Azure AD Connect ÖnkoşullarıPrerequisites for Azure AD Connect

Bu makalede Azure Active Directory (Azure AD) Connect için Önkoşullar ve donanım gereksinimleri açıklanmaktadır.This article describes the prerequisites and the hardware requirements for Azure Active Directory (Azure AD) Connect.

Azure AD Connect yüklemeden önceBefore you install Azure AD Connect

Azure AD Connect yüklemeden önce, ihtiyacınız olan birkaç şey vardır.Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Bir Azure AD kiracının olması gerekir.You need an Azure AD tenant. Azure Ücretsiz deneme sürümüile bir tane alırsınız.You get one with an Azure free trial. Azure AD Connect yönetmek için aşağıdaki portallardan birini kullanabilirsiniz:You can use one of the following portals to manage Azure AD Connect:
  • Azure AD 'de kullanmayı planladığınız etki alanını ekleyin ve doğrulayın .Add and verify the domain you plan to use in Azure AD. Örneğin, kullanıcılarınız için contoso.com kullanmayı planlıyorsanız, bu etki alanının doğrulandığından ve yalnızca contoso.onmicrosoft.com varsayılan etki alanını kullanmadığınız emin olun.For example, if you plan to use contoso.com for your users, make sure this domain has been verified and you're not using only the contoso.onmicrosoft.com default domain.
  • Bir Azure AD kiracısı, varsayılan olarak 50.000 nesnelerine izin verir.An Azure AD tenant allows, by default, 50,000 objects. Etki alanınızı doğruladıktan sonra sınır 300.000 nesne artar.When you verify your domain, the limit increases to 300,000 objects. Azure AD 'de daha fazla nesne gerekiyorsa, sınırın daha da arttığı bir destek talebi açın.If you need even more objects in Azure AD, open a support case to have the limit increased even further. 500.000 ' den fazla nesneye ihtiyacınız varsa, Microsoft 365, Azure AD Premium veya Enterprise Mobility + Security gibi bir lisansa sahip olmanız gerekir.If you need more than 500,000 objects, you need a license, such as Microsoft 365, Azure AD Premium, or Enterprise Mobility + Security.

Şirket içi verilerinizi hazırlamaPrepare your on-premises data

Şirket içi Active DirectoryOn-premises Active Directory

  • Active Directory şeması sürümü ve orman işlev düzeyi Windows Server 2003 veya sonraki bir sürümü olmalıdır.The Active Directory schema version and forest functional level must be Windows Server 2003 or later. Şema sürümü ve Orman düzeyi gereksinimleri karşılandığı sürece etki alanı denetleyicileri herhangi bir sürümü çalıştırabilir.The domain controllers can run any version as long as the schema version and forest-level requirements are met.
  • Özellik parola geri yazma özelliğini kullanmayı planlıyorsanız, etki alanı denetleyicilerinin Windows Server 2012 veya sonraki bir sürümde olması gerekir.If you plan to use the feature password writeback , the domain controllers must be on Windows Server 2012 or later.
  • Azure AD tarafından kullanılan etki alanı denetleyicisi yazılabilir olmalıdır.The domain controller used by Azure AD must be writable. Salt bir okuma etki alanı denetleyicisi (RODC) kullanılması desteklenmez ve Azure AD Connect herhangi bir yazma yeniden yönlendirmeyi izlemiyor.Using a read-only domain controller (RODC) isn't supported , and Azure AD Connect doesn't follow any write redirects.
  • "Noktalı" kullanarak şirket içi ormanları veya etki alanlarını kullanma (ad bir nokta içerir ".") NetBIOS adları desteklenmez.Using on-premises forests or domains by using "dotted" (name contains a period ".") NetBIOS names isn't supported.
  • Active Directory geri dönüşüm kutusu 'nu etkinleştirmeniziöneririz.We recommend that you enable the Active Directory recycle bin.

PowerShell yürütme ilkesiPowerShell execution policy

Azure Active Directory Connect, yüklemesinin bir parçası olarak imzalı PowerShell betikleri çalıştırır.Azure Active Directory Connect runs signed PowerShell scripts as part of the installation. PowerShell yürütme ilkesinin betikleri çalıştırmaya izin verdiğinden emin olun.Ensure that the PowerShell execution policy will allow running of scripts.

