Azure Active Directory Connect özel yüklemesiCustom installation of Azure Active Directory Connect

Yükleme için daha fazla seçenek istediğinizde Azure Active Directory (Azure AD) Connect 'teki özel ayarları kullanın.Use custom settings in Azure Active Directory (Azure AD) Connect when you want more options for the installation. Örneğin, birden çok ormanınız varsa veya isteğe bağlı özellikleri yapılandırmak istiyorsanız bu ayarları kullanın.Use these settings, for example, if you have multiple forests or if you want to configure optional features. Hızlı yüklemenin dağıtım veya topoloji ihtiyaçlarınızı karşılayamadığı tüm durumlarda özel ayarları kullanın.Use custom settings in all cases where express installation doesn't satisfy your deployment or topology needs.

Ön koşullar:Prerequisites:

Özel yükleme ayarlarıCustom installation settings

Azure AD Connect için özel bir yükleme kurmak üzere aşağıdaki bölümlerde açıklanan sihirbaz sayfalarına gidin.To set up a custom installation for Azure AD Connect, go through the wizard pages that the following sections describe.

Hızlı ayarlarExpress settings

Bir özelleştirilmiş ayarlar yüklemesi başlatmak için Hızlı ayarlar sayfasında Özelleştir ' i seçin.On the Express Settings page, select Customize to start a customized-settings installation. Bu makalenin geri kalanı, özel yükleme sürecinde size rehberlik eder.The rest of this article guides you through the custom installation process. Belirli bir sayfaya yönelik bilgilere hızlıca gitmek için aşağıdaki bağlantıları kullanın:Use the following links to quickly go to the information for a particular page:

Gerekli bileşenleri yüklemeInstall required components

Eşitleme hizmetlerini yüklerken isteğe bağlı yapılandırma bölümünü seçilmemiş şekilde bırakabilirsiniz.When you install the synchronization services, you can leave the optional configuration section unselected. Azure AD Connect her şeyi otomatik olarak ayarlar.Azure AD Connect sets up everything automatically. SQL Server 2012 Express LocalDB örneğini ayarlar, uygun grupları oluşturur ve izinleri atar.It sets up a SQL Server 2012 Express LocalDB instance, creates the appropriate groups, and assign permissions. Varsayılanları değiştirmek istiyorsanız, uygun kutuları temizleyin.If you want to change the defaults, clear the appropriate boxes. Aşağıdaki tablo bu seçenekleri özetler ve ek bilgilere bağlantılar sağlar.The following table summarizes these options and provides links to additional information.

Azure AD Connect gerekli yükleme bileşenlerine yönelik isteğe bağlı seçimleri gösteren ekran görüntüsü.

İsteğe bağlı yapılandırmaOptional configuration DescriptionDescription
Özel bir yükleme konumu belirtinSpecify a custom installation location Azure AD Connect için varsayılan yükleme yolunu değiştirmenize izin verir.Allows you to change the default installation path for Azure AD Connect.
Mevcut bir SQL Server'ı kullanmaUse an existing SQL Server SQL Server adı ve örnek adını belirtmenize olanak tanır.Allows you to specify the SQL Server name and instance name. Kullanmak istediğiniz bir veritabanı sunucusu zaten varsa bu seçeneği belirleyin.Choose this option if you already have a database server that you want to use. Örnek adıiçin, SQL Server Örneğinizde göz atma özelliği etkinleştirilmemişse örnek adını, bir virgül ve bağlantı noktası numarasını girin.For Instance Name, enter the instance name, a comma, and the port number if your SQL Server instance doesn't have browsing enabled. Sonra Azure AD Connect veritabanının adını belirtin.Then specify the name of the Azure AD Connect database. SQL ayrıcalıklarınız, yeni bir veritabanının oluşturulup oluşturulmayacağını veya SQL yöneticinizin veritabanını önceden oluşturması gerektiğini belirtir.Your SQL privileges determine whether a new database can be created or your SQL administrator must create the database in advance. SQL Server Yöneticisi (SA) izinleriniz varsa bkz. var olan bir veritabanını kullanarak Azure AD Connect yüklemesi.If you have SQL Server administrator (SA) permissions, see Install Azure AD Connect by using an existing database. Temsilci izinleri (DBO) varsa bkz. SQL temsilcisi yönetici izinleri kullanarak Azure AD Connect yüklemesi.If you have delegated permissions (DBO), see Install Azure AD Connect by using SQL delegated administrator permissions.
Mevcut bir hizmet hesabını kullanmaUse an existing service account Varsayılan olarak, Azure AD Connect Eşitleme Hizmetleri için bir sanal hizmet hesabı sağlar.By default, Azure AD Connect provides a virtual service account for the synchronization services. SQL Server uzak bir örneğini kullanıyorsanız veya kimlik doğrulaması gerektiren bir proxy kullanıyorsanız, bir yönetilen hizmet hesabı veya etki alanında parola korumalı bir hizmet hesabı kullanabilirsiniz.If you use a remote instance of SQL Server or use a proxy that requires authentication, you can use a managed service account or a password-protected service account in the domain. Bu durumlarda, kullanmak istediğiniz hesabı girin.In those cases, enter the account you want to use. Yüklemeyi çalıştırmak için, SQL 'de bir SA olmanız gerekir, bu sayede hizmet hesabı için oturum açma kimlik bilgileri oluşturabilirsiniz.To run the installation, you need to be an SA in SQL so you can create sign-in credentials for the service account. Daha fazla bilgi için bkz. Azure AD Connect hesapları ve izinleri.For more information, see Azure AD Connect accounts and permissions.

En son derlemeyi kullanarak, SQL Yöneticisi artık veritabanını bant dışı temin edebilir.By using the latest build, the SQL administrator can now provision the database out of band. Azure AD Connect Yöneticisi, veritabanını veritabanı sahibi haklarıyla yükleyebilir.Then the Azure AD Connect administrator can install it with database owner rights. Daha fazla bilgi için bkz. SQL Temsilcili yönetici izinleri kullanarak Azure AD Connect yüklemesi.For more information, see Install Azure AD Connect by using SQL delegated administrator permissions.
Özel eşitleme grubu belirtmeSpecify custom sync groups Varsayılan olarak, Eşitleme Hizmetleri yüklendiğinde Azure AD Connect sunucuda yerel olan dört grup oluşturur.By default, when the synchronization services are installed, Azure AD Connect creates four groups that are local to the server. Bu gruplar Yöneticiler, Işleçler, gözatmak ve parola Sıfırlamalardır.These groups are Administrators, Operators, Browse, and Password Reset. Kendi gruplarınızı burada belirtebilirsiniz.You can specify your own groups here. Grupların sunucuda yerel olması gerekir.The groups must be local on the server. Etki alanında yer amazlar.They can't be located in the domain.
Eşitleme ayarlarını içeri aktar (Önizleme)Import synchronization settings (preview) Azure AD Connect diğer sürümlerinden ayarları içeri aktarmanıza izin verir.Allows you to import settings from other versions of Azure AD Connect. Daha fazla bilgi için bkz. Azure AD Connect yapılandırma ayarlarını içeri ve dışarı aktarma.For more information, see Importing and exporting Azure AD Connect configuration settings.

Kullanıcı oturumu açmaUser sign-in

Gerekli bileşenleri yükledikten sonra kullanıcılarınızın çoklu oturum açma yöntemini seçin.After installing the required components, select your users' single sign-on method. Aşağıdaki tabloda, kullanılabilir seçenekler kısaca açıklanmaktadır.The following table briefly describes the available options. Oturum açma yöntemleriyle ilgili tam açıklama için bkz. Kullanıcı oturumu açma.For a full description of the sign-in methods, see User sign-in.

"Kullanıcı oturum açma" sayfasını gösteren ekran görüntüsü.

