niveau.

Pendant la mise à niveau sur place, des modifications introduites peuvent nécessiter l’exécution d’activités de synchronisation spécifiques (notamment les étapes d’importation complète et de synchronisation complète) une fois la mise à niveau terminée. Pour différer ces activités, consultez la section Comment différer la synchronisation complète après la mise à niveau.

Si vous utilisez Microsoft Entra Connect avec un connecteur non standard (par exemple, le connecteur LDAP générique (protocole d’accès à l’annuaire léger) et le connecteur SQL générique), vous devez actualiser la configuration de connecteur correspondante dans le Synchronization Service Manager après la mise à niveau sur place. Pour savoir comment actualiser la configuration du connecteur, reportez-vous à la section Résolution des problèmes de l’article Historique de publication des versions du connecteur. Si vous n’actualisez pas la configuration, les étapes d’exécution d’importation et d’exportation ne fonctionnent pas correctement pour le connecteur. Vous recevrez l’erreur suivante dans le journal des événements de l’application :

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migration « swing »

Pour certains clients, une mise à niveau sur place peut présenter un risque considérable à la production si elle rencontre un problème et que le serveur ne peut pas être restauré. Elle peut aussi être impraticable si vous avez un seul serveur de production, car le cycle de synchronisation initial peut prendre plusieurs jours, et pendant ce temps, aucune modification différentielle n’est traitée.

La méthode recommandée pour ces scénarios consiste à utiliser une migration « swing ». Vous pouvez utiliser cette méthode lorsque vous devez mettre à niveau le système d’exploitation Windows Server. En outre, vous pouvez l’utiliser lorsque vous envisagez d’apporter des modifications substantielles à la configuration de votre environnement, qui doivent être testées avant qu’elles ne soient envoyées en production.

Vous devez avoir (au moins) deux serveurs : un serveur actif et un serveur intermédiaire. Le serveur actif (représenté par des lignes bleues continues dans l’image du schéma) est responsable de la charge de production active. Le serveur intermédiaire (représenté par des lignes violettes en pointillé) est préparé avec la nouvelle version ou configuration. Lorsqu’il est prêt, ce serveur devient actif. Le serveur actif précédent, sur lequel est désormais installée la version ou configuration obsolète, devient le serveur intermédiaire et est mis à niveau.

Les deux serveurs peuvent utiliser différentes versions. Par exemple, le serveur actif que vous projetez de désactiver peut utiliser Azure AD Sync et le nouveau serveur intermédiaire peut utiliser Microsoft Entra Connect. Si vous utilisez la migration « swing » pour développer une nouvelle configuration, il est judicieux d’installer les mêmes versions sur les deux serveurs.

Schéma du serveur intermédiaire.

Remarque

Certains clients préfèrent avoir trois ou quatre serveurs pour ce scénario. Pendant la mise à niveau du serveur intermédiaire, vous n’avez pas de serveur de sauvegarde pour la récupération d’urgence. Avec trois ou quatre serveurs, vous pouvez préparer un ensemble de serveurs principaux/de secours disposant de la version mise à jour. Ainsi, un serveur intermédiaire est toujours prêt à prendre le relais.

Ces étapes fonctionnent également pour la migration à partir d’Azure AD Sync ou d’une solution avec MIM et le connecteur Microsoft Entra. En revanche, elles ne fonctionnent pas pour DirSync, mais on trouve cette même méthode de migration « swing » (également appelée déploiement parallèle) pour DirSync dans Azure AD Connect : Mise à niveau à partir de DirSync.

Utiliser une migration « swing » pour effectuer la mise à niveau

  1. Si vous n’avez qu’un seul serveur Microsoft Entra Connect, si vous effectuez une mise à niveau à partir d’AD Sync ou si vous effectuez une mise à niveau à partir d’une ancienne version, il est judicieux d’installer la nouvelle version sur un nouveau serveur Windows Server. Si vous avez déjà deux serveurs Microsoft Entra Connect, commencez par mettre à niveau le serveur intermédiaire. en le faisant passer de « intermédiaire » à « actif ». Il est recommandé de toujours conserver une paire de serveurs actif/de préproduction exécutant la même version, mais ce n’est pas obligatoire.
  2. Si vous avez effectué une configuration personnalisée et que votre serveur intermédiaire ne l’a pas, suivez les étapes décrites dans Déplacer une configuration personnalisée depuis le serveur actif vers le serveur intermédiaire.
  3. Laissez le moteur de synchronisation effectuer une importation et une synchronisation complètes sur votre serveur intermédiaire.
  4. Vérifiez que la nouvelle configuration n’a pas apporté de modifications inattendues à l’aide des étapes décrites sous « Vérifier » dans Vérifier la configuration d’un serveur. Si quelque chose n’est pas comme prévu, corrigez-le, exécutez un cycle de synchronisation et vérifiez les données jusqu’à ce qu’elles soient bonnes.
  5. Avant de mettre à niveau l’autre serveur, basculez-le en mode intermédiaire et promouvez le serveur intermédiaire en serveur actif. C’est la dernière étape, « Changer de serveur actif », de la procédure Vérifier la configuration d’un serveur.
  6. Mettez à niveau le serveur qui est en mode intermédiaire vers la dernière version. Suivez la même procédure pour mettre à niveau les données et la configuration. Si vous effectuez une mise à niveau à partir d’Azure AD Sync, vous pouvez maintenant désactiver et retirer votre ancien serveur.