Yükleme sırasında önerilen yürütme ilkesi "RemoteSigned" dır.The recommended execution policy during installation is "RemoteSigned".

PowerShell yürütme ilkesini ayarlama hakkında daha fazla bilgi için bkz. set-ExecutionPolicy.For more information on setting the PowerShell execution policy, see Set-ExecutionPolicy.

Azure AD Connect sunucusuAzure AD Connect server

Azure AD Connect sunucusu kritik kimlik verileri içerir.The Azure AD Connect server contains critical identity data. Bu sunucuya yönetim erişiminin düzgün bir şekilde güvenliğinin sağlanması önemlidir.It's important that administrative access to this server is properly secured. Ayrıcalıklı erişimin güvenliğini sağlamakonusundaki yönergeleri izleyin.Follow the guidelines in Securing privileged access.

Azure AD Connect sunucusu, Active Directory Yönetim Katmanı modelinde belgelendiği şekilde katman 0 bileşeni olarak değerlendirilmelidirThe Azure AD Connect server must be treated as a Tier 0 component as documented in the Active Directory administrative tier model

Active Directory ortamınızı güvenli hale getirmek hakkında daha fazla bilgi için bkz. Active Directory Için en iyi uygulamalar.To read more about securing your Active Directory environment, see Best practices for securing Active Directory.

Yükleme önkoşullarıInstallation prerequisites

  • Azure AD Connect, etki alanına katılmış bir Windows Server 2012 veya sonraki bir sürümü üzerinde yüklü olmalıdır.Azure AD Connect must be installed on a domain-joined Windows Server 2012 or later.
  • Azure AD Connect, 2019 öncesi Small Business Server veya Windows Server Essentials üzerine yüklenemez (Windows Server Essentials 2019 desteklenir).Azure AD Connect can't be installed on Small Business Server or Windows Server Essentials before 2019 (Windows Server Essentials 2019 is supported). Sunucu, Windows Server Standard veya daha iyi bir using olmalıdır.The server must be using Windows Server standard or better.
  • Azure AD Connect sunucuda tam GUI yüklü olmalıdır.The Azure AD Connect server must have a full GUI installed. Windows Server Core üzerinde Azure AD Connect yükleme desteklenmez.Installing Azure AD Connect on Windows Server Core isn't supported.
  • Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yapılandırmasını yönetmek için Azure AD Connect Sihirbazı 'nı kullanıyorsanız, Azure AD Connect sunucuda PowerShell döküm grup ilkesi etkinleştirilmemiş olmalıdır.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled if you use the Azure AD Connect wizard to manage Active Directory Federation Services (AD FS) configuration. Eşitleme yapılandırmasını yönetmek için Azure AD Connect Sihirbazı 'nı kullanırsanız PowerShell dökümünü etkinleştirebilirsiniz.You can enable PowerShell transcription if you use the Azure AD Connect wizard to manage sync configuration.
  • AD FS dağıtılmışsa:If AD FS is being deployed:
  • Genel yöneticileriniz MFA etkinleştirilmişse, URL https://secure.aadcdn.microsoftonline-p.com must güvenilen siteler listesinde olmalıdır.If your global administrators have MFA enabled, the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. MFA sınaması istendiğinde bu siteyi Güvenilen siteler listesine eklemeniz istenir ve daha önce eklenmemiştir.You're prompted to add this site to the trusted sites list when you're prompted for an MFA challenge and it hasn't been added before. Internet Explorer 'ı, güvenilen sitelerinize eklemek için kullanabilirsiniz.You can use Internet Explorer to add it to your trusted sites.

Azure AD Connect sunucunuzu HardenHarden your Azure AD Connect server

BT ortamınızın bu kritik bileşeninin güvenlik saldırısı yüzeyini azaltmak için Azure AD Connect sunucunuzu çok fazla kullanmanızı öneririz.We recommend that you harden your Azure AD Connect server to decrease the security attack surface for this critical component of your IT environment. Bu önerilerin ardından, kuruluşunuzun bazı güvenlik risklerini azaltmaya yardımcı olur.Following these recommendations will help to mitigate some security risks to your organization.

