Voraussetzungen für Azure AD ConnectPrerequisites for Azure AD Connect

Dieses Thema beschreibt die Voraussetzungen und die Hardwareanforderungen für Azure AD Connect.This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Vor der Installation von Azure AD ConnectBefore you install Azure AD Connect

Vor der Installation von Azure AD Connect gibt es einige Dinge, die Sie benötigen.Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Ein Azure-Abonnement oder ein Azure-Testabonnement.An Azure subscription or an Azure trial subscription. Dieses Abonnement ist nur für den Zugriff auf das Azure-Portal und nicht für die Verwendung von Azure AD Connect erforderlich.This subscription is only required for accessing the Azure portal and not for using Azure AD Connect. Bei Verwendung von PowerShell oder Office 365 benötigen Sie für Azure AD Connect kein Azure-Abonnement.If you are using PowerShell or Office 365, then you do not need an Azure subscription to use Azure AD Connect. Wenn Sie über eine Office 365-Lizenz verfügen, können Sie auch das Office 365-Portal verwenden.If you have an Office 365 license, then you can also use the Office 365 portal. Mit einer kostenpflichtigen Office 365-Lizenz können Sie auch über das Office 365-Portal auf das Azure-Portal zugreifen.With a paid Office 365 license, you can also get into the Azure portal from the Office 365 portal.
    • Sie können auch das Azure-Portal verwenden.You can also use the Azure portal. Für dieses Portal ist keine Azure AD-Lizenz erforderlich.This portal does not require an Azure AD license.
  • Fügen Sie die Domäne hinzu , die Sie in Azure AD verwenden möchten, und überprüfen Sie sie.Add and verify the domain you plan to use in Azure AD. Wenn Sie beispielsweise planen, „contoso.com“ für Ihre Benutzer zu verwenden, sollten Sie sicherstellen, dass diese Domäne überprüft wurde und nicht nur die Standarddomäne „contoso.onmicrosoft.com“ verwendet wird.For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • In einem Azure AD-Mandanten sind standardmäßig 50.000 Objekte zulässig.An Azure AD tenant allows by default 50k objects. Wenn Sie Ihre Domäne verifizieren, wird der Grenzwert auf 300.000 Objekte erhöht.When you verify your domain, the limit is increased to 300k objects. Wenn Sie noch mehr Objekte in Azure AD benötigen, müssen Sie eine Supportanfrage stellen, um den Grenzwert noch weiter zu erhöhen.If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. Wenn Sie mehr als 500.000 Objekte verwalten müssen, benötigen Sie eine Lizenz, z.B. für Office 365, Azure AD Basic, Azure AD Premium oder Enterprise Mobility and Security.If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.

Vorbereiten Ihrer lokalen DatenPrepare your on-premises data

Lokales Active DirectoryOn-premises Active Directory

  • Die AD-Schemaversion und Funktionsebene der Gesamtstruktur müssen Windows Server 2003 oder höher entsprechen.The AD schema version and forest functional level must be Windows Server 2003 or later. Die Domänencontroller können eine beliebige Version ausführen, solange die Anforderungen an Schema und Gesamtstrukturebene erfüllt werden.The domain controllers can run any version as long as the schema and forest level requirements are met.
  • Wenn Sie das Feature Kennwortrückschreiben verwenden möchten, müssen die Domänencontroller unter Windows Server 2008 (mit dem neuesten Service Pack) oder höher ausgeführt werden.If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 (with latest SP) or later. Falls Ihre Domaincontroller unter 2008 (vor R2) ausgeführt werden, müssen Sie auch den Hotfix KB2386717 anwenden.If your DCs are on 2008 (pre-R2), then you must also apply hotfix KB2386717.
  • Der von Azure AD verwendete Domänencontroller darf nicht schreibgeschützt sein.The domain controller used by Azure AD must be writable. Die Verwendung eines schreibgeschützten Domänencontrollers wird nicht unterstützt, und Azure AD Connect folgt keinen Umleitungen für Schreibvorgänge.It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • Die Verwendung lokaler Gesamtstrukturen/Domänen unter Einsatz einteiliger Domänen wird nicht unterstützt.It is not supported to use on-premises forests/domains using SLDs (Single Label Domains).
  • Die Verwendung lokaler Gesamtstrukturen/Domänen mit NetBios-Namen, die einen Punkt (.) enthalten, wird nicht unterstützt.It is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • Es wird empfohlen, den Active Directory-Papierkorb zu aktivieren.It is recommended to enable the Active Directory recycle bin.

