Microsoft Entra Connect: eseguire l'aggiornamento da una versione precedente alla versione più recente
Importante
Invece di eseguire l'aggiornamento alla versione più recente di Microsoft Entra Connect, vedere se la sincronizzazione cloud è adatta. Per altre informazioni, valutare le opzioni usando la procedura guidata per valutare le opzioni di sincronizzazione
In questo argomento vengono descritti i diversi metodi che è possibile usare per aggiornare l'installazione di Microsoft Entra Connect alla versione più recente. Microsoft consiglia di usare la procedura descritta nella sezione Migrazione swing quando si apportano modifiche sostanziali alla configurazione o si esegue l'aggiornamento da versioni precedenti della versione 1.x.
Nota
È importante mantenere aggiornati i server con le versioni più recenti di Microsoft Entra Connect. Microsoft sta costantemente effettuando aggiornamenti a Microsoft Entra Connect e questi aggiornamenti includono correzioni a problemi di sicurezza e bug, nonché miglioramenti della gestibilità, delle prestazioni e della scalabilità. Per vedere qual è la versione più recente e per informazioni sulle modifiche apportate tra le versioni, vedere la cronologia delle versioni di rilascio
Le versioni precedenti a Microsoft Entra Connect V2 sono attualmente deprecate. Per altre informazioni, vedere Introduzione a Microsoft Entra Connect V2. Attualmente è supportato l'aggiornamento da qualsiasi versione di Microsoft Entra Connect alla versione corrente. Gli aggiornamenti sul posto di DirSync o ADSync non sono supportati e è necessaria una migrazione swing. Per eseguire l'aggiornamento da DirSync, vedere Eseguire l'aggiornamento dallo strumento di sincronizzazione di Azure AD (DirSync) o dalla sezione Migrazione swing.
In pratica, i clienti con versioni precedenti potrebbero riscontrare problemi non direttamente correlati a Microsoft Entra Connect. I server che sono stati in produzione per diversi anni in genere hanno avuto diverse patch applicate e non tutti questi possono essere considerati. I clienti che non hanno eseguito l'aggiornamento in 12-18 mesi (circa 1 anni e mezzo) dovrebbero prendere in considerazione un aggiornamento swing invece come questa è l'opzione più conservativa e meno rischiosa.
Esistono alcune strategie diverse che è possibile usare per aggiornare Microsoft Entra Connect.
metodo | Descrizione | Vantaggi | Svantaggi |
---|---|---|---|
Aggiornamento automatico | Si tratta del metodo più semplice per i clienti con installazione rapida | - Nessun intervento manuale | - La versione di aggiornamento automatico potrebbe non includere le funzionalità più recenti |
Aggiornamento sul posto | Se si ha un singolo server, è possibile eseguire un aggiornamento sul posto dell'installazione nello stesso server. | - Non richiede un altro server |
- Se si verifica un problema durante l'aggiornamento sul posto, non è possibile eseguire il rollback della nuova versione o della nuova configurazione e modificare il server attivo quando si è pronti |
Migrazione swing | È possibile creare un nuovo server aggiornato, prima di passare | - Approccio più sicuro e transizione più fluida a una versione più recente - Supporta l'aggiornamento del sistema operativo Windows (sistemi operativi) - La sincronizzazione non viene interrotta e non impone un rischio per la produzione |
- Richiede l'installazione in un server separato |
Per informazioni sulle autorizzazioni, vedere le autorizzazioni necessarie per un aggiornamento.
Nota
Dopo aver abilitato il nuovo server Microsoft Entra Connect per avviare la sincronizzazione delle modifiche apportate all'ID Microsoft Entra, non è necessario eseguire il rollback all'uso di DirSync o Azure AD Sync. Il downgrade da Microsoft Entra Connect ai client legacy, tra cui DirSync e Azure AD Sync, non è supportato e può causare problemi come la perdita di dati in Microsoft Entra ID.
Aggiornamento sul posto
Un aggiornamento sul posto funziona per il passaggio da Azure AD Sync o Microsoft Entra Connect. Non funziona per lo spostamento da DirSync.
Questo metodo è preferibile quando sono presenti un singolo server e meno di 100.000 oggetti. Se sono presenti modifiche alle regole di sincronizzazione predefinite, si verificherà un'importazione completa e una sincronizzazione completa dopo l'aggiornamento. Questo metodo si assicura che la nuova configurazione venga applicata a tutti gli oggetti presenti nel sistema. L'esecuzione può richiedere alcune ore, a seconda del numero di oggetti nell'ambito del motore di sincronizzazione. Viene sospesa la normale sincronizzazione differenziale pianificata, per impostazione predefinita ogni 30 minuti, mentre continua la sincronizzazione delle password. È possibile prendere in considerazione l'esecuzione dell'aggiornamento sul posto durante il fine settimana. Se non sono state apportate modifiche alla configurazione predefinita con la nuova versione di Microsoft Entra Connect, viene avviata una normale importazione/sincronizzazione differenziale.