Çoklu oturum açma seçeneğiSingle sign-on option DescriptionDescription
Parola karması eşitlemePassword hash synchronization Kullanıcılar, Microsoft 365 gibi Microsoft bulut hizmetlerinde, şirket içi ağda kullandıkları aynı parolayı kullanarak oturum açabilirler.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Kullanıcı parolaları, Azure AD ile bir parola karması olarak eşitlenir.User passwords are synchronized to Azure AD as a password hash. Kimlik doğrulaması bulutta oluşur.Authentication occurs in the cloud. Daha fazla bilgi için bkz. Parola karması eşitleme.For more information, see Password hash synchronization.
Doğrudan kimlik doğrulamaPass-through authentication Kullanıcılar, Microsoft 365 gibi Microsoft bulut hizmetlerinde, şirket içi ağda kullandıkları aynı parolayı kullanarak oturum açabilirler.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Kullanıcı parolaları, şirket içi Active Directory etki alanı denetleyicisine geçirilerek onaylanır.User passwords are validated by being passed through to the on-premises Active Directory domain controller.
AD FS ile FederasyonFederation with AD FS Kullanıcılar, Microsoft 365 gibi Microsoft bulut hizmetlerinde, şirket içi ağda kullandıkları aynı parolayı kullanarak oturum açabilirler.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Kullanıcılar, oturum açmak için şirket içi Azure Dizin Federasyon Hizmetleri (AD FS) örneğine yönlendirilir.Users are redirected to their on-premises Azure Directory Federation Services (AD FS) instance to sign in. Kimlik doğrulaması şirket içinde meydana gelir.Authentication occurs on-premises.
PingFederate ile federasyonFederation with PingFederate Kullanıcılar, Microsoft 365 gibi Microsoft bulut hizmetlerinde, şirket içi ağda kullandıkları aynı parolayı kullanarak oturum açabilirler.Users can sign in to Microsoft cloud services, such as Microsoft 365, by using the same password they use in their on-premises network. Kullanıcılar, oturum açmak için şirket içi PingFederate örneğine yönlendirilir.Users are redirected to their on-premises PingFederate instance to sign in. Kimlik doğrulaması şirket içinde meydana gelir.Authentication occurs on-premises.
YapılandırmayınDo not configure Kullanıcı oturum açma özelliği yüklü değil veya yapılandırılmadı.No user sign-in feature is installed or configured. Zaten bir üçüncü taraf Federasyon sunucusu veya başka bir çözümünüz varsa bu seçeneği belirleyin.Choose this option if you already have a third-party federation server or another solution in place.
Çoklu oturum açmayı etkinleştirEnable single sign-on Bu seçenek hem Parola karması eşitlemesi hem de geçişli kimlik doğrulaması ile kullanılabilir.This option is available with both password hash sync and pass-through authentication. Şirket ağlarında masaüstü kullanıcıları için çoklu oturum açma deneyimi sağlar.It provides a single sign-on experience for desktop users on corporate networks. Daha fazla bilgi için bkz. Çoklu oturum açma.For more information, see Single sign-on.

Note: AD FS müşteriler için bu seçenek kullanılamaz.Note: For AD FS customers, this option is unavailable. AD FS, çoklu oturum açma düzeyini zaten sunmaktadır.AD FS already offers the same level of single sign-on.

Azure AD'ye BağlanmaConnect to Azure AD

Azure AD 'ye Bağlan sayfasında, bir genel yönetici hesabı ve parolası girin.On the Connect to Azure AD page, enter a global admin account and password. Önceki sayfada AD FS Ile Federasyon ' yı seçtiyseniz, Federasyon için etkinleştirmeyi planladığınız bir etki alanında bulunan bir hesapla oturum açın.If you selected Federation with AD FS on the previous page, don't sign in with an account that's in a domain you plan to enable for federation.

Varsayılan onmicrosoft.com etki alanında Azure AD kiracınızla birlikte gelen bir hesap kullanmak isteyebilirsiniz.You might want to use an account in the default onmicrosoft.com domain, which comes with your Azure AD tenant. Bu hesap yalnızca Azure AD 'de bir hizmet hesabı oluşturmak için kullanılır.This account is used only to create a service account in Azure AD. Yükleme tamamlandıktan sonra kullanılmaz.It's not used after the installation finishes.

"Azure AD 'ye Bağlan" sayfasını gösteren ekran görüntüsü.

Genel yönetici hesabınızda çok faktörlü kimlik doğrulaması etkinse, oturum açma penceresinde parolayı yeniden sağlarsınız ve çok faktörlü kimlik doğrulama sınamasını tamamlamalısınız.If your global admin account has multifactor authentication enabled, you provide the password again in the sign-in window, and you must complete the multifactor authentication challenge. Sınama bir doğrulama kodu veya telefon araması olabilir.The challenge could be a verification code or a phone call.

"Azure AD 'ye Bağlan" sayfasını gösteren ekran görüntüsü.

Genel yönetici hesabında de ayrıcalıklı kimlik yönetimi etkinleştirilebilir.The global admin account can also have privileged identity management enabled.

Bir hata görürseniz veya bağlantı sorunlarıyla karşılaşırsanız bkz. bağlantı sorunlarını giderme.If you see an error or have problems with connectivity, then see Troubleshoot connectivity problems.

Sayfaları EşitleSync pages

Aşağıdaki bölümlerde, eşitleme bölümündeki sayfalar açıklanır.The following sections describe the pages in the Sync section.

Dizinlerinizi bağlamaConnect your directories

Active Directory Domain Services (Azure AD DS) ' e bağlanmak için, Azure AD Connect yeterli izinlere sahip bir hesabın Orman adı ve kimlik bilgileri gerekir.To connect to Active Directory Domain Services (Azure AD DS), Azure AD Connect needs the forest name and credentials of an account that has sufficient permissions.

"Dizinlerinizi bağlama" sayfasını gösteren ekran görüntüsü.

Orman adını girdikten ve Dizin Ekle' yi seçtikten sonra bir pencere görüntülenir.After you enter the forest name and select Add Directory, a window appears. Aşağıdaki tabloda seçeneklerinizi açıklanmaktadır.The following table describes your options.

SeçenekOption AçıklamaDescription
Yeni hesap oluşturCreate new account Dizin eşitleme sırasında Active Directory ormana bağlanması için Azure AD Connect gereken Azure AD DS hesabını oluşturun.Create the Azure AD DS account that Azure AD Connect needs to connect to the Active Directory forest during directory synchronization. Bu seçeneği belirledikten sonra, bir kurumsal yönetici hesabının kullanıcı adını ve parolasını girin.After you select this option, enter the username and password for an enterprise admin account. Azure AD Connect, gerekli Azure AD DS hesabını oluşturmak için, belirtilen Kurumsal Yönetici hesabını kullanır.Azure AD Connect uses the provided enterprise admin account to create the required Azure AD DS account. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz.You can enter the domain part in either NetBIOS format or FQDN format. Diğer bir deyişle, FABRIKAM \ yönetici veya FABRIKAM. com\administratoryazın.That is, enter FABRIKAM\administrator or fabrikam.com\administrator.
Mevcut hesabı kullanUse existing account Azure AD Connect, Dizin eşitleme sırasında Active Directory ormanına bağlanmak için kullanabileceği mevcut bir Azure AD DS hesabı sağlayın.Provide an existing Azure AD DS account that Azure AD Connect can use to connect to the Active Directory forest during directory synchronization. Etki alanı bölümünü NetBIOS biçiminde veya FQDN biçiminde girebilirsiniz.You can enter the domain part in either NetBIOS format or FQDN format. Diğer bir deyişle, FABRIKAM\syncuser veya FABRIKAM. com\syncusergirin.That is, enter FABRIKAM\syncuser or fabrikam.com\syncuser. Bu hesap, yalnızca varsayılan okuma izinlerine ihtiyacı olduğundan normal bir kullanıcı hesabı olabilir.This account can be a regular user account because it needs only the default read permissions. Ancak senaryonuza bağlı olarak daha fazla izne sahip olabilirsiniz.But depending on your scenario, you might need more permissions. Daha fazla bilgi için bkz. Azure AD Connect hesapları ve izinleri.For more information, see Azure AD Connect accounts and permissions.

Yeni bir hesap oluşturmayı veya mevcut bir hesabı kullanmayı seçebileceğiniz "Dizin bağla" sayfasını ve D orman hesabı penceresini gösteren ekran görüntüsü.

Not

Derleme 1.4.18.0 itibariyle, Azure AD DS bağlayıcı hesabı olarak Kurumsal Yönetici veya etki alanı yöneticisi hesabı kullanamazsınız.As of build 1.4.18.0, you can't use an enterprise admin or domain admin account as the Azure AD DS connector account. Mevcut hesabı kullan' ı seçtiğinizde, bir Kurumsal Yönetici hesabı veya bir etki alanı yönetici hesabı girmeyi denerseniz, şu hatayı görürsünüz: "ad ormanı hesabınız için kurumsal veya etki alanı yönetici hesabı kullanılmasına izin verilmiyor.When you select Use existing account, if you try to enter an enterprise admin account or a domain admin account, you see the following error: "Using an Enterprise or Domain administrator account for your AD forest account is not allowed. Hesabı sizin için Azure AD Connect oluşturmaya veya doğru izinlerle bir eşitleme hesabı belirtmenize izin verin. "Let Azure AD Connect create the account for you or specify a synchronization account with the correct permissions."

Azure AD oturum açma yapılandırmasıAzure AD sign-in configuration

Azure AD oturum açma yapılandırması sayfasında, şirket içi Azure AD DS 'daki Kullanıcı asıl adı (UPN) etki alanlarını gözden geçirin.On the Azure AD sign-in configuration page, review the user principal name (UPN) domains in on-premises Azure AD DS. Bu UPN etki alanları Azure AD 'de doğrulandı.These UPN domains have been verified in Azure AD. Bu sayfada, userPrincipalName için kullanılacak özniteliği yapılandırırsınız.On this page, you configure the attribute to use for the userPrincipalName.

"Azure A D oturum açma yapılandırması" sayfasında doğrulanmamış etki alanlarını gösteren ekran görüntüsü.

