Udostępnij za pośrednictwem

Microsoft Entra Connect: uaktualnianie z wcześniejszej wersji do najnowszej

  • Artykuł

Ważne

Zamiast uaktualniać do najnowszej wersji programu Microsoft Entra Connect, sprawdź, czy synchronizacja w chmurze jest odpowiednia dla Ciebie. Aby uzyskać więcej informacji, oceń opcje przy użyciu Kreatora w celu oceny opcji synchronizacji

W tym temacie opisano różne metody, których można użyć do uaktualnienia instalacji programu Microsoft Entra Connect do najnowszej wersji. Firma Microsoft zaleca wykonanie czynności opisanych w sekcji Migracja huśtawka w przypadku wprowadzenia znacznej zmiany konfiguracji lub uaktualnienia ze starszych wersji 1.x.

Uwaga

Ważne jest, aby serwery były aktualne wraz z najnowszymi wersjami programu Microsoft Entra Connect. Stale wprowadzamy uaktualnienia do programu Microsoft Entra Connect, a te uaktualnienia obejmują poprawki problemów z zabezpieczeniami i usterek, a także możliwości obsługi, wydajności i skalowalności. Aby zobaczyć, jaka jest najnowsza wersja, i dowiedzieć się, jakie zmiany zostały wprowadzone między wersjami, zapoznaj się z historią wersji

Wszystkie wersje starsze niż Microsoft Entra Connect V2 są obecnie przestarzałe. Aby uzyskać więcej informacji, zobacz Wprowadzenie do programu Microsoft Entra Connect V2. Obecnie obsługiwane jest uaktualnienie z dowolnej wersji programu Microsoft Entra Connect do bieżącej wersji. Uaktualnienia w miejscu narzędzia DirSync lub ADSync nie są obsługiwane i wymagana jest migracja huśtawka. Jeśli chcesz uaktualnić narzędzie DirSync, zobacz Uaktualnianie z narzędzia Azure AD Sync (DirSync) lub sekcję Migracja huśtawka.

W praktyce klienci korzystający ze starych wersji mogą napotkać problemy, które nie są bezpośrednio związane z programem Microsoft Entra Connect. Serwery, które są w środowisku produkcyjnym od kilku lat, zwykle miały kilka poprawek zastosowanych do nich, a nie wszystkie z nich można uwzględnić. Klienci, którzy nie uaktualnili w ciągu 12-18 miesięcy (około 1 i pół roku), powinni rozważyć uaktualnienie huśtawka, ponieważ jest to najbardziej konserwatywna i najmniej ryzykowna opcja.

Istnieje kilka różnych strategii, których można użyć do uaktualnienia programu Microsoft Entra Connect.

Metoda Opis Zalety Wady
Uaktualnianie automatyczne Jest to najprostsza metoda dla klientów z instalacją ekspresową - Brak interwencji ręcznej — Wersja automatycznego uaktualniania może nie zawierać najnowszych funkcji
Uaktualnienie w miejscu Jeśli masz jeden serwer, możesz uaktualnić instalację w miejscu na tym samym serwerze - Nie wymaga innego serwera

 — Jeśli podczas uaktualniania w miejscu występuje problem, nie można wycofać nowej wersji lub konfiguracji i zmienić aktywnego serwera, gdy wszystko będzie gotowe

Migracja huśtawka Przed przełączeniem można utworzyć nowy zaktualizowany serwer na bok - Najbezpieczniejsze podejście i łagodniejsze przejście do nowszej wersji
— Obsługuje uaktualnianie systemu operacyjnego Windows (systemy operacyjne)
— Synchronizacja nie jest przerywana i nie nakłada ryzyka na produkcję		 — Wymaga instalacji na osobnym serwerze

Aby uzyskać informacje o uprawnieniach, zobacz uprawnienia wymagane do uaktualnienia.

Uwaga

Po włączeniu nowego serwera Microsoft Entra Connect w celu rozpoczęcia synchronizowania zmian z identyfikatorem Entra firmy Microsoft nie można cofnąć korzystania z narzędzia DirSync ani usługi Azure AD Sync. Obniżanie z programu Microsoft Entra Connect do starszych klientów, w tym dirSync i Azure AD Sync, nie jest obsługiwane i może prowadzić do problemów, takich jak utrata danych w identyfikatorze Entra firmy Microsoft.