Azure AD Connect tarafından kullanılan SQL ServerSQL Server used by Azure AD Connect

  • Azure AD Connect’e kimlik verilerini depolamak için bir SQL Server veritabanı gerekiyor.Azure AD Connect requires a SQL Server database to store identity data. Varsayılan olarak, bir SQL Server 2012 Express LocalDB (SQL Server Express bir açık sürümü) yüklenir.By default, a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. SQL Server Express, yaklaşık 100.000 nesneyi yönetmenizi sağlayan 10 GB boyutlu bir boyut sınırına sahiptir.SQL Server Express has a 10-GB size limit that enables you to manage approximately 100,000 objects. Daha yüksek bir dizin nesneleri birimini yönetmeniz gerekiyorsa, Yükleme Sihirbazı 'nı farklı bir SQL Server yüklemesine işaret edin.If you need to manage a higher volume of directory objects, point the installation wizard to a different installation of SQL Server. SQL Server yüklemesinin türü Azure AD Connect performansınıetkileyebilir.The type of SQL Server installation can impact the performance of Azure AD Connect.
  • Farklı bir SQL Server yüklemesi kullanıyorsanız, bu gereksinimler geçerlidir:If you use a different installation of SQL Server, these requirements apply:
    • Azure AD Connect, 2012 (en son hizmet paketiyle) SQL Server tüm sürümlerini SQL Server 2019 ' e destekler.Azure AD Connect supports all versions of SQL Server from 2012 (with the latest service pack) to SQL Server 2019. Azure SQL veritabanı, veritabanı olarak desteklenmez .Azure SQL Database isn't supported as a database.
    • Büyük/küçük harfe duyarsız bir SQL harmanlaması kullanmanız gerekir.You must use a case-insensitive SQL collation. Bu harmanlamalar, adında bir _ CI_ tanımlanır.These collations are identified with a _CI_ in their name. Adında CS_ tarafından tanımlanan, büyük/küçük harfe duyarlı harmanlama kullanılması _ desteklenmez.Using a case-sensitive collation identified by _CS_ in their name isn't supported.
    • SQL örneği başına yalnızca bir eşitleme motoruna sahip olabilirsiniz.You can have only one sync engine per SQL instance. Bir SQL örneğinin FIM/MıM Sync, DirSync veya Azure AD Eşitleme ile paylaşılması desteklenmez.Sharing a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync isn't supported.

HesaplarAccounts

  • Tümleştirmek istediğiniz Azure AD kiracısı için bir Azure AD Genel Yönetici hesabınızın olması gerekir.You must have an Azure AD Global Administrator account for the Azure AD tenant you want to integrate with. Bu hesabın bir okul veya kuruluş hesabı olması ve bir Microsoft hesabı olamaz.This account must be a school or organization account and can't be a Microsoft account.
  • Hızlı ayarları kullanıyorsanız veya DirSync 'ten yükseltme yaparsanız, şirket içi Active Directory Için bir Kurumsal Yönetici hesabınızın olması gerekir.If you use express settings or upgrade from DirSync, you must have an Enterprise Administrator account for your on-premises Active Directory.
  • Özel ayarlar yükleme yolunu kullanırsanız, daha fazla seçeneğiniz vardır.If you use the custom settings installation path, you have more options. Daha fazla bilgi için bkz. özel yükleme ayarları.For more information, see Custom installation settings.

BağlantıConnectivity

  • Azure AD Connect sunucusu hem intranet hem de internet için DNS çözümüne ihtiyaç duyuyor.The Azure AD Connect server needs DNS resolution for both intranet and internet. DNS sunucusu, adları hem şirket içi Active Directory hem de Azure AD uç noktalarına çözümleyebilmelidir.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.

  • İntranetinizde güvenlik duvarları varsa ve Azure AD Connect sunucuları ile etki alanı denetleyicileriniz arasında bağlantı noktaları açmanız gerekiyorsa, daha fazla bilgi için bkz. Azure AD Connect bağlantı noktaları .If you have firewalls on your intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, see Azure AD Connect ports for more information.

  • Proxy 'niz veya güvenlik duvarınız hangi URL 'Lere erişilebileceğini sınırlarıyorsa, Office 365 URL 'lerinde ve IP adresi aralıklarında belgelenen URL 'lerin açılması gerekir.If your proxy or firewall limit which URLs can be accessed, the URLs documented in Office 365 URLs and IP address ranges must be opened. Ayrıca bkz. güvenlik duvarınızdaki veya proxy sunucunuzdaki Azure Portal URL 'leri.Also see Safelist the Azure portal URLs on your firewall or proxy server.