Remarque

Il est important de désactiver complètement les anciens serveurs Microsoft Entra Connect, car cela peut entraîner des problèmes de synchronisation difficiles à résoudre lorsqu’un ancien serveur de synchronisation est laissé sur le réseau ou réactivé par erreur. Ces serveurs « indésirables » ont tendance à remplacer les données Microsoft Entra par leurs anciennes informations parce qu’ils ne peuvent plus accéder à Active Directory en local (par exemple, lorsque le compte d’ordinateur a expiré, le mot de passe du compte de connecteur a changé, etc.), mais peuvent quand même se connecter à Microsoft Entra ID et provoquer une restauration continue des valeurs d’attribut dans chaque cycle de synchronisation (par exemple, toutes les 30 minutes). Pour désactiver complètement un serveur Microsoft Entra Connect, veillez à désinstaller intégralement le produit et ses composants ou à supprimer définitivement le serveur s’il s’agit d’une machine virtuelle.

Déplacer une configuration personnalisée depuis le serveur actif vers le serveur intermédiaire

Si vous avez apporté des modifications à la configuration du serveur actif, vous devez vérifier que les mêmes modifications sont appliquées au nouveau serveur intermédiaire. Pour vous aider dans ce déplacement, vous pouvez utiliser la fonctionnalité pour exporter et importer des paramètres de synchronisation. Avec cette fonctionnalité, vous pouvez déployer un nouveau serveur intermédiaire en quelques étapes, avec les mêmes paramètres qu’un autre serveur Microsoft Entra Connect dans votre réseau.

Déplacement de règles de synchronisation personnalisées individuelles

Pour les règles de synchronisation personnalisées que vous avez créées, vous pouvez les déplacer à l’aide de PowerShell. Si vous devez appliquer d’autres modifications de la même façon sur les deux systèmes et que vous ne pouvez pas migrer les modifications, vous risquez de devoir effectuer manuellement les configurations suivantes sur les deux serveurs :

  • Connexion aux mêmes forêts
  • Tout filtrage de domaine et d’unité organisationnelle
  • Fonctionnalités facultatives identiques, telles que la synchronisation de mot de passe et la réécriture du mot de passe

Copier les règles de synchronisation personnalisées
Pour copier les règles de synchronisation personnalisées sur un autre serveur, procédez comme suit :

  1. Ouvrez l’ Éditeur de règles de synchronisation sur votre serveur actif.

  2. Sélectionnez une règle personnalisée. Sélectionnez Exporter. Une fenêtre Bloc-notes apparaît. Enregistrez le fichier temporaire avec une extension PS1. Le fichier devient un script PowerShell. Copiez le fichier PS1 sur le serveur intermédiaire.

    Capture d’écran montrant la fenêtre d’exportation de l’éditeur de règles de synchronisation.

  3. Le GUID (globally-unique identifier) du connecteur est différent sur le serveur intermédiaire et doit être changé. Pour obtenir le GUID, démarrez l’Éditeur de règles de synchronisation, sélectionnez une des règles par défaut représentant le même système connecté, puis sélectionnez Exporter. Remplacez le GUID dans votre fichier PS1 par le GUID se trouvant sur le serveur de test.

  4. Dans une invite de PowerShell, exécutez le fichier PS1. Cette action crée la règle de synchronisation personnalisée sur le serveur intermédiaire.

