Поделиться через

Microsoft Entra Connect: обновление до последней версии

  • Статья

Внимание

Вместо обновления до последней версии Microsoft Entra Connect можно узнать, подходит ли для вас облачная синхронизация. Дополнительные сведения см. в мастере для оценки параметров синхронизации.

В этом разделе описаны различные методы, которые можно использовать для обновления установки Microsoft Entra Connect до последнего выпуска. Корпорация Майкрософт рекомендует использовать шаги в разделе миграции Swing при внесении существенных изменений в конфигурацию или обновления с более ранних версий 1.x.

Примечание.

Важно держать серверы в курсе последних выпусков Microsoft Entra Connect. Мы постоянно обновляем Microsoft Entra Connect, и эти обновления включают исправления проблем безопасности и ошибок, а также удобство обслуживания, производительность и масштабируемость. Чтобы узнать, какая версия является последней на данный момент и какие изменения были внесены в каждой из версий, см. журнал версий выпусков.

Все версии, более старые, чем Microsoft Entra Connect версии 2, в настоящее время устарели. Дополнительные сведения см. в разделе "Общие сведения о Microsoft Entra Connect версии 2". Вы можете обновить любую версию Microsoft Entra Connect до текущей версии. Обновление DirSync или ADSync на месте не поддерживается, и требуется миграция качели. Если вы хотите выполнить обновление с DirSync, см. раздел "Обновление с помощью средства синхронизации Azure AD( DirSync) или раздела миграции Swing.

На практике клиенты в старых версиях могут столкнуться с проблемами, не связанными напрямую с Microsoft Entra Connect. Серверы в эксплуатации уже несколько лет обычно имеют несколько применённых исправлений, и не все из них могут быть учтены. Клиенты, которые не обновили в течение 12-18 месяцев (около 1 с половиной лет), должны рассмотреть вопрос об обновлении сачели вместо этого, так как это самый консервативный и наименее рискованных вариант.

Существует несколько различных стратегий, которые можно использовать для обновления Microsoft Entra Connect.

Метод Описание Плюсы Минусы
Автоматическое обновление Это самый простой способ для клиентов с экспресс-установкой. - Нет ручного вмешательства — Версия автоматического обновления может не включать последние функции
Обновление «на месте» Если у вас один сервер, вы можете обновить установку на месте на нем. — не требует другого сервера

 — Если во время обновления на месте возникла проблема, вы не сможете откатить новый выпуск или конфигурацию и изменить активный сервер, когда будете готовы.

Обновление со сменой сервера Перед переключением на новый обновленный сервер можно создать новый обновленный сервер. — самый безопасный подход и более плавный переход на более новую версию
— поддерживает обновление ОС Windows (операционные системы)
— Синхронизация не прерывается и не накладывает риск для рабочей среды		 — требуется установка на отдельном сервере

Сведения о разрешениях см. в разделе Azure AD Connect: учетные записи и разрешения.

Примечание.

После включения нового сервера Microsoft Entra Connect для синхронизации изменений с идентификатором Microsoft Entra необходимо не выполнить откат к использованию DirSync или Azure AD Sync. Переход от Microsoft Entra Connect к устаревшим клиентам, включая DirSync и Синхронизацию Azure AD, не поддерживается и может привести к таким проблемам, как потеря данных в идентификаторе Microsoft Entra.

Обновление «на месте»

Обновление на месте работает для перехода из Службы синхронизации Azure AD или Microsoft Entra Connect. Он не работает для перехода из DirSync.

Мы советуем использовать этот вариант, если у вас есть один сервер и меньше 100 000 объектов. Если есть какие-либо изменения в правилах синхронизации вне поля, после обновления произойдет полная синхронизация и импорт. Этот способ гарантирует, что новая конфигурация будет применена ко всем существующим в системе объектам. Этот процесс может занять несколько часов в зависимости от числа объектов в области действия модуля синхронизации. Обычная синхронизация изменений, по умолчанию выполняемая каждые 30 минут, приостанавливается, но синхронизация паролей продолжает выполняться. Вы можете рассмотреть возможность обновления на месте в выходные дни. Если нет изменений в стандартной конфигурации с новым выпуском Microsoft Entra Connect, вместо этого начинается обычный разностный импорт и синхронизация.

