Microsoft Entra Connect: обновление до последней версии

Важно!

Вместо обновления до последней версии Microsoft Entra Подключение убедитесь, что облачная синхронизация подходит для вас. Дополнительные сведения см. в мастере для оценки параметров синхронизации.

В этом разделе описаны различные методы, которые можно использовать для обновления установки Microsoft Entra Подключение до последнего выпуска. Корпорация Майкрософт рекомендует использовать шаги в разделе миграции Swing при внесении существенных изменений в конфигурацию или обновления с более ранних версий 1.x.

Примечание.

Важно держать серверы в курсе последних выпусков Microsoft Entra Подключение. Мы постоянно обновляем microsoft Entra Подключение, и эти обновления включают исправления проблем безопасности и ошибок, а также удобство обслуживания, производительность и масштабируемость. Чтобы узнать, какая версия является последней на данный момент и какие изменения были внесены в каждой из версий, см. журнал версий выпусков.

В настоящее время не рекомендуется использовать любые версии, чем Microsoft Entra Подключение версии 2. Дополнительные сведения см. в статье "Введение в Microsoft Entra Подключение версии 2". В настоящее время поддерживается обновление с любой версии Microsoft Entra Подключение до текущей версии. Обновление DirSync или ADSync на месте не поддерживается, и требуется миграция качели. Если вы хотите выполнить обновление с DirSync, см. раздел "Обновление с помощью средства синхронизации Azure AD( DirSync) или раздела миграции Swing.

На практике клиенты в старых версиях могут столкнуться с проблемами, не связанными непосредственно с Microsoft Entra Подключение. Серверы, которые были в рабочей среде в течение нескольких лет, обычно имели несколько исправлений, примененных к ним, и не все из них могут быть учтены. Клиенты, которые не обновили в течение 12-18 месяцев (около 1 с половиной лет), должны рассмотреть вопрос об обновлении сачели вместо этого, так как это самый консервативный и наименее рискованных вариант.

Существует несколько различных стратегий, которые можно использовать для обновления Microsoft Entra Подключение.

Метод	Описание	Плюсы	Минусы
Автоматическое обновление	Это самый простой способ для клиентов с экспресс-установкой.	- Нет ручного вмешательства	— Версия автоматического обновления может не включать последние функции
Обновление «на месте»	Если у вас один сервер, вы можете обновить установку на месте на нем.	— не требует другого сервера	— Если во время обновления на месте возникла проблема, вы не сможете откатить новый выпуск или конфигурацию и изменить активный сервер, когда будете готовы.
Обновление со сменой сервера	Перед переключением на новый обновленный сервер можно создать новый обновленный сервер.	— Сейф самый простой подход и более плавный переход на более новую версию — поддерживает обновление ОС Windows (операционные системы) — Синхронизация не прерывается и не накладывает риск для рабочей среды	— требуется установка на отдельном сервере

Сведения о разрешениях см. в разделе Azure AD Connect: учетные записи и разрешения.

Примечание.

После включения нового сервера Microsoft Entra Подключение для синхронизации изменений с идентификатором Microsoft Entra необходимо не выполнить откат к использованию DirSync или Azure AD Sync. Переход от Microsoft Entra Подключение к устаревшим клиентам, включая DirSync и Синхронизацию Azure AD, не поддерживается и может привести к таким проблемам, как потеря данных в идентификаторе Microsoft Entra.

Обновление «на месте»

Обновление на месте работает для перехода из Службы синхронизации Azure AD или Microsoft Entra Подключение. Он не работает для перехода из DirSync.

Мы советуем использовать этот вариант, если у вас есть один сервер и меньше 100 000 объектов. Если есть какие-либо изменения в правилах синхронизации вне поля, после обновления произойдет полная синхронизация и импорт. Этот способ гарантирует, что новая конфигурация будет применена ко всем существующим в системе объектам. Этот процесс может занять несколько часов в зависимости от числа объектов в области действия модуля синхронизации. Обычная синхронизация изменений, по умолчанию выполняемая каждые 30 минут, приостанавливается, но синхронизация паролей продолжает выполняться. Вы можете рассмотреть возможность обновления на месте в выходные дни. Если нет изменений в стандартной конфигурации с новым выпуском Microsoft Entra Подключение, вместо этого начинается обычный разностный импорт и синхронизация.

