Dela via

Microsoft Entra Connect: Uppgradera från en tidigare version till den senaste

  • Artikel

Viktigt!

I stället för att uppgradera till den senaste versionen av Microsoft Entra Connect kan du se om molnsynkronisering passar dig. Mer information finns i utvärdera dina alternativ med hjälp av guiden för att utvärdera synkroniseringsalternativ

Det här avsnittet beskriver de olika metoder som du kan använda för att uppgradera din Microsoft Entra Connect-installation till den senaste versionen. Microsoft rekommenderar att du använder stegen i avsnittet Swing-migrering när du gör en betydande konfigurationsändring eller uppgradering från äldre 1.x-versioner.

Kommentar

Det är viktigt att du håller dina servrar aktuella med de senaste versionerna av Microsoft Entra Connect. Vi gör ständigt uppgraderingar till Microsoft Entra Connect, och dessa uppgraderingar omfattar korrigeringar av säkerhetsproblem och buggar, samt förbättringar av servicebarhet, prestanda och skalbarhet. Om du vill se vad den senaste versionen är och om du vill veta vilka ändringar som har gjorts mellan versioner kan du läsa versionshistoriken

Alla versioner som är äldre än Microsoft Entra Connect V2 är för närvarande inaktuella. Mer information finns i Introduktion till Microsoft Entra Connect V2. Du kan uppgradera från valfri version av Microsoft Entra Connect till den aktuella versionen. Uppgraderingar på plats av DirSync eller ADSync stöds inte och en svängmigrering krävs. Om du vill uppgradera från DirSync läser du Uppgradera från Azure AD Sync-verktyget (DirSync) eller avsnittet Swing-migrering .

I praktiken kan kunder i gamla versioner stöta på problem som inte är direkt relaterade till Microsoft Entra Connect. Servrar i produktion i flera år har vanligtvis flera korrigeringar som tillämpas på dem, och alla dessa kan inte redovisas. Kunder som inte har uppgraderat på 12-18 månader (cirka 1 och ett halvt år) bör överväga en swinguppgradering istället eftersom detta är det mest konservativa och minst riskfyllda alternativet.

Det finns några olika strategier som du kan använda för att uppgradera Microsoft Entra Connect.

Metod Beskrivning Fördelar Nackdelar
Automatisk uppgradering Det här är den enklaste metoden för kunder med en expressinstallation – Inga manuella åtgärder – Den automatiska uppgraderingsversionen kanske inte innehåller de senaste funktionerna
Uppgradering på plats Om du har en enda server kan du uppgradera installationen på plats på samma server – Kräver inte någon annan server

 – Om det uppstår ett problem vid uppgradering på plats kan du inte återställa den nya versionen eller konfigurationen och ändra den aktiva servern när du är redo

Swing-migrering Du kan skapa en ny uppdaterad server åt sidan innan du byter – Säkrast tillvägagångssätt och smidigare övergång till en nyare version
– Stöder uppgradering av Windows OS (operativsystem)
– Synkroniseringen avbryts inte och medför ingen risk för produktionen		 – Kräver installation på en separat server

Information om behörigheter finns i behörigheter som krävs för en uppgradering.

Kommentar

När du har aktiverat din nya Microsoft Entra Connect-server för att börja synkronisera ändringar i Microsoft Entra-ID får du inte återställa till att använda DirSync eller Azure AD Sync. Nedgradering från Microsoft Entra Connect till äldre klienter, inklusive DirSync och Azure AD Sync, stöds inte och kan leda till problem som dataförlust i Microsoft Entra-ID.

Uppgradering på plats

En uppgradering på plats fungerar för att flytta från Azure AD Sync eller Microsoft Entra Connect. Det fungerar inte för att flytta från DirSync.

Den här metoden rekommenderas när du har en enskild server och mindre än cirka 100 000 objekt. Om det finns några ändringar i de färdiga synkroniseringsreglerna sker en fullständig import och fullständig synkronisering efter uppgraderingen. Den här metoden säkerställer att den nya konfigurationen tillämpas på alla befintliga objekt i systemet. Den här körningen kan ta några timmar, beroende på antalet objekt som ingår i synkroniseringsmotorns omfång. Den normala deltasynkroniseringsschemaläggaren (som synkroniserar var 30:e minut som standard) pausas, men lösenordssynkroniseringen fortsätter. Du kan överväga att göra uppgraderingen på plats under helgen. Om det inte finns några ändringar i den färdiga konfigurationen med den nya Microsoft Entra Connect-versionen startar en normal deltaimport/synkronisering i stället.

