Выборочная установка Azure AD ConnectCustom installation of Azure AD Connect

Настраиваемые параметры в Azure AD Connect используются, когда для установки необходимо указать больше параметров.Azure AD Connect Custom settings is used when you want more options for the installation. В частности, если есть несколько лесов или требуется настроить дополнительные компоненты, которые не входят в экспресс-установку.It is used if you have multiple forests or if you want to configure optional features not covered in the express installation. Они также используются в тех случаях, когда экспресс-установка не соответствует требованиям развертывания или топологии.It is used in all cases where the express installation option does not satisfy your deployment or topology.

Перед установкой Azure AD Connect скачайте Azure AD Connect и выполните предварительные шаги, перечисленные в перечне требований к оборудованию и программному обеспечению.Before you start installing Azure AD Connect, make sure to download Azure AD Connect and complete the pre-requisite steps in Azure AD Connect: Hardware and prerequisites. Кроме того, убедитесь в наличии учетных записей, описанных в статье Azure AD Connect: учетные записи и разрешения.Also make sure you have required accounts available as described in Azure AD Connect accounts and permissions.

Если настраиваемые параметры не соответствуют топологии, например для обновления DirSync, сведения о других сценариях см. в дополнительной документации.If customized settings does not match your topology, for example to upgrade DirSync, see related documentation for other scenarios.

Выборочная установка Azure AD Connect с настраиваемыми параметрамиCustom settings installation of Azure AD Connect

Стандартные параметрыExpress Settings

На этой странице щелкните Настроить, чтобы запустить установку с настраиваемыми параметрами.On this page, click Customize to start a customized settings installation.

Установка необходимых компонентовInstall required components

При установке служб синхронизации вы можете пропустить раздел с дополнительными настройками, чтобы служба Azure AD Connect настроила все автоматически.When you install the synchronization services, you can leave the optional configuration section unchecked and Azure AD Connect sets up everything automatically. Будет настроен экземпляр SQL Server 2012 Express LocalDB, а также созданы соответствующие группы, которым будут назначены разрешения.It sets up a SQL Server 2012 Express LocalDB instance, create the appropriate groups, and assign permissions. Если вы хотите изменить параметры по умолчанию, изучите доступные дополнительные параметры в таблице ниже.If you wish to change the defaults, you can use the following table to understand the optional configuration options that are available.

Необходимые компоненты

Дополнительная настройкаOptional Configuration ОПИСАНИЕDescription
Использование существующего SQL ServerUse an existing SQL Server Позволяет указать имя SQL Server и имя экземпляра.Allows you to specify the SQL Server name and the instance name. Выберите этот параметр, если у вас уже есть сервер базы данных AD, который вы хотите использовать.Choose this option if you already have a database server that you would like to use. Если для SQL Server не разрешен просмотр, в поле Имя экземпляра следует ввести имя экземпляра и через запятую номер порта.Enter the instance name followed by a comma and port number in Instance Name if your SQL Server does not have browsing enabled. Затем укажите имя базы данных Azure AD Connect.Then specify the name of the Azure AD Connect database. Ваши права доступа SQL определяют, создается новая база данных или к администратору SQL необходимо заранее создать базы данных.Your SQL privileges determine whether a new database will be created or your SQL administrator must create the database in advance. Если у вас есть разрешения SQL SA см. в разделе Установка с использованием базы данных.If you have SQL SA permissions see How to install using an existing database. Если были предоставлены разрешения (DBO) см. в разделе установке Azure AD Connect с помощью делегированных разрешений администратора SQL.If you have been delegated permissions (DBO) see Install Azure AD Connect with SQL delegated administrator permissions.
Использование существующей учетной записи службыUse an existing service account По умолчанию Azure AD Connect использует учетную запись виртуальной службы для служб синхронизации.By default Azure AD Connect uses a virtual service account for the synchronization services to use. Если вы используете удаленный экземпляр SQL Server или требующий аутентификации прокси-сервер, вам необходима управляемая учетная запись службы или учетная запись службы в домене и пароль.If you use a remote SQL server or use a proxy that requires authentication, you need to use a managed service account or use a service account in the domain and know the password. В этом случае укажите учетную запись для использования.In those cases, enter the account to use. Убедитесь, что пользователь, выполняющий установку, использует имя для входа SA в SQL, чтобы создать имя для входа в учетную запись службы.Make sure the user running the installation is an SA in SQL so a login for the service account can be created. См. статью Azure AD Connect: учетные записи и разрешения.See Azure AD Connect accounts and permissions.
В последней сборке внешнюю подготовку базы данных может выполнять администратор SQL, а установку — администратор Azure AD Connect с правами владельца базы данных.With the latest build, provisioning the database can now be performed out of band by the SQL administrator and then installed by the Azure AD Connect administrator with database owner rights. Дополнительные сведения см. в статье Install Azure AD Connect using SQL delegated administrator permissions (Установка Azure AD Connect с использованием делегированных разрешений администратора SQL).For more information see Install Azure AD Connect using SQL delegated administrator permissions.
Указание пользовательских групп синхронизацииSpecify custom sync groups По умолчанию при установке служб синхронизации Azure AD Connect создает на сервере четыре локальные группы.By default Azure AD Connect creates four groups local to the server when the synchronization services are installed. Вот эти группы: "Администраторы", "Операторы", "Обзор", "Сброс пароля".These groups are: Administrators group, Operators group, Browse group, and the Password Reset Group. Здесь также можно указать собственные группы.You can specify your own groups here. Группы должны размещаться локально на сервере и могут находиться в домене.The groups must be local on the server and cannot be located in the domain.

Вход пользователяUser sign-in

После установки необходимых компонентов вам будет предложено выбрать метод единого входа для пользователей.After installing the required components, you are asked to select your users single sign-on method. В таблице ниже содержится краткое описание доступных параметров.The following table provides a brief description of the available options. Полное описание способов входа см. в статье Параметры входа в Azure AD Connect.For a full description of the sign-in methods, see User sign-in.