Если вы внесли изменения в стандартные правила синхронизации, при обновлении они возвращаются к конфигурации по умолчанию. Чтобы после обновления конфигурация сохранялась, внесите изменения, как указано в статье Службы синхронизации Azure AD Connect: рекомендации по изменению конфигурации по умолчанию. Если вы уже изменили правила синхронизации по умолчанию, см. инструкции по исправлению измененных правил по умолчанию в Microsoft Entra Подключение перед началом процесса обновления.

Во время обновления на месте могут быть внесены изменения, требующие выполнения определенных действий по синхронизации (включая шаг полного импорта и шаг полной синхронизации) после завершения обновления. Сведения о том, как отложить эти действия, см. в разделе Как отложить полную синхронизацию после обновления.

Если вы используете microsoft Entra Подключение с нестандартным соединителем (например, универсальный протокол LDAP (протокол упрощенного доступа к каталогу) Подключение or и generic SQL Подключение or), необходимо обновить соответствующую конфигурацию соединителя в Диспетчере синхронизации после обновления на месте. Дополнительные сведения о том, как обновить конфигурацию соединителя, см. в разделе статьи Подключение журнал выпусков версииor — устранение неполадок. Если не обновить конфигурацию, действия импорта и экспорта для соединителя не будут выполняться правильно. В журнале событий приложения появится следующая ошибка:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Обновление со сменой сервера

Для некоторых клиентов обновление на месте может наложить значительный риск для рабочей среды в случае возникновения проблемы при обновлении и откате сервера. Использование одного производственного сервера также может быть непрактичным, так как начальный цикл синхронизации может занять несколько дней и в течение этого времени дельта-изменения не обрабатываются.

В подобных случаях мы рекомендуем обновление со сменой сервера. Этот метод также можно использовать, если нужно обновить операционную систему Windows Server или вы планируете внести существенные изменения в конфигурацию среды, которые нужно протестировать перед отправкой в рабочую среду.

Вам потребуется по крайней мере два сервера — активный и промежуточный. Активный сервер (показан с твердой синей линией на следующей схеме) отвечает за активную рабочую нагрузку. Промежуточный сервер (обозначен пунктирными фиолетовыми линиями) подготавливается с использованием нового выпуска или конфигурации. После завершения подготовки к использованию он становится активным сервером. Сервер, который раньше был активным и на котором теперь установлена устаревшая версия или конфигурация, становится промежуточным и обновляется.

На двух серверах могут использоваться разные версии. Например, активный сервер, который планируется вывести из эксплуатации, может использовать синхронизацию Azure AD, а новый промежуточный сервер может использовать Microsoft Entra Подключение. Если для развертывания новой конфигурации используется обновление со сменой сервера, мы рекомендуем устанавливать одинаковые версии на двух серверах.

Примечание.

Некоторые клиенты предпочитают использовать для этого сценария три или четыре сервера. Когда промежуточный сервер обновляется, он не может служить резервным сервером для аварийного восстановления. С тремя или четырьмя серверами можно подготовить один набор первичных или резервных серверов с обновленной версией, что гарантирует, что на промежуточном сервере всегда есть готовый к выполнению.

Эти действия также работают для перехода из службы синхронизации Azure AD или решения с помощью MIM и Подключение microsoft Entra. Эти шаги не работают для DirSync, но один и тот же метод миграции качели (также называемый параллельным развертыванием) с шагами для DirSync находится в обновлении синхронизации Azure Active Directory (DirSync)..

