Az Azure AD Connect előfeltételei

Ez a cikk az Azure Active Directory (Azure AD) Connect előfeltételeit és hardverkövetelményeit ismerteti.

A Azure AD Connect telepítése előtt

A Azure AD Connect telepítése előtt néhány dologra van szüksége.

Azure AD

  • Szüksége lesz egy Azure AD bérlőre. Ingyenes Azure-próbaidőszakot kap. Az alábbi portálok egyikével kezelheti Azure AD Connectet:
  • Adja hozzá és ellenőrizze a Azure AD használni kívánt tartományt. Ha például contoso.com szeretne használni a felhasználók számára, győződjön meg arról, hogy a tartomány ellenőrzött, és nem csak az contoso.onmicrosoft.com alapértelmezett tartományt használja.
  • Egy Azure AD-bérlő alapértelmezés szerint 50 000 objektumot engedélyez. A tartomány ellenőrzésekor a korlát 300 000 objektumra nő. Ha még több objektumra van szüksége a Azure AD, nyisson meg egy támogatási esetet, hogy a korlát még tovább növekedjen. Ha több mint 500 000 objektumra van szüksége, licencre van szüksége, például Microsoft 365, Azure AD Premium vagy Enterprise Mobility + Security.

A helyszíni adatok előkészítése

Helyszíni Active Directory

  • Az Active Directory sémaverziójának és az erdő működési szintjének legalább Windows Server 2003 vagy újabb rendszerűnek kell lennie. A tartományvezérlők bármilyen verziót képesek futtatni, ha a sémaverzió és az erdőszint követelményei teljesülnek. Ha Windows Server 2016 vagy régebbi tartományvezérlőkhöz igényel támogatást, fizetős támogatási programra lehet szükség.
  • Az Azure AD által használt tartományvezérlőnek írhatónak kell lennie. Írásvédett tartományvezérlő (RODC) használata nem támogatott, és Azure AD Connect nem követ írási átirányításokat.
  • Helyszíni erdők vagy tartományok használata "pontozott" használatával (a név tartalmaz egy "." pontot). A NetBIOS-nevek nem támogatottak.
  • Javasoljuk, hogy engedélyezze az Active Directory lomtárát.

PowerShell végrehajtási házirend

Az Azure Active Directory Connect aláírt PowerShell-szkripteket futtat a telepítés részeként. Győződjön meg arról, hogy a PowerShell végrehajtási szabályzata lehetővé teszi a szkriptek futtatását.

A telepítés során javasolt végrehajtási szabályzat a "RemoteSigned".

A PowerShell végrehajtási szabályzatának beállításával kapcsolatos további információkért lásd: Set-ExecutionPolicy.

Azure AD Connect-kiszolgáló

A Azure AD Connect-kiszolgáló kritikus identitásadatokat tartalmaz. Fontos, hogy a kiszolgálóhoz való rendszergazdai hozzáférés megfelelően legyen biztosítva. Kövesse az Emelt szintű hozzáférés biztonságossá tételével kapcsolatos útmutatót.

A Azure AD Connect-kiszolgálót 0. rétegbeli összetevőként kell kezelni az Active Directory felügyeleti réteg modelljében dokumentált módon. Javasoljuk, hogy a Azure AD Connect-kiszolgálót vezérlősík-objektumként megerősítse a Biztonságos emelt szintű hozzáférés című cikkben található útmutatást követve.

Az Active Directory-környezet biztonságossá tételével kapcsolatos további információkért lásd: Ajánlott eljárások az Active Directory biztonságossá tételéhez.