Azure AD Connect-ServerAzure AD Connect server

  • Azure AD Connect kann nicht auf dem Small Business Server oder Windows Server Essentials installiert werden.Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials. Der Server muss Windows Server Standard oder höher verwenden.The server must be using Windows Server standard or better.
  • Auf dem Azure AD Connect Server muss eine vollständige GUI installiert sein.The Azure AD Connect server must have a full GUI installed. Eine Installation unter Server Core wird nicht unterstützt.It is not supported to install on server core.
  • Azure AD Connect muss unter Windows Server 2008 oder höher installiert werden.Azure AD Connect must be installed on Windows Server 2008 or later. Dieser Server kann bei Verwendung der Expresseinstellungen ein Domänencontroller oder ein Mitgliedsserver sein.This server may be a domain controller or a member server when using express settings. Wenn Sie benutzerdefinierte Einstellungen verwenden, kann der Server auch eigenständig sein und muss nicht in eine Domäne eingebunden werden.If you use custom settings, then the server can also be stand-alone and does not have to be joined to a domain.
  • Wenn Sie Azure AD Connect unter Windows Server 2008 oder Windows Server 2008 R2 installieren, achten Sie darauf, die neuesten Hotfixes über Windows Update anzuwenden.If you install Azure AD Connect on Windows Server 2008 or Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. Die Installation kann mit einem nicht gepatchten Server nicht gestartet werden.The installation is not able to start with an unpatched server.
  • Wenn Sie die Kennwortsynchronisierungverwenden möchten, muss der Azure AD Connect-Server unter Windows Server 2008 R2 SP1 oder höher ausgeführt werden.If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.
  • Wenn Sie planen, ein gruppenverwaltetes Dienstkonto zu verwenden, muss auf dem Azure AD Connect-Server Windows Server 2012 oder höher ausgeführt werden.If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.
  • Der Azure AD Connect-Server muss über .NET Framework 4.5.1 oder höher verfügen, und es muss Microsoft PowerShell 3.0 oder höher installiert sein.The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.
  • Auf dem Azure AD Connect-Server darf nicht die Gruppenrichtlinie für die PowerShell-Aufzeichnung aktiviert sein.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.
  • Wenn Active Directory-Verbunddienste bereitgestellt werden, müssen die Server, auf denen die Active Directory-Verbunddienste oder der Webanwendungsproxy installiert werden, Windows Server 2012 R2 oder höher ausführen.If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. Windows-Remoteverwaltung muss auf diesen Servern zur Remoteinstallation aktiviert werden.Windows remote management must be enabled on these servers for remote installation.
  • Wenn Active Directory-Verbunddienste bereitgestellt werden, benötigen Sie SSL-Zertifikate.If Active Directory Federation Services is being deployed, you need SSL Certificates.
  • Wenn Active Directory-Verbunddienste bereitgestellt werden, müssen Sie die Namensauflösungkonfigurieren.If Active Directory Federation Services is being deployed, then you need to configure name resolution.
  • Wenn Ihre globalen Administratoren MFA aktiviert haben, muss die URL https://secure.aadcdn.microsoftonline-p.com in der Liste vertrauenswürdiger Websites enthalten sein.If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. Sie werden aufgefordert, diese Website der Liste vertrauenswürdigen Websites hinzuzufügen, wenn Sie zu einem MFA-Captcha aufgefordert werden und diese zuvor noch nicht hinzugefügt wurde.You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. Sie können dafür den Internet Explorer verwenden.You can use Internet Explorer to add it to your trusted sites.