Eklenmemiş veya doğrulanmadıolarak işaretlenen her etki alanını gözden geçirin.Review every domain that's marked as Not Added or Not Verified. Kullandığınız etki alanlarının Azure AD 'de doğrulandığından emin olun.Make sure that the domains you use have been verified in Azure AD. Etki alanlarınızı doğruladıktan sonra, dairesel yenileme simgesini seçin.After you verify your domains, select the circular refresh icon. Daha fazla bilgi için bkz. etki alanı ekleme ve doğrulama.For more information, see Add and verify the domain.

Kullanıcılar, Azure AD 'de oturum açtıklarında veya Microsoft 365, userPrincipalName özniteliğini kullanır.Users use the userPrincipalName attribute when they sign in to Azure AD and Microsoft 365. Kullanıcılar eşitlenmeden önce Azure AD, UPN soneki olarak da bilinen etki alanlarını doğrulamalıdır.Azure AD should verify the domains, also known as the UPN-suffix, before users are synchronized. Microsoft varsayılan öznitelik userPrincipalName değerini tutmanızı önerir.Microsoft recommends that you keep the default attribute userPrincipalName.

UserPrincipalName özniteliği yönlendirilemez ve doğrulanamazsa, başka bir öznitelik seçebilirsiniz.If the userPrincipalName attribute is nonroutable and can't be verified, then you can select another attribute. Örneğin, oturum açma KIMLIĞINI tutan öznitelik olarak e-posta ' i seçebilirsiniz.You can, for example, select email as the attribute that holds the sign-in ID. UserPrincipalName dışında bir öznitelik kullandığınızda, bu bir ALTERNATIF kimlikolarak bilinir.When you use an attribute other than userPrincipalName, it's known as an alternate ID.

Alternatif KIMLIK özniteliği değeri, RFC 822 standardına uymalıdır.The alternate ID attribute value must follow the RFC 822 standard. Parola karması eşitleme, geçişli kimlik doğrulaması ve Federasyon ile alternatif KIMLIK kullanabilirsiniz.You can use an alternate ID with password hash sync, pass-through authentication, and federation. Active Directory, özniteliği yalnızca tek bir değere sahip olsa bile çok değerli olarak tanımlanamaz.In Active Directory, the attribute can't be defined as multivalued, even if it has only a single value. Alternatif kimlik hakkında daha fazla bilgi için bkz. geçişli kimlik doğrulaması: sık sorulan sorular.For more information about the alternate ID, see Pass-through authentication: Frequently asked questions.

Not

Doğrudan kimlik doğrulamayı etkinleştirdiğinizde, özel yükleme işleminde devam etmek için en az bir doğrulanmış etki alanınız olmalıdır.When you enable pass-through authentication, you must have at least one verified domain to continue through the custom installation process.

Uyarı

Alternatif kimlikler tüm Microsoft 365 iş yükleri ile uyumlu değildir.Alternate IDs aren't compatible with all Microsoft 365 workloads. Daha fazla bilgi için bkz. Alternatif oturum açma kimliklerini yapılandırma.For more information, see Configuring alternate sign-in IDs.

Etki alanı ve OU filtrelemeDomain and OU filtering

Varsayılan olarak, tüm etki alanları ve kuruluş birimleri (OU 'Lar) eşitlenir.By default, all domains and organizational units (OUs) are synchronized. Bazı etki alanlarını veya OU 'Ları Azure AD ile eşleştirmek istemiyorsanız, uygun seçimleri temizleyebilirsiniz.If you don't want to synchronize some domains or OUs to Azure AD, you can clear the appropriate selections.

Etki alanı ve O U filtreleme sayfasını gösteren ekran görüntüsü.

Bu sayfa, etki alanı tabanlı ve OU tabanlı filtrelemeyi yapılandırır.This page configures domain-based and OU-based filtering. Değişiklik yapmayı planlıyorsanız, bkz. etki alanı tabanlı filtreleme ve OU tabanlı filtreleme.If you plan to make changes, then see Domain-based filtering and OU-based filtering. Bazı OU 'Lar işlevsellik açısından önemlidir, bu nedenle seçili durumda bırakmanız gerekir.Some OUs are essential for functionality, so you should leave them selected.

1.1.524.0 ' den eski bir Azure AD Connect sürümünde OU tabanlı filtreleme kullanıyorsanız, yeni OU 'Lar varsayılan olarak eşitlenir.If you use OU-based filtering with an Azure AD Connect version older than 1.1.524.0, new OUs are synchronized by default. Yeni OU 'Ların eşitlenmesini istemiyorsanız, varsayılan davranışı OU tabanlı filtreleme adımından sonra ayarlayabilirsiniz.If you don't want new OUs to be synchronized, then you can adjust the default behavior after the OU-based filtering step. Azure AD Connect 1.1.524.0 veya üzeri için yeni OU 'Ların eşitlenmesini isteyip istemediğinizi belirtebilirsiniz.For Azure AD Connect 1.1.524.0 or later, you can indicate whether you want new OUs to be synchronized.

Grup tabanlı filtrelemekullanmayı planlıyorsanız, gruba sahıp olan OU 'nun dahil EDILDIĞINDEN ve OU filtreleme kullanılarak filtrelenmediğinden emin olun.If you plan to use group-based filtering, then make sure the OU with the group is included and isn't filtered by using OU-filtering. Grup tabanlı filtreleme değerlendirilmeden önce OU filtrelemesi değerlendirilir.OU filtering is evaluated before group-based filtering is evaluated.

Güvenlik duvarı kısıtlamaları nedeniyle bazı etki alanlarına ulaşılamıyor de mümkündür.It's also possible that some domains are unreachable because of firewall restrictions. Bu etki alanları varsayılan olarak seçilmemiş ve bir uyarı görüntüler.These domains are unselected by default, and they display a warning.

Erişilemeyen etki alanlarını gösteren ekran görüntüsü.

Bu uyarıyı görürseniz, bu etki alanlarının gerçekten ulaşılamaz olduğundan ve uyarının beklendiğinden emin olun.If you see this warning, make sure that these domains are indeed unreachable and that the warning is expected.

Kullanıcılarınızı benzersiz olarak tanımlamaUniquely identifying your users

Kullanıcıları tanımlama sayfasında, şirket içi dizinlerinizde bulunan kullanıcıları tanımlamayı ve sourcetutturucu özniteliğini kullanarak bunları tanımlamayı seçin.On the Identifying users page, choose how to identify users in your on-premises directories and how to identify them by using the sourceAnchor attribute.

Şirket içi dizinlerinizde kullanıcıların nasıl tanımlanması gerektiğini seçinSelect how users should be identified in your on-premises directories

Ormanlar arası eşleşme özelliğini kullanarak Azure AD DS ORMANLARıNıZıN Azure AD 'de nasıl temsil edileceğini tanımlayabilirsiniz.By using the Matching across forests feature, you can define how users from your Azure AD DS forests are represented in Azure AD. Bir Kullanıcı tüm ormanlarda yalnızca bir kez temsil edilebilir veya etkin ve devre dışı hesapları birleşimine sahip olabilir.A user might be represented only once across all forests or might have a combination of enabled and disabled accounts. Ayrıca kullanıcı, bazı ormanlarda kişi olarak da temsil edilebilir.The user might also be represented as a contact in some forests.

Kullanıcılarınızı benzersiz olarak tanımlayabileceğiniz sayfayı gösteren ekran görüntüsü.

AyarSetting AçıklamaDescription
Kullanıcılar tüm ormanlarda yalnızca bir kez temsil edilirUsers are represented only once across all forests Tüm kullanıcılar Azure AD'de bireysel nesne olarak oluşturulur.All users are created as individual objects in Azure AD. Nesneler meta veri deposuna katılmadı.The objects aren't joined in the metaverse.
Posta özniteliğiMail attribute Bu seçenek, posta özniteliğinin farklı ormanlarda aynı değere sahip olması halinde kullanıcıları ve kişileri birleştirir.This option joins users and contacts if the mail attribute has the same value in different forests. Kişileriniz GALSync kullanılarak oluşturulduysa bu seçeneği kullanın.Use this option when your contacts were created by using GALSync. Bu seçeneği belirlerseniz, posta özniteliği doldurulmamış olan kullanıcı nesneleri Azure AD ile eşitlenmez.If you choose this option, user objects whose mail attribute is unpopulated aren't synchronized to Azure AD.
ObjectSID ve Msexchangemasteraccountsıd/msRTCSIP-OriginatorSID öznitelikleriObjectSID and msExchangeMasterAccountSID/ msRTCSIP-OriginatorSID attributes Bu seçenek, hesap ormanındaki etkin bir kullanıcıyla kaynak ormandaki devre dışı bırakılmış bir kullanıcıyı birleştirir.This option joins an enabled user in an account forest with a disabled user in a resource forest. Bu yapılandırma, Exchange'de bağlı posta kutusu olarak bilinir.In Exchange, this configuration is known as a linked mailbox. Yalnızca Lync kullanıyorsanız ve kaynak ormanında Exchange yoksa, bu seçeneği kullanabilirsiniz.You can use this option if you use only Lync and if Exchange isn't present in the resource forest.
SAMAccountName ve Mailtakma ad öznitelikleriSAMAccountName and MailNickName attributes Bu seçenek, Kullanıcı için oturum açma KIMLIĞININ bulunması beklenen öznitelikleri birleştirir.This option joins on attributes where the sign-in ID for the user is expected to be found.
Belirli bir öznitelik seçinChoose a specific attribute Bu seçenek, kendi özniteliğinizi seçmenize olanak tanır.This option allows you to select your own attribute. Bu seçeneği belirlerseniz, (seçili) özniteliği doldurulmamış olan kullanıcı nesneleri Azure AD ile eşitlenmez.If you choose this option, user objects whose (selected) attribute is unpopulated aren't synchronized to Azure AD. Sınırlama: Bu seçenek için yalnızca metadizesinde zaten olan öznitelikler kullanılabilir.Limitation: Only attributes that are already in the metaverse are available for this option.

