Необходимые условия для Azure AD ConnectPrerequisites for Azure AD Connect

В этой статье описаны необходимые условия и требования к оборудованию для Azure AD Connect.This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Перед установкой Azure AD ConnectBefore you install Azure AD Connect

Прежде чем установить Azure AD Connect и обновить DirSync, вам потребуется ряд элементов.Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Клиент Azure AD.An Azure AD tenant. Вы получите его с бесплатной пробной версией Azure.You get one with an Azure free trial. Вы можете использовать один из следующих порталов для управления Azure AD Connect:You can use one of the following portals to manage Azure AD Connect:
  • Добавьте и подтвердите домен , который вы планируете использовать в Azure AD.Add and verify the domain you plan to use in Azure AD. Например, если вы планируете использовать для своих пользователей домен contoso.com, убедитесь, что он был подтвержден и вы используете не просто домен по умолчанию contoso.onmicrosoft.com.For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • Клиент Azure AD по умолчанию может вмещать 50 тыс. объектов.An Azure AD tenant allows by default 50k objects. После подтверждения домена этот предел увеличивается до 300 тыс. объектов.When you verify your domain, the limit is increased to 300k objects. Если вам нужно еще больше объектов в Azure AD, необходимо отправить обращение в службу технической поддержки, чтобы дополнительно увеличить данный предел.If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. Если вам необходимо более 500 тыс. объектов, то потребуется лицензия, например на Office 365, Azure AD Basic, Azure AD Premium или Enterprise Mobility + Security.If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.

Подготовка локальных данныхPrepare your on-premises data

Локальная служба Active DirectoryOn-premises Active Directory

  • Версия схемы и режим работы леса AD должны предполагать использование ОС Windows Server, начиная с версии 2003.The AD schema version and forest functional level must be Windows Server 2003 or later. Контроллеры домена могут работать под управлением любой версии, если выполняются требования к схеме и уровню леса.The domain controllers can run any version as long as the schema and forest level requirements are met.
  • Если вы планируете использовать компонент обратной записи паролей, то контроллеры домена должны работать под управлением Windows Server 2008 R2 или более поздней версии.If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 R2 or later.
  • Контроллер домена, используемый Azure AD, должен быть доступен для записи.The domain controller used by Azure AD must be writable. RODC (контроллер домена только для чтения) не поддерживается, и Azure AD Connect не будет поддерживать перенаправления для записи.It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • Не поддерживаются локальные леса и домены, использующие NetBIOS-имена с точками.It is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • Рекомендуется включить корзину Active Directory.It is recommended to enable the Active Directory recycle bin.

Сервер Azure AD ConnectAzure AD Connect server

  • Службу Azure AD Connect нельзя установить на версии Small Business Server или Windows Server Essentials, которые предшествуют версиям 2019 года (поддерживается Windows Server Essentials 2019).Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials before 2019 (Windows Server Essentials 2019 is supported). Сервер должен использовать Windows Server Standard или более поздней версии.The server must be using Windows Server standard or better.
  • Установка Azure AD Connect на контроллере домена не рекомендуется из-за по обеспечению безопасности и более строгие параметры, может препятствовать правильной установке Azure AD ConnectInstalling Azure AD Connect on a Domain Controller is not recommended due to security practices and more restrictive settings that can prevent Azure AD Connect from installing correctly
  • На сервере Azure AD Connect должен быть установлен полный графический интерфейс пользователя.The Azure AD Connect server must have a full GUI installed. Установка на ядро сервера не поддерживается.It is not supported to install on server core.

Важно!

Установка Azure AD Connect на small business server, сервера essentials или server core не поддерживается.Installing Azure AD Connect on small business server, server essentials, or server core is not supported.

  • Azure AD Connect необходимо установить на сервер под управлением Windows Server 2008 R2 или более поздней версии.Azure AD Connect must be installed on Windows Server 2008 R2 or later. Этот сервер должен быть присоединен домена и может быть контроллером домена или рядовой сервер.This server must be domain joined and may be a domain controller or a member server.

  • При установке Azure AD Connect на сервер Windows Server 2008 R2 обязательно примените последние обновления из Центра обновления Windows.If you install Azure AD Connect on Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. Установка на сервер без обновлений невозможна.The installation is not able to start with an unpatched server.

  • Если планируется использовать функцию синхронизации паролей, то сервер Azure AD Connect должен работать под управлением Windows Server 2008 R2 с пакетом обновления 1 (SP1) или более поздней версии.If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.

