Partilhar via


Microsoft Entra Connect: atualizar de uma versão anterior para a mais recente

Importante

Em vez de atualizar para a versão mais recente do Microsoft Entra Connect, veja se a sincronização na nuvem é adequada para você. Para obter mais informações, avalie suas opções usando o Assistente para avaliar as opções de sincronização

Este tópico descreve os diferentes métodos que você pode usar para atualizar sua instalação do Microsoft Entra Connect para a versão mais recente. A Microsoft recomenda usar as etapas na seção de migração do Swing quando você fizer uma alteração substancial de configuração ou atualização de versões 1.x mais antigas.

Nota

É importante que você mantenha seus servidores atualizados com as versões mais recentes do Microsoft Entra Connect. Estamos constantemente fazendo atualizações para o Microsoft Entra Connect, e essas atualizações incluem correções para problemas de segurança e bugs, bem como melhorias de facilidade de manutenção, desempenho e escalabilidade. Para ver qual é a versão mais recente e saber quais alterações foram feitas entre as versões, consulte o histórico de versões do lançamento

Todas as versões anteriores ao Microsoft Entra Connect V2 estão atualmente obsoletas. Para obter mais informações, consulte Introdução ao Microsoft Entra Connect V2. Atualmente é suportado para atualizar de qualquer versão do Microsoft Entra Connect para a versão atual. Não há suporte para atualizações in-loco do DirSync ou ADSync, e uma migração de balanço é necessária. Se você quiser atualizar do DirSync, consulte Atualizar da ferramenta de sincronização do Azure AD (DirSync) ou a seção Migração do Swing.

Na prática, os clientes em versões antigas podem encontrar problemas não diretamente relacionados ao Microsoft Entra Connect. Os servidores que estão em produção há vários anos normalmente têm vários patches aplicados a eles e nem todos eles podem ser contabilizados. Os clientes que não atualizaram em 12-18 meses (cerca de 1 ano e meio) devem considerar um upgrade de swing em vez disso, pois esta é a opção mais conservadora e menos arriscada.

Existem algumas estratégias diferentes que você pode usar para atualizar o Microsoft Entra Connect.

Método Description Vantagens Desvantagens
Atualização automática Este é o método mais fácil para clientes com uma instalação rápida - Sem intervenção manual - A versão de atualização automática pode não incluir os recursos mais recentes
Atualização no local Se tiver um único servidor, pode atualizar a instalação no local no mesmo servidor - Não requer outro servidor

- Se houver um problema durante a atualização in-loco, você não poderá reverter a nova versão ou configuração e alterar o servidor ativo quando estiver pronto

Migração oscilante Você pode criar um novo servidor atualizado à parte, antes de alternar - Abordagem mais segura e transição mais suave para uma versão mais recente
- Suporta atualização do sistema operacional Windows (sistemas operacionais)
- A sincronização não é interrompida e não impõe um risco à produção
- Requer instalação em um servidor separado

Para obter informações sobre as permissões, veja as permissões necessárias para uma atualização.

Nota

Depois de habilitar seu novo servidor Microsoft Entra Connect para iniciar a sincronização de alterações na ID do Microsoft Entra, você não deve reverter para usar o DirSync ou o Azure AD Sync. O downgrade do Microsoft Entra Connect para clientes herdados, incluindo o DirSync e o Azure AD Sync, não é suportado e pode levar a problemas como perda de dados no Microsoft Entra ID.

Atualização no local

Uma atualização in-loco funciona para mover do Azure AD Sync ou do Microsoft Entra Connect. Ele não funciona para mover do DirSync.

Esse método é preferido quando você tem um único servidor e menos de cerca de 100.000 objetos. Se houver alterações nas regras de sincronização prontas para uso, ocorrerá uma importação completa e uma sincronização completa após a atualização. Esse método garante que a nova configuração seja aplicada a todos os objetos existentes no sistema. Essa execução pode levar algumas horas, dependendo do número de objetos que estão no escopo do mecanismo de sincronização. O agendador de sincronização delta normal (que sincroniza a cada 30 minutos por padrão) é suspenso, mas a sincronização de senha continua. Você pode considerar fazer a atualização in-loco durante o fim de semana. Se não houver alterações na configuração pronta para uso com a nova versão do Microsoft Entra Connect, uma importação/sincronização delta normal será iniciada.

