Azure AD Connect: Nâng cấp từ phiên bản trước - Microsoft Entra (2023)

Chủ đề này mô tả các phương pháp khác nhau mà bạn có thể sử dụng để nâng cấp cài đặt Azure Active Directory (Azure AD) Connect lên bản phát hành mới nhất. Microsoft khuyên bạn nên sử dụng các bước trongDi chuyển xoayphần khi bạn thực hiện thay đổi cấu hình đáng kể hoặc nâng cấp từ các phiên bản 1.x cũ hơn.

Mọi phiên bản cũ hơn Azure AD Connect 2.x hiện không được dùng nữa, hãy xemGiới thiệu về Azure AD Connect V2.0để biết thêm thông tin. Nó hiện được hỗ trợ để nâng cấp từ bất kỳ phiên bản Azure AD Connect nào lên phiên bản hiện tại. Nâng cấp tại chỗ của DirSync hoặc ADSync không được hỗ trợ và cần phải di chuyển xoay vòng. Nếu bạn muốn nâng cấp từ DirSync, hãy xemNâng cấp từ công cụ đồng bộ Azure AD (DirSync)hoặc làDi chuyển xoayphần.

Trên thực tế, khách hàng trên các phiên bản cũ có thể gặp sự cố không liên quan trực tiếp đến Azure AD Connect. Các máy chủ đã được sản xuất trong vài năm thường có một số bản vá được áp dụng cho chúng và không thể giải thích được tất cả các bản vá này. Những khách hàng chưa nâng cấp trong vòng 12-18 tháng (khoảng 1 năm rưỡi) nên cân nhắc nâng cấp xoay vòng vì đây là phương án bảo toàn nhất và ít rủi ro nhất.

Có một vài chiến lược khác nhau mà bạn có thể sử dụng để nâng cấp Azure AD Connect.

Để biết thông tin về quyền, hãy xemquyền cần thiết để nâng cấp.

nâng cấp tại chỗ

Nâng cấp tại chỗ hoạt động để di chuyển từ Azure AD Sync hoặc Azure AD Connect. Nó không hoạt động để di chuyển từ DirSync hoặc cho một giải pháp với Trình quản lý danh tính hàng đầu (FIM) + Trình kết nối Azure AD.

Phương pháp này được ưu tiên khi bạn có một máy chủ và ít hơn khoảng 100.000 đối tượng. Nếu có bất kỳ thay đổi nào đối với các quy tắc đồng bộ hóa ngay khi xuất xưởng, quá trình nhập đầy đủ và đồng bộ hóa đầy đủ sẽ diễn ra sau khi nâng cấp. Phương pháp này đảm bảo rằng cấu hình mới được áp dụng cho tất cả các đối tượng hiện có trong hệ thống. Quá trình chạy này có thể mất vài giờ, tùy thuộc vào số lượng đối tượng nằm trong phạm vi của công cụ đồng bộ hóa. Bộ lập lịch đồng bộ hóa delta bình thường (đồng bộ hóa cứ sau 30 phút theo mặc định) bị treo, nhưng quá trình đồng bộ hóa mật khẩu vẫn tiếp tục. Bạn có thể cân nhắc thực hiện nâng cấp tại chỗ vào cuối tuần. Nếu không có thay đổi nào đối với cấu hình sẵn dùng với bản phát hành Azure AD Connect mới, thì quá trình nhập/đồng bộ hóa delta bình thường sẽ bắt đầu thay thế.

Nếu bạn đã thực hiện các thay đổi đối với các quy tắc đồng bộ hóa sẵn dùng thì các quy tắc này sẽ được đặt lại về cấu hình mặc định khi nâng cấp. Để đảm bảo rằng cấu hình của bạn được giữ nguyên giữa các lần nâng cấp, hãy đảm bảo rằng bạn thực hiện các thay đổi như chúng được mô tả trongCác phương pháp hay nhất để thay đổi cấu hình mặc định. Nếu bạn đã thay đổi quy tắc đồng bộ hóa mặc định, vui lòng xem cáchKhắc phục các quy tắc mặc định đã sửa đổi trong Azure AD Connect, trước khi bắt đầu quá trình nâng cấp.

Trong quá trình nâng cấp tại chỗ, có thể có những thay đổi được đưa ra yêu cầu các hoạt động đồng bộ hóa cụ thể (bao gồm bước Nhập đầy đủ và bước Đồng bộ hóa đầy đủ) phải được thực hiện sau khi nâng cấp hoàn tất. Để trì hoãn các hoạt động như vậy, hãy tham khảo phầnCách trì hoãn đồng bộ hóa đầy đủ sau khi nâng cấp.

