Niestandardowa instalacja programu Azure AD ConnectCustom installation of Azure AD Connect

Opcja Ustawienia niestandardowe programu Azure AD Connect umożliwia skorzystanie z większej liczby opcji instalacji.Azure AD Connect Custom settings is used when you want more options for the installation. Jest używana w przypadku występowania wielu lasów lub w celu skonfigurowania funkcji opcjonalnych, których nie obejmuje instalacja ekspresowa.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Jest przydatna w każdej sytuacji, gdy opcja instalacji ekspresowej nie zaspokaja potrzeb związanych z wdrożeniem lub topologią.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Przed rozpoczęciem instalacji należy pobrać program Azure AD Connect i wykonać czynności związane z wymaganiami wstępnymi opisane w temacie Azure AD Connect: sprzęt i wymagania wstępne.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Sprawdź także, czy dostępne są wymagane konta, zgodnie z opisem w temacie Konta i uprawnienia w programie Azure AD Connect.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Jeśli dostosowane ustawienia nie są zgodne z topologią, na przykład w celu uaktualnienia narzędzia DirSync zapoznaj się z innymi scenariuszami.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Instalacja programu Azure AD Connect z ustawieniami niestandardowymiCustom settings installation of Azure AD Connect

Ustawienia ekspresoweExpress Settings

Na tej stronie kliknij opcję Dostosuj, aby rozpocząć instalację z ustawieniami niestandardowymi.On this page, click Customize to start a customized settings installation.

Instalacja wymaganych składnikówInstall required components

Podczas instalowania usług synchronizacji sekcja konfiguracji opcjonalnej może pozostać niezaznaczona, a wszystkie ustawienia zostaną automatycznie skonfigurowane w programie Azure AD Connect.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Obejmuje to skonfigurowanie wystąpienia bazy danych SQL Server 2012 Express LocalDB, utworzenie odpowiednich grup i przypisanie uprawnień.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Jeśli chcesz zmienić ustawienia domyślne, zapoznaj się z dostępnymi wariantami konfiguracji opcjonalnej przedstawionymi w poniższej tabeli.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Wymagane składniki

Konfiguracja opcjonalnaOptional Configuration OpisDescription
Użyj istniejącego serwera SQL ServerUse an existing SQL Server Pozwala określić nazwę serwera SQL Server i nazwę wystąpienia.Allows you to specify the SQL Server name and the instance name. Wybierz tę opcję, jeśli masz już serwer baz danych, którego chcesz użyć.Choose this option if you already have a database server that you would like to use. Wprowadź nazwę wystąpienia, a następnie przecinek i numer portu w polu Nazwa wystąpienia, jeśli na serwerze SQL Server jest wyłączona funkcja przeglądania.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Następnie określ nazwę bazy danych Azure AD Connect.Then specify the name of the Azure AD Connect database. Twoje uprawnienia SQL określają, czy zostanie utworzona nowa baza danych, czy administrator SQL musi najpierw utworzyć bazę danych.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Jeśli masz uprawnienia SQL SA, zobacz jak zainstalować program przy użyciu istniejącej bazy danych.If you have SQL SA permissions see How to install using an existing database. Jeśli masz uprawnienia delegowane (DBO), zobacz instalowanie Azure AD Connect z uprawnieniami administratora delegowanego SQL.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Użyj istniejącego konta usługiUse an existing service account Domyślnie program Azure AD Connect korzysta z wirtualnego konta usługi na potrzeby usług synchronizacji.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Jeśli używasz zdalnego serwera SQL lub serwera proxy wymagającego uwierzytelnienia, musisz użyć zarządzanego konta usługi lub konta usługi w domenie, do którego znasz hasło.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. W takich przypadkach wprowadź konto do użycia.In those cases, enter the account to use. Upewnij się, że użytkownik wykonujący instalację jest administratorem systemu na serwerze SQL, aby można było utworzyć identyfikator logowania dla konta usługi.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. Zobacz temat Azure AD Connect accounts and permissions (Konta i uprawnienia w programie Azure AD Connect).See Azure AD Connect accounts and permissions.
Od ostatniej kompilacji aprowizowanie bazy danych może wykonać poza pasmem administrator usługi SQL, a jej instalację może następnie przeprowadzić administrator programu Azure AD Connect z uprawnieniami właściciela bazy danych.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Aby uzyskać więcej informacji, zobacz temat Install Azure AD Connect using SQL delegated administrator permissions (Instalowanie programu Azure AD Connect za pomocą delegowanych uprawnień administratora usługi SQL).For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Określ niestandardowe grupy synchronizacjiSpecify custom sync groups Domyślnie program Azure AD Connect tworzy cztery grupy lokalne na serwerze podczas instalowania usług synchronizacji.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Są to: grupa administratorów, grupa operatorów, grupa przeglądania i grupa resetowanie hasła.These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Możesz tu określić własne grupy.You can specify your own groups here. Grupy muszą być lokalne na serwerze i nie mogą znajdować się w domenie.The groups must be local on the server and cannot be located in the domain.

Logowanie użytkownikówUser sign-in

Po zainstalowaniu wymaganych składników zostanie wyświetlony monit o wybranie metody logowania jednokrotnego dla użytkowników.After installing the required components, you are asked to select your users single sign-on method. Poniższa tabela zawiera krótki opis dostępnych opcji.The following table provides a brief description of the available options. Pełny opis metod logowania znajduje się w temacie Logowanie użytkowników.For a full description of the sign-in methods, see User sign-in.

Logowanie użytkownika

Opcja logowania jednokrotnegoSingle Sign On option OpisDescription
Synchronizacja skrótów hasełPassword Hash Sync Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Office 365, przy użyciu tego samego hasła, którego używają w sieci lokalnej.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Hasła użytkowników są synchronizowane z usługą Azure AD jako skrót hasła, a uwierzytelnianie odbywa się w chmurze.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Więcej informacji znajduje się w temacie Synchronizacja skrótów haseł.See Password hash synchronization for more information.
Uwierzytelnianie przekazywanePass-through Authentication Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Office 365, przy użyciu tego samego hasła, którego używają w sieci lokalnej.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Hasło użytkownika jest przekazywane do lokalnego kontrolera domeny usługi Active Directory w celu przeprowadzenia walidacji.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Federacja z usługami AD FSFederation with AD FS Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Office 365, przy użyciu tego samego hasła, którego używają w sieci lokalnej.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Użytkownicy są przekierowywani do wystąpienia lokalnych usług AD FS w celu zalogowania, a uwierzytelnianie odbywa się lokalnie.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Federacja z serwerem PingFederateFederation with PingFederate Użytkownicy mogą logować się do usług w chmurze firmy Microsoft, takich jak Office 365, przy użyciu tego samego hasła, którego używają w sieci lokalnej.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Użytkownicy są przekierowywani do lokalnego wystąpienia serwera PingFederate w celu zalogowania, a uwierzytelnianie odbywa się lokalnie.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
Nie konfigurujDo not configure Żadna z funkcji logowania użytkownika nie została zainstalowana ani skonfigurowana.No user sign-in feature is installed and configured. Wybierz tę opcję, jeśli masz już serwer federacyjny innej firmy lub korzystasz z innego rozwiązania.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Włącz logowanie jednokrotneEnable Single Sign on Ta opcja jest dostępna w przypadku synchronizacji skrótów haseł i uwierzytelniania przekazywanego. Udostępnia ona funkcję logowania jednokrotnego użytkownikom pulpitu w sieci firmowej.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Aby uzyskać więcej informacji, zobacz Logowanie jednokrotne.See Single sign-on for more information.
W przypadku klientów usług AD FS ta opcja jest niedostępna, ponieważ usługi AD FS umożliwiają logowanie jednokrotne na tym samym poziomie.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Łączenie z usługą Azure ADConnect to Azure AD