Kullanıcıların bir kaynak Bağlayıcısı kullanarak nasıl tanımlanması gerektiğini seçinSelect how users should be identified by using a source anchor

Sourcetutturucu özniteliği, bir Kullanıcı nesnesinin kullanım ömrü boyunca sabittir.The sourceAnchor attribute is immutable during the lifetime of a user object. Bu, şirket içi kullanıcıyı Azure AD 'deki kullanıcıyla bağlayan birincil anahtardır.It's the primary key that links the on-premises user with the user in Azure AD.

AyarSetting AçıklamaDescription
Kaynak bağlayıcısını Azure 'un yönetmesine izin verLet Azure manage the source anchor Azure AD’nin sizin için özniteliği seçmesini istiyorsanız bu seçeneği belirleyin.Select this option if you want Azure AD to pick the attribute for you. Bu seçeneği belirlerseniz Azure AD Connect, MS-DS-ımıbu GUID ' i sourcetutturucu olarak kullanmabölümünde açıklanan sourcetutturucu öznitelik seçme mantığını uygular.If you select this option, Azure AD Connect applies the sourceAnchor attribute selection logic that's described in Using ms-DS-ConsistencyGuid as sourceAnchor. Özel yükleme tamamlandıktan sonra, hangi özniteliğin Sourcetutturucu özniteliği olarak çekilmiş olduğunu görürsünüz.After the custom installation finishes, you see which attribute was picked as the sourceAnchor attribute.
Belirli bir öznitelik seçinChoose a specific attribute Var olan bir AD özniteliğini Sourcetutturucu özniteliği olarak belirtmek istiyorsanız bu seçeneği belirleyin.Select this option if you want to specify an existing AD attribute as the sourceAnchor attribute.

Sourcetutturucu özniteliği değiştirilemediğinden uygun bir öznitelik seçmelisiniz.Because the sourceAnchor attribute can't be changed, you must choose an appropriate attribute. ObjectGUID iyi bir seçenektir.A good candidate is objectGUID. Kullanıcı hesabı ormanlar veya etki alanları arasında taşınmamışsa bu öznitelik değiştirilmez.This attribute isn't changed unless the user account is moved between forests or domains. Bir kişi marrıes veya atamaları değiştirdiğinde değiştirebir şekilde öznitelik seçmeyin.Don't choose attributes that can change when a person marries or changes assignments.

At işareti (@) içeren öznitelikleri kullanamazsınız, bu nedenle e-posta ve userPrincipalName kullanamazsınız.You can't use attributes that include an at sign (@), so you can't use email and userPrincipalName. Özniteliği de büyük/küçük harfe duyarlıdır, bu nedenle bir nesneyi ormanlar arasında taşıdığınızda büyük ve küçük harfleri koruduğunuzdan emin olun.The attribute is also case sensitive, so when you move an object between forests, make sure to preserve uppercase and lowercase. İkili öznitelikler Base64 kodlardır, ancak diğer öznitelik türleri kodlanmamış durumda kalır.Binary attributes are Base64-encoded, but other attribute types remain in their unencoded state.

Federasyon senaryolarında ve bazı Azure AD arabirimlerinde, Sourcetutturucu özniteliği de ImmutableIDolarak bilinir.In federation scenarios and some Azure AD interfaces, the sourceAnchor attribute is also known as immutableID.

Kaynak Bağlayıcısı hakkında daha fazla bilgi için bkz. tasarım kavramları.For more information about the source anchor, see Design concepts.

Grup tabanlı eşitleme filtrelemesiSync filtering based on groups

Gruplar arası filtreleme özelliği, bir pilot için yalnızca küçük bir nesne alt kümesini eşitlemenize olanak tanır.The filtering-on-groups feature allows you to sync only a small subset of objects for a pilot. Bu özelliği kullanmak için şirket içi Active Directory örneğinde bu amaçla bir grup oluşturun.To use this feature, create a group for this purpose in your on-premises instance of Active Directory. Ardından, doğrudan üye olarak Azure AD ile eşitlenecek kullanıcıları ve grupları ekleyin.Then add users and groups that should be synchronized to Azure AD as direct members. Daha sonra, Azure AD 'de bulunması gereken nesnelerin listesini korumak için kullanıcıları ekleyebilir veya bu gruptan kullanıcıları kaldırabilirsiniz.You can later add users or remove users from this group to maintain the list of objects that should be present in Azure AD.

Eşitlenmesini istediğiniz tüm nesneler doğrudan grubun üyesi olmalıdır.All objects that you want to synchronize must be direct members of the group. Kullanıcıların, grupların, kişilerin ve bilgisayarların ya da cihazların hepsi doğrudan üye olmalıdır.Users, groups, contacts, and computers or devices must all be direct members. İç içe Grup üyeliği çözülmedi.Nested group membership isn't resolved. Bir grubu üye olarak eklediğinizde, yalnızca grubun kendisi eklenir.When you add a group as a member, only the group itself is added. Üyeleri eklenmez.Its members aren't added.

Kullanıcıları ve cihazları nasıl filtreleyebileceğiniz sayfasını gösteren ekran görüntüsü.

Uyarı

Bu özellik yalnızca bir pilot dağıtımı desteklemeye yöneliktir.This feature is intended to support only a pilot deployment. Bunu tam bir üretim dağıtımında kullanmayın.Don't use it in a full production deployment.

Tam bir üretim dağıtımında, tek bir grubu ve tüm nesnelerini eşitlenmek üzere sürdürmek zor olabilir.In a full production deployment, it would be hard to maintain a single group and all of its objects to synchronize. Gruplar arası filtreleme özelliği yerine, filtrelemeyi yapılandırmabölümünde açıklanan yöntemlerden birini kullanın.Instead of the filtering-on-groups feature, use one of the methods described in Configure filtering.

İsteğe bağlı özelliklerOptional features

Bir sonraki sayfada, senaryonuza yönelik isteğe bağlı Özellikler ' i seçebilirsiniz.On the next page, you can select optional features for your scenario.

Uyarı

Azure AD Connect sürümlerinin 1.0.8641.0 ve önceki sürümleri, parola geri yazma için Azure Access Control Service bağımlıdır.Azure AD Connect versions 1.0.8641.0 and earlier rely on Azure Access Control Service for password writeback. Bu hizmet 7 Kasım 2018 tarihinde kullanımdan kaldırıldı.This service was retired on November 7, 2018. Bu Azure AD Connect sürümlerinden birini kullanıyorsanız ve parola geri yazma özelliğini etkinleştirdiyseniz, kullanıcılar, hizmet devre dışı bırakıldığında parolalarını değiştirme veya sıfırlama olanağını kaybedebilir.If you use any of these versions of Azure AD Connect and have enabled password writeback, users might lose the ability to change or reset their passwords when the service is retired. Azure AD Connect bu sürümleri parola geri yazmayı desteklemez.These versions of Azure AD Connect don't support password writeback.

Daha fazla bilgi için bkz. Azure Access Control Service 'Den geçiş.For more information, see Migrate from Azure Access Control Service.

Parola geri yazma özelliğini kullanmak istiyorsanız en son Azure AD Connect sürümünüindirin.If you want to use password writeback, download the latest version of Azure AD Connect.

"Isteğe bağlı özellikler" sayfasını gösteren ekran görüntüsü.

Uyarı

Azure AD Eşitleme veya doğrudan eşitleme (DirSync) etkinse, Azure AD Connect geri yazma özelliklerini etkinleştirmez.If Azure AD Sync or Direct Synchronization (DirSync) are active, don't activate any writeback features in Azure AD Connect.

