Azure AD Connect Önkoşulları

Bu makalede Azure Active Directory (Azure AD) Connect için önkoşullar ve donanım gereksinimleri açıklanmaktadır.

Azure AD Connect'i yüklemeden önce

Azure AD Connect'i yüklemeden önce ihtiyacınız olan birkaç şey vardır.

Azure AD

  • Azure AD kiracınız olması gerekir. Ücretsiz Azure denemesi ile bir tane alırsınız. Azure AD Connect'i yönetmek için aşağıdaki portallardan birini kullanabilirsiniz:
  • Azure AD kullanmayı planladığınız etki alanını ekleyin ve doğrulayın. Örneğin, kullanıcılarınız için contoso.com kullanmayı planlıyorsanız, bu etki alanının doğrulanmış olduğundan ve yalnızca contoso.onmicrosoft.com varsayılan etki alanını kullanmadığınızdan emin olun.
  • Azure AD kiracısı varsayılan olarak 50.000 nesneye izin verir. Etki alanınızı doğruladığınızda, sınır 300.000 nesneye artar. Azure AD'da daha fazla nesneye ihtiyacınız varsa sınırı daha da artırmak için bir destek olayı açın. 500.000'den fazla nesneye ihtiyacınız varsa, Microsoft 365, Azure AD Premium veya Enterprise Mobility + Security gibi bir lisansa ihtiyacınız vardır.

Şirket içi verilerinizi hazırlama

Şirket içi Active Directory

  • Active Directory şema sürümü ve orman düzeyi Windows Server 2003 veya üzeri olmalıdır. Şema sürümü ve orman düzeyi gereksinimleri karşılandığı sürece etki alanı denetleyicileri herhangi bir sürümü çalıştırabilir. Windows Server 2016 veya daha eski çalıştıran etki alanı denetleyicileri için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir.
  • Azure AD tarafından kullanılan etki alanı denetleyicisi yazılabilir olmalıdır. Salt okunur etki alanı denetleyicisinin (RODC) kullanılması desteklenmez ve Azure AD Connect hiçbir yazma yeniden yönlendirmesini izlemez.
  • Şirket içi ormanları veya etki alanlarını "noktalı" kullanarak kullanma (ad bir nokta "içerir.") NetBIOS adları desteklenmez.
  • Active Directory geri dönüşüm kutusunu etkinleştirmenizi öneririz.

PowerShell yürütme ilkesi

Azure Active Directory Connect, yüklemenin bir parçası olarak imzalı PowerShell betikleri çalıştırır. PowerShell yürütme ilkesinin betiklerin çalıştırılmasına izin vereceğinden emin olun.

Yükleme sırasında önerilen yürütme ilkesi "RemoteSigned" şeklindedir.

PowerShell yürütme ilkesini ayarlama hakkında daha fazla bilgi için bkz. Set-ExecutionPolicy.

Azure AD Connect sunucusu

Azure AD Connect sunucusu kritik kimlik verileri içerir. Bu sunucuya yönetici erişiminin düzgün bir şekilde güvenli hale getirilmesi önemlidir. Ayrıcalıklı erişimin güvenliğini sağlama bölümündeki yönergeleri izleyin.

Azure AD Connect sunucusu, Active Directory yönetim katmanı modelinde belgelendiği gibi katman 0 bileşeni olarak kabul edilmelidir. Güvenli Ayrıcalıklı Erişim'de sağlanan yönergeleri izleyerek Azure AD Connect sunucusunu Denetim Düzlemi varlığı olarak sağlamlaştırmanızı öneririz

Active Directory ortamınızın güvenliğini sağlama hakkında daha fazla bilgi edinmek için bkz. Active Directory'yi güvenli hale getirmek için en iyi yöntemler.

