Vereisten voor Azure AD ConnectPrerequisites for Azure AD Connect

Dit onderwerp beschrijft de vereisten en de hardwarevereisten voor Azure AD Connect.This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Voordat u Azure AD Connect installerenBefore you install Azure AD Connect

Voordat u Azure AD Connect installeert, zijn er enkele dingen die u nodig hebt.Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Een Azure AD-tenant.An Azure AD tenant. U krijgt een met een gratis proefversie van Azure.You get one with an Azure free trial. U kunt een van de volgende portals voor het beheren van Azure AD Connect:You can use one of the following portals to manage Azure AD Connect:
  • Toevoegen en controleer of het domein u van plan bent te gebruiken in Azure AD.Add and verify the domain you plan to use in Azure AD. Bijvoorbeeld, als u van plan bent te gebruiken van contoso.com voor uw gebruikers en zorg ervoor dat dit domein is geverifieerd en u niet alleen het standaarddomein contoso.onmicrosoft.com gebruikt.For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • Een Azure AD-tenant kan door 50k-standaardobjecten.An Azure AD tenant allows by default 50k objects. Bij het controleren van uw domein, wordt de limiet wordt verhoogd tot 300 kB-objecten.When you verify your domain, the limit is increased to 300k objects. Als u nog meer objecten in Azure AD, moet u een ondersteuningsaanvraag in als u de limiet voor rekenquota nog verder wilt openen.If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. Als u meer dan 500 k-objecten, moet u een licentie, zoals Office 365, Azure AD Basic, Azure AD Premium of Enterprise Mobility and Security.If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.

Uw on-premises gegevens voorbereidenPrepare your on-premises data

On-premises Active DirectoryOn-premises Active Directory

  • Het AD-schema-versie en forest-functionaliteitsniveau moet WindowsServer 2003 of hoger.The AD schema version and forest functional level must be Windows Server 2003 or later. Domeincontrollers kunnen elke versie wordt uitgevoerd, zolang de schema- en forest niveau vereisten wordt voldaan.The domain controllers can run any version as long as the schema and forest level requirements are met.
  • Als u van plan bent om de functie te gebruiken wachtwoord terugschrijven, en vervolgens de domeincontrollers op Windows Server 2008 R2 of hoger zijn moet.If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 R2 or later.
  • De domeincontroller die wordt gebruikt door Azure AD moet beschrijfbaar zijn.The domain controller used by Azure AD must be writable. Het is niet ondersteund het gebruik van een RODC (alleen-lezen domeincontroller) en Azure AD Connect niet voldoet aan alle omleidingen schrijven.It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • Is het niet ondersteund gebruik van on-premises forests/domeinen met behulp van "gestippeld" (de naam van een punt bevat ".") NetBIOS-namen.It is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • Het verdient de Active Directory-Prullenbak inschakelen.It is recommended to enable the Active Directory recycle bin.

Azure AD Connect-serverAzure AD Connect server

  • Azure AD Connect kan niet worden geïnstalleerd op Small Business Server of Windows Server Essentials voordat 2019 (Windows Server Essentials 2019 wordt ondersteund).Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials before 2019 (Windows Server Essentials 2019 is supported). De server moet gebruikmaken van Windows Server standard of hoger.The server must be using Windows Server standard or better.
  • De Azure AD Connect-server moet een volledige GUI geïnstalleerd hebben.The Azure AD Connect server must have a full GUI installed. Het is niet ondersteund te installeren op server core.It is not supported to install on server core.
  • Azure AD Connect moet worden geïnstalleerd op Windows Server 2008 R2 of hoger.Azure AD Connect must be installed on Windows Server 2008 R2 or later. Deze server kan een domeincontroller of lidserver zijn als met express-instellingen.This server may be a domain controller or a member server when using express settings. Als u aangepaste instellingen, de server kan ook worden zelfstandige en hoeft niet te worden toegevoegd aan een domein.If you use custom settings, then the server can also be stand-alone and does not have to be joined to a domain.
  • Als u Azure AD Connect op Windows Server 2008 R2 installeert, Controleer of de meest recente hotfixes toepassen van Windows Update.If you install Azure AD Connect on Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. De installatie kan niet beginnen met een niet-gepatchte server.The installation is not able to start with an unpatched server.
  • Als u van plan bent om de functie te gebruiken Wachtwoordsynchronisatie, en vervolgens de Azure AD Connect-server moet zich op Windows Server 2008 R2 SP1 of hoger.If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.
  • Als u van plan bent te gebruiken een groep beheerd serviceaccount, en vervolgens de Azure AD Connect-server moet zich op Windows Server 2012 of hoger.If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.
  • De Azure AD Connect-server moet hebben .NET Framework 4.5.1 of hoger en Microsoft PowerShell 3.0 of hoger is geïnstalleerd.The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.
  • De Azure AD Connect-server mag geen PowerShell transcriptie-Groepsbeleid is ingeschakeld.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.
  • Als Active Directory Federation Services wordt geïmplementeerd, de servers waarop de AD FS of Web Application Proxy zijn geïnstalleerd moet Windows Server 2012 R2 of hoger.If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. Windows remote management moet zijn ingeschakeld op deze servers voor installatie op afstand.Windows remote management must be enabled on these servers for remote installation.
  • Als Active Directory Federation Services wordt geïmplementeerd, moet u SSL-certificaten.If Active Directory Federation Services is being deployed, you need SSL Certificates.
  • Als Active Directory Federation Services wordt geïmplementeerd, dan moet u configureren naamomzetting.If Active Directory Federation Services is being deployed, then you need to configure name resolution.
  • Als uw globale beheerders hebben MFA ingeschakeld, klikt u vervolgens de URL https://secure.aadcdn.microsoftonline-p.com moet zich in de lijst met vertrouwde sites.If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. U wordt gevraagd deze website aan de lijst met vertrouwde sites toevoegen wanneer u wordt gevraagd om een MFA-controle en deze niet is toegevoegd voordat.You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. U kunt Internet Explorer toe te voegen aan uw vertrouwde sites.You can use Internet Explorer to add it to your trusted sites.