Na ekranie Łączenie z usługą Azure AD wprowadź konto administratora globalnego i hasło.On the Connect to Azure AD screen, enter a global admin account and password. W przypadku wybrania opcji Federacja z usługami AD FS na poprzedniej stronie nie loguj się na koncie w domenie, którą planujesz włączyć dla federacji.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Zaleca się użycie konta w domyślnej domenie onmicrosoft.com, która jest dołączona do dzierżawy usługi Azure AD.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

To konto służy tylko do tworzenia konta usługi w usłudze Azure AD i nie jest używane po zakończeniu pracy kreatora.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Logowanie użytkownika

Jeśli na koncie administratora globalnego jest włączone uwierzytelnianie MFA, musisz ponownie podać hasło w menu podręcznym logowania i wykonać żądanie uwierzytelniania MFA.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. Żądanie może obejmować podanie kodu weryfikacyjnego lub rozmowę telefoniczną.The challenge could be a providing a verification code or a phone call.
Logowanie użytkownika w usłudze MFA

Na koncie administratora globalnego może być również włączona opcja Privileged Identity Management.The global admin account can also have Privileged Identity Management enabled.

Jeśli wystąpi błąd lub problemy z łącznością, zobacz Rozwiązywanie problemów z łącznością.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Strony w sekcji SynchronizacjaPages under the Sync section

Podłączanie katalogówConnect your directories

Aby połączyć się z usługami Active Directory Domain Services, program Azure AD Connect potrzebuje nazwy lasu i poświadczeń konta z wystarczającymi uprawnieniami.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Podłączanie katalogu

Po wprowadzeniu nazwy lasu i kliknięciu pozycji Dodaj katalog zostanie wyświetlone podręczne okno dialogowe z prośbą o wybranie odpowiedniej opcji:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

OpcjaOption OpisDescription
Utwórz nowe kontoCreate new account Wybierz tę opcję, jeśli chcesz, aby kreator programu Azure AD Connect utworzył konto usługi AD DS wymagane przez program Azure AD Connect na potrzeby nawiązywania połączenia z lasem usługi AD podczas synchronizacji katalogów.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Jeśli wybierzesz tę opcję, wprowadź nazwę użytkownika i hasło konta administratora przedsiębiorstwa.When this option is selected, enter the username and password for an enterprise admin account. Podane konto administratora przedsiębiorstwa będzie używane przez kreatora programu Azure AD Connect do utworzenia wymaganego konta usługi AD DS.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Możesz wprowadzić domenę w formacie NetBios lub FQDN, czyli FABRIKAM\administrator lub fabrikam.com\administrator.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Użyj istniejącego kontaUse existing account Wybierz tę opcję, jeśli chcesz, aby podczas synchronizacji katalogów do nawiązywania połączenia z lasem usługi AD program Azure AD Connect używał istniejącego konta usługi AD DS.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Możesz wprowadzić domenę w formacie NetBios lub FQDN, tj. FABRIKAM\syncuser lub fabrikam.com\syncuser.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. To konto może być kontem zwykłego użytkownika, ponieważ wymaga tylko domyślnych uprawnień odczytu.This account can be a regular user account because it only needs the default read permissions. Jednak w zależności od scenariusza, mogą być potrzebne większe uprawnienia.However, depending on your scenario, you may need more permissions. Więcej informacji znajduje się w temacie Konta i uprawnienia w programie Azure AD Connect.For more information, see Azure AD Connect Accounts and permissions.

Podłączanie katalogu

Konta administratorów przedsiębiorstwa i administratorów domeny nie są obsługiwaneEnterprise Admin and Domain Admin accounts not supported

W przypadku kompilacji 1.4.18.0 nie jest już obsługiwane używanie konta administratora przedsiębiorstwa lub administratora domeny jako konta łącznika AD DS.As of build 1.4.18.0 it is no longer supported to use an Enterprise Admin or a Domain Admin account as the AD DS Connector account. Jeśli podczas określania użycia istniejącego kontazostanie podjęta próba wprowadzenia konta administratora przedsiębiorstwa lub administratora domeny, zostanie wyświetlony następujący błąd:If you attempt to enter an account that is an enterprise admin or domain admin when specifying use existing account, you will receive the following error:

"Korzystanie z konta administratora przedsiębiorstwa lub domeny dla konta lasu usługi AD jest niedozwolone. Zezwól Azure AD Connect utworzyć konta lub określ konto synchronizacji z odpowiednimi uprawnieniami. <Dowiedz się więcej>"“Using an Enterprise or Domain administrator account for your AD forest account is not allowed. Let Azure AD Connect create the account for you or specify a synchronization account with the correct permissions. <Learn More>”

Konfiguracja logowania się w usłudze Azure ADAzure AD sign-in configuration

Ta strona umożliwia przeglądanie domen UPN obecnych w lokalnych usługach AD DS oraz tych, które zostały zweryfikowane w usłudze Azure AD.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Umożliwia również skonfigurowanie atrybutu dla właściwości userPrincipalName.This page also allows you to configure the attribute to use for the userPrincipalName.

Niezweryfikowane domenyUnverified domains
Sprawdź wszystkie domeny z oznaczeniem Nie dodano lub Nie zweryfikowano.Review every domain marked Not Added and Not Verified. Upewnij się, że używane domeny zostały zweryfikowane w usłudze Azure AD.Make sure those domains you use have been verified in Azure AD. Po zweryfikowaniu domen kliknij symbol Odśwież.Click the Refresh symbol when you have verified your domains. Więcej informacji znajduje się w temacie zawierającym opis sposobów dodawania i weryfikowania domenyFor more information, see add and verify the domain

UserPrincipalName — atrybut userPrincipalName jest używany podczas logowania się w usługach Azure AD i Office 365.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Używane domeny, zwane również sufiksem głównej nazwy użytkownika, należy zweryfikować w usłudze Azure AD przed zsynchronizowaniem użytkowników.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Firma Microsoft zaleca zachowanie domyślnego atrybutu userPrincipalName.Microsoft recommends to keep the default attribute userPrincipalName. Jeśli atrybut ten jest nierutowalny i nie można go zweryfikować, możliwe jest wybranie innego atrybutu.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. Można na przykład wybrać adres e-mail jako atrybut zawierający identyfikator logowania.You can for example select email as the attribute holding the sign-in ID. Użycie atrybutu innego niż userPrincipalName jest określane jako alternatywny identyfikator.Using another attribute than userPrincipalName is known as Alternate ID. Wartość atrybutu alternatywnego identyfikatora musi być zgodna ze standardem RFC822.The Alternate ID attribute value must follow the RFC822 standard. Alternatywny identyfikator może być używany na potrzeby synchronizacji skrótów haseł, uwierzytelniania przekazywanego i federacji.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. Atrybut nie może zostać zdefiniowany w usłudze Active Directory jako wielowartościowy nawet wtedy, gdy ma tylko jedną wartość.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value. Aby uzyskać więcej informacji na temat identyfikatora alternatywnego, kliknij tutaj.For more information on the Alternate ID, please click here.