Обновление «на месте»

Если внесены изменения в стандартные правила синхронизации, эти правила возвращаются в конфигурацию по умолчанию при обновлении. Чтобы после обновления конфигурация сохранялась, внесите изменения, как указано в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию. Если вы уже изменили правила синхронизации по умолчанию, см. инструкции по исправлению измененных правил по умолчанию в Microsoft Entra Connect перед началом процесса обновления.

Во время обновления на месте могут быть внесены изменения, требующие выполнения определенных действий по синхронизации (включая шаг полного импорта и шаг полной синхронизации) после завершения обновления. Сведения о том, как отложить эти действия, см. в разделе Как отложить полную синхронизацию после обновления.

Если вы используете Microsoft Entra Connect с нестандартным соединителем (например, универсальным соединителем LDAP (упрощенный протокол доступа к каталогам) и универсальным соединителем SQL), необходимо обновить соответствующую конфигурацию соединителя в Средстве менеджера синхронизации после проведения обновления на месте. Дополнительные сведения об обновлении конфигурации соединителя см. в разделе " Журнал выпусков версий соединителя" — устранение неполадок. Если вы не обновляете конфигурацию, шаги выполнения импорта и экспорта не будут работать правильно для соединителя. В журнале событий приложения появится следующая ошибка:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Обновление со сменой сервера

Для некоторых клиентов обновление на месте может наложить значительный риск для рабочей среды в случае возникновения проблемы при обновлении и откате сервера. Использование одного производственного сервера также может быть непрактичным, так как начальный цикл синхронизации может занять несколько дней и в течение этого времени дельта-изменения не обрабатываются.

В подобных случаях мы рекомендуем обновление со сменой сервера. Этот метод можно использовать при необходимости обновления операционной системы Windows Server. Кроме того, его можно использовать при планировании внесения существенных изменений в конфигурацию среды, которые необходимо протестировать перед отправкой в рабочую среду.

Вам потребуется по крайней мере два сервера — активный и промежуточный. Активный сервер (показан с твердой синей линией на следующей схеме) отвечает за активную рабочую нагрузку. Промежуточный сервер (обозначен пунктирными фиолетовыми линиями) подготавливается с использованием нового выпуска или конфигурации. После завершения подготовки к использованию он становится активным сервером. Сервер, который раньше был активным и на котором теперь установлена устаревшая версия или конфигурация, становится промежуточным и обновляется.

На двух серверах могут использоваться разные версии. Например, активный сервер, который планируется вывести из эксплуатации, может использовать синхронизацию Azure AD, а новый промежуточный сервер может использовать Microsoft Entra Connect. Если для развертывания новой конфигурации используется обновление со сменой сервера, мы рекомендуем устанавливать одинаковые версии на двух серверах.

Схема промежуточного сервера.

Примечание.

Некоторые клиенты предпочитают использовать для этого сценария три или четыре сервера. Когда промежуточный сервер обновляется, он не может служить резервным сервером для аварийного восстановления. С тремя или четырьмя серверами можно подготовить один набор первичных или резервных серверов с обновленной версией, что гарантирует, что на промежуточном сервере всегда есть готовый к выполнению.

Эти действия также работают для перехода из службы синхронизации Azure AD или решения с помощью MIM и соединителя Microsoft Entra. Эти шаги не работают для DirSync, но один и тот же метод миграции качели (также называемый параллельным развертыванием) с шагами для DirSync находится в обновлении синхронизации Azure Active Directory (DirSync)..