Uppgradering på plats

Om du gör ändringar i de färdiga synkroniseringsreglerna ställs dessa regler tillbaka till standardkonfigurationen vid uppgraderingen. Kontrollera att konfigurationen sparas mellan uppgraderingarna genom att se till att du gör ändringar på det sätt som beskrivs i Metodtips för att ändra standardkonfigurationen. Om du redan har ändrat standardsynkroniseringsreglerna kan du se hur du åtgärdar ändrade standardregler i Microsoft Entra Connect innan du påbörjar uppgraderingsprocessen.

Under uppgraderingen på plats kan det finnas ändringar som kräver att specifika synkroniseringsaktiviteter (inklusive steget Fullständig import och Fullständig synkronisering) körs när uppgraderingen har slutförts. Om du vill skjuta upp sådana aktiviteter läser du avsnittet Så här skjuter du upp fullständig synkronisering efter uppgraderingen.

Om du använder Microsoft Entra Connect med anslutningsprogram som inte är standard (till exempel Generic LDAP(Lightweight Directory Access Protocol) Connector och Generic SQL Connector) måste du uppdatera motsvarande anslutningskonfiguration i Synchronization Service Manager efter uppgradering på plats. Mer information om hur du uppdaterar konfigurationen av anslutningsappen finns i artikeln Versionshistorik för anslutningsapp – Felsökning. Om du inte uppdaterar konfigurationen fungerar inte import- och exportkörstegen korrekt för anslutningen. Du får följande fel i programhändelseloggen:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Swingmigrering

För vissa kunder kan en uppgradering på plats medföra en betydande risk för produktionen om det uppstår ett problem vid uppgradering och servern inte kan återställas. En enskild produktionsserver kan också vara opraktisk eftersom den inledande synkroniseringscykeln kan ta flera dagar, och under den här tiden bearbetas inga deltaändringar.

Den rekommenderade metoden för dessa scenarier är att använda en swingmigrering. Du kan använda den här metoden när du behöver uppgradera Windows Server-operativsystemet. Dessutom kan du använda den när du planerar att göra betydande ändringar i din miljökonfiguration, som måste testas innan de skickas till produktion.

Du behöver (minst) två servrar – en aktiv server och en mellanlagringsserver. Den aktiva servern (visas med helblå linjer i följande diagram) ansvarar för den aktiva produktionsbelastningen. Mellanlagringsservern (visas med streckade lila linjer) förbereds med den nya versionen eller konfigurationen. När den är helt klar aktiveras den här servern. Den tidigare aktiva servern, som nu har den inaktuella versionen eller konfigurationen installerad, görs till mellanlagringsservern och uppgraderas.

De två servrarna kan använda olika versioner. Den aktiva server som du planerar att inaktivera kan till exempel använda Azure AD Sync, och den nya mellanlagringsservern kan använda Microsoft Entra Connect. Om du använder swingmigrering för att utveckla en ny konfiguration är det en bra idé att ha samma versioner på de två servrarna.

Diagram över mellanlagringsservern.

Kommentar

Vissa kunder föredrar att ha tre eller fyra servrar för det här scenariot. När mellanlagringsservern uppgraderas har du ingen säkerhetskopieringsserver för haveriberedskap. Med tre eller fyra servrar kan du förbereda en uppsättning primära/väntelägesservrar med den uppdaterade versionen, vilket säkerställer att det alltid finns en mellanlagringsserver som är redo att ta över.

De här stegen fungerar också för att flytta från Azure AD Sync eller en lösning med MIM och Microsoft Entra Connector. De här stegen fungerar inte för DirSync, men samma swingmigreringsmetod (kallas även parallell distribution) med stegen för DirSync i Uppgradera Azure Active Directory Sync (DirSync).

