Microsoft Entra Connect: atualização de uma versão anterior para a mais recente

Importante

Em vez de atualizar para a versão mais recente do Microsoft Entra Connect, veja se a sincronização na nuvem é ideal para você. Para obter mais informações, avalie suas opções usando o Assistente para avaliar as opções de sincronização

Esse tópico descreve os diferentes métodos que você pode usar para atualizar sua instalação do Microsoft Entra Connect para a versão mais recente. A Microsoft recomenda usar as etapas na seção Migração swing quando você faz uma alteração de configuração substancial ou atualiza de versões 1.x mais antigas.

Observação

É importante manter seus servidores atualizados com as versões mais recentes do Microsoft Entra Connect. Estamos constantemente fazendo atualizações do Microsoft Entra Connect, que incluem correções de bugs e problemas de segurança, além de melhorias da capacidade de manutenção, do desempenho e da escalabilidade. Confira a versão mais recente e saiba quais alterações foram feitas entre versões no histórico de versões de lançamento

Todas as versões anteriores ao Microsoft Entra Connect V2 foram preteridas. Para obter mais informações, consulte Introdução ao Microsoft Entra Connect V2. Atualmente, há suporte para atualização de qualquer versão do Microsoft Entra Connect para a versão atual. Não há suporte para atualizações in-loco de DirSync ou ADSync e uma migração swing é necessária. Se você quiser atualizar do DirSync, confira a seção Atualizar a partir da ferramenta Azure AD Sync (DirSync) ou Migração swing.

Na prática, os clientes com versões antigas podem encontrar problemas não relacionados diretamente ao Microsoft Entra Connect. Os servidores em produção há vários anos normalmente têm vários patches aplicados e nem todos eles podem ser contabilizados. Os clientes que não fizeram a atualização em 12 a 18 meses (cerca de um ano e meio) deverão considerar uma atualização swing, pois essa é a opção mais conservadora e menos arriscada.

Há algumas estratégias diferentes que podem ser usadas para atualizar o Microsoft Entra Connect.

Método Descrição Vantagens Desvantagens
Atualização automática Para clientes com uma instalação expressa, esse é o método mais simples – Nenhuma intervenção manual – A versão de atualização automática pode não incluir os recursos mais recentes
Atualização in-loco Se você tiver apenas um servidor, é possível atualizar a instalação in-loco no mesmo servidor - Não exige outro servidor

— Se ocorrer um problema durante a atualização in loco, você não poderá reverter a nova versão ou configuração nem alterar o servidor ativo quando estiver pronto

Migração swing Você pode criar um novo servidor atualizado à parte antes de alternar – Abordagem mais segura e transição mais suave para uma versão mais recente
– Dá suporte à atualização do sistema operacional Windows
– A sincronização não é interrompida e não impõe um risco à produção
– Requer instalação em um servidor separado

Para informações sobre permissões, consulte as permissões necessárias para uma atualização.

Observação

Depois de habilitar seu novo servidor do Microsoft Entra Connect para iniciar a sincronização de alterações no Microsoft Entra ID, você não deve reverter para usar o DirSync ou o Azure AD Sync. Não há suporte para downgrade do Microsoft Entra Connect para clientes herdados, incluindo DirSync e Azure AD Sync, e pode levar a problemas como perda de dados no Microsoft Entra ID.

Atualização in-loco

Uma atualização in-loco funciona para mudar do Azure AD Sync ou do Microsoft Entra Connect. Esse processo não funciona para mudar do DirSync.

Esse será o método preferencial quando você tiver um único servidor e menos de cerca de 100.000 objetos. Se houver várias alterações nas regras de sincronização prontas para uso, uma importação completa e uma sincronização completa ocorrerão após a atualização. Esse método assegura que a nova configuração seja aplicada a todos os objetos existentes no sistema. Essa execução pode levar algumas horas, dependendo do número de objetos no escopo do mecanismo de sincronização. O agendador da sincronização delta normal (que, por padrão, sincroniza a cada 30 minutos), será suspensa, mas a sincronização de senha continuará. Você pode considerar fazer a atualização in-loco durante o final de semana. Se não houver nenhuma alteração na configuração pronta para uso com a nova versão do Microsoft Entra Connect, uma sincronização/importação delta normal será iniciada em vez disso.

