Необходимые условия для Azure AD Connect

В этой статье описаны необходимые условия и требования к оборудованию для Azure Active Directory (Azure AD) Connect.

Перед установкой Azure AD Connect

Прежде чем установить Azure AD Connect и обновить DirSync, вам потребуется ряд элементов.

Azure AD

  • Вам требуется клиент Azure AD. Вы получите его с бесплатной пробной версией Azure. Вы можете использовать один из следующих порталов для управления Azure AD Connect:
  • Добавьте и подтвердите домен , который вы планируете использовать в Azure AD. Например, если вы планируете использовать домен contoso.com для своих пользователей, убедитесь, что этот домен был подтвержден, и вы используете не только домен по умолчанию contoso.onmicrosoft.com.
  • Клиент Azure AD по умолчанию может вмещать 50 000 объектов. После подтверждения домена этот предел увеличивается до 300 000 объектов. Если требуется еще увеличить количество объектов в Azure AD, следует открыть заявку в службу технической поддержки, чтобы дополнительно повысить это предельное значение. Если необходимо более 500 000 объектов, потребуется лицензия, например для Microsoft 365, Azure AD категории "Премиум" или Enterprise Mobility + Security.

Подготовка локальных данных

Локальная служба Active Directory

  • Версия схемы и режим работы леса Active Directory должны предполагать использование ОС Windows Server, начиная с версии 2003. Контроллеры домена могут работать под управлением любой версии, если выполняются требования к версии схемы и уровню леса.
  • Если планируется использовать компонент обратной записи паролей, то контроллеры домена должны работать под управлением Windows Server 2016 или более поздней версии.
  • Контроллер домена, используемый Azure AD, должен быть доступен для записи. Использование контроллера домена только для чтения (RODC) не поддерживается, и Azure AD Connect не выполняет перенаправления записи.
  • Локальные леса и домены, использующие имена NetBIOS с точками (в имени содержится знак ".") не поддерживаются.
  • Рекомендуем активировать корзину Active Directory.

Политика выполнения PowerShell

Azure Active Directory Connect выполняет подписанные сценарии PowerShell в рамках процесса установки. Убедитесь, что политика выполнения PowerShell позволяет выполнение сценариев.

Рекомендуемая политика выполнения в процессе установки — "RemoteSigned".

Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.

Сервер Azure AD Connect

Сервер Azure AD Connect содержит важные данные удостоверений. Необходимо обеспечить надлежащую безопасность административного доступа к этому серверу. Следуйте рекомендациям статьи Защита привилегированного доступа.

Сервер Azure AD Connect сервер должен рассматриваться как компонент уровня 0, как описано в статье Модель уровня администрирования Active Directory.

Дополнительные сведения о защите среды Active Directory см. в статье Рекомендации по обеспечению безопасности Active Directory.

Предварительные требования для установки

  • Azure AD Connect необходимо установить на присоединенный к домену сервер под управлением ОС Windows Server, начиная с версии 2016.
  • Не допускается установка службы Azure AD Connect на серверы под управлением Small Business Server или Windows Server Essentials, версии которых предшествуют версиям 2019 года (Windows Server Essentials 2019 поддерживается). Сервер должен использовать Windows Server Standard или более поздней версии.
  • На сервере Azure AD Connect должен быть установлен полный графический интерфейс пользователя. Установка Azure AD Connect на Windows Server Core не поддерживается.
  • Если для управления конфигурацией службы федерации Active Directory (AD FS) используется мастер Azure AD Connect, на сервере Azure AD Connect не должна быть включена групповая политика транскрибирования PowerShell. Транскрибирование PowerShell можно включить, если мастер Azure AD Connect используется для управления конфигурацией синхронизации.
  • Если развертывается AD FS, должны выполняться требования, указанные ниже.
  • Если глобальные администраторы активировали MFA, то URL-адрес https://secure.aadcdn.microsoftonline-p.com должен содержаться в списке надежных сайтов. Если он не добавлен, вам будет предложено добавить этот сайт в список надежных сайтов перед появлением запроса MFA. Добавить его в список надежных сайтов можно в Internet Explorer.
  • Если для синхронизации планируется использовать Azure AD Connect Health, убедитесь, что также выполнены предварительные условия для Azure AD Connect Health. Дополнительные сведения см. в статье Установка агента Azure AD Connect Health.