SQL-Server die wordt gebruikt door Azure AD ConnectSQL Server used by Azure AD Connect

  • Azure AD Connect vereist een SQL Server-database voor het opslaan van identiteitsgegevens.Azure AD Connect requires a SQL Server database to store identity data. Een SQL Server 2012 Express LocalDB (een eenvoudige versie van SQL Server Express) wordt standaard geïnstalleerd.By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. SQL Server Express heeft een limiet van 10GB waarmee u voor het beheren van ongeveer 100.000 objecten.SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. Als u nodig hebt voor het beheren van een hoger aantal directory-objecten, moet u de installatiewizard verwijzen naar een andere installatie van SQL Server.If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server.
  • Als u een afzonderlijke SQL Server gebruikt, klikt u vervolgens deze vereisten zijn van toepassing:If you use a separate SQL Server, then these requirements apply:
    • Azure AD Connect biedt ondersteuning voor alle versies van Microsoft SQL Server van SQL Server 2008 (met de meest recente servicepack) naar SQL Server 2017.Azure AD Connect supports all versions of Microsoft SQL Server from SQL Server 2008 (with latest Service Pack) to SQL Server 2017. Microsoft Azure SQL Database is niet ondersteund als een database.Microsoft Azure SQL Database is not supported as a database.
    • U moet een niet-hoofdlettergevoelige SQL-sortering gebruiken.You must use a case-insensitive SQL collation. Deze sorteringen worden aangeduid met een _CI_ in hun naam.These collations are identified with a _CI_ in their name. Het is niet ondersteund voor het gebruik van een hoofdlettergevoelige sortering, geïdentificeerd door _CS_ in hun naam.It is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • U kunt slechts één synchronisatie-engine per SQL-exemplaar hebben.You can only have one sync engine per SQL instance. Het is niet ondersteund voor het delen van een SQL-exemplaar met FIM/MIM Sync, DirSync of Azure AD Sync.It is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

AccountsAccounts

  • Een globale beheerder van Azure AD-account voor de Azure AD-tenant die u wilt integreren in.An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. Dit account moet een school-of organisatieaccount en mag niet een Microsoft-account.This account must be a school or organization account and cannot be a Microsoft account.
  • Als u expresinstellingen gebruiken of een van DirSync upgrade, moet u een Enterprise-beheerdersaccount hebben voor uw on-premises Active Directory.If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your on-premises Active Directory.
  • Accounts in Active Directory als u het installatiepad van aangepaste instellingen of een Enterprise-beheerder-account voor uw on-premises Active Directory.Accounts in Active Directory if you use the custom settings installation path or an Enterprise Administrator account for your on-premises Active Directory.