Atualização in-loco

Se você tiver feito alterações nas regras de sincronização prontas, essas regras serão definidas para a configuração padrão na atualização. Para certificar-se de que sua configuração seja mantida entre as atualizações, verifique se as alterações foram feitas como descrito em Práticas recomendadas para alterar a configuração padrão. Se você já alterou as regras de sincronização padrão, veja como Corrigir regras padrão modificadas no Microsoft Entra Connect antes de iniciar o processo de atualização.

Durante a atualização in-loco, poderá haver alterações introduzidas que exijam que atividades de sincronização específicas (incluindo as etapas de importação completa e sincronização completa) sejam executadas após a conclusão da atualização. Para adiar tais atividades, consulte a seção Como adiar a sincronização completa após a atualização.

Se estiver usando o Microsoft Entra Connect com um conector não padrão (por exemplo, Conector do LDAP Genérico (protocolo de acesso a diretório leve) e Conector do SQL Genérico), atualize a configuração do conector correspondente no Synchronization Service Manager após a atualização in-loco. Para obter detalhes sobre como atualizar a configuração do conector, consulte a seção do artigo Histórico de lançamento de versão do conector – Solução de problemas. Se você não atualizar a configuração, as etapas de execução de importação e exportação não funcionarão corretamente para o conector. Você receberá o seguinte erro no log de eventos do aplicativo:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migração swing

Para alguns clientes, uma atualização in-loco pode impor um risco considerável à produção caso haja um problema durante a atualização e o servidor não possa ser revertido. Um só servidor de produção também pode ser impraticável, pois o ciclo de sincronização inicial pode levar vários dias e, durante esse tempo, nenhuma alteração delta é processada.

O método recomendado para estes cenários é usar uma migração swing. Você também poderá usar esse método quando precisar atualizar o sistema operacional Windows Server ou planeja fazer alterações consideráveis à configuração do ambiente, que precisam ser testadas antes de serem enviadas por push para a produção.

Você precisa de (pelo menos) dois servidores, um servidor ativo e um de preparo. O servidor ativo (exibido com linhas azuis sólidas no diagrama abaixo) será responsável pela carga de produção ativa. O servidor de preparo (mostrado com linhas tracejadas roxas) está preparado com a nova versão ou configuração. Quando estiver totalmente pronto, esse servidor ficará ativo. O servidor ativo anterior, agora com a versão ou configuração desatualizada instalada, se tornará o servidor de preparo e será atualizado.

Os dois servidores podem usar versões diferentes. Por exemplo, o servidor ativo que você planeja desativar pode usar o Azure AD Sync e o novo servidor de preparo pode usar o Microsoft Entra Connect. Se você usar a migração swing para desenvolver uma nova configuração, será uma boa ideia ter as mesmas versões nos dois servidores.

Diagrama do servidor de preparo.

Observação

Alguns clientes preferem ter três ou quatro servidores para este cenário. Quando o servidor de preparo é atualizado, você não tem um servidor de backup para a recuperação de desastres. Com três ou quatro servidores, pode ser preparar um conjunto de servidores principais/em espera com a versão atualizada, garantindo que sempre haverá um servidor de preparo pronto para assumir o controle.

Estas etapas também funcionam para mudar do Azure AD Sync ou de uma solução com o MIM e o Microsoft Entra Connector. Essas etapas não funcionam para o DirSync, mas o mesmo método de migração swing (também chamado de implantação paralela) com as etapas para o DirSync pode ser encontrado em Atualizar o Azure Active Directory Sync (DirSync).