Усиление защиты сервера Azure AD Connect

Рекомендуем усилить защиту сервера Azure AD Connect, чтобы уменьшить вероятность атаки на этот критически важный компонент ИТ-среды. Следуйте этим рекомендациям, чтобы устранить некоторые угрозы безопасности в организации.

SQL Server, используемый Azure AD Connect

  • Azure AD Connect требуется база данных SQL Server для хранения учетных данных. По умолчанию устанавливается SQL Server 2019 Express LocalDB (облегченная версия SQL Server Express). Размер SQL Server Express ограничивается 10 ГБ, что обеспечивает управление примерно 100 000 объектов. Если необходимо управлять большим количеством объектов каталога, в мастере установки укажите другую установку SQL Server. Тип установки SQL Server может влиять на производительность Azure AD Connect.
  • Если используется другая установка SQL Server, применяются требования, указанные ниже.
    • Azure AD Connect поддерживает все версии SQL Server, начиная с версии 2012 (с последним пакетом обновления) и до SQL Server 2019. База данных SQL Azure не поддерживается в качестве базы данных.
    • Необходимо использовать параметры сортировки SQL без учета регистра. Их можно определить по суффиксу _CI_ в имени. Параметры сортировки с учетом регистра, имена которых содержат суффикс _CS_ не поддерживаются.
    • Для каждого экземпляра SQL предусмотрен только один модуль синхронизации. Совместное использование экземпляра SQL модулями FIM/MIM Sync, DirSync и Azure AD Sync не поддерживается.

Учетные записи

  • Следует иметь учетную запись глобального администратора Azure AD для клиента Azure AD, с которым необходима интеграция. Это должна быть учебная или рабочая учетная запись. Учетную запись Майкрософт использовать нельзя.
  • Если используются стандартные параметры или обновление DirSync, необходимо иметь учетную запись администратора предприятия для локальной службы Active Directory.
  • Если используется путь установки настраиваемых параметров, имеются дополнительные параметры. Дополнительные сведения см. в статье Параметры выборочной установки.

Соединение

  • Для серверов Azure AD Connect требуется разрешение DNS как для интрасети, так и для Интернета. DNS-сервер должен иметь возможность разрешения имен как для локальной службы Active Directory, так и для конечных точек Azure AD.

  • Для Azure AD Connect требуется сетевое подключение ко всем настроенным доменам.

  • Если в вашей интрасети есть брандмауэры, и вам необходимо открыть порты между серверами Azure AD Connect и контроллерами доменов, см. дополнительные сведения в статье Порты Azure AD Connect.

  • Если прокси-сервер или брандмауэр ограничивает доступные URL-адреса, то необходимо открыть URL-адреса, указанные в разделе URL-адреса и диапазоны IP-адресов Office 365. Кроме того, см. раздел Добавление URL-адресов портала Azure в список надежных адресов в брандмауэре или на прокси-сервере.

  • Azure AD Connect (версия 1.1.614.0 и более поздние версии) по умолчанию использует TLS 1.2 для шифрования связи между модулем синхронизации и Azure AD. Если TLS 1.2 не поддерживается для базовой операционной системы, Azure AD Connect последовательно пытается перейти на более старые протоколы (TLS 1.1 и TLS 1.0). Версии Azure AD Connect, начиная с версии 2.0 Протоколы TLS 1.0 и 1.1 больше не поддерживаются, и установка завершится сбоем, если не включен протокол TLS 1.2.

  • До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между модулем синхронизации и Azure AD. Чтобы перейти на использование TLS 1.2, нужно выполнить инструкции из раздела Включение протокола TLS 1.2 для Azure AD Connect.