Вход пользователя

Метод единого входаSingle Sign On option ОПИСАНИЕDescription
Синхронизация хэша паролейPassword Hash Sync Пользователи могут войти в облачные службы (Майкрософт), например Office 365, используя тот же пароль, что и в локальной сети.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Пароли пользователей синхронизируются в Azure путем хэширования, а аутентификация выполняется в облаке.The users passwords are synchronized to Azure AD as a password hash and authentication occurs in the cloud. Дополнительные сведения см. в статье Реализация синхронизации паролей с помощью Azure AD Connect Sync.See Password hash synchronization for more information.
Сквозная проверка подлинностиPass-through Authentication Пользователи могут войти в облачные службы (Майкрософт), например Office 365, используя тот же пароль, что и в локальной сети.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Пароль пользователя передается локальному контроллеру домена Active Directory для проверки.The users password is passed through to the on-premises Active Directory domain controller to be validated.
Федерация с AD FSFederation with AD FS Пользователи могут войти в облачные службы (Майкрософт), например Office 365, используя тот же пароль, что и в локальной сети.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Во время входа пользователи перенаправляются в локальный экземпляр AD FS, так как аутентификация выполняется локально.The users are redirected to their on-premises AD FS instance to sign in and authentication occurs on-premises.
Федерация с PingFederateFederation with PingFederate Пользователи могут войти в облачные службы (Майкрософт), например Office 365, используя тот же пароль, что и в локальной сети.Users are able to sign in to Microsoft cloud services, such as Office 365, using the same password they use in their on-premises network. Во время входа пользователи перенаправляются в локальный экземпляр PingFederate и аутентификация выполняется локально.The users are redirected to their on-premises PingFederate instance to sign in and authentication occurs on-premises.
Не настраиватьDo not configure Ни один компонент для входа пользователя не устанавливается и не настраивается.No user sign-in feature is installed and configured. Выберите этот параметр, если у вас уже есть сервер федерации стороннего производителя или другое локальное решение.Choose this option if you already have a 3rd party federation server or another existing solution in place.
Включение единого входаEnable Single Sign on Этот параметр доступен для синхронизации хэша паролей и сквозной проверки подлинности. С его помощью пользователи настольных компьютеров могут воспользоваться единым входом в корпоративной сети.This options is available with both password hash sync and pass-through authentication and provides a single sign on experience for desktop users on the corporate network. Дополнительные сведения см. в статье о едином входе.See Single sign-on for more information.
Примечание для пользователей служб федерации Active Directory. Этот параметр недоступен, так как службы федерации Active Directory обеспечивают те же возможности единого входа.Note for AD FS customers this option is not available because AD FS already offers the same level of single sign on.

Подключение к Azure ADConnect to Azure AD

В диалоговом окне "Подключение к Azure AD" введите учетную запись и пароль глобального администратора.On the Connect to Azure AD screen, enter a global admin account and password. Если на предыдущей странице вы выбрали параметр Федерация с AD FS, не используйте для входа учетную запись домена, который планируется включить в федерацию.If you selected Federation with AD FS on the previous page, do not sign in with an account in a domain you plan to enable for federation. Мы рекомендуем использовать учетную запись в домене по умолчанию ( onmicrosoft.com ), которая предоставляется вместе с клиентом Azure AD.A recommendation is to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant.

Эта учетная запись используется только для создания учетной записи службы в Azure AD и не используется после завершения работы мастера.This account is only used to create a service account in Azure AD and is not used after the wizard has completed.
Вход пользователя

Если для учетной записи глобального администратора включена MFA, необходимо еще раз ввести пароль во всплывающем окне на странице входа и завершить запрос MFA.If your global admin account has MFA enabled, then you need to provide the password again in the sign-in popup and complete the MFA challenge. Возможно, для запроса понадобится предоставить код проверки или выполнить телефонный звонок.The challenge could be a providing a verification code or a phone call.
Вход пользователя в MFA

Для учетной записи глобального администратора также может быть включено управление привилегированными пользователями.The global admin account can also have Privileged Identity Management enabled.

Если вы получаете сообщение об ошибке и испытываете проблемы с подключением, см. сведения в статье Устранение неполадок подключения в Azure AD Connect.If you receive an error and have problems with connectivity, then see Troubleshoot connectivity problems.

Страницы в разделе "Синхронизация"Pages under the Sync section

Подключение к каталогамConnect your directories

Чтобы подключиться к службе домена Active Directory, Azure AD Connect необходимо имя леса и учетные данные учетной записи с достаточными разрешениями.To connect to your Active Directory Domain Service, Azure AD Connect needs the forest name and credentials of an account with sufficient permissions.

Подключение каталога

После входа в лес щелкните Добавить каталог. Появится всплывающее диалоговое окно со следующими параметрами:After entering the forest name and clicking Add Directory, a pop-up dialog appears and prompts you with the following options:

ПараметрOption ОПИСАНИЕDescription
Создать учетную записьCreate new account Выберите этот параметр, если вы хотите, чтобы мастер Azure AD Connect создал учетную запись AD DS, необходимую для Azure AD Connect для подключения к лесу AD во время синхронизации каталогов.Select this option if you want Azure AD Connect wizard to create the AD DS account required by Azure AD Connect for connecting to the AD forest during directory synchronization. Выбрав его, введите имя пользователя и пароль для учетной записи администратора предприятия.When this option is selected, enter the username and password for an enterprise admin account. Указанная учетная запись администратора предприятия будет использоваться мастером Azure AD Connect для создания необходимой учетной записи AD DS.The enterprise admin account provided will be used by Azure AD Connect wizard to create the required AD DS account. Вы можете указать имя домена в формате NetBios, либо ввести полное доменное имя, т. е. FABRIKAM\administrator или fabrikam.com\administrator.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\administrator or fabrikam.com\administrator.
Использовать существующую учетную записьUse existing account Выберите этот параметр, если вы хотите предоставить имеющуюся учетную запись AD DS, которая будет использоваться Azure AD Connect для подключения к лесу AD во время синхронизации каталогов.Select this option if you want to provide an existing AD DS account to be used Azure AD Connect for connecting to the AD forest during directory synchronization. Вы можете указать имя домена в формате NetBios либо ввести полное доменное имя, т. е. FABRIKAM\syncuser или fabrikam.com\syncuser.You can enter the domain part in either NetBios or FQDN format, that is, FABRIKAM\syncuser or fabrikam.com\syncuser. Эта учетная запись может принадлежать обычному пользователю, так как стандартных разрешений для чтения вполне достаточно.This account can be a regular user account because it only needs the default read permissions. Однако для некоторых сценариев могут потребоваться дополнительные разрешения.However, depending on your scenario, you may need more permissions. Дополнительные сведения см. в разделе Создание учетной записи AD DS.For more information, see Azure AD Connect Accounts and permissions.

Подключение каталога

Конфигурация входа в Azure ADAzure AD sign-in configuration

На этой странице представлены сведения о доменах UPN, входящих в локальные доменные службы Active Directory и проверенных в Azure AD.This page allows you to review the UPN domains present in on-premises AD DS and which have been verified in Azure AD. Кроме того, здесь можно настроить атрибут для параметра userPrincipalName.This page also allows you to configure the attribute to use for the userPrincipalName.

Непроверенные доменыUnverified domains
Просмотрите каждый домен с отметкой Не добавлено и Не проверено.Review every domain marked Not Added and Not Verified. Убедитесь, что используемые домены прошли проверку в Azure AD.Make sure those domains you use have been verified in Azure AD. Проверив домены, щелкните значок обновления.Click the Refresh symbol when you have verified your domains. Дополнительные сведения см. в статье о добавлении и проверке домена.For more information, see add and verify the domain

Атрибут UserPrincipalName используется для входа в Azure AD и Office 365.UserPrincipalName - The attribute userPrincipalName is the attribute users use when they sign in to Azure AD and Office 365. Используемые домены, которые также называются UPN-суффиксами, следует проверить в Azure AD до синхронизации пользователей.The domains used, also known as the UPN-suffix, should be verified in Azure AD before the users are synchronized. Мы рекомендуем оставить userPrincipalName как атрибут по умолчанию.Microsoft recommends to keep the default attribute userPrincipalName. Если этот атрибут не поддерживает маршрутизацию и его нельзя проверить, можно выбрать другой атрибут.If this attribute is non-routable and cannot be verified, then it is possible to select another attribute. Например, можно выбрать адрес электронной почты в качестве атрибута, содержащего идентификатор входа.You can for example select email as the attribute holding the sign-in ID. Отличный от userPrincipalName атрибут называется альтернативным идентификатором.Using another attribute than userPrincipalName is known as Alternate ID. Значение альтернативного идентификатора должно соответствовать стандарту RFC822.The Alternate ID attribute value must follow the RFC822 standard. Альтернативный идентификатор может использоваться для синхронизации хэша паролей, сквозной проверки подлинности и федерации.An Alternate ID can be used with password hash sync, pass-through authentication, and federation. Атрибут не должен быть определен в Active Directory как многозначный, даже если он имеет только одно значение.The attribute must not be defined in Active Directory as multi-valued, even if it only has a single value.