Atualização no local

Se você tiver feito alterações nas regras de sincronização prontas para uso, essas regras serão redefinidas para a configuração padrão na atualização. Para garantir que sua configuração seja mantida entre as atualizações, certifique-se de fazer alterações conforme descrito em Práticas recomendadas para alterar a configuração padrão. Se você já alterou as regras de sincronização padrão, consulte como corrigir regras padrão modificadas no Microsoft Entra Connect antes de iniciar o processo de atualização.

Durante a atualização in-loco, podem ser introduzidas alterações que exijam atividades de sincronização específicas (incluindo a etapa de Importação Completa e a etapa de Sincronização Completa) a serem executadas após a conclusão da atualização. Para adiar essas atividades, consulte a seção Como adiar a sincronização completa após a atualização.

Se você estiver usando o Microsoft Entra Connect com conector não padrão (por exemplo, Conector LDAP Genérico (Lightweight Directory Access Protocol) e Conector SQL Genérico), deverá atualizar a configuração do conector correspondente no Gerenciador de Serviço de Sincronização após a atualização in-loco. Para obter detalhes sobre como atualizar a configuração do conector, consulte a seção do artigo Histórico de versão do conector - Solução de problemas. Se você não atualizar a configuração, as etapas de execução de importação e exportação não funcionarão corretamente para o conector. Você receberá o seguinte erro no log de eventos do aplicativo:

Assembly version in AAD Connector configuration ("X.X.XXX.X") is earlier than the actual version ("X.X.XXX.X") of "C:\Program Files\Microsoft Azure AD Sync\Extensions\Microsoft.IAM.Connector.GenericLdap.dll".

Migração rotativa

Para alguns clientes, uma atualização in-loco pode impor um risco considerável à produção no caso de haver um problema durante a atualização e o servidor não puder ser revertido. Ter um único servidor de produção também pode ser pouco prático, pois o ciclo de sincronização inicial pode demorar vários dias e, durante esse período, não são processadas alterações delta.

O método recomendado para estes cenários é utilizar uma migração rotativa. Também pode utilizar este método quando precisar de atualizar o sistema operativo Windows Server ou planear efetuar alterações substanciais à configuração do ambiente, que têm de ser testadas antes de serem enviadas para produção.

Precisa de (pelo menos) dois servidores: um servidor ativo e um servidor de teste. O servidor ativo (mostrado com linhas azuis sólidas no diagrama a seguir) é responsável pela carga de produção ativa. O servidor de preparo (mostrado com linhas roxas tracejadas) é preparado com a nova versão ou configuração. Quando estiver totalmente pronto, este servidor fica ativo. O servidor ativo anterior, que agora tem a versão ou configuração desatualizada instalada, é transformado no servidor de teste e atualizado.

Os dois servidores podem usar versões diferentes. Por exemplo, o servidor ativo que você planeja encerrar pode usar o Azure AD Sync e o novo servidor de preparo pode usar o Microsoft Entra Connect. Se você usar a migração de swing para desenvolver uma nova configuração, é uma boa ideia ter as mesmas versões nos dois servidores.

Diagrama do servidor de preparo.

Nota

Alguns clientes preferem ter três ou quatro servidores para esse cenário. Quando o servidor de preparo é atualizado, você não tem um servidor de backup para recuperação de desastres. Com três ou quatro servidores, você pode preparar um conjunto de servidores primários/em espera com a versão atualizada, o que garante que sempre haja um servidor de preparo pronto para assumir o controle.

Essas etapas também funcionam para mover do Azure AD Sync ou de uma solução com o MIM e o Microsoft Entra Connector. Essas etapas não funcionam para o DirSync, mas o mesmo método de migração de balanço (também chamado de implantação paralela) com as etapas para o DirSync está em Atualizar o Azure Ative Directory Sync (DirSync).

