将 Azure AD Connect 升级到 V2.x

我们在组织中运行 Azure AD Connect V1。我们希望从 Azure AD Connect V1 升级到 Azure AD Connect V2。我们建议在升级到最新版本时遵循升级 Azure AD Connect 一文。这次，从 Azure AD Connect V1.x 到 V2.x 的更新略有不同，因此我们创建了一篇关于它的新文章。

介绍

Microsoft 于 2021 年 7 月 20 日发布了 Azure AD Connect V2.0 (2.0.3.0)。在 Azure AD Connect 变更日志中，我们可以看到他们发布了几个包含错误修复的较新版本。在撰写本文时，Azure AD Connect 版本为 2.0.25.1。

注意：请在 2022 年 8 月 31 日之前将 Azure AD Connect 升级到 V2.x。否则，多个组件将不再受支持。

明年，当前 Azure AD Connect 服务器安装中的多个组件将不再受支持。如果您使用不受支持的产品，Microsoft 支持团队将很难为您提供组织所需的支持体验。因此，我们建议所有客户尽快升级到这个新版本。

在将 Azure AD Connect 升级到 V2 之前，我们先来看看这些变化。

了解更多：安装和配置 Azure AD Connect »

Azure AD Connect V2.0 主要变化

以下是 Azure AD Connect V2.0 中新的重大变化：

• SQL Server 2019 本地数据库

• MSAL 身份验证库

• Visual C++ Redist 14

• 传输层安全协议1.2

• 所有使用 SHA2 签名的二进制文件

• 不再支持 Windows Server 2012 和 Windows Server 2012 R2

• 电源外壳5.0

阅读官方 Azure AD Connect V2.0 文档。

您是否在 Windows Server 2012/R2 上运行 Azure AD Connect V1？然后导出设置并将 Azure AD Connect 迁移到 Windows Server 2016/2019/2022。

了解更多：将 Azure AD Connect 迁移到新服务器 »

在 Azure AD Connect 服务器上启用 TLS 1.2

在下载并运行 Azure AD Connect V2.x 升级之前，我们必须在 Azure AD Connect 服务器上启用 TLS 1.2。如果我们不这样做并运行 Azure AD Connect 安装文件，我们将收到TLS 版本不正确消息。

TLS 版本不正确
此服务器上未配置 TLS 1.2。

此安装需要 TLS 1.2，但服务器上未启用它。请参阅本文档，详细了解在服务器上启用 TLS 1.2 所需执行的步骤。配置 TLS 1.2 后，请运行 AADConnect 向导以继续安装和配置。

在安装了 Azure AD Connect 的服务器上以管理员身份运行 PowerShell ISE。下载 Enable-TLS1.2.ps1 PowerShell 脚本并从 PowerShell 运行它。另一种方法是复制以下 PowerShell 脚本。

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor Cyan

将脚本粘贴到 PowerShell ISE 中并运行该脚本。

运行脚本后，您必须重新启动 Windows Server 以使更改生效。

下载 Azure AD Connect v2.x

转到 Microsoft 下载中心下载最新的 Azure AD Connect 版本。目前，最新版本是Azure AD Connect 2.0.25.1。

将 AzureADConnect.msi 文件放置在 C:\install 中。

将 Azure AD Connect 升级到 V2.x

双击 AzureADConnect.msi 文件，然后让安装程序提取文件。

升级 AAD 连接

屏幕将显示旧版本的 Azure AD Connect 已安装并将升级。

• 在 Azure AD Connect 升级期间，同步将停止。

• Azure AD Connect 升级后，AD 和 Azure AD 之间将发生完全同步。

注意：如果您有超过 50.000 个 AD 对象，您可能需要在工作时间后或周末运行更新，因为完成同步可能需要几个小时或更长时间。

点击升级。

该设置正在升级同步引擎。

连接到 Azure AD

使用 Azure AD Connect V1，我们输入 Azure AD 全局管理员帐户。在 Azure AD Connect V2 中，我们可以使用具有混合身份管理员用户角色的用户帐户。为此，我们不再需要全局管理员角色。

我们建议使用具有最低权限的帐户。因此，我们将为混合身份管理员创建一个服务帐户并从现在开始使用它。

阅读有关 Azure AD 内置角色的 Microsoft 文档。

创建混合身份管理员帐户

登录到 Azure AD 门户。导航到Azure Active Directory > 角色和管理员。搜索角色混合身份管理员。将服务帐户分配给该角色。

在我们的示例中，它是用户帐户 svc-hia。

输入 Azure AD 全局管理员凭据或混合标识管理员凭据。单击下一步。

配置

选中配置完成后启动同步过程复选框。点击升级。

等待 Azure AD Connect 升级完成。

配置完成。 Azure Active Directory 同步的升级已成功完成。单击退出。

验证 Azure AD Connect 版本

验证 Azure AD Connect V2 是否已成功安装。

从程序菜单启动Azure Active Directory 同步服务。单击菜单栏中的帮助>关于。在我们的示例中，显示了 Azure AD Connect 版本 2.0.25.1。

另一种方法是使用 PowerShell 检查 Azure AD Connect 版本。

以管理员身份运行 Windows PowerShell。首先，使用 Import-Module ADsync cmdlet 导入 ADsync 模块。之后，运行 Get-ADSyncGlobalSettings cmdlet。

PS C:\> Import-Module ADSync
PS C:\> (Get-ADSyncGlobalSettingsParameter | Where-Object { $_.Name -eq 'Microsoft.Synchronize.ServerConfigurationVersion'}).Value
2.0.25.1

就是这样！

继续阅读：将 Azure AD Connect 移至新租户 »

结论

我们展示了如何将 Azure AD Connect 升级到 V2.x。必须将 Azure AD Connect 升级到最新版本并跟上最新的更改和修复。如果您的 AD 对象超过 50.000 个，最好在工作时间之后运行升级，因为这需要一些时间。最后，验证同步是否正常，没有任何错误，并且您是否已成功安装最新的 Azure AD Connect 版本。

您喜欢这篇文章吗？您可能还喜欢在 Office 365 管理中心启用新式身份验证。不要忘记关注我们并分享这篇文章。