Microsoft Entra Connect:从 DirSync 升级
Microsoft Entra Connect 是 DirSync 的后继产品。 你将在本文中了解到如何从 DirSync 升级到 Microsoft Entra Connect。 本文中所述的步骤不适用于从不同版本的 Microsoft Entra Connect 或 Microsoft Entra ID Sync 升级。
DirSync 和 Azure AD Sync 不受支持,并且不再起作用。 如果你仍在使用 DirSync 或 Azure AD Sync,则必须升级到 Microsoft Entra Connect 才能继续同步进程。
安装 Microsoft Entra Connect 之前,请确保下载 Microsoft Entra Connect,并完成 Microsoft Entra Connect:硬件和先决条件中所述的先决条件步骤。 请特别注意 Microsoft Entra Connect 的以下要求,因为它们不同于 DirSync:
- .NET 和 PowerShell 的必需版本:DirSync 所需的较新版本必须在 Microsoft Entra Connect 的服务器上。
- 代理服务器配置:如果使用代理服务器访问 Internet,则必须在升级之前配置此设置。 DirSync 始终使用安装它时为用户配置的代理服务器,但是 Microsoft Entra Connect 改为使用计算机设置。
- 需要在代理服务器中打开的 URL:对于 DirSync 也支持的基本方案,要求相同。 如果想要使用任何 Microsoft Entra Connect 中的新功能,则必须打开一些新的 URL。
警告
启用新的 Microsoft Entra Connect 服务器并开始将更改同步到 Microsoft Entra ID 后,不得通过回退来使用 DirSync 或 Azure AD Sync。不支持从 Microsoft Entra Connect 降级到旧客户端(包括 DirSync 和 Azure AD Sync),那样可能会导致各种问题,例如数据在 Microsoft Entra ID 中丢失。
如果不是从 DirSync 升级,请参阅相关文档以了解其他方案。
从 DirSync 升级
根据当前的 DirSync 部署,可以使用不同的升级选项。 如果预期升级时间少于 3 小时,建议执行就地升级。 如果预期升级时间超过 3 小时,建议在单独的服务器上执行并行部署。 如果对象数目达到或超过 50,000 个,则升级所需时间会超过 3 个小时。
下表汇总了升级方案:
预期升级时间 | 对象数 | 要使用的升级选项 |
---|---|---|
少于三小时 | 小于 50,000 | 就地升级 |
超过三小时 | 50,000 个或更多 | 并行部署 |
注意
规划从 DirSync 升级到 Microsoft Entra Connect 时,在升级之前请勿自行卸载 DirSync。 Microsoft Entra Connect 将读取和迁移 DirSync 的配置,并在检查服务器之后将其卸载。
就地升级。 向导显示了完成升级的预期时间。 这个估计是基于需要 3 小时才能完成包含 50,000 个对象(用户、联系人和组)的数据库的升级的假设。 如果数据库中的对象数少于 50,000 个,则 Microsoft Entra Connect 建议执行就地升级。 如果决定继续,则在升级期间自动应用当前设置,并且服务器会自动继续活动的同步。
如果想要执行配置迁移并执行并行部署,则可以替代就地升级建议。 例如,可以利用升级的机会来刷新硬件和操作系统。 有关详细信息,请参阅并行部署。
并行部署。 如果对象数达到或超过 50,000 个,我们建议进行并行部署。 此部署可以让用户避免任何操作延迟。 Microsoft Entra Connect 安装将尝试预估升级时的停机时间,但如果以前升级过 DirSync,你自己的经验在升级所需时间方面可能是最佳指导。
支持升级的 DirSync 配置
从 DirSync 升级支持以下配置更改:
- 域和组织单位 (OU) 筛选
- 备用 ID (UPN)
- 密码同步与 Exchange 混合设置
- 林、域和 Microsoft Entra 设置
- 基于用户属性进行筛选
以下更改无法升级。 如果具有此配置,则会阻止升级:
不支持的 DirSync 更改,例如移除的属性和使用自定义扩展 DLL
在不受支持的升级方案中,建议在暂存模式下安装新的 Microsoft Entra Connect 服务器,并验证旧的 DirSync 和新的 Microsoft Entra Connect 配置。 使用自定义配置重新应用所有更改,如 Microsoft Entra Connect Sync 自定义配置中所述。