  • Если для подключения к Интернету используется исходящий прокси-сервер, то в файл C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config необходимо добавить нижеуказанные параметры, чтобы мастер установки и служба синхронизации Azure AD Connect могли подключаться к Интернету и Azure AD. Этот текст необходимо добавить в конец указанного файла. В этом коде <PROXYADDRESS> означает фактический IP-адрес или имя узла прокси-сервера.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Если для прокси-сервера требуется проверка подлинности, учетная запись службы должна размещаться в домене. Используйте путь установки настраиваемых параметров, чтобы определить настраиваемую учетную запись службы. Также требуется другое изменение в файле machine.config. С этим изменением в файле machine.config мастер установки и модуль синхронизации отвечают на запросы аутентификации от прокси-сервера. На всех страницах мастера установки, за исключением страницы Настройка, используются учетные данные пользователя, выполнившего вход. На странице Настройка перед завершением работы мастера установки контекст переключается на созданную вами учетную запись службы. Раздел machine.config должен выглядеть следующим образом.

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Если конфигурация прокси-сервера выполняется в существующей установке, необходимо перезапустить службу Microsoft Azure AD Sync, чтобы обеспечить возможность считывания конфигурации прокси-сервера и обновления поведения для Azure AD Connect.

  • Когда в процессе синхронизации каталогов Azure AD Connect отправляет веб-запрос в Azure AD, то для ответа Azure AD может потребоваться до 5 минут. Как правило, для прокси-серверов обычно настраивается тайм-аут простоя подключения. Убедитесь, что в настройках для этого параметра задано не менее 6 минут.

Дополнительную информацию об элементе "прокси-сервер по умолчанию" см. на сайте MSDN. В случае проблем с подключением изучите статью Устранение неполадок подключения в Azure AD Connect.

Другое

Необязательно: используйте тестовую учетную запись пользователя для проверки синхронизации.

Предварительные требования к компонентам

PowerShell и .NET Framework

Azure AD Connect использует Microsoft PowerShell 5.0 и .NET Framework 4.5.1. На сервере должна быть установлена эта или более поздняя версия.

Включение протокола TLS 1.2 для Azure AD Connect

До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между сервером модуля синхронизации и Azure AD. Можно настроить приложения .NET таким образом, чтобы на сервере по умолчанию использовался протокол TLS 1.2. Дополнительные сведения о TLS 1.2 см. в статье Советы по безопасности корпорации Майкрософт (2960358).

  1. Убедитесь, что для операционной системы установлено исправление по .NET 4.5.1. Дополнительные сведения см. в статье Советы по безопасности корпорации Майкрософт (2960358). Это исправление или его более поздняя версия может быть уже установлена на вашем сервере.

  2. Для любой операционной системы задайте этот ключ реестра и перезагрузите сервер.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Если также требуется включить протокол TLS 1.2 между сервером с модулем синхронизации и удаленным экземпляром SQL Server, установите версии, необходимые для поддержки протокола TLS 1.2 для Microsoft SQL Server.

Необходимые компоненты DCOM на сервере синхронизации

В процессе установки службы синхронизации Azure AD Connect проверяет наличие следующего раздела реестра:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

В этом разделе реестра Azure AD Connect проверит наличие и отсутствие повреждений следующих значений:

Предварительные требования для установки и настройки федерации

Удаленное управление Windows

Если Azure AD Connect используется для развертывания AD FS или прокси-сервера веб-приложения (WAP), проверьте выполнение требований, указанных ниже.