  5. Répétez cette procédure pour toutes vos règles personnalisées.

Comment différer la synchronisation complète après la mise à niveau

Pendant la mise à niveau sur place, des modifications introduites peuvent nécessiter l’exécution d’activités de synchronisation spécifiques (notamment les étapes d’importation complète et de synchronisation complète). Par exemple, les modifications du schéma de connecteur nécessitent l’exécution de l’étape Importation complète, et les modifications des règles de synchronisation par défaut nécessitent l’exécution de l’étape Synchronisation complète sur les connecteurs affectés. Pendant la mise à niveau, Microsoft Entra Connect détermine les activités de synchronisation requises et les enregistre en tant qu’actions prioritaires. Dans le cycle de synchronisation suivant, le planificateur de synchronisation récupère ces actions prioritaires et les exécute. Dès qu’une action prioritaire a été exécutée avec succès, elle est supprimée.

Il peut arriver que vous ne souhaitiez pas que ces modifications se produisent immédiatement après la mise à niveau. Par exemple, vous avez de nombreux objets synchronisés et vous souhaitez que ces étapes de synchronisation aient lieu après les heures de bureau. Pour supprimer ces actions prioritaires :

  1. Pendant la mise à niveau, désactivez l’option Démarrez le processus de synchronisation une fois la configuration terminée. Cela désactive le planificateur de synchronisation et empêche l’exécution automatique du cycle de synchronisation avant la suppression des actions prioritaires.

    Capture d’écran mettant en évidence l’option Démarrer le processus de synchronisation une fois la configuration terminée que vous devez désactiver.

  2. Une fois la mise à niveau terminée, exécutez l’applet de commande suivante pour connaître les actions prioritaires qui ont été ajoutées : Get-ADSyncSchedulerConnectorOverride | fl

    Remarque

    Les actions prioritaires sont propres au connecteur. Dans l’exemple suivant, les étapes d’importation complète et de synchronisation complète ont été ajoutées au connecteur AD et au connecteur Microsoft Entra locaux.

    DisableFullSyncAfterUpgrade

  3. Prenez note des actions prioritaires existantes qui ont été ajoutées.

  4. Pour supprimer les actions prioritaires pour l’importation complète et la synchronisation complète sur un connecteur arbitraire, exécutez l’applet de commande suivante : Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Pour supprimer les actions prioritaires sur tous les connecteurs, exécutez le script PowerShell suivant :

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
    {
        Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
    }
    
  5. Pour redémarrer le planificateur, exécutez l’applet de commande suivante : Set-ADSyncScheduler -SyncCycleEnabled $true

    Important

    N’oubliez pas d’exécuter les étapes de synchronisation requises dès que vous le pourrez. Vous pouvez exécuter ces étapes manuellement à l’aide de Synchronization Service Manager ou rajouter les actions prioritaires à l’aide de l’applet de commande Set-ADSyncSchedulerConnectorOverride.

Pour ajouter les valeurs de remplacement pour l’importation intégrale et la synchronisation complète sur un connecteur arbitraire, exécutez l’applet de commande suivante : Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Mise à niveau du système d’exploitation serveur

Si vous souhaitez mettre à niveau le système d’exploitation de votre serveur Microsoft Entra Connect, nos recommandations sont les suivantes : préparez un nouveau serveur intégrant le système d’exploitation désiré et effectuez une migration de type swing.

Toutefois, si ce n’est pas possible, les mises à niveau de système d’exploitation sur place suivantes sont prises en charge.

Système d’exploitation initial Système d’exploitation de mise à niveau sur place pris en charge
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Dépannage

La section suivante contient des informations et des solutions de dépannage que vous pouvez utiliser si vous rencontrez des difficultés lors de la mise à niveau de Microsoft Entra Connect.

Erreur de connecteur Microsoft Entra manquant lors de la mise à niveau de Microsoft Entra Connect

Lorsque vous mettez à niveau Microsoft Entra Connect à partir d’une version antérieure, vous risquez de rencontrer l’erreur suivante au début de la mise à niveau :

Error

Cette erreur se produit, car le connecteur Microsoft Entra avec l’identificateur b891884f-051e-4a83-95af-2544101c9083 n’existe pas dans la configuration de Microsoft Entra Connect actuelle. Pour le vérifier, ouvrez une fenêtre PowerShell et exécutez l’applet de commande Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

L’applet de commande PowerShell signale l’erreur selon laquelle le MA spécifié est introuvable.

Cette erreur se produit car la configuration Microsoft Entra Connect actuelle n’est pas prise en charge pour la mise à niveau.

Si vous souhaitez installer une version plus récente de Microsoft Entra Connect : fermez l’assistant Microsoft Entra Connect, désinstallez la version de Microsoft Entra Connect existante et effectuez une installation propre de la version de Microsoft Entra Connect la plus récente.

Étapes suivantes

En savoir plus sur l'intégration de vos identités sur site avec Microsoft Entra ID.