Uwaga

Po włączeniu funkcji uwierzytelniania przekazywanego trzeba mieć co najmniej jedną zweryfikowaną domenę, aby można było kontynuować pracę w kreatorze.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Ostrzeżenie

Korzystanie z alternatywnego identyfikatora nie jest zgodne ze wszystkimi zadaniami usługi Office 365.Using an Alternate ID is not compatible with all Office 365 workloads. Więcej informacji można znaleźć w temacie Konfigurowanie alternatywnego identyfikatora logowania.For more information, refer to Configuring Alternate Login ID.

Filtrowanie domen i jednostek organizacyjnychDomain and OU filtering

Domyślnie wszystkie domeny i jednostki organizacyjne są zsynchronizowane.By default all domains and OUs are synchronized. Jeśli istnieją jakieś domeny lub jednostki organizacyjne, których nie chcesz synchronizować z usługą Azure AD, możesz usunąć zaznaczenie tych domen i jednostek organizacyjnych.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Filtrowanie domen i jednostek organizacyjnychDomainOU filtering
Ta strona kreatora służy do konfigurowania filtrowania opartego na domenie i jednostce organizacyjnej.This page in the wizard is configuring domain-based and OU-based filtering. Jeżeli planujesz wprowadzić zmiany, zobacz filtrowanie oparte na domenie i filtrowanie oparte na jednostce organizacyjnej przed wprowadzeniem tych zmian.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Niektóre jednostki organizacyjne są niezbędne do działania i powinny pozostać zaznaczone.Some OUs are essential for the functionality and should not be unselected.

Jeśli używasz filtrowania opartego na jednostce organizacyjnej z programem Azure AD Connect w wersji wcześniejszej niż 1.1.524.0, nowe jednostki organizacyjne dodane później są domyślnie synchronizowane.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Aby nowe jednostki organizacyjne nie były synchronizowane, możesz skonfigurować odpowiednie ustawienie po zakończeniu działania kreatora w zakresie filtrowania opartego na jednostce organizacyjnej.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. W przypadku programu Azure AD Connect w wersji 1.1.524.0 lub nowszej można wskazać, czy nowe jednostki organizacyjne mają być synchronizowane.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Jeśli planujesz używać filtrowania opartego na grupie, upewnij się, że jednostka organizacyjna z grupą jest uwzględniona i nie została odfiltrowana przy użyciu filtrowania opartego na jednostce organizacyjnej.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. Filtrowanie oparte na jednostce organizacyjnej jest stosowane przed filtrowaniem opartym na grupie.OU filtering is evaluated before group-based filtering.

Istnieje również możliwość, że niektóre domeny są niedostępne z powodu ograniczeń zapory.It is also possible that some domains are not reachable due to firewall restrictions. Te domeny są domyślnie niezaznaczone i wyświetlane jest dla nich ostrzeżenie.These domains are unselected by default and have a warning.
Niedostępne domeny
Jeśli takie ostrzeżenie zostanie wyświetlone, sprawdź, czy te domeny są rzeczywiście niedostępne i ostrzeżenie jest oczekiwane.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Unikatowa identyfikacja użytkownikówUniquely identifying your users

Wybieranie sposobu identyfikowania użytkowników w katalogach lokalnychSelect how users should be identified in your on-premises directories

Funkcja dopasowywania w lasach umożliwia określenie, jak użytkownicy z lasów usługi AD DS są wyświetlani w usłudze Azure AD.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Użytkownik może być wyświetlany tylko jeden raz we wszystkich lasach lub mieć kombinację włączonych i wyłączonych kont.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. W niektórych lasach użytkownik może być także wyświetlany jako kontakt.The user might also be represented as a contact in some forests.

Unikatowe

UstawienieSetting OpisDescription
Obsługiwani użytkownicy są reprezentowani jednokrotnie we wszystkich lasachUsers are only represented once across all forests Wszyscy użytkownicy są utworzeni jako pojedyncze obiekty w usłudze Azure AD.All users are created as individual objects in Azure AD. Obiekty nie są łączone w magazynie metaverse.The objects are not joined in the metaverse.
Atrybut pocztyMail attribute Ta opcja łączy użytkowników i kontakty, jeśli atrybut poczty ma taką samą wartość w różnych lasach.This option joins users and contacts if the mail attribute has the same value in different forests. Tej opcji należy użyć w przypadku, gdy kontakty zostały utworzone przy użyciu usługi GALSync.Use this option when your contacts have been created using GALSync. Jeśli ta opcja zostanie wybrana, obiekty użytkownika, których atrybut poczty nie jest wypełniony, nie będą synchronizowane z usługą Azure AD.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
Atrybuty ObjectSID i msExchangeMasterAccountSID/msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Ta opcja łączy włączonego użytkownika w lesie konta z wyłączonym użytkownikiem w lesie zasobów.This option joins an enabled user in an account forest with a disabled user in a resource forest. W programie Exchange ta konfiguracja jest określana jako połączona skrzynka pocztowa.In Exchange, this configuration is known as a linked mailbox. Ta opcja może być również używana, jeśli używany jest tylko program Lync, a program Exchange nie jest obecny w lesie zasobów.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
Atrybuty sAMAccountName i MailNickNamesAMAccountName and MailNickName Ta opcja łączy atrybuty w przypadku, gdy oczekiwane jest znalezienie identyfikatora logowania dla użytkownika.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Określony atrybutA specific attribute Ta opcja umożliwia wybranie własnego atrybutu.This option allows you to select your own attribute. Jeśli ta opcja zostanie wybrana, obiekty użytkownika, których wybrany atrybut nie jest wypełniony, nie będą synchronizowane z usługą Azure AD.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Ograniczenie: należy pamiętać, aby wybrać atrybut, który znajduje się już w magazynie metaverse.Limitation: Make sure to pick an attribute that already can be found in the metaverse. W przypadku wybrania atrybutu niestandardowego (który nie znajduje się w magazynie metaverse) nie można ukończyć działania kreatora.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Wybieranie sposobu identyfikowania użytkowników z usługą Azure AD — zakotwiczenie źródłaSelect how users should be identified with Azure AD - Source Anchor

Atrybut sourceAnchor jest niezmienialny w okresie istnienia obiektu użytkownika.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Jest kluczem podstawowym łączącym użytkownika lokalnego z użytkownikiem w usłudze Azure AD.It is the primary key linking the on-premises user with the user in Azure AD.