  • Azure AD Connect (sürüm 1.1.614.0 ve sonrası), eşitleme altyapısı ile Azure AD arasındaki iletişimi şifrelemek için varsayılan olarak TLS 1,2 kullanır.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. TLS 1,2, temel işletim sisteminde kullanılabilir değilse, Azure AD Connect daha eski protokollere (TLS 1,1 ve TLS 1,0) artımlı olarak geri döner.If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0).

  • Sürüm 1.1.614.0 ' den önce, eşitleme altyapısı ve Azure AD arasındaki iletişimi şifrelemek için varsayılan olarak Azure AD Connect TLS 1,0 kullanır.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. TLS 1,2 ' ye geçmek için Azure AD Connect IÇIN tls 1,2' yi etkinleştirme ' deki adımları izleyin.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.

  • İnternet 'e bağlanmak için bir giden Proxy kullanıyorsanız, Yükleme Sihirbazı için C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config dosyasında aşağıdaki ayar eklenmelidir ve Internet ve Azure AD 'ye bağlanabilmeleri için eşitlemenin Azure AD Connect gerekir.If you're using an outbound proxy for connecting to the internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the internet and Azure AD. Bu metin, dosyanın alt kısmına girilmelidir.This text must be entered at the bottom of the file. Bu kodda, < PROXYADDRESS > gerçek Proxy IP adresini veya ana bilgisayar adını temsil eder.In this code, <PROXYADDRESS> represents the actual proxy IP address or host name.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Proxy sunucunuz kimlik doğrulaması gerektiriyorsa, hizmet hesabı etki alanında bulunmalıdır.If your proxy server requires authentication, the service account must be located in the domain. Özel bir hizmet hesabıbelirtmek için özelleştirilmiş ayarlar yükleme yolunu kullanın.Use the customized settings installation path to specify a custom service account. machine.config için de farklı bir değişiklik yapmanız gerekir. machine.config sürümünde bu değişiklik ile, Yükleme Sihirbazı ve eşitleme altyapısı, proxy sunucusundan gelen kimlik doğrulama isteklerine yanıt verir.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. Yapılandırma sayfası hariç olmak üzere tüm Yükleme Sihirbazı sayfalarında, oturum açmış kullanıcının kimlik bilgileri kullanılır.In all installation wizard pages, excluding the Configure page, the signed-in user's credentials are used. Yükleme sihirbazının sonundaki Yapılandır sayfasında, bağlam oluşturduğunuz hizmet hesabına geçiş yapılır.On the Configure page at the end of the installation wizard, the context is switched to the service account that you created. machine.config bölümü şöyle görünmelidir:The machine.config section should look like this:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Proxy yapılandırması mevcut bir kurulumda yapılamakta ise, Azure AD Connect ara sunucu yapılandırmasını okuyabilmesi ve davranışı güncelleştirmesi için Microsoft Azure AD Eşitleme hizmetinin yeniden başlatılması gerekir.If the proxy configuration is being done in an existing setup, the Microsoft Azure AD Sync service needs to be restarted once for the Azure AD Connect to read the proxy configuration and update the behavior.

  • Azure AD Connect, Dizin eşitlemesinin bir parçası olarak Azure AD 'ye bir Web isteği gönderdiğinde, Azure AD 'nin yanıtlaması 5 dakika sürebilir.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. Proxy sunucularda bağlantı boşta kalma zaman aşımı yapılandırması olması yaygındır.It's common for proxy servers to have connection idle timeout configuration. Yapılandırmanın en az 6 dakika veya daha fazla ayarlandığından emin olun.Ensure the configuration is set to at least 6 minutes or more.

Daha fazla bilgi için bkz. varsayılan proxy öğesihakkında MSDN.For more information, see MSDN about the default proxy element. Bağlantı sorunlarıyla karşılaşırsanız daha fazla bilgi için bkz. bağlantı sorunlarını giderme.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

DiğerOther

İsteğe bağlı: eşitlemeyi doğrulamak için bir test Kullanıcı hesabı kullanın.Optional: Use a test user account to verify synchronization.