ConnectiviteitConnectivity

  • De Azure AD Connect-server moet DNS-omzetting voor intranet en internet.The Azure AD Connect server needs DNS resolution for both intranet and internet. De DNS-server moet kunnen omzetten van namen van zowel uw on-premises Active Directory en de Azure AD-eindpunten.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • Als u firewalls op het Intranet en u moet poorten openen tussen de Azure AD Connect-servers en domeincontrollers, vervolgens worden Azure AD Connect poorten voor meer informatie.If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • Als uw proxy of firewall beperken welke URL's kunnen worden geopend, wordt de URL's die zijn gedocumenteerd in Office 365-URL's en IP-adresbereiken moet worden geopend.If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • Azure AD Connect (versie 1.1.614.0 en na) maakt standaard gebruik van TLS 1.2 voor het versleutelen van communicatie tussen de synchronisatie-engine en Azure AD.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. Als TLS 1.2 is niet beschikbaar in het onderliggende besturingssysteem, terugvalt Azure AD Connect incrementeel op het oudere protocollen (TLS 1.1 en TLS 1.0).If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0).
  • Voorafgaand aan versie 1.1.614.0, Azure AD Connect standaard TLS 1.0 gebruikt voor het versleutelen van communicatie tussen de synchronisatie-engine en Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. Als u wilt wijzigen in TLS 1.2, volg de stappen in TLS 1.2 inschakelen voor Azure AD Connect.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • Als u een uitgaande proxy om verbinding te maken met Internet, de volgende instelling in de C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config bestand moet worden toegevoegd voor de installatiewizard en Azure AD Connect-synchronisatie om te kunnen verbinding maken met Internet en Azure AD.If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. Deze tekst moet worden opgegeven aan de onderkant van het bestand.This text must be entered at the bottom of the file. In deze code <PROXYADDRESS> de werkelijke proxy IP-adres of de hostnaam naam vertegenwoordigt.In this code, <PROXYADDRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Als uw proxyserver is vereist voor verificatie, dan zal de -serviceaccount moet zich bevinden in het domein en moet u het installatiepad van aangepaste instellingen om op te geven een aangepast serviceaccount.If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. U moet ook een andere wijziging in machine.config. Met deze wijziging in machine.config reageren de installatie-engine van de wizard en synchroniseren op verificatieaanvragen van de proxyserver.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. In alle installatie wizardpagina's, met uitzondering van de configureren pagina, de ondertekende in van de gebruiker referenties worden gebruikt.In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. Op de configureren pagina aan het einde van de installatiewizard van de context is overgeschakeld naar de -serviceaccount die door u is gemaakt.On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. De sectie machine.config moet er als volgt.The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Wanneer Azure AD Connect een webaanvraag naar Azure AD als onderdeel van directory-synchronisatie verzendt, is Azure AD kunnen tot vijf minuten om te reageren.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. Het is gebruikelijk voor proxyservers configuratie van de time-out voor inactiviteit verbinding hebben.It is common for proxy servers to have connection idle timeout configuration. Controleer of dat de configuratie is ingesteld op ten minste 6 minuten of langer.Please ensure the configuration is set to at least 6 minutes or more.

Zie MSDN voor meer informatie over de proxy Element standaard.For more information, see MSDN about the default proxy Element.
Zie voor meer informatie als u problemen met de connectiviteit, connectiviteitsproblemen.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

OverigeOther

  • Optioneel: Een gebruikersaccount voor de test om te controleren of de synchronisatie.Optional: A test user account to verify synchronization.

Vereisten voor onderdelenComponent prerequisites

PowerShell en .NET FrameworkPowerShell and .NET Framework

Azure AD Connect, is afhankelijk van Microsoft PowerShell en .NET Framework 4.5.1.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. U moet deze versie of een latere versie is geïnstalleerd op uw server.You need this version or a later version installed on your server. Afhankelijk van uw versie van Windows Server, het volgende doen:Depending on your Windows Server version, do the following:

  • Windows Server 2012R2Windows Server 2012R2
    • Microsoft PowerShell is standaard geïnstalleerd.Microsoft PowerShell is installed by default. Geen actie vereist.No action is required.
    • .NET framework 4.5.1 en latere releases worden aangeboden via Windows Update..NET Framework 4.5.1 and later releases are offered through Windows Update. Zorg ervoor dat u de meest recente updates hebt geïnstalleerd met Windows Server in het Configuratiescherm.Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008 R2 en Windows Server 2012Windows Server 2008 R2 and Windows Server 2012