Se sono state apportate modifiche alle regole di sincronizzazione predefinite, queste regole verranno reimpostate sui valori predefiniti della configurazione al momento dell'aggiornamento. Per assicurarsi che la configurazione venga mantenuta tra un aggiornamento e l'altro, verificare che le modifiche vengano apportate come descritto in Procedure consigliate per modificare la configurazione predefinita. Se sono già state modificate le regole di sincronizzazione predefinite, vedere come correggere le regole predefinite modificate in Microsoft Entra Connect, prima di avviare il processo di aggiornamento.
Durante l'aggiornamento sul posto, è possibile che vengano introdotte modifiche che richiedono l'esecuzione di specifiche attività di sincronizzazione (ad esempio, i passaggi di importazione completa e di sincronizzazione completa) al termine dell'aggiornamento. Per rinviare queste attività, fare riferimento alla sezione Come rinviare la sincronizzazione completa dopo l'aggiornamento.
Se si usa Microsoft Entra Connect con un connettore non standard (ad esempio, il connettore LDAP generico (Lightweight Directory Access Protocol) e il connettore GENERIC SQL, è necessario aggiornare la configurazione del connettore corrispondente in Synchronization Service Manager dopo l'aggiornamento sul posto. Per informazioni dettagliate su come aggiornare la configurazione del connettore, vedere la sezione Relativa alla cronologia delle versioni del connettore - Risoluzione dei problemi. Se non si aggiorna la configurazione, i passaggi di importazione ed esportazione non funzioneranno correttamente per il connettore. Nel registro eventi dell'applicazione verrà visualizzato l'errore seguente:
Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".
Migrazione swing
Per alcuni clienti, un aggiornamento sul posto può comportare un notevole rischio per la produzione nel caso in cui si verifichi un problema durante l'aggiornamento e non è possibile eseguire il rollback del server. Un singolo server di produzione potrebbe anche essere poco pratico perché il ciclo di sincronizzazione iniziale potrebbe richiedere più giorni e durante questo periodo non vengono elaborate modifiche differenziali.
Il metodo consigliato per questi scenari è una migrazione swing. È anche possibile usare questo metodo quando è necessario aggiornare il sistema operativo Windows Server oppure si prevede di apportare modifiche sostanziali alla configurazione dell'ambiente che devono essere testate prima di essere sottoposte a push nell'ambiente di produzione.
Sono necessari almeno due server, uno attivo e uno di staging. Il server attivo (mostrato con linee blu solide nel diagramma seguente) è responsabile del carico di produzione attivo. Il server di staging (linee tratteggiate viola) viene preparato con la nuova versione o configurazione. Quando la preparazione è completa, il server viene reso attivo. Il server precedentemente attivo, su cui ora è installata la versione o configurazione obsoleta, diventa il server di staging e viene aggiornato.
I due server possono usare versioni diverse. Ad esempio, il server attivo che si prevede di rimuovere le autorizzazioni può usare Azure AD Sync e il nuovo server di gestione temporanea può usare Microsoft Entra Connect. Se si usa la migrazione swing per sviluppare una nuova configurazione, è consigliabile usare la stessa versione sui due server.
Nota
Alcuni clienti preferiscono avere tre o quattro server per questo scenario. Quando il server di staging viene aggiornato, in caso di ripristino di emergenza non è disponibile un server di backup. Con tre o quattro server, è possibile preparare un set di server primario/standby con la versione aggiornata, assicurando che sia sempre disponibile un server di gestione temporanea pronto per assumere il controllo.
Questi passaggi funzionano anche per passare da Azure AD Sync o da una soluzione con MIM e Microsoft Entra Connector. Questi passaggi non funzionano per DirSync, ma lo stesso metodo di migrazione swing (detto anche distribuzione parallela) con i passaggi per DirSync è in Aggiornare Azure Active Directory Sync (DirSync).
Usare una migrazione swing per l'aggiornamento
- Se si dispone di un solo server Microsoft Entra Connect, se si esegue l'aggiornamento da Ad Sync o si esegue l'aggiornamento da una versione precedente, è consigliabile installare la nuova versione in un nuovo Windows Server. Se si dispone già di due server Microsoft Entra Connect, aggiornare prima il server di gestione temporanea. e alzare di livello lo staging in attivo. È consigliabile mantenere sempre una coppia di server attivi/di staging che eseguono la stessa versione, ma non è obbligatorio.