Nếu bạn đang sử dụng Azure AD Connect với trình kết nối không chuẩn (ví dụ: Trình kết nối LDAP (Giao thức truy cập thư mục nhẹ) chung và Trình kết nối SQL chung), bạn phải làm mới cấu hình trình kết nối tương ứng trongTrình quản lý dịch vụ đồng bộ hóasau khi nâng cấp tại chỗ. Để biết chi tiết về cách làm mới cấu hình trình kết nối, hãy tham khảo phần bài viếtLịch sử phát hành phiên bản trình kết nối - Khắc phục sự cố. Nếu bạn không làm mới cấu hình, các bước chạy nhập và xuất sẽ không hoạt động chính xác cho trình kết nối. Bạn sẽ nhận được lỗi sau trong nhật ký sự kiện của ứng dụng:

Phiên bản hợp ngữ trong cấu hình Trình kết nối AAD ("X.X.XXX.X") cũ hơn phiên bản thực ("X.X.XXX.X") của "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap .dll".

Di chuyển xoay

Đối với một số khách hàng, việc nâng cấp tại chỗ có thể gây rủi ro đáng kể cho sản xuất trong trường hợp có sự cố trong khi nâng cấp và không thể khôi phục máy chủ. Một máy chủ sản xuất duy nhất cũng có thể không thực tế vì chu kỳ đồng bộ hóa ban đầu có thể mất nhiều ngày và trong thời gian này, không có thay đổi delta nào được xử lý.

Phương pháp được đề xuất cho các tình huống này là sử dụng di chuyển xoay vòng. Bạn cũng có thể sử dụng phương pháp này khi cần nâng cấp hệ điều hành Windows Server hoặc bạn dự định thực hiện các thay đổi đáng kể đối với cấu hình môi trường của mình, những thay đổi này cần được kiểm tra trước khi đưa vào sản xuất.

Bạn cần (ít nhất) hai máy chủ - một máy chủ đang hoạt động và một máy chủ theo giai đoạn. Máy chủ đang hoạt động (được hiển thị bằng các đường liền màu xanh lam trong sơ đồ sau) chịu trách nhiệm về tải sản xuất đang hoạt động. Máy chủ dàn (hiển thị với các đường đứt nét màu tím) được chuẩn bị với bản phát hành hoặc cấu hình mới. Khi nó hoàn toàn sẵn sàng, máy chủ này sẽ được kích hoạt. Máy chủ đang hoạt động trước đó, hiện đã cài đặt phiên bản hoặc cấu hình lỗi thời, được tạo thành máy chủ theo giai đoạn và được nâng cấp.

Hai máy chủ có thể sử dụng các phiên bản khác nhau. Ví dụ: máy chủ đang hoạt động mà bạn dự định ngừng hoạt động có thể sử dụng Azure AD Sync và máy chủ theo giai đoạn mới có thể sử dụng Azure AD Connect. Nếu bạn sử dụng di chuyển xoay vòng để phát triển một cấu hình mới, bạn nên có các phiên bản giống nhau trên hai máy chủ.

Các bước này cũng hoạt động để di chuyển từ Azure AD Sync hoặc giải pháp với FIM + Trình kết nối Azure AD. Các bước này không hoạt động đối với DirSync, nhưng cùng một phương pháp di chuyển xoay vòng (còn gọi là triển khai song song) với các bước đối với DirSync có trongNâng cấp đồng bộ hóa Azure Active Directory (DirSync).

Sử dụng di chuyển xoay để nâng cấp

1. Nếu bạn chỉ có một máy chủ Azure AD Connect, nếu bạn đang nâng cấp từ AD Sync hoặc nâng cấp từ phiên bản cũ, bạn nên cài đặt phiên bản mới trên Windows Server mới. Nếu bạn đã có hai máy chủ Azure AD Connect, trước tiên hãy nâng cấp máy chủ theo giai đoạn. và thúc đẩy dàn dựng hoạt động. Bạn nên luôn giữ một cặp máy chủ đang hoạt động/dàn dựng chạy cùng một phiên bản, nhưng điều này là không bắt buộc.
2. Nếu bạn đã tạo cấu hình tùy chỉnh và máy chủ dàn của bạn không có cấu hình đó, hãy làm theo các bước bên dướiDi chuyển cấu hình tùy chỉnh từ máy chủ đang hoạt động sang máy chủ theo giai đoạn.
3. Hãy để công cụ đồng bộ chạy nhập đầy đủ và đồng bộ hóa đầy đủ trên máy chủ dàn của bạn.
4. Xác minh rằng cấu hình mới không gây ra bất kỳ thay đổi không mong muốn nào bằng cách sử dụng các bước bên dưới "Xác minh" trongXác minh cấu hình của máy chủ. Nếu có điều gì đó không như mong đợi, hãy sửa nó, chạy một chu kỳ đồng bộ hóa và xác minh dữ liệu cho đến khi nó ổn.
5. Trước khi nâng cấp máy chủ khác, hãy chuyển nó sang chế độ tổ chức và nâng cấp máy chủ tổ chức thành máy chủ hoạt động. Đây là bước cuối cùng "Switch active server" trong quá trình chuyển sangXác minh cấu hình của máy chủ.
6. Nâng cấp máy chủ hiện đang ở chế độ dàn dựng lên phiên bản mới nhất. Làm theo các bước tương tự như trước để nâng cấp dữ liệu và cấu hình. Nếu bạn nâng cấp từ Azure AD Sync, giờ đây bạn có thể tắt và ngừng hoạt động máy chủ cũ của mình.

