Benutzerdefinierte Installation von Azure AD ConnectCustom installation of Azure AD Connect

Die benutzerdefinierten Einstellungen von Azure AD Connect werden verwendet, wenn Sie mehr Optionen für die Installation benötigen.Azure AD Connect Custom settings is used when you want more options for the installation. Sie kommen zum Einsatz, wenn Sie über mehrere Gesamtstrukturen verfügen oder optionale Features konfigurieren möchten, die nicht Teil der Expressinstallation sind.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Sie werden in allen Fällen verwendet, in denen die Option Expressinstallation für Ihre Bereitstellung oder Topologie nicht ausreicht.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Vor dem Installieren von Azure AD Connect müssen Sie Azure AD Connect herunterladen und die im folgenden Artikel beschriebenen Schritte zur Vorbereitung ausführen: Azure AD Connect: Hardware und Voraussetzungen.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Stellen Sie außerdem sicher, dass die erforderlichen Konten verfügbar sind. Dies ist unter AzureAD Connect-Konten und -Berechtigungen beschrieben.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Wenn die benutzerdefinierten Einstellungen nicht zu Ihrer Topologie passen, z.B. in Bezug auf die DirSync-Aktualisierung, helfen Ihnen die Szenarios in der verwandten Dokumentation weiter.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Installation von Azure AD Connect mit benutzerdefinierten EinstellungenCustom settings installation of Azure AD Connect

ExpresseinstellungenExpress Settings

Klicken Sie auf dieser Seite auf Anpassen , um eine Installation mit benutzerdefinierten Einstellungen zu starten.On this page, click Customize to start a customized settings installation.

Installieren der erforderlichen KomponentenInstall required components

Bei der Installation der Synchronisierungsdienste können Sie den optionalen Konfigurationsabschnitt deaktiviert lassen, sodass Azure AD Connect alles automatisch einrichtet.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Azure AD Connect richtet eine SQL Server 2012 Express LocalDB-Instanz ein, erstellt die entsprechenden Gruppen und weist Berechtigungen zu.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Wenn Sie die Standardeinstellungen ändern möchten, können Sie sich in der folgenden Tabelle über die verfügbaren optionalen Konfigurationsoptionen informieren.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Erforderliche Komponenten

Optionale KonfigurationOptional Configuration BESCHREIBUNGDescription
Verwenden eines vorhandenen SQL ServersUse an existing SQL Server Ermöglicht Ihnen die Angabe des SQL-Servernamens und des Instanznamens.Allows you to specify the SQL Server name and the instance name. Wählen Sie diese Option aus, wenn Sie bereits über einen Datenbankserver verfügen, den Sie verwenden möchten.Choose this option if you already have a database server that you would like to use. Geben Sie unter Instanzname den Instanznamen, ein Komma und die Portnummer ein, falls das Browsen für SQL Server nicht aktiviert ist.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Geben Sie dann den Namen der Azure AD Connect-Datenbank an.Then specify the name of the Azure AD Connect database. Ihre SQL-Berechtigungen bestimmen, ob eine neue Datenbank erstellt wird oder Ihr SQL-Administrator die Datenbank im Voraus erstellen muss.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Ob Sie über SQL SA-Berechtigungen verfügen, erfahren Sie unter Installieren mithilfe einer vorhandenen Datenbank.If you have SQL SA permissions see How to install using an existing database. Ob Sie delegierte Berechtigungen (DBO) erhalten haben, erfahren Sie unter Installieren von Azure AD Connect mit delegierten SQL-Administratorrechten.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Verwenden eines vorhandenen DienstkontosUse an existing service account Für Azure AD Connect wird standardmäßig ein virtuelles Dienstkonto für die Synchronisierungsdienste genutzt.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Wenn Sie einen Remote-SQL Server oder einen Proxy mit Authentifizierungsanforderung verwenden, benötigen Sie ein verwaltetes Dienstkonto oder ein Dienstkonto in der Domäne und das Kennwort.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. Geben Sie in diesen Fällen das zu verwendende Konto ein.In those cases, enter the account to use. Stellen Sie sicher, dass der die Installation ausführende Benutzer ein SA in SQL ist, damit das Dienstkonto erstellt werden kann.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Weitere Informationen finden Sie unter Azure AD Connect: Konten und Berechtigungen.See Azure AD Connect accounts and permissions.
Mit dem neuesten Build kann der SQL-Administrator nun eine Out-of-Band-Datenbankbereitstellung ausführen, sodass die Datenbank anschließend vom Azure AD Connect-Administrator mit Datenbankbesitzerrechten installiert werden kann.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Weitere Informationen finden Sie unter Install Azure AD Connect using SQL delegated administrator permissions (Installieren von Azure AD Connect mit Berechtigungen eines delegierten SQL-Administrators).For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Angeben benutzerdefinierter SynchronisierungsgruppenSpecify custom sync groups Azure AD Connect erstellt beim Installieren der Synchronisierungsdienste standardmäßig vier lokale Gruppen auf dem Server.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Diese Gruppen sind: Administratorengruppe, Operatorengruppe, Durchsuchen-Gruppe und die Gruppe „Kennwort zurücksetzen“.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Hier können Sie Ihre eigenen Gruppen angeben.You can specify your own groups here. Die Gruppen müssen sich lokal auf dem Server befinden und dürfen nicht in der Domäne sein.The groups must be local on the server and cannot be located in the domain.

BenutzeranmeldungUser sign-in

Nach der Installation der erforderlichen Komponenten werden Sie aufgefordert, die Methode für das einmalige Anmelden Ihrer Benutzer auszuwählen.After installing the required components, you are asked to select your users single sign-on method. Die folgende Tabelle enthält eine kurze Beschreibung der verfügbaren Optionen.The following table provides a brief description of the available options. Eine vollständige Beschreibung der Anmeldemethoden finden Sie unter Benutzeranmeldung.For a full description of the sign-in methods, see User sign-in.

Benutzeranmeldung

Option zum einmaligen AnmeldenSingle Sign On option BESCHREIBUNGDescription
KennworthashsynchronisierungPassword Hash Sync Benutzer können sich bei Microsoft Cloud Services wie Office 365 mit dem Kennwort anmelden, das sie auch in ihrem lokalen Netzwerk verwenden.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Die Benutzerkennwörter werden über einen Kennworthash mit Azure AD synchronisiert, und die Authentifizierung erfolgt in der Cloud.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Weitere Informationen finden Sie unter Kennworthashsynchronisierung.See Password hash synchronization for more information.
Passthrough-AuthentifizierungPass-through Authentication Benutzer können sich bei Microsoft Cloud Services wie Office 365 mit dem Kennwort anmelden, das sie auch in ihrem lokalen Netzwerk verwenden.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Das Benutzerkennwort wird zur Überprüfung an den lokalen Active Directory-Domänencontroller übergeben.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Verbund mit AD FSFederation with AD FS Benutzer können sich bei Microsoft Cloud Services wie Office 365 mit dem Kennwort anmelden, das sie auch in ihrem lokalen Netzwerk verwenden.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Die Benutzer werden für die Anmeldung jeweils an ihre lokale AD FS-Instanz umgeleitet, und die Authentifizierung erfolgt lokal.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Verbund mit PingFederateFederation with PingFederate Benutzer können sich bei Microsoft Cloud Services wie Office 365 mit dem Kennwort anmelden, das sie auch in ihrem lokalen Netzwerk verwenden.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Die Benutzer werden für die Anmeldung jeweils zu ihrer lokalen PingFederate-Instanz umgeleitet, und die Authentifizierung erfolgt lokal.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
Nicht konfigurierenDo not configure Kein Feature für die Benutzeranmeldung wird installiert oder konfiguriert.No user sign-in feature is installed and configured. Wählen Sie diese Option aus, wenn Sie bereits über einen Verbundserver eines Drittanbieters verfügen oder eine andere vorhandene Lösung eingesetzt wird.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Einmaliges Anmelden aktivierenEnable Single Sign on Diese Option ist sowohl mit Kennworthashsynchronisierung als auch mit Passthrough-Authentifizierung verfügbar und ermöglicht das einmalige Anmelden für Desktopbenutzer im Unternehmensnetzwerk.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Weitere Informationen finden Sie unter Einmaliges Anmelden.See Single sign-on for more information.
Beachten Sie, dass diese Option für AD FS-Kunden nicht verfügbar ist, da AD FS bereits das einmalige Anmelden dieser Art ermöglichtNote for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Stellen Sie eine Verbindung mit Azure AD her.Connect to Azure AD