UstawienieSetting OpisDescription
Pozwól, aby platforma Azure zarządzała zakotwiczeniem źródłaLet Azure manage the source anchor for me Wybierz tę opcję, jeśli chcesz, aby usługa Azure AD wybierała ten atrybut za Ciebie.Select this option if you want Azure AD to pick the attribute for you. Jeśli wybierzesz tę opcję, kreator programu Azure AD Connect zastosuje logikę wyboru atrybutu sourceAnchor opisaną w sekcji artykułu Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor (Azure AD Connect: zagadnienia dotyczące projektowania — korzystanie z atrybutu ms-DS-ConsistencyGuid jako atrybutu sourceAnchor).If you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. Kreator informuje użytkownika, który atrybut został wybrany jako atrybut zakotwiczenia źródła po zakończeniu instalacji niestandardowej.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Określony atrybutA specific attribute Wybierz tę opcję, jeśli chcesz określić istniejący atrybut usługi AD jako atrybut sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Ze względu na to, że atrybutu nie można zmienić należy zaplanować użycie właściwego atrybutu.Since the attribute cannot be changed, you must plan for a good attribute to use. Dobrym wyborem jest atrybut objectGUID.A good candidate is objectGUID. Tego atrybutu nie można zmienić, chyba że konto użytkownika jest przenoszone między lasami/domenami.This attribute is not changed, unless the user account is moved between forests/domains. Należy unikać atrybutów, które mogą ulec zmianie po zmianie stanu cywilnego lub zmianie zadań.Avoid attributes that would change when a person marries or change assignments. Nie można używać atrybutów ze znakiem @-sign, więc nie można używać adresu e-mail ani atrybutu userPrincipalName.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. W tym atrybucie uwzględniana jest również wielkość liter, więc w przypadku przenoszenia obiektu między lasami należy pamiętać o zachowaniu wielkich/małych liter.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Atrybuty binarne są zakodowane przy użyciu standardu base64, ale inne typy atrybutów pozostają w stanie niezakodowanym.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. W scenariuszach federacji i niektórych interfejsach usługi Azure AD ten atrybut nosi również nazwę immutableID.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Więcej informacji na temat zakotwiczenia źródła znajduje się w temacie, w którym opisano zagadnienia dotyczące projektowania.More information about the source anchor can be found in the design concepts.

Filtrowanie synchronizacji na podstawie grupSync filtering based on groups

Funkcja filtrowania grup umożliwia synchronizowanie tylko małego podzbioru obiektów do celów wdrożenia pilotażowego.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Aby użyć tej funkcji, należy utworzyć w tym celu grupę w lokalnej usłudze Active Directory.To use this feature, create a group for this purpose in your on-premises Active Directory. Następnie należy dodać użytkowników i grupy, którzy mają zostać zsynchronizowani z usługą Azure AD jako bezpośredni członkowie.Then add users and groups that should be synchronized to Azure AD as direct members. Później można dodawać i usuwać użytkowników tej grupy, aby opracować listę obiektów, które powinny znajdować się w usłudze Azure AD.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Wszystkie obiekty przeznaczone do synchronizacji powinny być bezpośrednimi członkami grupy.All objects you want to synchronize must be a direct member of the group. Wszyscy użytkownicy i wszystkie grupy, kontakty, komputery/urządzenia muszą być bezpośrednimi członkami.Users, groups, contacts, and computers/devices must all be direct members. Członkostwo grup zagnieżdżonych nie jest rozpoznawane.Nested group membership is not resolved. W przypadku dodania grupy jako członka dodawana jest tylko sama grupa, a nie jej członkowie.When you add a group as a member, only the group itself is added and not its members.

Filtrowanie synchronizacji

Ostrzeżenie

Ta funkcja służy tylko do obsługi wdrożenia pilotażowego.This feature is only intended to support a pilot deployment. Nie należy jej używać w pełnej wersji środowiska produkcyjnego.Do not use it in a full-blown production deployment.

W pełnej wersji środowiska produkcyjnego bardzo trudno będzie utrzymać jedną grupę ze wszystkimi obiektami do synchronizacji.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Zamiast tego należy użyć jednej z metod opisanych w temacie Konfigurowanie filtrowania.Instead you should use one of the methods in Configure filtering.

Funkcje opcjonalneOptional Features

Na tym ekranie można wybrać funkcje opcjonalne dla określonych scenariuszy.This screen allows you to select the optional features for your specific scenarios.

Ostrzeżenie

Wersje 1.0.8641.0 i starsze programu Azure AD Connect polegają na usłudze Azure Access Control w ramach zapisywania zwrotnego haseł.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Ta usługa zostanie wycofana w dniu 7 listopada 2018 r.This service will be retired on November 7th 2018. Jeśli używasz jakiejkolwiek z tych wersji programu Azure AD Connect i masz włączoną funkcję zapisywania zwrotnego haseł, użytkownicy mogą stracić możliwość zmiany lub resetowania haseł po wycofaniu usługi.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. Zapisywanie zwrotne haseł w tych wersjach programu Azure AD Connect nie będzie obsługiwane.Password writeback with these versions of Azure AD Connect will not be supported.

Aby uzyskać więcej informacji o usłudze Azure Access Control, zobacz Instrukcje: migrowanie z usługi Azure Access Control ServiceFor more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Aby pobrać najnowszą wersję programu Azure AD Connect, kliknij tutaj.To download the latest version of Azure AD Connect click here.