Uaktualnienie w miejscu

Uaktualnienie w miejscu działa w celu przejścia z usługi Azure AD Sync lub microsoft Entra Connect. Nie działa w przypadku przenoszenia z narzędzia DirSync.

Ta metoda jest preferowana, jeśli masz jeden serwer i mniej niż około 100 000 obiektów. Jeśli po uaktualnieniu zostaną wprowadzone jakiekolwiek zmiany w regułach synchronizacji gotowej do użycia, nastąpi pełna synchronizacja importu i pełna synchronizacja. Ta metoda gwarantuje, że nowa konfiguracja zostanie zastosowana do wszystkich istniejących obiektów w systemie. Ten przebieg może potrwać kilka godzin, w zależności od liczby obiektów, które znajdują się w zakresie aparatu synchronizacji. Normalny harmonogram synchronizacji różnic (który domyślnie synchronizuje się co 30 minut) jest zawieszony, ale synchronizacja haseł jest kontynuowana. W weekend warto rozważyć przeprowadzenie uaktualnienia w miejscu. Jeśli nie ma żadnych zmian w konfiguracji gotowej do użycia z nową wersją programu Microsoft Entra Connect, zamiast tego rozpocznie się normalny import/synchronizacja różnicowa.

Uaktualnienie w miejscu

Jeśli wprowadzono zmiany w wbudowanych regułach synchronizacji, te reguły są ustawione z powrotem na domyślną konfigurację podczas uaktualniania. Aby upewnić się, że konfiguracja jest zachowywana między uaktualnieniami, upewnij się, że wprowadzono zmiany zgodnie z opisem w artykule Najlepsze rozwiązania dotyczące zmiany konfiguracji domyślnej. Jeśli zostały już zmienione domyślne reguły synchronizacji, zobacz, jak naprawić zmodyfikowane reguły domyślne w programie Microsoft Entra Connect przed rozpoczęciem procesu uaktualniania.

Podczas uaktualniania w miejscu mogą zostać wprowadzone zmiany, które wymagają wykonania określonych działań synchronizacji (w tym kroku pełnej synchronizacji i kroku pełnej synchronizacji) po zakończeniu uaktualniania. Aby odroczyć takie działania, zapoznaj się z sekcją Jak odroczyć pełną synchronizację po uaktualnieniu.

Jeśli używasz programu Microsoft Entra Connect z łącznikiem niestandardowym (na przykład łącznikiem Generic LDAP (Lightweight Directory Access Protocol) i ogólnym łącznikiem SQL), musisz odświeżyć odpowiednią konfigurację łącznika w programie Synchronization Service Manager po uaktualnieniu w miejscu. Aby uzyskać szczegółowe informacje na temat odświeżania konfiguracji łącznika, zapoznaj się z sekcją Historia wersji łącznika — rozwiązywanie problemów. Jeśli konfiguracja nie zostanie odświeżona, kroki importowania i eksportowania przebiegu nie będą działać poprawnie dla łącznika. W dzienniku zdarzeń aplikacji zostanie wyświetlony następujący błąd:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migracja typu swing

W przypadku niektórych klientów uaktualnienie w miejscu może nałożyć znaczne ryzyko dla środowiska produkcyjnego w przypadku wystąpienia problemu podczas uaktualniania i nie można wycofać serwera. Pojedynczy serwer produkcyjny może być również niepraktyczny, ponieważ cykl synchronizacji początkowej może potrwać wiele dni, a w tym czasie nie są przetwarzane żadne zmiany różnicowe.

Zalecaną metodą dla tych scenariuszy jest użycie migracji typu swing. Można również użyć tej metody, gdy konieczne jest uaktualnienie systemu operacyjnego Windows Server lub zaplanowanie wprowadzenia znaczących zmian w konfiguracji środowiska, które należy przetestować przed ich wypchnięciem do środowiska produkcyjnego.