Использование обновления со сменой сервера

1. Если у вас есть только один сервер Microsoft Entra Подключение, при обновлении из службы синхронизации AD или обновлении с старой версии рекомендуется установить новую версию на новом сервере Windows Server. Если у вас уже есть два сервера Microsoft Entra Подключение, сначала обновите промежуточный сервер. и повышение промежуточного уровня до активного. Рекомендуется всегда хранить пару активных и промежуточных серверов с одной и той же версией, но это не обязательно.
2. Если у вас нет настраиваемой конфигурации и промежуточного сервера, выполните действия, описанные в разделе "Перемещение настраиваемой конфигурации с активного сервера на промежуточный сервер".
3. Разрешите модулю синхронизации выполнить полный импорт и полную синхронизацию на промежуточном сервере.
4. Убедитесь, что новая конфигурация не вызывает непредвиденных изменений, выполнив инструкции из раздела "Проверка" в статье Проверка конфигурации сервера. Если что-то пошло не так, как ожидалось, внесите необходимые исправления, выполните цикл синхронизации и проверяйте данные, пока они не будут выглядеть должным образом.
5. Перед обновлением другого сервера переключите его в промежуточный режим, а промежуточный сервер повысьте до активного. Это последний шаг "Переключить активный сервер" в процессе проверки конфигурации сервера.
6. Обновите сервер, который сейчас находится в промежуточном режиме, до последнего выпуска. Обновите данные и конфигурацию, как описано выше. При обновлении из Службы синхронизации Azure AD теперь можно отключить и выключить старый сервер.

Примечание.

Важно полностью отказаться от старых серверов Microsoft Entra Подключение, так как это может привести к проблемам синхронизации, сложно устранить неполадки, когда старый сервер синхронизации остается в сети или снова работает позже по ошибке. Такие "изгои" серверы, как правило, перезаписывают данные Microsoft Entra со своими старыми сведениями, так как они больше не смогут получить доступ к локальная служба Active Directory (например, когда истек срок действия учетной записи компьютера, пароль учетной записи соединителя изменился, и т. д.), но по-прежнему может подключаться к идентификатору Microsoft Entra и вызывать постоянно отменить изменения в каждом цикле синхронизации (например, каждые 30 минут). Чтобы полностью удалить сервер Microsoft Entra Подключение, убедитесь, что вы полностью удалите продукт и его компоненты или окончательно удалите сервер, если это виртуальная машина.

Перемещение пользовательской конфигурации с активного сервера на промежуточный сервер

Если вы внесли изменения конфигурации на активный сервер, необходимо убедиться, что те же изменения применяются к новому промежуточному серверу. Для этого перемещения можно использовать функцию для экспорта и импорта параметров синхронизации. С помощью этой функции можно развернуть новый промежуточный сервер в нескольких шагах с теми же параметрами, что и другой сервер Microsoft Entra Подключение в сети.

Перемещение отдельных пользовательских правил синхронизации

Для отдельных созданных пользовательских правил синхронизации их можно переместить с помощью PowerShell. Если необходимо применить другие изменения так же, как и в обеих системах, и вы не сможете перенести изменения, возможно, потребуется вручную выполнить следующие конфигурации на обоих серверах:

• Подключение к одним и тем же лесам.
• Фильтрацию доменов и подразделений.
• Одни и те же дополнительные компоненты, например синхронизацию и обратную запись паролей.

Копирование пользовательских правил синхронизации
Чтобы скопировать пользовательские правила синхронизации на другой сервер, сделайте следующее:

1. Откройте редактор правил синхронизации на активном сервере.

2. Выберите пользовательское правило. Щелкните Экспорт. Откроется окно Блокнота. Сохраните временный файл с расширением PS1 — он станет скриптом PowerShell. Скопируйте PS1-файл на промежуточный сервер.

   

3. Guid Подключение or (глобальный уникальный идентификатор) отличается на промежуточном сервере, и его необходимо изменить. Чтобы получить GUID, запустите редактор правил синхронизации, выберите одно из стандартных правил, представляющих ту же подключенную систему, и щелкните Экспорт. Замените GUID в файл PS1 на GUID для промежуточного сервера.