Funkcje opcjonalne

Ostrzeżenie

Jeśli narzędzie DirSync lub program Azure AD Sync są obecnie aktywne, nie należy aktywować żadnych funkcji zapisywania zwrotnego w programie Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Funkcje opcjonalneOptional Features OpisDescription
Wdrożenie hybrydowe programu ExchangeExchange Hybrid Deployment Funkcja wdrożenia hybrydowego programu Exchange umożliwia jednoczesne istnienie skrzynek pocztowych programu Exchange lokalnie i w usłudze Office 365.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Program Azure AD Connect synchronizuje określony zbiór atrybutów z usługi Azure AD z katalogiem lokalnym.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Foldery publiczne poczty programu ExchangeExchange Mail Public Folders Funkcja Foldery publiczne poczty programu Exchange umożliwia synchronizowanie obiektów z folderu publicznego wykorzystującego pocztę z lokalnej usługi Active Directory do usługi Azure AD.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Filtrowanie atrybutów i aplikacji usługi Azure ADAzure AD app and attribute filtering Przez włączenie filtrowania atrybutów i aplikacji usługi Azure AD można dostosować zestaw synchronizowanych atrybutów.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. Ta opcja dodaje do kreatora dwie dodatkowe strony konfiguracji.This option adds two more configuration pages to the wizard. Więcej informacji znajduje się w temacie Filtrowanie atrybutów i aplikacji usługi Azure AD.For more information, see Azure AD app and attribute filtering.
Synchronizacja skrótów hasełPassword hash synchronization Te opcję można włączyć, jeśli jako metodę logowania wybrano federację.If you selected federation as the sign-in solution, then you can enable this option. Synchronizacja skrótów haseł może być następnie użyta jako opcja tworzenia kopii zapasowych.Password hash synchronization can then be used as a backup option. Dodatkowe informacje znajdują się w temacie Synchronizacja skrótów haseł.For additional information, see Password hash synchronization.
W przypadku wybrania uwierzytelniania przekazywanego tę opcję można również włączyć, aby zapewnić obsługę starszych klientów i opcję tworzenia kopii zapasowych.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Dodatkowe informacje znajdują się w temacie Synchronizacja skrótów haseł.For additional information, see Password hash synchronization.
Zapisywanie zwrotne hasełPassword writeback Po włączeniu zapisywania zwrotnego haseł zmiany hasła, które pochodzą z usługi Azure AD, są ponownie zapisywane w katalogu lokalnym.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Więcej informacji można znaleźć w temacie Wprowadzenie do zarządzania hasłamiFor more information, see Getting started with password management.
Zapisywanie zwrotne grupGroup writeback Jeśli używana jest funkcja Grupy usługi Office 365, grupy te mogą być reprezentowane w lokalnej usłudze Active Directory.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Ta opcja jest dostępna tylko, jeśli w lokalnej usłudze Active Directory jest dostępny program Exchange.This option is only available if you have Exchange present in your on-premises Active Directory. Więcej informacji znajduje się w temacie Zapisywanie zwrotne grup.For more information, see Group writeback.
Zapisywanie zwrotne urządzeńDevice writeback Umożliwia zapisywanie zwrotne obiektów urządzenia w usłudze Azure AD do Active Directory lokalnych dla scenariuszy dostępu warunkowego.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for Conditional Access scenarios. Więcej informacji znajduje się w temacie Włączanie zapisywania zwrotnego urządzeń w programie Azure AD Connect.For more information, see Enabling device writeback in Azure AD Connect.
Synchronizacja atrybutów rozszerzeń katalogówDirectory extension attribute sync Po włączeniu synchronizacji atrybutów rozszerzeń katalogów określone atrybuty są synchronizowane z usługą Azure AD.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Więcej informacji znajduje się w temacie Rozszerzenia katalogów.For more information, see Directory extensions.

Filtrowanie atrybutów i aplikacji usługi Azure ADAzure AD app and attribute filtering

W celu ograniczenia liczby atrybutów, które mają być synchronizowane z usługą Azure AD, należy najpierw wybrać usługi, które są używane.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. W przypadku wprowadzania na tej stronie zmian konfiguracji nową usługę należy wybrać jawnie przez ponowne uruchomienie kreatora instalacji.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Funkcje opcjonalne — aplikacje

W oparciu o usługi wybrane w poprzednim kroku na tej stronie wyświetlane są wszystkie atrybuty, które są synchronizowane.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Ta lista zawiera kombinację wszystkich typów obiektów, które są synchronizowane.This list is a combination of all object types being synchronized. Jeśli istnieją jakieś określone atrybuty, które nie wymagają synchronizacji, można je odznaczyć.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Funkcje opcjonalne — atrybuty

Ostrzeżenie

Usuwanie atrybutów może mieć wpływ na funkcjonalność.Removing attributes can impact functionality. Aby poznać najlepsze rozwiązania i zalecenia, zobacz temat Synchronizowane atrybuty.For best practices and recommendations, see attributes synchronized.

Synchronizacja atrybutów rozszerzeń katalogówDirectory Extension attribute sync

Można rozszerzyć schemat w usłudze Azure AD o atrybuty niestandardowe dodane przez organizację użytkownika lub inne atrybuty w usłudze Active Directory.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Aby użyć tej funkcji, wybierz opcję Synchronizacja atrybutów rozszerzeń katalogu na stronie Funkcje opcjonalne.To use this feature, select Directory Extension attribute sync on the Optional Features page. Na tej stronie można wybrać więcej atrybutów do synchronizacji.You can select more attributes to sync on this page.

Uwaga

W polu Dostępne atrybuty rozróżniana jest wielkość liter.The Available attributes box is case sensitive.

Rozszerzenia katalogów

Więcej informacji znajduje się w temacie Rozszerzenia katalogów.For more information, see Directory extensions.

Włączanie logowania jednokrotnegoEnabling Single sign on (SSO)

Konfigurowanie logowania jednokrotnego na użytek synchronizacji haseł lub uwierzytelniania przekazywanego to prosty proces, który trzeba wykonać tylko raz dla każdego lasu synchronizowanego w usłudze Azure AD.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. Konfiguracja obejmuje następujące dwa kroki:Configuration involves two steps as follows:

  1. Utworzenie niezbędnego konta komputera w lokalnej usłudze Active Directory.Create the necessary computer account in your on-premises Active Directory.
  2. Skonfigurowanie obsługi logowania jednokrotnego w strefie intranetowej na maszynach klienckich.Configure the intranet zone of the client machines to support single sign on.

Tworzenie konta komputera w usłudze Active DirectoryCreate the computer account in Active Directory

Dla każdego lasu dodanego za pomocą programu Azure AD Connect trzeba podać poświadczenia administratora domeny, aby konto komputera mogło zostać utworzone w każdym lesie.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. Poświadczenia są używane tylko w celu utworzenia konta i nie są przechowywane ani używane w kontekście innych operacji.The credentials are only used to create the account and are not stored or used for any other operation. Wystarczy dodać poświadczenia na stronie Włącz logowanie jednokrotne kreatora Azure AD Connect, jak pokazano poniżej:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Włączanie logowania jednokrotnego

Uwaga

Jeśli w określonym lesie nie chcesz używać logowania jednokrotnego, możesz pominąć ten las.You can skip a particular forest if you do not wish to use Single sign on with that forest.

Konfigurowanie strefy intranetowej dla maszyn klienckichConfigure the Intranet Zone for client machines

Aby upewnić się, że logowanie klienta odbywa się automatycznie w strefie intranetowej, upewnij się, że adres URL jest częścią strefy intranetowej.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. Dzięki temu komputer przyłączony do domeny automatycznie wyśle bilet protokołu Kerberos do usługi Azure AD po połączeniu z siecią firmową.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. Na komputerze, na którym są zainstalowane narzędzia do zarządzania zasadami grupy:On a computer that has the Group Policy management tools.