Potrzebne są (co najmniej) dwa serwery — jeden aktywny serwer i jeden serwer przejściowy. Aktywny serwer (pokazany z niebieskimi liniami na poniższym diagramie) jest odpowiedzialny za aktywne obciążenie produkcyjne. Serwer przejściowy (pokazany z przerywanymi fioletowymi liniami) jest przygotowany przy użyciu nowej wersji lub konfiguracji. Gdy jest on w pełni gotowy, ten serwer jest aktywowany. Poprzedni aktywny serwer, który ma zainstalowaną nieaktualną wersję lub konfigurację, jest wprowadzany za serwer przejściowy i uaktualniany.

Dwa serwery mogą używać różnych wersji. Na przykład aktywny serwer, który planujesz zlikwidować, może korzystać z usługi Azure AD Sync, a nowy serwer przejściowy może używać programu Microsoft Entra Connect. Jeśli używasz migracji swing do tworzenia nowej konfiguracji, dobrym pomysłem jest posiadanie tych samych wersji na dwóch serwerach.

Diagram przedstawiający serwer przejściowy.

Uwaga

Niektórzy klienci wolą mieć trzy lub cztery serwery w tym scenariuszu. Po uaktualnieniu serwera przejściowego nie masz serwera kopii zapasowej na potrzeby odzyskiwania po awarii. W przypadku trzech lub czterech serwerów można przygotować jeden zestaw serwerów podstawowych/rezerwowych ze zaktualizowaną wersją, co gwarantuje, że zawsze istnieje serwer przejściowy, który jest gotowy do przejęcia.

Te kroki działają również w celu przejścia z usługi Azure AD Sync lub rozwiązania z programem MIM i łącznikiem Microsoft Entra Connector. Te kroki nie działają w przypadku narzędzia DirSync, ale ta sama metoda migracji swing (nazywana również wdrażaniem równoległym) z krokami narzędzia DirSync znajduje się w temacie Uaktualnianie usługi Azure Active Directory Sync (DirSync).

Uaktualnianie przy użyciu migracji swing

  1. Jeśli masz tylko jeden serwer Microsoft Entra Connect, jeśli przeprowadzasz uaktualnienie z usługi AD Sync lub uaktualniasz ze starej wersji, dobrym pomysłem jest zainstalowanie nowej wersji w nowym systemie Windows Server. Jeśli masz już dwa serwery Microsoft Entra Connect, najpierw uaktualnij serwer przejściowy. i podwyższyć poziom przemieszczania do aktywnego. Zaleca się, aby zawsze przechowywać parę aktywnych/przejściowych serwerów z tą samą wersją, ale nie jest to wymagane.
  2. Jeśli utworzono konfigurację niestandardową, a serwer przejściowy go nie ma, wykonaj kroki opisane w sekcji Przenoszenie konfiguracji niestandardowej z aktywnego serwera do serwera przejściowego.
  3. Pozwól, aby aparat synchronizacji uruchamiał pełny import i pełną synchronizację na serwerze przejściowym.
  4. Sprawdź, czy nowa konfiguracja nie spowodowała żadnych nieoczekiwanych zmian, wykonując kroki opisane w sekcji „Weryfikuj” w temacie Weryfikowanie konfiguracji serwera. Jeśli coś nie jest zgodne z oczekiwaniami, popraw to, uruchom cykl synchronizacji i zweryfikuj dane, dopóki nie wygląda to dobrze.
  5. Przed uaktualnieniem drugiego serwera przełącz go do trybu przejściowego i podwyższ poziom serwera przejściowego, aby był aktywnym serwerem. Jest to ostatni krok "Przełącz aktywny serwer" w procesie w celu zweryfikowania konfiguracji serwera.
  6. Uaktualnij serwer, który jest teraz w trybie przejściowym, do najnowszej wersji. Wykonaj te same kroki co poprzednio, aby uzyskać uaktualnione dane i konfigurację. W przypadku uaktualniania z usługi Azure AD Sync możesz teraz wyłączyć i zlikwidować stary serwer.

