Microsoft Entra Connect:從舊版升級到最新版本
重要
在升級至最新版的 Microsoft Entra Connect 前,請考量雲端同步是否適合您。 如需詳細資訊,請使用評估同步選項的精靈來評估您的選項
本主題描述您可以用來將 Microsoft Entra Connect 安裝升級至最新版本的不同方法。 當您進行大量設定變更或從舊版 1.x 版升級時,Microsoft 建議使用變換移轉一節中的步驟。
注意
請務必使用最新版本的 Microsoft Entra Connect,將您的伺服器保持最新狀態。 我們會不斷地對 Microsoft Entra Connect 進行升級,而且這些升級包括對安全性問題和 Bug 的修正,以及服務性、效能及可擴縮性的改善。 若要查看最新版本,以及了解版本之間有哪些變更,請參閱版本發行記錄
任何早於 Microsoft Entra Connect V2 的版本目前都已淘汱。 如需詳細資訊,請參閱 Microsoft Entra Connect V2 簡介。 目前支援從任何版本的 Microsoft Entra Connect 升級到最新版本。 不支援 DirSync 或 ADSync 就地升級,而且需要變換移轉。 如果您想要從 DirSync 升級,請參閱從 Azure AD 同步工具 (DirSync) 升級或變換移轉一節。
實際上,舊版客戶所遇到的問題可能不會與 Microsoft Entra Connect 有直接關聯。 已投入實際執行環境數年的伺服器通常已套用過數個修補檔,但並非全部都可追責。 12-18 個月 (大約 1 年半) 未升級的客戶應考慮改為變換升級,因為這是最保守且風險最低的選項。
有幾種不同的策略,您可以用來升級 Microsoft Entra Connect。
方法 | 描述 | 優點 | 缺點 |
---|---|---|---|
自動升級 | 對於使用快速安裝的客戶,這是最簡單的方法。 | - 無需手動介入 | - 自動升級版本可能並未包含最新功能 |
就地升級 | 如果您只有一部伺服器,您可以在該伺服器上就地升級安裝 | - 不需要另一部伺服器 |
- 如果就地升級時發生問題,則您無法復原新版本或設定,並在準備好時變更作用中伺服器 |
變換移轉 | 在切換之前,您可以建置新的更新伺服器 | - 以最安全的方法,更順暢地轉換至較新版本 - 支援 Windows 作業系統升級 - 同步不會中斷,也不會對實際執行環境造成風險 |
- 需要在個別伺服器上進行安裝 |
如需權限資訊,請參閱升級所需的權限。
注意
在啟用了新的 Microsoft Entra Connect 伺服器,以開始將變更同步至 Microsoft Entra ID 之後,您不得復原為使用 DirSync 或 Azure AD 同步。不支援從 Microsoft Entra Connect 降級至舊版用戶端,包括 DirSync 和 Azure AD 同步,而且可能會導致 Microsoft Entra ID 中發生資料遺失等問題。
就地升級
就地升級適用於從 Azure AD 同步或 Microsoft Entra Connect 移動。 其不適用於從 DirSync 移動。
您只有一台伺服器,且擁有的物件少於 100000 個時,這個方法是最適合您。 如果現成的同步規則有任何變更,將在升級之後進行完整匯入和完整同步。 此方法可確保將新的組態套用到系統中所有現有的物件。 這項執行可能需要幾個小時的時間,視同步化引擎作業範圍內的物件數目而定。 標準差異同步處理排程器 (預設每隔 30 分鐘同步處理一次) 會暫停,但密碼同步處理會繼續進行。 建議您在週末進行就地升級。 如果新的 Microsoft Entra Connect 版本對現成的設定沒有任何變更,則會改為啟動一般的差異匯入/同步。
如果您已對現成的同步處理規則進行變更,則系統會在升級時會將這些規則設定回預設組態。 如要確保您的組態在系統升級之後會保留下來,請確保依照變更預設組態的最佳做法所述來變更組態。 如果您已變更預設同步規則,請參閱如何修正 Microsoft Entra Connect 中修改過的預設規則,然後再開始升級流程。
在就地升級期間,可能會傳入變更而必須在升級完成之後執行特定的同步處理活動 (包括「完整匯入」步驟和「完整同步處理」步驟)。 若要延遲這類活動,請參閱如何延遲升級之後的完整同步處理一節。
如果您使用 Microsoft Entra Connect 搭配非標準連接器 (例如,一般 LDAP (輕量型目錄存取通訊協定) 連接器和一般 SQL 連接器),則必須在進行就地升級之後,於 Synchronization Service Manager 中重新整理對應的連接器設定。 如需如何重新整理連接器設定的詳細資料,請參閱連接器版本發行歷程記錄 - 疑難排解章節。 如果您未重新整理設定,該連接器的匯入和匯出執行步驟將無法正確運作。 您將在應用程式事件記錄檔中收到下列錯誤:
Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".
