共用方式為

Microsoft Entra Connect:從 DirSync 升級

  • 發行項

Microsoft Entra Connect 是 DirSync 的後續任務。 在本文中,瞭解如何從 DirSync 升級至 Microsoft Entra Connect。 本文所述的步驟不適用於從不同版本的 Microsoft Entra Connect 或從 Azure Active Directory (Azure AD) 同步升級。

不支援 DirSync 和 Azure AD Sync,且無法再運作。 如果您仍在使用 DirSync 或 Azure AD Sync,您必須 升級至 Microsoft Entra Connect 以繼續同步處理程式。

開始安裝 Microsoft Entra Connect 之前,請確定您 下載 Microsoft Entra Connect,並完成 Microsoft Entra Connect:硬體和必要條件中所述的必要步驟。 請特別注意下列Microsoft Entra Connect 的需求,因為它們與 DirSync 不同:

  • .NET 和 PowerShell的必要版本:DirSync 所需的較新版本必須位於 Microsoft Entra Connect 的伺服器上。
  • Proxy 伺服器組態:如果您使用 Proxy 伺服器連線到因特網,必須先設定此設定,才能升級。 DirSync 一律使用為安裝它的使用者所設定的 Proxy 伺服器,但Microsoft Entra Connect 會改用計算機設定。
  • 必須在 Proxy 伺服器中開啟的 URL:對於 DirSync 支援的基本情境,要求相同。 如果您想要在 Microsoft entra Connect 中使用任何新功能,則必須開啟一些新的 URL。

警告

在您啟用新的 Microsoft Entra Connect 伺服器以開始同步處理變更至 Microsoft Entra ID 之後,您不得回復為使用 DirSync 或 Azure AD Sync。不支援從 Microsoft Entra Connect 降級至舊版用戶端,包括 DirSync 和 Azure AD Sync,而且可能會導致Microsoft Entra ID 中的數據遺失等問題。

如果您未從 DirSync 升級,請參閱其他案例的相關文件。

從 DirSync 升級

視您目前的 DirSync 部署而定,您有不同的升級選項。 如果預期的升級時間少於三小時,建議您進行就地升級。 如果預期的升級時間超過三小時,建議您在不同的伺服器上執行平行部署。 我們估計如果您有50,000個以上的物件,則升級需要三個以上的時間。

下表摘要說明升級案例:

預期的升級時間 物件數目 要使用的升級選項
少於三小時 少於 50,000 就地升級
三個多小時 50,000 以上 平行部署

注意

當您打算從 DirSync 升級至 Microsoft Entra Connect 時,請勿在升級之前自行卸載 DirSync。 Microsoft Entra Connect 會從 DirSync 讀取和移轉組態,並在檢查伺服器之後將其卸載。

  • 就地升級。 精靈會顯示完成升級的預期時間。 此估計是根據假設需要三個小時才能完成具有 50,000 個物件的資料庫升級(用戶、聯繫人和群組)。 如果資料庫中的物件數目小於 50,000,則Microsoft Entra Connect 建議就地升級。 如果您決定繼續,則升級期間會自動套用目前的設定,而且您的伺服器會自動繼續使用中同步處理。

    如果您想要進行設定移轉,並讓 執行平行部署,您可以覆寫就地升級的建議。 例如,您可以利用升級的機會來更新硬體和作業系統。 如需詳細資訊,請參閱 平行部署

  • 平行部署。 如果您有 50,000 個以上的物件,則建議平行部署。 這種類型的部署可避免使用者的任何作業延遲。 Microsoft Entra Connect 安裝會嘗試估算升級的停機時間,但如果您過去曾升級過 DirSync,那麼您自己的經驗可能是對於升級所需時間的最佳指導。

支持升級的 DirSync 組態

升級 DirSync 時,支援下列組態變更:

  • 網域和組織單位 (OU) 篩選
  • 替代識別碼 (UPN)
  • 密碼同步處理和 Exchange 混合式設定
  • 您的目錄樹、網域和 Microsoft Entra 設定
  • 根據使用者屬性進行篩選

下列變更無法升級。 如果您有此設定,則會封鎖升級:

  • 不支援的 DirSync 變更,例如,已移除屬性並使用自定義延伸模組 DLL

    顯示升級因為 DirSync 設定而遭到封鎖的螢幕快照。

    在不支持的升級案例中,建議您在 預備 模式中安裝新的 Microsoft Entra Connect 伺服器,並確認舊的 DirSync 和新Microsoft Entra Connect 組態。 使用自定義組態重新套用任何變更,如 Microsoft Entra Connect Sync 自定義組態中所述。