  1. Otwórz narzędzia do zarządzania zasadami grupy.Open the Group Policy Management tools

  2. Poddaj edycji zasady grupy, które zostaną zastosowane do wszystkich użytkowników.Edit the Group policy that will be applied to all users. Mogą to być na przykład domyślne zasady domeny.For example, the Default Domain Policy.

  3. Przejdź do obszaru Konfiguracja użytkownika\Szablony administracyjne\Składniki systemu Windows\Internet Explorer\Internetowy panel sterowania\Strona zabezpieczeń i wybierz pozycję Lista przypisywanie witryn do stref (jak na poniższym obrazie).Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Włącz zasady, a następnie wprowadź poniższy element w oknie dialogowym.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Zawartość okna powinna wyglądać mniej więcej tak:It should look similar to the following:
    Strefy intranetowe

  6. Dwa razy kliknij przycisk OK.Click Ok twice.

Konfigurowanie federacji przy użyciu usług AD FSConfiguring federation with AD FS

Konfigurowanie usług AD FS przy użyciu programu Azure AD Connect jest proste i wymaga zaledwie kilku kliknięć.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Przed przystąpieniem do konfiguracji potrzebne są następujące elementy:The following is required before the configuration.

  • Serwer Windows Server 2012 R2 lub nowszy dla serwera federacyjnego z włączonym zarządzaniem zdalnymA Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Serwer Windows Server 2012 R2 lub nowszy dla serwera proxy aplikacji internetowej z włączonym zarządzaniem zdalnymA Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Certyfikat protokołu SSL dla nazwy usługi federacyjnej, która ma być używana (na przykład sts.contoso.com)An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Uwaga

Certyfikat SSL dla farmy usług AD FS można zaktualizować przy użyciu programu Azure AD Connect, nawet jeśli nie używasz go do zarządzania relacjami zaufania federacji.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Wymagania wstępne konfiguracji usług AD FSAD FS configuration pre-requisites

Aby skonfigurować farmę usług AD FS przy użyciu programu Azure AD Connect, należy upewnić się, że na serwerach zdalnych jest włączona usługa WinRM.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Upewnij się, że ukończono inne zadania określone w wymaganiach wstępnych federacji.Make sure you have completed the other tasks in federation prerequisites. Ponadto należy zapoznać się z wymaganiami dotyczącymi portów wymienionymi w sekcji Tabela 3 — program Azure AD Connect i serwery federacyjne/WAP.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Tworzenie nowej famy usług AD FS lub korzystanie z istniejącej farmy usług AD FSCreate a new AD FS farm or use an existing AD FS farm

Można użyć istniejącej farmy usług AD FS lub zdecydować się na utworzenie nowej farmy usług AD FS.You can use an existing AD FS farm or you can choose to create a new AD FS farm. W przypadku tworzenia nowej wymagane jest podanie certyfikatu SSL.If you choose to create a new one, you are required to provide the SSL certificate. Jeśli certyfikat SSL jest chroniony hasłem, zostanie wyświetlony monit o podanie hasła.If the SSL certificate is protected by a password, you are prompted for the password.

Farma usług AD FS

W przypadku decyzji o użyciu istniejącej farmy usług AD FS użytkownik zostaje bezpośrednio przeniesiony do konfigurowania relacji zaufania między usługami AD FS a ekranem usługi Azure AD.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Uwaga

Program Azure AD Connect może być używany do zarządzania tylko jedną farmą usług AD FS.Azure AD Connect can be used to manage only one AD FS farm. Jeśli masz istniejącą relację zaufania federacyjnego zaufania z usługą Azure AD skonfigurowaną w wybranej farmie usług AD FS, zaufanie zostanie ponownie utworzone od początku przy użyciu programu Azure AD Connect.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Określanie serwerów usług AD FSSpecify the AD FS servers

Należy wprowadzić serwery, na których mają być zainstalowane usługi AD FS.Enter the servers that you want to install AD FS on. Można dodać jeden serwer lub większą ich liczbę w zależności od tego, jakie są potrzeby związane z planowaniem wydajności.You can add one or more servers based on your capacity planning needs. Przed wykonaniem tej konfiguracji należy dołączyć wszystkie serwery usługi AD FS do usługi Active Directory (niewymagane w przypadku serwerów WAP).Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Firma Microsoft zaleca instalowanie jednego serwera usług AD FS do celów wdrożeń testowych i pilotażowych.Microsoft recommends installing a single AD FS server for test and pilot deployments. Następnie można dodać i wdrożyć więcej serwerów w zależności od potrzeb związanych ze skalowaniem przez ponowne uruchomienie programu Azure AD Connect po wstępnej konfiguracji.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Uwaga

Przed wykonaniem tej konfiguracji należy upewnić się, że wszystkie serwery zostały dołączone do domeny AD.Ensure that all your servers are joined to an AD domain before you do this configuration.

Serwery usług AD FS

Określanie serwerów proxy aplikacji internetowychSpecify the Web Application Proxy servers

Należy wprowadzić serwery, które mają służyć jako serwery proxy aplikacji internetowych.Enter the servers that you want as your Web Application proxy servers. Serwer proxy aplikacji internetowej jest wdrażany w strefie DMZ (ukierunkowanej na sieć ekstranet) i obsługuje żądania uwierzytelniania z ekstranetu.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Można dodać jeden serwer lub większą ich liczbę w zależności od tego, jakie są potrzeby związane z planowaniem wydajności.You can add one or more servers based on your capacity planning needs. Firma Microsoft zaleca instalowanie jednego serwera proxy aplikacji internetowej do celów wdrożeń testowych i pilotażowych.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Następnie można dodać i wdrożyć więcej serwerów w zależności od potrzeb związanych ze skalowaniem przez ponowne uruchomienie programu Azure AD Connect po wstępnej konfiguracji.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. Zaleca się równoważną liczbę serwerów proxy, aby spełnić wymagania uwierzytelniania z sieci intranet.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Uwaga

  • Jeśli używane konto nie jest lokalnym kontem administratora na serwerach WAP, zostanie wyświetlony monit o podanie poświadczeń administratora.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Przed wykonaniem tego kroku upewnij się, że istnieje połączenie HTTP/HTTPS między serwerem programu Azure AD Connect a serwerem proxy aplikacji internetowej.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Upewnij się, że istnieje połączenie HTTP/HTTPS między serwerem aplikacji internetowej a serwerem usług AD FS, które umożliwi przepływ żądań uwierzytelniania.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Aplikacja internetowa

    Zostanie wyświetlony monit o podanie poświadczeń, aby serwer aplikacji internetowej mógł nawiązać bezpieczne połączenie z serwerem usług AD FS.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Wymagane są poświadczenia lokalnego administratora na serwerze usług AD FS.These credentials need to be a local administrator on the AD FS server.

