私が運用している環境は、オンプレミスのActive DirectoryとAzure ADの間で同期を実施しています。オブジェクト同期は Azure AD Connect を利用し問題無く動作し続けているので放置していました。
- Azure AD Connect のアップグレード手順が知りたい
- 今利用しているバージョンを確認したい
- 廃止バージョンの情報がしりたい
久々に情報収集を始めると利用しているバージョンの廃止がアナウンスさせているじゃないですか!仕方ないバージョンアップを行うとしよう。
Azure AD Connect 1.x バージョンの廃止
2022 年 8 月 31 日に Azure AD Connect 1.x バージョンが廃止となり、12 月 31 日に ADAL ライブラリ サービスが提供停止になるため、AADConnect V1.x も同日に動作が停止する可能性があるとのことです。
Azure AD Connect 1.x バージョンを利用している場合は、2022年にバージョンアップが必要そうです。
Azure AD Connect 2.x バージョンの廃止
Azure AD Connect 2.x バージョンは、古いものから順にサポート切れが発生しているのでご注意ください。
以前のバージョンの Azure AD Connect Sync 2.x の廃止は新しいバージョンに置き換えた日から 12 か月後に開始されます。
Azure AD Connect Sync の最新リリース バージョンをまだ使用していない場合は、その日付より前に Azure AD Connect Sync ソフトウェアをアップグレードする必要があります。
Azure AD Connect アップグレード解説
バージョンアップの種類と解説
Azure AD Connect アップグレードする手順は色々ありますが、この 2 種類のどちらかを実施することになると思います。アップグレード作業はどちらを選んでも変わりませんので環境に合わせて選べば構わないでしょう。
- インプレース アップグレード(同じサーバーでアップグレード)
- スウィング移行(別サーバーに移行)
| インプレース アップグレード | スウィング移行(推奨) | |
|---|---|---|
| 説明 | 同じサーバーにアップグレードする | 2 台のサーバーを用意しサーバーを変更する |
| メリット | 別のサーバーが不要 | 新バージョンへの移行がスムーズ。同期は中断されず、運用環境にリスクがない |
| デメリット | アップグレード中に問題が発生した場合、ロールバックできず、同期が中断される | 別のサーバーが必要 |
マイクロソフトは、インプレース アップグレードよりもスウィング移行を推奨しているようです。
12 か月から 18 か月間 (1 年半) アップグレードを行っていないお客様は、スウィング アップグレードを検討してください。これが最も慎重でリスクの少ない選択肢です。
最新 Azure AD Conect の前提条件
何も考えず最新OSで環境を構築したり、既存環境をそのまま再利用したりしようとすると落とし穴に落ちるのでご注意ください。
主な前提条件
- 同期元のオンプレActive Directoryと、同期先のAzure ADが必要
- Azure AD Connect サーバーはドメインに参加済み
- Windows Server 2016以降のバージョン ※ 1
- エンタープライズ、ドメイン管理者アカウントを同期アカウントに出来ない(AD)
- 管理者の役割が必要(MicroSoft 365)
※1 私がアップグレードを実行したときは、最新の Windows Server 2022 はサポートしていませんでした。最新バージョンに対応していないのは罠です。
1 台構成 インプレース アップグレード 手順概要
1台構成で行うインプレース アップグレードの手順概要ですが、簡単に言えば上書きです。インストーラーを実行すると、旧バージョンを削除して新バージョンがインストールされる流れです。
- 既存環境の動作確認
- 設定内容の保存(エクスポート)
- アップグレード
- 新環境の動作確認
誰もが想像する流れです。この方法の場合「上書きでしょ!まあ問題無いっしょ」と思って舐めていたらハマるのでご注意ください。
最近はセキュリティ設定が細かくなっているので、些細な制限で失敗する可能性があります。失敗したら再インストールです。
インプレースアップグレードの場合は、作業途中で既存環境は削除されます。失敗したら、必死になってバージョンアップを完了させる必要が出てきます。
私は、スウィング移行で実施したので難を回避しましたが、アクセス権でやり直し(再インストール)を体験しました。インプレースアップグレードだったら顔面蒼白だったでしょう。
2 台構成 スウィング移行 手順概要
スウィング移行でのアップグレードは、失敗やエラーリスクが低いです。なぜなら、既存環境に影響を与えずに新環境を構築できるからです。
- 既存環境の動作確認
- 既存環境の設定を保存(エクスポート)
- 既存環境をステージング モード有効
- 新環境をインストール
- 新環境の動作確認
- 既存環境をステージング モード無効
新環境を構築するのに失敗してもやり直しが簡単なので推奨する手順です。
Azure AD Connect アップグレード手順
マイクロソフト推奨のスウィング移行でのアップグレード手順をベースに説明します。インプレースアップグレードはスウィング移行の簡易版と考えると理解がしやすいです。
Azure AD Connect 最新版をダウンロード
マイクロソフトから Azure AD Connect の最新版を取得します。
既存環境の動作確認
インプレース アップグレード・スウィング移行 ( 共通 )
現状でエラーが出ていないか確認します。
- Synchronization Service
- Azure Active Directory Connect Health
Synchronization Service
まず初めに、Azure AD Connect が動いているサーバーで Synchronization Service を起動し動作状況を確認してください。つまり、送信側である Active Directory の情報を確認します。
Azure Active Directory Connect Health