Geben Sie im Bildschirm "Mit Azure AD verbinden" ein Konto und ein Kennwort für den globalen Administrator ein.On the Connect to Azure AD screen, enter a global admin account and password. Wenn Sie auf der vorherigen Seite Verbund mit AD FS ausgewählt haben, melden Sie sich nicht mit einem Konto in einer Domäne an, die Sie für den Verbund aktivieren möchten.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Wir empfehlen Ihnen die Verwendung eines Kontos in der standardmäßigen Domäne onmicrosoft.com, die in Ihrem Azure AD-Mandanten enthalten ist.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Dieses Konto dient ausschließlich der Erstellung eines Dienstkontos in Azure AD und wird nach Abschluss des Assistenten nicht mehr verwendet.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Benutzeranmeldung

Wenn MFA für Ihr globales Administratorkonto aktiviert ist, müssen Sie das Kennwort im Anmelde-Popupfenster erneut eingeben und die MFA-Abfrage ausfüllen.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. Bei der Abfrage kann es sich etwa um die Eingabe eines Überprüfungscodes oder um einen Anruf handeln.The challenge could be a providing a verification code or a phone call.
Benutzeranmeldung mit MFA

Für das globale Administratorkonto kann auch Privileged Identity Management aktiviert sein.The global admin account can also have Privileged Identity Management enabled.

Falls ein Fehler auftritt und Sie Probleme mit der Konnektivität haben, können Sie unter Problembehebung bei Konnektivitätsproblemen nach einer Lösung suchen.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Seiten im Abschnitt „Synchronisierung“Pages under the Sync section

Verzeichnisse verbindenConnect your directories

Zum Herstellen einer Verbindung mit Ihren Active Directory Domain Services benötigt Azure AD Connect den Namen der Gesamtstruktur und die Anmeldeinformationen für ein Konto, das über ausreichende Berechtigungen verfügt.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Verzeichnis verbinden

Nachdem Sie den Namen der Gesamtstruktur eingegeben und auf Verzeichnis hinzufügen geklickt haben, wird ein Popupdialogfeld angezeigt, in dem Ihnen folgende Optionen angeboten werden:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

OptionOption BESCHREIBUNGDescription
Erstellen eines neuen KontosCreate new account Wählen Sie diese Option aus, wenn der Azure AD Connect-Assistent das AD DS-Konto erstellen soll, das von Azure AD Connect beim Synchronisieren der Verzeichnisse für die Verbindung mit der AD-Gesamtstruktur benötigt wird.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Wenn Sie diese Option ausgewählt haben, geben Sie den Benutzernamen und das Kennwort für ein Administratorkonto des Unternehmens ein.When this option is selected, enter the username and password for an enterprise admin account. Das angegebene Administratorkonto des Unternehmens wird vom Azure AD-Assistenten verwendet, um das erforderliche AD DS-Konto zu erstellen.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Sie können den Domänenteil entweder im NetBIOS- oder FQDN-Format eingeben, also „FABRIKAM\administrator“ oder „fabrikam.com\administrator“.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Vorhandenes Konto verwendenUse existing account Wählen Sie diese Option aus, wenn Sie ein vorhandenes AD DS-Konto angeben möchten, das von Azure AD Connect beim Synchronisieren der Verzeichnisse für die Verbindung mit der AD-Gesamtstruktur verwendet werden soll.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Sie können den Domänenteil entweder im NetBIOS- oder FQDN-Format eingeben, also „FABRIKAM\syncuser“ oder „fabrikam.com\syncuser“.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Dieses Konto kann ein normales Benutzerkonto sein, da nur die standardmäßigen Leseberechtigungen benötigt werden.This account can be a regular user account because it only needs the default read permissions. Abhängig von Ihrem Szenario benötigen Sie jedoch möglicherweise weitere Berechtigungen.However, depending on your scenario, you may need more permissions. Weitere Informationen finden Sie unter Azure AD Connect: Konten und Berechtigungen.For more information, see Azure AD Connect Accounts and permissions.

Verzeichnis verbinden

Unternehmens- und Domänenadministratorkonten werden nicht unterstützt.Enterprise Admin and Domain Admin accounts not supported

Ab Build 1.4. ###.# wird es nicht mehr unterstützt, wenn Sie ein Unternehmens- oder ein Domänenadministratorkonto als AD DS-Connectorkonto verwenden.As of build 1.4.###.# it is no longer supported to use an Enterprise Admin or a Domain Admin account as the AD DS Connector account. Wenn Sie versuchen, ein Unternehmens- oder Domänenadministratorkonto einzugeben, und dabei vorhandenes Konto verwenden nutzen, wird Ihnen eine Fehlermeldung angezeigt.If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive an error.

Konfiguration der Azure AD-AnmeldungAzure AD sign-in configuration

Auf dieser Seite können Sie die UPN-Domänen anzeigen, die in der lokalen AD DS-Instanz vorhanden sind und in Azure AD überprüft wurden.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Darüber hinaus können Sie auf dieser Seite das Attribut für „userPrincipalName“ konfigurieren.This page also allows you to configure the attribute to use for the userPrincipalName.