  • Если вы планируете использовать групповую управляемую учетную запись службы, то сервер Azure AD Connect должен работать под управлением Windows Server 2012 или более поздней версии.If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.

  • На сервере Azure AD Connect должна быть установлена платформа .NET Framework 4.5.1 или более поздней версии и среда Microsoft PowerShell 3.0 или более поздней версии.The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.

  • На сервере Azure AD Connect должна быть отключена групповая политика транскрипции PowerShell.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.

  • При развертывании служб федерации Active Directory (AD FS) серверы, на которых будут установлены службы AD FS или прокси-служба веб-приложения, должны работать под управлением Windows Server 2012 R2 или более поздней версии.If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. удаленное управление Windows .Windows remote management must be enabled on these servers for remote installation.

  • При развертывании служб федерации Active Directory необходимы SSL-сертификаты.If Active Directory Federation Services is being deployed, you need SSL Certificates.

  • При развертывании служб федерации Active Directory необходимо настроить разрешение имен.If Active Directory Federation Services is being deployed, then you need to configure name resolution.

  • Если глобальные администраторы активировали MFA, то URL-адрес https://secure.aadcdn.microsoftonline-p.com должен быть в списке надежных сайтов.If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. Если он не добавлен, вам будет предложено добавить этот сайт в список надежных сайтов перед появлением запроса MFA.You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. Добавить его в список надежных сайтов можно в Internet Explorer.You can use Internet Explorer to add it to your trusted sites.

  • Корпорация Майкрософт рекомендует ограниченный режим работы сервера Azure AD Connect для уменьшения поверхности атаки безопасности этой важнейшей частью ИТ-средой.Microsoft recommends hardening your Azure AD Connect server to decrease the security attack surface for this critical component of your IT environment. Выполнив приведенные ниже рекомендации будет уменьшить угрозу безопасности для вашей организации.Following the recommendations below will decrease the security risks to your organization.

  • Развертывание Azure AD Connect на сервере присоединены к домену и ограничить административный доступ к администраторов домена или другие группы строго контролируемыми безопасности.Deploy Azure AD Connect on a domain joined server and restrict administrative access to domain administrators or other tightly controlled security groups.

Дополнительные сведения см. на следующих ресурсах:To learn more, see:

SQL Server, используемый Azure AD ConnectSQL Server used by Azure AD Connect

  • Azure AD Connect требуется база данных SQL Server для хранения учетных данных.Azure AD Connect requires a SQL Server database to store identity data. По умолчанию устанавливается SQL Server 2012 Express LocalDB (облегченная версия SQL Server Express).By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. Размер экземпляра SQL Server Express может достигать 10 ГБ, позволяя управлять примерно 100 000 объектов.SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. Если вам нужно управлять более значительным числом объектов каталога, в мастере установки укажите другую установку SQL Server.If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server. Тип установки SQL Server может повлиять на производительность Azure AD Connect.The type of SQL Server installation can impact the performance of Azure AD Connect.
  • Если вы используете другую установку SQL Server, действуют следующие требования:If you use a different installation of SQL Server, then these requirements apply:
    • Azure AD Connect поддерживает все версии Microsoft SQL Server 2008 R2 (с последним пакетом обновления) для SQL Server 2019.Azure AD Connect supports all versions of Microsoft SQL Server from 2008 R2 (with latest Service Pack) to SQL Server 2019. База данных SQL Microsoft Azure в качестве базы данных не поддерживается .Microsoft Azure SQL Database is not supported as a database.
    • Необходимо использовать параметры сортировки SQL без учета регистра.You must use a case-insensitive SQL collation. Их можно определить по суффиксу _CI_ в имени.These collations are identified with a _CI_ in their name. Параметры сортировки с учетом регистра, имена которых содержат суффикс _CS_, не поддерживаются.It is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • На один экземпляр SQL может приходиться только один модуль синхронизации.You can only have one sync engine per SQL instance. Совместное использование экземпляра SQL модулями FIM/MIM Sync, DirSync и Azure AD Sync не поддерживается.It is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

Учет. записиAccounts

  • Учетная запись глобального администратора Azure AD для клиента Azure AD, с которым необходима интеграция.An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. Это должна быть учебная или рабочая учетная запись. Учетную запись Майкрософт использовать нельзя.This account must be a school or organization account and cannot be a Microsoft account.
  • Учетная запись администратора предприятия для локальной службы Active Directory при использовании экспресс-параметров или обновлении с DirSync.If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your on-premises Active Directory.
  • Учетные записи в Active Directory при использовании пути установки с пользовательскими параметрами или учетная запись администратора предприятия для локальной службы Active Directory.Accounts in Active Directory if you use the custom settings installation path or an Enterprise Administrator account for your on-premises Active Directory.