Von Azure AD Connect verwendete SQL Server-DatenbankSQL Server used by Azure AD Connect

  • Azure AD Connect erfordert eine SQL Server-Datenbank zum Speichern von Identitätsdaten.Azure AD Connect requires a SQL Server database to store identity data. Standardmäßig wird SQL Server 2012 Express LocalDB (eine einfache Version von SQL Server Express) installiert.By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. Für SQL Server Express gilt ein 10-GB-Limit, mit dem Sie etwa 100.000 Objekte verwalten können.SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. Wenn Sie eine höhere Anzahl von Verzeichnisobjekten verwalten möchten, müssen Sie im Installations-Assistenten auf eine andere Version von SQL Server verweisen.If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server.
  • Wenn Sie eine separate SQL Server-Instanz verwenden, gelten die folgenden Anforderungen:If you use a separate SQL Server, then these requirements apply:
    • Azure AD Connect unterstützt sämtliche Versionen von Microsoft SQL Server – von SQL Server 2008 (mit dem neuesten Service Pack) bis SQL Server 2016 SP1.Azure AD Connect supports all flavors of Microsoft SQL Server from SQL Server 2008 (with latest Service Pack) to SQL Server 2016 SP1. Microsoft Azure SQL-Datenbank wird als Datenbank nicht unterstützt.Microsoft Azure SQL Database is not supported as a database.
    • Sie müssen eine SQL-Sortierung ohne Berücksichtigung der Groß- und Kleinschreibung verwenden.You must use a case-insensitive SQL collation. Diese Sortierungen werden durch „_CI_“ in ihrem Namen bestimmt.These collations are identified with a _CI_ in their name. Eine Sortierung mit Berücksichtigung der Groß- und Kleinschreibung und „_CS_“ im Namen wird nicht unterstützt.It is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • Sie können jeweils nur ein Synchronisationsmodul pro SQL-Instanz haben.You can only have one sync engine per SQL instance. Die Freigabe einer SQL-Instanz mit FIM/MIM Sync, DirSync oder Azure AD Sync wird nicht unterstützt .It is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

KontenAccounts

  • Ein globales Azure AD-Administratorkonto für den Azure AD-Mandanten, in den die Integration erfolgen soll.An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. Bei diesem Konto muss es sich um ein Geschäfts-, Schul- oder Unikonto handeln, und es darf kein Microsoft-Konto sein.This account must be a school or organization account and cannot be a Microsoft account.
  • Wenn Sie Expresseinstellungen verwenden oder ein Upgrade von DirSync durchführen, müssen Sie über ein Enterprise-Administratorkonto für Ihr lokales Active Directory verfügen.If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your local Active Directory.
  • Konten in Active Directory, wenn Sie den Installationspfad für benutzerdefinierte Einstellungen verwenden.Accounts in Active Directory if you use the custom settings installation path.