    Serwer proxy

    Określanie konta usługi dla usług AD FSSpecify the service account for the AD FS service

    Usługi AD FS wymagają konta usług domeny do uwierzytelniania użytkowników i sprawdzania informacji o użytkownikach w usłudze Active Directory.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. Obsługiwane są dwa typy kont usługi:It can support two types of service accounts:

    • Konto usługi zarządzane przez grupę — wprowadzone w usługach Active Directory Domain Services w systemie Windows Server 2012.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Ten typ konta zapewnia usługom, takim jak usługi AD FS, pojedyncze konto bez konieczności regularnego aktualizowania hasła do konta.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Opcja ta powinna być używana, jeśli kontrolery domeny systemu Windows Server 2012 znajdują się już w domenie, do której należą serwery usług AD FS.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Konto użytkownika domeny — ten typ konta wymaga podawania hasła i regularnego aktualizowania hasła w przypadku jego zmiany lub wygaśnięcia.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Tej opcji należy używać tylko, jeśli w domenie, do której należą serwery usług AD FS, nie ma kontrolerów domeny systemu Windows Server 2012.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Jeśli zostało wybrane konto usługi zarządzane przez grupę i funkcja ta nie była nigdy używana w usłudze Active Directory, zostanie wyświetlony monit o poświadczenia administratora przedsiębiorstwa.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Poświadczenia te służą do inicjowania magazynu kluczy i włączania funkcji w usłudze Active Directory.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Uwaga

    Program Azure AD Connect wykonuje sprawdzenie w celu wykrycia, czy usługa AD FS jest już zarejestrowana w domenie jako nazwa SPN.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. Usługa AD DS nie zezwala na jednoczesną rejestrację zduplikowanych nazw SPN.AD DS will not allow duplicate SPN’s to be registered at once. Jeśli zostanie znaleziona zduplikowana nazwa SPN, nie będzie można kontynuować pracy do momentu usunięcia tej nazwy SPN.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    Konto usług AD FS

    Wybór domeny usługi Azure AD, która ma być sfederowanaSelect the Azure AD domain that you wish to federate

    Ta konfiguracja służy do konfiguracji relacji federacyjnej pomiędzy usługami AD FS a usługą Azure AD.This configuration is used to setup the federation relationship between AD FS and Azure AD. Usługi AD FS są konfigurowane w celu wydawania tokenów zabezpieczających do usługi Azure AD, natomiast usługa Azure AD jest konfigurowana w celu zaufania tokenom pochodzącym z tego określonego wystąpienia usług AD FS.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Ta strona umożliwia tylko konfigurowanie pojedynczej domeny podczas instalacji wstępnej.This page only allows you to configure a single domain in the initial installation. Później można skonfigurować więcej domen przez ponowne uruchomienie programu Azure AD Connect.You can configure more domains later by running Azure AD Connect again.

    Domena usługi Azure AD

    Weryfikowanie domeny usługi Azure AD wybranej do federacjiVerify the Azure AD domain selected for federation

    Po wybraniu domeny do sfederowania program Azure AD Connect dostarcza niezbędne informacje umożliwiające sprawdzenie niezweryfikowanej domeny.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Sposób korzystania z tych informacji opisano w temacie Dodawanie i weryfikowanie domeny.See Add and verify the domain for how to use this information.

    Domena usługi Azure AD

    Uwaga

    Program AD Connect podejmuje próbę weryfikacji domeny w fazie konfiguracji.AD Connect tries to verify the domain during the configure stage. W przypadku kontynuowania konfigurowania bez dodania niezbędnych rekordów DNS kreator nie będzie mógł ukończyć konfiguracji.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Konfigurowanie federacji z serwerem PingFederateConfiguring federation with PingFederate

    Konfigurowanie serwera PingFederate przy użyciu programu Azure AD Connect jest proste i wymaga zaledwie kilku kliknięć.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Jednak wymagane jest spełnienie wymienionych niżej wymagań wstępnych.However, the following prerequisites are required.

    Weryfikowanie domenyVerify the domain

    Po wyborze federacji z serwerem PingFederate zostanie wyświetlony monit z prośbą o weryfikację domeny, która ma zostać sfederowana.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Wybierz domenę z listy rozwijanej.Select the domain from the drop-down box.

    Zweryfikuj domenę

    Eksportowanie ustawień serwera PingFederateExport the PingFederate settings

    Serwer PingFederate musi być skonfigurowany jako serwer federacyjny dla każdej domeny federacyjnej platformy Azure.PingFederate must be configured as the federation server for each federated Azure domain. Kliknij przycisk Eksportuj ustawienia i udostępnij te informacje administratorowi serwera PingFederate.Click the Export Settings button and share this information with your PingFederate administrator. Administrator serwera federacyjnego zaktualizuje konfigurację, a następnie poda adres URL i numer portu dla serwera PingFederate, dzięki czemu program Azure AD Connect będzie mógł zweryfikować ustawienia metadanych.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Zweryfikuj domenę

    Aby rozwiązać problemy z walidacją, skontaktuj się z administratorem serwera PingFederate.Contact your PingFederate administrator to resolve any validation issues. Poniżej przedstawiono przykład serwera PingFederate, który nie ma prawidłowej relacji zaufania na platformie Azure:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Relacja zaufania

    Weryfikowanie łączności federacjiVerify federation connectivity

    Program Azure AD Connect podejmie próbę walidacji punktów końcowych uwierzytelniania pobranych w poprzednim kroku z metadanych serwera PingFederate.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Na początku program Azure AD Connect spróbuje rozpoznać punkty końcowe przy użyciu lokalnych serwerów DNS.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. W dalszej kolejności spróbuje rozpoznać punkty końcowe, korzystając z zewnętrznego dostawcy DNS.Next it will attempt to resolve the endpoints using an external DNS provider. Aby rozwiązać problemy z walidacją, skontaktuj się z administratorem serwera PingFederate.Contact your PingFederate administrator to resolve any validation issues.

    Weryfikowanie łączności

    Weryfikowanie logowania federacyjnegoVerify federation login

    Na koniec możesz sprawdzić nowo skonfigurowany przepływ logowania federacyjnego, logując się do domeny federacyjnej.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Powodzenie tej operacji oznacza, że federacja z serwerem PingFederate została pomyślnie skonfigurowana.When this succeeds, the federation with PingFederate is successfully configured. Weryfikowanie logowaniaVerify login

    Konfigurowanie i weryfikowanie stronConfigure and verify pages

    Na tej stronie wykonywane jest konfigurowanie.The configuration happens on this page.

    Uwaga

    Przed kontynuowaniem instalacji po skonfigurowaniu federacji należy upewnić się, że skonfigurowano rozpoznawanie nazw dla serwerów federacyjnych.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Wszystko gotowe do skonfigurowania

    Tryb przejściowyStaging mode

    Istnieje możliwość skonfigurowania nowego serwera synchronizacji równolegle z trybem przejściowym.It is possible to setup a new sync server in parallel with staging mode. Obsługiwany jest tylko jeden serwer synchronizacji wykonujący eksport do jednego katalogu w chmurze.It is only supported to have one sync server exporting to one directory in the cloud. W przypadku przenoszenia z innego serwera, np. takiego, na którym jest uruchomione narzędzie DirSync, można przełączyć program Azure AD Connect w tryb przejściowy.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Po włączeniu aparat synchronizacji importuje i synchronizuje dane w zwykły sposób, ale nie eksportuje żadnych elementów do usługi Azure AD lub AD.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. W trybie przejściowym funkcje synchronizacji haseł i zapisywania zwrotnego haseł są wyłączone.The features password sync and password writeback are disabled while in staging mode.