4. Запустите файл PS1 из командной строки PowerShell. На промежуточном сервере будет создано пользовательское правило синхронизации.

5. Повторите эти действия для всех пользовательских правил.

Как отложить полную синхронизацию после обновления

Во время обновления на месте могут быть внесены изменения, требующие выполнения определенных действий по синхронизации (включая шаг полного импорта и шаг полной синхронизации). Например, при изменении схемы соединителя на затронутых соединителях необходимо выполнить полный импорт, а при изменении стандартного правила синхронизации — полную синхронизацию. Во время обновления Microsoft Entra Подключение определяет необходимые действия синхронизации и записывает их как переопределения. В следующем цикле синхронизации планировщик синхронизации выбирает и выполняет эти переопределения. После успешного выполнения переопределения он удаляется.

Возможны ситуации, при которых не нужно выполнять эти переопределения сразу же после обновления. Например, у вас есть многочисленные синхронизированные объекты, и вы хотите, чтобы эти шаги синхронизации выполнялись после рабочих часов. Чтобы удалить эти переопределения, сделайте следующее:

1. Во время обновления снимите флажок Запустить синхронизацию сразу после завершения настройки. Это отключит планировщик синхронизации и предотвратит автоматическое выполнение цикла синхронизации, прежде чем переопределения будут удалены.

   

2. После завершения обновления выполните следующий командлет, чтобы узнать, какие переопределения были добавлены: Get-ADSyncSchedulerConnectorOverride | fl

   Примечание.

   Переопределения зависят от соединителя. В следующем примере шаг полного импорта и шаг полной синхронизации были добавлены как в локальный Подключение ad, так и в Подключение or Microsoft Entra.

   

3. Запишите добавленные переопределения.

4. Чтобы удалить переопределения для полного импорта и полной синхронизации на произвольном соединителе, выполните следующий командлет: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

   Чтобы удалить переопределения во всех соединителях, выполните следующий сценарий PowerShell:

   foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
   {
       Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
   }
   

5. Чтобы возобновить работу планировщика, выполните следующий командлет: Set-ADSyncScheduler -SyncCycleEnabled $true

   Важно!

   Не забудьте выполнить необходимые шаги синхронизации при первой возможности. Вы можете выполнить эти действия вручную с помощью Synchronization Service Manager или вернуть переопределения с помощью командлета Set-ADSyncSchedulerConnectorOverride.

Чтобы добавить переопределения для полного импорта и полной синхронизации на произвольном соединителе, выполните следующий командлет: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Обновление операционной системы сервера

Если вам нужно обновить операционную систему сервера Microsoft Entra Подключение, не используйте обновление операционной системы (операционная система). Подготовьте новый сервер с нужной операционной системой и выполните обновление со сменой сервера.

Устранение неполадок

В следующем разделе содержатся сведения об устранении неполадок и сведения, которые можно использовать, если возникла проблема с обновлением Microsoft Entra Подключение.

Отсутствует ошибка соединителя Microsoft Entra во время обновления Microsoft Entra Подключение

При обновлении Microsoft Entra Подключение из предыдущей версии может возникнуть следующая ошибка в начале обновления:

Эта ошибка возникает, так как соединитель Microsoft Entra с идентификатором b89184f-051e-4a83-95af-2544101c9083 не существует в текущей конфигурации Microsoft Entra Подключение. Чтобы убедиться в этом, откройте окно PowerShell и выполните командлет Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083.

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

Командлет PowerShell выдаст сообщение об ошибке the specified MA could not be found (Не удалось найти указанный MA).

Эта ошибка возникает, так как текущая конфигурация Microsoft Entra Подключение не поддерживается для обновления.

Если вы хотите установить более новую версию Microsoft Entra Подключение: закройте мастер microsoft Entra Подключение, удалите существующие Подключение Microsoft Entra и выполните чистую установку новых Подключение Microsoft Entra.

Следующие шаги

Узнайте больше об интеграции локальных удостоверений с идентификатором Microsoft Entra.