Telepítési előfeltételek

  • Azure AD Csatlakozást tartományhoz csatlakoztatott Windows Server 2016 vagy újabb rendszeren kell telepíteni – vegye figyelembe, hogy a Windows Server 2022 még nem támogatott. A Azure AD Connectet üzembe helyezheti Windows Server 2016, de mivel Windows Server 2016 kiterjesztett támogatásban részesül, fizetős támogatási programra lehet szükség, ha ehhez a konfigurációhoz támogatásra van szüksége. A tartományhoz csatlakoztatott Windows Server 2019 használatát javasoljuk.
  • A .Net-keretrendszer minimálisan szükséges verziója a 4.6.2, és a .Net újabb verziói is támogatottak.
  • Azure AD A Connect 2019 előtt nem telepíthető a Small Business Serverre vagy Windows Server Essentials (Windows Server Essentials 2019 támogatott). A kiszolgálónak standard vagy jobb Windows Servert kell használnia.
  • A Azure AD Connect-kiszolgálóra telepítve kell lennie egy teljes grafikus felhasználói felületnek. A Azure AD Connect telepítése Windows Server Core rendszeren nem támogatott.
  • A Azure AD Connect-kiszolgálón nem lehet engedélyezve a PowerShell-átírási Csoportházirend, ha a Azure AD Connect varázslóval kezeli Active Directory összevonási szolgáltatások (AD FS) (AD FS) konfigurációját. Engedélyezheti a PowerShell-átírást, ha a Azure AD Connect varázslóval kezeli a szinkronizálási konfigurációt.
  • Ha az AD FS üzembe helyezése folyamatban van:
  • Nem támogatott a Azure AD Connect és Azure AD közötti forgalom megszakítása és elemzése. Ez megzavarhatja a szolgáltatást.
  • Ha a hibrid identitáskezelő rendszergazdáknak engedélyezve van az MFA, az URL-címnek https://secure.aadcdn.microsoftonline-p.com szerepelnie kell a megbízható webhelyek listájában. A rendszer arra kéri, hogy adja hozzá ezt a webhelyet a megbízható helyek listájához, amikor a rendszer MFA-kihívást kér, és még nem adta hozzá. Az Internet Explorerrel hozzáadhatja a megbízható webhelyekhez.
  • Ha a szinkronizáláshoz Azure AD Connect Health szolgáltatást tervezi használni, győződjön meg arról, hogy a Azure AD Connect Health előfeltételei is teljesülnek. További információ: Azure AD Connect Health-ügynök telepítése.

A Azure AD Connect-kiszolgáló megerősítésének beállítása

Javasoljuk, hogy a Azure AD Connect-kiszolgáló megerősítését, hogy csökkentse az informatikai környezet ezen kritikus fontosságú összetevőjének biztonsági támadási felületét. Ezeknek a javaslatoknak a követéséval csökkentheti a szervezetre vonatkozó biztonsági kockázatokat.

  • Javasoljuk, hogy a Azure AD Connect-kiszolgálót vezérlősíkként (korábbi nevén 0. rétegbeli) megerősítse a Biztonságos emelt szintű hozzáférés és az Active Directory felügyeleti réteg modelljében található útmutatást követve.
  • Korlátozza a Azure AD Connect-kiszolgálóhoz való rendszergazdai hozzáférést csak tartományi rendszergazdákra vagy más szigorúan ellenőrzött biztonsági csoportokra.
  • Hozzon létre egy dedikált fiókot minden kiemelt hozzáféréssel rendelkező személy számára. A rendszergazdáknak nem szabad az interneten böngészniük, ellenőrizniük az e-mail-címüket, és a magas jogosultsági szintű fiókokkal napi szintű hatékonyságnövelő feladatokat végezniük.
  • Kövesse a Kiemelt hozzáférés biztonságossá tétele című cikkben található útmutatást.
  • Az NTLM-hitelesítés használatának megtagadása az AADConnect-kiszolgálóval. Ennek néhány módja: Az NTLM korlátozása az AADConnect-kiszolgálón és az NTLM korlátozása egy tartományban
  • Győződjön meg arról, hogy minden géphez egyedi helyi rendszergazdai jelszó tartozik. További információ: A helyi rendszergazdai jelszómegoldás (LAPS) egyedi véletlenszerű jelszavakat konfigurálhat minden munkaállomáson, és a kiszolgáló tárolja őket az ACL által védett Active Directoryban. Csak a jogosult jogosult felhasználók olvashatják vagy kérhetik a helyi rendszergazdai fiók jelszavának visszaállítását. A LAPS-t munkaállomásokon és kiszolgálókon való használatra a Microsoft letöltőközpontból szerezheti be. Az LAPS-sel és emelt szintű hozzáférési munkaállomásokkal (PAW-kkal) rendelkező környezetek üzemeltetéséről további útmutatást a tiszta forrás elven alapuló üzemeltetési szabványokban talál.
  • Dedikált emelt szintű hozzáférésű munkaállomásokat valósíthat meg minden olyan személy számára, aki kiemelt hozzáféréssel rendelkezik a szervezet információs rendszereihez.
  • Kövesse ezeket a további irányelveket az Active Directory-környezet támadási felületének csökkentéséhez.
  • Kövesse a Változások figyelése összevonási konfigurációban című témakört a riasztások beállításához az identitásszolgáltató és a Azure AD közötti megbízhatósági kapcsolat változásainak figyeléséhez.
  • Engedélyezze a Multi Factor Authenticationt (MFA) minden olyan felhasználó számára, aki jogosultsággal rendelkezik a Azure AD vagy az AD-ben. Az AADConnect használatával kapcsolatos egyik biztonsági probléma, hogy ha egy támadó át tudja irányítani a Azure AD Connect-kiszolgálót, akkor manipulálhatja a felhasználókat Azure AD. Annak érdekében, hogy a támadók ne használják fel ezeket a képességeket Azure AD fiókok átvételére, az MFA védelmet nyújt, így még ha a támadónak sikerül is például alaphelyzetbe állítania egy felhasználó jelszavát a Azure AD Connect használatával, akkor sem kerülheti el a második tényezőt.
  • Tiltsa le a helyreállítható egyeztetést a bérlőn. A helyreállítható egyezés nagyszerű funkció, amellyel a meglévő felhőalapú felügyelt objektumok automatikussági forrását átviheti a Azure AD Connectbe, de bizonyos biztonsági kockázatokkal jár. Ha nincs rá szüksége, tiltsa le a helyreállítható egyeztetést.
  • Tiltsa le a kemény egyezéses átvételt. A szigorú egyeztetéses átvétel lehetővé teszi Azure AD Connect számára, hogy átvegye az irányítást egy felhőalapú felügyelt objektum felett, és az objektum szolgáltatói forrását Active Directoryra módosítsa. Miután a Azure AD Connect átvette egy objektum jogosultsági forrását, a Azure AD objektumhoz csatolt Active Directory-objektum módosításai felülírják az eredeti Azure AD adatokat , beleértve a jelszókivonatot is, ha a Jelszókivonat szinkronizálása engedélyezve van. A támadók ezzel a képességgel átvehetik a felhőben felügyelt objektumok feletti irányítást. A kockázat csökkentése érdekében tiltsa le a kemény egyezés átvételét.