İsteğe bağlı özelliklerOptional features DescriptionDescription
Exchange karma dağıtımıExchange hybrid deployment Exchange karma dağıtımı özelliği, Exchange posta kutularının hem şirket içinde hem de Microsoft 365 birlikte kullanılmasına izin verir.The Exchange hybrid deployment feature allows for the coexistence of Exchange mailboxes both on-premises and in Microsoft 365. Azure AD Connect, belirli bir öznitelik KÜMESINI Azure AD 'den şirket içi dizininize geri eşitler.Azure AD Connect synchronizes a specific set of attributes from Azure AD back into your on-premises directory.
Exchange posta ortak klasörleriExchange mail public folders Exchange posta ortak klasörleri özelliği, posta etkin ortak klasör nesnelerini şirket içi Active Directory Azure AD 'den eşitlemenize olanak tanır.The Exchange mail public folders feature allows you to synchronize mail-enabled public-folder objects from your on-premises instance of Active Directory to Azure AD.
Azure AD uygulaması ve öznitelik filtrelemeAzure AD app and attribute filtering Azure AD uygulaması ve öznitelik filtrelemeyi etkinleştirerek, eşitlenmiş özniteliklerin kümesini uyarlayabilirsiniz.By enabling Azure AD app and attribute filtering, you can tailor the set of synchronized attributes. Bu seçenek sihirbaza iki yapılandırma sayfası daha ekler.This option adds two more configuration pages to the wizard. Daha fazla bilgi için bkz. Azure AD uygulaması ve öznitelik filtreleme.For more information, see Azure AD app and attribute filtering.
Parola karması eşitlemePassword hash synchronization Oturum açma çözümü olarak Federasyon ' yı seçtiyseniz, Parola karması eşitlemesini etkinleştirebilirsiniz.If you selected federation as the sign-in solution, you can enable password hash synchronization. Bu durumda, bunu bir yedekleme seçeneği olarak kullanabilirsiniz.Then you can use it as a backup option.

Doğrudan kimlik doğrulaması ' nı seçtiyseniz, eski istemcilere yönelik destek sağlamak ve bir yedekleme sağlamak için bu seçeneği etkinleştirebilirsiniz.If you selected pass-through authentication, you can enable this option to ensure support for legacy clients and to provide a backup.

Daha fazla bilgi için bkz. Parola karması eşitleme.For more information, see Password hash synchronization.
Parola geri yazmaPassword writeback Azure AD 'deki parola değişikliklerinin şirket içi dizininize geri yazıldığından emin olmak için bu seçeneği kullanın.Use this option to ensure that password changes that originate in Azure AD are written back to your on-premises directory. Daha fazla bilgi için bkz. Parola yönetimine başlarken.For more information, see Getting started with password management.
Grup geri yazmaGroup writeback Microsoft 365 grupları kullanıyorsanız, Active Directory Şirket içi örneğindeki grupları temsil edebilirsiniz.If you use Microsoft 365 Groups, then you can represent groups in your on-premises instance of Active Directory. Bu seçenek yalnızca şirket içi Active Directory örneğinde Exchange 'niz varsa kullanılabilir.This option is available only if you have Exchange in your on-premises instance of Active Directory. Daha fazla bilgi için Azure AD Connect grup geri yazmakonusuna bakın.For more information, see Azure AD Connect group writeback.
Cihaz geri yazmaDevice writeback Koşullu erişim senaryolarında, Azure AD 'deki cihaz nesnelerini Active Directory Şirket içi örneğine geri yazmak için bu seçeneği kullanın.For conditional-access scenarios, use this option to write back device objects in Azure AD to your on-premises instance of Active Directory. Daha fazla bilgi için bkz. Azure AD Connect'te cihaz geri yazma özelliğini etkinleştirme.For more information, see Enabling device writeback in Azure AD Connect.
Dizin genişletme öznitelik eşitlemesiDirectory extension attribute sync Belirtilen öznitelikleri Azure AD 'ye eşitlemek için bu seçeneği belirleyin.Select this option to sync specified attributes to Azure AD. Daha fazla bilgi için bkz. Dizin genişletmeleri.For more information, see Directory extensions.

Azure AD uygulaması ve öznitelik filtrelemeAzure AD app and attribute filtering

Hangi özniteliklerin Azure AD ile eşitleneceğini sınırlandırmak istiyorsanız, kullandığınız hizmetleri seçerek başlayın.If you want to limit which attributes synchronize to Azure AD, then start by selecting the services you use. Bu sayfadaki seçimleri değiştirirseniz, yükleme sihirbazını yeniden çalıştırarak, açıkça yeni bir hizmet seçmeniz gerekir.If you change the selections on this page, you have to explicitly select a new service by rerunning the installation wizard.

İsteğe bağlı Azure A D Apps özelliklerini gösteren ekran görüntüsü.

Önceki adımda seçtiğiniz hizmetlere bağlı olarak, Bu sayfa eşitlenen tüm öznitelikleri gösterir.Based on the services you selected in the previous step, this page shows all attributes that are synchronized. Bu liste, eşitlenmekte olan tüm nesne türlerinin bir birleşimidir.This list is a combination of all object types that are being synchronized. Bazı özniteliklerin eşitlenmemiş kalması gerekiyorsa, seçimi bu özniteliklerden temizleyebilirsiniz.If you need some attributes to remain unsynchronized, you can clear the selection from those attributes.

İsteğe bağlı Azure A D öznitelikleri özelliklerini gösteren ekran görüntüsü.

Uyarı

Özniteliklerin kaldırılması işlevselliği etkileyebilir.Removing attributes can affect functionality. En iyi uygulamalar ve öneriler için bkz. eşitlenmek üzere öznitelikler.For best practices and recommendations, see Attributes to synchronize.

Dizin Genişletme öznitelik eşitlemesiDirectory Extension attribute sync

Azure AD 'de şemayı, kuruluşunuzun eklediği özel öznitelikleri veya Active Directory diğer özniteliklerini kullanarak genişletebilirsiniz.You can extend the schema in Azure AD by using custom attributes that your organization added or by using other attributes in Active Directory. Bu özelliği kullanmak için, Isteğe bağlı özellikler sayfasında, dizin uzantısı öznitelik eşitleme' yi seçin. Dizin uzantıları sayfasında, eşitlenecek daha fazla öznitelik seçebilirsiniz.To use this feature, on the Optional Features page, select Directory Extension attribute sync. On the Directory Extensions page, you can select more attributes to sync.

Not

Kullanılabilir öznitelikler alanı büyük/küçük harfe duyarlıdır.The Available Attributes field is case sensitive.

"Dizin uzantıları" sayfasını gösteren ekran görüntüsü.

Daha fazla bilgi için bkz. Dizin genişletmeleri.For more information, see Directory extensions.

Çoklu oturum açmayı etkinleştirmeEnabling single sign-on

Çoklu oturum açma sayfasında, parola eşitleme veya doğrudan kimlik doğrulama ile kullanmak için çoklu oturum açma 'yı yapılandırırsınız.On the Single sign-on page, you configure single sign-on for use with password synchronization or pass-through authentication. Bu adımı, Azure AD ile eşitlenen her orman için bir kez yapabilirsiniz.You do this step once for each forest that's being synchronized to Azure AD. Yapılandırma iki adımdan oluşur:Configuration involves two steps:

  1. Şirket içi Active Directory örneğinde gerekli bilgisayar hesabını oluşturun.Create the necessary computer account in your on-premises instance of Active Directory.
  2. İstemci makinelerin intranet bölgesini çoklu oturum açmayı destekleyecek şekilde yapılandırın.Configure the intranet zone of the client machines to support single sign-on.

Active Directory'de bilgisayar hesabını oluşturmaCreate the computer account in Active Directory

Azure AD Connect eklenen her orman için, bilgisayar hesabının her ormanda oluşturulabilmesi için etki alanı yöneticisi kimlik bilgilerini sağlamanız gerekir.For each forest that has been added in Azure AD Connect, you need to supply domain administrator credentials so that the computer account can be created in each forest. Kimlik bilgileri yalnızca hesabı oluşturmak için kullanılır.The credentials are used only to create the account. Bunlar başka bir işlem için depolanmaz veya kullanılmaz.They aren't stored or used for any other operation. Aşağıdaki görüntüde gösterildiği gibi Çoklu oturum açma sayfasında kimlik bilgilerini ekleyin.Add the credentials on the Enable single sign-on page, as the following image shows.

"Çoklu oturum açmayı etkinleştir" sayfasını gösteren ekran görüntüsü.

Not

Çoklu oturum açma kullanmak istemediğiniz ormanları atlayabilirsiniz.You can skip forests where you don't want to use single sign-on.

İstemci makineler için Intranet bölgesini yapılandırmaConfigure the intranet zone for client machines

İstemcinin intranet bölgesinde otomatik olarak oturum açtığından emin olmak için URL 'nin intranet bölgesinin bir parçası olduğundan emin olun.To ensure that the client signs in automatically in the intranet zone, make sure the URL is part of the intranet zone. Bu adım, etki alanına katılmış bilgisayarın kurumsal ağa bağlıyken Azure AD 'ye otomatik olarak bir Kerberos bileti göndermesi sağlar.This step ensures that the domain-joined computer automatically sends a Kerberos ticket to Azure AD when it's connected to the corporate network.

Grup ilkesi yönetim araçları olan bir bilgisayarda:On a computer that has Group Policy management tools:

  1. Grup ilkesi Yönetim Araçları ' nı açın.Open the Group Policy management tools.

  2. Tüm kullanıcılara uygulanacak grup ilkesini düzenleyin.Edit the group policy that will be applied to all users. Örneğin, varsayılan etki alanı ilkesi.For example, the Default Domain policy.

  3. User Configuration > Administrative Templates > Windows bileşenleri > Internet Explorer > Internet Denetim Masası > Güvenlik sayfasınaYönetim Şablonları Kullanıcı Yapılandırması ' na gidin.Go to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel > Security Page. Ardından siteden bölgeye atama listesi' ni seçin.Then select Site to Zone Assignment List.