  • Если целевой сервер присоединен к домену, включите удаленное управление Windows.
    • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
  • Если целевой сервер представляет собой WAP-компьютер, не присоединенный к домену, имеются некоторые дополнительные требования, указанные ниже.
    • На целевом компьютере (WAP):
      • Убедитесь, что служба удаленного управления Windows/WS-Management (WinRM) выполняется через оснастку "Службы".
      • В командном окне PowerShell с повышенными привилегиями выполните команду Enable-PSRemoting –force.
    • На компьютере, где запущен мастер (если целевой компьютер не присоединен к домену или представляет собой ненадежный домен), выполните действия, указанные ниже.
      • В командном окне PowerShell с повышенными привилегиями выполните команду Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
      • В диспетчере серверов
        • Добавьте узел WAP DMZ в пул компьютеров. В диспетчере сервера последовательно выберите Управление > Добавить серверы, затем используйте вкладку DNS.
        • На вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши сервер WAP и выберите пункт Управлять как. Введите локальные учетные данные (не домен) для компьютера WAP.
        • Чтобы проверить возможность удаленного подключения PowerShell, на вкладке Диспетчер сервера, все серверы щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell. Должен открыться удаленный сеанс PowerShell, чтобы обеспечить возможность установления удаленных сеансов PowerShell.

Требования к TLS- и SSL-сертификатам

  • Рекомендуем использовать один и тот же TLS/SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.
  • Это должен быть сертификат X509.
  • На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат. Для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.
    • Если используется сертификат, который не является общедоступным и доверенным, убедитесь, что сертификат, установленный на каждом прокси-сервере веб-приложений, является доверенным (на локальном сервере и на всех серверах федерации).
  • Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).
    • Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.
    • В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.
    • Если планируется использовать подключение Workplace Join, то необходимо дополнительное имя SAN со значением enterpriseregistration, за которым следует суффикс имени участника-пользователя (UPN) вашей организации, например enterpriseregistration.contoso.com.
  • Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей (KSP) не поддерживаются. Вследствие этого, необходимо использовать сертификат на основе поставщика служб шифрования (CSP), а не KSP.
  • Поддерживаются групповые сертификаты.

Разрешение имен для серверов федерации

  • Настройте записи DNS для имени AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows на компьютере, присоединенном к домену.
  • Если выполняется развертывание нескольких серверов AD FS или прокси-сервер веб-приложения, убедитесь, что настроен балансировщик нагрузки, и на него указывают записи DNS для имени AD FS (например, sts.contoso.com).
  • Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети с помощью Internet Explorer, необходимо, чтобы имя AD FS (например, sts.contoso.com) было добавлено в зону интрасети в Internet Explorer. Это требование можно реализовывать с помощью групповой политики и развертывать на всех компьютерах, присоединенных к домену.

Вспомогательные компоненты Azure AD Connect

Azure AD Connect устанавливает компоненты, указанные ниже, на сервере, где установлен Azure AD Connect. Этот список предназначен для базовой установки Express. Если на странице Установка служб синхронизации выбран другой SQL Server, то SQL Express LocalDB не устанавливается локально.

  • Azure AD Connect Health
  • Программы командной строки Microsoft SQL Server 2019
  • Microsoft SQL Server 2019 Express LocalDB
  • Microsoft SQL Server 2019 Native Client
  • Распространяемый пакет Microsoft Visual C++ 14

Требования к оборудованию для Azure AD Connect

В таблице ниже содержатся минимальные требования к компьютеру синхронизации с Azure AD Connect.

Количество объектов в Active Directory ЦП Память Размер жесткого диска
Менее 10 000 1,6 ГГц 4 ГБ 70 ГБ
10 000–50 000 1,6 ГГц 4 ГБ 70 ГБ
50 000–100 000 1,6 ГГц 16 Гб 100 ГБ
При наличии 100 000 или более объектов необходима полная версия SQL Server. По соображениям производительности предпочтительнее локальная установка.
100 000–300 000 1,6 ГГц 32 ГБ 300 ГБ
300 000–600 000 1,6 ГГц 32 ГБ 450 ГБ
Более 600 000 1,6 ГГц 32 ГБ 500 ГБ

Для компьютеров, где выполняются AD FS или прокси-серверы веб-приложений, предъявляются следующие минимальные требования:

  • процессор: двухъядерный с тактовой частотой 1,6 ГГц или выше;
  • память: 2 ГБ или более;
  • виртуальная машина Azure: конфигурация A2 или выше.

Дальнейшие действия

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.