Az Azure AD Connect által használt SQL-kiszolgáló

  • Az identitásadatok tárolásához az Azure AD Connectnek szüksége van egy SQL Server-adatbázisra. Alapértelmezés szerint egy SQL Server 2019 Express LocalDB (a SQL Server Express egyszerűsített verziója) van telepítve. SQL Server Express 10 GB-os méretkorláttal rendelkezik, amely körülbelül 100 000 objektum kezelését teszi lehetővé. Ha nagyobb mennyiségű címtárobjektumot kell kezelnie, a telepítővarázslót a SQL Server másik telepítésére kell irányítania. A SQL Server telepítése hatással lehet a Azure AD Connect teljesítményére.
  • Ha a SQL Server másik telepítését használja, az alábbi követelmények vonatkoznak:
    • Azure AD Connect 2019 SQL Server-ig támogatja az összes alapvető támogatott SQL Server verziót. A SQL Server-verzió támogatási állapotának ellenőrzéséhez tekintse meg a SQL Server életciklusról szóló cikket. Azure SQL Adatbázis nem támogatott adatbázisként. Ebbe beletartozik az Azure SQL Database és a Azure SQL Managed Instance is.
    • Kis- és nagybetűket nem megkülönböztető SQL-rendezést kell használnia. Ezeket a rendezéseket a rendszer _CI_-val azonosítja a nevükben. A _CS_ által a nevükben azonosított kis- és nagybetűk megkülönböztetése nem támogatott.
    • SQL-példányonként csak egy szinkronizálási motorral rendelkezhet. Az SQL-példány FIM/MIM Sync, DirSync vagy Azure AD-szinkronizáló használatával történő megosztása nem támogatott.

Fiókok

  • Az integrálni kívánt Azure AD bérlőhöz Azure AD globális rendszergazdai vagy hibrid identitáskezelői fiókkal kell rendelkeznie. Ennek a fióknak iskolai vagy szervezeti fióknak kell lennie, és nem lehet Microsoft-fiók.
  • Ha expressz beállításokat használ, vagy a DirSyncről frissít, vállalati rendszergazdai fiókkal kell rendelkeznie a helyi Active Directory.
  • Ha az egyéni beállítások telepítési útvonalát használja, több lehetőség közül választhat. További információ: Egyéni telepítési beállítások.