  4. İlkeyi etkinleştirin.Enable the policy. Ardından, iletişim kutusunda bir değer adı https://autologon.microsoftazuread-sso.com ve değeri girin 1 .Then, in the dialog box, enter a value name of https://autologon.microsoftazuread-sso.com and value of 1. Kurulumlarınızın aşağıdaki görüntü gibi görünmesi gerekir.Your setup should look like the following image.

    İntranet bölgelerini gösteren ekran görüntüsü.

  5. İki kez Tamam 'ı seçin.Select OK twice.

AD FS ile federasyonu yapılandırmaConfiguring federation with AD FS

Yalnızca birkaç tıklamayla Azure AD Connect ile AD FS yapılandırabilirsiniz.You can configure AD FS with Azure AD Connect in just a few clicks. Başlamadan önce şunlar gerekir:Before you start, you need:

  • Federasyon sunucusu için Windows Server 2012 R2 veya üzeri.Windows Server 2012 R2 or later for the federation server. Uzaktan Yönetim etkinleştirilmelidir.Remote management should be enabled.
  • Web uygulaması ara sunucusu için Windows Server 2012 R2 veya üzeri.Windows Server 2012 R2 or later for the Web Application Proxy server. Uzaktan Yönetim etkinleştirilmelidir.Remote management should be enabled.
  • Kullanmayı düşündüğünüz Federasyon Hizmeti adı için bir TLS/SSL sertifikası (örneğin, sts.contoso.com).A TLS/SSL certificate for the federation service name that you intend to use (for example, sts.contoso.com).

Not

AD FS grubunuz için bir TLS/SSL sertifikasını, Federasyon güveninizi yönetmek için kullanmasanız bile Azure AD Connect kullanarak güncelleştirebilirsiniz.You can update a TLS/SSL certificate for your AD FS farm by using Azure AD Connect even if you don't use it to manage your federation trust.

AD FS yapılandırma önkoşullarıAD FS configuration prerequisites

Azure AD Connect kullanarak AD FS grubunuzu yapılandırmak için, uzak sunucularda WinRM 'nin etkinleştirildiğinden emin olun.To configure your AD FS farm by using Azure AD Connect, ensure that WinRM is enabled on the remote servers. Federasyon önkoşulları'ndaki diğer görevleri tamamladığınızdan emin olun.Make sure you've completed the other tasks in Federation prerequisites. Ayrıca Azure AD Connect ve Federasyon/WAP sunucuları tablosunda listelenen bağlantı noktaları gereksinimlerini izlediğinizden emin olun.Also make sure you follow the ports requirements that are listed in the Azure AD Connect and Federation/WAP servers table.

Yeni bir AD FS grubu oluşturma veya var olan bir AD FS grubunu kullanmaCreate a new AD FS farm or use an existing AD FS farm

Mevcut bir AD FS grubunu kullanabilir veya yeni bir grup oluşturabilirsiniz.You can use an existing AD FS farm or create a new one. Yeni bir tane oluşturmayı seçerseniz, TLS/SSL sertifikasını sağlamanız gerekir.If you choose to create a new one, you must provide the TLS/SSL certificate. TLS/SSL sertifikası bir parolayla korunuyorsa, parolayı girmeniz istenir.If the TLS/SSL certificate is protected by a password, then you're prompted to provide the password.

"A D F S grubu" sayfasını gösteren ekran görüntüsü

Mevcut bir AD FS grubunu kullanmayı seçerseniz, AD FS ile Azure AD arasındaki güven ilişkisini yapılandırabileceğiniz sayfayı görürsünüz.If you choose to use an existing AD FS farm, you see the page where you can configure the trust relationship between AD FS and Azure AD.

Not

Yalnızca bir AD FS grubunu yönetmek için Azure AD Connect kullanabilirsiniz.You can use Azure AD Connect to manage only one AD FS farm. Azure AD 'nin seçili AD FS grubunda yapılandırıldığı mevcut bir Federasyon güveniniz varsa, güveni sıfırdan yeniden oluşturur Azure AD Connect.If you have an existing federation trust where Azure AD is configured on the selected AD FS farm, Azure AD Connect re-creates the trust from scratch.

AD FS sunucularını belirtmeSpecify the AD FS servers

AD FS yüklemek istediğiniz sunucuları belirtin.Specify the servers where you want to install AD FS. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz.You can add one or more servers, depending on your capacity needs. Bu yapılandırmayı ayarlamadan önce, tüm AD FS sunucularına Active Directory ekleyin.Before you set up this configuration, join all AD FS servers to Active Directory. Web uygulaması ara sunucuları için bu adım gerekli değildir.This step isn't required for the Web Application Proxy servers.

Microsoft, test ve pilot dağıtımlar için tek bir AD FS sunucusunun yüklenmesini önerir.Microsoft recommends installing a single AD FS server for test and pilot deployments. İlk yapılandırmadan sonra, Azure AD Connect yeniden çalıştırarak ölçekleme gereksinimlerinizi karşılayacak daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.After the initial configuration, you can add and deploy more servers to meet your scaling needs by running Azure AD Connect again.

Not

Bu yapılandırmayı ayarlamadan önce, tüm sunucularınızın bir Azure AD etki alanına katılmış olduğundan emin olun.Before you set up this configuration, ensure that all of your servers are joined to an Azure AD domain.

"Federasyon sunucuları" sayfasını gösteren ekran görüntüsü.

Web Uygulaması Ara Sunucularını belirtmeSpecify the Web Application Proxy servers

Web uygulaması ara sunucularını belirtin.Specify your Web Application Proxy servers. Web uygulaması ara sunucusu, extranet 'e bakan çevre ağınızda dağıtılır.The Web Application Proxy server is deployed in your perimeter network, facing the extranet. Extranet 'ten gelen kimlik doğrulama isteklerini destekler.It supports authentication requests from the extranet. Kapasite gereksinimlerinize bağlı olarak bir veya daha fazla sunucu ekleyebilirsiniz.You can add one or more servers, depending on your capacity needs.

Microsoft, test ve pilot dağıtımlar için tek bir Web uygulaması ara sunucusunun yüklenmesini önerir.Microsoft recommends installing a single Web Application Proxy server for test and pilot deployments. İlk yapılandırmadan sonra, Azure AD Connect yeniden çalıştırarak ölçekleme gereksinimlerinizi karşılayacak daha fazla sunucu ekleyebilir ve dağıtabilirsiniz.After the initial configuration, you can add and deploy more servers to meet your scaling needs by running Azure AD Connect again. İntranetten kimlik doğrulamasını karşılamak için eşit sayıda proxy sunucunuz olması önerilir.We recommend that you have an equivalent number of proxy servers to satisfy authentication from the intranet.

Not

  • Kullandığınız hesap Web uygulaması ara sunucularında yerel yönetici değilse, yönetici kimlik bilgileri istenir.If the account you use isn't a local admin on the Web Application Proxy servers, then you're prompted for admin credentials.
  • Web uygulaması ara sunucularını belirlemeden önce, Azure AD Connect sunucusu ile Web uygulaması ara sunucusu arasında HTTP/HTTPS bağlantısının olduğundan emin olun.Before you specify Web Application Proxy servers, ensure that there's HTTP/HTTPS connectivity between the Azure AD Connect server and the Web Application Proxy server.
  • Web uygulaması sunucusu ve AD FS sunucusu arasında, kimlik doğrulama isteklerinin akmasını sağlamak için HTTP/HTTPS bağlantısının olduğundan emin olun.Ensure that there's HTTP/HTTPS connectivity between the Web Application Server and the AD FS server to allow authentication requests to flow through.

Web uygulaması proxy sunucuları sayfasını gösteren ekran görüntüsü.

Web uygulaması sunucusunun AD FS sunucuya güvenli bir bağlantı kurmasını sağlamak için kimlik bilgilerini girmeniz istenir.You're prompted to enter credentials so that the web application server can establish a secure connection to the AD FS server. Bu kimlik bilgileri AD FS sunucusundaki bir yerel yönetici hesabı için olmalıdır.These credentials must be for a local administrator account on the AD FS server.

"Kimlik bilgileri" sayfasını gösteren ekran görüntüsü.

AD FS hizmetine ilişkin hizmet hesabını belirtmeSpecify the service account for the AD FS service

AD FS hizmeti, kullanıcıların kimliğini doğrulamak ve Active Directory Kullanıcı bilgilerini aramak için bir etki alanı hizmet hesabı gerektirir.The AD FS service requires a domain service account to authenticate users and to look up user information in Active Directory. AD FS hizmeti, iki hizmet hesabı türünü destekler:It can support two types of service accounts:

  • Grup tarafından yönetilen hizmet hesabı: Bu hesap türü Windows Server 2012 tarafından AD DS eklenmiştir.Group managed service account: This account type was introduced into AD DS by Windows Server 2012. Bu tür bir hesap, AD FS gibi hizmetler sağlar.This type of account provides services such as AD FS. Parolayı düzenli olarak güncelleştirmeniz gerekmeyen tek bir hesaptır.It's a single account in which you don't need to update the password regularly. AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileriniz varsa bu seçeneği kullanın.Use this option if you already have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.
  • Etki alanı kullanıcı hesabı: Bu hesap türü, bir parola sağlamanızı ve süresi sona erdiğinde düzenli olarak güncelleştirmenizi gerektirir.Domain user account: This type of account requires you to provide a password and regularly update it when it expires. Bu seçeneği yalnızca AD FS sunucularınızın ait olduğu etki alanında Windows Server 2012 etki alanı denetleyicileri yoksa kullanın.Use this option only when you don't have Windows Server 2012 domain controllers in the domain that your AD FS servers belong to.

