Guida: Come Migrare AD Connect su un Nuovo Server

Questo articolo mostrerà come spostare Azure AD Connect su un altro server.

Perché migrare? Lo scenario

Nel nostro esempio, Azure AD Connect è in esecuzione su Windows Server 2012 R2 e non è possibile eseguire un aggiornamento in place ad Azure AD Connect V2 perché questa versione richiede Windows Server 2016 o versioni successive. E’ necessario quindi eseguire la migrazione di Azure AD Connect ad un altro server, nuovo o esistente che sia.

Che cos’è AD Connect?

Azure AD Connect è uno strumento per sincronizzare l’Active Directory locale con Microsoft Azure AD. La procedura guidata distribuisce e configura i prerequisiti e i componenti necessari per la connessione, inclusi la sincronizzazione e l’accesso.

Principali modifiche di Azure AD Connect V2.0

Queste sono le novità significative in Azure AD Connect V2.0 rispetto alla versione precedente:

• DB locale di SQL Server 2019
• Libreria di autenticazione MSAL
• Visual C++ Redist 14
• TLS 1.2
• Tutti i file binari firmati con SHA2
• Windows Server 2012 e Windows Server 2012 R2 non sono più supportati
• PowerShell 5.0

Leggi la documentazione ufficiale di Azure AD Connect V2.0 .

Iniziamo la migrazione

Iniziamo la nostra migrazione accedendo al vecchio server Azure AD Connect; qui eseguiremo alcuni passaggi per annotare le impostazioni di Azure AD Connect che poi verranno rispecchiate sul nuovo server.

Nel nostro esempio, il nome del vecchio server è SERVERDC1.

Esporta la configurazione di Azure AD Connect

Prima di eseguire la migrazione di Azure AD Connect a un altro server, è necessario esportare il file di configurazione di Azure AD Connect. In questo file saranno contenuti informazioni importanti come gli account utilizzati e i parametri di sincronizzazione.

• Avviare Microsoft Azure Active Directory Connect dal menu dei programmi. Fare clic su Configura .

• Fare clic su Visualizza o esporta la configurazione corrente . Fare clic su Avanti .

• Fai clic su Esporta impostazioni .

Nota: eseguire l'aggiornamento ad Azure AD Connect V1.6.16.0 se non viene visualizzata l' opzione "Export Settings" .

• Salvare o copiare il file .json in un percorso accessibile dal nuovo server Windows su cui verrà installato Azure AD Connect.

Nel nostro esempio, il nuovo Windows Server è SERVER3 .

Controllare le impostazioni di accesso utente di Azure AD Connect

• Torna alle Attività aggiuntive . Fai clic su Modifica accesso utente . Fare clic su Avanti .

• Dopo aver effettuato l’accesso con le credenziali di amministratore, annotare le impostazioni di accesso dell’utente, non incluse nel file esportato in precedenza. Dovremo fornire queste impostazioni nell’installazione guidata di Azure AD Connect sul nuovo Windows Server.

Colleghiamoci al nuovo server Azure AD Connect per iniziare l’installazione

Accedere ora al server Windows che ospiterà Azure AD Connect. Eseguire i passaggi per importare le impostazioni di configurazione di Azure AD e installare Azure AD Connect.

Nel nostro esempio, è il server SERVER3 .

Abilita TLS 1.2 nel server Azure AD Connect

Prima di avviare l’installazione di Azure AD Connect V2.x, è necessario abilitare TLS 1.2 nel server Azure AD Connect. Se non lo facciamo, otterremo il seguente messaggio di errore durante l’installazione.