Nicht überprüfte DomänenUnverified domains
Überprüfen Sie alle Domänen, die als Nicht hinzugefügt und Nicht überprüft markiert sind.Review every domain marked Not Added and Not Verified. Stellen Sie sicher, dass die verwendeten Domänen in Azure AD überprüft wurden.Make sure those domains you use have been verified in Azure AD. Klicken Sie auf das Symbol zum Aktualisieren, wenn Sie Ihre Domänen überprüft haben.Click the Refresh symbol when you have verified your domains. Weitere Informationen finden Sie unter Hinzufügen und Überprüfen der Domäne.For more information, see add and verify the domain

userPrincipalName : Das userPrincipalName-Attribut wird von Benutzern verwendet, wenn sie sich bei Azure AD und Office 365 anmelden.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Die verwendeten Domänen, auch als UPN-Suffix bezeichnet, sollte in Azure AD überprüft werden, bevor die Benutzer synchronisiert werden.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Microsoft empfiehlt, das Standardattribut „userPrincipalName“ beizubehalten.Microsoft recommends to keep the default attribute userPrincipalName. Wenn dieses Attribut nicht routingfähig ist und nicht überprüft werden kann, können Sie ein anderes Attribut auswählen.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. So können Sie beispielsweise „email“ als Attribut mit der Anmelde-ID verwenden.You can for example select email as the attribute holding the sign-in ID. Wenn Sie ein anderes Attribut als „userPrincipalName“ verwenden, wird dieses als alternative IDbezeichnet.Using another attribute than userPrincipalName is known as Alternate ID. Der Attributwert der alternativen ID muss dem RFC822-Standard entsprechen.The Alternate ID attribute value must follow the RFC822 standard. Eine alternative ID kann mit Kennworthashsynchronisierung, Pass-Through-Authentifizierung und Verbund verwendet werden.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. Das Attribut darf in Active Directory nicht als mehrwertiges Attribut definiert werden, auch wenn es nur einen einzelnen Wert hat.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value. Für weitere Informationen zur alternativen ID klicken Sie hier.For more information on the Alternate ID, please click here.

Hinweis

Beim Aktivieren der Passthrough-Authentifizierung müssen Sie mindestens über eine verifizierte Domäne verfügen, um im Assistenten fortfahren zu können.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Warnung

Eine alternative ID ist nicht mit allen Office 365-Workloads kompatibel.Using an Alternate ID is not compatible with all Office 365 workloads. Weitere Informationen finden Sie unter Konfigurieren der alternativen Anmelde-ID.For more information, refer to Configuring Alternate Login ID.

Filterung von Domänen und OrganisationseinheitenDomain and OU filtering

Standardmäßig werden alle Domänen und Organisationseinheiten synchronisiert.By default all domains and OUs are synchronized. Wenn Sie Domänen oder Organisationseinheiten nicht in Azure AD synchronisieren möchten, können Sie diese Domänen und Organisationseinheiten deaktivieren.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Domänen und Organisationseinheiten filternDomainOU filtering
Diese Seite des Assistenten dient zum Konfigurieren der domänenbasierten und OE-basierten Filterung.This page in the wizard is configuring domain-based and OU-based filtering. Wenn Sie Änderungen vornehmen möchten, ist ratsam, vorher die Informationen in den Abschnitten zur domänenbasierten Filterung und OE-basierten Filterung zu lesen.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Einige OEs sind für die Funktionalität sehr wichtig und sollten nicht deaktiviert werden.Some OUs are essential for the functionality and should not be unselected.

Bei Verwendung der OE-basierten Filterung mit einer Azure AD Connect-Version vor 1.1.524.0 werden neue Organisationseinheiten, die später hinzugefügt werden, standardmäßig synchronisiert.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Falls neue OEs nicht synchronisiert werden sollen, können Sie dies konfigurieren, nachdem der Assistent die OE-basierte Filterung abgeschlossen hat.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. Bei Azure AD Connect, Version 1.1.524.0 oder höher, können Sie angeben, ob neue OEs synchronisiert werden sollen oder nicht.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Wenn Sie die Verwendung der gruppenbasierten Filterung planen, sollten Sie sicherstellen, dass die OE mit der Gruppe eingebunden ist und dass dafür nicht die OE-Filterung verwendet wird.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. Die OE-Filterung wird vor der gruppenbasierten Filterung ausgewertet.OU filtering is evaluated before group-based filtering.

Möglicherweise sind bestimmte Domänen aufgrund von Beschränkungen der Firewall nicht erreichbar.It is also possible that some domains are not reachable due to firewall restrictions. Diese Domänen sind standardmäßig nicht ausgewählt und mit einer Warnung versehen.These domains are unselected by default and have a warning.
Nicht erreichbare Domänen
Falls diese Warnung angezeigt wird, sollten Sie sich vergewissern, dass die entsprechenden Domänen tatsächlich nicht erreichbar sind und die Warnung zu erwarten ist.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Eindeutige Identifizierung der BenutzerUniquely identifying your users

Auswählen, wie Benutzer in Ihren lokalen Verzeichnissen identifiziert werden sollenSelect how users should be identified in your on-premises directories

Mit dem Feature zum Abgleich über Gesamtstrukturen können Sie definieren, wie Benutzer Ihrer AD DS-Gesamtstrukturen in Azure AD repräsentiert werden.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Ein Benutzer kann entweder nur einmal in allen Gesamtstrukturen vorhanden sein oder über eine Kombination aus aktivierten und deaktivierten Konten verfügen.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. In bestimmten Gesamtstrukturen wird der Benutzer unter Umständen auch als Kontakt dargestellt.The user might also be represented as a contact in some forests.

Eindeutig

EinstellungSetting BESCHREIBUNGDescription
Benutzer sind nur einmal in allen Gesamtstrukturen vorhanden.Users are only represented once across all forests Alle Benutzer werden in Azure AD jeweils als einzelne Objekte erstellt.All users are created as individual objects in Azure AD. Die Objekte werden nicht im Metaverse verknüpft.The objects are not joined in the metaverse.
E-Mail-AttributMail attribute Diese Option verknüpft Benutzer und Kontakte, wenn dieses Attribut in verschiedenen Gesamtstrukturen denselben Wert aufweist.This option joins users and contacts if the mail attribute has the same value in different forests. Verwenden Sie diese Option, wenn Ihre Kontakte mit GALSync erstellt wurden.Use this option when your contacts have been created using GALSync. Bei Verwendung dieser Option werden Benutzerobjekte, deren E-Mail-Attribut nicht aufgefüllt ist, nicht mit Azure AD synchronisiert.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID und msExchangeMasterAccountSID/ msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Mit dieser Option wird ein aktivierter Benutzer in einer Kontogesamtstruktur mit einem deaktivierten Benutzer in einer Ressourcengesamtstruktur verknüpft.This option joins an enabled user in an account forest with a disabled user in a resource forest. In Exchange wird diese Konfiguration als verknüpftes Postfach bezeichnet.In Exchange, this configuration is known as a linked mailbox. Diese Option kann auch verwendet werden, wenn Sie nur Lync verwenden und Exchange in der Ressourcengesamtstruktur nicht vorhanden ist.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName und MailNickNamesAMAccountName and MailNickName Mit dieser Option werden Attribute mit der Stelle verknüpft, an der sich erwartungsgemäß die Anmelde-ID für den Benutzer befindet.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Ein bestimmtes AttributA specific attribute Mit dieser Option können Sie Ihr eigenes Attribut auswählen.This option allows you to select your own attribute. Bei Verwendung dieser Option werden Benutzerobjekte, deren (ausgewähltes) Attribut nicht aufgefüllt ist, nicht mit Azure AD synchronisiert.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Einschränkung: Wählen Sie unbedingt ein Attribut aus, das bereits im Metaverse vorhanden ist.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Wenn Sie ein benutzerdefiniertes (nicht im Metaverse vorhandenes) Attribut auswählen, kann der Assistent nicht abgeschlossen werden.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Auswählen, wie Benutzer bei Azure AD identifiziert werden sollen – QuellankerSelect how users should be identified with Azure AD - Source Anchor

Das sourceAnchor-Attribut ist während der Lebensdauer eines Benutzerobjekts unveränderlich.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Das Attribut ist der Primärschlüssel, der den lokalen Benutzer mit dem Benutzer in Azure AD verknüpft.It is the primary key linking the on-premises user with the user in Azure AD.

