Microsoft hat im Juni eine neue Version des Azure AD Connect veröffentlicht. Im Grund nichts Ungewöhnliches, jedoch handelt sich hierbei um eine neue Majorversion mit einigen Änderungen und Abhängigkeiten. Wir erläutern für Euch die wichtigsten Änderungen und geben Hinweise, was bei der Aktualisierung zu beachten ist. Eine ausführliche Zusammenfassung aller Änderungen findet ihr im offiziellen Artikel von Microsoft.

Hinweis: Das Update wird bisher nicht per Autoupgrade ausgerollt. Installationen mit angepassten Synchronisierungsregeln sind werden immer vom Autoupgrade ausgeschlossen. Hier besteht in jedem Fall Handlungsbedarf!

Die wichtigsten Änderungen im Überblick

SQL Server 2019 LocalDB

Mit dem Release wird automatisch eine neue Datenbank auf Basis SQL Server 2019 LocalDB installiert. Die bisherige Version 2012 wird nicht mehr unterstützt, da diese im Juni 2022 das Supportende erreicht. Eine Verbindung zu einem Full SQL Server in der Version 2012 wird weiterhin unterstützt, sofern TLS 1.2 aktiviert wurde. Sollte ein SQL Server 2012 bei Euch zum Einsatz kommen, raten wir jedoch zur schnellstmöglichen Migration auf eine neue unterstützte Version.

Da SQL Server 2019 Visual C++ Redist Version 14 voraussetzt, werden diese durch das Setup direkt mitinstalliert.

Microsoft Authentication Library (MSAL)

Microsoft schickt zu Juni 2022 die Authentication Library ADAL in Rente und unterstützt ab diesem Zeitpunkt nur noch die seit einiger Zeit verfügbare Microsoft Authentication Library (MSAL). Sobald der Support eingestellt wurde, können ältere Azure AD Connect Installation keine Authentifizierungen mehr gegen Azure AD durchführen und damit bleibt eine Synchronisierung der letzten Änderungen aus.

TLS 1.2

Ab diesem Release werden nur noch Verbindung per TLS 1.2 unterstützt. TLS 1.0 und 1.1 werden konsequent blockiert. Sofern noch nicht erfolgt, muss der Server für die Verbindung mit TLS 1.2 konfiguriert werden.

https://docs.microsoft.com/en-us/azure/active-directory/hybrid/reference-connect-tls-enforcement

PowerShell 5.0

Die mitgelieferten PowerShell Module setzen PowerShell in Version 5.0 voraus. Diese wird ab Windows Server 2016 bereits von Haus aus mitgeliefert und braucht nicht nachinstalliert werden.

Windows Server

Durch die Voraussetzungen für SQL Server 2019, PowerShell und TLS 1.2 wird der Support für die Installation auf einem Windows Server 2012 oder R2 eingestellt.

Es wird in Zukunft mindestens Windows Server 2016 vorausgesetzt.

Azure AD Rolle Hybrid Identity Administrator

Für die Installation von Azure AD Connect ist nicht mehr die Rolle “Globaler Administrator” erforderlich. Die neue Rolle “Hybrid Identity Administrator” ist ab sofort ausreichend.

Was muss ich beim Upgrade beachten?

Export Konfiguration und Synchronisierungsregeln

Egal ob die Installation auf einem neuen Server oder durch ein Upgrade auf dem bestehenden Server erfolgt, sollte im Vorfeld ein Backup der Konfiguration und der Synchronisierungsregeln erstellt werden.

https://docs.microsoft.com/de-de/azure/active-directory/hybrid/how-to-connect-import-export-config

Ab Version 1.5.42.0 kann über den Azure AD Connect Assistenten die Konfiguration von Azure AD Connect exportiert werden.

Dazu einfach den Konfigurationsassistenten starten und über den Menüpunkt “View or Export current configuration”, den Button “Export Settings” wählen. Im Anschluss wird eine JSON Datei mit allen relevanten Einstellungen inkl. der benutzerdefinierten Synchronisierungsregeln exportiert.

Für die Installation bieten sich grundsätzlich zwei Varianten an: Zum einen kann das Update einfach über die bestehende Installation drüber installiert werden und zum anderen lässt sich auf einem neuen Server parallel eine Neuinstallation als Staging-Server installieren.

Installation Variante 1 – In-Place

TLS 1.2 aktivieren, wenn nicht bereits erfolgt und Neustart des Servers. Eine ausführliche Anleitung und PowerShell Script hat Microsoft unter diesem Link beschrieben.

Ist alles vorbereitet, kann das Setup heruntergeladen und gestartet werden. Es wird automatisch eine Upgrade-Installation angeboten. Die neuen SQL Server Komponenten werden automatisch im Hintergrund installiert.

Am Ende erfolgt ein Full-Import und Full-Sync.

Installation Variante 2 – Swing Installation

Über die Swing Installation wird über einen zweiten Server im Staging Mode die neue Version bereitgestellt. Die Konfiguration muss vorher ebenfalls exportiert werden und kann dann auf dem neuen Server wieder importiert werden.

Neuen Server bereitstellen und ebenfalls darauf achten, dass TLS 1.2 aktiviert ist. Wie bereits in Variante 1 beschrieben, hier nochmal der Verweis auf die Anleitung und PowerShell Script von Microsoft, welche unter diesem Link bereitgestellt werden.

Installation kann auf dem neuen Server gestartet werden.

Um die Einstellungen importieren zu können, wird eine benutzerdefinierte Installation ausgewählt und anschließend der Pfad zur JSON-Datei angegeben.

Es folgt der normale Installationsassistent, welcher mit den Optionen aus der JSON Datei vorbelegt ist. Am Ende des Assistenten muss die letzte Option aktiviert sein, damit der Server im Staging Modus installiert.

Der Staging Mode bedeutet, dass alle Änderungen in der Datenbank mitgeschrieben, aber keine Exports ins Azure AD oder AD geschrieben werden.

Empfehlung: Im Anschluss sollte der Sync Rule Editor geprüft werden, ob die benutzerdefinierten Regeln sauber übernommen wurden. Darüberhinaus lässt sich im Synchronization Service nachverfolgen, ob die Synchronisierung bis zum Schritt Export funktioniert.

Sind keine Fehler festzustellen, wird der bisherige Azure AD Connect Server in den Staging Modus versetzt und der neue Server als produktive Instanz aktiviert. Dazu bedient man sich wieder des Azure AD Connect Assistenten und dem Menüpunkt “Configuring staging mode”.

Fragen?

Solltet ihr Fragen zu dem Thema haben oder Unterstützung beim Upgrade Eurer Azure AD Connect Installation wünschen, dann kontaktiert uns gerne.

Facebook-f Twitter Pinterest-p