Usar uma migração de balanço para atualizar

  1. Se você tiver apenas um servidor Microsoft Entra Connect, se estiver atualizando do AD Sync ou de uma versão antiga, é uma boa ideia instalar a nova versão em um novo Windows Server. Se você já tiver dois servidores Microsoft Entra Connect, atualize o servidor de preparo primeiro. e promover a encenação para ativa. Recomenda-se manter sempre um par de servidores ativos/de preparo executando a mesma versão, mas não é necessário.
  2. Se você tiver feito uma configuração personalizada e seu servidor de preparo não a tiver, siga as etapas em Mover uma configuração personalizada do servidor ativo para o servidor de preparo.
  3. Permita que o mecanismo de sincronização execute a importação completa e a sincronização completa no servidor de preparo.
  4. Verifique se a nova configuração não causou alterações inesperadas ao utilizar os passos em "Verificar", em Verificar a configuração de um servidor. Se algo não for o esperado, corrija, execute um ciclo de sincronização e verifique os dados até que esteja tudo bem.
  5. Antes de atualizar o outro servidor, mude-o para o modo de teste e promova o servidor de teste para ser o servidor ativo. Este é o último passo "Switch ative server" no processo para verificar a configuração de um servidor.
  6. Atualize o servidor que está agora no modo de teste para a versão mais recente. Siga os passos anteriores para atualizar os dados e a configuração. Se você atualizar do Azure AD Sync, agora poderá desativar e encerrar seu servidor antigo.

Nota

É importante desativar totalmente os servidores antigos do Microsoft Entra Connect, pois eles podem causar problemas de sincronização, difíceis de solucionar, quando um servidor de sincronização antigo é deixado na rede ou é ligado novamente mais tarde por engano. Esses servidores "desonestos" tendem a substituir os dados do Microsoft Entra com suas informações antigas porque, eles podem não ser mais capazes de acessar o Ative Directory local (por exemplo, quando a conta do computador expirou, a senha da conta do conector foi alterada, etc.), mas ainda podem se conectar ao ID do Microsoft Entra e fazer com que os valores de atributo sejam continuamente revertidos em cada ciclo de sincronização (por exemplo, a cada 30 minutos). Para encerrar totalmente um servidor Microsoft Entra Connect, certifique-se de desinstalar completamente o produto e seus componentes ou excluir permanentemente o servidor se for uma máquina virtual.

Mover uma configuração personalizada do servidor ativo para o servidor de preparo

Se você tiver feito alterações de configuração no servidor ativo, precisará certificar-se de que as mesmas alterações sejam aplicadas ao novo servidor de preparo. Para ajudar com essa mudança, você pode usar o recurso para exportar e importar configurações de sincronização. Com esse recurso, você pode implantar um novo servidor de preparo em algumas etapas, com exatamente as mesmas configurações de outro servidor Microsoft Entra Connect em sua rede.

Movendo regras de sincronização personalizadas individuais

Para regras de sincronização personalizadas individuais que você criou, você pode movê-las usando o PowerShell. Se você precisar aplicar outras alterações da mesma maneira em ambos os sistemas e não puder migrar as alterações, talvez seja necessário fazer manualmente as seguintes configurações em ambos os servidores:

  • Ligação às mesmas florestas
  • Qualquer domínio e filtragem de UO
  • Os mesmos recursos opcionais, como sincronização de senha e write-back de senha

Copiar regras de sincronização personalizadas
Para copiar regras de sincronização personalizadas para outro servidor, faça o seguinte:

  1. Abra o Editor de Regras de Sincronização no servidor ativo.

  2. Selecione uma regra personalizada. Clique em Exportar. Isso abre uma janela do Bloco de Notas. Salve o arquivo temporário com uma extensão PS1. Isso o torna um script do PowerShell. Copie o ficheiro PS1 para o servidor de preparação.

    Captura de tela mostrando a janela de exportação do editor de regras de sincronização.

  3. O GUID do conector (identificador global exclusivo) é diferente no servidor de preparo e você deve alterá-lo. Para obter o GUID, inicie o Editor de Regras de Sincronização, selecione uma das regras prontas para uso que representam o mesmo sistema conectado e clique em Exportar. Substitua o GUID no arquivo PS1 pelo GUID do servidor de preparo.

  4. Em um prompt do PowerShell, execute o arquivo PS1. Isso cria a regra de sincronização personalizada no servidor de preparo.

  5. Repita isso para todas as suas regras personalizadas.

Como adiar a sincronização completa após a atualização

Durante a atualização in-loco, podem ser introduzidas alterações que exigem atividades de sincronização específicas (incluindo a etapa Importação Completa e a etapa Sincronização Completa) para serem executadas. Por exemplo, as alterações de esquema do conector exigem a etapa de importação completa e as alterações de regra de sincronização prontas para uso exigem que a etapa de sincronização completa seja executada nos conectores afetados. Durante a atualização, o Microsoft Entra Connect determina quais atividades de sincronização são necessárias e as registra como substituições. No ciclo de sincronização a seguir, o agendador de sincronização pega essas substituições e as executa. Quando uma substituição é executada com êxito, ela é removida.