Kapcsolatok

  • A Azure AD Connect-kiszolgálónak DNS-feloldásra van szüksége az intranethez és az internethez egyaránt. A DNS-kiszolgálónak képesnek kell lennie a nevek feloldására mind a helyi Active Directory, mind a Azure AD végpontokon.

  • Azure AD Csatlakozáshoz hálózati kapcsolat szükséges az összes konfigurált tartományhoz

  • Azure AD Csatlakozáshoz hálózati kapcsolat szükséges az összes konfigurált erdő gyökértartományához

  • Ha tűzfalak vannak az intraneten, és portokat kell megnyitnia a Azure AD Connect-kiszolgálók és a tartományvezérlők között, további információt a Azure AD Csatlakozás portok című témakörben talál.

  • Ha a proxy vagy a tűzfal korlátozza, hogy mely URL-címek érhetők el, meg kell nyitni az Office 365 URL-címekben és IP-címtartományokban dokumentált URL-címeket. Lásd még: A tűzfal vagy proxykiszolgáló Azure Portal URL-címeinek biztonságos listára helyezése.

  • Azure AD Connect (1.1.614.0-s és újabb verzió) alapértelmezés szerint a TLS 1.2-t használja a szinkronizálási motor és a Azure AD közötti kommunikáció titkosításához. Ha a TLS 1.2 nem érhető el a mögöttes operációs rendszeren, Azure AD Connect növekményesen visszaesik a régebbi protokollokra (TLS 1.1 és TLS 1.0). A Azure AD Connect 2.0-s verziójától kezdve. A TLS 1.0 és 1.1 már nem támogatott, és a telepítés sikertelen lesz, ha a TLS 1.2 nincs engedélyezve.

  • Az 1.1.614.0-s verzió előtt a Azure AD Connect alapértelmezés szerint a TLS 1.0-t használja a szinkronizálási motor és a Azure AD közötti kommunikáció titkosításához. A TLS 1.2-re való váltáshoz kövesse a TLS 1.2 engedélyezése Azure AD Connecthez című cikkben leírt lépéseket.

  • Ha kimenő proxyt használ az internethez való csatlakozáshoz, a telepítővarázslónak hozzá kell adnia a következő beállítást a C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config fájlban, és Azure AD Csatlakozás szinkronizálása lehetőséget az internethez való csatlakozáshoz és a Azure AD. Ezt a szöveget a fájl alján kell megadni. Ebben a kódban a <PROXYADDRESS> a tényleges proxy IP-címet vagy állomásnevet jelöli.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ha a proxykiszolgáló hitelesítést igényel, a szolgáltatásfióknak a tartományban kell lennie. Egyéni szolgáltatásfiók megadásához használja a testreszabott beállítások telepítési útvonalát. A machine.config másik módosításra is szüksége lesz. A machine.config változásával a telepítővarázsló és a szinkronizálási motor válaszol a proxykiszolgálótól érkező hitelesítési kérelmekre. A telepítővarázsló összes lapján a Konfigurálás lap kivételével a rendszer a bejelentkezett felhasználó hitelesítő adatait használja. A telepítővarázsló végén található Konfigurálás lapon a környezet a létrehozott szolgáltatásfiókra vált. A machine.config szakasznak így kell kinéznie:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ha a proxykonfiguráció egy meglévő beállításban van végrehajtva, a Microsoft Azure AD Sync szolgáltatást egyszer újra kell indítani, hogy a Azure AD Connect beolvassa a proxykonfigurációt, és frissítse a viselkedést.

  • Ha Azure AD Connect webkérelmet küld Azure AD a címtár-szinkronizálás részeként, Azure AD akár 5 percet is igénybe vehet a válaszadás. A proxykiszolgálók esetében gyakran előfordul, hogy a kapcsolat tétlen időtúllépési konfigurációja van. Győződjön meg arról, hogy a konfiguráció legalább 6 percre van beállítva.

További információ: MSDN az alapértelmezett proxyelemről. Ha csatlakozási problémákat tapasztal, további információt a Csatlakozási problémák elhárítása című témakörben talál.

Egyéb

Nem kötelező: A szinkronizálás ellenőrzéséhez használjon tesztfelhasználói fiókot.