Примечание

При включении сквозной проверки подлинности для продолжения работы с мастером у вас должен быть по крайней мере один проверенный домен.When you enable Pass-through Authentication you must have at least one verified domain in order to continue through the wizard.

Предупреждение

Использование альтернативного идентификатора совместимо не со всеми рабочими нагрузками Office 365.Using an Alternate ID is not compatible with all Office 365 workloads. Дополнительные сведения см. в статье Настройка альтернативного идентификатора входа.For more information, refer to Configuring Alternate Login ID.

Фильтрация домена и подразделенияDomain and OU filtering

По умолчанию все домены и подразделения синхронизируются.By default all domains and OUs are synchronized. Если вы не планируете синхронизировать с Azure AD некоторые домены или подразделения, их можно исключить.If there are some domains or OUs you do not want to synchronize to Azure AD, you can unselect these domains and OUs.
Фильтрация домена и подразделенияDomainOU filtering
На этой странице мастера настраивается фильтрация по доменам и подразделениям.This page in the wizard is configuring domain-based and OU-based filtering. Если вы планируете внести изменения, сначала ознакомьтесь с фильтрацией по домену и фильтрацией по подразделению.If you plan to make changes, then see domain-based filtering and ou-based filtering before you make these changes. Некоторые подразделения важны для функциональных возможностей, и их выбор не следует отменять.Some OUs are essential for the functionality and should not be unselected.

При использовании фильтрации по подразделениям с помощью Azure AD Connect версии 1.1.524.0 или более ранней новые подразделения, добавляемые позже, синхронизируются по умолчанию.If you use OU-based filtering with Azure AD Connect version before 1.1.524.0, new OUs added later are synchronized by default. Если требуется, чтобы новые подразделения не синхронизировались, такое поведение можно настроить после того, как мастер завершит работу с фильтрацией по подразделениям.If you want the behavior that new OUs should not be synchronized, then you can configure it after the wizard has completed with ou-based filtering. В Azure AD Connect версии 1.1.524.0 и более поздних вы можете указать, следует ли синхронизировать новые подразделения.For Azure AD Connect version 1.1.524.0 or after, you can indicate whether you want new OUs to be synchronized or not.

Если вы планируете использовать фильтрацию по группам, убедитесь, что подразделение с группой включено и не фильтруется с использованием фильтрации по подразделениям.If you plan to use group-based filtering, then make sure the OU with the group is included and not filtered with OU-filtering. Фильтрация по подразделениям выполняется до фильтрации по группам.OU filtering is evaluated before group-based filtering.

Некоторые домены могут быть недоступными из-за ограничений брандмауэра.It is also possible that some domains are not reachable due to firewall restrictions. Такие домены исключены по умолчанию, и для них будет отображаться предупреждение.These domains are unselected by default and have a warning.
Недоступные домены
Если вы видите такое предупреждение, убедитесь, что эти домены действительно недоступны и это предупреждение не является ошибкой.If you see this warning, make sure that these domains are indeed unreachable and the warning is expected.

Уникальная идентификация пользователейUniquely identifying your users

Выбор способа идентификации пользователей в локальных каталогахSelect how users should be identified in your on-premises directories

Функция согласования между лесами позволяет определить, как пользователи из лесов AD DS представлены в Azure AD.The Matching across forests feature allows you to define how users from your AD DS forests are represented in Azure AD. Пользователь может быть представлен во всех лесах только один раз или может иметь комбинацию включенных и отключенных учетных записей.A user might either be represented only once across all forests or have a combination of enabled and disabled accounts. В некоторых лесах пользователь также может быть представлен как контакт.The user might also be represented as a contact in some forests.

Уникальная идентификация

ПараметрSetting ОПИСАНИЕDescription
Пользователи представлены во всех лесах только один разUsers are only represented once across all forests В Azure AD все пользователи создаются как отдельные объекты.All users are created as individual objects in Azure AD. Объекты не соединены в метавселенной.The objects are not joined in the metaverse.
Атрибут почтыMail attribute Этот параметр соединяет пользователей и контакты, если атрибут почты имеет то же значение в разных лесах.This option joins users and contacts if the mail attribute has the same value in different forests. Используйте этот параметр, если контакты созданы с помощью GALSync.Use this option when your contacts have been created using GALSync. Если выбран этот параметр, объекты-пользователи с незаполненным атрибутом Mail не будут синхронизироваться с Azure AD.If this option is chosen, User objects whose Mail attribute aren't populated will not be synchronized to Azure AD.
ObjectSID и msExchangeMasterAccountSID/ msRTCSIP-OriginatorSidObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSid Этот параметр соединяет включенного пользователя в лесу учетной записи с отключенным пользователем в лесу ресурсов.This option joins an enabled user in an account forest with a disabled user in a resource forest. В Exchange такая конфигурация называется связанным почтовым ящиком.In Exchange, this configuration is known as a linked mailbox. Этот параметр можно также применять при использовании только Lync и отсутствии Exchange в лесу ресурсов.This option can also be used if you only use Lync and Exchange is not present in the resource forest.
sAMAccountName и MailNickNamesAMAccountName and MailNickName Это параметр соединяет атрибуты, в которых может быть указан идентификатор пользователя для входа.This option joins on attributes where it is expected the sign-in ID for the user can be found.
Определенный атрибутA specific attribute Этот параметр позволяет выбрать собственный атрибут.This option allows you to select your own attribute. Если выбран этот параметр, объекты-пользователи с незаполненным атрибутом (selected) не будут синхронизироваться с Azure AD.If this option is chosen, User objects whose (selected) attribute aren't populated will not be synchronized to Azure AD. Ограничение. Нужно выбрать атрибут, который уже находится в метавселенной.Limitation: Make sure to pick an attribute that already can be found in the metaverse. Если выбрать настраиваемый атрибут (не в метавселенной), мастер не сможет завершить работу.If you pick a custom attribute (not in the metaverse), the wizard cannot complete.

Выбор способа идентификации пользователей в Azure AD: привязка к источникуSelect how users should be identified with Azure AD - Source Anchor

Атрибут sourceAnchor остается неизменным в течение всего времени существования объекта-пользователя.The attribute sourceAnchor is an attribute that is immutable during the lifetime of a user object. Это первичный ключ, который связывает локального пользователя с пользователем в Azure AD.It is the primary key linking the on-premises user with the user in Azure AD.