Bileşen önkoşullarıComponent prerequisites

PowerShell ve .NET FrameworkPowerShell and .NET Framework

Azure AD Connect, Microsoft PowerShell ve .NET Framework 4.5.1 bağımlıdır.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. Sunucunuzda bu sürüm veya sonraki bir sürümün yüklü olması gerekir.You need this version or a later version installed on your server. Windows Server sürümünüze bağlı olarak, aşağıdaki işlemleri gerçekleştirin:Depending on your Windows Server version, take the following actions:

  • Windows Server 2012 R2Windows Server 2012 R2
    • Microsoft PowerShell varsayılan olarak yüklüdür.Microsoft PowerShell is installed by default. İşlem yapmanız gerekmez.No action is required.
    • .NET Framework 4.5.1 ve üzeri sürümler Windows Update aracılığıyla sunulur..NET Framework 4.5.1 and later releases are offered through Windows Update. Denetim Masası 'nda Windows Server 'a en son güncelleştirmeleri yüklediğinizden emin olun.Make sure you've installed the latest updates to Windows Server in Control Panel.
  • Windows Server 2012Windows Server 2012

Azure AD Connect için TLS 1,2 'yi etkinleştirinEnable TLS 1.2 for Azure AD Connect

Sürüm 1.1.614.0 ' den önce, eşitleme altyapısı sunucusu ile Azure AD arasındaki iletişimi şifrelemek için varsayılan olarak Azure AD Connect TLS 1,0 kullanır.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. .NET uygulamalarını, sunucuda varsayılan olarak TLS 1,2 kullanacak şekilde yapılandırabilirsiniz.You can configure .NET applications to use TLS 1.2 by default on the server. TLS 1,2 hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Danışmanlığı 2960358.For more information about TLS 1.2, see Microsoft Security Advisory 2960358.

  1. İşletim sisteminiz için .NET 4.5.1 düzeltmesinin yüklü olduğundan emin olun.Make sure you have the .NET 4.5.1 hotfix installed for your operating system. Daha fazla bilgi için bkz. Microsoft Güvenlik Danışmanlığı 2960358.For more information, see Microsoft Security Advisory 2960358. Bu düzeltme veya daha sonraki bir sürümü sunucunuzda zaten yüklü olabilir.You might have this hotfix or a later release installed on your server already.

  2. Tüm işletim sistemleri için, bu kayıt defteri anahtarını ayarlayın ve sunucuyu yeniden başlatın.For all operating systems, set this registry key and restart the server.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Eşitleme altyapısı sunucusu ve uzak SQL Server arasında TLS 1,2 ' i etkinleştirmek istiyorsanız, Microsoft SQL Server Için tls 1,2 desteğiiçin gerekli sürümlerin yüklü olduğundan emin olun.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Federasyon yükleme ve yapılandırma önkoşullarıPrerequisites for federation installation and configuration

Windows Uzaktan YönetimiWindows Remote Management

AD FS veya Web uygulaması ara sunucusu (WAP) dağıtmak için Azure AD Connect kullandığınızda, aşağıdaki gereksinimleri kontrol edin:When you use Azure AD Connect to deploy AD FS or the Web Application Proxy (WAP), check these requirements:

  • Hedef sunucu etki alanına katılmış ise, Windows Uzaktan Yönetimi 'nin etkinleştirildiğinden emin olun.If the target server is domain joined, ensure that Windows Remote Managed is enabled.
    • Yükseltilmiş bir PowerShell komut penceresinde komutunu kullanın Enable-PSRemoting –force .In an elevated PowerShell command window, use the command Enable-PSRemoting –force.
  • Hedef sunucu, etki alanına katılmamış bir WAP makinesi ise, birkaç ek gereksinim vardır:If the target server is a non-domain-joined WAP machine, there are a couple of additional requirements:
    • Hedef makinede (WAP makinesi):On the target machine (WAP machine):
      • Windows Uzaktan Yönetimi/WS-Management (WinRM) hizmetinin Hizmetler ek bileşeni aracılığıyla çalıştığından emin olun.Ensure the Windows Remote Management/WS-Management (WinRM) service is running via the Services snap-in.
      • Yükseltilmiş bir PowerShell komut penceresinde komutunu kullanın Enable-PSRemoting –force .In an elevated PowerShell command window, use the command Enable-PSRemoting –force.
    • Sihirbazın çalıştığı makinede (hedef makine etki alanına katılmamış veya güvenilmeyen bir etki alanı ise):On the machine on which the wizard is running (if the target machine is non-domain joined or is an untrusted domain):
      • Yükseltilmiş bir PowerShell komut penceresinde komutunu kullanın Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate .In an elevated PowerShell command window, use the command Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
      • Sunucu Yöneticisi 'nde:In the server manager:
        • Makine havuzuna bir DMZ WAP Konağı ekleyin.Add a DMZ WAP host to a machine pool. Sunucu Yöneticisi 'nde Yönet > Sunucu Ekle ' yi seçin ve sonra DNS sekmesini kullanın.In the server manager, select Manage > Add Servers , and then use the DNS tab.
        • Tüm sunucuları Sunucu Yöneticisi SEKMESINDE, WAP sunucusuna sağ tıklayın ve Farklı Yönet ' i seçin.On the Server Manager All Servers tab, right-click the WAP server, and select Manage As. WAP makinesi için yerel (etki alanı değil) kimlik bilgilerini girin.Enter local (not domain) credentials for the WAP machine.
        • Uzak PowerShell bağlantısını doğrulamak için, tüm sunucular sunucu yöneticisi SEKMESINDE, WAP sunucusuna sağ tıklayıp Windows PowerShell ' i seçin.To validate remote PowerShell connectivity, on the Server Manager All Servers tab, right-click the WAP server and select Windows PowerShell. Uzak PowerShell oturumlarının kurulabilmek için uzak bir PowerShell oturumunun açılması gerekir.A remote PowerShell session should open to ensure remote PowerShell sessions can be established.