Yükleme önkoşulları

  • Azure AD Connect,etki alanına katılmış bir Windows Server 2016 veya sonraki bir sürüme yüklenmelidir. Windows Server 2022'nin henüz desteklenmediğini unutmayın. Windows Server 2016 üzerinde Azure AD Connect dağıtabilirsiniz, ancak WS2016 genişletilmiş destekte olduğundan, bu yapılandırma için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir.
  • Gereken en düşük .Net Framework sürümü 4.6.2'dir ve daha yeni .Net sürümleri de desteklenir.
  • Azure AD Connect, Small Business Server'a veya 2019'Windows Server Essentials önce yüklenemez (Windows Server Essentials 2019 desteklenir). Sunucunun Windows Server standart veya daha iyi bir sürümünü kullanıyor olması gerekir.
  • Azure AD Connect sunucusunda tam gui yüklü olmalıdır. Azure AD Connect'in Windows Server Core'a yüklenmesi desteklenmez.
  • Active Directory Federasyon Hizmetleri (AD FS) (AD FS) yapılandırmasını yönetmek için Azure AD Connect sihirbazını kullanıyorsanız, Azure AD Connect sunucusunda PowerShell Transkripsiyonu grup ilkesi etkinleştirilmemelidir. Eşitleme yapılandırmasını yönetmek için Azure AD Connect sihirbazını kullanıyorsanız PowerShell transkripsiyonunu etkinleştirebilirsiniz.
  • AD FS dağıtılıyorsa:
  • Azure AD Connect ile Azure AD arasındaki trafiği bozmak ve analiz etmek desteklenmez. Bunu yapmak hizmeti kesintiye uğratabilir.
  • Karma Kimlik Yöneticilerinizde MFA etkinleştirildiyse, URL https://secure.aadcdn.microsoftonline-p.com güvenilen siteler listesinde olmalıdır. MFA sınaması istendiğinde ve daha önce eklenmediğinde bu siteyi güvenilen siteler listesine eklemeniz istenir. Internet Explorer'ı kullanarak güvenilen sitelerinize ekleyebilirsiniz.
  • Eşitleme için Azure AD Connect Health kullanmayı planlıyorsanız, Azure AD Connect Health önkoşullarının da karşılandığından emin olun. Daha fazla bilgi için bkz. Connect Health aracısını yükleme Azure AD.

Azure AD Connect sunucunuzu sağlamlaştırma

BT ortamınızın bu kritik bileşeni için güvenlik saldırısı yüzeyini azaltmak için Azure AD Connect sunucunuzu sağlamlaştırmanızı öneririz. Bu önerilerin takip etmek, kuruluşunuz için bazı güvenlik risklerini azaltmaya yardımcı olur.

  • Güvenli Ayrıcalıklı Erişim ve Active Directory yönetim katmanı modelinde sağlanan yönergeleri izleyerek Azure AD Connect sunucusunu Denetim Düzlemi (eski adıyla Katman 0) varlığını sağlamlaştırmanızı öneririz.
  • Azure AD Connect sunucusuna yönetim erişimini yalnızca etki alanı yöneticileri veya sıkı denetimli diğer güvenlik gruplarıyla kısıtlayın.
  • Ayrıcalıklı erişimi olan tüm personel için ayrılmış bir hesap oluşturun. Yöneticiler web'de gezinmemeli, e-postalarını denetlememeli ve yüksek ayrıcalıklı hesaplarla günlük üretkenlik görevleri yapmamalıdır.
  • Ayrıcalıklı erişimin güvenliğini sağlama bölümünde sağlanan yönergeleri izleyin.
  • AADConnect sunucusuyla NTLM kimlik doğrulaması kullanımını reddedin. Bunu yapmanın bazı yolları şunlardır: AADConnect Sunucusunda NTLM'yiKısıtlama ve Etki Alanında NTLM'yi Kısıtlama
  • Her makinenin benzersiz bir yerel yönetici parolası olduğundan emin olun. Daha fazla bilgi için bkz. Yerel Yönetici Parola Çözümü (LAPS), her iş istasyonunda benzersiz rastgele parolalar yapılandırabilir ve sunucu bunları bir ACL tarafından korunan Active Directory'de depolayabilir. Yalnızca uygun yetkili kullanıcılar bu yerel yönetici hesabı parolalarını okuyabilir veya sıfırlama isteğinde bulunabilir. LAPS'yi Microsoft İndirme Merkezi'nden iş istasyonlarında ve sunucularda kullanmak üzere edinebilirsiniz. LAPS ve ayrıcalıklı erişim iş istasyonları (PAW) ile bir ortamı çalıştırmaya yönelik ek yönergeler , temiz kaynak ilkesine dayalı operasyonel standartlarda bulunabilir.
  • Kuruluşunuzun bilgi sistemlerine ayrıcalıklı erişimi olan tüm personel için ayrılmış ayrıcalıklı erişim iş istasyonları uygulayın.
  • Active Directory ortamınızın saldırı yüzeyini azaltmak için bu ek yönergeleri izleyin.
  • Idp ve Azure AD arasında kurulan güven değişikliklerini izlemek üzere uyarıları ayarlamak için Federasyon yapılandırmasındaki değişiklikleri izleme'yi izleyin.
  • Azure AD veya AD'de ayrıcalıklı erişimi olan tüm kullanıcılar için Multi Factor Authentication'ı (MFA) etkinleştirin. AADConnect'i kullanmayla ilgili bir güvenlik sorunu, bir saldırganın Azure AD Connect sunucusu üzerinde denetime sahip olması durumunda kullanıcıları Azure AD'da yönlendirmesidir. Bir saldırganın Azure AD hesaplarını ele geçirmek için bu özellikleri kullanmasını önlemek için, MFA korumalar sunar; böylece bir saldırgan, örneğin Azure AD Connect kullanarak bir kullanıcının parolasını sıfırlamayı başarsa bile ikinci faktörü atlayamaz.
  • Kiracınızda Geçici Eşleştirmeyi devre dışı bırakın. Geçici Eşleştirme, mevcut bulut tarafından yönetilen nesnelerin otomatiklik kaynağının Azure AD Connect'e aktarılmasına yardımcı olmak için harika bir özelliktir, ancak belirli güvenlik riskleriyle birlikte gelir. Gerekli değilse, Geçici Eşleştirme'yi devre dışı bırakmanız gerekir.
  • Sabit Eşleşme Devralma özelliğini devre dışı bırakın. Sabit eşleşme devralma, Azure AD Connect'in bulut tarafından yönetilen bir nesnenin denetimini almasını ve nesnenin yetki kaynağını Active Directory olarak değiştirmesini sağlar. Bir nesnenin yetki kaynağı Azure AD Connect tarafından devralındıktan sonra, Azure AD nesnesine bağlı Active Directory nesnesinde yapılan değişiklikler, Parola Karması Eşitleme etkinse, parola karması da dahil olmak üzere özgün Azure AD verilerinin üzerine yazılır. Bir saldırgan, bulut tarafından yönetilen nesnelerin denetimini ele geçirmek için bu özelliği kullanabilir. Bu riski azaltmak için , sabit eşleşme devralmayı devre dışı bırakın.