Fai riferimento a questo documento per ulteriori informazioni sui passaggi da eseguire per abilitare TLS 1.2 sul tuo server. Dopo aver configurato TLS 1.2, eseguire la procedura guidata AADConnect per continuare con l’installazione e la configurazione.
Per abilitare TLS 1.2:

• Eseguire PowerShell ISE come amministratore nel nuovo server. 
• Copia lo script sottostante

If (-Not (Test-Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319')) {
    New-Item 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SystemDefaultTlsVersions' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\.NETFramework\v4.0.30319' -Name 'SchUseStrongCrypto' -Value '1' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

If (-Not (Test-Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client')) {
    New-Item 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Force | Out-Null
}
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'Enabled' -Value '1' -PropertyType 'DWord' -Force | Out-Null
New-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client' -Name 'DisabledByDefault' -Value '0' -PropertyType 'DWord' -Force | Out-Null

Write-Host 'TLS 1.2 has been enabled. You must restart the Windows Server for the changes to take effect.' -ForegroundColor Cyan

• Incolla lo script in PowerShell ISE ed eseguilo

Scarica e Installa Azure AD Connect V2

• Scaricare l’ultima versione disponibile di Azure AD Connect tramite il Centro download di Microsoft.

• Fare doppio clic sul file AzureADConnect.msi e lasciare che il programma di installazione estragga i file. 
  Una volta terminato accetta i termini della licenza e fai clic su Continua .

• Fare clic su Customize per un’installazione personalizzata, in questo modo potremo importare la configurazione del server precedente.

Importa le impostazioni di sincronizzazione

• Selezionare la casella di controllo Import sync settings e passare il file .json di Azure AD Connect esportato in precedenza.
• Fare clic su Install.

Impostazioni di accesso dell’utente

• Selezionare le stesse impostazioni di accesso utente (User sign-in) annotate in precedenza dal vecchio server Azure AD Connect. Nel nostro esempio, il metodo di accesso è Password Hash Synchronization, voi rispettate i vostri parametri.
  Fare clic su Avanti .

Connettiti ad Azure AD

Con Azure AD Connect V1, era necessario utilizzare un account con il ruolo di amministratore globale per connettersi ad Azure AD. In Azure AD Connect V2 è invece sufficiente usare un account utente con il ruolo utente Amministratore identità ibrida.

Ricordiamo che per assegnare ruoli agli utenti -> Accedere al portale di Azure AD > Passare ad Azure Active Directory > Ruoli e amministratori > Cerca il ruolo Amministratore identità ibrida > Assegna l’account al ruolo.

• Immettere le credenziali di amministratore globale/amministratore dell’identità ibrida e fare clic su Avanti .

Collega le directory

• È possibile ottenere un errore che non può connettersi ad Active Directory. Fare clic su Modifica credenziali .

Nella schermata successiva ci verrà richiesto di connettere la directory locale.
Abbiamo due opzioni:

• Crea nuovo account AD: Azure AD Connect creerà un account del connettore di Servizi di dominio Active Directory (MSOL_xxxxxxxxxx) in AD con tutte le autorizzazioni necessarie.
• Usa account AD esistente: fornire un account esistente con le autorizzazioni richieste.

Entrambe le opzioni sono percorribili, il primo caso va a creare un nuovo utente MSOL_ all’interno della nostra Active Directory locale e in automatico va a fornire tutti i permessi necessari per sincronizzare gli utenti. Con la seconda opzione si può invece sfruttare l’account MSOL_xxxxxxxxxx già esistente che ha già tutti i permessi necessari.

Nel nostro caso sfruttiamo l’account esistente MSOL_xxxxxxxxxxx già utilizzato dal vecchio server. Ma come facciamo senza password?
L’account MSOL_xxxxxxxxxxx è un utente di dominio quindi andremo a resettare la password del account all’interno della nostra active Directory locale.

• Colleghiamoci al Domain Controller e apriamo il tool Active Directory Users and Computers
• Individuiamo all’interno della OU Users il nostro utente e tramite il tasto destro selezionare Reset Password in modo da impostarne una noi.

Dopodiché torniamo sul vecchio server e andiamo a impostare la nuova password per evitare che la sync venga sospesa a causa delle credenziali non più valide.

• Apriamo quindi Synchronization Service Manager e in Connectors selezioniamo la voce relativa all’AD locale.
  Tasto destro> Properties> Connect to Active Directory Forest e andiamo ad inserire le credenziali con la nuova password.

• Una volta terminato Cliccare Ok
• Per evitare che la vecchia password resti memorizzata in cache riavviamo il servizio Microsoft Azure AD Sync.

Torniamo ora all’istallazione guidata sul nuovo server

• Inseriamo le credenziali, compresa la password appena reimpostata.