EinstellungSetting BESCHREIBUNGDescription
Ich möchte den Quellanker durch Azure verwalten lassenLet Azure manage the source anchor for me Wählen Sie diese Option aus, wenn Azure AD das Attribut für Sie auswählen soll.Select this option if you want Azure AD to pick the attribute for you. Wenn Sie diese Option auswählen, wendet der Azure AD Connect-Assistent die Auswahllogik für das sourceAnchor-Attribut an, die im Abschnitt Azure AD Connect: Designkonzepte – Verwenden von msDS-ConsistencyGuid als sourceAnchor beschrieben wird.If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. Nach Abschluss der benutzerdefinierten Installation informiert der Assistent Sie darüber, welches Attribut als Quellankerattribut ausgewählt wurde.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Ein bestimmtes AttributA specific attribute Wählen Sie diese Option aus, wenn Sie ein vorhandenes AD-Attribut als sourceAnchor-Attribut angeben möchten.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Da das Attribut nicht geändert werden kann, müssen Sie sorgfältig planen, welches Attribut Sie verwenden möchten.Since the attribute cannot be changed, you must plan for a good attribute to use. Hier empfiehlt sich "objectGUID".A good candidate is objectGUID. Dieses Attribut wird nicht geändert, es sei denn, das Benutzerkonto wird zwischen Gesamtstrukturen/Domänen verschoben.This attribute is not changed, unless the user account is moved between forests/domains. Vermeiden Sie die Verwendung von Attributen, die sich ändern, wenn eine Person heiratet oder den Aufgabenbereich wechselt.Avoid attributes that would change when a person marries or change assignments. Sie können keine Attribute mit einem @-signZeichen verwenden, sodass E-Mail-Adressen und Benutzerprinzipalnamen ungeeignet sind.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. Bei dem Attribut wird die Groß-/Kleinschreibung beachtet. Beim Verschieben von Objekten zwischen Gesamtstrukturen muss daher die Groß-/Kleinschreibung beibehalten werden.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Binäre Attribute werden base64-codiert, andere Attributtypen bleiben dagegen unverschlüsselt.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. In Verbundszenarien und bei einigen Azure AD-Schnittstellen wird dieses Attribut auch als immutableID-Attribut bezeichnet.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Weitere Informationen zum Quellanker finden Sie unter Entwurfskonzepte.More information about the source anchor can be found in the design concepts.

Synchronisierungsfilterung anhand von GruppenSync filtering based on groups

Mit der Filterung nach Gruppen haben Sie die Möglichkeit, nur eine kleine Teilmenge von Objekten für einen Piloten zu synchronisieren.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Erstellen Sie dazu in Ihrem lokalen Active Directory eine Gruppe für diesen Zweck.To use this feature, create a group for this purpose in your on-premises Active Directory. Fügen Sie anschließend Benutzer und Gruppen hinzu, die als direkte Mitglieder mit Azure AD synchronisiert werden sollen.Then add users and groups that should be synchronized to Azure AD as direct members. Später können Sie Benutzer hinzufügen und entfernen, um die Liste mit den Objekten zu verwalten, die in Azure AD vorhanden sein sollen.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Alle Objekte, die Sie synchronisieren möchten, müssen direkte Mitglieder der Gruppe sein.All objects you want to synchronize must be a direct member of the group. Benutzer, Gruppen, Kontakte und Computer/Geräte müssen jeweils direkte Mitglieder sein.Users, groups, contacts, and computers/devices must all be direct members. Geschachtelte Gruppenmitgliedschaften werden nicht aufgelöst.Nested group membership is not resolved. Wenn Sie eine Gruppe als Mitglied hinzufügen, wird nur die Gruppe hinzugefügt, nicht aber ihre Mitglieder.When you add a group as a member, only the group itself is added and not its members.

Synchronisierungsfilterung

Warnung

Dieses Feature dient nur zur Unterstützung von Pilotbereitstellungen.This feature is only intended to support a pilot deployment. Verwenden Sie es nicht in einer Produktionsbereitstellung.Do not use it in a full-blown production deployment.

In einer Produktionsbereitstellung wird es schwer, eine einzelne Gruppe mit allen zu synchronisierenden Objekten zu verwalten.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Verwenden Sie stattdessen eine der unter Konfigurieren der Filterung beschriebenen Methoden.Instead you should use one of the methods in Configure filtering.

Optionale FeaturesOptional Features

Über diesen Bildschirm können Sie die optionalen Features für Ihre spezifischen Szenarios auswählen.This screen allows you to select the optional features for your specific scenarios.

Warnung

Für Azure AD Connect Version 1.0.8641.0 und früher wird der Azure Access Control Service für das Kennwortrückschreiben verwendet.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Dieser Dienst wird am 7. November 2018 außer Betrieb genommen.This service will be retired on November 7th 2018. Wenn Sie eine dieser Versionen von Azure AD Connect nutzen und das Kennwortrückschreiben aktiviert haben, können Benutzer unter Umständen ihre Kennwörter nicht mehr ändern oder zurücksetzen, nachdem der Dienst außer Betrieb genommen wurde.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. Das Kennwortrückschreiben mit diesen Versionen von Azure AD Connect wird nicht unterstützt.Password writeback with these versions of Azure AD Connect will not be supported.

Weitere Informationen zu Azure Access Control Service finden Sie unter Gewusst wie: Migrieren aus dem Azure Access Control Service.For more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Klicken Sie hier, um die aktuelle Version von Azure AD Connect herunterzuladen.To download the latest version of Azure AD Connect click here.