ПараметрSetting ОПИСАНИЕDescription
Параметр "Azure управляет привязкой к источнику"Let Azure manage the source anchor for me Выберите этот параметр, если вы хотите, чтобы среда Azure AD выбирала этот атрибут автоматически.Select this option if you want Azure AD to pick the attribute for you. Если вы выберете этот параметр, мастер Azure AD Connect применит логику выбора атрибута sourceAnchor, описанную в руководстве по проектированию Azure AD Connect использование ms-DS-ConsistencyGuid в качестве sourceAnchorIf you select this option, Azure AD Connect wizard applies the sourceAnchor attribute selection logic described in article section Azure AD Connect: Design concepts - Using ms-DS-ConsistencyGuid as sourceAnchor. Мастер сообщит, какой атрибут был выбран в качестве атрибута привязки к источнику после завершения выборочной установки.The wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Определенный атрибутA specific attribute Выберите этот параметр, если вы хотите указать имеющийся атрибут AD в качестве атрибута sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Так как атрибут нельзя изменить, внимательно выбирайте атрибут для использования.Since the attribute cannot be changed, you must plan for a good attribute to use. Хорошим кандидатом является objectGUID.A good candidate is objectGUID. Этот атрибут не меняется, если учетная запись пользователя не перемещается между лесами и доменами.This attribute is not changed, unless the user account is moved between forests/domains. Не рекомендуется использовать атрибуты, которые меняются, когда пользователь меняет семейный статус или переходит на другую должность.Avoid attributes that would change when a person marries or change assignments. Нельзя использовать атрибуты со знаком @-sign, поэтому адрес электронной почты и атрибут userPrincipalName также не должны использоваться.You cannot use attributes with an @-sign, so email and userPrincipalName cannot be used. В атрибуте также учитывается регистр, поэтому при перемещении объекта между лесами обязательно сохраняйте верхний и нижний регистр.The attribute is also case-sensitive so when you move an object between forests, make sure to preserve the upper/lower case. Двоичные атрибуты находятся в кодировке base64, но другие типы атрибутов остаются в некодированном виде.Binary attributes are base64-encoded, but other attribute types remain in its unencoded state. В сценариях федерации и некоторых интерфейсах Azure AD этот атрибут также известен как immutableID.In federation scenarios and some Azure AD interfaces, this attribute is also known as immutableID. Дополнительные сведения о привязке к источнику можно найти в описании принципов проектирования.More information about the source anchor can be found in the design concepts.

Фильтрация синхронизации на основе группSync filtering based on groups

Функция фильтрации на основе групп позволяет синхронизировать только небольшое подмножество объектов для пилотного развертывания.The filtering on groups feature allows you to sync only a small subset of objects for a pilot. Чтобы использовать эту функцию, создайте группу в локальной службе Active Directory.To use this feature, create a group for this purpose in your on-premises Active Directory. Затем добавьте пользователей и группы, которые должны синхронизироваться с Azure AD как прямые участники.Then add users and groups that should be synchronized to Azure AD as direct members. Позднее вы сможете добавлять пользователей в эту группу и удалять их, чтобы сохранить список объектов, которые должны присутствовать в Azure AD.You can later add and remove users to this group to maintain the list of objects that should be present in Azure AD. Все объекты, которые вы хотите синхронизировать, должны быть непосредственными членами группы.All objects you want to synchronize must be a direct member of the group. Пользователи, группы, контакты и компьютеры или устройства должны быть прямыми участниками.Users, groups, contacts, and computers/devices must all be direct members. Членство во вложенных группах не разрешено.Nested group membership is not resolved. При добавлении группы в качестве участника она добавляется без участников.When you add a group as a member, only the group itself is added and not its members.

Фильтрация синхронизации

Предупреждение

Эта функция предназначена только для использования в пилотном развертывании.This feature is only intended to support a pilot deployment. Не используйте ее для полноценного рабочего развертывания.Do not use it in a full-blown production deployment.

В полноценной рабочей среде трудно поддерживать одну группу со всеми объектами для синхронизации.In a full-blown production deployment, it is going to be hard to maintain a single group with all objects to synchronize. Вместо этого следует использовать один из методов, описанных в статье о настройке фильтрации.Instead you should use one of the methods in Configure filtering.

Дополнительные функцииOptional Features

В этом диалоговом окне вы можете выбрать дополнительные функции для конкретных сценариев.This screen allows you to select the optional features for your specific scenarios.

Предупреждение

Средство Azure AD Connect 1.0.8641.0 и более ранних версий связано со службой контроля доступа Azure для компонента обратной записи паролей.Azure AD Connect versions 1.0.8641.0 and older rely on the Azure Access Control service for password writeback. Поддержка этой службы будет прекращена 7 ноября 2018 года.This service will be retired on November 7th 2018. Если вы используете любую из этих версий Azure AD Connect и включили компонент обратной записи паролей, возможно, пользователи не смогут изменить или сбросить свои пароли после прекращения поддержки службы.If you are using any of these versions of Azure AD Connect and have enabled password writeback, users may lose the ability to change or reset their passwords once the service is retired. Компонент обратной записи паролей не будет поддерживаться с этими версиями Azure AD Connect.Password writeback with these versions of Azure AD Connect will not be supported.

Дополнительные сведения о службе контроля доступа Azure см в руководстве по переносу из службы контроля доступа Azure.For more information on the Azure Access Control service see How to: Migrate from the Azure Access Control service

Чтобы загрузить новейшую версию Azure AD Connect, щелкните здесь.To download the latest version of Azure AD Connect click here.

Дополнительные функции

Предупреждение

Если у вас запущено средство синхронизации DirSync или Azure AD Sync, не активируйте функции обратной записи в Azure AD Connect.If you currently have DirSync or Azure AD Sync active, do not activate any of the writeback features in Azure AD Connect.