變換移轉
對於某些客戶,如果升級時發生問題且無法復原伺服器,就地升級可能就會對實際執行環境帶來相當大的風險。 單一實際執行伺服器可能也不切實際,因為初始同步週期可能需要數天的時間,而且在此期間,不會處理任何差異變更。
這類案例的建議方法是改用變換移轉。 當您需要升級 Windows Server 作業系統,或計畫對環境設定進行重大變更時,您也可以使用此方法,而這些設定必須在推送至實際執行環境之前進行測試。
您需要 (至少) 兩部伺服器,一部為作用中伺服器,另一部則為預備伺服器。 作用中伺服器 (在下圖中以藍色實線顯示) 會負責處理作用中的生產負載。 而預備伺服器 (在下圖中以紫色虛線顯示) 會為了新的版本或組態預作準備。 準備就緒時,這台伺服器的狀態會變成作用中。 先前的作用中伺服器 (現在安裝的版本或設定已過時) 會變成預備伺服器,然後進行升級。
在兩部伺服器可以使用不同的版本。 例如,打算解除委任的作用中伺服器可以使用 Azure AD 同步,而新的預備伺服器可以使用 Microsoft Entra Connect。 如果您使用變換移轉來開發新的組態,最好兩部伺服器上有相同的版本。
注意
有些客戶在此情況下,會使用三或四台伺服器。 在預備伺服器升級後,您沒有備份伺服器可進行災害復原。 如果您有三或四部伺服器,您可以準備一組具有已更新版本的主要/待命伺服器,以確保永遠都有預備伺服器可立即接管工作。
下列步驟也適用於從 Azure AD 同步或具有 MIM 和 Microsoft Entra 連接器的解決方案移動。 這些步驟並不適用於 DirSync,但升級 Azure Active Directory 同步 (DirSync) 中可找到含 DirSync 適用步驟的相同變換移轉方法 (也稱為平行部署)。
使用變換移轉進行升級
- 當您只有一部 Microsoft Entra Connect 伺服器時,如果您要從 AD 同步升級或從舊版升級,最好是在新的 Windows Server 上安裝新版本。 如果您已有兩部 Microsoft Entra Connect 伺服器,則先升級預備伺服器。 然後將預備伺服器升階為作用中。 建議您一律保留一對執行相同版本的作用中/預備伺服器,但這並非必要。
- 如果您已建立自訂設定,但預備伺服器並沒有此設定,請遵循將自訂設定從作用中伺服器移到預備伺服器底下的步驟進行。
- 讓同步處理引擎在預備伺服器上執行完整匯入及完整同步處理的作業。
- 使用驗證伺服器的設定中「驗證」下方的步驟,來確認新設定並未造成任何非預期的變更。 如果發現未預期的變更,請進行修正、執行同步週期,然後驗證資料,直到其看起來沒問題為止。
- 升級另一部伺服器之前,先將它切換為預備模式,然後將預備伺服器升階為作用中伺服器。 這就是驗證伺服器設定流程中的最後一個步驟「切換作用中伺服器」。
- 將目前處於預備模式的伺服器升級為最新版本。 依照與先前相同的步驟,來為資料及組態升級。 如果您從 Azure AD 同步升級,現在就能關閉舊的伺服器並將其解除委任。
注意
請務必將舊的 Microsoft Entra Connect 伺服器完全解除委任,因為當舊的同步伺服器保留在網路上或稍後誤將其重新啟動時,這些伺服器可能導致同步問題且難以進行疑難排解。 這類 “Rogue” 伺服器通常會以其舊資訊覆寫 Microsoft Entra 資料,因為其可能無法再存取內部部署的 Active Directory (例如,當電腦帳戶過期時、連接器帳戶密碼已變更等等),但仍可連線到 Microsoft Entra ID,並導致屬性值在每個同步週期 (例如,每 30 分鐘) 中持續還原。 若要將 Microsoft Entra Connect 伺服器完全解除委任,請確定您會完全解除安裝該產品及其元件,或者,若其為虛擬機器,請永久刪除該伺服器。
將自訂組態從作用中伺服器移到預備伺服器
如果您已變更作用中伺服器的設定,就必須確保會將相同的變更套用到新的預備伺服器。 為了協助進行此移動,您可以使用此功能來匯出和匯入同步設定。 使用此功能,您可以使用數個步驟來部署新的預備伺服器,且其設定會與網路中的另一部 Microsoft Entra Connect 伺服器完全相同。
移動個別自訂同步規則
針對您建立的個別自訂同步規則,您可以使用 PowerShell 來移動它們。 如果您必須在這兩個系統上以相同方式套用其他變更,但無法移轉變更,則可能必須在這兩部伺服器上手動進行下列設定:
- 對相同樹系的連線
- 任何網域及 OU 篩選
- 相同的選用功能,例如密碼同步處理及密碼回寫功能
複製自訂同步規則
若要將自訂同步規則複製到另一部伺服器,請執行下列動作:
開啟作用中伺服器上的 [同步處理規則編輯器] 。
選取自訂規則。 按一下 [匯出] 。 此時會出現一個 [記事本] 視窗。 將暫存檔案儲存成副檔名為 PS1 的檔案。 這會讓該檔案變成 PowerShell 指令碼。 將該 PS1 檔案複製到預備伺服器上。