Optionale Features

Warnung

Wenn derzeit DirSync oder Azure AD Sync aktiv ist, aktivieren Sie keine der Features zum Rückschreiben in Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Optionale FeaturesOptional Features BESCHREIBUNGDescription
Exchange-HybridbereitstellungExchange Hybrid Deployment Das Exchange-Hybridbereitstellungsfeature ermöglicht die Koexistenz lokaler und Office 365-basierter Exchange-Postfächer.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect synchronisiert eine bestimmte Gruppe von Attributen aus Azure AD mit Ihrem lokalen Verzeichnis.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Öffentliche Exchange-E-Mail-OrdnerExchange Mail Public Folders Mit dem Feature „Öffentliche Exchange-E-Mail-Ordner“ können Sie Objekte für E-Mail-aktivierte öffentliche Ordner von Ihrer lokalen Active Directory-Instanz nach Azure AD synchronisieren.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Azure AD-App- und AttributfilterungAzure AD app and attribute filtering Mithilfe der App- und Attributfilterung von Azure AD kann die Gruppe synchronisierter Attribute individuell konfiguriert werden.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Durch diese Option wird der Assistent um zwei weitere Konfigurationsseiten erweitert.This option adds two more configuration pages to the wizard. Weitere Informationen finden Sie unter Azure AD-App- und Attributfilterung.For more information, see Azure AD app and attribute filtering.
KennworthashsynchronisierungPassword hash synchronization Diese Option ist verfügbar, wenn Sie als Anmeldelösung die Verbundoption ausgewählt haben.If you selected federation as the sign-in solution, then you can enable this option. Die Kennworthashsynchronisierung kann dann als Sicherungsoption verwendet werden.Password hash synchronization can then be used as a backup option. Weitere Informationen finden Sie unter Implement password hash synchronization with Azure AD Connect sync (Implementieren der Kennworthashsynchronisierung mit Azure AD Connect-Synchronisierung).For additional information, see Password hash synchronization.
Wenn Sie die Passthrough-Authentifizierung ausgewählt haben, kann diese Option auch standardmäßig aktiviert werden, um sicherzustellen, dass Legacyclients unterstützt werden und eine Sicherungsoption vorhanden ist.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Weitere Informationen finden Sie unter Implement password hash synchronization with Azure AD Connect sync (Implementieren der Kennworthashsynchronisierung mit Azure AD Connect-Synchronisierung).For additional information, see Password hash synchronization.
KennwortrückschreibenPassword writeback Durch Aktivieren des Kennwortrückschreibens werden Kennwortänderungen aus Azure AD in Ihr lokales Verzeichnis zurückgeschrieben.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Weitere Informationen finden Sie unter Erste Schritte mit der Kennwortverwaltung.For more information, see Getting started with password management.
GruppenrückschreibenGroup writeback Bei Verwendung des Features Office 365-Gruppen können diese Gruppen in Ihrem lokalen Active Directory dargestellt werden.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Diese Option ist nur verfügbar, wenn Exchange in Ihrem lokalen Active Directory vorhanden ist.This option is only available if you have Exchange present in your on-premises Active Directory. Weitere Informationen finden Sie unter Gruppenrückschreiben.For more information, see Group writeback.
GeräterückschreibenDevice writeback Ermöglicht für bedingte Szenarios das Rückschreiben von Geräteobjekten in Azure AD auf Ihr lokales Active Directory.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Weitere Informationen finden Sie unter Aktivieren des Geräterückschreibens in Azure AD Connect.For more information, see Enabling device writeback in Azure AD Connect.
Verzeichniserweiterungen-AttributsynchronisierungDirectory extension attribute sync Durch Aktivieren der Attributsynchronisierung für Verzeichniserweiterungen werden die angegebenen Attribute mit Azure AD synchronisiert.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Weitere Informationen finden Sie unter Verzeichniserweiterungen.For more information, see Directory extensions.

Azure AD-App- und AttributfilterungAzure AD app and attribute filtering

Wenn Sie einschränken möchten, welche Attribute mit Azure AD synchronisiert werden, wählen Sie zunächst die verwendeten Dienste aus.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. Falls Sie auf dieser Seite Konfigurationsänderungen vornehmen, muss durch erneutes Ausführen des Installations-Assistenten explizit ein neuer Dienst ausgewählt werden.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Optionale Features – Apps

Auf der Grundlage der im vorherigen Schritt ausgewählten Dienste werden auf dieser Seite alle synchronisierten Attribute angezeigt.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Diese Liste ist eine Kombination aller Objekttypen, die synchronisiert werden.This list is a combination of all object types being synchronized. Falls bestimmte Attribute nicht synchronisiert werden sollen, können Sie deren Auswahl aufheben.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Optionale Features – Attribute

Warnung

Das Entfernen von Attributen kann sich negativ auf die Funktionalität auswirken.Removing attributes can impact functionality. Bewährte Methoden und Empfehlungen finden Sie unter Synchronisierte Attribute.For best practices and recommendations, see attributes synchronized.

Verzeichniserweiterungen-AttributsynchronisierungDirectory Extension attribute sync

Das Schema in Azure AD kann durch von Ihrer Organisation hinzugefügte benutzerdefinierte Attribute oder durch andere Attribute in Active Directory erweitert werden.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Wählen Sie auf der Seite Optionale Features die Option Verzeichniserweiterungen-Attributsynchronisierung aus, um dieses Feature zu verwenden.To use this feature, select Directory Extension attribute sync on the Optional Features page. Auf dieser Seite können weitere zu synchronisierende Attribute ausgewählt werden.You can select more attributes to sync on this page.

Hinweis

Für das Feld „Verfügbare Attribute“ wird die Groß-/Kleinschreibung berücksichtigt.The Available attributes box is case sensitive.

Verzeichniserweiterungen

Weitere Informationen finden Sie unter Verzeichniserweiterungen.For more information, see Directory extensions.

Aktivieren des einmaligen Anmeldens (Single Sign-On, SSO)Enabling Single sign on (SSO)

Das Konfigurieren des einmaligen Anmeldens zur Verwendung mit der Kennwortsynchronisierung oder Passthrough-Authentifizierung ist ein einfacher Prozess, den Sie nur einmal für jede Gesamtstruktur durchführen müssen, die mit Azure AD synchronisiert wird.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. Die Konfiguration umfasst zwei Schritte:Configuration involves two steps as follows:

  1. Erstellen des erforderlichen Computerkontos in Ihrer lokalen Active Directory-InstanzCreate the necessary computer account in your on-premises Active Directory.
  2. Konfigurieren der Intranetzone der Clientcomputer zur Unterstützung des einmaligen AnmeldensConfigure the intranet zone of the client machines to support single sign on.

Erstellen des Computerkontos in Active DirectoryCreate the computer account in Active Directory

Für jede Gesamtstruktur, die in Azure AD Connect hinzugefügt wurde, müssen Sie Domänenadministrator-Anmeldeinformationen angeben, damit das Computerkonto in jeder Gesamtstruktur erstellt werden kann.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. Die Anmeldeinformationen werden nur zum Erstellen des Kontos verwendet und nicht für andere Vorgänge gespeichert oder genutzt.The credentials are only used to create the account and are not stored or used for any other operation. Fügen Sie die Anmeldeinformationen einfach wie folgt auf der Seite Einmaliges Anmelden aktivieren des Azure AD Connect-Assistenten hinzu:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Einmaliges Anmelden aktivieren

Hinweis

Sie können eine bestimmte Gesamtstruktur auch überspringen, wenn das einmalige Anmelden für die Gesamtstruktur nicht verwendet werden soll.You can skip a particular forest if you do not wish to use Single sign on with that forest.

Konfigurieren der Intranetzone für ClientcomputerConfigure the Intranet Zone for client machines

Damit der Client automatisch in der Intranetzone angemeldet wird, müssen Sie dafür sorgen, dass die URL Teil der Intranetzone ist.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. So wird sichergestellt, dass der in die Domäne eingebundene Computer automatisch ein Kerberos-Ticket an Azure AD sendet, wenn eine Verbindung mit dem Unternehmensnetzwerk besteht.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. Auf einem Computer mit den Gruppenrichtlinien-Verwaltungstools:On a computer that has the Group Policy management tools.

  1. Öffnen Sie die Gruppenrichtlinien-Verwaltungstools.Open the Group Policy Management tools

  2. Bearbeiten Sie die Gruppenrichtlinie, die auf alle Benutzer angewendet wird.Edit the Group policy that will be applied to all users. Beispiel: Standardrichtlinie der Domäne.For example, the Default Domain Policy.