TLS/SSL sertifikası gereksinimleriTLS/SSL certificate requirements

  • AD FS grubunuzun ve tüm Web uygulaması ara sunucularının tüm düğümlerinde aynı TLS/SSL sertifikasını kullanmanızı öneririz.We recommend that you use the same TLS/SSL certificate across all nodes of your AD FS farm and all Web Application Proxy servers.
  • Sertifika bir x509 sertifikası olmalıdır.The certificate must be an X509 certificate.
  • Bir test laboratuvarı ortamında, Federasyon sunucuları üzerinde otomatik olarak imzalanan bir sertifika kullanabilirsiniz.You can use a self-signed certificate on federation servers in a test lab environment. Bir üretim ortamında, sertifikayı bir genel sertifika yetkilisinden edinmenizi öneririz.For a production environment, we recommend that you obtain the certificate from a public certificate authority.
    • Genel olarak güvenilen bir sertifika kullanıyorsanız, her Web uygulaması ara sunucusu üzerinde yüklü sertifikanın hem yerel sunucuda hem de tüm Federasyon sunucularında güvenilir olduğundan emin olun.If you're using a certificate that isn't publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers.
  • Sertifikanın kimliği, Federasyon Hizmeti adı ile eşleşmelidir (örneğin, sts.contoso.com).The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • Kimlik, dNSName türünde bir konu alternatif adı (SAN) uzantısı ya da SAN girişi yoksa, konu adı ortak bir ad olarak belirtilir.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name is specified as a common name.
    • Sertifikada, Federasyon Hizmeti adıyla eşleşen birden çok SAN girişi bulunabilir.Multiple SAN entries can be present in the certificate provided one of them matches the federation service name.
    • Workplace Join kullanmayı planlıyorsanız, enterpriseregistration değeri ile ek bir SAN gerekir .If you're planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. ardından, kuruluşunuzun Kullanıcı asıl adı (UPN) sonekini (örneğin, enterpriseregistration.contoso.com) takip edin.followed by the user principal name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • CryptoAPI yeni nesil (CNG) anahtarları ve anahtar depolama sağlayıcıları (KSPs) tabanlı sertifikalar desteklenmez.Certificates based on CryptoAPI next-generation (CNG) keys and key storage providers (KSPs) aren't supported. Sonuç olarak, bir şifreleme hizmeti sağlayıcısı (CSP) temel alınarak bir sertifika kullanmanız gerekir.As a result, you must use a certificate based on a cryptographic service provider (CSP) and not a KSP.
  • Joker kart sertifikaları desteklenir.Wild-card certificates are supported.

