Vereisten voor Microsoft Entra Connect
In dit artikel worden de vereisten en de hardwarevereisten voor Microsoft Entra Connect beschreven.
Voordat u Microsoft Entra Connect installeert
Voordat u Microsoft Entra Connect installeert, zijn er enkele dingen die u nodig hebt.
Microsoft Entra ID
- U hebt een Microsoft Entra-tenant nodig. U krijgt er een met een gratis proefversie van Azure. U kunt een van de volgende portals gebruiken om Microsoft Entra Connect te beheren:
- Voeg het domein toe en controleer het domein dat u wilt gebruiken in Microsoft Entra-id. Als u bijvoorbeeld van plan bent om contoso.com te gebruiken voor uw gebruikers, moet u ervoor zorgen dat dit domein is geverifieerd en u niet alleen het contoso.onmicrosoft.com standaarddomein gebruikt.
- Een Microsoft Entra-tenant staat standaard 50.000 objecten toe. Wanneer u uw domein verifieert, wordt de limiet verhoogd tot 300.000 objecten. Als u nog meer objecten in Microsoft Entra ID nodig hebt, opent u een ondersteuningsaanvraag om de limiet nog verder te laten toenemen. Als u meer dan 500.000 objecten nodig hebt, hebt u een licentie nodig, zoals Microsoft 365, Microsoft Entra ID P1 of P2 of Enterprise Mobility + Security.
Uw on-premises omgeving voorbereiden
- Gebruik IdFix om fouten te identificeren, zoals duplicaten en opmaakproblemen in uw adreslijst voordat u synchroniseert met Microsoft Entra-id en Microsoft 365.
- Controleer optionele synchronisatiefuncties die u kunt inschakelen in Microsoft Entra ID en evalueer welke functies u moet inschakelen.
On-premises Active Directory
- De schemaversie en het functionele forestniveau van Active Directory moeten Windows Server 2003 of hoger zijn. Op de domeincontrollers kan om het even welke versie worden uitgevoerd zolang de schemaversie- en forestniveau-vereisten worden vervuld. Mogelijk hebt u een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor domeincontrollers met Windows Server 2016 of ouder.
- De domeincontroller die door Microsoft Entra ID wordt gebruikt, moet beschrijfbaar zijn. Het gebruik van een alleen-lezen domeincontroller (RODC) wordt niet ondersteund en Microsoft Entra Connect volgt geen schrijfomleidingen.
- Het gebruik van on-premises forests of domeinen met behulp van 'gestippelde' NetBIOS-namen (d.w.z. namen die een punt bevatten) wordt niet ondersteund.
- U kunt het beste de prullenbak van Active Directory inschakelen.
PowerShell-uitvoeringsbeleid
Microsoft Entra Connect voert ondertekende PowerShell-scripts uit als onderdeel van de installatie. Zorg ervoor dat het PowerShell-uitvoeringsbeleid het uitvoeren van scripts toestaat.
Het aanbevolen uitvoeringsbeleid tijdens de installatie is 'RemoteSigned'.
Zie Set-ExecutionPolicy voor meer informatie over het instellen van het PowerShell-uitvoeringsbeleid.
Microsoft Entra Connect-server
De Microsoft Entra Connect-server bevat kritieke identiteitsgegevens. Het is belangrijk dat beheerderstoegang tot deze server goed is beveiligd. Volg de richtlijnen in Het beveiligen van bevoegde toegang.
De Microsoft Entra Connect-server moet worden behandeld als een laag 0-onderdeel, zoals beschreven in het Active Directory-beheerlaagmodel. We raden u aan de Microsoft Entra Connect-server te beveiligen als een activum voor besturingsvlak door de richtlijnen in Secure Privileged Access te volgen
Zie Best practices voor het beveiligen van Active Directory voor meer informatie over het beveiligen van uw Active Directory-omgeving.
Vereisten voor de installatie
- Microsoft Entra Connect moet zijn geïnstalleerd op een Windows Server 2016 of hoger die lid is van een domein. U wordt aangeraden Windows Server 2022 te gebruiken die lid zijn van een domein. U kunt Microsoft Entra Connect implementeren op Windows Server 2016. Aangezien Windows Server 2016 echter uitgebreide ondersteuning heeft, hebt u mogelijk een betaald ondersteuningsprogramma nodig als u ondersteuning voor deze configuratie nodig hebt.