KonnektivitätConnectivity

  • Der Azure AD Connect-Server benötigt die DNS-Auflösung sowohl für das Intranet als auch für das Internet.The Azure AD Connect server needs DNS resolution for both intranet and internet. Der DNS-Server muss Namen sowohl zu Ihrem lokalen Active Directory als auch zu den Azure AD-Endpunkten auflösen können.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • Wenn Sie in Ihrem Intranet Firewalls verwenden und die Ports zwischen den Azure AD Connect-Servern und Ihren Domänencontrollern öffnen müssen, finden Sie Informationen hierzu unter Azure AD Connect-Ports.If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • Wenn Ihr Proxy oder Ihre Firewall den Zugriff auf bestimmte URLs beschränkt, müssen die unter URLs und IP-Adressbereiche von Office 365 dokumentierten URLs geöffnet werden.If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • Azure AD Connect (Version 1.1.614.0 und höher) verwendet standardmäßig TLS 1.2 für die Verschlüsselung der Kommunikation zwischen dem Synchronisierungsmodul und Azure AD.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. Wenn TLS 1.2 auf dem zugrunde liegenden Betriebssystem nicht verfügbar ist, greift Azure AD Connect schrittweise auf älter Protokolle zurück (TLS 1.1 und TLS 1.0).If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0). Azure AD Connect, das auf Windows Server 2008 ausgeführt wird, verwendet z.B. TLS 1.0, da Windows Server 2008 TLS 1.1 oder TLS 1.2 nicht unterstützt.For example, Azure AD Connect running on Windows Server 2008 uses TLS 1.0 because Windows Server 2008 does not support TLS 1.1 or TLS 1.2.
  • Vor der Version 1.1.614.0 verwendet Azure AD Connect standardmäßig TLS 1.0 für die Verschlüsselung der Kommunikation zwischen dem Synchronisierungsmodul und Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. Folgen Sie zur Änderung in TLS 1.2 den Schritten in Aktivieren von TLS 1.2 für Azure AD Connect.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • Wenn Sie einen ausgehenden Proxy für die Verbindung mit dem Internet verwenden, muss die folgende Einstellung in der Datei C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config für den Installations-Assistenten und die Azure AD Connect-Synchronisierung hinzugefügt werden, um die Verbindung mit dem Internet und Azure AD zu ermöglichen.If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. Dieser Text muss am Ende der Datei eingegeben werden.This text must be entered at the bottom of the file. In diesem Codeabschnitt steht <PROXYADDRESS> für die Proxy-IP-Adresse oder den Hostnamen.In this code, <PROXYADRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Wenn für den Proxyserver eine Authentifizierung erforderlich ist, muss sich das Dienstkonto in der Domäne befinden, und Sie müssen den Installationspfad aus den benutzerdefinierten Einstellungen zur Angabe eines benutzerdefinierten Dienstkontos verwenden.If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. Außerdem müssen Sie in „machine.config“ eine weitere Änderung vornehmen. Durch diese Änderung in „machine.config“ antworten der Installations-Assistent und das Synchronisierungsmodul auf Authentifizierungsanfragen des Proxyservers.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. Auf allen Seiten des Installations-Assistenten mit Ausnahme der Seite Konfigurieren werden die Anmeldeinformationen des angemeldeten Benutzers verwendet.In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. Auf der Seite Konfigurieren am Ende des Installations-Assistenten wird der Kontext in das von Ihnen erstellte Dienstkonto geändert.On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. Im Abschnitt „machine.config“ sollte wie folgt aussehen.The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Wenn Azure AD Connect im Rahmen der Verzeichnissynchronisierung eine Webanforderung an Azure AD sendet, kann es bis zu 5 Minuten dauern, bis Azure AD antwortet.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. In der Regel ist auf Proxyservern das Leerlauftimeout für Verbindungen konfiguriert.It is common for proxy servers to have connection idle timeout configuration. Stellen Sie sicher, dass die Konfiguration auf mindestens 6 Minuten festgelegt ist.Please ensure the configuration is set to at least 6 minutes or more.

Weitere Informationen zum defaultProxy-Element finden Sie bei MSDN.For more information, see MSDN about the default proxy Element.
Informationen zu Problemen mit der Konnektivität finden Sie unter Beheben von Konnektivitätsproblemen.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

SonstigeOther

  • Optional: Ein Testbenutzerkonto zur Überprüfung der Synchronisierung.Optional: A test user account to verify synchronization.