Grup tarafından yönetilen hizmet hesabı oluştur ' u seçtiyseniz ve bu özellik Active Directory hiç kullanılmadıysa, kurumsal yönetici kimlik bilgilerinizi girin.If you selected Create a group Managed Service Account and this feature has never been used in Active Directory, then enter your enterprise admin credentials. Bu kimlik bilgileri, anahtar deposunu başlatmak ve Active Directory'de ilgili özelliği etkinleştirmek için kullanılır.These credentials are used to initiate the key store and enable the feature in Active Directory.

Not

Azure AD Connect, AD FS hizmetinin etki alanında zaten bir hizmet asıl adı (SPN) olarak kayıtlı olup olmadığını denetler.Azure AD Connect checks whether the AD FS service is already registered as a service principal name (SPN) in the domain. Azure AD DS, yinelenen SPN 'Lerin aynı anda kaydedilmesine izin vermez.Azure AD DS doesn't allow duplicate SPNs to be registered at the same time. Yinelenen bir SPN bulunursa, SPN kaldırılana kadar devam edemezsiniz.If a duplicate SPN is found, you can't proceed further until the SPN is removed.

"A D F S hizmet hesabı" sayfasını gösteren ekran görüntüsü.

Federasyona eklemek istediğiniz Azure AD etki alanını seçinSelect the Azure AD domain that you want to federate

AD FS ile Azure AD arasında federasyon ilişkisi ayarlamak için Azure AD etki alanı sayfasını kullanın.Use the Azure AD Domain page to set up the federation relationship between AD FS and Azure AD. Burada Azure AD 'ye güvenlik belirteçleri sağlamak için AD FS yapılandırırsınız.Here, you configure AD FS to provide security tokens to Azure AD. Ayrıca, Azure AD 'yi bu AD FS örneğinden belirteçlere güvenecek şekilde yapılandırırsınız.You also configure Azure AD to trust the tokens from this AD FS instance.

Bu sayfada, ilk yüklemede yalnızca tek bir etki alanı yapılandırabilirsiniz.On this page, you can configure only a single domain in the initial installation. Daha sonra Azure AD Connect'i tekrar çalıştırarak daha fazla etki alanını yapılandırabilirsiniz.You can configure more domains later by running Azure AD Connect again.

"Azure A etki alanı" sayfasını gösteren ekran görüntüsü.

Federasyon için seçilen Azure AD etki alanını doğrulamaVerify the Azure AD domain selected for federation

Federasyona eklemek istediğiniz etki alanını seçtiğinizde, Azure AD Connect doğrulanmamış bir etki alanını doğrulamak için kullanabileceğiniz bilgiler sağlar.When you select the domain that you want to federate, Azure AD Connect provides information that you can use to verify an unverified domain. Daha fazla bilgi için bkz. etki alanı ekleme ve doğrulama.For more information, see Add and verify the domain.

Etki alanını doğrulamak için kullanabileceğiniz bilgiler de dahil olmak üzere, "Azure A etki alanı" sayfasını gösteren ekran görüntüsü.

Not

Azure AD Connect, yapılandırma aşamasında etki alanını doğrulamaya çalışır.Azure AD Connect tries to verify the domain during the configuration stage. Gerekli etki alanı adı sistemi (DNS) kayıtlarını eklememeniz durumunda yapılandırma tamamlanamaz.If you don't add the necessary Domain Name System (DNS) records, the configuration can't be completed.

PingFederate ile federasyonu yapılandırmaConfiguring federation with PingFederate

PingFederate 'i yalnızca birkaç tıklamayla Azure AD Connect ile yapılandırabilirsiniz.You can configure PingFederate with Azure AD Connect in just a few clicks. Aşağıdaki Önkoşullar gereklidir:The following prerequisites are required:

Etki alanını doğrulamaVerify the domain

PingFederate 'i kullanarak Federasyonu ayarlamayı seçtikten sonra, Federasyona eklemek istediğiniz etki alanını doğrulamanız istenir.After you choose to set up federation by using PingFederate, you're asked to verify the domain you want to federate. Açılır menüden etki alanını seçin.Select the domain from the drop-down menu.

"Azure A etki alanı" sayfasını gösteren ekran görüntüsü.

PingFederate ayarlarını dışarı aktarmaExport the PingFederate settings

Her bir federasyon Azure etki alanı için Federasyon sunucusu olarak PingFederate 'i yapılandırın.Configure PingFederate as the federation server for each federated Azure domain. Bu bilgileri PingFederate yöneticisiyle paylaşmak için ayarları dışarı aktar ' ı seçin.Select Export Settings to share this information with your PingFederate administrator. Federasyon sunucusu Yöneticisi yapılandırmayı güncelleştirir ve ardından Azure AD Connect meta veri ayarlarını doğrulayabilmesi için PingFederate sunucu URL 'sini ve bağlantı noktası numarasını sağlar.The federation server administrator updates the configuration and then provides the PingFederate server URL and port number so that Azure AD Connect can verify the metadata settings.

"PingFederate ayarları" sayfasını gösteren ekran görüntüsü.

Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.Contact your PingFederate administrator to resolve any validation issues. Aşağıdaki görüntüde, Azure ile geçerli bir güven ilişkisine sahip olmayan bir PingFederate sunucusuyla ilgili bilgiler gösterilmektedir.The following image shows information about a PingFederate server that has no valid trust relationship with Azure.

Sunucu bilgilerini gösteren ekran görüntüsü: PingFederate sunucusu bulundu, ancak Azure için hizmet sağlayıcı bağlantısı eksik veya devre dışı.

Federasyon bağlantısını doğrulamaVerify federation connectivity

Azure AD Connect, önceki adımda yer alan PingFederate meta verilerinden aldığı kimlik doğrulama uç noktalarını doğrulamaya çalışır.Azure AD Connect attempts to validate the authentication endpoints that it retrieves from the PingFederate metadata in the previous step. Azure AD Connect ilk olarak yerel DNS sunucularınızı kullanarak uç noktaları çözümlemeye çalışır.Azure AD Connect first attempts to resolve the endpoints by using your local DNS servers. Sonra, dış bir DNS sağlayıcısı kullanarak uç noktaları çözümlemeye çalışır.Next, it attempts to resolve the endpoints by using an external DNS provider. Doğrulama sorunlarınızı çözmek için PingFederate yöneticinize başvurun.Contact your PingFederate administrator to resolve any validation issues.

"Bağlantıyı doğrula" sayfasını gösteren ekran görüntüsü.

Federasyon oturum açmayı doğrulamaVerify federation sign-in

Son olarak, federasyon etki alanında oturum açarak yeni yapılandırılan federasyon oturum açma akışını doğrulayabilirsiniz.Finally, you can verify the newly configured federated login flow by signing in to the federated domain. Oturum açma işlemi başarılı olursa, PingFederate ile Federasyon başarıyla yapılandırılır.If your sign-in succeeds, then the federation with PingFederate is successfully configured.

"Federe oturum açmayı Doğrula" sayfasını gösteren ekran görüntüsü.

Yapılandırma ve doğrulama sayfalarıConfigure and verify pages

Yapılandırma yapılandırma sayfasında gerçekleşir .The configuration happens on the Configure page.

Not

Federasyonu yapılandırdıysanız, yüklemeye devam etmeden önce Federasyon sunucuları Için ad çözümlemesi de yapılandırdığınızdan emin olun.If you configured federation, then make sure that you have also configured Name resolution for federation servers before you continue the installation.

"Yapılandırmaya hazırlanın" sayfasını gösteren ekran görüntüsü.

Hazırlama modunu kullanUse staging mode

Hazırlama moduyla paralel olarak yeni bir eşitleme sunucusu kurmak mümkündür.It's possible to set up a new sync server in parallel with staging mode. Bu kurulumu kullanmak istiyorsanız, buluttaki tek bir dizine yalnızca bir eşitleme sunucusu dışarı aktarabilirsiniz.If you want to use this setup, then only one sync server can export to one directory in the cloud. Ancak başka bir sunucudan taşımak istiyorsanız (örneğin, DirSync çalıştıran bir sunucu), hazırlama modunda Azure AD Connect etkinleştirebilirsiniz.But if you want to move from another server, for example a server running DirSync, then you can enable Azure AD Connect in staging mode.