Összetevő előfeltételei

PowerShell és .NET-keretrendszer

Azure AD Connect a Microsoft PowerShell 5.0-s és .NET-keretrendszer 4.5.1-.NET-keretrendszer függ. Ezt a verziót vagy egy újabb verziót kell telepítenie a kiszolgálóra.

A TLS 1.2 engedélyezése Azure AD Connecthez

Az 1.1.614.0-s verzió előtt a Azure AD Connect alapértelmezés szerint a TLS 1.0-t használja a szinkronizálási motorkiszolgáló és a Azure AD közötti kommunikáció titkosításához. A .NET-alkalmazások konfigurálhatók úgy, hogy alapértelmezés szerint a TLS 1.2-t használják a kiszolgálón. További információ a TLS 1.2-ről: Microsoft Security Advisory 2960358.

  1. Győződjön meg arról, hogy a .NET 4.5.1 gyorsjavítás telepítve van az operációs rendszerhez. További információ: Microsoft Security Advisory 2960358. Előfordulhat, hogy már telepítve van ez a gyorsjavítás vagy egy újabb kiadás a kiszolgálón.

  2. Az összes operációs rendszer esetében állítsa be ezt a beállításkulcsot, és indítsa újra a kiszolgálót.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Ha a szinkronizálómotor-kiszolgáló és egy távoli SQL Server között is engedélyezni szeretné a TLS 1.2-t, győződjön meg arról, hogy telepítve vannak a Microsoft SQL Server TLS 1.2-támogatásához szükséges verziók.

A DCOM előfeltételei a szinkronizálási kiszolgálón

A szinkronizálási szolgáltatás telepítése során a Azure AD Connect a következő beállításkulcs meglétét ellenőrzi:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Ebben a beállításkulcsban Azure AD Connect ellenőrzi, hogy a következő értékek vannak-e jelen, és nincsenek-e javítva:

Az összevonás telepítésének és konfigurálásának előfeltételei

Rendszerfelügyeleti webszolgáltatások

Ha a Azure AD Connectet használja az AD FS vagy a webes alkalmazásproxy (WAP) üzembe helyezéséhez, ellenőrizze az alábbi követelményeket:

  • Ha a célkiszolgáló tartományhoz csatlakozik, győződjön meg arról, hogy a Távoli Windows-felügyelet engedélyezve van.
    • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Enable-PSRemoting –force.
  • Ha a célkiszolgáló nem tartományhoz csatlakoztatott WAP-gép, néhány további követelmény is teljesül:
    • A célgépen (WAP-gépen):
      • Győződjön meg arról, hogy a Windows Remote Management/WS-Management (WinRM) szolgáltatás fut a Szolgáltatások beépülő modulon keresztül.
      • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Enable-PSRemoting –force.
    • Azon a gépen, amelyen a varázsló fut (ha a célgép nem tartományhoz csatlakozik, vagy nem megbízható tartomány):
      • Egy emelt szintű PowerShell-parancsablakban használja a parancsot Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
      • A kiszolgálókezelőben:
        • Adjon hozzá egy DMZ WAP-gazdagépet egy gépkészlethez. A kiszolgálókezelőben válassza aKiszolgálók hozzáadásakezelése> lehetőséget, majd használja a DNS lapot.
        • A Kiszolgálókezelő Minden kiszolgáló lapon kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Kezelés másként parancsot. Adja meg a WAP-gép helyi (nem tartományi) hitelesítő adatait.
        • A távoli PowerShell-kapcsolat ellenőrzéséhez a Kiszolgálókezelő Minden kiszolgáló lapon kattintson a jobb gombbal a WAP-kiszolgálóra, és válassza a Windows PowerShell lehetőséget. Meg kell nyitni egy távoli PowerShell-munkamenetet, hogy a távoli PowerShell-munkamenetek létre legyenek hozva.