Использование обновления со сменой сервера

  1. Если у вас есть только один сервер Microsoft Entra Connect, при обновлении из службы "Синхронизация AD" или обновлении с старой версии рекомендуется установить новую версию на новом сервере Windows Server. Если у вас уже есть два сервера Microsoft Entra Connect, сначала обновите промежуточный сервер. и повышение промежуточного уровня до активного. Рекомендуется всегда хранить пару активных и промежуточных серверов с одной и той же версией, но это не обязательно.
  2. Если у вас нет настраиваемой конфигурации и промежуточного сервера, выполните действия, описанные в разделе "Перемещение настраиваемой конфигурации с активного сервера на промежуточный сервер".
  3. Разрешите модулю синхронизации выполнить полный импорт и полную синхронизацию на промежуточном сервере.
  4. Убедитесь, что новая конфигурация не вызвала непредвиденных изменений, выполнив действия в разделе "Проверить" в проверьте конфигурацию сервера. Если что-то не соответствует ожиданиям, исправьте это, запустите цикл синхронизации и проверяйте данные, пока результат не станет удовлетворительным.
  5. Перед обновлением другого сервера переключите его в промежуточный режим, а промежуточный сервер повысьте до активного. Это последний шаг "Переключить активный сервер" в процессе проверки конфигурации сервера.
  6. Обновите сервер, который сейчас находится в промежуточном режиме, до последнего выпуска. Обновите данные и конфигурацию, как описано выше. При обновлении из Службы синхронизации Azure AD теперь можно отключить и выключить старый сервер.

Примечание.

Важно полностью отказаться от старых серверов Microsoft Entra Connect, так как это может привести к проблемам синхронизации, сложно устранить неполадки, когда старый сервер синхронизации остается в сети или снова работает позже по ошибке. Такие "изгои" серверы, как правило, перезаписывают данные Microsoft Entra со своими старыми сведениями, так как они больше не смогут получить доступ к локальная служба Active Directory (например, когда истек срок действия учетной записи компьютера, пароль учетной записи соединителя изменился, и т. д.), но по-прежнему может подключиться к идентификатору Microsoft Entra ID и привести к постоянному возврату значений атрибутов в каждом цикле синхронизации (например, каждые 30 минут). Чтобы полностью удалить сервер Microsoft Entra Connect, убедитесь, что вы полностью удалите продукт и его компоненты или окончательно удалите сервер, если это виртуальная машина.

Перемещение пользовательской конфигурации с активного сервера на промежуточный сервер

Если вы внесли изменения конфигурации на активный сервер, необходимо убедиться, что те же изменения применяются к новому промежуточному серверу. Для этого перемещения можно использовать функцию для экспорта и импорта параметров синхронизации. С помощью этой функции можно развернуть новый промежуточный сервер в нескольких шагах с теми же параметрами, что и другой сервер Microsoft Entra Connect в сети.

Перемещение отдельных пользовательских правил синхронизации

Для отдельных созданных пользовательских правил синхронизации их можно переместить с помощью PowerShell. Если необходимо применить другие изменения так же, как и в обеих системах, и вы не сможете перенести изменения, возможно, потребуется вручную выполнить следующие конфигурации на обоих серверах:

  • Подключение к одним и тем же лесам.
  • Фильтрацию доменов и подразделений.
  • Одни и те же дополнительные компоненты, например синхронизацию и обратную запись паролей.

Копирование пользовательских правил синхронизации
Чтобы скопировать пользовательские правила синхронизации на другой сервер, сделайте следующее:

  1. Откройте редактор правил синхронизации на активном сервере.

  2. Выберите пользовательское правило. Выберите Экспорт. Откроется окно Блокнота. Сохраните временный файл с расширением PS1 — он станет скриптом PowerShell. Скопируйте PS1-файл на промежуточный сервер.

    Снимок экрана: окно экспорта редактора правил синхронизации.

  3. GUID соединителя (глобальный уникальный идентификатор) отличается на промежуточном сервере, и его необходимо изменить. Чтобы получить GUID, запустите редактор правил синхронизации , выберите одно из встроенных правил, представляющих ту же подключенную систему, и выберите Экспорт. Замените GUID в файл PS1 на GUID для промежуточного сервера.

  4. Запустите файл PS1 из командной строки PowerShell. На промежуточном сервере будет создано пользовательское правило синхронизации.