Federasyon sunucuları için ad çözümlemesiName resolution for federation servers

  • İntranet (iç DNS sunucunuz) ve extranet (etki alanı kaydediciniz aracılığıyla genel DNS) için AD FS adı (örneğin, sts.contoso.com) için DNS kayıtları ayarlayın.Set up DNS records for the AD FS name (for example, sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). İntranet DNS kaydı için CNAME kayıtları olmayan bir kayıt kullandığınızdan emin olun.For the intranet DNS record, ensure that you use A records and not CNAME records. Windows kimlik doğrulamasının etki alanına katılmış makinenizden düzgün çalışması için bir kayıt kullanılması gerekir.Using A records is required for Windows authentication to work correctly from your domain-joined machine.
  • Birden fazla AD FS sunucusu veya Web uygulaması ara sunucusu dağıtıyorsanız, yük dengeleyiciyi yapılandırdığınızdan ve AD FS adı (örneğin, sts.contoso.com) için DNS kayıtlarının yük dengeleyiciye işaret ettikten emin olun.If you're deploying more than one AD FS server or Web Application Proxy server, ensure that you've configured your load balancer and that the DNS records for the AD FS name (for example, sts.contoso.com) point to the load balancer.
  • Windows tümleşik kimlik doğrulamasının intranetinizdeki Internet Explorer 'ı kullanarak tarayıcı uygulamaları için çalışması için, AD FS adının (örneğin, sts.contoso.com) Internet Explorer 'daki intranet bölgesine eklendiğinden emin olun.For Windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS name (for example, sts.contoso.com) is added to the intranet zone in Internet Explorer. Bu gereksinim, grup ilkesi aracılığıyla denetlenebilir ve etki alanına katılmış tüm bilgisayarlarınıza dağıtılabilir.This requirement can be controlled via Group Policy and deployed to all your domain-joined computers.

Azure AD Connect destekleyici bileşenleriAzure AD Connect supporting components

Azure AD Connect, Azure AD Connect yüklendiği sunucuya aşağıdaki bileşenleri yüklüyor.Azure AD Connect installs the following components on the server where Azure AD Connect is installed. Bu liste temel bir hızlı yüklemeye yöneliktir.This list is for a basic Express installation. Eşitleme Hizmetleri yükleme sayfasında farklı bir SQL Server kullanmayı SEÇERSENIZ, SQL Express LocalDB yerel olarak yüklenmez.If you choose to use a different SQL Server on the Install synchronization services page, SQL Express LocalDB isn't installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • Microsoft SQL Server 2012 komut satırı yardımcı programlarıMicrosoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Express LocalDBMicrosoft SQL Server 2012 Express LocalDB
  • Microsoft SQL Server 2012 Native ClientMicrosoft SQL Server 2012 Native Client
  • Microsoft Visual C++ 2013 yeniden dağıtım paketiMicrosoft Visual C++ 2013 Redistribution Package

Azure AD Connect için donanım gereksinimleriHardware requirements for Azure AD Connect

Aşağıdaki tabloda Azure AD Connect eşitleme bilgisayarı için en düşük gereksinimler gösterilmektedir.The following table shows the minimum requirements for the Azure AD Connect sync computer.

Active Directory nesne sayısıNumber of objects in Active Directory CPUCPU BellekMemory Sabit sürücü boyutuHard drive size
10.000 'den azFewer than 10,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
10000 – 5000010,000–50,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
50000 – 10000050,000–100,000 1,6 GHz1.6 GHz 16 GB16 GB 100 GB100 GB
100.000 veya daha fazla nesne için SQL Server tam sürümü gereklidirFor 100,000 or more objects, the full version of SQL Server is required
100000 – 300000100,000–300,000 1,6 GHz1.6 GHz 32 GB32 GB 300 GB300 GB
300000 – 600000300,000–600,000 1,6 GHz1.6 GHz 32 GB32 GB 450 GB450 GB
600.000 'den fazlaMore than 600,000 1,6 GHz1.6 GHz 32 GB32 GB 500 GB500 GB

AD FS veya Web uygulaması proxy sunucuları çalıştıran bilgisayarlar için en düşük gereksinimler şunlardır:The minimum requirements for computers running AD FS or Web Application Proxy servers are:

  • CPU: çift çekirdekli 1,6 GHz veya üzeriCPU: Dual core 1.6 GHz or higher
  • Bellek: 2 GB veya üzeriMemory: 2 GB or higher
  • Azure VM: a2 yapılandırması veya üzeriAzure VM: A2 configuration or higher

Sonraki adımlarNext steps

Şirket içi kimliklerinizi Azure Active Directory ile tümleştirme hakkında daha fazla bilgi edinin.Learn more about Integrating your on-premises identities with Azure Active Directory.