連接器 GUID (全域唯一識別碼) 在預備伺服器上不同,您必須將其變更。 若要取得 GUID,請啟動 [同步處理規則編輯器]、選取某個代表同一個已連線系統的現成規則,然後按一下 [匯出]。 請用預備伺服器的 GUID 取代 PS1 檔中的 GUID。
在 PowerShell 命令提示字元中執行 PS1 檔, 以便在預備伺服器上建立自訂同步處理規則。
針對所有自訂規則重複此步驟。
如何延遲升級之後的完整同步處理
在就地升級期間,可能會傳入變更而必須執行特定的同步處理活動 (包括「完整匯入」步驟和「完整同步處理」步驟)。 例如,連接器結構描述變更時,需要在受影響的連接器上執行完整匯入步驟,而全新的同步化規則變更則需要執行完整同步處理步驟。 在升級期間,Microsoft Entra Connect 會決定需要何種同步活動,並將其記錄為「覆寫」。 在下列同步處理週期內,同步處理排程器會挑出這些覆寫並執行。 一旦成功執行了覆寫,就會將其移除。
在某些情況下,您可能不想在升級之後立即進行這些覆寫。 例如,您有很多個已同步的物件,而且想要讓這些同步的步驟在下班後執行。 移除這些覆寫:
在升級期間,清除 [在設定完成時開始同步處理程序] 選項。 這會停用同步處理排程器,並且避免在移除覆寫之前自動開始同步處理週期。
升級完成之後,執行下列 Cmdlet 來找出已新增哪些覆寫:
Get-ADSyncSchedulerConnectorOverride | fl
注意
覆寫是連接器特有的。 在下列範例中,完整匯入步驟和完整同步步驟已新增至內部部署 AD 連接器與 Microsoft Entra 連接器。
記下現有已新增的覆寫。
若要在任意連接器上同時移除完整匯入和完整同步處理的覆寫,請執行下列 Cmdlet:
Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false
若要移除所有連接器上的覆寫,請執行下列 PowerShell 指令碼:
foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride) { Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false }
若要繼續排程器,請執行下列 Cmdlet:
Set-ADSyncScheduler -SyncCycleEnabled $true
重要
請記得儘早執行必要的同步處理步驟。 您可以使用 Synchronization Service Manager 來手動執行這些步驟,或使用 Set-ADSyncSchedulerConnectorOverride Cmdlet 將覆寫加回。
若要在任意連接器上同時新增完整匯入和完整同步處理的覆寫,請執行下列 Cmdlet:Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true
升級伺服器作業系統
如果您需要升級Microsoft Entra Connect 伺服器的操作系統(OS),建議的方法是準備具有所需操作系統的新伺服器,並執行 搖擺移轉。
不過,如果無法這樣做,則支援下列就地操作系統升級。
Intial OS | 支援就地升級OS |
---|---|
Windows Server 2106 | Windows Server 2022 |
Windows Server 2019 | Windows Server 2022 |
疑難排解
下一節包含遇到 Microsoft Entra Connect 升級問題時,您可以使用的疑難排解和資訊。
在 Microsoft Entra Connect 升級期間 Microsoft Entra 連接器遺失錯誤
當您從舊版升級 Microsoft Entra Connect 時,您可能會在升級開始時遇到下列錯誤:
因為識別碼為 b891884f-051e-4a83-95af-2544101c9083 的 Microsoft Entra 連接器不存在於目前的 Microsoft Entra Connect 設定中,所以發生此錯誤。 若要確認情況就是這樣,請開啟 PowerShell 視窗,並執行 Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
ctor], ConnectorNotFoundException
+ FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet
此 PowerShell Cmdlet 會回報找不到指定 MA 錯誤。
發生此錯誤的原因是不支援目前的 Microsoft Entra Connect 設定進行升級。
如果您想要安裝較新版的 Microsoft Entra Connect:關閉 Microsoft Entra Connect 精靈、解除安裝現有的 Microsoft Entra Connect,然後使用較新的 Microsoft Entra Connect 來執行全新安裝。
下一步
深入了解將內部部署身分識別與 Microsoft Entra ID 整合 (部分機器翻譯)。