СоединениеConnectivity

  • Для серверов Azure AD Connect требуется разрешение DNS как для интрасети, так и для Интернета.The Azure AD Connect server needs DNS resolution for both intranet and internet. DNS-сервер должен иметь возможность разрешения имен как для локальной службы Active Directory, так и для конечных точек Azure AD.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • Если в вашей интрасети есть брандмауэры и вам необходимо открыть порты между серверами Azure AD Connect и контроллерами доменов, то дополнительные сведения см. в статье Порты и протоколы, необходимые для гибридной идентификации.If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • Если прокси-сервер или брандмауэр ограничивает доступные URL-адреса, то на нем необходимо открыть URL-адреса, указанные в разделе URL-адреса и диапазоны IP-адресов Office 365.If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • Azure AD Connect (версия 1.1.614.0 и более поздние версии) по умолчанию использует TLS 1.2 для шифрования связи между модулем синхронизации и Azure AD.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. Если TLS 1.2 не поддерживается для базовой операционной системы, Azure AD Connect последовательно пытается перейти на более старые протоколы (TLS 1.1 и TLS 1.0).If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0).
  • До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между модулем синхронизации и Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. Чтобы перейти на использование TLS 1.2, нужно выполнить инструкции из раздела Включение протокола TLS 1.2 для Azure AD Connect.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • Если для подключения к Интернету используется прокси-сервер, то в файл C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config необходимо добавить приведенные ниже параметры, чтобы мастер установки и функция синхронизации Azure AD Connect могли подключаться к Интернету и Azure AD.If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. Этот текст необходимо добавить в конец указанного файла.This text must be entered at the bottom of the file. В этом коде <PROXYADDRESS> означает фактический IP-адрес или имя узла прокси-сервера.In this code, <PROXYADDRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Если на прокси-сервере требуется аутентификация, то учетная запись службы должна находиться в домене. Кроме того, во время установки вам необходимо указать путь к настраиваемой учетной записи службы.If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. Нужно также внести другое изменение в файле machine.config. С этим изменением в файле machine.config мастер установки и модуль синхронизации будут отвечать на запросы на аутентификацию от прокси-сервера.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. На всех страницах мастера установки, за исключением страницы Настройка, используются учетные данные пользователя, выполнившего вход.In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. На странице Настройка перед завершением работы мастера установки контекст переключается на созданную вами учетную запись службы.On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. Раздел machine.config должен выглядеть следующим образом.The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Когда в процессе синхронизации каталогов Azure AD Connect отправляет веб-запрос в Azure AD, то для ответа Azure AD может потребоваться до 5 минут.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. Для прокси-серверов обычно настраивается время ожидания простоя подключения.It is common for proxy servers to have connection idle timeout configuration. Убедитесь, что в настройках для этого параметра задано не менее 6 минут.Please ensure the configuration is set to at least 6 minutes or more.

Дополнительную информацию об элементе defaultProxy вы можете найти на сайте MSDN.For more information, see MSDN about the default proxy Element.
В случае проблем с подключением изучите статью Устранение неполадок подключения в Azure AD Connect.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

ДругиеOther

  • Необязательно: тестовая учетная запись пользователя для проверки синхронизации.Optional: A test user account to verify synchronization.

Предварительные требования к компонентамComponent prerequisites

PowerShell и .NET FrameworkPowerShell and .NET Framework

Работа Azure AD Connect основана на Microsoft PowerShell и .NET Framework 4.5.1.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. На сервере должна быть установлена эта или более поздняя версия.You need this version or a later version installed on your server. В зависимости от установленной версии Windows Server выполните следующие действия.Depending on your Windows Server version, do the following:

  • Windows Server 2012R2Windows Server 2012R2
    • Microsoft PowerShell устанавливается по умолчанию.Microsoft PowerShell is installed by default. Никаких действий не требуется.No action is required.
    • Платформа .NET Framework 4.5.1 и более поздних версий распространяется через Центр обновления Windows..NET Framework 4.5.1 and later releases are offered through Windows Update. Убедитесь, что установлены последние обновления для Windows Server в панели управления.Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008 R2 и Windows Server 2012Windows Server 2008 R2 and Windows Server 2012

Включение протокола TLS 1.2 для Azure AD ConnectEnable TLS 1.2 for Azure AD Connect