Voraussetzungen an KomponentenComponent prerequisites

PowerShell und .NET FrameworkPowerShell and .Net Framework

Azure AD Connect ist abhängig von Microsoft PowerShell und .NET Framework 4.5.1.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. Auf dem Server muss diese Version oder eine neuere Version installiert sein.You need this version or a later version installed on your server. Führen Sie abhängig von Ihrer Windows Server-Version folgende Schritte aus:Depending on your Windows Server version, do the following:

  • Windows Server 2012 R2Windows Server 2012R2
    • Microsoft PowerShell ist standardmäßig installiert.Microsoft PowerShell is installed by default. Es ist keine Aktion erforderlich.No action is required.
    • .NET Framework 4.5.1 und neuere Versionen werden über Windows Update angeboten..NET Framework 4.5.1 and later releases are offered through Windows Update. Stellen Sie in der Systemsteuerung sicher, dass die neuesten Updates von Windows Server installiert sind.Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008 R2 und Windows Server 2012Windows Server 2008R2 and Windows Server 2012
  • Windows Server 2008Windows Server 2008

Aktivieren von TLS 1.2 für Azure AD ConnectEnable TLS 1.2 for Azure AD Connect

Vor der Version 1.1.614.0 verwendet Azure AD Connect standardmäßig TLS 1.0 für die Verschlüsselung der Kommunikation zwischen dem Server mit dem Synchronisierungsmodul und Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. Sie können dies ändern, indem Sie Ihre .NET-Anwendungen auf dem Server für die standardmäßige Verwendung von TLS 1.2 konfigurieren.You can change this by configuring .Net applications to use TLS 1.2 by default on the server. Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358.More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. TLS 1.2 kann unter Windows Server 2008 nicht aktiviert werden.TLS 1.2 cannot be enabled on Windows Server 2008. Sie benötigen Windows Server 2008 R2 oder höher.You need Windows Server 2008R2 or later. Vergewissern Sie sich, dass der .NET 4.5.1-Hotfix für Ihr Betriebssystem installiert wurde. Informationen hierzu finden Sie in der Microsoft-Sicherheitsempfehlung 2960358.Make sure you have the .Net 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. Möglicherweise ist dieser Hotfix oder eine neuere Version bereits auf dem Server installiert.You might have this hotfix or a later release installed on your server already.
  2. Wenn Sie Windows Server 2008 R2 verwenden, stellen Sie sicher, dass TLS 1.2 aktiviert ist.If you use Windows Server 2008R2, then make sure TLS 1.2 is enabled. Unter Windows Server 2012-Server und neueren Versionen sollte TLS 1.2 bereits aktiviert sein.On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
  3. Legen Sie für alle Betriebssysteme diesen Registrierungsschlüssel fest, und starten Sie den Server neu.For all operating systems, set this registry key and restart the server. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
  4. Wenn Sie TLS 1.2 auch zwischen dem Server mit dem Synchronisierungsmodul und einer SQL Server-Remoteinstanz aktivieren möchten, vergewissern Sie sich, dass die erforderlichen Versionen für die TLS 1.2-Unterstützung für Microsoft SQL Serverinstalliert sind.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Voraussetzungen für die Verbundinstallation und -konfigurationPrerequisites for federation installation and configuration

