V rámci Azure AD Connect jsou vydány poměrně často upgrade (i 3x do měsíce). Tento nástroj pod názvem Azure AD Connect (dříve DirSync) zajišťuje synchronizaci identit do Office365, Azure, SaaS aplikací, atd..
Tím umožňuje administrátorům zajistit jednotné identity v rámci interního a online prostředí. Služba Azure AD Connect je jakousi náhražkou a do budoucna bude určitě náhražkou služby FIM nebo MIM (Identity Manager), Služba Azure AD Connect je jakousi náhražkou…
a do budoucna bude určitě náhražkou služby FIM nebo MIM (Identity Manager), zatím však neposkytuje tolik funkcionalit jako velké robustní nástroje pro synchronizace, ale zase je zadarmo a dá se využívat i k jiným věcem než je synchronizace do Online prostředí. Každopádně dneska se podíváme na možnosti upgrade tohoto nástroje a umožnění tak nových funkcionalit.
Nejprve se podíváme jako jsou možnosti pro provedení upgrade Azure AD Connect služby na vašem serveru. Služba Azure AD Connect od update 1.1.105.0 z února 2016 přináší možnost automatického update služby Azure AD Connect, kterou můžete modifikovat. Tato služba je ve výchozím stavu nastavena na Suspended a proto je určitě vhodné ji změnit, pokud používáme Expresní nastavení Azure AD Connect.
Pro update máme možnost vydat se hned několika scénáři a to:
- Automatický update
- In-place update
- Swing migration
Automatický update se používá u zákazníků, kteří využívají expresní konfiguraci služby Azure AD Connect. Tento upgrade není tak náročný a jeho provedení se provádí automaticky změnou nastavení pomocí powershellu. Při tomto update se předpokládá, že jsou služby jako SQL Express nebo WID instalovány přímo na serveru, kde běží aplikace Azure AD Connect a konfigurace obsahuje méně než 100 000 objektů pro synchronizaci. Aby byl upgrade proveden automaticky musí být funkční služba Health Service.
In-Place update se používá většinou ve scénáři, kdy existuje jedna jediná instance Azure AD Connect serveru s odděleným SQL serverem a při synchronizaci více jak 100 000 objektů. Případně, když je použit Forefront Identity manager s Azure AD Connectem nebo potřebujete nainstalovat nějakou verzi Azure AD Connect, která není pro automatický update dostupná.
Swing migrace se používá v případě, kdy využíváme 2 a více Azure AD Connect serverů a potřebujeme zajistit, aby byla služba dostupná vždy, jelikož v předchozích scénářích to znamená výpadek této služby a jak si ukážeme dále bude více a více vhodné mít 2 servery v režimu Active – Staging. Tento model využívá provedení upgrade na serveru ve stavu Staging, následně jeho přepnutí do Active a původního serveru do stavu Staging. U tohoto upgrade je možno zajistit nejkratší výpadek a nedostupnost celé služby.
Jednotlivé modely si dnes popisovat nebudeme a podíváme se spíše na nastavení automatického update, který bude asi většina z vás využívat. Tento model má 3 možnosti nastavení a to Enable, Disable a Suspend. Po instalaci Azure AD Connect služby je většinou stav této služby nastaven na hodnotu Suspend, což pro nás nemusí být vhodnou cestou, jelikož chceme mít služby vždy Up-To-Date a chceme mít možnost využívat nové funkcionality.
Změnu nastavení Azure AD Connect update můžeme provést jediným powershell příkazem přímo na Azure AD Connect serveru a to Set-ADSyncAutoUpgrade Enable/Disable/Suspend. Osobně bych doporučil nastavit ihned po instalaci na Enable, přičemž je nutno sledovat hodnoty v Event logu zda se služba korektně přepnula do tohoto stavu.
Požadovaný Event log se skrývá pod Event ID 300 – 399 a s názvem Event Source „Azure AD connect Upgrade“. Hodnota, kterou v Event logu uvidíte, může být v níže uvedených hodnotách.
UpgradeAborted
| Result Message | Description |
|---|---|
| UpgradeAbortedCouldNotSetUpgradeMarker | Could not write to the registry. |
| UpgradeAbortedInsufficientDatabasePermissions | The built-in administrators group does not have permissions to the database. Manually upgrade to the latest version of Azure AD Connect to address this issue. |
| UpgradeAbortedInsufficientDiskSpace | There is not enough disc space to support an upgrade. |
| UpgradeAbortedSecurityGroupsNotPresent | Could not find and resolve all security groups used by the sync engine. |
| UpgradeAbortedServiceCanNotBeStarted | The NT Service Microsoft Azure AD Sync failed to start. |
| UpgradeAbortedServiceCanNotBeStopped | The NT Service Microsoft Azure AD Sync failed to stop. |
| UpgradeAbortedServiceIsNotRunning | The NT Service Microsoft Azure AD Sync is not running. |
| UpgradeAbortedSyncCycleDisabled | The SyncCycle option in the scheduler has been disabled. |
| UpgradeAbortedSyncExeInUse | The synchronization service manager UI is open on the server. |
| UpgradeAbortedSyncOrConfigurationInProgress | The installation wizard is running or a sync was scheduled outside the scheduler. |
UpgradeNotSupported
| Result Message | Description |
|---|---|
| UpgradeNotSupportedCustomizedSyncRules | SyncRulesYou have added your own custom rules to the configuration. |
| UpgradeNotSupportedDeviceWritebackEnabled | You have enabled the device writeback feature. |
| UpgradeNotSupportedGroupWritebackEnabled | You have enabled the group writeback feature. |
| UpgradeNotSupportedInvalidPersistedState | The installation is not an Express settings or a DirSync upgrade. |
| UpgradeNotSupportedMetaverseSizeExceeeded | You have more than 100,000 objects in the metaverse. |
| UpgradeNotSupportedMultiForestSetup | You are connecting to more than one forest. Express setup only connects to one forest. |
| UpgradeNotSupportedNonLocalDbInstall | You are not using a SQL Server Express LocalDB database. |
| UpgradeNotSupportedNonMsolAccount | The AD Connector account is not the default MSOL_ account anymore. |
| UpgradeNotSupportedStagingModeEnabled | The server is set to be in staging mode. |
| UpgradeNotSupportedUserWritebackEnabled | You have enabled the user writeback feature. |
Některé update však nejsou podporované pro automatický update jako například služba pro Single Sign On a proto musíme použít jinou metodu update, jak si ukážeme v následujcím článku.
Závěr
Rád bych vás i tímto upozornil, že možnost automatického update může být jeden z důvodů proč přejít ze starého DirSync nástroje na Azure AD Connect. Dále pak je vhodné provést reinstalaci DirSync na Azure AD Connect nejpozději do dubna 2017, jelikož Microsoft přestane aplikaci DirSync podporovat a je velice pravděpodobné, že ani synchronizace nebude po nějaké době fungovat.