TLS-/SSL-tanúsítványkövetelmények

  • Javasoljuk, hogy ugyanazt a TLS-/SSL-tanúsítványt használja az AD FS-farm összes csomópontján és az összes webes alkalmazásproxy-kiszolgálón.
  • A tanúsítványnak X509-tanúsítványnak kell lennie.
  • Tesztkörnyezetben önaláírt tanúsítványt használhat összevonási kiszolgálókon. Éles környezetben azt javasoljuk, hogy szerezze be a tanúsítványt egy nyilvános hitelesítésszolgáltatótól.
    • Ha olyan tanúsítványt használ, amely nem nyilvánosan megbízható, győződjön meg arról, hogy az egyes webes alkalmazásproxy-kiszolgálókra telepített tanúsítvány megbízható mind a helyi kiszolgálón, mind az összes összevonási kiszolgálón.
  • A tanúsítvány identitásának meg kell egyeznie az összevonási szolgáltatás nevével (például sts.contoso.com).
    • Az identitás vagy egy dNSName típusú tulajdonos alternatív neve (SAN), vagy ha nincsenek SAN-bejegyzések, a tulajdonos neve köznapi névként van megadva.
    • A tanúsítványban több SAN-bejegyzés is szerepelhet, feltéve, hogy az egyik megfelel az összevonási szolgáltatás nevének.
    • Ha a Munkahelyi csatlakozást tervezi használni, egy további SAN-ra van szükség az enterpriseregistration értékkel, amelyet a szervezet egyszerű felhasználóneve (UPN) utótagja követ, például enterpriseregistration.contoso.com.
  • A CryptoAPI következő generációs kulcsokon és kulcstároló-szolgáltatókon (KSP-k) alapuló tanúsítványok nem támogatottak. Ennek eredményeképpen a titkosítási szolgáltatón (CSP) alapuló tanúsítványt kell használnia, nem pedig KSP-t.
  • A helyettesítőkártyás tanúsítványok támogatottak.

Összevonási kiszolgálók névfeloldás

  • Állítson be DNS-rekordokat az AD FS-névhez (például sts.contoso.com) az intranethez (a belső DNS-kiszolgálóhoz) és az extranethez (a tartományregisztrálón keresztüli nyilvános DNS-hez). Az intranetes DNS-rekord esetében győződjön meg arról, hogy A rekordokat használ, nem pedig CNAME rekordokat. Az A rekordok használata szükséges ahhoz, hogy a Windows-hitelesítés megfelelően működjön a tartományhoz csatlakoztatott gépről.
  • Ha több AD FS-kiszolgálót vagy webes alkalmazásproxy-kiszolgálót helyez üzembe, győződjön meg arról, hogy konfigurálta a terheléselosztót, és hogy az AD FS-név DNS-rekordjai (például sts.contoso.com) a terheléselosztóra mutatnak.
  • Ahhoz, hogy a Windows integrált hitelesítése az Internet Explorert használó böngészőalkalmazások esetében működjön az intraneten, győződjön meg arról, hogy az AD FS neve (például sts.contoso.com) hozzá van adva az Internet Explorer intranetes zónájához. Ez a követelmény Csoportházirend keresztül vezérelhető, és üzembe helyezhető az összes tartományhoz csatlakoztatott számítógépen.

Azure AD Csatlakozás támogató összetevőkhöz

Azure AD Connect a következő összetevőket telepíti arra a kiszolgálóra, amelyen a Azure AD Connect telepítve van. Ez a lista egy alapszintű Express-telepítéshez készült. Ha másik SQL Server használ a Szinkronizálási szolgáltatások telepítése lapon, az SQL Express LocalDB nincs helyileg telepítve.

  • Azure AD Connect Health
  • Microsoft SQL Server 2019 parancssori segédprogramok
  • Microsoft SQL Server 2019 Express LocalDB
  • Microsoft SQL Server 2019 natív ügyfél
  • Microsoft Visual C++ 14 újraterjesztési csomag

A Azure AD Connect hardverkövetelményei

Az alábbi táblázat a Azure AD Connect szinkronizálási számítógép minimális követelményeit mutatja be.

Objektumok száma az Active Directoryban CPU Memory (Memória) Merevlemez mérete
Kevesebb mint 10 000 1,6 GHz 4 GB 70 GB
10,000–50,000 1,6 GHz 4 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
100 000 vagy több objektum esetén a SQL Server teljes verziójára van szükség. Teljesítménybeli okokból a helyi telepítést részesíti előnyben.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
Több mint 600 000 1,6 GHz 32 GB 500 GB

Az AD FS-t vagy webes alkalmazásproxy kiszolgálókat futtató számítógépek minimális követelményei a következők:

  • CPU: Kétmagos, 1,6 GHz-es vagy újabb
  • Memória: 2 GB vagy nagyobb
  • Azure-beli virtuális gép: A2-konfiguráció vagy újabb

Következő lépések

További információ: Helyszíni identitások integrálása az Azure Active Directoryval.