Hazırlama kurulumunu etkinleştirdiğinizde, eşitleme altyapısı verileri normal olarak içeri aktarır ve eşitler.When you enable the staging setup, the sync engine imports and synchronizes data as normal. Ancak, Azure AD 'ye veya Active Directory hiçbir veri dışa aktarır.But it exports no data to Azure AD or Active Directory. Hazırlama modunda parola eşitleme özelliği ve parola geri yazma özelliği devre dışıdır.In staging mode, the password sync feature and password writeback feature are disabled.

"Hazırlama modunu etkinleştir" seçeneğini gösteren ekran görüntüsü.

Hazırlama modunda, eşitleme altyapısında gerekli değişiklikleri yapabilir ve nelerin aktarılacağını inceleyebilirsiniz.In staging mode, you can make required changes to the sync engine and review what will be exported. Yapılandırmayla ilgili bir sorun yoksa yükleme sihirbazını tekrar çalıştırın ve hazırlama modunu devre dışı bırakın.When the configuration looks good, run the installation wizard again and disable staging mode.

Veriler artık sunucudan Azure AD 'ye aktarılmıştır.Data is now exported to Azure AD from the server. Yalnızca bir sunucunun etkin şekilde dışarı aktarma işlemi gerçekleştirmesini sağlamak için, diğer sunucuyu devre dışı bıraktığınızdan emin olun.Make sure to disable the other server at the same time so only one server is actively exporting.

Daha fazla bilgi için bkz. Hazırlama modu.For more information, see Staging mode.

Federasyon yapılandırmanızı doğrulamaVerify your federation configuration

Azure AD Connect Doğrula DÜĞMESINI seçtiğinizde DNS ayarlarını doğrular.Azure AD Connect verifies the DNS settings when you select the Verify button. Aşağıdaki ayarları denetler:It checks the following settings:

  • Intranet bağlantısıIntranet connectivity
    • Federasyon FQDN 'sini çözümle: Azure AD Connect, DNS 'in bağlantı sağlamak için Federasyon FQDN 'sini çözümleyip çözemeyeceğini denetler.Resolve federation FQDN: Azure AD Connect checks whether the DNS can resolve the federation FQDN to ensure connectivity. Azure AD Connect FQDN 'yi çözümleyemezse doğrulama başarısız olur.If Azure AD Connect can't resolve the FQDN, then the verification fails. Doğrulamayı gerçekleştirmek için, Federasyon hizmeti FQDN 'SI için bir DNS kaydı bulunduğundan emin olun.To complete the verification, ensure that a DNS record is present for the federation service FQDN.
    • DNS A kaydı: Federasyon hizmetinizin bir kayıt olup olmadığını denetler Azure AD Connect.DNS A record: Azure AD Connect checks whether your federation service has an A record. Bir kayıt yokluğunda doğrulama başarısız olur.In the absence of an A record, the verification fails. Doğrulamayı gerçekleştirmek için, Federasyon FQDN 'niz için bir kayıt (CNAME kaydı değil) oluşturun.To complete the verification, create an A record (not a CNAME record) for your federation FQDN.
  • Extranet bağlantısıExtranet connectivity
    • Federasyon FQDN 'sini çözümle: Azure AD Connect, DNS 'in bağlantı sağlamak için Federasyon FQDN 'sini çözümleyip çözemeyeceğini denetler.Resolve federation FQDN: Azure AD Connect checks whether the DNS can resolve the federation FQDN to ensure connectivity.

      "Yükleme Tamam" sayfasını gösteren ekran görüntüsü.

      "Yükleme Tamam" sayfasını gösteren ekran görüntüsü.

Uçtan uca kimlik doğrulamayı doğrulamak için aşağıdaki testlerin bir veya daha fazlasını el ile gerçekleştirin:To validate end-to-end authentication, manually perform one or more of the following tests:

  • Eşitleme tamamlandığında, Azure AD Connect ' de, seçtiğiniz şirket içi kullanıcı hesabının kimlik doğrulamasını doğrulamak için Federasyon oturum açmayı doğrula ek görevini kullanın.When synchronization finishes, in Azure AD Connect, use the Verify federated login additional task to verify authentication for an on-premises user account that you choose.
  • İntranetteki etki alanına katılmış bir makineden, bir tarayıcıdan oturum açabildiğinizden emin olun.From a domain-joined machine on the intranet, ensure that you can sign in from a browser. Bağlantısını yapın https://myapps.microsoft.com .Connect to https://myapps.microsoft.com. Sonra oturum açmayı doğrulamak için oturum açmış hesabınızı kullanın.Then use your logged-on account to verify the sign-in. Yerleşik Azure AD DS yönetici hesabı eşitlenmez ve doğrulama için kullanamazsınız.The built-in Azure AD DS administrator account isn't synchronized, and you can't use it for verification.
  • Extranet 'teki bir cihazdan oturum açabildiğinizden emin olun.Ensure that you can sign in from a device on the extranet. Bir giriş makinesinde veya bir mobil cihazda ' e bağlanın https://myapps.microsoft.com .On a home machine or a mobile device, connect to https://myapps.microsoft.com. Ardından kimlik bilgilerinizi sağlayın.Then provide your credentials.
  • Zengin istemci oturumu açma işlemini doğrulayın.Validate rich client sign-in. Bağlantısını yapın https://testconnectivity.microsoft.com .Connect to https://testconnectivity.microsoft.com. Ardından Office 365 > Office 365 tek Sign-On test' i seçin.Then select Office 365 > Office 365 Single Sign-On Test.

Sorun gidermeTroubleshoot

Bu bölüm, Azure AD Connect yüklenirken bir sorununuz varsa kullanabileceğiniz sorun giderme bilgilerini içerir.This section contains troubleshooting information that you can use if you have a problem while installing Azure AD Connect.

Bir Azure AD Connect yüklemesini özelleştirdiğinizde, gerekli bileşenleri yükleme sayfasında, var olan bir SQL Server kullanseçeneğini belirleyebilirsiniz.When you customize an Azure AD Connect installation, on the Install required components page, you can select Use an existing SQL Server. Şu hatayla karşılaşabilirsiniz: "ADSync veritabanı zaten veri içeriyor ve üzerine yazılamaz.You might see the following error: "The ADSync database already contains data and cannot be overwritten. Lütfen var olan veritabanını kaldırın ve yeniden deneyin. "Please remove the existing database and try again."

"Gerekli bileşenleri yüklensin" sayfasını gösteren ekran görüntüsü.

Belirttiğiniz SQL Server SQL örneğinde ADSync adlı bir veritabanı zaten var olduğundan bu hatayı görürsünüz.You see this error because a database named ADSync already exists on the SQL instance of SQL Server that you specified.

Azure AD Connect kaldırıldıktan sonra genellikle bu hatayı görürsünüz.You typically see this error after you have uninstalled Azure AD Connect. Veritabanı, Azure AD Connect kaldırdığınızda SQL Server çalıştıran bilgisayardan silinmez.The database isn't deleted from the computer that runs SQL Server when you uninstall Azure AD Connect.

Bu sorunu gidermek için:To fix this problem:

  1. Kaldırılmadan önce Azure AD Connect kullanılan ADSync veritabanını denetleyin.Check the ADSync database that Azure AD Connect used before it was uninstalled. Veritabanının artık kullanılmadığından emin olun.Make sure that the database is no longer being used.

  2. Veritabanını yedekleyin.Back up the database.

  3. Veritabanını silin:Delete the database:

    1. SQL örneğine bağlanmak için Microsoft SQL Server Management Studio kullanın.Use Microsoft SQL Server Management Studio to connect to the SQL instance.
    2. ADSync veritabanını bulun ve sağ tıklayın.Find the ADSync database and right-click it.
    3. Bağlam menüsünde Sil' i seçin.On the context menu, select Delete.
    4. Veritabanını silmek için Tamam ' ı seçin.Select OK to delete the database.

Microsoft SQL Server Management Studio gösteren ekran görüntüsü.

ADSync veritabanını sildikten sonra yüklemeyi yeniden denemek için yükleme ' yi seçin.After you delete the ADSync database, select Install to retry the installation.

Sonraki adımlarNext steps

Yükleme bittikten sonra, Windows oturumunu kapatın.After the installation finishes, sign out of Windows. Synchronization Service Manager veya eşitleme kuralı düzenleyicisini kullanmadan önce tekrar oturum açın.Then sign in again before you use Synchronization Service Manager or Synchronization Rule Editor.

Azure AD Connect yükleolduğunuza göre, yükleme ve lisansları atama' yı doğrulayabilirsiniz.Now that you have installed Azure AD Connect, you can verify the installation and assign licenses.

Yükleme sırasında etkinleştirdiğiniz özellikler hakkında daha fazla bilgi için bkz. yanlışlıkla silmeleri ve Azure AD Connect Healthönleme.For more information about the features that you enabled during the installation, see Prevent accidental deletes and Azure AD Connect Health.

Diğer yaygın konular hakkında daha fazla bilgi için bkz. Azure AD Connect eşitleme: Zamanlayıcı ve şirket Içi KIMLIKLERINIZI Azure AD ile tümleştirme.For more information about other common topics, see Azure AD Connect sync: Scheduler and Integrate your on-premises identities with Azure AD.