- De minimaal vereiste .NET Framework-versie is 4.6.2 en nieuwere versies van .NET worden ook ondersteund. .NET versie 4.8 en hoger biedt de beste toegankelijkheidscompatibiliteit.
- Microsoft Entra Connect kan niet worden geïnstalleerd op Small Business Server of Windows Server Essentials voor 2019 (Windows Server Essentials 2019 wordt ondersteund). De server moet Windows Server standaard of beter gebruiken.
- Op de Microsoft Entra Connect-server moet een volledige GUI zijn geïnstalleerd. Het installeren van Microsoft Entra Connect in Windows Server Core wordt niet ondersteund.
- Op de Microsoft Entra Connect-server mag powerShell-transcriptiegroepsbeleid niet zijn ingeschakeld als u de Microsoft Entra Connect-wizard gebruikt om ad FS-configuratie (Active Directory Federation Services) te beheren. U kunt PowerShell-transcriptie inschakelen als u de wizard Microsoft Entra Connect gebruikt om de synchronisatieconfiguratie te beheren.
- Zorg ervoor dat MSOnline PowerShell (MSOL) niet is geblokkeerd op tenantniveau.
- Als AD FS wordt geïmplementeerd:
- De servers waarop AD FS of Web Application Proxy zijn geïnstalleerd, moeten Windows Server 2012 R2 of hoger zijn. Extern beheer van Windows moet zijn ingeschakeld op deze servers voor externe installatie. Mogelijk hebt u een betaald ondersteuningsprogramma nodig als u ondersteuning nodig hebt voor Windows Server 2016 en ouder.
- U moet TLS-/SSL-certificaten configureren. Zie SSL/TLS-protocollen en suites met coderingsmethoden beheren voor AD FS en SSL-certificaten beheren in AD FS voor meer informatie.
- U moet naamomzetting configureren.
- U hebt een account met de rol globale beheerder of een account met de hybride identiteitsbeheerder en de domeinnaambeheerder rollen nodig. Voor de configuraties met betrekking tot federatie zijn machtigingen vereist die de hybride identiteitsbeheerder momenteel niet heeft, maar wel de domeinnaambeheerder rol.
- Het wordt niet ondersteund om verkeer tussen Microsoft Entra Connect en Microsoft Entra ID te verbreken en te analyseren. Hierdoor kan de service worden onderbroken.
- Als MFA is ingeschakeld voor uw hybride identiteitsbeheerders, moet de URL
https://secure.aadcdn.microsoftonline-p.com
in de lijst met vertrouwde sites staan. U wordt gevraagd deze site toe te voegen aan de lijst met vertrouwde sites wanneer u wordt gevraagd om een MFA-uitdaging en deze nog niet is toegevoegd. U kunt Internet Explorer gebruiken om deze toe te voegen aan uw vertrouwde sites. - Als u Microsoft Entra Connect Health wilt gebruiken voor synchronisatie, moet u een globale beheerdersaccount gebruiken om Microsoft Entra Connect Sync te installeren. Als u een hybride beheerdersaccount gebruikt, wordt de agent geïnstalleerd, maar heeft deze de status Uitgeschakeld. Zie De installatie van de Microsoft Entra Connect Health-agent voor meer informatie.
Uw Microsoft Entra Connect-server beveiligen
U wordt aangeraden uw Microsoft Entra Connect-server te beveiligen om de kwetsbaarheid voor beveiligingsaanvallen voor dit kritieke onderdeel van uw IT-omgeving te verminderen. Als u deze aanbevelingen volgt, kunt u enkele beveiligingsrisico's voor uw organisatie beperken.
- U wordt aangeraden de Microsoft Entra Connect-server te beveiligen als een Besturingsvlakasset (voorheen Laag 0) door de richtlijnen te volgen in het model secure privileged Access en Active Directory-beheerlaag.
- Beperk beheerderstoegang tot de Microsoft Entra Connect-server tot alleen domeinbeheerders of andere nauw beheerde beveiligingsgroepen.
- Maak een speciaal account voor alle werknemers met bevoegde toegang. Beheerders mogen niet op internet surfen, hun e-mail controleren en dagelijkse productiviteitstaken uitvoeren met zeer bevoegde accounts.
- Volg de richtlijnen in Het beveiligen van bevoegde toegang.