Azure AD Connect tarafından kullanılan SQL Server

  • Azure AD Connect’e kimlik verilerini depolamak için bir SQL Server veritabanı gerekiyor. Varsayılan olarak, bir SQL Server 2019 Express LocalDB (SQL Server Express basit sürümü) yüklenir. SQL Server Express, yaklaşık 100.000 nesneyi yönetmenizi sağlayan 10 GB boyut sınırına sahiptir. Daha yüksek bir dizin nesnesi hacmini yönetmeniz gerekiyorsa, yükleme sihirbazını farklı bir SQL Server yüklemesine işaret edin. SQL Server yükleme türü, Azure AD Connect'in performansını etkileyebilir.
  • Farklı bir SQL Server yüklemesi kullanıyorsanız, bu gereksinimler geçerlidir:
    • Azure AD Connect, SQL Server 2019'a kadar desteklenen tüm temel SQL Server sürümlerini destekler. SQL Server sürümünüzün destek durumunu doğrulamak için lütfen SQL Server yaşam döngüsü makalesine bakın. Azure SQL Veritabanı veritabanı olarak desteklenmez. Buna hem Azure SQL Veritabanı hem de Azure SQL Yönetilen Örneği dahildir.
    • Büyük/küçük harfe duyarlı olmayan bir SQL harmanlaması kullanmanız gerekir. Bu harmanlamalar adında bir _CI_ ile tanımlanır. Adında _CS_ tarafından tanımlanan büyük/küçük harfe duyarlı harmanlama kullanılması desteklenmez.
    • SQL örneği başına yalnızca bir eşitleme altyapınız olabilir. BIR SQL örneğini FIM/MIM Sync, DirSync veya Azure AD Eşitleme ile paylaşmak desteklenmez.

Hesaplar

  • Tümleştirmek istediğiniz Azure AD kiracı için bir Azure AD Genel Yönetici hesabınız veya Karma Kimlik Yöneticisi hesabınız olmalıdır. Bu hesabın bir okul veya kuruluş hesabı olması gerekir ve Microsoft hesabı olamaz.
  • DirSync'ten hızlı ayarlar veya yükseltme kullanıyorsanız, şirket içi Active Directory için bir Kuruluş Yöneticisi hesabınız olmalıdır.
  • Özel ayarlar yükleme yolunu kullanırsanız, daha fazla seçeneğiniz vardır. Daha fazla bilgi için bkz . Özel yükleme ayarları.