  3. Navigieren Sie zu Benutzerkonfiguration\Administrative Vorlagen\Windows-Komponenten\Internet Explorer\Internetsystemsteuerung\Sicherheitsseite, und wählen Sie wie in der folgenden Abbildung dargestellt die Option Liste der Site zu Zonenzuweisungen.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Aktivieren Sie die Richtlinie, und geben Sie Folgendes in das Dialogfeld ein:Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Es sollte in etwa wie folgt aussehen:It should look similar to the following:
    Intranetzonen

  6. Klicken Sie zweimal auf OK.Click Ok twice.

Konfigurieren des Verbunds mit AD FSConfiguring federation with AD FS

Das Konfigurieren von AD FS mit Azure AD Connect ist ganz einfach und mit wenigen Mausklicks erledigt.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Für die Konfiguration wird Folgendes benötigt:The following is required before the configuration.

  • Ein Server unter Windows Server 2012 R2 (oder höher) für den Verbundserver mit aktivierter RemoteverwaltungA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Ein Server unter Windows Server 2012 R2 (oder höher) für den Webanwendungsproxy-Server mit aktivierter RemoteverwaltungA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Ein SSL-Zertifikat für den Verbunddienstnamen, den Sie verwenden möchten (z.B. „sts.contoso.com“)An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Hinweis

Sie können das SSL-Zertifikat für Ihre AD FS-Farm mit Azure AD Connect aktualisieren, auch wenn Sie es nicht für die Verwaltung Ihrer Verbundvertrauensstellung verwenden.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Voraussetzungen für die AD FS-KonfigurationAD FS configuration pre-requisites

Vergewissern Sie sich, dass WinRM auf den Remoteservern aktiviert ist, damit Sie Ihre AD FS-Farm mithilfe von Azure AD Connect konfigurieren können.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Vergewissern Sie sich, dass Sie die anderen Aufgaben unter Voraussetzungen für die Verbundinstallation und -konfiguration abgeschlossen haben.Make sure you have completed the other tasks in federation prerequisites. Machen Sie sich außerdem unter Tabelle 3: Azure AD Connect und Verbund-/WAP-Server mit den Portanforderungen vertraut.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Erstellen einer neuen AD FS-Farm oder Verwenden einer vorhandenen AD FS-FarmCreate a new AD FS farm or use an existing AD FS farm

Sie können eine vorhandene AD FS-Farm verwenden oder eine neue AD FS-Farm erstellen.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Wenn Sie eine neue Farm erstellen, müssen Sie ein SSL-Zertifikat bereitstellen.If you choose to create a new one, you are required to provide the SSL certificate. Bei Verwendung eines kennwortgeschützten SSL-Zertifikats werden Sie zur Eingabe des Kennworts aufgefordert.If the SSL certificate is protected by a password, you are prompted for the password.

AD FS-Farm

Wenn Sie sich für die Verwendung einer bereits vorhandenen AD FS-Farm entscheiden, gelangen Sie direkt zur Konfiguration der Vertrauensstellung zwischen AD FS und Azure AD.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Hinweis

Mit Azure AD Connect kann nur eine einzelne AD FS-Farm verwaltet werden.Azure AD Connect can be used to manage only one AD FS farm. Wenn für die ausgewählte AD FS-Farm bereits eine Verbundvertrauensstellung mit Azure AD konfiguriert ist, wird diese von Azure AD Connect neu erstellt.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Angeben der AD FS-ServerSpecify the AD FS servers

Geben Sie die Server ein, auf denen Sie AD FS installieren möchten.Enter the servers that you want to install AD FS on. Sie können je nach Ihren Kapazitätsplanungsanforderungen einen oder mehrere Server hinzufügen.You can add one or more servers based on your capacity planning needs. Verknüpfen Sie vor dieser Konfiguration alle AD FS-Server mit Active Directory. (Für die WAP-Server ist dieser Schritt nicht erforderlich.)Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Microsoft empfiehlt, einen einzelnen AD FS-Server für Test- und Pilotbereitstellungen zu installieren.Microsoft recommends installing a single AD FS server for test and pilot deployments. Nach der Erstkonfiguration können Sie dann Azure AD Connect erneut ausführen und weitere Server hinzufügen und bereitstellen, um Ihren Skalierungsanforderungen gerecht zu werden.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Hinweis

Vergewissern Sie sich vor dieser Konfiguration, dass alle Ihre Server mit einer AD-Domäne verknüpft sind.Ensure that all your servers are joined to an AD domain before you do this configuration.

AD FS-Server

Angeben von Webanwendungsproxy-ServernSpecify the Web Application Proxy servers

Geben Sie die Server ein, die Sie als Webanwendungsproxy-Server verwenden möchten.Enter the servers that you want as your Web Application proxy servers. Der Webanwendungsproxy-Server wird in Ihrer DMZ bereitgestellt (Extranetzugriff) und unterstützt Authentifizierungsanforderungen aus dem Extranet.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Sie können je nach Ihren Kapazitätsplanungsanforderungen einen oder mehrere Server hinzufügen.You can add one or more servers based on your capacity planning needs. Microsoft empfiehlt, einen einzelnen Webanwendungsproxy-Server für Test- und Pilotbereitstellungen zu installieren.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Nach der Erstkonfiguration können Sie dann Azure AD Connect erneut ausführen und weitere Server hinzufügen und bereitstellen, um Ihren Skalierungsanforderungen gerecht zu werden.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. Es empfiehlt sich, eine entsprechende Anzahl von Proxyservern bereitzustellen, um die Authentifizierung über das Intranet zu ermöglichen.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Hinweis

  • Wenn es sich bei dem verwendeten Konto nicht um ein lokales Administratorkonto auf den WAP-Servern handelt, werden Sie zur Eingabe der Administratoranmeldeinformationen aufgefordert.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Vergewissern Sie sich vor diesem Schritt, dass zwischen dem Azure AD Connect-Server und dem Webanwendungsproxy-Server eine HTTP/HTTPS-Verbindung besteht.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Vergewissern Sie sich zudem, dass zwischen dem Webanwendungsserver und dem AD FS-Server eine HTTP/HTTPS-Verbindung besteht, um die Durchleitung von Authentifizierungsanforderungen zu ermöglichen.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Web App

    Sie werden zur Eingabe von Anmeldeinformationen aufgefordert, damit der Webanwendungsserver eine sichere Verbindung mit dem AD FS-Server herstellen kann.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Dabei muss es sich um die Anmeldeinformationen für einen lokalen Administrator für den AD FS-Server sein.These credentials need to be a local administrator on the AD FS server.

