将 Azure AD Connect 迁移到新服务器

如何将 Azure AD Connect 迁移到新服务器？您正在运行 Azure AD Connect V1，并且想要升级到 Azure AD Connect V2。但是，Azure AD Connect V2 需要 Windows Server 2016 或更高版本。本文将介绍如何将 Azure AD Connect 移动到另一台服务器。

介绍

您是 Azure AD Connect 新手吗？详细了解如何安装和配置 Azure AD Connect。在将 Azure AD Connect 迁移到另一台服务器之前，最好先熟悉 Azure AD Connect。

以下 Windows Server 版本支持 Azure AD Connect V2：

• Windows 服务器 2016

• Windows 服务器 2019

• Windows Server 2022

注意：Azure AD Connect V2 需要 Windows Server 2016 或更高版本。如果运行较旧的 Windows Server 版本，则必须将 Azure AD Connect 迁移到新服务器。

您是否已在 Windows Server 2016 或更高版本上安装了 Azure AD Connect V1 并想要升级？或者您是否已经运行 Azure AD Connect V2 并且想要升级到最新版本以获得新功能和错误修复？阅读文章：

• 升级 Azure AD Connect

• 将 Azure AD Connect 升级到 V2.x

注意：请在 2022 年 8 月 31 日之前将 Azure AD Connect 升级到 V2.x。否则，多个组件将不再受支持。

在我们的示例中，Azure AD Connect V1 在 Windows Server 20212 R2 上运行。现在我们无法就地升级到 Azure AD Connect V2，因为它需要 Windows Server 2016 或更高版本，因此我们必须将 Azure AD Connect 迁移到另一台服务器。它可以是新服务器或现有服务器。

在我们的场景中，设置如下所示：

• DC01-2019： Windows Server 2019（域控制器）

• AAD01-2012： Windows Server 2012（旧版 Azure AD Connect 服务器）

• AAD02-2019： Windows Server 2019（新的 Azure AD Connect 服务器）

为何将 Azure AD Connect 迁移到新服务器？

需要将 Azure AD Connect 服务器迁移到新服务器的原因有多种：

1. Azure AD Connect V2 支持 Server 2016 及更高版本

2. Azure AD Connect 服务器无法启动

3. 停用旧的 Windows 服务器

Azure AD Connect V2.0 主要变化

以下是 Azure AD Connect V2.0 中新的重大变化：

• SQL Server 2019 本地数据库

• MSAL 身份验证库

• Visual C++ Redist 14

• 传输层安全协议1.2

• 所有使用 SHA2 签名的二进制文件

• 不再支持 Windows Server 2012 和 Windows Server 2012 R2

• 电源外壳5.0

阅读官方 Azure AD Connect V2.0 文档。

旧的 Azure AD Connect 服务器

登录到旧的 Azure AD Connect 服务器。按照步骤检查几个 Azure AD Connect 设置并将其记下来。此外，您还需要导出 Azure AD 配置。

在我们的示例中，它是服务器名称 AAD01-2012。

检查 Azure AD Connect 版本

从程序菜单启动Azure Active Directory 同步服务。单击菜单栏中的帮助>关于。 Azure AD Connect 版本 1.6.16.0 显示。

导出 Azure AD Connect 配置

在将 Azure AD Connect 迁移到另一台服务器之前，必须创建 Azure AD Connect 导出配置。

从程序菜单启动Microsoft Azure Active Directory Connect。单击配置。

单击查看或导出当前配置。单击下一步。

单击导出设置。

注意：如果您没有看到“导出设置”选项，请升级到 Azure AD Connect V1.6。

将 .json 文件保存在要安装 Azure AD Connect 的新 Windows Server 的 C:\temp 文件夹中。

在我们的示例中，新的 Windows Server 是 AAD02-2019。

检查 Azure AD Connect 用户登录设置

返回其他任务。点击更改用户登录。单击下一步。

记下用户登录设置或截取屏幕截图。您需要在新 Windows Server 上的 Azure AD Connect 设置向导中提供这些设置。

注意：Azure AD 导出配置不会导出用户登录设置。写下设置。

新的 Azure AD Connect 服务器

登录到要安装 Azure AD Connect 的 Windows Server。完成导入 Azure AD 配置设置并安装 Azure AD Connect 的步骤。

在我们的示例中，它是服务器 AAD02-2019。

在 Azure AD Connect 服务器上启用 TLS 1.2

在下载并运行 Azure AD Connect V2.x 升级之前，我们必须在 Azure AD Connect 服务器上启用 TLS 1.2。如果我们不这样做并运行 Azure AD Connect 安装文件，我们可能会收到TLS 版本不正确消息。

TLS 版本不正确
此服务器上未配置 TLS 1.2。

此安装需要 TLS 1.2，但服务器上未启用它。请参阅本文档，详细了解在服务器上启用 TLS 1.2 所需的步骤。配置 TLS 1.2 后，请运行 AADConnect 向导以继续安装和配置。

在新服务器上以管理员身份运行 PowerShell ISE。下载 Enable-TLS1.2.ps1 PowerShell 脚本并从 PowerShell 运行它。另一种方法是复制以下 PowerShell 脚本。