无法检索 DirSync 用于服务帐户的密码,并且不会迁移这些密码。 这些密码会在升级期间重置。
从 DirSync 升级到 Microsoft Entra Connect 的高级步骤
- 欢迎使用 Microsoft Entra Connect
- 当前 DirSync 配置的分析
- 收集 Microsoft Entra 混合标识管理员帐户密码
- 收集企业管理员帐户的凭据(仅在安装 Microsoft Entra Connect 期间使用)
- 安装 Microsoft Entra Connect:
- 卸载 DirSync(或暂时禁用)
- 安装 Microsoft Entra Connect
- (可选)开始同步
发生以下情况时,需要执行更多步骤:
- 无论是在本地还是远程,当前使用的是完整版的 SQL Server。
- 同步范围中的对象达到或超过 50,000 个。
就地升级
要执行就地升级,请:
打开 Microsoft Entra Connect 安装程序(MSI 文件)。
查看并同意许可条款和隐私声明。
选择“下一步”以开始分析现有的 DirSync 安装。
分析完成后,将显示有关如何继续操作的建议。
如果使用 SQL Server Express 并且对象数少于 50,000 个,则会显示以下页面:
如果使用完整的 SQL Server for DirSync,则显示以下页面:
显示有关 DirSync 正在使用现有 SQL Server 数据库服务器的信息。 如果需要,请进行调整。 选择“下一步”以继续安装。
如果对象数达到或超过 50,000 个,则显示此页面:
要继续进行就地升级,请选中“继续在此计算机上升级 DirSync”复选框。
要改为执行并行部署,请导出 DirSync 配置设置,并将该配置移动到新的服务器。
输入当前用于连接 Microsoft Entra ID 的帐户的密码。 这必须是 DirSync 使用的帐户。
如果显示错误消息或遇到连接问题,请参阅排查连接问题。
输入 Active Directory 域服务 (AD DS) 的企业管理员帐户。
现在可以开始配置。 选择“升级”后,将卸载 DirSync 并配置 Microsoft Entra Connect,然后开始同步。
安装完成后,请退出登录并再次登录到 Windows,即可使用 Synchronization Service Manager 或同步规则编辑器,或尝试进行其他任何配置更改。
并行部署
要使用并行部署进行升级,请完成以下任务。
导出 DirSync 配置
对象数达到或超过 50,000 时的并行部署
如果对象数达到或超过 50,000 个,Microsoft Entra Connect 安装向导会建议执行并行部署。
此时会显示类似于以下示例的页面:
如果要继续执行并行部署,请完成以下步骤:
- 选择“导出设置”。 在单独的服务器上安装 Microsoft Entra Connect 时,当前 DirSync 实例中的这些设置将迁移到新的 Microsoft Entra Connect 安装。
成功导出设置后,可以退出 DirSync 服务器上的 Microsoft Entra Connect 向导。 继续执行下一步,在不同的服务器上安装 Microsoft Entra Connect。
对象数少于 50,000 时的并行部署
如果对象数少于 50,000 个,但仍然希望执行并行部署,请执行以下操作:
运行 Microsoft Entra Connect 安装程序。
在“欢迎使用 Microsoft Entra Connect”中,选择窗口右上角的“X”以退出安装向导。
打开一个命令提示符窗口。
在 Microsoft Entra Connect 的安装位置(默认为 C:\Program Files\Microsoft Entra Connect)运行以下命令:
AzureADConnect.exe /ForceExport
选择“导出设置”。 在单独的服务器上安装 Microsoft Entra Connect 时,当前 DirSync 实例中的这些设置将迁移到新的 Microsoft Entra Connect 安装。
成功导出设置后,可以退出 DirSync 服务器上的 Microsoft Entra Connect 向导。 继续执行下一步,在不同的服务器上安装 Microsoft Entra Connect。
在单独的服务器上安装 Microsoft Entra Connect
在新的服务器上安装 Microsoft Entra Connect 时,假设要执行 Microsoft Entra Connect 的全新安装。 要使用 DirSync 配置,还需执行一些额外的步骤:
运行 Microsoft Entra Connect 安装程序。
在“欢迎使用 Microsoft Entra Connect”中,选择窗口右上角的“X”以退出安装向导。
打开一个命令提示符窗口。
在 Microsoft Entra Connect 的安装位置(默认为 C:\Program Files\Microsoft Entra Connect)运行以下命令:
AzureADConnect.exe /migrate
Microsoft Entra Connect 安装向导将启动并显示以下页面:
选择从 DirSync 安装中导出的设置文件。
配置任何高级选项,包括:
- Microsoft Entra Connect 的自定义安装位置。
- 现有 SQL Server 实例(默认情况下,Microsoft Entra Connect 将安装 SQL Server 2019 Express)。 请勿使用 DirSync 服务器所用的同一数据库实例。
- 用于连接到 SQL Server 的服务帐户。 (如果 SQL Server 数据库是远程数据库,则此账户必须是域服务账户。)
下图显示了此页上的其他选项:
选择下一步。
在“准备配置”中,保留选中“配置完成后立即开始同步过程”选项。 服务器当前处于暂存模式,因此不会将更改导出到 Microsoft Entra ID。
选择“安装” 。
安装完成后,请退出登录并再次登录到 Windows,即可使用 Synchronization Service Manager 或同步规则编辑器,或尝试进行其他任何配置更改。
注意
此时,本地 Windows Server Active Directory (Windows Server AD) 与 Microsoft Entra ID 之间的同步会开始,但不会将任何更改导出到 Microsoft Entra ID。 一次只能有一个同步工具可以主动导出更改。 此状态称为过渡模式。
验证 Microsoft Entra Connect 是否已准备好开始同步
要验证 Microsoft Entra Connect 是否已准备好从 DirSync 接管,请在“开始”菜单上选择“Microsoft Entra Connect”>“Synchronization Service Manager”。
在应用程序中,转到“操作”选项卡。在此选项卡上,确认以下操作显示成功完成:
- Windows Server AD 连接器上的“完全导入”
- 在 Microsoft Entra 连接器上完全导入
- Windows Server AD 连接器上的“完全同步”
- 在 Microsoft Entra 连接器上完全同步
检查这些操作的结果,并确保不存在任何错误。
如果要查看并检查即将导出到 Microsoft Entra ID 的更改,请查看如何《在暂存模式下验证配置》。 执行所需的配置更改,直到看不到任何意外情况。
完成这些步骤并对结果满意之后,即可从 DirSync 切换到 Microsoft Entra ID。
卸载 DirSync(旧服务器)
接下来,请卸载 DirSync:
- 在“程序和功能”中查找并选择“Azure Active Directory 同步工具”。
- 在命令栏中,选择“卸载”。
卸载最多可能需要 15 分钟才能完成。
如果希望稍后卸载 DirSync,则可以暂时关闭服务器或禁用服务。 使用此方法可以在出现问题时重新启用服务。
卸载或禁用 DirSync 之后,将没有任何活动的服务器导出到 Microsoft Entra ID。 必须完成启用 Microsoft Entra Connect 的下一步操作,才能继续将 Windows Server AD 本地实例中的任何更改同步到 Microsoft Entra ID。
启用 Microsoft Entra Connect(新服务器)
安装后,重新打开 Microsoft Entra Connect 以进行更多配置更改。 从“开始”菜单或桌面快捷方式打开 Microsoft Entra Connect。 确保不再运行安装 MSI 文件。
在“其他任务”中,选择“配置暂存模式”。
在“配置暂存模式”中,通过清除“已启用暂存模式”复选框来关闭暂存。
选择下一步。
在“确认”页上选择“安装”。
Microsoft Entra Connect 现为活动服务器。 确保不会切换回使用现有 DirSync 服务器。
后续步骤
- 安装 Microsoft Entra Connect 后,可以验证安装并分配许可证。
- 详细了解以下 Microsoft Entra Connect 功能:自动升级和防止意外删除。
- 了解计划程序以及如何触发同步。
- 详细了解如何将本地标识与 Microsoft Entra ID 集成。