Microsoft Entra Connect V2 简介

Azure AD Connect V1 于几年前发布。 从那时起,使用的一些组件已被计划弃用并更新到新版本。 尝试单独更新所有这些组件需要花费时间并进行计划。

为了解决此问题,我们将尽可能多的这些新组件捆绑到了一个新的版本中,这样你只需更新一次即可。 此版本为 Microsoft Entra Connect V2。 此版本是用于完成使用最新基础组件生成的混合标识目标的同一软件的新版本。

注意

Azure AD Connect V1 已于 2022 年 8 月 31 日停用,不再受支持。 Azure AD Connect V1 安装可能会意外停止工作。 如果仍在使用 Azure AD Connect V1,则需要进行升级。

主要更改有哪些?

SQL Server 2019 LocalDB

Microsoft Entra Connect 先前版本随 SQL Server 2012 LocalDB 一同提供。 V2.0 附带有 SQL Server 2019 LocalDB,该版本可实现增强的稳定性和性能,并提供多个与安全性相关的 bug 修复。 SQL Server 2012 将于 2022 年 7 月停止外延支持。 有关详细信息,请参阅 Microsoft SQL 2019

MSAL 身份验证库

Microsoft Entra Connect 先前版本随 ADAL 身份验证库一同提供。 该库将于 2022 年 12 月后弃用。 V2 版本随更高版本的 MSAL 库一起提供。 有关详细信息,请参阅 MSAL 库概述

Visual C++ Redist 14

SQL Server 2019 需要 Visual C++ Redist 14 运行时,因此我们将更新 C++ 运行时库以使用此版本。 此可再发行组件随 Microsoft Entra Connect V2 包一起安装,因此你无需为 C++ 运行时更新执行任何操作。

TLS 1.2

重要

版本 2.3.20.0 是一个安全更新。 在此更新中,Microsoft Entra Connect 需要 TLS 1.2。 在更新到此版本之前,请确保已启用 TLS 1.2。

Windows Server 的所有版本都支持 TLS 1.2。 如果服务器上未启用 TLS 1.2,则需要先启用此功能,然后才能部署 Microsoft Entra Connect V2.0。

有关用于检查 TLS 1.2 是否已启用的 PowerShell 脚本,请参阅 用于检查 TLS 的 PowerShell 脚本

有关 TLS 1.2 的详细信息,请参阅 Microsoft 安全公告 2960358。 有关启用 TLS 1.2 的详细信息,请参阅如何启用 TLS 1.2

TLS1.0 和 TLS 1.1 被认为是不安全的协议。 Microsoft 正在弃用它们。 Microsoft Entra Connect 的这一版本仅支持 TLS 1.2。 Microsoft Entra Connect V2 支持的 Windows Server 的所有版本均已默认使用 TLS 1.2。 如果你的服务器不支持 TLS 1.2,则需要先启用此功能,然后才能部署 Microsoft Entra Connect V2。 有关详细信息,请参阅对 Microsoft Entra Connect 强制实施 TLS 1.2

所有用 SHA2 签名的二进制文件

我们注意到,某些组件包含 SHA1 签名的二进制文件。 我们不再支持 SHA1 用于可下载的二进制文件,并将所有二进制文件升级为 SHA2 签名。 数字签名用于确保更新直接来自 Microsoft,并确保其在交付过程中不被篡改。 由于 SHA-1 算法存在缺陷,为了符合行业标准,我们已将 Windows 更新的签名更改为使用更安全的 SHA-2 算法。”

你方无需执行任何操作。

Windows Server 2012 和 Windows Server 2012 R2 不再受支持

SQL Server 2019 需要 Windows Server 2016 或更高版本的服务器操作系统。 由于 Microsoft Entra Connect v2 包含 SQL Server 2019 组件,我们不再支持较旧的 Windows Server 版本。

无法在较旧的 Windows Server 版本上安装此版本。 建议将 Microsoft Entra Connect 服务器升级到 Windows Server 2019,这是 Windows Server 操作系统的最新版本。

这篇文章介绍了从旧版 Windows Server 升级到 Windows Server 2019 的过程。

PowerShell 5.0

此版本的 Microsoft Entra Connect 包含多个需要 PowerShell 5.0 的 cmdlet,所以此要求是 Microsoft Entra Connect 的新先决条件。

此处可以找到关于 PowerShell 先决条件的更多详细信息。

注意

PowerShell 5 已经是 Windows Server 2016 的一部分,所以只要你使用的是最新的 Windows Server 版本,可能就不需要执行任何操作。

还需要了解什么?