TLS 1.2 inschakelen voor Azure AD ConnectEnable TLS 1.2 for Azure AD Connect

Voorafgaand aan versie 1.1.614.0, Azure AD Connect standaard TLS 1.0 gebruikt voor het versleutelen van de communicatie tussen de synchronisatie-engine-server en Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. U kunt dit wijzigen door het configureren van .net-toepassingen kunnen gebruikmaken van TLS 1.2 standaard op de server.You can change this by configuring .Net applications to use TLS 1.2 by default on the server. Meer informatie over TLS 1.2 kan worden gevonden Microsoft Security Advisory 2960358.More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. TLS 1.2 kan niet worden ingeschakeld voordat u Windows Server 2008 R2 of hoger.TLS 1.2 cannot be enabled prior to Windows Server 2008 R2 or later. Zorg ervoor dat u de .net 4.5.1 hotfix voor uw besturingssysteem geïnstalleerd hebben, Zie Microsoft Security Advisory 2960358.Make sure you have the .Net 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. Mogelijk hebt u deze hotfix of een latere versie is al geïnstalleerd op uw server.You might have this hotfix or a later release installed on your server already.
  2. Als u Windows Server 2008 R2 gebruikt, Controleer of dat TLS 1.2 is ingeschakeld.If you use Windows Server 2008 R2, then make sure TLS 1.2 is enabled. TLS 1.2 moeten al zijn ingeschakeld op de server van Windows Server 2012 en latere versies.On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    
  3. Voor alle besturingssystemen, stelt u deze registersleutel en de server opnieuw opstarten.For all operating systems, set this registry key and restart the server.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  4. Als u ook wilt TLS 1.2 inschakelen tussen de synchronisatie-engine-server en een externe SQL Server en zorg ervoor dat u de vereiste versies geïnstalleerd hebt voor TLS 1.2-ondersteuning voor Microsoft SQL Server.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Vereisten voor de federation-installatie en configuratiePrerequisites for federation installation and configuration

Windows Remote ManagementWindows Remote Management

Wanneer u Azure AD Connect gebruikt om Active Directory Federation Services of de Web Application Proxy te implementeren, Controleer de volgende vereisten:When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • Als de doel-server toegevoegd aan een domein is, zorg ervoor dat Windows extern beheerde is ingeschakeldIf the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • Gebruik in een venster met verhoogde bevoegdheid PSH opdracht opdracht Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
  • Als de doelserver is een niet-domein WAP-machine, wordt er zijn een aantal aanvullende vereistenIf the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • Op de doelcomputer (WAP-machine):On the target machine (WAP machine):
      • Zorg ervoor dat de winrm (Windows Remote Management / WS-Management)-service wordt uitgevoerd via de module ServicesEnsure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • Gebruik in een venster met verhoogde bevoegdheid PSH opdracht opdracht Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
    • Op de computer waarop de wizard wordt uitgevoerd (als de doel-VM niet van het domein is toegevoegd aan of niet-vertrouwd domein is):On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • Gebruik de opdracht in een venster met verhoogde bevoegdheid PSH opdracht Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –ConcatenateIn an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • In Server Manager:In Server Manager:
        • DMZ WAP-host aan de Machinegroep toevoegen (Serverbeheer -> beheren-Servers toevoegen... > tabblad DNS gebruiken)add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • Tabblad alle Servers van Serverbeheer: klik WAP-server met de rechtermuisknop en kies beheren opslaan als..., voer de referenties voor lokale (niet-domein) voor de WAP-machineServer Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • Voor het valideren van externe PSH verbindingen, op het tabblad alle Servers van Serverbeheer: klik WAP-server met de rechtermuisknop en kies Windows PowerShell.To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. Een externe PSH-sessie moet openen om te controleren of externe PowerShell-sessies kunnen worden gemaakt.A remote PSH session should open to ensure remote PowerShell sessions can be established.

Vereisten voor SSL-certificatenSSL Certificate Requirements

  • Het is raadzaam het SSL-certificaat gebruiken voor alle knooppunten van uw AD FS-farm en alle Web Application proxy-servers.It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • Het certificaat moet een X509 certificaat.The certificate must be an X509 certificate.
  • U kunt een zelfondertekend certificaat gebruiken op de federation-servers in een testomgeving.You can use a self-signed certificate on federation servers in a test lab environment. Echter, voor een productie-omgeving, wordt aangeraden dat u het certificaat van een openbare CA verkrijgen.However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • Als u een certificaat dat is niet openbaar vertrouwde, zorgt u ervoor dat het certificaat is geïnstalleerd op elke Web Application Proxy-server vertrouwd op de lokale server en op alle federatieservers wordtIf using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • De identiteit van het certificaat moet overeenkomen met de naam van de federation-service (bijvoorbeeld sts.contoso.com).The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • De identiteit is ofwel een onderwerp alternatieve naam (SAN)-extensie van type DNS-naam of, als er geen SAN-vermeldingen zijn, de naam van het onderwerp moet worden opgegeven als algemene naam.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • Meerdere vermeldingen met SAN kunnen aanwezig zijn in het certificaat opgegeven een van deze overeenkomt met de naam van de federation-service.Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • Als u van plan bent te gebruiken met Workplace Join, een extra SAN is vereist bij de waarde enterpriseregistratie.If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. gevolgd door het achtervoegsel van de UPN (User Principal Name) van uw organisatie, bijvoorbeeld : enterpriseregistration.contoso.com.followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • Certificaten op basis van de volgende generatie (CNG) sleutels CryptoAPI en sleutelarchiefproviders worden niet ondersteund.Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. Dit betekent dat u een certificaat op basis van een CSP (cryptographic serviceprovider) en niet een KSP (sleutelarchiefprovider) moet gebruiken.This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • Jokertekens certificaten worden ondersteund.Wild-card certificates are supported.