Di chuyển cấu hình tùy chỉnh từ máy chủ đang hoạt động sang máy chủ theo giai đoạn

Nếu bạn đã thực hiện thay đổi cấu hình cho máy chủ đang hoạt động, bạn cần đảm bảo rằng những thay đổi tương tự được áp dụng cho máy chủ theo giai đoạn mới. Để trợ giúp với việc di chuyển này, bạn có thể sử dụng tính năng choxuất và nhập cài đặt đồng bộ hóa. Với tính năng này, bạn có thể triển khai một máy chủ theo giai đoạn mới trong một vài bước, với các cài đặt chính xác giống như một máy chủ Azure AD Connect khác trong mạng của bạn.

Đối với các quy tắc đồng bộ hóa tùy chỉnh riêng lẻ mà bạn đã tạo, bạn có thể di chuyển chúng bằng cách sử dụng PowerShell. Nếu bạn phải áp dụng các thay đổi khác theo cùng một cách trên cả hai hệ thống và bạn không thể di chuyển các thay đổi thì bạn có thể phải thực hiện thủ công các cấu hình sau trên cả hai máy chủ:

• Kết nối với cùng một khu rừng
• Bất kỳ tên miền và lọc đơn vị tổ chức nào
• Các tính năng tùy chọn tương tự, chẳng hạn như đồng bộ hóa mật khẩu và ghi lại mật khẩu

Sao chép quy tắc đồng bộ hóa tùy chỉnh
Để sao chép các quy tắc đồng bộ hóa tùy chỉnh sang máy chủ khác, hãy làm như sau:

1. MởTrình chỉnh sửa quy tắc đồng bộ hóatrên máy chủ đang hoạt động của bạn.

2. Chọn một quy tắc tùy chỉnh. Nhấp chuộtXuất khẩu. Thao tác này sẽ mở ra một cửa sổ Notepad. Lưu tệp tạm thời với phần mở rộng PS1. Điều này làm cho nó trở thành tập lệnh PowerShell. Sao chép tệp PS1 vào máy chủ dàn dựng.

   

3. GUID Trình kết nối (số nhận dạng duy nhất toàn cầu) khác trên máy chủ dàn và bạn phải thay đổi nó. Để có được GUID, hãy bắt đầuTrình chỉnh sửa quy tắc đồng bộ hóa, chọn một trong các quy tắc sẵn dùng đại diện cho cùng một hệ thống được kết nối và nhấp vàoXuất khẩu. Thay thế GUID trong tệp PS1 của bạn bằng GUID từ máy chủ dàn dựng.

4. Trong lời nhắc PowerShell, hãy chạy tệp PS1. Điều này tạo quy tắc đồng bộ hóa tùy chỉnh trên máy chủ dàn.

5. Lặp lại điều này cho tất cả các quy tắc tùy chỉnh của bạn.

Cách trì hoãn đồng bộ hóa đầy đủ sau khi nâng cấp

Trong quá trình nâng cấp tại chỗ, có thể có những thay đổi được đưa ra yêu cầu các hoạt động đồng bộ hóa cụ thể (bao gồm bước Nhập đầy đủ và bước Đồng bộ hóa đầy đủ) phải được thực thi. Ví dụ: các thay đổi lược đồ trình kết nối yêu cầunhập khẩu đầy đủyêu cầu thay đổi quy tắc đồng bộ hóa theo bước và sẵn dùngđồng bộ hóa đầy đủbước được thực thi trên các đầu nối bị ảnh hưởng. Trong quá trình nâng cấp, Azure AD Connect xác định những hoạt động đồng bộ hóa nào được yêu cầu và ghi lại chúng dưới dạngghi đè. Trong chu kỳ đồng bộ hóa tiếp theo, bộ lập lịch đồng bộ hóa sẽ chọn các giá trị thay thế này và thực thi chúng. Sau khi ghi đè được thực thi thành công, nó sẽ bị xóa.