为什么这次升级对我很重要?
当前 Microsoft Entra Connect 服务器安装中的几个组件明年将不再受支持。 如果使用不受支持的产品,我们的支持团队将很难为你提供组织所需的支持体验。 因此,建议所有客户尽快升级到这一较新版本。

这次升级尤其重要,因为我们必须更新 Microsoft Entra Connect 的先决条件,你可能需要额外的时间来规划和更新服务器到这些先决条件的新版本

是否有我需要了解的新功能?
没有,V2.0 版本不包含任何新功能。 此版本仅包含 Microsoft Entra Connect 上一些基础组件的更新。

能否从以前的版本升级到 V2?
可以,支持从任何先前版本的 Microsoft Entra Connect 升级到 Microsoft Entra Connect V2。 请按照此文中的指导确定最适合你的升级策略。

能否导出当前服务器的配置并将其导入 Microsoft Entra Connect V2?
是的,你可以这样做,这是迁移到 Microsoft Entra Connect V2 的一个好方法,尤其是同时还要升级到新的操作系统版本时。 可以在这篇文章中详细了解导入/导出配置功能以及如何使用它。

我已为 Microsoft Entra Connect 启用自动升级,我会自动获得此新版本吗?
是 - 如果已启动自动升级功能,则 Microsoft Entra Connect 服务器将升级到最新版本。 但是,仅当你使用 Windows Server 2016 或更高版本并且已启用 TLS 1.2 时,我们才能升级服务器。

我还没有准备好升级 - 我还有多少时间?
应尽快升级到 Microsoft Entra Connect V2。 所有 Azure AD Connect V1 版本均于 2022 年 8 月 31 日停用。目前,我们将继续支持旧版本的 Microsoft Entra Connect,但如果 Microsoft Entra Connect 中的某些组件不再支持,则可能难以提供良好的支持体验。 此升级对于 ADAL 和 TLS1.0/1.1 尤为重要,因为这些服务在弃用后可能会意外停止工作。

我使用外部 SQL 数据库并且不使用 SQL 2012 LocalDb - 是否仍需升级?
是的,即使不使用 SQL Server 2012,仍然需要升级以保持受支持的状态,因为 TLS1.0/1.1 和 ADAL 已弃用。 请注意,SQL Server 2012 仍可用作 Microsoft Entra Connect V2 的外部 SQL 数据库。 Microsoft Entra Connect V2 中的 SQL 2019 驱动程序与 SQL Server 2012 兼容。

在将我的 Microsoft Entra Connect 实例升级到 V2 后,SQL 2012 组件是否会自动卸载?
不会,升级到 SQL 2019 不会从服务器中删除任何 SQL 2012 组件。 如果不再需要这些组件,则应按照 SQL Server 卸载说明进行操作。

如果不升级,会发生什么情况?
直到即将停用的某个组件被实际弃用,你才会看到影响。 Microsoft Entra Connect 将继续工作。

在 2022 年会停止支持 TLS 1.0/1.1,你需要确保届时不再使用这些协议,否则你的服务可能会意外停止。 不过,可以为 TLS 1.2 手动配置服务器,并且不需要将 Microsoft Entra Connect 更新到 V2。

2022 年 12 月以后,计划不支持 ADAL。 当 ADAL 不再受支持时,身份验证可能会意外失效,这将使 Microsoft Entra Connect 服务器无法正常工作。 强烈建议在 2022 年 12 月之前升级到 Microsoft Entra Connect V2。 无法使用当前的 Microsoft Entra Connect 版本升级到受支持的身份验证库。

升级到 V2 后,ADSync PowerShell cmdlet 不再工作?
这是已知问题。 请在安装或升级到 V2 后重启 PowerShell 会话,然后重新导入模块。 使用以下说明导入模块。

  1. 使用管理权限打开 Windows PowerShell。

  2. 键入或复制并粘贴以下代码:

    Import-module -Name "C:\Program Files\Azure AD Sync\Bin\ADSync"
    

使用 Microsoft Entra Connect V2 的许可证要求

此功能免费使用,并且包括在你的 Azure 订阅中。

后续步骤