- Gebruik van NTLM-verificatie weigeren met de Microsoft Entra Connect-server. Hier volgen enkele manieren om dit te doen: NTLM beperken op de Microsoft Entra Connect-server en NTLM beperken in een domein
- Zorg ervoor dat elke computer een uniek lokaal beheerderswachtwoord heeft. Zie Local Administrator Password Solution (Windows LAPS) voor meer informatie over het configureren van unieke willekeurige wachtwoorden op elk werkstation en de server slaat deze op in Active Directory die wordt beveiligd door een ACL. Alleen in aanmerking komende gemachtigde gebruikers kunnen het opnieuw instellen van deze lokale beheerdersaccountwachtwoorden lezen of aanvragen. Aanvullende richtlijnen voor het gebruik van een omgeving met Windows LAPS en bevoegde toegangswerkstations (PAW's) vindt u in operationele standaarden op basis van het schone bronprincipe.
- Implementeer toegewezen bevoegde toegangswerkstations voor alle werknemers met bevoegde toegang tot de informatiesystemen van uw organisatie.
- Volg deze aanvullende richtlijnen om de kwetsbaarheid voor aanvallen van uw Active Directory-omgeving te verminderen.
- Volg de wijzigingen in de federatieconfiguratie controleren om waarschuwingen in te stellen voor het controleren van wijzigingen in de vertrouwensrelatie tussen uw Idp en Microsoft Entra-id.
- Schakel Meervoudige verificatie (MFA) in voor alle gebruikers met uitgebreide toegang in Microsoft Entra ID of in AD. Een beveiligingsprobleem met het gebruik van Microsoft Entra Connect is dat als een aanvaller controle kan krijgen over de Microsoft Entra Connect-server, gebruikers in Microsoft Entra ID kan manipuleren. Om te voorkomen dat een aanvaller deze mogelijkheden gebruikt om Microsoft Entra-accounts over te nemen, biedt MFA beveiliging, zodat zelfs als een aanvaller dit beheert, zoals het opnieuw instellen van het wachtwoord van een gebruiker met Behulp van Microsoft Entra Connect, ze de tweede factor nog steeds niet kunnen omzeilen.
- Schakel Soft Matching in uw tenant uit. Soft Matching is een uitstekende functie voor het overdragen van de bron van autoriteit voor bestaande in de cloud beheerde objecten naar Microsoft Entra Connect, maar het wordt geleverd met bepaalde beveiligingsrisico's. Als u deze niet nodig hebt, moet u Soft Matching uitschakelen.
- Schakel de overname van harde overeenkomsten uit. Met de overname van harde overeenkomsten kan Microsoft Entra Connect de controle overnemen over een door de cloud beheerd object en de bron van autoriteit voor het object wijzigen in Active Directory. Zodra de bron van autoriteit van een object wordt overgenomen door Microsoft Entra Connect, overschrijven wijzigingen die zijn aangebracht in het Active Directory-object dat is gekoppeld aan het Microsoft Entra-object de oorspronkelijke Microsoft Entra-gegevens, inclusief de wachtwoordhash, mits Wachtwoordhash-synchronisatie is ingeschakeld. Een aanvaller kan deze mogelijkheid gebruiken om de controle over door de cloud beheerde objecten over te nemen. Als u dit risico wilt beperken, schakelt u de overname van harde overeenkomsten uit.
SQL Server die wordt gebruikt door Microsoft Entra Connect
- Microsoft Entra Connect vereist een SQL Server-database voor het opslaan van identiteitsgegevens. Standaard is er een SQL Server 2019 Express LocalDB (een light-versie van SQL Server Express) geïnstalleerd. SQL Server Express heeft een maximale grootte van 10 GB waarmee u ongeveer 100.000 objecten kunt beheren. Als u een hoger volume mapobjecten wilt beheren, wijst u de installatiewizard aan op een andere installatie van SQL Server. Het type SQL Server-installatie kan van invloed zijn op de prestaties van Microsoft Entra Connect.
- Als u een andere installatie van SQL Server gebruikt, zijn deze vereisten van toepassing:
- Microsoft Entra Connect ondersteunt alle gangbare ondersteunde SQL Server-versies tot EN MET SQL Server 2022 die worden uitgevoerd in Windows. Raadpleeg het sql Server-levenscyclusartikel om de ondersteuningsstatus van uw SQL Server-versie te controleren. SQL Server 2012 wordt niet meer ondersteund. Azure SQL Database wordt niet ondersteund als een database. Dit omvat zowel Azure SQL Database en Azure SQL Managed Instance.