Usar uma migração swing para atualizar

  1. Se você tiver apenas um servidor do Microsoft Entra Connect, se estiver atualizando do AD Sync ou atualizando de uma versão antiga, é recomendável instalar a nova versão em um novo Windows Server. Se você já tiver dois servidores do Microsoft Entra Connect, primeiro atualize o servidor de preparo. e então eleve o de preparo a ativo. É recomendável sempre manter um par de servidores ativo/de preparo executando a mesma versão, mas isso não é obrigatório.
  2. Se você tiver feito alguma configuração personalizada e o servidor de preparo não a tiver, siga as etapas em Mover a configuração personalizada do servidor ativo para o servidor de preparo.
  3. Permita que o mecanismo de sincronização execute a importação completa e a sincronização completa em seu servidor de preparo.
  4. Verifique se a nova configuração não causou alterações inesperadas usando as etapas descritas em "Verificar" em Verificar a configuração de um servidor. Se algo não estiver como esperado, corrija, execute um ciclo de sincronização e verifique os dados até que pareçam corretos.
  5. Antes de atualizar o outro servidor, alterne-o para o modo de preparo e eleve o servidor de preparo a servidor ativo. Esta é a última etapa de “Alternar o servidor ativo” no processo para Verificar a configuração de um servidor.
  6. Atualize o servidor que agora está no modo de preparo para a versão mais recente. Siga as mesmas etapas anteriores para atualizar os dados e a configuração. Se estiver atualizando do Azure AD Sync, agora você poderá desativar e encerrar o servidor antigo.

Observação

É importante desativar totalmente os servidores antigos do Microsoft Entra Connect, pois eles podem causar problemas de sincronização difíceis de solucionar quando um servidor de sincronização antigo é deixado na rede ou é ativado novamente mais tarde por engano. Esses servidores "invasores" tendem a substituir dados do Microsoft Entra por suas informações antigas porque eles podem não conseguir mais acessar o Active Directory local (por exemplo, quando a conta do computador expirou, a senha da conta do conector foi alterada etc.), mas ainda podem se conectar ao Microsoft Entra ID e fazer os valores de atributo serem revertidos continuamente em cada ciclo de sincronização (por exemplo, a cada 30 minutos). Para encerrar por completo um servidor do Microsoft Entra Connect, desinstale totalmente o produto e seus componentes ou exclua de modo permanente o servidor se ele for uma máquina virtual.

Mover uma configuração personalizada do servidor ativo para o servidor de preparo

Se você tiver feito alterações de configuração no servidor ativo, precisará garantir que as mesmas alterações sejam aplicadas ao novo servidor de preparo. Para ajudar nessa movimentação, você pode usar o recurso para exportar e importar configurações de sincronização. Com esse recurso, você pode implantar um novo servidor de preparo em algumas etapas com exatamente as mesmas configurações de outro servidor do Microsoft Entra Connect em sua rede.

Movendo regras de sincronização personalizadas individuais

Para regras de sincronização personalizadas individuais que você criou, você pode movê-las usando o PowerShell. Se você precisar aplicar outras alterações da mesma maneira em ambos os sistemas e não puder migrar as alterações, talvez seja necessário executar manualmente as seguintes configurações em ambos os servidores:

  • A conexão às mesmas florestas
  • Qualquer filtragem de domínio e de unidade organizacional
  • Os mesmos recursos opcionais, como a sincronização de senha e o write-back de senha

Copiar regras de sincronização personalizadas
Para copiar regras de sincronização personalizadas para outro servidor, faça o seguinte:

  1. Abra o Editor de Regras de Sincronização em seu servidor ativo.

  2. Selecione uma regra personalizada. Clique em Exportar. Isso abre uma janela do Bloco de Notas. Salve o arquivo temporário com uma extensão PS1. Isso o transforma em um script do PowerShell. Copie o arquivo PS1 para o servidor de preparo.

    Captura de tela mostrando a janela de exportação do editor de regras de sincronização.

  3. O GUID (identificador exclusivo globalmente) do Conector é diferente no servidor de preparo e deve ser alterado. Para obter o GUID, inicie o Editor de Regras de Sincronização, escolha uma das regras prontas que representam o mesmo sistema conectado e clique em Exportar. Substitua o GUID em seu arquivo PS1 com o GUID do servidor de preparo.

  4. Em um prompt do PowerShell, execute o arquivo PS1. Isso cria a regra de sincronização personalizada no servidor de preparo.