- Se è stata creata una configurazione personalizzata e il server di gestione temporanea non lo ha, seguire la procedura descritta in Spostare una configurazione personalizzata dal server attivo al server di staging.
- Consentire al motore di sincronizzazione di eseguire un'importazione completa e una sincronizzazione completa nel server di gestione temporanea.
- Verificare che la nuova configurazione non abbia causato modifiche impreviste seguendo i passaggi descritti nella sezione "Verificare" di Verificare la configurazione di un server. Se alcuni elementi non funzionano come previsto, correggerli, eseguire un ciclo di sincronizzazione, quindi verificare che i dati siano corretti.
- Prima di aggiornare l'altro server, passare alla modalità di staging e alzare di livello del server di staging ad "attivo". Questo è l'ultimo passaggio "Cambia server attivo" nel processo per verificare la configurazione di un server.
- Aggiornare il server ora in modalità di staging alla versione più recente. Seguire gli stessi passaggi descritti in precedenza per aggiornare i dati e la configurazione. Se si esegue l'aggiornamento da Azure AD Sync, è ora possibile disattivare e rimuovere le autorizzazioni del server precedente.
Nota
È importante rimuovere completamente le autorizzazioni dei server Microsoft Entra Connect precedenti perché possono causare problemi di sincronizzazione, difficili da risolvere, quando un server di sincronizzazione precedente viene lasciato sulla rete o viene nuovamente acceso in un secondo momento per errore. Tali server "non autorizzati" tendono a sovrascrivere i dati di Microsoft Entra con le informazioni precedenti perché, potrebbero non essere più in grado di accedere Active Directory locale (ad esempio, quando l'account computer è scaduto, la password dell'account connettore è cambiata, e così via), ma può comunque connettersi a Microsoft Entra ID e causare il ripristino continuo dei valori di attributo in ogni ciclo di sincronizzazione (ad esempio, ogni 30 minuti). Per rimuovere completamente un server Microsoft Entra Connect, assicurarsi di disinstallare completamente il prodotto e i relativi componenti o eliminare definitivamente il server se si tratta di una macchina virtuale.
Spostare una configurazione personalizzata dal server attivo al server di staging
Se sono state apportate modifiche alla configurazione al server attivo, è necessario assicurarsi che le stesse modifiche vengano applicate al nuovo server di staging. Per semplificare questo spostamento, è possibile usare la funzionalità per l'esportazione e l'importazione delle impostazioni di sincronizzazione. Con questa funzionalità è possibile distribuire un nuovo server di gestione temporanea in pochi passaggi, con le stesse impostazioni di un altro server Microsoft Entra Connect nella rete.
Spostamento di singole regole di sincronizzazione personalizzate
Per le singole regole di sincronizzazione personalizzate create, è possibile spostarle usando PowerShell. Se è necessario applicare altre modifiche allo stesso modo in entrambi i sistemi e non è possibile eseguire la migrazione delle modifiche, potrebbe essere necessario eseguire manualmente le configurazioni seguenti in entrambi i server:
- Connessione alle stesse foreste
- Domini e filtri unità organizzativa
- Stesse funzionalità facoltative, come la sincronizzazione e il writeback delle password
Copiare regole di sincronizzazione personalizzate
Per copiare regole di sincronizzazione personalizzate in un altro server, eseguire le operazioni seguenti:
Aprire l' editor delle regole di sincronizzazione nel server attivo.
Selezionare una regola personalizzata. Fare clic su esportare. Viene visualizzata una finestra del Blocco note. Salvare il file temporaneo con estensione ps1. In questo modo diventa uno script PowerShell. Copiare il file con estensione PS1 nel server di staging.
Il GUID del connettore (identificatore univoco globale) è diverso nel server di gestione temporanea ed è necessario modificarlo. Per ottenere il GUID, avviare l'editor di sincronizzazione delle regole, selezionare una delle regole predefinite che rappresentano lo stesso sistema connesso e fare clic sul pulsante per l'esportazione. Sostituire il GUID nel file con estensione ps1 con il GUID del server di gestione temporanea.
In un prompt dei comandi di PowerShell eseguire il file con estensione ps1. In questo modo viene creata la regola di sincronizzazione personalizzata nel server di staging.
Ripetere la procedura per tutte le regole personalizzate.