Дополнительные функцииOptional Features ОПИСАНИЕDescription
Гибридное развертывание ExchangeExchange Hybrid Deployment Функция гибридного развертывания Exchange обеспечивает сосуществование почтовых ящиков Exchange в локальной среде и в службе Office 365.The Exchange Hybrid Deployment feature allows for the co-existence of Exchange mailboxes both on-premises and in Office 365. Azure AD Connect синхронизирует определенный набор атрибутов из Azure AD с локальным каталогом.Azure AD Connect is synchronizing a specific set of attributes from Azure AD back into your on-premises directory.
Общедоступные папки почты ExchangeExchange Mail Public Folders Функция общедоступных папок почты Exchange позволяет вам синхронизировать общедоступную папку с поддержкой электронной почты из вашего локального Active Directory с Azure AD.The Exchange Mail Public Folders feature allows you to synchronize mail-enabled Public Folder objects from your on-premises Active Directory to Azure AD.
Фильтрации приложений и атрибутов Azure ADAzure AD app and attribute filtering Включив фильтрацию приложений и атрибутов Azure AD, можно адаптировать набор синхронизированных атрибутов.By enabling Azure AD app and attribute filtering, the set of synchronized attributes can be tailored. При установке этого параметра в мастер добавляется две дополнительные страницы конфигурации.This option adds two more configuration pages to the wizard. Дополнительные сведения см. в разделе Фильтрации приложений и атрибутов Azure AD.For more information, see Azure AD app and attribute filtering.
Синхронизация хэша паролейPassword hash synchronization Этот параметр можно включить, если вы выбрали федерацию в качестве решения входа.If you selected federation as the sign-in solution, then you can enable this option. В этом случае синхронизацию хэша паролей можно использовать в качестве резервного варианта.Password hash synchronization can then be used as a backup option. Дополнительные сведения см. в статье о синхронизации хэша паролей.For additional information, see Password hash synchronization.
При выборе сквозной аутентификации этот параметр можно включить дополнительно, чтобы обеспечить поддержку старых клиентов. Кроме того, этот параметр можно использовать для резервного копирования.If you selected Pass-through Authentication this option can also be enabled to ensure support for legacy clients and as a backup option. Дополнительные сведения см. в статье о синхронизации хэша паролей.For additional information, see Password hash synchronization.
Компонент обратной записи паролейPassword writeback При включении компонента обратной записи паролей изменения, внесенные в пароли в Azure AD, записываются в локальный каталог.By enabling password writeback, password changes that originate in Azure AD is written back to your on-premises directory. Дополнительные сведения см. в статье Приступая к работе с компонентами управления паролями.For more information, see Getting started with password management.
Обратная запись группGroup writeback Если вы используете функцию Группы Office 365, эти группы могут быть доступны в вашей локальной службе Active Directory.If you use the Office 365 Groups feature, then you can have these groups represented in your on-premises Active Directory. Эта возможность доступна только при наличии Exchange в вашей локальной службе Active Directory.This option is only available if you have Exchange present in your on-premises Active Directory. Дополнительные сведения см. в разделе Обратная запись групп.For more information, see Group writeback.
Обратная запись устройствDevice writeback Позволяет осуществлять обратную запись объектов устройств в вашу локальную службу Active Directory в Azure AD для сценариев условного доступа.Allows you to writeback device objects in Azure AD to your on-premises Active Directory for conditional access scenarios. Дополнительные сведения см. в статье Azure AD Connect: включение обратной записи устройств.For more information, see Enabling device writeback in Azure AD Connect.
Синхронизация атрибутов расширения каталогаDirectory extension attribute sync При включении синхронизации атрибутов расширения каталогов заданные атрибуты синхронизируются с Azure AD.By enabling directory extensions attribute sync, attributes specified are synced to Azure AD. Дополнительные сведения см. в статье о расширениях каталогов.For more information, see Directory extensions.

Фильтрации приложений и атрибутов Azure ADAzure AD app and attribute filtering

Если вы хотите ограничить перечень атрибутов, синхронизируемых с Azure AD, начните с выбора используемых служб.If you want to limit which attributes to synchronize to Azure AD, then start by selecting which services you are using. При изменении настроек на этой странице новую службу необходимо выбрать явно путем повторного запуска мастера установки.If you make configuration changes on this page, a new service has to be selected explicitly by rerunning the installation wizard.

Приложения с дополнительными возможностями

С учетом службы, выбранной на предыдущем этапе, отображаются все атрибуты, которые будут синхронизированы.Based on the services selected in the previous step, this page shows all attributes that are synchronized. Этот список сочетает в себе все типы объектов, для которых выполняется синхронизация.This list is a combination of all object types being synchronized. Если какие-либо атрибуты не нужно синхронизировать, их можно исключить из выбранного набора.If there are some particular attributes you need to not synchronize, you can unselect those attributes.

Атрибуты для дополнительных возможностей

Предупреждение

Удаление атрибутов может повлиять на функциональность.Removing attributes can impact functionality. Рекомендации см. в разделе об атрибутах для синхронизации.For best practices and recommendations, see attributes synchronized.

Синхронизация атрибутов расширения каталогаDirectory Extension attribute sync

Вы можете расширить схему в Azure AD, используя настраиваемые атрибуты, добавленные в вашей организации, или другие атрибуты в Active Directory.You can extend the schema in Azure AD with custom attributes added by your organization or other attributes in Active Directory. Чтобы использовать эту функцию, на странице Дополнительные возможности щелкните Directory Extension attribute sync (Синхронизация атрибутов расширений каталога).To use this feature, select Directory Extension attribute sync on the Optional Features page. На этой странице можно выбрать дополнительные атрибуты для синхронизации.You can select more attributes to sync on this page.

Примечание

Значения в поле доступных атрибутов следует вводить с учетом регистра.The Available attributes box is case sensitive.

Расширения каталогов

Дополнительные сведения см. в статье о расширениях каталогов.For more information, see Directory extensions.

Включение единого входа (SSO)Enabling Single sign on (SSO)

Настройка единого входа для использования с синхронизацией паролей или сквозной проверкой подлинности — простой процесс, который необходимо выполнить один раз для каждого леса, синхронизируемого с Azure AD.Configuring single sign-on for use with Password Synchronization or Pass-through authentication is a simple process that you only need to complete once for each forest that is being synchronized to Azure AD. Конфигурация состоит из двух этапов:Configuration involves two steps as follows:

  1. Создание необходимой учетной записи компьютера в локальном каталоге Active Directory.Create the necessary computer account in your on-premises Active Directory.
  2. Настройка зоны интрасети клиентских компьютеров для поддержки единого входа.Configure the intranet zone of the client machines to support single sign on.

Создание учетной записи компьютера в Active DirectoryCreate the computer account in Active Directory

Для каждого леса, добавленного с помощью Azure AD Connect, необходимо указать учетные данные администратора домена. Таким образом в каждом из них будет создана учетная запись компьютера.For each forest that has been added in Azure AD Connect, you will need to supply Domain Administrator credentials so that the computer account can be created in each forest. Учетные данные используются только для создания учетной записи и не хранятся, а также не используются для выполнения любой другой операции.The credentials are only used to create the account and are not stored or used for any other operation. Просто добавьте учетные данные на странице Enable Single sign on (Включение единого входа) мастера Azure AD Connect, как показано ниже:Simply add the credentials on the Enable Single sign on page of the Azure AD Connect wizard as shown:

Включение единого входа

Примечание

Вы можете пропустить конкретный лес, если не хотите использовать единый вход для него.You can skip a particular forest if you do not wish to use Single sign on with that forest.

Настройка зоны интрасети для клиентских компьютеровConfigure the Intranet Zone for client machines

Чтобы убедиться, что клиент входов в систему автоматически в зоне интрасети необходимо убедиться, что URL-адрес является частью зоны интрасети.To ensure that the client sign-ins automatically in the intranet zone you need to ensure that the URL is part of the intranet zone. Таким образом при подключении к корпоративной сети присоединенный к домену компьютер автоматически отправляет билет Kerberos в Azure AD.This ensures that the domain joined computer automatically sends a Kerberos ticket to Azure AD when it is connected to the corporate network. На компьютере с инструментами управления групповой политикой сделайте следующее:On a computer that has the Group Policy management tools.

  1. Откройте средства управления групповыми политиками.Open the Group Policy Management tools

  2. Измените групповую политику, которая будет применяться ко всем пользователям.Edit the Group policy that will be applied to all users. Например, политику домена по умолчанию.For example, the Default Domain Policy.

  3. Перейдите в раздел Конфигурация пользователя\Административные шаблоны\Компоненты Windows\Internet Explorer\Панель управления браузером\Вкладка безопасности и выберите Список назначений зоны для веб-сайтов, как на рисунке ниже.Navigate to User Configuration\Administrative Templates\Windows Components\Internet Explorer\Internet Control Panel\Security Page and select Site to Zone Assignment List per the image below.

  4. Включите политику и введите указанный ниже элемент в диалоговом окне.Enable the policy, and enter the following item in the dialog box.