  5. Repita essa etapa para todas as regras personalizadas.

Como adiar a sincronização completa após a atualização

Durante a atualização in-loco, poderá haver alterações introduzidas que exijam que atividades de sincronização específicas (incluindo as etapas de importação completa e sincronização completa) sejam executadas. Por exemplo, as alterações de esquema do conector exigem a etapa de importação completa e as alterações de regra de sincronização integradas exigem que a etapa sincronização completa seja executada nos conectores afetados. Durante a atualização, o Microsoft Entra Connect determina quais atividades de sincronização são necessárias e registra-as como substituições. No ciclo de sincronização seguinte, o agendador de sincronização seleciona essas substituições e executa-as. Quando uma substituição é executada com êxito, ela é removida.

Pode haver situações em que você não deseja que essas substituições ocorram imediatamente após a atualização. Por exemplo, você tem vários objetos sincronizados e deseja que essas etapas de sincronização ocorram depois do horário comercial. Para remover essas substituições:

  1. Durante a atualização, desmarque a opção Iniciar o processo de sincronização ao concluir a configuração. Isso desabilita o agendador de sincronização e impede que o ciclo de sincronização ocorra automaticamente antes que as substituições sejam removidas.

    Captura de tela destacando a opção Iniciar o processo de sincronização quando a configuração for concluída, que você precisa desmarcar.

  2. Após a conclusão da atualização, execute o seguinte cmdlet para descobrir quais substituições foram adicionadas: Get-ADSyncSchedulerConnectorOverride | fl

    Observação

    As substituições são específicas do conector. No exemplo a seguir, as etapas de Importação completa e de Sincronização completa foram adicionadas ao AD Connector local e ao Microsoft Entra Connector.

    DisableFullSyncAfterUpgrade

  3. Anote as substituições existentes que foram adicionadas.

  4. Para remover as substituições da importação completa e da sincronização completa em um conector qualquer, execute o seguinte cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Para remover as substituições de todos os conectores, execute o seguinte script do PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
    {
        Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
    }
    
  5. Para retomar o agendador, execute o seguinte cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

    Importante

    Lembre-se de executar as etapas de sincronização necessárias assim que possível. Você pode executar essas etapas manualmente usando o Synchronization Service Manager ou adicionar as substituições novamente usando o cmdlet Set-ADSyncSchedulerConnectorOverride.

Para adicionar as substituições para a importação completa e para a sincronização completa em um conector qualquer, execute o seguinte cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Como atualizar o sistema operacional do servidor

Se você precisar atualizar o sistema operacional (SO) do seu servidor Microsoft Entra Connect, o método recomendado é preparar um novo servidor com o sistema operacional desejado e realizar uma migração de swing.

No entanto, se isso não for possível, haverá suporte para as seguintes atualizações in-loco do sistema operacional.

SO Inicial SO de atualização in-loco com suporte
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Solução de problemas

A seção a seguir contém solução de problemas e informações que você pode usar se encontrar um problema ao atualizar o Microsoft Entra Connect.

Erro de conector ausente do Microsoft Entra durante a atualização do Microsoft Entra Connect

Quando você atualiza o Microsoft Entra Connect de uma versão anterior, pode ocorrer o seguinte erro no início da atualização:

Erro

Esse erro ocorre porque o conector do Microsoft Entra com identificador b891884f-051e-4a83-95af-2544101c9083 não existe na configuração atual do Microsoft Entra Connect. Para verificar se este é o caso, abra uma janela do PowerShell, execute o Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

O cmdlet do PowerShell relata o erro que o MA especificado não pôde ser encontrado.

Esse erro ocorre porque não há suporte para atualização da configuração atual do Microsoft Entra Connect.

Se você quiser instalar uma versão mais recente do Microsoft Entra Connect: feche o assistente do Microsoft Entra Connect, desinstale o Microsoft Entra Connect existente e execute uma instalação limpa do Microsoft Entra Connect mais recente.

Próximas etapas

Saiba mais sobre a integração de identidades locais com o Microsoft Entra ID.