• L’Active Directory locale è stato aggiunto correttamente. Fare clic su Avanti .

Tutto pronto per terminare l’installazione

• Assicurati di selezionare entrambe le caselle di controllo. La seconda spunta abilita la staging mode evitando conflitti di sincronizzazione con il vecchio server. Fare clic su Installa.

• Attendere il completamento dell’istallazione di Azure AD Connect.

Dopo qualche minuto la configurazione di Azure AD Connect sarà completata e il processo di sincronizzazione iniziale verrà avviato. Fare clic su Esci .

Verificare la sincronizzazione di Azure AD Connect

Verificare che Azure AD Connect V2 sia installato correttamente e che la sincronizzazione iniziale sia stata eseguita con successo.

• Avviare il Synchroniztion Service Manager dal menu dei programmi del nostro SERVERDC3. Fare clic nella barra dei menu su Aiuto > Informazioni su.
• Verificare che lo stato della sincronizzazione mostri lo stato success. Non dovrebbe mostrare errori o problemi di autorizzazione. Ricordiamo che il nostro server è temporaneamente in staging mode quindi nessun dato verrà esportato nelle due directory.

Abilita la modalità di staging sul vecchio server

Ora che il nuovo server è pronto andremo a fare lo switch per renderlo attivo, ma prima rechiamoci sul vecchio SERVERDC1 per abilitare la staging mode.

• Avviare Microsoft Azure Active Directory Connect . Fare clic su Configura e selezionare Configura modalità staging . Fare clic su Avanti .

• Immettere le credenziali dell’amministratore globale di Azure AD o dell’amministratore dell’identità ibrida. Fare clic su Avanti .

• Seleziona la casella di controllo Abilita modalità staging . Fare clic su Avanti .

• Selezionare la casella di controllo Avvia il processo di sincronizzazione al termine della configurazione . Fare clic su configura .

• La modalità di staging è abilitata correttamente nel vecchio server Azure AD Connect. Fare clic su Esci .

Disabilita la modalità di Staging sul nuovo server

Ora che il vecchio server è in staging possiamo procedere rendendo il nuovo server SERVERDC3. I passaggi da seguire sono analoghi a quelli precedenti, l’unica differenza è che andremo a toglier il check anzichè metterlo.

• Nel nuovo server avviare Microsoft Azure Active Directory Connect . 
• Fare clic su Configura e selezionare Configura modalità staging . Fare clic su Avanti .

• Immettere le credenziali dell’amministratore globale di Azure AD o dell’amministratore dell’identità ibrida. Fare clic su Avanti .
• Deseleziona la casella di controllo Abilita modalità staging . Fare clic su Avanti .

• Selezionare la casella di controllo Avvia il processo di sincronizzazione al termine della configurazione . Fare clic su configura .

• La modalità di staging è stata disabilitata correttamente nel nuovo server Azure AD Connect. Fare clic su Esci .

Controllare la sincronizzazione di Azure AD Connect

• Avviare il servizio di sincronizzazione di Azure Active Directory . Verificare che lo stato della sincronizzazione sia success e che non ci siano errori.

Accedi all’interfaccia di amministrazione di Microsoft 365 . Fare clic sullo stato della sincronizzazione nel riquadro Azure AD Connect .

Lo stato di sincronizzazione della directory mostra la versione del client di sincronizzazione della directory e l’account del servizio di sincronizzazione della directory.

E’ possibile passare a Health > Directory sync status  per controllare maggiori dettagli della sincronizzazione.

Prossimi passaggi

Gli ultimi passaggi di cui ti vuoi occupare sul vecchio server Azure AD Connect sono:

• Disattivare la sincronizzazione della directory AD locale.
  Aprire powershell ed eseguire Set-ADSyncScheduler -SyncCycleEnabled $false
• Disinstallare Azure AD Connect dal pannello di Controllo.

N.B. : Puoi anche pensare di arrestare il vecchio server Azure AD Connect per un paio di giorni per ogni evenienza e, dopo essersi accertati che tutto funziona come previsto, decidere di disinstallare Azure AD Connect.

Link utili

https://learn.microsoft.com/it-it/azure/active-directory/hybrid/connect/whatis-azure-ad-connect