Använda en swingmigrering för att uppgradera

  1. Om du bara har en Microsoft Entra Connect-server, om du uppgraderar från AD Sync eller uppgraderar från en gammal version, är det en bra idé att installera den nya versionen på en ny Windows Server. Om du redan har två Microsoft Entra Connect-servrar uppgraderar du mellanlagringsservern först. och befordra mellanlagringen till aktiv. Vi rekommenderar att du alltid har ett par aktiva/mellanlagringsservrar som kör samma version, men det krävs inte.
  2. Om du har gjort en anpassad konfiguration och mellanlagringsservern inte har den följer du stegen under Flytta en anpassad konfiguration från den aktiva servern till mellanlagringsservern.
  3. Låt synkroniseringsmotorn köra fullständig import och fullständig synkronisering på mellanlagringsservern.
  4. Kontrollera att den nya konfigurationen inte orsakade några oväntade ändringar med hjälp av stegen under "Verifiera" i Verifiera konfigurationen av en server. Om något inte är som förväntat korrigerar du det, kör en synkroniseringscykel och verifierar data tills det ser bra ut.
  5. Innan du uppgraderar den andra servern växlar du den till mellanlagringsläge och befordrar mellanlagringsservern till den aktiva servern. Det här är det sista steget "Växla aktiv server" i processen för att verifiera konfigurationen av en server.
  6. Uppgradera servern som nu är i mellanlagringsläge till den senaste versionen. Följ samma steg som tidigare för att uppgradera data och konfiguration. Om du uppgraderar från Azure AD Sync kan du nu inaktivera och inaktivera den gamla servern.

Kommentar

Det är viktigt att helt inaktivera gamla Microsoft Entra Connect-servrar eftersom dessa kan orsaka synkroniseringsproblem, svåra att felsöka, när en gammal synkroniseringsserver lämnas kvar i nätverket eller startas igen senare av misstag. Sådana "oseriösa" servrar tenderar att skriva över Microsoft Entra-data med sin gamla information eftersom de kanske inte längre kan komma åt lokal Active Directory (till exempel när datorkontot har upphört att gälla, lösenordet för anslutningskontot har ändrats osv.), men kan fortfarande ansluta till Microsoft Entra-ID och orsaka att attributvärdena kontinuerligt återställs i varje synkroniseringscykel (till exempel var 30:e minut). Om du vill inaktivera en Microsoft Entra Connect-server helt måste du avinstallera produkten och dess komponenter eller ta bort servern permanent om det är en virtuell dator.

Flytta en anpassad konfiguration från den aktiva servern till mellanlagringsservern

Om du har gjort konfigurationsändringar på den aktiva servern måste du se till att samma ändringar tillämpas på den nya mellanlagringsservern. Om du vill hjälpa till med den här flytten kan du använda funktionen för att exportera och importera synkroniseringsinställningar. Med den här funktionen kan du distribuera en ny mellanlagringsserver i några få steg, med exakt samma inställningar som en annan Microsoft Entra Connect-server i nätverket.

Flytta enskilda anpassade synkroniseringsregler

För enskilda anpassade synkroniseringsregler som du har skapat kan du flytta dem med hjälp av PowerShell. Om du måste tillämpa andra ändringar på samma sätt på båda systemen och du inte kan migrera ändringarna kan du behöva göra följande konfigurationer manuellt på båda servrarna:

  • Anslutning till samma skogar
  • Alla domän- och organisationsenhetsfiltreringar
  • Samma valfria funktioner, till exempel lösenordssynkronisering och tillbakaskrivning av lösenord

Kopiera anpassade synkroniseringsregler
Om du vill kopiera anpassade synkroniseringsregler till en annan server gör du följande:

  1. Öppna Redigeraren för synkroniseringsregler på den aktiva servern.

  2. Välj en anpassad regel. Välj Exportera. Då öppnas ett anteckningsfönster. Spara den temporära filen med ett PS1-tillägg. Detta gör det till ett PowerShell-skript. Kopiera PS1-filen till mellanlagringsservern.

    Skärmbild som visar exportfönstret för synkroniseringsreglersredigeraren.

  3. Anslutnings-GUID (globalt unik identifierare) skiljer sig på mellanlagringsservern och du måste ändra det. Om du vill hämta GUID startar du Synchronization Rules Editor, väljer en av de färdiga reglerna som representerar samma anslutna system och väljer Exportera. Ersätt GUID i PS1-filen med GUID från mellanlagringsservern.