Come rinviare la sincronizzazione completa dopo l'aggiornamento
Durante l'aggiornamento sul posto, è possibile che vengano introdotte modifiche che richiedono l'esecuzione di specifiche attività di sincronizzazione (ad esempio, i passaggi di importazione completa e di sincronizzazione completa). In caso di modifiche allo schema del connettore, ad esempio, è necessario eseguire sui connettori interessati l'importazione completa, mentre in caso di modifiche alle regole di sincronizzazione è necessario eseguire la sincronizzazione completa. Durante l'aggiornamento, Microsoft Entra Connect determina le attività di sincronizzazione necessarie e le registra come sostituzioni. Nel ciclo di sincronizzazione successivo, l'utilità di pianificazione della sincronizzazione preleva queste sostituzioni e le esegue. Dopo l'esecuzione di un override, viene rimossa.
È possibile che, in alcuni casi, si preferisca non eseguire queste sostituzioni subito dopo l'aggiornamento. Ad esempio, si dispone di numerosi oggetti sincronizzati e si desidera che questi passaggi di sincronizzazione vengano eseguiti dopo l'orario di ufficio. Per rimuovere queste sostituzioni:
Durante l'aggiornamento, deselezionare l'opzione Avvia il processo di sincronizzazione al termine della configurazione. In questo modo si disabilita l'utilità di pianificazione della sincronizzazione e si impedisce l'esecuzione automatica del ciclo di sincronizzazione prima che vengano rimosse le sostituzioni.
Al termine dell'aggiornamento, eseguire il cmdlet seguente per scoprire quali sostituzioni sono state aggiunte:
Get-ADSyncSchedulerConnectorOverride | fl
Nota
Le sostituzioni sono specifiche del connettore. Nell'esempio seguente, il passaggio Importazione completa e sincronizzazione completa sono stati aggiunti sia al connettore AD locale che a Microsoft Entra Connector.
Annotare le sostituzioni esistenti che sono state aggiunte.
Per rimuovere le sostituzioni per l'importazione completa e per la sincronizzazione completa in un connettore arbitrario, eseguire il cmdlet seguente:
Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false
Per rimuovere le sostituzioni in tutti i connettori, eseguire lo script PowerShell seguente:
foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride) { Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false }
Per riabilitare l'utilità di pianificazione, eseguire il cmdlet seguente:
Set-ADSyncScheduler -SyncCycleEnabled $true
Importante
Non dimenticare di eseguire i passaggi di sincronizzazione necessari appena possibile. È possibile eseguire questi passaggi manualmente tramite Synchronization Service Manager oppure aggiungere nuovamente le sostituzioni usando il cmdlet Set-ADSyncSchedulerConnectorOverride.
Per aggiungere le sostituzioni per l'importazione completa e per la sincronizzazione completa in un connettore arbitrario, eseguire il cmdlet seguente: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true
Aggiornamento del sistema operativo del server
Se è necessario aggiornare il sistema operativo del server Microsoft Entra Connect, il metodo consigliato consiste nel preparare un nuovo server con il sistema operativo desiderato ed eseguire una migrazione swing.
Tuttavia, se non è possibile, sono supportati gli aggiornamenti del sistema operativo sul posto seguenti.
Sistema operativo intiale | Sistema operativo di aggiornamento sul posto supportato |
---|---|
Windows Server 2106 | Windows Server 2022 |
Windows Server 2019 | Windows Server 2022 |
Risoluzione dei problemi
La sezione seguente contiene la risoluzione dei problemi e le informazioni che è possibile usare se si verifica un problema durante l'aggiornamento di Microsoft Entra Connect.
Errore mancante del connettore Microsoft Entra durante l'aggiornamento di Microsoft Entra Connect
Quando si aggiorna Microsoft Entra Connect da una versione precedente, è possibile che venga visualizzato l'errore seguente all'inizio dell'aggiornamento:
Questo errore si verifica perché il connettore Microsoft Entra con identificatore b891884f-051e-4a83-95af-2544101c9083, non esiste nella configurazione corrente di Microsoft Entra Connect. Per verificare questa eventualità, aprire una finestra di PowerShell, eseguire il cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
ctor], ConnectorNotFoundException
+ FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet
Il cmdlet di PowerShell segnala che non è stato possibile trovare l'MA specificato.
Questo errore si verifica perché la configurazione corrente di Microsoft Entra Connect non è supportata per l'aggiornamento.
Se si vuole installare una versione più recente di Microsoft Entra Connect: chiudere la procedura guidata di Microsoft Entra Connect, disinstallare il esistente Microsoft Entra Connect ed eseguire un'installazione pulita del più recente Microsoft Entra Connect.
Passaggi successivi
Altre informazioni sull'integrazione delle tue identità locali con Microsoft Entra ID.