    Value: `https://autologon.microsoftazuread-sso.com`  
    Data: 1  
    
  5. Это должно выглядеть следующим образом:It should look similar to the following:
    Зоны интрасети

  6. Нажмите кнопку ОК дважды.Click Ok twice.

Настройка федерации с AD FSConfiguring federation with AD FS

Вы можете легко настроить службы федерации Active Directory с Azure AD Connect. Для этого достаточно нескольких щелчков.Configuring AD FS with Azure AD Connect is simple and only requires a few clicks. Ниже приведены компоненты, требуемые для настройки.The following is required before the configuration.

  • Сервер Windows Server 2012 R2 или более поздней версии с поддержкой удаленного управления для сервера федерации.A Windows Server 2012 R2 or later server for the federation server with remote management enabled
  • Сервер Windows Server 2012 R2 или более поздней версии с поддержкой удаленного управления для прокси-сервера веб-приложения.A Windows Server 2012 R2 or later server for the Web Application Proxy server with remote management enabled
  • Сертификат SSL для имени службы федерации, которое предполагается использовать (например, sts.contoso.com).An SSL certificate for the federation service name you intend to use (for example sts.contoso.com)

Примечание

Вы можете обновить SSL-сертификат фермы AD FS с помощью службы Azure AD Connect, даже если вы не используете эту службу для управления доверием федерации.You can update SSL certificate for your AD FS farm using Azure AD Connect even if you do not use it to manage your federation trust.

Предварительные требования для настройки AD FSAD FS configuration pre-requisites

Чтобы настроить ферму AD FS с помощью Azure AD Connect, обязательно включите WinRM на удаленных серверах.To configure your AD FS farm using Azure AD Connect, ensure WinRM is enabled on the remote servers. Убедитесь, что вы выполнили другие пункты из списка предварительных требований федерации.Make sure you have completed the other tasks in federation prerequisites. Кроме того, ознакомьтесь с требованиями к портам, перечисленным в разделе Таблица 3. Azure AD Connect и серверы федерации и WAP.In addition, go through the ports requirement listed in Table 3 - Azure AD Connect and Federation Servers/WAP.

Создание новой фермы AD FS или использование существующей фермы AD FSCreate a new AD FS farm or use an existing AD FS farm

Вы можете использовать существующую ферму AD FS или создать новую.You can use an existing AD FS farm or you can choose to create a new AD FS farm. Если вы решили создать новую, необходимо предоставить SSL-сертификат.If you choose to create a new one, you are required to provide the SSL certificate. Если SSL-сертификат защищен паролем, появится запрос на ввод пароля.If the SSL certificate is protected by a password, you are prompted for the password.

Ферма AD FS

Если будет использоваться существующая ферма AD FS, вы сразу перейдете к диалоговому окну настройки отношений доверия между AD FS и Azure AD.If you choose to use an existing AD FS farm, you are taken directly to the configuring the trust relationship between AD FS and Azure AD screen.

Примечание

Azure AD Connect можно использовать для управления только одной фермой AD FS.Azure AD Connect can be used to manage only one AD FS farm. Если в выбранной ферме AD FS настроено доверие федерации с Azure AD, доверие будет повторно создано с нуля с помощью Azure AD Connect.If you have existing federation trust with Azure AD configured on the selected AD FS farm, the trust will be re-created again from scratch by Azure AD Connect.

Указание серверов AD FSSpecify the AD FS servers

Укажите серверы, на которых требуется установить AD FS.Enter the servers that you want to install AD FS on. Можно добавить один или несколько серверов в зависимости от потребностей запланированной загрузки.You can add one or more servers based on your capacity planning needs. Прежде чем выполнить эту настройку, присоедините все серверы AD FS (не требуется для серверов WAP) к Active Directory.Join all AD FS servers (not required for the WAP servers) to Active Directory before you perform this configuration. Мы рекомендуем установить одиночный сервер AD FS для тестовых и пилотных развертываний.Microsoft recommends installing a single AD FS server for test and pilot deployments. Добавьте и разверните дополнительные серверы в соответствии с потребностями масштабирования, повторно запустив Azure AD Connect после начальной настройки.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration.

Примечание

Прежде чем выполнить эту настройку, убедитесь, что все серверы присоединены к домену AD.Ensure that all your servers are joined to an AD domain before you do this configuration.

Серверы AD FS

Указание прокси-серверов веб-приложенийSpecify the Web Application Proxy servers

Укажите серверы, которые будут использоваться как прокси-серверы веб-приложений.Enter the servers that you want as your Web Application proxy servers. Прокси-сервер веб-приложения развертывается в промежуточной подсети (экстрасети с выходом) и поддерживает запросы проверки подлинности из внешней сети.The web application proxy server is deployed in your DMZ (extranet facing) and supports authentication requests from the extranet. Можно добавить один или несколько серверов в зависимости от потребностей запланированной загрузки.You can add one or more servers based on your capacity planning needs. Мы рекомендуем установить одиночный прокси-сервер веб-приложений для тестовых и пилотных развертываний.Microsoft recommends installing a single Web application proxy server for test and pilot deployments. Добавьте и разверните дополнительные серверы в соответствии с потребностями масштабирования, повторно запустив Azure AD Connect после начальной настройки.Then add and deploy more servers to meet your scaling needs by running Azure AD Connect again after initial configuration. Для аутентификации из интрасети рекомендуется использовать эквивалентное число прокси-серверов.We recommend having an equivalent number of proxy servers to satisfy authentication from the intranet.

Примечание

  • Если используемая учетная запись не имеет прав локального администратора на серверах AD FS, вам будет предложено ввести учетные данные администратора.If the account you use is not a local admin on the WAP servers, then you are prompted for admin credentials.
  • Перед этим этапом убедитесь в наличии HTTP/HTTPS-подключения между сервером Azure AD Connect и прокси-сервером веб-приложений.Ensure that there is HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server before you run this step.
  • Убедитесь в наличии HTTP/HTTPS-подключения между сервером веб-приложений и сервером AD FS, иначе аутентификация работать не будет.Ensure that there is HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.
  • Веб-приложение

    Вам будет предложено ввести учетные данные, чтобы сервер веб-приложений мог установить безопасное подключение к серверу AD FS.You are prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Эти учетные данные должны иметь права локального администратора на сервере AD FS.These credentials need to be a local administrator on the AD FS server.