  4. Kör PS1-filen i en PowerShell-prompt. Detta skapar den anpassade synkroniseringsregeln på mellanlagringsservern.

  5. Upprepa detta för alla dina anpassade regler.

Så här skjuter du upp fullständig synkronisering efter uppgraderingen

Under uppgraderingen på plats kan det finnas ändringar som kräver att specifika synkroniseringsaktiviteter (inklusive steget Fullständig import och Fullständig synkronisering) körs. Schemaändringar för anslutningsprogram kräver till exempel fullständigt importsteg , och ändringar i synkroniseringsregeln som inte är färdiga kräver att fullständigt synkroniseringssteg körs på berörda anslutningsappar. Under uppgraderingen avgör Microsoft Entra Connect vilka synkroniseringsaktiviteter som krävs och registrerar dem som åsidosättningar. I följande synkroniseringscykel hämtar synkroniseringsschemaläggaren dessa åsidosättningar och kör dem. När en åsidosättning har körts tas den bort.

Det kan finnas situationer där du inte vill att dessa åsidosättningar ska ske omedelbart efter uppgraderingen. Du har till exempel många synkroniserade objekt, och du vill att de här synkroniseringsstegen ska ske efter kontorstid. Så här tar du bort dessa åsidosättningar:

  1. Under uppgraderingen avmarkerar du alternativet Starta synkroniseringsprocessen när konfigurationen är klar. Detta inaktiverar synkroniseringsschemaläggaren och förhindrar att synkroniseringscykeln sker automatiskt innan åsidosättningarna tas bort.

    Skärmbild som visar alternativet Starta synkroniseringsprocessen när konfigurationen slutförs som du behöver rensa.

  2. När uppgraderingen är klar kör du följande cmdlet för att ta reda på vilka åsidosättningar som har lagts till: Get-ADSyncSchedulerConnectorOverride | fl

    Kommentar

    Åsidosättningarna är anslutningsspecifika. I följande exempel har steget Fullständig import och Fullständig synkronisering lagts till i både den lokala AD-anslutningsappen och Microsoft Entra Connector.

    DisableFullSyncAfterUpgrade

  3. Anteckna de befintliga åsidosättningar som har lagts till.

  4. Om du vill ta bort åsidosättningarna för både fullständig import och fullständig synkronisering på en godtycklig anslutningsapp kör du följande cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Om du vill ta bort åsidosättningarna för alla anslutningsappar kör du följande PowerShell-skript:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
{
    Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
}

  5. Kör följande cmdlet för att återuppta schemaläggaren: Set-ADSyncScheduler -SyncCycleEnabled $true

    Viktigt!

    Kom ihåg att köra nödvändiga synkroniseringssteg så snart som möjligt. Du kan antingen köra dessa steg manuellt med hjälp av Synkroniseringstjänsthanteraren eller lägga till åsidosättningarna igen med hjälp av cmdleten Set-ADSyncSchedulerConnectorOverride.

Om du vill lägga till åsidosättningar för både fullständig import och fullständig synkronisering på en godtycklig anslutningsapp kör du följande cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Uppgradera serverns operativsystem

Om du behöver uppgradera operativsystemet (OS) för Microsoft Entra Connect-servern är den rekommenderade metoden att förbereda en ny server med önskat operativsystem och utföra en svängmigrering.

Men om detta inte är möjligt stöds följande os-uppgraderingar på plats.

Intial OS Uppgraderingsoperativsystem på plats som stöds
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Felsökning

Följande avsnitt innehåller felsökning och information som du kan använda om du stöter på ett problem med att uppgradera Microsoft Entra Connect.

Microsoft Entra-anslutningsprogrammet saknade fel under Microsoft Entra Connect-uppgraderingen

När du uppgraderar Microsoft Entra Connect från en tidigare version kan du stöta på följande fel i början av uppgraderingen:

Fel

Det här felet inträffar eftersom Microsoft Entra-anslutningsprogrammet med identifieraren b891884f-051e-4a83-95af-2544101c9083 inte finns i den aktuella Microsoft Entra Connect-konfigurationen. Kontrollera att så är fallet genom att öppna ett PowerShell-fönster, köra Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

PowerShell-cmdleten rapporterar felet som angiven MA inte kunde hittas.

Det här felet beror på att den aktuella Microsoft Entra Connect-konfigurationen inte stöds för uppgradering.

Om du vill installera en nyare version av Microsoft Entra Connect: stäng guiden Microsoft Entra Connect, avinstallera den befintliga Microsoft Entra Connect och utför en ren installation av den nyare Microsoft Entra Connect.

Nästa steg

Läs mer om att integrera dina lokala identiteter med Microsoft Entra-ID.