Si tienes Azure AD Connect, te interesa actualizarlo en breve.

 En Be+Digital, Microsoft, Sistemas

Recientemente, Microsoft ha liberado la versión 2 de su motor de sincronización AAD Connect, concretamente el 19 de agosto.

En principio esta noticia no tendría demasiada repercusión ya que entraría en la dinámica de las diferentes entregas o actualizaciones que este fabricante viene realizando para esta aplicación.

No obstante, el impacto puede ser muy importante, al punto de que se detenga tu sincronización de directorio. Profundicemos en ello.

Las versiones de AAD Connect anteriores a la 2, como la que puedes estar usando ahora, conectan con un endpoint ADAL.js en Azure. ADAL.js es la biblioteca de autenticación Active Directory para JavaScript y se usa para autenticar identidades de Azure AD y para solicitar tokens de autenticación. Hasta aquí nada nuevo en el horizonte.

Azure ADD Connect

Recientemente, Microsoft ha desplegado MSAL.js v2, la biblioteca de autenticación de Microsoft para JavaScript, que ofrece el mismo conjunto de funcionalidades que tiene ADAL.js más otras nuevas que se irán implementando en la plataforma Azure en un futuro, y que va a sustituir a ASAL.js. Aquí tienes más información: Diferencias entre MSAL.js y ADAL.js – Microsoft identity platform | Microsoft Docs

Interesante, pero… ¿En qué afecta esto a mi despliegue actual de AAD Connect?

Ten en cuenta lo siguiente:

  • Las versiones de AAD Connect anteriores a la versión 2 conectan con el endpoint de ADAL.js
  • AAD Connect versión 2.x y posteriores conectan con el endpoint de MSAL.js v2

y aquí viene el tema.

  • Microsoft retira la versión AAD Connect V1.x el 31/8/2022.
  • Microsoft retira ADAL.js el 30/6/2022, que es una fecha anterior.

En consecuencia, tenemos hasta junio de 2022 para actualizar nuestros motores AAD Connect a la versión 2.x para poder seguir sincronizando el directorio.

¿Y cómo actualizo?

Pues tenemos tres opciones que serían las siguientes:

  1. Hacer que AAD Connect se actualice solo. Esta opción está disponible si en el momento de la instalación marcaste la casilla de verificación que permite actualizar la aplicación a través de Windows Update. Es sin duda la recomendada y la más cómoda.
  2. Hacer una actualización in-place, a través del propio asistente de instalación, eligiendo la opción correspondiente.
  3. Exportar la configuración, hacer un despliegue nuevo de máquina virtual, instalar el nuevo AAD Connect en ella e importar la configuración.

Cada estrategia tiene sus ventajas e inconvenientes, pero lo más destacado tiene que ver con TLS y debes conocerlo de antemano.

Resulta que las versiones 2.x de AAD Connect establecen como exigencia el uso de TLS v1.2 y el problema el que las librerías .NET, en las que esta aplicación se apoya, predeterminan TLS v1.0, por lo que nuestro nuevo y flamante AAD Connect no conectará porque el endpoint de Azure exige el uso de TLS 1.2. Este cambio no lo hace el asistente de instalación, porque podría tener efectos colaterales no deseados con otras aplicaciones del servidor.

La solución pasa por predeterminar TLS 1.2. Para ello Microsoft pone a nuestra disposición un script de PowerShell que lo hace rápidamente y que está aquí: Azure AD Connect: TLS 1.2 enforcement for Azure Active Directory Connect | Microsoft Docs

ADD Connect v2.x tiene otros prerrequisitos que también deben ser tenidos en cuenta, sobre todo si tu motor de actualización está en un servidor de Windows un poco antiguo. Requiere al menos Windows Server 2016. Esta es la lista completa de requisitos: Azure AD Connect: Prerequisites and hardware | Microsoft Docs

Otra alternativa de sincronización

Me refiero a AAD Cloud Sync, que ya lleva un par de años entre nosotros. Con esta solución, el motor de sincronización NO SE INSTALA on-prem, sino que es una solución desplegada en el Cloud de Azure. En nuestras instalaciones, lo único que tenemos que hacer es instalar un agente muy ligero que permita la comunicación, pero toda la administración se hace desde Azure. Si esta es tu solución, no debes preocuparte por nada de lo tratado en este artículo, pues no afecta al estar el servicio en la nube.

Connect Cloud Sync

En mi experiencia, la inmensa mayoría usamos AAD Connect, pero apoyándome también en ella, tengo claro que a medio plazo migraremos a Cloud Sync. Si quieres ir aprendiendo sobre él, puedes hacerlo en este sitio: What is Azure AD Connect cloud sync. | Microsoft Docs

En resumen, tienes que hacer estos cambios menores y dispones de 10 meses desde la fecha de publicación de este artículo. De no hacerlo en tiempo y forma el impacto es muy alto, así que nada, a actualizar tu ADD Connect.

/En Avante somos partner de formación oficial Microsoft y especialistas en Azure. No dudes en contactar con nosotros para abordar tu plan de capacitación en entornos Microsoft/

Recommended Posts

Dejar un comentario

Escriba lo que desea buscar y pulse ENTER

Formulario de contacto

    “AVANTE FORMACIÓN SLL, como responsable del tratamiento, tratará los datos que aporte en este formulario para la gestión y respuesta de las consultas planteadas. Tiene derecho a ejercer los derechos de acceso, rectificación, supresión y oposición sobre el tratamiento de sus datos a través de la dirección de correo electrónico formacion@avante.es y ante a la Agencia Española de Protección de Datos. Puede consultar información más detallada en nuestra política de privacidad”

    He leído y acepto la política de privacidad.

    ×
    Big data para la empresa