    Proxy

    Angeben eines Dienstkontos für den AD FS-DienstSpecify the service account for the AD FS service

    Der AD FS-Dienst erfordert ein Domänendienstkonto zur Authentifizierung von Benutzern und zur Suche nach Benutzerinformationen in Active Directory.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. Zwei Dienstkontotypen werden unterstützt:It can support two types of service accounts:

    • Gruppenverwaltetes Dienstkonto : Wurde in den Active Directory-Domänendiensten mit Windows Server 2012 eingeführt.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Dieser Kontotyp stellt für Dienste wie AD FS ein einzelnes Konto bereit, das keine regelmäßige Aktualisierung des Kontokennworts erfordert.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Verwenden Sie diese Option, wenn Sie in der Domäne, der die AD FS-Server angehören, bereits über Windows Server 2012-Domänencontroller verfügen.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Domänenbenutzerkonto : Bei diesem Kontotyp müssen Sie ein Kennwort angeben und das Kennwort regelmäßig aktualisieren, wenn sich das Kennwort ändert oder abläuft.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Verwenden Sie diese Option nur, wenn Sie in der Domäne, der die AD FS-Server angehören, über keine Windows Server 2012-Domänencontroller verfügen.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Wenn Sie das gruppenverwaltete Dienstkonto ausgewählt haben und dieses Feature in Active Directory noch nie verwendet wurde, werden Sie zur Eingabe von Enterprise-Administratoranmeldeinformationen aufgefordert.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Diese werden zum Initiieren des Schlüsselspeichers und zum Aktivieren des Features in Active Directory verwendet.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Hinweis

    Azure AD Connect überprüft, ob der AD FS-Dienst bereits als Dienstprinzipalname in der Domäne registriert ist.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. Die gleichzeitige Registrierung von doppelten Dienstprinzipalnamen ist in AD DS nicht zulässig.AD DS will not allow duplicate SPN’s to be registered at once. Wenn ein doppelter Dienstprinzipalname gefunden wird, können Sie den Vorgang erst fortsetzen, wenn der Dienstprinzipalname entfernt wurde.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    AD FS-Dienstkonto

    Auswählen der zu verbindenden Azure AD-DomäneSelect the Azure AD domain that you wish to federate

    Diese Konfiguration wird verwendet, um die Verbundbeziehung zwischen AD FS und Azure AD einzurichten.This configuration is used to setup the federation relationship between AD FS and Azure AD. Damit wird AD FS zur Ausstellung von Sicherheitstoken an Azure AD konfiguriert, und Azure AD wird so konfiguriert, dass es den Token dieser spezifischen Instanz von AD FS vertraut.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Auf dieser Seite kann bei der Erstinstallation nur eine einzelne Domäne konfiguriert werden.This page only allows you to configure a single domain in the initial installation. Weitere Domänen können Sie später durch erneutes Ausführen von Azure AD Connect konfigurieren.You can configure more domains later by running Azure AD Connect again.

    Azure AD-Domäne

    Überprüfen der für den Verbund ausgewählten Azure AD-DomäneVerify the Azure AD domain selected for federation

    Wenn Sie die Domäne in einem Verbund verwenden möchten, stellt Azure AD Connect die erforderlichen Informationen zur Überprüfung einer nicht überprüften Domäne bereit.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Informationen zur Verwendung dieser Informationen finden Sie unter Hinzufügen und Überprüfen der Domäne.See Add and verify the domain for how to use this information.

    Azure AD-Domäne

    Hinweis

    AD Connect versucht in der Konfigurationsphase, die Domäne zu überprüfen.AD Connect tries to verify the domain during the configure stage. Wenn Sie die Konfiguration ohne Angabe der erforderlichen DNS-Einträge fortsetzen, kann die Konfiguration nicht abgeschlossen werden.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Konfigurieren des Verbunds mit PingFederateConfiguring federation with PingFederate

    Das Konfigurieren von PingFederate mit Azure AD Connect ist ganz einfach und mit wenigen Mausklicks erledigt.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Allerdings ist Folgendes erforderlich:However, the following prerequisites are required.

    Überprüfen der DomäneVerify the domain

    Nachdem Sie den Verbund mit PingFederate ausgewählt wurde, werden Sie dazu aufgefordert, die Domäne zu überprüfen, mit der ein Verbund hergestellt werden soll.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Wählen Sie im Dropdownfeld die Domäne aus.Select the domain from the drop-down box.

    Domäne überprüfen

    Exportieren der PingFederate-EinstellungenExport the PingFederate settings

    PingFederate muss als Verbundserver für jede Azure-Verbunddomäne konfiguriert werden.PingFederate must be configured as the federation server for each federated Azure domain. Klicken Sie auf die Schaltfläche „Einstellungen exportieren“, und teilen Sie diese Informationen Ihrem PingFederate-Administrator mit.Click the Export Settings button and share this information with your PingFederate administrator. Der Verbundserveradministrator aktualisiert die Konfiguration und gibt dann die PingFederate-Server-URL und die Portnummer an, damit Azure AD Connect die Metadateneinstellungen überprüfen kann.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Domäne überprüfen

    Wenden Sie sich an den PingFederate-Administrator, um alle Überprüfungsprobleme zu beheben.Contact your PingFederate administrator to resolve any validation issues. Im Folgenden finden ein Beispiel für einen PingFederate-Server, der nicht über eine gültige Vertrauensstellung mit Azure verfügt:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Vertrauen

    Überprüfen der VerbundkonnektivitätVerify federation connectivity

    Azure AD Connect überprüft die Authentifizierungsendpunkte, die aus den PingFederate-Metadaten im vorherigen Schritt abgerufen wurden.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Azure AD Connect versucht zunächst die Endpunkte mithilfe Ihrer lokalen DNS-Server zu beheben.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. Als Nächstes wird versucht, die Endpunkte mit einem externen DNS-Anbieter zu beheben.Next it will attempt to resolve the endpoints using an external DNS provider. Wenden Sie sich an den PingFederate-Administrator, um alle Überprüfungsprobleme zu beheben.Contact your PingFederate administrator to resolve any validation issues.

    Überprüfen der Konnektivität

    Überprüfen der VerbundanmeldungVerify federation login

    Zu guter Letzt können Sie den neu konfigurierten Verbundanmeldevorgang überprüfen, indem Sie sich bei der Verbunddomäne anmelden.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Wenn dies erfolgreich ist, wird der Verbund mit PingFederate erfolgreich konfiguriert.When this succeeds, the federation with PingFederate is successfully configured. Überprüfen der AnmeldungVerify login

    Konfigurieren und Überprüfen von SeitenConfigure and verify pages

    Die Konfiguration wird auf dieser Seite vorgenommen.The configuration happens on this page.

    Hinweis

    Wenn Sie einen Verbund konfiguriert haben, sollten Sie sich vor dem Fortsetzen der Installation vergewissern, dass Sie die Namensauflösung für Verbundserver konfiguriert haben.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Bereit für Konfiguration

    StagingmodusStaging mode

    Mit dem Stagingmodus können Sie parallel einen neuen Synchronisierungsserver einrichten.It is possible to setup a new sync server in parallel with staging mode. Nur ein Synchronisierungsserver, der einen Export zu einem Verzeichnis in der Cloud durchführt, wird unterstützt.It is only supported to have one sync server exporting to one directory in the cloud. Wenn Sie jedoch eine Verschiebung von einem anderen Server durchführen möchten, z. B. einem Server, auf dem DirSync ausgeführt wird, kann Azure AD Connect im Stagingmodus aktiviert werden.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Bei aktiviertem Stagingmodus werden Daten vom Synchronisierungsmodul wie gewohnt importiert und synchronisiert, es findet aber kein Export an Azure AD oder AD statt.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. Kennwortsynchronisierung und Kennwortrückschreiben sind im Stagingmodus deaktiviert.The features password sync and password writeback are disabled while in staging mode.