  5. Повторите эти действия для всех пользовательских правил.

Как отложить полную синхронизацию после обновления

Во время обновления на месте могут быть внесены изменения, требующие выполнения определенных действий по синхронизации (включая шаг полного импорта и шаг полной синхронизации). Например, при изменении схемы соединителя на затронутых соединителях необходимо выполнить полный импорт, а при изменении стандартного правила синхронизации — полную синхронизацию. Во время обновления Microsoft Entra Connect определяет необходимые действия синхронизации и записывает их как переопределения. В следующем цикле синхронизации планировщик синхронизации выбирает и выполняет эти переопределения. После успешного выполнения переопределения он удаляется.

Могут возникнуть ситуации, когда вы не хотите, чтобы эти переопределения происходили сразу после обновления. Например, у вас есть многочисленные синхронизированные объекты, и вы хотите, чтобы эти шаги синхронизации выполнялись после рабочих часов. Чтобы удалить эти переопределения, сделайте следующее:

  1. Во время обновления снимите флажок Запустить синхронизацию сразу после завершения настройки. Это отключит планировщик синхронизации и предотвратит автоматическое выполнение цикла синхронизации, прежде чем переопределения будут удалены.

    Снимок экрана: выделенный флажок Start the synchronization process when configuration completes (Запустить синхронизацию сразу после завершения настройки), который нужно снять.

  2. После завершения обновления выполните следующий командлет, чтобы узнать, какие переопределения были добавлены: Get-ADSyncSchedulerConnectorOverride | fl

    Примечание.

    Переопределения зависят от соединителя. В следующем примере в локальный соединитель AD и Microsoft Entra Connector добавлен шаг полной синхронизации и шаг полной синхронизации.

    DisableFullSyncAfterUpgrade

  3. Запишите добавленные переопределения.

  4. Чтобы удалить переопределения для полного импорта и полной синхронизации на произвольном соединителе, выполните следующий командлет: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Чтобы удалить переопределения во всех соединителях, выполните следующий сценарий PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Чтобы возобновить работу планировщика, выполните следующий командлет: Set-ADSyncScheduler -SyncCycleEnabled $true

    Внимание

    Не забудьте выполнить необходимые шаги синхронизации при первой возможности. Вы можете выполнить эти действия вручную с помощью Synchronization Service Manager или вернуть переопределения с помощью командлета Set-ADSyncSchedulerConnectorOverride.

Чтобы добавить переопределения для полного импорта и полной синхронизации на произвольном соединителе, выполните следующий командлет: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Обновление операционной системы сервера

Если вам нужно обновить операционную систему (OS) сервера Microsoft Entra Connect, рекомендуется подготовить новый сервер с требуемой операционной системой и выполнить миграцию.

Однако если это невозможно, поддерживаются следующие обновления ОС на месте.

Intial OS Поддерживаемая ос обновления на месте
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Устранение неполадок

В следующем разделе содержатся сведения об устранении неполадок и сведениях, которые можно использовать, если возникла проблема с обновлением Microsoft Entra Connect.

Отсутствует ошибка соединителя Microsoft Entra Connect во время обновления Microsoft Entra Connect

При обновлении Microsoft Entra Connect из предыдущей версии может возникнуть следующая ошибка в начале обновления:

Ошибка

Эта ошибка возникает из-за того, что соединитель Microsoft Entra с идентификатором b89184f-051e-4a83-95af-2544101c9083 не существует в текущей конфигурации Microsoft Entra Connect. Чтобы убедиться в этом, откройте окно PowerShell и выполните командлет Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083.

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Командлет PowerShell выдаст сообщение об ошибке the specified MA could not be found (Не удалось найти указанный MA).

Эта ошибка возникает, так как текущая конфигурация Microsoft Entra Connect не поддерживается для обновления.

Если вы хотите установить более новую версию Microsoft Entra Connect: закройте мастер Microsoft Entra Connect, удалите существующий Microsoft Entra Connect и выполните чистую установку нового Microsoft Entra Connect.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.