    Прокси-сервер

    Укажите учетную запись службы для службы AD FSSpecify the service account for the AD FS service

    Для службы AD FS требуется учетная запись службы домена для проверки подлинности пользователей и поиска информации о пользователях в Active Directory.The AD FS service requires a domain service account to authenticate users and lookup user information in Active Directory. Поддерживаются два типа учетных записей службы.It can support two types of service accounts:

    • Групповая управляемая учетная запись службы. Этот тип учетной записи представлен в доменных службах Active Directory в Windows Server 2012.Group Managed Service Account - Introduced in Active Directory Domain Services with Windows Server 2012. Этот тип учетной записи позволяет таким службам, как AD FS, использовать единый вход без постоянного обновления пароля учетной записи.This type of account provides services, such as AD FS, a single account without needing to update the account password regularly. Используйте этот параметр, если у вас уже есть контроллеры домена Windows Server 2012 в домене, к которому принадлежат серверы AD FS.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
    • Учетная запись пользователя домена. Для этого типа учетной записи необходимо указать пароль, который нужно регулярно обновлять в случае изменения или истечения срока действия.Domain User Account - This type of account requires you to provide a password and regularly update the password when the password changes or expires. Используйте этот тип, только если у вас нет контроллеров домена Windows Server 2012 в домене, к которому принадлежат серверы AD FS.Use this option only when you do not have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

    Если вы выбрали групповую управляемую учетную запись службы, а эта учетная запись никогда не использовалась в Active Directory, вам также будет предложено ввести учетные данные администратора предприятия.If you selected Group Managed Service Account and this feature has never been used in Active Directory, you are prompted for Enterprise Admin credentials. Эти учетные данные необходимы, чтобы инициировать хранилище ключей и включить эту учетную запись в Active Directory.These credentials are used to initiate the key store and enable the feature in Active Directory.

    Примечание

    Azure AD Connect выполняет проверку, чтобы определить, зарегистрирована ли служба AD FS в качестве имени субъекта-службы в домене.Azure AD Connect performs a check to detect if the AD FS service is already registered as a SPN in the domain. В AD DS запрещено одновременно регистрировать повторяющиеся имена субъектов-служб.AD DS will not allow duplicate SPN’s to be registered at once. Если будет обнаружено повторяющееся имя субъекта-службы, вы не сможете продолжить, пока это имя не будет удалено.If a duplicate SPN is found, you will not be able to proceed further until the SPN is removed.

    Учетная запись службы AD FS

    Выбор домена Azure AD, который нужно включить в федерациюSelect the Azure AD domain that you wish to federate

    Эта конфигурация используется для установки федеративных отношений между AD FS и Azure AD.This configuration is used to setup the federation relationship between AD FS and Azure AD. Она настраивает службы федерации Active Directory для выдачи маркеров безопасности Azure AD и настраивает Azure AD для доверия маркерам из данного конкретного экземпляра AD FS.It configures AD FS to issue security tokens to Azure AD and configures Azure AD to trust the tokens from this specific AD FS instance. Во время первой установки на этой странице можно настроить только один домен.This page only allows you to configure a single domain in the initial installation. Позже можно настроить дополнительные домены, запустив Azure AD Connect еще раз.You can configure more domains later by running Azure AD Connect again.

    Домен Azure AD

    Проверка домена Azure AD, выбранного для включения в федерациюVerify the Azure AD domain selected for federation

    При выборе домена, который необходимо включить в федерацию, Azure AD Connect предоставляет необходимые сведения для проверки непроверенного домена.When you select the domain to be federated, Azure AD Connect provides you with necessary information to verify an unverified domain. Сведения о том, как использовать эти данные, см. в статье о добавлении и проверке домена.See Add and verify the domain for how to use this information.

    Домен Azure AD

    Примечание

    AD Connect пытается проверить домен на этапе настройки.AD Connect tries to verify the domain during the configure stage. Если вы продолжите настройку, не добавив необходимые записи DNS, мастер не сможет завершить настройку.If you continue to configure without adding the necessary DNS records, the wizard is not able to complete the configuration.

    Настройка федерации с PingFederateConfiguring federation with PingFederate

    Вы можете легко настроить PingFederate с Azure AD Connect. Для этого достаточно нескольких щелчков.Configuring PingFederate with Azure AD Connect is simple and only requires a few clicks. Ниже перечислены обязательные компоненты.However, the following prerequisites are required.

    Проверка доменаVerify the domain

    Когда вы выберете вариант федерации с PingFederate, появится предложение проверить домен, для которого вы хотите создать федерацию.After selecting Federation with PingFederate, you will be asked to verify the domain you want to federate. Выберите нужный домен из раскрывающегося списка.Select the domain from the drop-down box.

    Проверка домена

    Экспорт параметров PingFederateExport the PingFederate settings

    Служба PingFederate должна быть назначена сервером федерации для каждого федеративного домена Azure.PingFederate must be configured as the federation server for each federated Azure domain. Нажмите кнопку "Экспортировать параметры" и передайте полученные сведения администратору PingFederate.Click the Export Settings button and share this information with your PingFederate administrator. Администратор сервера федерации обновит конфигурацию и предоставит вам URL-адрес сервера PingFederate и номер порта, по которым Azure AD Connect сможет проверить параметры настройки.The federation server administrator will update the configuration, then provide the PingFederate server URL and port number so Azure AD Connect can verify the metadata settings.

    Проверка домена

    Если при проверке возникнут проблемы, обратитесь к администратору PingFederate для их устранения.Contact your PingFederate administrator to resolve any validation issues. Ниже приведен пример сервера PingFederate, который не имеет допустимых отношений доверия с Azure:The following is an example of a PingFederate server that does not have a valid trust relationship with Azure:

    Доверие

    Проверка подключения федерацииVerify federation connectivity

    Azure AD Connect попробует проверить конечные точки аутентификации, полученные на предыдущем шаге из метаданных PingFederate.Azure AD Connect will attempt to validate the authentication endpoints retrieved from the PingFederate metadata in the previous step. Сначала Azure AD Connect пытается разрешить эти конечные точки через локальные DNS-серверы.Azure AD Connect will first attempt to resolve the endpoints using your local DNS servers. Затем проверка конечных точек продолжается через внешнего поставщика DNS.Next it will attempt to resolve the endpoints using an external DNS provider. Если при проверке возникнут проблемы, обратитесь к администратору PingFederate для их устранения.Contact your PingFederate administrator to resolve any validation issues.

    Проверка подключения

    Проверка федеративного входаVerify federation login

    Теперь вы можете проверить процесс входа в настроенной федерации, выполнив вход в федеративный домен.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Если он завершается успешно, значит федерация с PingFederate настроена правильно.When this succeeds, the federation with PingFederate is successfully configured. Проверка входаVerify login

    Страницы настройки и проверкиConfigure and verify pages

    Настройка выполняется на этой странице.The configuration happens on this page.

    Примечание

    Прежде чем продолжить установку (при настроенной федерации), необходимо настроить разрешение имен для серверов федерации.Before you continue installation and if you configured federation, make sure that you have configured Name resolution for federation servers.

    Теперь все готово для настройки.

    Промежуточный режимStaging mode

    Новый сервер синхронизации можно установить при промежуточном режиме.It is possible to setup a new sync server in parallel with staging mode. В этом режиме поддерживается только один сервер синхронизации, подключенный для экспорта к одному каталогу в облаке.It is only supported to have one sync server exporting to one directory in the cloud. Но если требуется переместить данные с другого сервера, на котором работает, например, DirSync, можно включить Azure Connect AD в промежуточном режиме.But if you want to move from another server, for example one running DirSync, then you can enable Azure AD Connect in staging mode. Если это средство включено, модуль синхронизации импортирует и синхронизирует данные в обычном режиме, но ничего не экспортирует в Azure AD или AD.When enabled, the sync engine import and synchronize data as normal, but it does not export anything to Azure AD or AD. В промежуточном режиме синхронизация паролей и компонент обратной записи паролей отключены.The features password sync and password writeback are disabled while in staging mode.