次に、Azure Active Directory の管理画面から動作状況を確認してください。つまり、受信側である Azure Active Directory の情報を確認します。
通常であればエラー等は出ていないはずです。
既存 Azure AD Connect 設定のエクスポート
1台構成で行うインプレース アップグレードでも、2台構成で行うスウィング移行のどちらも既存の Azure AD Connect から設定をエクスポートします。
インプレース アップグレード・スウィング移行 共通
手順に従って進めるだけですので悩む必要はありません。
エクスポートに成功すると JSON ファイルが作成されます。このファイルを新サーバーに構築する Azure AD Connect に読み込ませると、既存とそっくりそのままな環境が出来上がります。
既存環境をステージング モード有効
インプレース アップグレード の場合
インプレースアップグレードの場合は、上書きインストールのため、ステージングモードの作業はありません。
次のステップに進んでください。
スウィング移行 の場合
既存環境の Azure AD Connect による同期と停止させる必要があります。サーバーをシャットダウンすれば、ステージングモードに移行させる必要はありません。
新旧の Azure AD Connect が動作すると、マイクロソフトの説明では不具合が生じると記載されていますので、不測の事態を防止するためにもステージングモードを有効化させてください。
「ステージングモードを有効にする」にチェックをいれます。
最新 Azure AD Connect のインストール
インプレース アップグレード の場合
既存環境に対して Azure AD Connect のバージョンアップを実施します。既存の Azure AD Connect をアンインストールして、最新版をインストールする流れになります。
最新版 Azure AD Connect のインストーラーを実行すると、既存を削除してから最新版がインストールが始まります。
手順はスウィング移行の手順を参照してください
スウィング移行 の場合
新サーバーに対して Azure AD Connect のインストールを実施します。既存環境に影響を与えずに作業を進めることができます。
最新版 Azure AD Connect のインストーラーを実行するだけなので簡単です。さらに、既存環境から設定をインポートするとアカウントの認証情報を入力だけで作業は完了します。
- 「同期設定をインポート」にチェックを入れて進めます。
- Azure AD グローバル管理者またはハイブリットIDの管理者の資格情報を入力してください。
アイコンがエラーになっていた場合は「資格情報の変更」ボタンで次に進みます
Azure Active Directoryの管理者の資格情報を入力してください。
インストールが完了すると、ステージングモードが有効化され同期処理が実行されます。
新環境のステージング モード無効化
インストールは、ステージングモード有効化にチェックが入っています。ステージングモードでで同期エラーなければ、ステージングモードを無効化させて同期処理を実施します。
- 「ステージングモードを有効にする」にチェックを外します。
同期処理にエラーがでなければオンプレミスのActive DirectoryとAzure ADの間でオブジェクトの同期が完了です。
Synchronization Service を起動し動作状況を確認してください。
インストールでのトラブル一覧
誰もが陥る落とし穴コーナーです。インストール設定で一番重要な情報といっても過言ではないです。先人の血と汗の結晶をを参考にして悩む時間を短くしてください。
エンタープライズ、ドメイン管理者アカウントを同期アカウントに出来ない(Active Directory)
はい、出ました!今まで動いていたのにアクセス権エラーで進まない。最近の あるある エラーですね。
エンタープライズまたはドメイン管理者アカウントをAD フォレスト アカウントに使用することは許可されていません。Azure AD Connect でアカウントを作成するか、適切なアクセス許可を持つあかんとを指定してください。
Actvie Directoryに登録されている、 Azure AD Connect で利用するアカウントのセキュリティ権限が強すぎでエラーになりました。
Actvie Directory のアクセス権を見直してください。私の環境では次のグループ権限が怪しかったので権限を削除しました。
- Domain Admins
- Enterprise Admins
ADの同期を確実にするために「Domain Admins」と「Enterprise Admins」のグループを外して少し時間を空けました。
このグループ権限を外すことで、次に進むことが出来るようになります。
ドメインコントローラーへの接続が付加
結論を先に記載すると、私の環境では原因不明のエラーでした。再実行したら次に進むことができました。
パスワード間違えたのかな~
「ドメイン名」という名前のフォレストに関連つけられているドメイン コントローラーへの接続を確立できません。次の項目をご確認ください:
– 指定した資格情報(ユーザー名とパスワード)が正しいかどうか
– これらの DC で UDP および TCP ポート 389 が開かれているかどうか(この手動チェックは、ドメイン コントローラーごとに「セキュリティが強化された Windows ファイアウォール」ウィンドウで実行する必要があります)
Actvie Directory のファイアウォール設定を確認してください。原因となるようなものが無ければ、私と同じように再実行したら次に進むと思います。
管理者の役割が必要(MicroSoft 365)
最後に出力されたエラーで絶望しました。今までのエラーはアタリがつけられましたがコレはわからん。ログを読んでも「内部の問題」と記載されているだけ。
以前のインストールで完了しなかったシナリオを再開しようとしています。アンインストールしてから、もう一度やりなおしてください。
この原因は MicroSoft 365 側の権限不足です。MicroSfot 管理センターからアカウントに管理者権限を付与してください。
あとがき
Azure AD Connect は問題無く動作し続けているので放置しがちです。たまには情報収集をしないと利用バージョンのサポートが終了している可能性がありますので気をつけてください。
スウィング移行でバージョンアップすればリスクを下げて実施できます