    Stagingmodus

    Im Stagingmodus können Sie die erforderlichen Änderungen am Synchronisierungsmodul vornehmen und überprüfen, was exportiert werden soll.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Wenn die Konfiguration Ihren Vorstellungen entspricht, führen Sie erneut den Installations-Assistenten aus, und deaktivieren Sie den Stagingmodus.When the configuration looks good, run the installation wizard again and disable staging mode. Daraufhin werden Daten von diesem Server an Azure AD exportiert.Data is now exported to Azure AD from this server. Stellen Sie sicher, das der andere Server währenddessen deaktiviert ist, sodass nur ein Server aktiv exportieren kann.Make sure to disable the other server at the same time so only one server is actively exporting.

    Weitere Informationen finden Sie unter Stagingmodus.For more information, see Staging mode.

    Überprüfen der VerbundkonfigurationVerify your federation configuration

    Wenn Sie auf die Schaltfläche „Überprüfen“ klicken, überprüft Azure AD Connect die DNS-Einstellungen.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Intranet-KonnektivitätsprüfungenIntranet connectivity checks

    • Verbund-FQDN auflösen: Azure AD Connect überprüft, ob der Verbund-FQDN von DNS aufgelöst werden kann, um die Konnektivität zu gewährleisten.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Falls der FQDN nicht aufgelöst werden kann, ist die Überprüfung nicht erfolgreich.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Vergewissern Sie sich, dass der DNS-Eintrag für den Verbunddienst-FQDN vorhanden ist, damit die Überprüfung erfolgreich abgeschlossen werden kann.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • DNS-A-Eintrag: Azure AD Connect überprüft, ob für Ihren Verbunddienst ein A-Eintrag vorhanden ist.DNS A record: Azure AD Connect checks if there is an A record for your federation service. Sollte kein A-Eintrag vorhanden sein, ist die Überprüfung nicht erfolgreich.In the absence of an A record, the verification will fail. Erstellen Sie einen A-Eintrag (und keinen CNAME-Eintrag) für Ihren Verbund-FQDN, damit die Überprüfung erfolgreich abgeschlossen werden kann.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Extranet-KonnektivitätsprüfungenExtranet connectivity checks

    • Verbund-FQDN auflösen: Azure AD Connect überprüft, ob der Verbund-FQDN von DNS aufgelöst werden kann, um die Konnektivität zu gewährleisten.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Abgeschlossen

    Überprüfen

    Um zu überprüfen, ob die End-to-End-Authentifizierung erfolgreich war, sollten Sie manuell einen oder mehrere der folgenden Tests ausführen:To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Sobald die Synchronisierung abgeschlossen ist, überprüfen Sie mithilfe der zusätzlichen Aufgabe „Verbundanmeldung überprüfen“ in Azure AD Connect die Authentifizierung für ein lokales Benutzerkonto Ihrer Wahl.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Vergewissern Sie sich, dass Sie sich über den Browser eines in die Domäne eingebundenen Computers im Intranet anmelden können: Stellen Sie eine Verbindung mit https://myapps.microsoft.com her, und überprüfen Sie die Anmeldung mit dem angemeldeten Konto.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. Das integrierte AD DS-Administratorkonto wird nicht synchronisiert und kann nicht für die Überprüfung verwendet werden.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Vergewissern Sie sich, dass Sie sich auf einem Gerät über das Extranet anmelden können.Validate that you can sign in from a device from the extranet. Stellen Sie auf einem privaten Computer oder auf einem mobilen Gerät eine Verbindung mit https://myapps.microsoft.com her, und geben Sie Ihre Anmeldeinformationen an.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Überprüfen Sie die Anmeldung per Rich Client.Validate rich client sign-in. Stellen Sie eine Verbindung mit https://testconnectivity.microsoft.com her, klicken Sie auf die Registerkarte Office 365, und wählen Sie den Office 365-Test für einmaliges Anmelden aus.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    ProblembehandlungTroubleshooting

    Der folgende Abschnitt enthält Details zur Problembehandlung sowie Informationen, die hilfreich sind, wenn bei der Installation von Azure AD Connect Probleme auftreten.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    “The ADSync database already contains data and cannot be overwritten” (Die ADSync-Datenbank enthält bereits Daten und kann nicht überschrieben werden)“The ADSync database already contains data and cannot be overwritten”

    Wenn Sie die benutzerdefinierte Installation von Azure AD Connect durchführen und die Option Use an existing SQL server (Vorhandenen SQL-Server verwenden) auf der Seite Install required components (Erforderliche Komponenten installieren) verwenden, wird unter Umständen der folgende Fehler angezeigt: The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again. (Die ADSync-Datenbank enthält bereits Daten und kann nicht überschrieben werden. Entfernen Sie die vorhandene Datenbank, und versuchen Sie es noch mal.)When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Error

    Das liegt daran, dass bereits eine Datenbank mit dem Namen ADSync auf der SQL-Instanz des SQL-Servers, den Sie oben im Textfeld angegeben haben, vorhanden ist.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Dies tritt in der Regel nach der Deinstallation von Azure AD Connect auf.This typically occurs after you have uninstalled Azure AD Connect. Die Datenbank wird bei der Deinstallation nicht vom SQL Server gelöscht.The database will not be deleted from the SQL Server when you uninstall.

    Um dieses Problem zu beheben, stellen Sie zunächst sicher, dass die ADSync-Datenbank, die von Azure AD Connect vor der Deinstallation verwendet wurde, nicht mehr verwendet wird.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Als Nächstes empfiehlt es sich, dass Sie die Datenbank vor dem Löschen sichern.Next, it is recommended that you backup the database prior to deleting it.

    Zu guter Letzt müssen Sie die Datenbank löschen.Finally, you need to delete the database. Verwenden Sie hierfür Microsoft SQL Server Management Studio, und stellen Sie eine Verbindung mit der SQL-Instanz her.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Suchen Sie die ADSync-Datenbank, klicken Sie mit der rechten Maustaste darauf, und wählen Sie im Kontextmenü die Option Löschen.Find the ADSync database, right click on it, and select Delete from the context menu. Klicken Sie anschließend zum Löschen auf die Schaltfläche OK.Then click OK button to delete it.

    Error

    Nach dem Löschen der ADSync-Datenbank klicken Sie auf die Schaltfläche Installieren, um die Installation erneut zu versuchen.After you delete the ADSync database, you can click the install button, to retry installation.

    Nächste SchritteNext steps

    Melden Sie sich nach Abschluss der Installation von Windows ab und erneut wieder an, ehe Sie den Synchronisierungsdienst-Manager oder Synchronisierungsregel-Editor verwenden.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Nachdem Sie Azure AD Connect installiert haben, können Sie die Installation überprüfen und Lizenzen zuweisen.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Hier finden Sie weitere Informationen zu diesen Features, die bei der Installation aktiviert wurden: Azure AD Connect-Synchronisierung: Verhindern von versehentlichen Löschvorgängen und Überwachen der Azure AD Connect-Synchronisierung mit Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Weitere Informationen zu folgenden allgemeinen Themen: Scheduler und Auslösen der Synchronisierung.Learn more about these common topics: scheduler and how to trigger sync.

    Weitere Informationen zum Integrieren lokaler Identitäten in Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.