Windows-RemoteverwaltungWindows Remote Management

Überprüfen Sie bei Verwendung von Azure AD Connect für die Bereitstellung von Active Directory-Verbunddiensten oder des Webanwendungsproxys die nachfolgenden Anforderungen:When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • Wenn der Zielserver zu einer Domäne gehört, stellen Sie sicher, dass die Windows-Remoteverwaltung aktiviert ist.If the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • Verwenden Sie in einem PSH-Befehlsfenster mit erhöhten Rechten den Befehl Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
  • Wenn der Zielserver kein mit in die Domäne eingebundener WAP-Computer ist, gibt es einige zusätzliche Anforderungen.If the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • Auf dem Zielcomputer (WAP-Computer): On the target machine (WAP machine):
      • Stellen Sie sicher, dass der WinRM-Dienst (Windows-Remoteverwaltung/WS-Verwaltung) über das Dienste-Snap-In ausgeführt wird.Ensure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • Verwenden Sie in einem PSH-Befehlsfenster mit erhöhten Rechten den Befehl Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
    • Auf dem Computer, auf dem der Assistent ausgeführt wird (wenn der Zielcomputer nicht der Domäne beigetreten ist oder sich in einer nicht vertrauenswürdigen Domäne befindet):On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • Verwenden Sie in einem PSH-Befehlsfenster mit erhöhten Rechten den Befehl Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –ConcatenateIn an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • In Server Manager:In Server Manager:
        • Fügen Sie den DMZ-WAP-Host zum Computerpool hinzu (Server-Manager -> "Verwalten" -> "Server hinzufügen"-> Registerkarte "DNS verwenden").add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • Server-Manager, Registerkarte "Alle Server": Klicken Sie mit der rechten Maustaste auf "WAP-Server", und wählen Sie "Verwalten als" aus. Geben Sie dann die Anmeldeinformationen für den lokalen WAP-Computer ein (nicht für die Domäne).Server Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • Um die PSH-Remotekonnektivität zu überprüfen, klicken Sie auf der Registerkarte "Alle Server" mit der rechten Maustaste auf "WAP-Server", und wählen Sie "Windows PowerShell" aus.To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. Daraufhin sollte sich eine PSH-Remotesitzung öffnen, um sicherzustellen, dass PowerShell-Remotesitzungen hergestellt werden können.A remote PSH session should open to ensure remote PowerShell sessions can be established.

SSL-ZertifikatanforderungenSSL Certificate Requirements

  • Es wird dringend empfohlen, dasselbe SSL-Zertifikat für alle Knoten der AD FS-Farm sowie alle Webanwendungsproxy-Server zu verwenden.It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • Das Zertifikat muss ein X.509-Zertifikat sein.The certificate must be an X509 certificate.
  • Sie können ein selbstsigniertes Zertifikat für Verbundserver in einer Testumgebung verwenden.You can use a self-signed certificate on federation servers in a test lab environment. Bei einer Produktionsumgebung wird jedoch empfohlen, dass Sie das Zertifikat von einer öffentlichen Zertifizierungsstelle beziehen.However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • Wenn Sie ein Zertifikat verwenden, das nicht öffentlich vertrauenswürdig ist, stellen Sie sicher, dass dem auf jedem Webanwendungsproxy-Server installierten Zertifikat sowohl auf dem lokalen Server als auch auf allen Verbundservern vertraut wird.If using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • Die Identität des Zertifikats muss mit dem Namen des Verbunddiensts (z.B. sts.contoso.com) übereinstimmen.The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • Die Identität ist die Erweiterung eines alternativen Antragstellernamens (SAN) des Typs "dNSName". Wenn keine SAN-Einträge vorhanden sind, wird der Name des Antragstellers als allgemeiner Name angegeben.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • Im Zertifikat können mehrere SAN-Einträge hinterlegt werden, sofern einer von ihnen mit dem Namen des Verbunddiensts übereinstimmt.Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • Wenn Sie die Arbeitsbereichverknüpfung verwenden möchten, ist ein zusätzliches SAN mit dem Wert enterpriseregistration.If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. gefolgt vom Suffix UPN (User Principal Name, Benutzerprinzipalname) Ihrer Organisation erforderlich, z.B. enterpriseregistration.contoso.com.followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • Auf CNG-Schlüsseln (CryptoAPI Next Generation) und Schlüsselspeicheranbietern basierende Zertifikate werden nicht unterstützt.Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. Dies bedeutet, dass Sie ein CSP-basiertes Zertifikat (Kryptografie-Service Provider) verwenden müssen, kein Zertifikat von einem Schlüsselspeicheranbieter.This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • Platzhalterzertifikate werden unterstützt.Wild-card certificates are supported.