Bağlantı

  • Azure AD Connect sunucusu hem intranet hem de internet için DNS çözümlemesine ihtiyaç duyar. DNS sunucusunun adları hem şirket içi Active Directory hem de Azure AD uç noktalarına çözümleyebilmesi gerekir.

  • Azure AD Connect tüm yapılandırılmış etki alanlarına ağ bağlantısı gerektirir

  • Azure AD Connect, yapılandırılmış tüm ormanın kök etki alanına ağ bağlantısı gerektirir

  • İntranetinizde güvenlik duvarları varsa ve Connect sunucuları ile etki alanı denetleyicileriniz arasındaki bağlantı noktalarını açmanız Azure AD daha fazla bilgi için bkz. Bağlantı noktalarını bağlama Azure AD.

  • Ara sunucunuz veya güvenlik duvarınız erişilebilen URL'leri sınırlarsa, Office 365 URL'lerde ve IP adresi aralıklarında belgelenen URL'ler açılmalıdır. Ayrıca bkz. Güvenlik duvarınızda veya ara sunucunuzda Azure portal URL'lerini güvenli bir şekilde listeleme.

  • Azure AD Connect (sürüm 1.1.614.0 ve sonrası) varsayılan olarak eşitleme altyapısı ile Azure AD arasındaki iletişimi şifrelemek için TLS 1.2 kullanır. Temel alınan işletim sisteminde TLS 1.2 kullanılamıyorsa, Azure AD Connect artımlı olarak eski protokollere (TLS 1.1 ve TLS 1.0) geri döner. Azure AD Connect sürüm 2.0'dan itibaren. TLS 1.0 ve 1.1 artık desteklenmemektedir ve TLS 1.2 etkinleştirilmediyse yükleme başarısız olur.

  • 1.1.614.0 sürümünden önceki Azure AD Connect varsayılan olarak eşitleme altyapısı ile Azure AD arasındaki iletişimi şifrelemek için TLS 1.0 kullanır. TLS 1.2'ye geçmek için, Azure AD Connect için TLS 1.2'yi etkinleştirme bölümündeki adımları izleyin.

  • İnternet'e bağlanmak için giden ara sunucu kullanıyorsanız, yükleme sihirbazı için C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config dosyasındaki aşağıdaki ayar eklenmelidir ve İnternet'e bağlanabilmek ve Azure AD için Connect eşitlemesini Azure AD. Bu metin dosyanın en altına girilmelidir. Bu kodda, <PROXYADDRESS> gerçek proxy IP adresini veya ana bilgisayar adını temsil eder.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Proxy sunucunuz kimlik doğrulaması gerektiriyorsa , hizmet hesabının etki alanında bulunması gerekir. Özel bir hizmet hesabı belirtmek için özelleştirilmiş ayarlar yükleme yolunu kullanın. ayrıca machine.config için farklı bir değişikliğe de ihtiyacınız vardır. machine.config'daki bu değişiklikle, yükleme sihirbazı ve eşitleme altyapısı ara sunucudan gelen kimlik doğrulama isteklerine yanıt verir. Yapılandır sayfası hariç tüm yükleme sihirbazı sayfalarında oturum açan kullanıcının kimlik bilgileri kullanılır. Yükleme sihirbazının sonundaki Yapılandır sayfasında bağlam, oluşturduğunuz hizmet hesabına geçirilir. machine.config bölümü şöyle görünmelidir:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Ara sunucu yapılandırması mevcut bir kurulumda yapılıyorsa, Azure AD Connect'in ara sunucu yapılandırmasını okuması ve davranışı güncelleştirmesi için Microsoft Azure AD Eşitleme hizmetinin bir kez yeniden başlatılması gerekir.

  • Azure AD Connect dizin eşitlemesi kapsamında Azure AD bir web isteği gönderdiğinde Azure AD yanıt vermesi 5 dakika kadar sürebilir. Ara sunucuların bağlantı boşta kalma zaman aşımı yapılandırmasına sahip olması yaygındır. Yapılandırmanın en az 6 dakika veya daha fazla olarak ayarlandığından emin olun.

Daha fazla bilgi için bkz. VARSAYıLAN proxy öğesi hakkında MSDN. Bağlantı sorunlarınız olduğunda daha fazla bilgi için bkz. Bağlantı sorunlarını giderme.

Diğer

İsteğe bağlı: Eşitlemeyi doğrulamak için test kullanıcı hesabı kullanın.