無法擷取 DirSync 用於服務帳戶的密碼,而且不會移轉這些密碼。 這些密碼會在升級期間重設。

從 DirSync 升級至 Microsoft Entra Connect 的高階步驟

  1. 歡迎使用 Microsoft Entra Connect
  2. 分析目前的 DirSync 組態
  3. 收集 Microsoft Entra Hybrid Identity Administrator 帳戶密碼
  4. 收集企業系統管理員帳戶的認證(僅在安裝 Microsoft Entra Connect 期間使用)
  5. 安裝 Microsoft Entra Connect:
    1. 卸載 DirSync (或暫時停用它)
    2. 安裝 Microsoft Entra Connect
    3. 選擇性地開始同步處理

在下列情況下需要更多步驟:

  • 您目前使用的是 SQL Server 的完整版本,無論是本機還是遠端。
  • 在同步處理範圍內,您有 50,000 個以上的物件。

就地升級

若要進行就地升級:

  1. 開啟 Microsoft Entra Connect 安裝程式 (MSI 檔案)。

  2. 檢閱並同意授權條款和隱私權通知。

    顯示歡迎使用Microsoft Entra Connect 頁面的螢幕快照。

  3. 選取 下一步 以開始分析現有的 DirSync 安裝。

    螢幕快照,顯示 Microsoft Entra Connect 在分析現有 DirSync 安裝時的情況。

  4. 分析完成時,會顯示如何繼續進行的建議。

    • 如果您使用 SQL Server Express 且物件少於 50,000 個,則會顯示此頁面:

      顯示分析已完成且您已準備好從 DirSync 升級的螢幕快照。

    • 如果您使用適用於 DirSync 的完整 SQL Server 版本,則會顯示此頁面:

      顯示正在使用的現有 SQL 資料庫伺服器的螢幕快照。

      顯示有關 DirSync 所使用的現有 SQL Server 資料庫伺服器的資訊。 視需要進行調整。 選取 下一步 以繼續安裝。

    • 如果您有 50,000 個以上的物件,則會顯示此頁面:

      顯示當您有 50,000 個以上的物件要升級時所看到頁面的螢幕快照。

      若要繼續進行就地升級,請選取 [繼續升級此計算機上的 DirSync] 複選框。

      若要執行 平行部署,請匯出 DirSync 組態設定,並將組態移至新的伺服器。

  5. 輸入您目前用來連線到 Microsoft Entra 識別碼的帳戶密碼。 這必須是 DirSync 所使用的帳戶。

    螢幕快照,其中顯示您輸入Microsoft Entra 認證的位置。

    如果出現錯誤訊息,或發生連線問題,請參閱 針對連線問題進行疑難解答

  6. 輸入 Active Directory Domain Services (AD DS) 的企業系統管理員帳戶。

    顯示您輸入 AD DS 認證的螢幕快照。

  7. 您現在已準備好進行設定。 當您選取 [Upgrade] 時,DirSync 會被卸載,Microsoft Entra Connect 會進行設定並開始同步處理。

    顯示 [準備設定] 頁面的螢幕快照。

  8. 安裝完成後,請先註銷 Windows,然後在重新登入之前不要使用 Synchronization Service Manager 或 Synchronization Rule Editor,或進行任何其他設定變更。

平行部署

若要使用平行部署來升級,請完成下列工作。

匯出 DirSync 組態

具有 50,000 個以上物件的平行部署

如果您有 50,000 個以上的物件,Microsoft Entra Connect 安裝精靈建議平行部署。

隨即會出現類似下列範例的頁面:

顯示分析已完成的螢幕快照和 [匯出設定] 按鈕。

如果您想要繼續進行平行部署,請完成下列步驟:

  • 選擇 [匯出設定]。 當您在另一部伺服器上安裝Microsoft Entra Connect 時,這些設定會從您目前的 DirSync 實例移轉至新的 Microsoft Entra Connect 安裝。

成功匯出設定之後,您可以在 DirSync 伺服器上結束 Microsoft Entra Connect 精靈。 繼續進行下一個步驟,在個別伺服器上安裝 Microsoft Entra Connect。

低於 50,000 個物件的平行部署

如果您有少於 50,000 個物件,但仍想要執行平行部署:

  1. 執行 Microsoft Entra Connect 安裝程式。

  2. 歡迎使用 Microsoft Entra Connect中,於視窗右上角選取 [X] 以結束安裝精靈。

  3. 開啟 [命令提示字元] 視窗。

  4. 在 Microsoft Entra Connect 的安裝位置(預設為 C:\Program Files\Microsoft Entra Connect)中,執行下列命令:

    AzureADConnect.exe /ForceExport

  5. 選擇 [匯出設定]。 當您在另一部伺服器上安裝Microsoft Entra Connect 時,這些設定會從您目前的 DirSync 實例移轉至新的 Microsoft Entra Connect 安裝。

    顯示 [匯出設定] 選項的螢幕快照,可將設定移轉至新的 Microsoft Entra Connect 安裝。

成功匯出設定之後,您可以在 DirSync 伺服器上結束 Microsoft Entra Connect 精靈。 繼續進行下一個步驟,在個別伺服器上安裝 Microsoft Entra Connect。