Naamomzetting voor federatieserversName resolution for federation servers

  • Instellen van DNS-records voor het AD FS federation-service (bijvoorbeeld sts.contoso.com) voor zowel het intranet (uw interne DNS-server) als de extranet (openbare DNS-via uw domeinregistrar).Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). Zorg ervoor dat u een voor de intranet-DNS-record, records en geen CNAME-records.For the intranet DNS record, ensure that you use A records and not CNAME records. Dit is vereist voor windows-verificatie correct te laten werken op uw computer is toegevoegd aan het domein.This is required for windows authentication to work correctly from your domain joined machine.
  • Als u meer dan één AD FS-server of Web Application Proxy server implementeert, controleer dan dat u de load balancer hebt geconfigureerd en dat de DNS-records voor de naam van de AD FS federation-service (bijvoorbeeld sts.contoso.com) aan de load balancer verwijzen.If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • Voor geïntegreerde windows-verificatie om te werken voor browser-toepassingen met behulp van Internet Explorer in uw intranet, zorg ervoor dat de naam van de AD FS federation-service (bijvoorbeeld sts.contoso.com) is toegevoegd aan de zone Lokaal intranet in Internet Explorer.For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. Dit kan worden beheerd via Groepsbeleid en geïmplementeerd voor alle computers in uw domein.This can be controlled via group policy and deployed to all your domain joined computers.

Azure AD Connect ondersteunende onderdelenAzure AD Connect supporting components

Hier volgt een lijst van onderdelen die Azure AD Connect installeert op de server waarop Azure AD Connect is geïnstalleerd.The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. Deze lijst is voor een basisinstallatie van Express.This list is for a basic Express installation. Als u een andere SQL Server op de pagina installatie synchronisatie services gebruiken wilt, is SQL Express LocalDB niet lokaal geïnstalleerd.If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect Health (Engelstalig)Azure AD Connect Health
  • Microsoft SQL Server 2012 Command Line UtilitiesMicrosoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Express LocalDBMicrosoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native ClientMicrosoft SQL Server 2012 Native Client
  • Microsoft Visual C++ 2013-distributiepakketMicrosoft Visual C++ 2013 Redistribution Package

Hardwarevereisten voor Azure AD ConnectHardware requirements for Azure AD Connect

De onderstaande tabel ziet u de minimale vereisten voor de Azure AD Connect sync-computer.The table below shows the minimum requirements for the Azure AD Connect sync computer.

Aantal objecten in Active DirectoryNumber of objects in Active Directory CPUCPU GeheugenMemory Grootte van de harde schijfHard drive size
Minder dan 10.000Fewer than 10,000 1, 6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
10,000–50,00010,000–50,000 1, 6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
50,000–100,00050,000–100,000 1, 6 GHz1.6 GHz 16 GB16 GB 100 GB100 GB
100.000 of meer objecten die is de volledige versie van SQL Server vereist voorFor 100,000 or more objects the full version of SQL Server is required
100,000–300,000100,000–300,000 1, 6 GHz1.6 GHz 32 GB32 GB 300 GB300 GB
300,000–600,000300,000–600,000 1, 6 GHz1.6 GHz 32 GB32 GB 450 GB450 GB
Meer dan 600.000More than 600,000 1, 6 GHz1.6 GHz 32 GB32 GB 500 GB500 GB

De minimale vereisten voor computers met AD FS of Web Application Servers is het volgende:The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • CPU: Dual-core, 1,6 GHz of hogerCPU: Dual core 1.6 GHz or higher
  • GEHEUGEN: 2 GB of hogerMEMORY: 2 GB or higher
  • Azure-VM: Configuratie van a2 of hogerAzure VM: A2 configuration or higher

Volgende stappenNext steps

Lees meer over het integreren van uw on-premises identiteiten met Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.