Pode haver situações em que você não queira que essas substituições ocorram imediatamente após a atualização. Por exemplo, você tem vários objetos sincronizados e gostaria que essas etapas de sincronização ocorressem após o horário comercial. Para remover essas substituições:

  1. Durante a atualização, desmarque a opção Iniciar o processo de sincronização quando a configuração for concluída. Isso desabilita o agendador de sincronização e impede que o ciclo de sincronização ocorra automaticamente antes que as substituições sejam removidas.

    Captura de tela que destaca a opção Iniciar o processo de sincronização quando a configuração for concluída que você precisa limpar.

  2. Após a conclusão da atualização, execute o seguinte cmdlet para descobrir quais substituições foram adicionadas: Get-ADSyncSchedulerConnectorOverride | fl

    Nota

    As substituições são específicas do conector. No exemplo a seguir, a etapa Importação Completa e a etapa Sincronização Completa foram adicionadas ao AD Connector local e ao Microsoft Entra Connector.

    DisableFullSyncAfterUpgrade

  3. Anote as substituições existentes que foram adicionadas.

  4. Para remover as substituições para importação completa e sincronização completa em um conector arbitrário, execute o seguinte cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid-of-ConnectorIdentifier> -FullImportRequired $false -FullSyncRequired $false

    Para remover as substituições em todos os conectores, execute o seguinte script do PowerShell:

    foreach ($connectorOverride in Get-ADSyncSchedulerConnectorOverride)
    {
        Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier $connectorOverride.ConnectorIdentifier.Guid -FullSyncRequired $false -FullImportRequired $false
    }
    
  5. Para retomar o agendador, execute o seguinte cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

    Importante

    Lembre-se de executar as etapas de sincronização necessárias o mais rápido possível. Você pode executar manualmente essas etapas usando o Synchronization Service Manager ou adicionar as substituições de volta usando o cmdlet Set-ADSyncSchedulerConnectorOverride.

Para adicionar as substituições para importação completa e sincronização completa em um conector arbitrário, execute o seguinte cmdlet: Set-ADSyncSchedulerConnectorOverride -ConnectorIdentifier <Guid> -FullImportRequired $true -FullSyncRequired $true

Atualizando o sistema operacional do servidor

Se você precisar atualizar o sistema operacional (SO) do seu servidor Microsoft Entra Connect, o método recomendado é preparar um novo servidor com o sistema operacional desejado e executar uma migração de balanço.

No entanto, se isso não for possível, as seguintes atualizações in-loco do sistema operacional são suportadas.

SO Intial SO de atualização in-loco suportado
Windows Server 2106 Windows Server 2022
Windows Server 2019 Windows Server 2022

Resolução de Problemas

A seção a seguir contém solução de problemas e informações que você pode usar se encontrar um problema ao atualizar o Microsoft Entra Connect.

Erro ausente do conector Microsoft Entra durante a atualização do Microsoft Entra Connect

Quando você atualiza o Microsoft Entra Connect de uma versão anterior, você pode atingir o seguinte erro no início da atualização:

Erro

Este erro acontece porque o conector Microsoft Entra com identificador, b891884f-051e-4a83-95af-2544101c9083, não existe na configuração atual do Microsoft Entra Connect. Para verificar se esse é o caso, abra uma janela do PowerShell, execute o Cmdlet Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083

PS C:\> Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
Get-ADSyncConnector : Operation failed because the specified MA could not be found.
At line:1 char:1
+ Get-ADSyncConnector -Identifier b891884f-051e-4a83-95af-2544101c9083
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ReadError: (Microsoft.Ident...ConnectorCmdlet:GetADSyncConnectorCmdlet) [Get-ADSyncConne
   ctor], ConnectorNotFoundException
    + FullyQualifiedErrorId : Operation failed because the specified MA could not be found.,Microsoft.IdentityManageme
   nt.PowerShell.Cmdlet.GetADSyncConnectorCmdlet

O cmdlet do PowerShell relata o erro que a MA especificada não pôde ser encontrada.

Este erro ocorre porque a configuração atual do Microsoft Entra Connect não é suportada para atualização.

Se você quiser instalar uma versão mais recente do Microsoft Entra Connect: feche o assistente do Microsoft Entra Connect, desinstale o Microsoft Entra Connect existente e execute uma instalação limpa do Microsoft Entra Connect mais recente.

Próximos passos

Saiba mais sobre como integrar suas identidades locais com o Microsoft Entra ID.