- U moet een niet-hoofdlettergevoelige SQL-sortering gebruiken. Deze sorteringen worden geïdentificeerd met een _CI_ in hun naam. Het gebruik van een hoofdlettergevoelige sortering die door _CS_ in de naam wordt geïdentificeerd, wordt niet ondersteund.
- U kunt slechts één synchronisatie-engine per SQL-exemplaar hebben. Het delen van een SQL-exemplaar met MIM Sync, DirSync of Azure AD Sync wordt niet ondersteund.
- ONDERHOUD ODBC-stuurprogramma voor SQL Server versie 17 en OLE DB-stuurprogramma voor SQL Server versie 18 die zijn gebundeld met Microsoft Entra Connect. Het upgraden van primaire of secundaire versies van ODBC-/OLE DB-stuurprogramma's wordt niet ondersteund. Het microsoft Entra Connect-productgroepteam bevat nieuwe ODBC-/OLE DB-stuurprogramma's zodra deze beschikbaar komen en moeten worden bijgewerkt.
Notitie
Als u SQL installeert op dezelfde server als Microsoft Entra Connect, raden we u aan OM SQL te configureren om het maximale geheugen te beperken dat door het systeem kan worden gebruikt. Volg SQL best practices voor geheugenconfiguratie.
Accounts
- U moet een Microsoft Entra Global Administrator-account of hybride identiteitsbeheerderaccount hebben voor de Microsoft Entra-tenant waarmee u wilt integreren. Dit account moet een school- of organisatieaccount zijn en kan geen Microsoft-account zijn.
- Als u federatie configureert met AD FS of PingFederate, hebt u een account met de rol globale beheerder of een account met de hybride identiteitsbeheerder en de domeinnaambeheerder rollen nodig. Voor de configuraties met betrekking tot federatie zijn machtigingen vereist die de hybride identiteitsbeheerder momenteel niet heeft, maar wel de domeinnaambeheerder rol.
- Als u snelle instellingen gebruikt of een upgrade uitvoert van DirSync, moet u een Enterprise Administrator-account hebben voor uw on-premises Active Directory.
- Als u het installatiepad voor aangepaste instellingen gebruikt, hebt u meer opties. Zie Aangepaste installatie-instellingen voor meer informatie.
Connectiviteit
- De Microsoft Entra Connect-server heeft DNS-omzetting nodig voor zowel intranet als internet. De DNS-server moet namen kunnen omzetten in zowel uw on-premises Active Directory als de Microsoft Entra-eindpunten.
- Microsoft Entra Connect vereist netwerkconnectiviteit met alle geconfigureerde domeinen
- Microsoft Entra Connect vereist netwerkconnectiviteit met het hoofddomein van alle geconfigureerde forests
- Als u firewalls op uw intranet hebt en u poorten tussen de Microsoft Entra Connect-servers en uw domeincontrollers moet openen, raadpleegt u Microsoft Entra Connect-poorten voor meer informatie.
- Als uw proxy of firewall beperkt welke URL's kunnen worden geopend, moeten de URL's die worden beschreven in Office 365 URL's en IP-adresbereiken worden geopend. Zie ook safelist de URL's van het Microsoft Entra-beheercentrum op uw firewall of proxyserver.
- Als u de Microsoft-cloud in Duitsland of de Microsoft Azure Government-cloud gebruikt, raadpleegt u overwegingen voor service-exemplaren van Microsoft Entra Connect Sync voor URL's.
- Microsoft Entra Connect (versie 1.1.614.0 en later) maakt standaard gebruik van TLS 1.2 voor het versleutelen van de communicatie tussen de synchronisatie-engine en de Microsoft Entra-id. Als TLS 1.2 niet beschikbaar is op het onderliggende besturingssysteem, valt Microsoft Entra Connect incrementeel terug op oudere protocollen (TLS 1.1 en TLS 1.0). Vanaf Microsoft Entra Connect versie 2.0. TLS 1.0 en 1.1 worden niet meer ondersteund en de installatie mislukt als TLS 1.2 niet is ingeschakeld.