Có thể có những trường hợp bạn không muốn những thay thế này diễn ra ngay sau khi nâng cấp. Ví dụ: bạn có nhiều đối tượng được đồng bộ hóa và bạn muốn các bước đồng bộ hóa này diễn ra sau giờ làm việc. Để xóa các ghi đè này:

1. Trong quá trình nâng cấp,bỏ chọntùy chọnBắt đầu quá trình đồng bộ hóa khi cấu hình hoàn tất. Thao tác này sẽ vô hiệu hóa bộ lập lịch đồng bộ hóa và ngăn không cho chu kỳ đồng bộ hóa tự động diễn ra trước khi các phần ghi đè bị xóa.

   

2. Sau khi nâng cấp hoàn tất, hãy chạy lệnh ghép ngắn sau để tìm hiểu xem phần ghi đè nào đã được thêm vào:Get-ADSyncSchedulerConnectorOverride | fl

   Ghi chú

   Các phần ghi đè là trình kết nối cụ thể. Trong ví dụ sau, bước Nhập đầy đủ và bước Đồng bộ hóa đầy đủ đã được thêm vào cả Trình kết nối AD tại chỗ và Trình kết nối Azure AD.

   

3. Ghi lại các ghi đè hiện có đã được thêm vào.

4. Để loại bỏ các giá trị ghi đè cho cả nhập đầy đủ và đồng bộ hóa đầy đủ trên một trình kết nối tùy ý, hãy chạy lệnh ghép ngắn sau:Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier -FullImportRequired $false -FullSyncRequired $false

   Để xóa phần ghi đè trên tất cả các trình kết nối, hãy thực thi tập lệnh PowerShell sau:

   foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride){ Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false}

5. Để tiếp tục bộ lập lịch, hãy chạy lệnh ghép ngắn sau:Set-ADSyncScheduler -SyncCycleEnabled $true

   Quan trọng

   Hãy nhớ thực hiện các bước đồng bộ hóa cần thiết trong thời gian sớm nhất có thể. Bạn có thể thực hiện các bước này theo cách thủ công bằng cách sử dụng Trình quản lý Dịch vụ Đồng bộ hóa hoặc thêm các phần ghi đè trở lại bằng cách sử dụng lệnh ghép ngắn Set-ADSyncSchedulerConnectorOverride.

Để thêm phần ghi đè cho cả nhập đầy đủ và đồng bộ hóa đầy đủ trên một trình kết nối tùy ý, hãy chạy lệnh ghép ngắn sau:Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier -FullImportRequired $true -FullSyncRequired $true

Nâng cấp hệ điều hành máy chủ

Nếu bạn cần nâng cấp hệ điều hành của máy chủ Azure AD Connect, không sử dụng bản nâng cấp tại chỗ của Hệ điều hành (Hệ điều hành). Thay vào đó, hãy chuẩn bị một máy chủ mới với hệ điều hành mong muốn và thực hiệndi chuyển xoay.

Xử lý sự cố

Phần sau đây chứa thông tin và cách khắc phục sự cố mà bạn có thể sử dụng nếu gặp phải sự cố khi nâng cấp Azure AD Connect.

Lỗi thiếu trình kết nối Azure Active Directory trong quá trình nâng cấp Azure AD Connect

Khi nâng cấp Azure AD Connect từ phiên bản trước, bạn có thể gặp phải lỗi sau khi bắt đầu nâng cấp:

Lỗi này xảy ra do trình kết nối Azure Active Directory có mã định danh, b891884f-051e-4a83-95af-2544101c9083, không tồn tại trong cấu hình Azure AD Connect hiện tại. Để xác minh đây là trường hợp, hãy mở cửa sổ PowerShell, chạy CmdletGet-ADSyncConnector -Định danh b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083Get-ADSyncConnector : Thao tác không thành công do không tìm thấy MA đã chỉ định. Tại dòng:1 ký tự:1+ Get-ADSyncConnector -Identifier b891884f-051e- 4a83-95af-2544101c9083+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne ctor], ConnectorNotFoundException + CompleteQualifiedErrorId : Thao tác không thành công vì không tìm thấy MA đã chỉ định.,Microsoft.IdentityManageme nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

PowerShell Cmdlet báo lỗikhông thể tìm thấy MA được chỉ định.

Lỗi này xảy ra vì cấu hình Azure AD Connect hiện tại không được hỗ trợ để nâng cấp.

Nếu bạn muốn cài đặt phiên bản Azure AD Connect mới hơn: hãy đóng trình hướng dẫn Azure AD Connect, gỡ cài đặt Azure AD Connect hiện có và thực hiện cài đặt sạch Azure AD Connect mới hơn.

Bước tiếp theo

Học nhiều hơn vềtích hợp danh tính tại chỗ của bạn với Azure Active Directory.