Uwaga

Ważne jest, aby w pełni zlikwidować stare serwery Microsoft Entra Connect, ponieważ mogą one powodować problemy z synchronizacją, trudne do rozwiązania, gdy stary serwer synchronizacji pozostaje w sieci lub jest ponownie obsługiwany później przez pomyłkę. Takie "nieautoryzowane" serwery mają tendencję do zastępowania danych firmy Microsoft Entra ze starymi informacjami, ponieważ mogą już nie mieć dostępu do lokalna usługa Active Directory (na przykład gdy konto komputera wygasło, hasło konta łącznika zostało zmienione itp.), ale nadal może łączyć się z identyfikatorem Entra firmy Microsoft i powodować ciągłe przywracanie wartości atrybutów w każdym cyklu synchronizacji (na przykład co 30 minut). Aby w pełni zlikwidować serwer Microsoft Entra Connect, upewnij się, że całkowicie odinstalujesz produkt i jego składniki lub trwale usuń serwer, jeśli jest to maszyna wirtualna.

Przenoszenie konfiguracji niestandardowej z aktywnego serwera do serwera przejściowego

Jeśli wprowadzono zmiany konfiguracji na aktywnym serwerze, należy upewnić się, że te same zmiany są stosowane do nowego serwera przejściowego. Aby pomóc w tym przeniesieniu, możesz użyć funkcji eksportowania i importowania ustawień synchronizacji. Dzięki tej funkcji można wdrożyć nowy serwer przejściowy w kilku krokach, z dokładnie tymi samymi ustawieniami co inny serwer Microsoft Entra Connect w sieci.

Przenoszenie poszczególnych niestandardowych reguł synchronizacji

W przypadku indywidualnych utworzonych niestandardowych reguł synchronizacji można je przenieść przy użyciu programu PowerShell. Jeśli musisz zastosować inne zmiany w taki sam sposób w obu systemach i nie można przeprowadzić migracji zmian, może być konieczne ręczne wykonanie następujących konfiguracji na obu serwerach:

  • Połączenie z tymi samymi lasami
  • Filtrowanie dowolnej domeny i jednostki organizacyjnej
  • Te same funkcje opcjonalne, takie jak synchronizacja haseł i zapisywanie zwrotne haseł

Kopiowanie niestandardowych reguł synchronizacji
Aby skopiować niestandardowe reguły synchronizacji na inny serwer, wykonaj następujące czynności:

  1. Otwórz Edytor reguł synchronizacji na aktywnym serwerze.

  2. Wybierz regułę niestandardową. Kliknij przycisk wyeksportować. Spowoduje to wyświetlenie okna Notatnika. Zapisz plik tymczasowy przy użyciu rozszerzenia PS1. Dzięki temu skrypt programu PowerShell jest uruchamiany. Skopiuj plik PS1 na serwer przejściowy.

    Zrzut ekranu przedstawiający okno eksportowania edytora reguł synchronizacji.

  3. Identyfikator GUID łącznika (unikatowy identyfikator globalny) różni się na serwerze przejściowym i musisz go zmienić. Aby uzyskać identyfikator GUID, uruchom Edytor reguł synchronizacji, wybierz jedną z wbudowanych reguł reprezentujących ten sam połączony system, a następnie kliknij przycisk Eksportuj. Zastąp identyfikator GUID w pliku PS1 identyfikatorem GUID z serwera przejściowego.

  4. W wierszu polecenia programu PowerShell uruchom plik PS1. Spowoduje to utworzenie niestandardowej reguły synchronizacji na serwerze przejściowym.

  5. Powtórz to dla wszystkich reguł niestandardowych.

Jak odroczyć pełną synchronizację po uaktualnieniu

Podczas uaktualniania w miejscu mogą zostać wprowadzone zmiany, które wymagają wykonania określonych działań synchronizacji (w tym kroku pełnego importu i kroku pełnej synchronizacji). Na przykład zmiany schematu łącznika wymagają pełnego kroku importowania i wprowadzania wbudowanych zmian reguł synchronizacji wymagają wykonania pełnego kroku synchronizacji na łącznikach, których dotyczy problem. Podczas uaktualniania program Microsoft Entra Connect określa, jakie działania synchronizacji są wymagane i rejestruje je jako przesłonięcia. W poniższym cyklu synchronizacji harmonogram synchronizacji pobiera te przesłonięcia i wykonuje je. Po pomyślnym wykonaniu przesłonięcia zostanie ono usunięte.