До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между сервером модуля синхронизации и Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. Это можно изменить, настроив приложения .NET для использования TLS 1.2 по умолчанию на сервере.You can change this by configuring .NET applications to use TLS 1.2 by default on the server. Дополнительные сведения о протоколе TLS 1.2 см. в статье Советы по безопасности (Microsoft) (2960358).More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. Невозможно включить TLS 1.2, если не установлен сервер Windows Server 2008 R2 или более поздней версии.TLS 1.2 cannot be enabled prior to Windows Server 2008 R2 or later. Убедитесь, что платформа .NET Framework 4.5.1 установлено исправление для операционной системы, см. в разделе Microsoft Security Advisory 2960358.Make sure you have the .NET 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. Это исправление или его более поздняя версия может быть уже установлена на вашем сервере.You might have this hotfix or a later release installed on your server already.
  2. Если вы используете Windows Server 2008 R2, убедитесь, что протокол TLS 1.2 включен.If you use Windows Server 2008 R2, then make sure TLS 1.2 is enabled. На сервере с Windows Server 2012 или более поздней версии протокол TLS 1.2 должен быть уже включен.On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2]
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
    
  3. Для любой операционной системы задайте этот ключ реестра и перезагрузите сервер.For all operating systems, set this registry key and restart the server.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  4. Если вы также хотите включить протокол TLS 1.2 между сервером с модулем синхронизации и удаленным экземпляром SQL Server, установите версии, необходимые для поддержки протокола TLS 1.2 для Microsoft SQL Server.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Предварительные требования для установки и настройки федерацииPrerequisites for federation installation and configuration

Удаленное управление WindowsWindows Remote Management

При использовании средства Azure AD Connect для развертывания служб федерации Active Directory или прокси-сервера веб-приложения ознакомьтесь с приведенными ниже требованиями.When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • Если целевой сервер входит в домен, убедитесь, что включено удаленное управление Windows.If the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • В командном окне PSH с повышенными привилегиями выполните команду Enable-PSRemoting –force.In an elevated PSH command window, use command Enable-PSRemoting –force
  • Если целевой сервер — это не входящий в домен WAP-компьютер, существует несколько дополнительных требований.If the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • На целевом компьютере (WAP):On the target machine (WAP machine):
      • с помощью оснастки «Службы» убедитесь, что служба WinRM (Windows Remote Management/WS-Management) запущена;Ensure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • В командном окне PSH с повышенными привилегиями выполните команду Enable-PSRemoting –force.In an elevated PSH command window, use command Enable-PSRemoting –force
    • На компьютере, где запущен мастер (если целевой компьютер не присоединен к домену или присоединен к ненадежному домену), выполните следующие действия.On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • В командном окне PSH с повышенными привилегиями выполните команду Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.In an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • В диспетчере серверов:In Server Manager:
        • Добавьте узел DMZ WAP в пул компьютеров (Диспетчер серверов -> Управление -> Добавление серверов -> DNS (вкладка)).add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • В диспетчере серверов на вкладке «Все серверы» щелкните правой кнопкой мыши WAP-сервер и выберите параметр «Управлять как», введите локальные учетные данные (не домена) для WAP-компьютера.Server Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • Чтобы проверить возможность удаленного подключения из PSH, в диспетчере серверов на вкладке «Все сервера» щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell.To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. Должен открыться удаленный сеанс PSH для проверки возможности создания удаленных сеансов PowerShell.A remote PSH session should open to ensure remote PowerShell sessions can be established.

Требования к сертификатам SSLSSL Certificate Requirements

  • Настоятельно рекомендуем использовать один и тот же SSL-сертификат на всех узлах фермы AD FS, а также на всех прокси-серверах веб-приложений.It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • Это должен быть сертификат X509.The certificate must be an X509 certificate.
  • На серверах федерации в тестовой лабораторной среде можно использовать самозаверяющий сертификат.You can use a self-signed certificate on federation servers in a test lab environment. Однако для рабочей среды рекомендуется получить сертификат из общедоступного центра сертификации.However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • Если вы не используете общедоступный доверенный сертификат, убедитесь, что сертификат, установленный на каждом прокси- сервере веб-приложений, является доверенным (на локальном сервере и на всех серверах федерации).If using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • Идентификатор сертификата должен совпадать с именем службы федерации (например sts.contoso.com).The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • Идентификатор является расширением альтернативного имени субъекта (SAN) типа dNSName. При отсутствии записей SAN имя субъекта указывается как обычное имя.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • В сертификате может быть несколько записей SAN, если одна из них соответствует имени службы федерации.Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • Если вы планируете использовать присоединение Workplace Join, то необходимо дополнительное имя SAN со значением enterpriseregistration.,If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. за которым следует суффикс имени участника-пользователя (UPN) вашей организации, например enterpriseregistration.contoso.com.followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • Сертификаты на основе ключей CryptoAPI следующего поколения (CNG) и поставщики хранилища ключей не поддерживаются.Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. Это означает, что необходимо использовать сертификаты, выданные CSP (поставщиком служб шифрования), а не KSP (поставщиком хранилища ключей).This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • Поддерживаются групповые сертификаты.Wild-card certificates are supported.