- Vóór versie 1.1.614.0 gebruikt Microsoft Entra Connect standaard TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engine en de Microsoft Entra-id. Als u wilt overschakelen naar TLS 1.2, volgt u de stappen in TLS 1.2 inschakelen voor Microsoft Entra Connect.
Belangrijk
Versie 2.3.20.0 is een beveiligingsupdate. Met deze update vereist Microsoft Entra Connect TLS 1.2. Zorg ervoor dat TLS 1.2 is ingeschakeld voordat u deze versie bijwerkt.
Alle versies van Windows Server ondersteunen TLS 1.2. Als TLS 1.2 niet is ingeschakeld op uw server, moet u dit inschakelen voordat u Microsoft Entra Connect V2.0 kunt implementeren.
Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2. Zie voor meer informatie over het inschakelen van TLS 1.2 hoe u TLS 1.2 inschakelt
Als u een uitgaande proxy gebruikt om verbinding te maken met internet, moet de volgende instelling in de C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config-bestand worden toegevoegd voor de installatiewizard en Microsoft Entra Connect Sync om verbinding te kunnen maken met internet en Microsoft Entra ID. Deze tekst moet onder aan het bestand worden ingevoerd. In deze code vertegenwoordigt <PROXYADDRESS> het werkelijke IP-adres van de proxy of de hostnaam.
<system.net> <defaultProxy> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Als voor uw proxyserver verificatie is vereist, moet het serviceaccount zich in het domein bevinden. Gebruik het installatiepad voor aangepaste instellingen om een aangepast serviceaccount op te geven. U hebt ook een andere wijziging nodig voor machine.config. Met deze wijziging in machine.config reageren de installatiewizard en synchronisatie-engine op verificatieaanvragen van de proxyserver. Op alle pagina's van de installatiewizard, met uitzondering van de pagina Configureren, worden de aanmeldingsgegevens van de aangemelde gebruiker gebruikt. Op de pagina Configureren aan het einde van de installatiewizard wordt de context overgeschakeld naar het serviceaccount dat u hebt gemaakt. De sectie machine.config zou er zo uit moeten zien:
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Als de proxyconfiguratie wordt uitgevoerd in een bestaande installatie, moet de Microsoft Entra ID Sync-service eenmaal opnieuw worden opgestart voor de Microsoft Entra Connect om de proxyconfiguratie te lezen en het gedrag bij te werken.
Wanneer Microsoft Entra Connect een webaanvraag naar Microsoft Entra ID verzendt als onderdeel van adreslijstsynchronisatie, kan het tot vijf minuten duren voordat Microsoft Entra ID reageert. Het is gebruikelijk dat proxyservers een time-outconfiguratie voor inactieve verbindingen hebben. Zorg ervoor dat de configuratie is ingesteld op ten minste zes minuten of meer.
Zie MSDN voor meer informatie over het standaardproxy-element. Voor meer informatie bij problemen met de connectiviteit, raadpleegt u Connectiviteitsproblemen oplossen.
Overige
Optioneel: gebruik een testgebruikersaccount om de synchronisatie te verifiëren.
Onderdelenvereisten
PowerShell en .NET Framework
Microsoft Entra Connect is afhankelijk van Microsoft PowerShell 5.0 en .NET Framework 4.5.1. U hebt deze versie of een latere versie op uw server nodig.
TLS 1.2 inschakelen voor Microsoft Entra Connect
Belangrijk
Versie 2.3.20.0 is een beveiligingsupdate. Met deze update vereist Microsoft Entra Connect TLS 1.2. Zorg ervoor dat TLS 1.2 is ingeschakeld voordat u deze versie bijwerkt.
Alle versies van Windows Server ondersteunen TLS 1.2. Als TLS 1.2 niet is ingeschakeld op uw server, moet u dit inschakelen voordat u Microsoft Entra Connect V2.0 kunt implementeren.
Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2. Zie voor meer informatie over het inschakelen van TLS 1.2 hoe u TLS 1.2 inschakelt
Vóór versie 1.1.614.0 gebruikt Microsoft Entra Connect standaard TLS 1.0 voor het versleutelen van de communicatie tussen de synchronisatie-engineserver en Microsoft Entra-id. U kunt .NET-toepassingen configureren om standaard TLS 1.2 op de server te gebruiken. Zie Microsoft Security Advisory 2960358 voor meer informatie over TLS 1.2.