    Tryb przejściowy

    W trybie przejściowym można wprowadzić wymagane zmiany w aparacie synchronizacji i sprawdzić to, co ma być wyeksportowane.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Jeśli konfiguracja wygląda dobrze, uruchom ponownie kreatora instalacji i wyłącz tryb przejściowy.When the configuration looks good, run the installation wizard again and disable staging mode. Dane z tego serwera zostaną wyeksportowane do usługi Azure AD.Data is now exported to Azure AD from this server. Pamiętaj, aby w tym samym czasie wyłączyć drugi serwer, aby aktywnie eksportował tylko jeden serwer.Make sure to disable the other server at the same time so only one server is actively exporting.

    Więcej informacji znajduje się w temacie Tryb przejściowy.For more information, see Staging mode.

    Weryfikowanie konfiguracji federacjiVerify your federation configuration

    Po kliknięciu przycisku Weryfikuj program Azure AD Connect sprawdza ustawienia DNS.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Sprawdzanie łączności z intranetemIntranet connectivity checks

    • Rozpoznawanie federacyjnej nazwy FQDN: program Azure AD Connect sprawdza, czy federacyjna nazwa FQDN może zostać rozpoznana przez serwer DNS w celu zapewnienia łączności.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Jeśli program Azure AD Connect nie może rozpoznać nazwy FQDN, weryfikacja zakończy się niepowodzeniem.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Upewnij się, że rekord DNS jest obecny dla nazwy FQDN usługi federacyjnej, aby można było pomyślnie ukończyć weryfikację.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • Rekord A systemu DNS: program Azure AD Connect sprawdza, czy istnieje rekord A dla usługi federacyjnej.DNS A record: Azure AD Connect checks if there is an A record for your federation service. W przypadku braku rekordu A weryfikacja zakończy się niepowodzeniem.In the absence of an A record, the verification will fail. Utwórz rekord A (nie rekord CNAME) dla federacyjnej nazwy FQDN, aby można było pomyślnie ukończyć weryfikację.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Sprawdzanie łączności z ekstranetemExtranet connectivity checks

    • Rozpoznawanie federacyjnej nazwy FQDN: program Azure AD Connect sprawdza, czy federacyjna nazwa FQDN może zostać rozpoznana przez serwer DNS w celu zapewnienia łączności.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Kompletne

    Weryfikuj

    Aby sprawdzić poprawność uwierzytelniania na całej trasie, należy ręcznie wykonać przynajmniej jeden z następujących testów:To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Po zakończeniu synchronizacji skorzystaj z dodatkowego zadania weryfikacji logowania federacyjnego w programie Azure AD Connect, aby zweryfikować uwierzytelnianie dla wybranego konta użytkownika lokalnego.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Sprawdź, czy możesz zalogować się w przeglądarce na komputerze dołączonym do domeny w sieci intranet — połącz się z adresem https://myapps.microsoft.com i sprawdź logowanie na zalogowanym koncie.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. Wbudowane konto administratora usług AD DS nie jest synchronizowane i nie można używać go do weryfikacji.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Sprawdź, czy możesz zalogować się na urządzeniu w sieci ekstranet.Validate that you can sign in from a device from the extranet. Z komputera domowego lub urządzenia mobilnego połącz się z adresem https://myapps.microsoft.com i podaj poświadczenia.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Sprawdź poprawność logowania wzbogaconego klienta.Validate rich client sign-in. Połącz się z adresem https://testconnectivity.microsoft.com, wybierz kartę usługi Office 365 i wybierz opcję Test rejestracji jednokrotnej usługi Office 365.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    Rozwiązywanie problemówTroubleshooting

    Poniższa sekcja obejmuje rozwiązywanie problemów i informacje, z których możesz skorzystać w przypadku napotkania problemu podczas instalowania programu Azure AD Connect.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    „Baza danych ADSync już zawiera dane i nie można jej zastąpi攓The ADSync database already contains data and cannot be overwritten”

    W przypadku niestandardowej instalacji Azure AD Connect i wybrania opcji Użyj istniejącego serwera SQL na stronie Instalowanie wymaganych składników może wystąpić błąd informujący o tym, że baza danych ADSync zawiera już dane i nie można jej zastąpić. Usuń istniejącą bazę danych i spróbuj ponownie.When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Błąd

    Dzieje się tak, ponieważ na wystąpieniu SQL serwera SQL istnieje już baza danych o nazwie ADSync, którą określono w powyższych polach tekstowych.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Ten błąd zazwyczaj występuje po odinstalowaniu program Azure AD Connect.This typically occurs after you have uninstalled Azure AD Connect. Baza danych nie zostanie usunięta z programu SQL Server podczas dezinstalacji.The database will not be deleted from the SQL Server when you uninstall.

    Aby rozwiązać ten problem, najpierw upewnij się, że baza danych ADSync, która była używana przez program Azure AD Connect przed dezinstalacją, nie jest już używana.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Następnie zaleca się utworzenie kopii zapasowej bazy danych przed jej usunięciem.Next, it is recommended that you backup the database prior to deleting it.

    Na koniec należy usunąć bazę danych.Finally, you need to delete the database. Możesz to zrobić, używając programu Microsoft SQL Server Management Studio i nawiązując połączenie z wystąpieniem SQL.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Znajdź bazę danych ADSync, kliknij ją prawym przyciskiem myszy, a następnie wybierz polecenie Usuń z menu kontekstowego.Find the ADSync database, right click on it, and select Delete from the context menu. Następnie kliknij przycisk OK, aby usunąć bazę danych.Then click OK button to delete it.

    Błąd

    Po usunięciu bazy danych ADSync możesz kliknąć przycisk Zainstaluj, aby ponowić próbę instalacji.After you delete the ADSync database, you can click the install button, to retry installation.

    Następne krokiNext steps

    Po zakończeniu instalacji wyloguj się, a następnie zaloguj się ponownie w systemie Windows przed użyciem narzędzia Synchronization Service Manager lub Edytor reguł synchronizacji.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    Po zainstalowaniu programu Azure AD Connect możesz zweryfikować instalację i przypisać licencje.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    Dowiedz się więcej na temat funkcji włączonych w ramach instalacji: Zapobieganie przypadkowemu usuwaniu oraz Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Dowiedz się więcej na te popularne tematy: harmonogram i sposób włączania synchronizacji.Learn more about these common topics: scheduler and how to trigger sync.

    Dowiedz się więcej na temat integrowania tożsamości lokalnych z usługą Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.