Разрешение имен для серверов федерацииName resolution for federation servers

  • Настройте записи DNS для имени службы федерации AD FS (например, sts.contoso.com) для интрасети (внутренний DNS-сервер) и экстрасети (общедоступный DNS-сервер вашего регистратора доменных имен).Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). Для записи DNS интрасети обязательно используйте записи A, а не записи CNAME.For the intranet DNS record, ensure that you use A records and not CNAME records. Это необходимо для правильной работы проверки подлинности Windows на компьютере, добавленном в домен.This is required for windows authentication to work correctly from your domain joined machine.
  • Если вы развертываете несколько серверов AD FS или прокси-сервер веб-приложения, убедитесь, что вы настроили балансировщик нагрузки и на него указывают записи DNS для имени службы федерации AD FS (например, sts.contoso.com).If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • Чтобы встроенная проверка подлинности Windows работала с приложениями браузера в вашей интрасети, использующими Internet Explorer, необходимо, чтобы имя службы федерации AD FS (например, sts.contoso.com) было добавлено в зону интрасети IE.For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. Имя службы можно указать в групповой политике и развернуть на всех компьютерах, присоединенных к домену.This can be controlled via group policy and deployed to all your domain joined computers.

Вспомогательные компоненты Azure AD ConnectAzure AD Connect supporting components

Ниже приведен перечень компонентов, которые Azure AD Connect установит на сервере, где установлен Azure AD Connect.The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. Этот список предназначен для базовой установки Express.This list is for a basic Express installation. Если на странице "Установить службы синхронизации" вы выбрали другой выпуск SQL Server, то SQL Express LocalDB не устанавливается локально.If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • Программы командной строки Microsoft SQL Server 2012Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Express LocalDBMicrosoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native ClientMicrosoft SQL Server 2012 Native Client
  • Распространяемый пакет Microsoft Visual C++ 2013Microsoft Visual C++ 2013 Redistribution Package

Требования к оборудованию для Azure AD ConnectHardware requirements for Azure AD Connect

В следующей таблице содержатся минимальные требования к компьютеру синхронизации с Azure AD Connect.The table below shows the minimum requirements for the Azure AD Connect sync computer.

Количество объектов в Active DirectoryNumber of objects in Active Directory ЦПCPU ПамятьMemory Размер жесткого дискаHard drive size
Менее 10 000Fewer than 10,000 1,6 ГГц1.6 GHz 4 ГБ4 GB 70 ГБ70 GB
10 000–50 00010,000–50,000 1,6 ГГц1.6 GHz 4 ГБ4 GB 70 ГБ70 GB
50 000–100 00050,000–100,000 1,6 ГГц1.6 GHz 16 ГБ16 GB 100 ГБ100 GB
При наличии 100 000 объектов или более необходима полная версия SQL ServerFor 100,000 or more objects the full version of SQL Server is required
100 000–300 000100,000–300,000 1,6 ГГц1.6 GHz 32 ГБ32 GB 300 ГБ300 GB
300 000–600 000300,000–600,000 1,6 ГГц1.6 GHz 32 ГБ32 GB 450 ГБ450 GB
Более 600 000More than 600,000 1,6 ГГц1.6 GHz 32 ГБ32 GB 500 ГБ500 GB

Для компьютеров, где выполняются AD FS или серверы веб-приложений, предъявляются следующие минимальные требования:The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • ЦП: двухъядерный процессор с тактовой частотой 1,6 ГГц или выше;CPU: Dual core 1.6 GHz or higher
  • ОЗУ: 2 ГБ или более;MEMORY: 2 GB or higher
  • Виртуальная машина Azure: конфигурация A2 или выше.Azure VM: A2 configuration or higher

Дальнейшие действияNext steps

Узнайте больше об интеграции локальных удостоверений с Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.