    Промежуточный режим

    В промежуточном режиме можно вносить необходимые изменения в модуль синхронизации и просматривать данные перед экспортом.While in staging mode, it is possible to make required changes to the sync engine and review what is about to be exported. Если вы довольны конфигурацией, снова запустите мастер установки и отключите промежуточный режим.When the configuration looks good, run the installation wizard again and disable staging mode. Теперь данные экспортируются с этого сервера в Azure AD.Data is now exported to Azure AD from this server. Обязательно отключите другой сервер, чтобы только один сервер активно экспортировал данные.Make sure to disable the other server at the same time so only one server is actively exporting.

    Дополнительные сведения см. в разделе Промежуточный режим.For more information, see Staging mode.

    Проверьте конфигурации федерацииVerify your federation configuration

    Если нажать кнопку "Проверить", Azure AD Connect проверит параметры DNS.Azure AD Connect verifies the DNS settings for you when you click the Verify button.

    Проверка подключения к интрасетиIntranet connectivity checks

    • Разрешение полного доменного имени федерации. Azure AD Connect проверяет, можно ли разрешить полное доменное имя федерации с помощью DNS, чтобы обеспечить возможность подключения.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity. Если Azure AD Connect не может разрешить полное доменное имя, произойдет сбой проверки.If Azure AD Connect cannot resolve the FQDN, the verification will fail. Для успешного выполнения проверки убедитесь, что запись DNS имеется для полного доменного имени службы федерации.Ensure that a DNS record is present for the federation service FQDN in order to successfully complete the verification.
    • Запись DNS типа A. Azure AD Connect проверяет наличие записи типа А для службы федерации.DNS A record: Azure AD Connect checks if there is an A record for your federation service. При отсутствии записи А проверка завершается ошибкой.In the absence of an A record, the verification will fail. Создайте запись А (а не запись CNAME) для полного доменного имени федерации, чтобы успешно завершить проверку.Create an A record and not CNAME record for your federation FQDN in order to successfully complete the verification.

    Проверка подключения к экстрасетиExtranet connectivity checks

    • Разрешение полного доменного имени федерации. Azure AD Connect проверяет, можно ли разрешить полное доменное имя федерации с помощью DNS, чтобы обеспечить возможность подключения.Resolve federation FQDN: Azure AD Connect checks if the federation FQDN can be resolved by DNS to ensure connectivity.

    Завершено

    Проверка

    Чтобы проверить весь алгоритм аутентификации, вручную проведите один или несколько из следующих тестов.To validate end-to-end authentication is successful you should manually perform one or more the following tests:

    • Когда завершится синхронизация, выполните дополнительную задачу Azure AD Connect "Проверка федеративного входа", чтобы проверить аутентификацию для любой локальной учетной записи.Once synchronization in complete, use the Verify federated login additional task in Azure AD Connect to verify authentication for an on-premises user account of your choice.
    • Проверьте возможность входа с помощью браузера, запущенного на подключенном к домену компьютере в интрасети. Для этого перейдите по адресу https://myapps.microsoft.com и попробуйте войти в систему, используя учетные данные, с которыми вы уже вошли.Validate that you can sign in from a browser from a domain joined machine on the intranet: Connect to https://myapps.microsoft.com and verify the sign-in with your logged in account. Встроенная учетная запись администратора в AD DS не синхронизируется и не может использоваться для проверки.The built-in AD DS administrator account is not synchronized and cannot be used for verification.
    • Проверьте возможность входа с устройства из экстрасети.Validate that you can sign in from a device from the extranet. На домашнем компьютере или мобильном устройстве перейдите по адресу https://myapps.microsoft.com и укажите свои учетные данные.On a home machine or a mobile device, connect to https://myapps.microsoft.com and supply your credentials.
    • Проверьте возможность входа клиента с расширенными возможностями.Validate rich client sign-in. Перейдите по адресу https://testconnectivity.microsoft.com, выберите вкладку Office 365 и щелкните Тест единого входа в Office 365.Connect to https://testconnectivity.microsoft.com, choose the Office 365 tab and chose the Office 365 Single Sign-On Test.

    Устранение неполадокTroubleshooting

    В следующем разделе приведены сведения об устранении неполадок, которые можно использовать, если у вас возникнет проблема с установкой Azure AD Connect.The following section contains troubleshooting and information that you can use if you encounter an issue installing Azure AD Connect.

    База данных ADSync уже содержит данные и не может быть перезаписана“The ADSync database already contains data and cannot be overwritten”

    Когда вы выполняете выборочную установку Azure AD Connect и выбираете вариант Use an existing SQL server (Использовать существующий SQL Server) на странице Установка обязательных компонентов, вы можете столкнуться с ошибкой, в которой говорится База данных ADSync уже содержит данные и не может быть перезаписана. Удалите существующую базу данных и повторите попытку.When you custom install Azure AD Connect and select the option Use an existing SQL server on the Install required components page, you might encounter an error that states The ADSync database already contains data and cannot be overwritten. Please remove the existing database and try again.

    Ошибка

    Это связано с тем, что база данных с именем ADSync уже существует в экземпляре SQL Server, указанном в приведенных выше текстовых окнах.This is because there is already an existing database named ADSync on the SQL instance of the SQL server, which you specified in the above textboxes.

    Обычно это происходит после удаления Azure AD Connect.This typically occurs after you have uninstalled Azure AD Connect. База данных не удаляется с SQL Server при удалении этого компонента.The database will not be deleted from the SQL Server when you uninstall.

    Чтобы устранить эту проблему, сначала убедитесь, что база данных ADSync, которая использовалась компонентом Azure AD Connect до его удаления, больше не используется.To fix this issue, first verify that the ADSync database that was used by Azure AD Connect prior to being uninstalled, is no longer being used.

    Затем рекомендуется создать резервную копию базы данных до ее удаления.Next, it is recommended that you backup the database prior to deleting it.

    Наконец, вам нужно удалить базу данных.Finally, you need to delete the database. Для этого вам нужно использовать Microsoft SQL Server Management Studio и подключиться к экземпляру SQL.You can do this by using Microsoft SQL Server Management Studio and connect to the SQL instance. Найдите базу данных ADSync, щелкните ее правой кнопкой мыши и выберите Удалить в контекстном меню.Find the ADSync database, right click on it, and select Delete from the context menu. Затем нажмите кнопку , чтобы удалить базу данных.Then click OK button to delete it.

    Ошибка

    После удаления базы данных ADSync вы можете нажать кнопку Установить, чтобы повторить установку.After you delete the ADSync database, you can click the install button, to retry installation.

    Дальнейшие действияNext steps

    После завершения установки выполните выход из Windows и снова войдите, прежде чем начинать использовать диспетчер службы синхронизации или редактор правил синхронизации.After the installation has completed, sign out and sign in again to Windows before you use Synchronization Service Manager or Synchronization Rule Editor.

    После установки Azure AD Connect можно проверить установку и назначить лицензии.Now that you have Azure AD Connect installed you can verify the installation and assign licenses.

    См. дополнительные сведения о предотвращении случайного удаления и Azure AD Connect Health.Learn more about these features, which were enabled with the installation: Prevent accidental deletes and Azure AD Connect Health.

    Дополнительные сведения см. в статье Синхронизация Azure AD Connect: планировщик.Learn more about these common topics: scheduler and how to trigger sync.

    Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.