Zorg ervoor dat de hotfix .NET 4.5.1 is geïnstalleerd voor uw besturingssysteem. Zie Microsoft Security Advisory 2960358 voor meer informatie. Mogelijk hebt u deze hotfix of een latere release al op uw server geïnstalleerd.
Stel voor alle besturingssystemen deze registersleutel in en start de server opnieuw op.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
Als u TLS 1.2 ook wilt inschakelen tussen de synchronisatie-engineserver en een externe SQL Server, moet u ervoor zorgen dat de vereiste versies zijn geïnstalleerd voor TLS 1.2-ondersteuning voor Microsoft SQL Server.
Zie voor meer informatie over het inschakelen van TLS 1.2
DCOM-vereisten op de synchronisatieserver
Tijdens de installatie van de synchronisatieservice controleert Microsoft Entra Connect op de aanwezigheid van de volgende registersleutel:
- HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
Onder deze registersleutel controleert Microsoft Entra Connect of de volgende waarden aanwezig zijn en niet beschadigd zijn.
Vereisten voor federatie-installatie en configuratie
Belangrijk
Houd er rekening mee dat, als u federatie configureert met AD FS of PingFederate, u een account nodig heeft met de rol globale beheerder, of een account met de hybride identiteitsbeheerder en domeinnaambeheerder rollen. Voor de configuraties met betrekking tot federatie zijn machtigingen vereist die de hybride identiteitsbeheerder momenteel niet heeft, maar wel de domeinnaambeheerder rol.
Windows Remote Management
Wanneer u Microsoft Entra Connect gebruikt om AD FS of het Web toepassingsproxy (WAP) te implementeren, controleert u de volgende vereisten:
- Als de doelserver lid is van een domein, controleert u of Windows Remote Managed is ingeschakeld.
- Gebruik de opdracht
Enable-PSRemoting –force
in een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
- Gebruik de opdracht
- Als de doelserver een niet aan een domein gekoppelde WAP-machine is, zijn er enkele aanvullende vereisten:
- Op de doelcomputer (WAP-machine):
- Zorg ervoor dat de WinRM-service (Windows Remote Management/WS-Management) wordt uitgevoerd via de module Services.
- Gebruik de opdracht
Enable-PSRemoting –force
in een PowerShell-opdrachtvenster met verhoogde bevoegdheid.
- Op de computer waarop de wizard wordt uitgevoerd (als de doelcomputer niet lid is van een domein of een niet-vertrouwd domein is):
- Gebruik de opdracht
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate
in een PowerShell-opdrachtvenster met verhoogde bevoegdheid. - In serverbeheer:
- Voeg een DMZ WAP-host toe aan een machinegroep. Selecteer in serverbeheer Beheren>Servers toevoegen en gebruik vervolgens het tabblad DNS.
- Klik op het tabblad Serverbeheer Alle servers met de rechtermuisknop op de WAP-server en selecteer Beheren als. Voer lokale aanmeldingsgegevens (niet voor domein) in voor de WAP-computer.
- Als u externe PowerShell-connectiviteit wilt valideren, klikt u op het tabblad Serverbeheer Alle servers met de rechtermuisknop op de WAP-server en selecteert u Windows PowerShell. Er moet een externe PowerShell-sessie worden geopend om ervoor te zorgen dat externe PowerShell-sessies tot stand kunnen worden gebracht.
- Gebruik de opdracht
- Op de doelcomputer (WAP-machine):
TLS/SSL-certificaatvereisten
- We raden u aan hetzelfde TLS/SSL-certificaat te gebruiken op alle knooppunten van uw AD FS-farm en alle Web Application Proxy-servers.
- Het certificaat moet een X509-certificaat zijn.
- U kunt een zelfondertekend SSL-certificaat gebruiken op federatieservers in een testomgeving. Voor een productie-omgeving, wordt aangeraden dat u het certificaat van een openbare certificaatinstantie verkrijgen.
- Als u een certificaat gebruikt dat niet openbaar wordt vertrouwd, controleert u of het certificaat dat op elke Web Application Proxy-server is geïnstalleerd, wordt vertrouwd op zowel de lokale server als op alle federatieservers.
- De identiteit van het certificaat moet overeenkomen met de naam van de federatieservice (bijvoorbeeld sts.contoso.com).