Mogą wystąpić sytuacje, w których nie chcesz, aby te przesłonięcia odbywały się natychmiast po uaktualnieniu. Na przykład masz wiele zsynchronizowanych obiektów i chcesz, aby te kroki synchronizacji miały miejsce po godzinach pracy. Aby usunąć te przesłonięcia:

  1. Podczas uaktualniania usuń zaznaczenie opcji Uruchom proces synchronizacji po zakończeniu konfiguracji. Spowoduje to wyłączenie harmonogramu synchronizacji i uniemożliwia automatyczne wykonywanie cyklu synchronizacji przed usunięciem przesłonięć.

    Zrzut ekranu przedstawiający opcję Rozpocznij proces synchronizacji po zakończeniu konfiguracji, którą należy wyczyścić.

  2. Po zakończeniu uaktualniania uruchom następujące polecenie cmdlet, aby dowiedzieć się, jakie przesłonięcia zostały dodane: Get-ADSyncSchedulerConnectorOverride | fl

    Uwaga

    Zastąpienia są specyficzne dla łącznika. W poniższym przykładzie do lokalnego łącznika usługi AD i łącznika Microsoft Entra dodano krok pełnej synchronizacji i krok pełnej synchronizacji.

    DisableFullSyncAfterUpgrade

  3. Zanotuj istniejące przesłonięcia, które zostały dodane.

  4. Aby usunąć przesłonięcia dla pełnej synchronizacji importu i pełnej dla dowolnego łącznika, uruchom następujące polecenie cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Aby usunąć przesłonięcia dla wszystkich łączników, wykonaj następujący skrypt programu PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Aby wznowić harmonogram, uruchom następujące polecenie cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

    Ważne

    Pamiętaj, aby wykonać wymagane kroki synchronizacji najwcześniejszej wygody. Te kroki można wykonać ręcznie przy użyciu programu Synchronization Service Manager lub dodać przesłonięcia z powrotem przy użyciu polecenia cmdlet Set-ADSyncSchedulerConnectorOverride.

Aby dodać przesłonięcia dla pełnej synchronizacji importu i pełnej w dowolnym łączniku, uruchom następujące polecenie cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Uaktualnianie systemu operacyjnego serwera

Jeśli musisz uaktualnić system operacyjny (OS) serwera Microsoft Entra Connect, zalecaną metodą jest przygotowanie nowego serwera z odpowiednim systemem operacyjnym i przeprowadzenie migracji swing.

Jeśli jednak nie jest to możliwe, obsługiwane są następujące uaktualnienia systemu operacyjnego w miejscu.

System operacyjny intial Obsługiwany system operacyjny uaktualniania w miejscu
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Rozwiązywanie problemów

Poniższa sekcja zawiera informacje dotyczące rozwiązywania problemów i informacji, których można użyć, jeśli wystąpi problem podczas uaktualniania programu Microsoft Entra Connect.

Brak błędu łącznika Microsoft Entra Podczas uaktualniania programu Microsoft Entra Connect

Podczas uaktualniania programu Microsoft Entra Connect z poprzedniej wersji może wystąpić następujący błąd na początku uaktualnienia:

Błąd

Ten błąd występuje, ponieważ łącznik Microsoft Entra z identyfikatorem b891884f-051e-4a83-95af-2544101c9083 nie istnieje w bieżącej konfiguracji programu Microsoft Entra Connect. Aby sprawdzić, czy tak jest, otwórz okno programu PowerShell, uruchom polecenie cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Polecenie cmdlet programu PowerShell zgłasza błąd nie można odnaleźć określonego narzędzia MA.

Ten błąd występuje, ponieważ bieżąca konfiguracja programu Microsoft Entra Connect nie jest obsługiwana do uaktualnienia.

Jeśli chcesz zainstalować nowszą wersję programu Microsoft Entra Connect: zamknij kreatora Microsoft Entra Connect, odinstaluj istniejącą aplikację Microsoft Entra Connect i wykonaj czystą instalację nowszego programu Microsoft Entra Connect.

Następne kroki

Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.