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor Cyan

将脚本粘贴到 PowerShell ISE 中并运行该脚本。

运行脚本后，您必须重新启动 Windows Server 以使更改生效。

下载 Azure AD Connect V2

转到 Microsoft 下载中心下载最新的 Azure AD Connect 版本。目前，最新版本是Azure AD Connect 2.0.28.0。

将 AzureADConnect.msi 文件保存在 C:\install 文件夹中。

安装 Azure AD Connect V2

双击 AzureADConnect.msi 文件，然后让安装程序提取文件。同意许可条款并单击继续。

单击自定义进行自定义安装。

导入同步设置

选中导入同步设置复选框。浏览到导出的 Azure AD Connect .json 文件。单击安装。

用户登录设置

选择旧 Azure AD Connect 服务器上配置的相同用户登录设置。在上一步中，您确实截取了这些设置的屏幕截图或将其写下来。

在我们的示例中，它是密码哈希同步。单击下一步。

创建混合身份管理员帐户

使用 Azure AD Connect V1，我们输入 Azure AD 全局管理员帐户。在 Azure AD Connect V2 中，我们可以使用具有混合身份管理员用户角色的用户帐户。为此，我们不再需要全局管理员角色。

我们建议使用具有最低权限的帐户。因此，我们将为混合身份管理员创建一个服务帐户并从现在开始使用它。

阅读有关 Azure AD 内置角色的 Microsoft 文档。

登录到 Azure AD 门户。导航到Azure Active Directory > 角色和管理员。搜索角色混合身份管理员。将服务帐户分配给该角色。

在我们的示例中，它是用户帐户 svc-hia。

连接到 Azure AD

输入 Azure AD 全局管理员凭据或混合标识管理员凭据。单击下一步。

连接目录

您可能会收到无法连接到 Active Directory 的错误。单击更改凭据。

您可以选择帐户选项：

• 创建新的 AD 帐户：Azure AD Connect 将在 AD 中创建一个具有所有必要权限的 AD DS 连接器帐户 (MSOL_xxxxxxxxxx)。

• 使用现有 AD 帐户：提供具有所需权限的现有帐户。详细了解如何创建 AD DS 连接器帐户。

填写凭据。单击确定。

在我们的示例中，我们将选择选项创建新的 AD 帐户。

Active Directory 已成功添加。单击下一步。

准备配置

确保选中两个复选框。单击安装。

等待 Azure AD Connect 升级完成。

配置完成。 Azure AD Connect 配置成功，同步过程已启动。单击退出。

验证 Azure AD Connect 版本

验证 Azure AD Connect V2 是否已成功安装。

从程序菜单启动Azure Active Directory 同步服务。单击菜单栏中的帮助>关于。在我们的示例中，显示了 Azure AD Connect 版本 2.0.28.0。

验证 Azure AD Connect 同步

验证同步状态是否显示状态成功。它不应显示任何错误或权限问题。

了解更多：使用 PowerShell 强制同步 Azure AD Connect »

在旧服务器上启用暂存模式

在旧服务器上，启动 Microsoft Azure Active Directory Connect。单击配置并选择配置暂存模式。单击下一步。

填写 Azure AD 全局管理员或混合身份管理员凭据。单击下一步。

选中启用暂存模式复选框。单击下一步。

选中配置完成后启动同步过程复选框。单击配置。

已在旧的 Azure AD Connect 服务器上成功启用暂存模式。单击退出。

在新服务器上禁用暂存模式

在新服务器上，启动 Microsoft Azure Active Directory Connect。单击配置并选择配置暂存模式。单击下一步。

填写 Azure AD 全局管理员或混合身份管理员凭据。单击下一步。

取消选中启用暂存模式复选框。单击下一步。

选中配置完成后启动同步过程复选框。单击配置。

在新的 Azure AD Connect 服务器上成功禁用暂存模式。单击退出。

检查 Azure AD Connect 同步

启动Azure Active Directory 同步服务。验证同步状态是否显示为成功。

登录 Microsoft 365 管理中心。单击Azure AD Connect 磁贴中的同步状态。

目录同步状态显示目录同步客户端版本和目录同步服务帐户。

我们的示例是版本 Azure AD Connect 2.0.28.0 和同步服务帐户 Sync_AAD02-2019。

了解更多：查找 Azure AD Connect 帐户 »

如果没有 Azure AD Connect 磁贴，您可以导航到运行状况 > 目录同步状态。

卸载 Azure Azure AD Connect

您要在旧的 Azure AD Connect 服务器上执行的最后步骤是：

• 卸载 Azure AD Connect

• 删除旧的 AD DS 连接器帐户

• 删除旧的 Azure AD 连接器帐户

您还可以将旧的 Azure AD Connect 服务器关闭几天，以防万一或禁用 Azure AD Connect 服务。然后，在一切按预期运行后，卸载 Azure AD Connect。

了解更多：卸载 Azure AD Connect »

就是这样！

结论

您了解了如何将 Azure AD Connect 迁移到新服务器。首先，导出 Azure AD Connect 配置设置并在新服务器上安装 Azure AD Connect 时加载配置。然后，验证您是否成功安装了最新的 Azure AD Connect 版本，并且同步工作正常且没有任何错误。最后，卸载旧服务器上的 Azure AD Connect 并清理旧服务帐户。

您喜欢这篇文章吗？您可能还喜欢为本地配置 Azure AD 密码保护。不要忘记关注我们并分享这篇文章。