在不同的伺服器上安裝 Microsoft Entra Connect

當您在新伺服器上安裝Microsoft Entra Connect 時,假設您想要執行Microsoft Entra Connect 的全新安裝。 若要使用 DirSync 組態,有一些額外的步驟需要採取:

  1. 執行 Microsoft Entra Connect 安裝程式。

  2. 歡迎使用 Microsoft Entra Connect中,選取視窗右上角的 「X」 離開安裝精靈。

  3. 開啟 [命令提示字元] 視窗。

  4. 在 Microsoft Entra Connect 的安裝位置中,執行下列命令:C:\Program Files\Microsoft Entra Connect

    AzureADConnect.exe /migrate

    Microsoft Entra Connect 安裝精靈隨即啟動,並出現下列頁面:

    顯示升級時匯入配置檔位置的螢幕快照。

  5. 選取您從 DirSync 安裝導出的設定檔。

  6. 設定任何進階選項,包括:

    • Microsoft Entra Connect 的自定義安裝位置。
    • 現有的 SQL Server 實例(根據預設,Microsoft Entra Connect 會安裝 SQL Server 2019 Express)。 請勿使用 DirSync 伺服器所使用的相同資料庫實例。
    • 用來連線到 SQL Server 的服務帳戶。 (如果您的 SQL Server 資料庫是遠端的,此帳戶必須是網域服務帳戶。

    下圖顯示此頁面中的其他選項:

    顯示從 DirSync 升級的進階設定選項的螢幕快照。

  7. 選取 [下一步]

  8. 在 [準備設定] 中,保留選中 [在設定完成後立即啟動同步處理程式] 的選項。 伺服器現在處於 預備模式,因此不會將變更匯出至Microsoft Entra ID。

  9. 選擇 安裝

  10. 安裝完成後,請先註銷 Windows,然後再次登入,接著在使用 Synchronization Service Manager 或同步處理規則編輯器之前,或嘗試進行任何其他設定變更之前,務必完成這些操作。

注意

此時,內部部署 Windows Server Active Directory (Windows Server AD) 與 Microsoft Entra 標識符之間的同步處理會開始,但不會將任何變更導出至 Microsoft Entra ID。 一次只能有一個同步工具主動導出變更。 這個狀態稱為 暫存模式

確認 Microsoft Entra Connect 已準備好開始同步處理

若要確認 Microsoft Entra Connect 已準備好從 DirSync 接管,請在 [開始] 功能表上,選取 [Microsoft Entra Connect>Synchronization Service Manager

在應用程式中,移至 [Operations] 索引標籤。在此索引標籤上,確認下列作業顯示成功完成:

  • 在 Windows Server AD 連接器上 完整匯入
  • 在 Microsoft Entra 連接器上 完整匯入
  • Windows Server AD 連接器上的 完全同步
  • Microsoft Entra 連接器上的 完整同步處理

顯示連接器作業中已完成匯入和同步處理的螢幕快照。

檢閱這些作業的結果,並確定沒有任何錯誤。

如果您要檢視並檢查即將匯出至 Microsoft Entra 識別碼的變更,請檢閱如何 驗證預備模式中的設定。 進行必要的設定變更,直到您不會看到任何非預期情況。

當您完成這些步驟並確信結果時,您已準備好從 DirSync 切換至 Microsoft Entra ID。

卸載 DirSync (舊伺服器)

接下來,卸載 DirSync:

  1. 程式和功能中,尋找並選取 [windows Azure Active Directory 同步處理] 工具
  2. 在工具列中,選取 [卸載]。

卸載最多可能需要 15 分鐘才能完成。

如果您想要稍後卸載 DirSync,您可以暫時關閉伺服器或停用服務。 使用此方法可讓您在發生問題時重新啟用服務。

卸載或停用 DirSync 工具之後,您沒有活動的伺服器進行匯出到 Microsoft Entra ID。 要啟用 Microsoft Entra Connect,必須先完成下一個步驟,這樣才能將內部部署 Windows Server AD 實例中的任何變更同步到 Microsoft Entra ID。

開啟 Microsoft Entra Connect (新伺服器)

安裝之後,請重新開啟 Microsoft Entra Connect 進行更多設定變更。 從 [開始] 功能表或桌面快捷方式開啟 Microsoft Entra Connect。 請確定您不要再次執行安裝 MSI 檔案

  1. [其他工作]中,選取 [設定暫存模式]

  2. 在 [配置階段模式] 中,清除 [啟用階段模式] 複選框以關閉階段模式。

    顯示啟用預備模式選項的螢幕快照。

  3. 選取 下一步

  4. 在確認頁面上,選取 [安裝]。

Microsoft Entra Connect 現在是您的主伺服器。 請確定您不會切換回使用現有的 DirSync 伺服器。

後續步驟