- De identiteit is ofwel een SAN-extensie (Subject Alternative Name) van het type dNSName of, als er geen SAN-vermeldingen zijn, de onderwerpnaam wordt opgegeven als een algemene naam.
- Meerdere SAN-vermeldingen kunnen worden gebruikt in het certificaat, mits een van deze overeenkomt met de naam van de federatieservice.
- Als u van plan bent om Workplace Join te gebruiken, is er een extra SAN vereist met de waarde enterpriseregistration. gevolgd door het UPN-achtervoegsel (User Principal Name) van uw organisatie, bijvoorbeeld enterpriseregistration.contoso.com.
- Certificaten op basis van CNG-sleutels (CryptoAPI next generation) en sleutelopslagproviders (KSP's) worden niet ondersteund. Als gevolg hiervan moet u een certificaat gebruiken op basis van een cryptografieprovider (CSP) en geen KSP.
- Certificaten met jokertekens worden ondersteund.
Naamomzetting voor federatieservers
- Stel DNS-records in voor de AD FS-naam (bijvoorbeeld sts.contoso.com) voor zowel het intranet (uw interne DNS-server) als het extranet (openbare DNS via uw domeinregistrar). Zorg ervoor dat u voor de intranet-DNS-record A-records en niet CNAME-records gebruikt. Het gebruik van A-records is vereist voor Windows-verificatie om correct te kunnen werken vanaf uw domein-gekoppelde computer.
- Als u meer dan één AD FS-server of Web Application Proxy-server implementeert, moet u ervoor zorgen dat u uw load balancer hebt geconfigureerd en dat de DNS-records voor de AD FS-naam (bijvoorbeeld sts.contoso.com) verwijzen naar de load balancer.
- Zorg ervoor dat de AD FS-naam (bijvoorbeeld sts.contoso.com) wordt toegevoegd aan de intranetzone in Internet Explorer om geïntegreerde Windows-verificatie te laten werken voor browsertoepassingen met behulp van Internet Explorer. Deze vereiste kan worden beheerd via groepsbeleid en geïmplementeerd op al uw domein-gekoppelde computers.
Ondersteunende onderdelen van Microsoft Entra Connect
Microsoft Entra Connect installeert de volgende onderdelen op de server waarop Microsoft Entra Connect is geïnstalleerd. Deze lijst is bedoeld voor een eenvoudige Express-installatie. Als u een andere SQL Server wilt gebruiken op de pagina Synchronisatieservices installeren, wordt SQL Express LocalDB niet lokaal geïnstalleerd.
- Microsoft Entra Connect Health
- Microsoft SQL Server 2022 Opdrachtregelprogramma's
- Microsoft SQL Server 2022 Express LocalDB
- Microsoft SQL Server 2022 Native Client
- Microsoft Visual C++ 14 Redistribution Package
Hardwarevereisten voor Microsoft Entra Connect
In de volgende tabel ziet u de minimale vereisten voor de Microsoft Entra Connect Sync-computer.
Aantal objecten in Active Directory | CPU | Geheugen | Grootte van harde schijf |
---|---|---|---|
Minder dan 10.000 | 1,6 GHz | 6 GB | 70 GB |
10.000 - 50.000 | 1,6 GHz | 6 GB | 70 GB |
50.000 - 100.000 | 1,6 GHz | 16 GB | 100 GB |
Voor 100.000 objecten of meer is de volledige versie van SQL Server vereist. Vanwege prestatieredenen heeft lokale installatie de voorkeur. De volgende waarden zijn alleen geldig voor de installatie van Microsoft Entra Connect. Als SQL Server op dezelfde server is geïnstalleerd, is meer geheugen, station en CPU vereist. | |||
100.000 - 300.000 | 1,6 GHz | 32 GB | 300 GB |
300.000 - 600.000 | 1,6 GHz | 32 GB | 450 GB |
Meer dan 600.000 | 1,6 GHz | 32 GB | 500 GB |
De minimale vereisten voor computers met AD FS of Web Application Proxy-servers zijn:
- CPU: Dual Core 1,6 GHz of hoger
- Geheugen: 2 GB of hoger
- Azure VM: A2-configuratie of hoger
Volgende stappen
Meer informatie over het integreren van uw on-premises identiteiten met Microsoft Entra-id.