Microsoft Entra Connect:自动升级

Microsoft Entra Connect 自动升级是一项定期检查 Microsoft Entra Connect 的更新版本的功能。 如果服务器可进行自动升级,并且有更新的版本可用,则它会自动升级到更新的版本。 出于安全原因,执行自动升级的代理会根据所下载的版本的数字签名来验证 Microsoft Entra Connect 的新版本。

注意

Microsoft Entra Connect 遵循新式生命周期策略。 新式生命周期策略下的产品和服务更改可能更频繁,并且要求客户留意即将进行的产品或服务修改。

由新式策略管理的产品遵循持续支持和服务模型。 客户必须接受最新更新才能继续受支持。

对于新式生命周期策略管理的产品和服务,Microsoft 的策略是在客户需要采取措施时提供至少 30 天的通知,以避免对产品或服务的正常使用造成重大影响。

概述

使用自动升级功能是确保 Microsoft Entra Connect 安装始终保持最新状态的最简单方法。 系统默认启用此功能,以便进行快速安装和 DirSync 升级。 发布新版本时,安装会自动升级。 默认情况下,针对以下方案启用自动升级:

  • 快速设置安装和 DirSync 升级。
  • SQL Express LocalDB,这是快速设置始终使用的选项。 使用 SQL Express 的 DirSync 也会使用 LocalDB。
  • AD 帐户是快速设置和 DirSync 创建的默认 MSOL_ 帐户。
  • Metaverse 中的对象少于 100,000 个。

可以使用 PowerShell cmdlet Get-ADSyncAutoUpgrade来查看当前的自动升级状态。 状态包括:

状态 注释
已启用 自动升级已启用。
Suspended 只能由系统设置。 系统目前没有资格接收自动升级。
已禁用 自动升级已禁用。

可以使用 Set-ADSyncAutoUpgrade 在“已启用”与“已禁用”之间切换。 只有系统才能设置“暂停”状态。 在 1.1.750.0 版本之前,如果自动升级状态设置为“已暂停”,Set-ADSyncAutoUpgrade cmdlet 会阻止自动升级。 此功能已更新,因此不会阻止自动升级。

如果服务器上正在运行 同步服务管理器 UI,则会暂停升级,直到 UI 关闭为止。

注意

并非所有版本的 Microsoft Entra Connect 都可用于自动升级。 版本状态指示版本是可用于自动升级还是仅供下载。 如果在 Microsoft Entra Connect 服务器上启用了自动升级,那么该服务器将自动升级到针对自动升级发布的最新版 Microsoft Entra Connect,前提是你的配置符合自动升级的条件。 有关详细信息,请参阅 Microsoft Entra Connect:版本发布历史记录

自动升级资格

如果满足以下任一条件,则自动升级将不符合继续进行的条件:

结果消息 说明
UpgradeNotSupportedCustomizedSyncRules Microsoft Entra Connect 中配置了自定义同步规则。
注意:版本 2.2.1.0 之后,此条件不再阻止自动升级。
UpgradeNotSupportedInvalidPersistedState 安装不是快速设置或 DirSync 升级。
UpgradeNotSupportedNonLocalDbInstall 使用的不是 SQL Server Express LocalDB 数据库。
UpgradeNotSupportedLocalDbSizeExceeded 本地 DB 大小大于或等于 8 GB
UpgradeNotSupportedAADHealthUploadDisabled 目前已从门户中禁用运行状况数据上传

故障排除

如果 Connect 安装未按预期自动升级,请按照以下步骤来找出可能的错误。

首先,不建议在新版本发行的第一天就自动升级。 由于升级前有刻意设计的随机性,因此,不用担心安装没有立即升级。

如果认为有问题,请先运行 Get-ADSyncAutoUpgrade 确保已启用自动升级。

如果状态为“已暂停”,则可以使用 Get-ADSyncAutoUpgrade -Detail 查看原因。 暂停原因可能包含任何字符串值,但通常包含 UpgradeResult 的字符串值,即 UpgradeNotSupportedNonLocalDbInstallUpgradeAbortedAdSyncExeInUse。 也可能返回一个复合值,例如 UpgradeFailedRollbackSuccess-GetPasswordHashSyncStateFailed

还可以获取不是 UpgradeResult 的结果,即 AADHealthEndpointNotDefined 或 DirSyncInPlaceUpgradeNonLocalDb。

然后,确保在代理或防火墙中允许所需的 URL。

确认与 Microsoft Entra ID 建立了连接后,可以深入了解事件日志。 启动事件查看器,并查看 应用程序 事件日志。 针对源 Microsoft Entra Connect 升级的事件日志以及事件 ID 范围 300-399 添加筛选器。
此屏幕截图显示了“筛选当前日志”窗口,其中突出显示了“事件源”和“包括/排除事件 ID”框。

此时可以看到与自动升级状态关联的事件日志。
用于自动升级的事件日志筛选器

结果代码前面会有包含状态概述的前缀。

结果代码前缀 说明
Success 安装已成功升级。
UpgradeAborted 某种临时状态停止了升级。 会进行重试,预期稍后会成功。
UpgradeNotSupported 系统中的某个配置阻止系统自动升级。 会进行重试,查看状态是否已变化,但预期只能手动升级系统。

下面是最常见的消息列表。 该列表并不完整,但结果消息应会明确说明问题所在。

结果消息 说明
UpgradeAborted
UpgradeAbortedCouldNotSetUpgradeMarker 无法写入注册表。
UpgradeAbortedInsufficientDatabasePermissions 内置管理员组对数据库没有相应权限。 请手动升级到最新版的 Microsoft Entra Connect 以解决此问题。
UpgradeAbortedInsufficientDiskSpace 没有足够的磁盘空间用于支持升级。
UpgradeAbortedSecurityGroupsNotPresent 找不到且无法解析同步引擎使用的所有安全组。
UpgradeAbortedServiceCanNotBeStarted NT 服务 Microsoft Entra ID Sync 未能启动。
UpgradeAbortedServiceCanNotBeStopped NT 服务 Microsoft Entra ID Sync 未能停止。
UpgradeAbortedServiceIsNotRunning NT 服务 Microsoft Entra ID Sync 未运行。
UpgradeAbortedSyncCycleDisabled 计划程序中的 SyncCycle 选项当前已禁用。
UpgradeAbortedSyncExeInUse 服务器上打开了 Synchronization Service Manager UI
UpgradeAbortedSyncOrConfigurationInProgress 安装向导正在运行,或者在计划程序外部计划了同步。
UpgradeNotSupported
UpgradeNotSupportedCustomizedSyncRules Microsoft Entra Connect 中配置了自定义同步规则。
UpgradeNotSupportedInvalidPersistedState 安装不是快速设置或 DirSync 升级。
UpgradeNotSupportedNonLocalDbInstall 使用的不是 SQL Server Express LocalDB 数据库。
UpgradeNotSupportedLocalDbSizeExceeded 本地 DB 大小大于或等于 8 GB
UpgradeNotSupportedAADHealthUploadDisabled 目前已从门户中禁用运行状况数据上传

后续步骤

详细了解如何将本地标识与 Microsoft Entra ID 集成