Namensauflösung für VerbundserverName resolution for federation servers

  • Richten Sie DNS-Einträge für den AD FS-Verbunddienstnamen (z.B. sts.contoso.com) für das Intranet (Ihr interner DNS-Server) sowie für das Extranet (öffentlicher DNS über Ihre Domänenregistrierungsstelle) ein.Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). Stellen Sie sicher, dass Sie für den Intranet-DNS-Eintrag A-Einträge und keine CNAME-Einträge verwenden.For the intranet DNS record, ensure that you use A records and not CNAME records. Dies ist notwendig, damit die Windows-Authentifizierung ordnungsgemäß von dem mit der Domäne verknüpften Computer funktioniert.This is required for windows authentication to work correctly from your domain joined machine.
  • Wenn Sie mehr als einen AD FS-Server oder Webanwendungs-Proxyserver bereitstellen, vergewissern Sie sich, dass Sie den Lastenausgleich konfiguriert haben und dass die DNS-Einträge für den AD FS-Verbunddienstnamen (z.B. „sts.contoso.com“) auf den Lastenausgleich verweisen.If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • Damit die integrierte Windows-Authentifizierung für Browseranwendungen funktioniert, die in Ihrem Intranet in Internet Explorer verwendet werden, müssen Sie sicherstellen, dass der AD FS-Verbunddienstname (z.B. „sts.contoso.com“) der Intranetzone in Internet Explorer hinzugefügt wurde.For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. Diese kann über die Gruppenrichtlinie gesteuert und für alle Ihre mit der Domäne verknüpften Computer bereitgestellt werden.This can be controlled via group policy and deployed to all your domain joined computers.

Azure AD Connect unterstützende KomponentenAzure AD Connect supporting components

Nachfolgend finden Sie eine Liste der Komponenten, die Azure AD Connect auf dem Server installiert, auf dem Azure AD Connect installiert ist.The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. Diese Liste ist für eine einfache Expressinstallation.This list is for a basic Express installation. Wenn Sie auf der Installationsseite für Synchronisierungsdienste eine andere SQL Server-Version auswählen, wird SQL Express LocalDB nicht lokal installiert.If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • Microsoft Online Services-Anmelde-Assistent für IT-Experten (installiert, aber ohne Abhängigkeit)Microsoft Online Services Sign-In Assistant for IT Professionals (installed but no dependency on it)
  • Microsoft SQL Server 2012 – BefehlszeilenprogrammeMicrosoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Express LocalDBMicrosoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native ClientMicrosoft SQL Server 2012 Native Client
  • Microsoft Visual C++ 2013 RedistributionspaketMicrosoft Visual C++ 2013 Redistribution Package

Hardwareanforderungen für Azure AD ConnectHardware requirements for Azure AD Connect

Die folgende Tabelle zeigt die Mindestanforderungen für den Azure AD Connect-Synchronisierungscomputer.The table below shows the minimum requirements for the Azure AD Connect sync computer.

Anzahl der Objekte in Active DirectoryNumber of objects in Active Directory CPUCPU ArbeitsspeicherMemory FestplattengrößeHard drive size
Weniger als 10.000Fewer than 10,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
10.000 bis 50.00010,000–50,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
50.000 bis 100.00050,000–100,000 1,6 GHz1.6 GHz 16 GB16 GB 100 GB100 GB
Für 100.000 oder mehr Objekte ist die Vollversion von SQL Server erforderlichFor 100,000 or more objects the full version of SQL Server is required
100.000 bis 300.000100,000–300,000 1,6 GHz1.6 GHz 32 GB32 GB 300 GB300 GB
300.000 bis 600.000300,000–600,000 1,6 GHz1.6 GHz 32 GB32 GB 450 GB450 GB
Mehr als 600.000More than 600,000 1,6 GHz1.6 GHz 32 GB32 GB 500 GB500 GB

Im Folgenden sind die Mindestanforderungen für Computer mit AD FS oder Webanwendungsservern aufgeführt:The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • CPU: Doppelkern mit 1,6 GHz oder mehrCPU: Dual core 1.6 GHz or higher
  • Arbeitsspeicher: mindestens 2 GBMEMORY: 2 GB or higher
  • Azure-VM: A2-Konfiguration oder höherAzure VM: A2 configuration or higher

Nächste SchritteNext steps

Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.