Bileşen önkoşulları

PowerShell ve .NET Framework

Azure AD Connect Microsoft PowerShell 5.0 ve .NET Framework 4.5.1'e bağlıdır. Sunucunuzda bu sürümün veya sonraki bir sürümün yüklü olması gerekir.

Azure AD Connect için TLS 1.2'yi etkinleştirme

1.1.614.0 sürümünden önce, Azure AD Connect varsayılan olarak eşitleme altyapısı sunucusu ile Azure AD arasındaki iletişimi şifrelemek için TLS 1.0 kullanır. .NET uygulamalarını varsayılan olarak sunucuda TLS 1.2 kullanacak şekilde yapılandırabilirsiniz. TLS 1.2 hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Danışmanlığı 2960358.

  1. İşletim sisteminiz için .NET 4.5.1 düzeltmesinin yüklü olduğundan emin olun. Daha fazla bilgi için bkz. Microsoft Güvenlik Danışmanlığı 2960358. Bu düzeltmeyi veya sonraki bir sürümü sunucunuzda zaten yüklü olabilir.

  2. Tüm işletim sistemleri için bu kayıt defteri anahtarını ayarlayın ve sunucuyu yeniden başlatın.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Eşitleme altyapısı sunucusu ile uzak bir SQL Server arasında TLS 1.2'yi de etkinleştirmek istiyorsanız, Microsoft SQL Server için TLS 1.2 desteği için gerekli sürümlerin yüklü olduğundan emin olun.

Eşitleme sunucusunda DCOM önkoşulları

Eşitleme hizmetinin yüklenmesi sırasında, Azure AD Connect aşağıdaki kayıt defteri anahtarının varlığını denetler:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Bu kayıt defteri anahtarı altında, Azure AD Connect aşağıdaki değerlerin mevcut olup olmadığını denetler:

Federasyon yükleme ve yapılandırma önkoşulları

Windows Uzaktan Yönetimi

AD FS veya Web Uygulama Ara Sunucusu (WAP) dağıtmak için Azure AD Connect kullandığınızda şu gereksinimleri denetleyin:

  • Hedef sunucu etki alanına katılmışsa, Windows Uzaktan Yönetilen'in etkinleştirildiğinden emin olun.
    • Yükseltilmiş bir PowerShell komut penceresinde komutunu Enable-PSRemoting –forcekullanın.
  • Hedef sunucu etki alanına katılmamış bir WAP makinesiyse, birkaç ek gereksinim vardır:
    • Hedef makinede (WAP makinesi):
      • Hizmetler ek bileşeni aracılığıyla Windows Uzaktan Yönetim/WS-Management (WinRM) hizmetinin çalıştığından emin olun.
      • Yükseltilmiş bir PowerShell komut penceresinde komutunu Enable-PSRemoting –forcekullanın.
    • Sihirbazın üzerinde çalıştığı makinede (hedef makine etki alanına katılmamışsa veya güvenilmeyen bir etki alanıysa):
      • Yükseltilmiş bir PowerShell komut penceresinde komutunu Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenatekullanın.
      • Sunucu yöneticisinde:
        • Makine havuzuna DMZ WAP konağı ekleyin. Sunucu yöneticisindeSunucuEkle'yi Yönet'i> seçin ve DNS sekmesini kullanın.
        • Tüm Sunucular Sunucu Yöneticisi sekmesinde WAP sunucusuna sağ tıklayın ve Farklı Yönet'i seçin. WAP makinesi için yerel (etki alanı değil) kimlik bilgilerini girin.
        • Uzak PowerShell bağlantısını doğrulamak için Sunucu Yöneticisi Tüm Sunucular sekmesinde WAP sunucusuna sağ tıklayın ve Windows PowerShell seçin. Uzak PowerShell oturumlarının kuruladığından emin olmak için bir uzak PowerShell oturumu açılmalıdır.

TLS/SSL sertifika gereksinimleri

  • AD FS grubunuzun tüm düğümlerinde ve tüm Web Uygulama Ara Sunucusu sunucularında aynı TLS/SSL sertifikasını kullanmanızı öneririz.
  • Sertifika bir X509 sertifikası olmalıdır.
  • Test laboratuvarı ortamında federasyon sunucularında otomatik olarak imzalanan bir sertifika kullanabilirsiniz. Bir üretim ortamı için, sertifikayı bir ortak sertifika yetkilisinden edinmenizi öneririz.
    • Genel olarak güvenilmeyecek bir sertifika kullanıyorsanız, her Web Uygulama Ara Sunucusu sunucusuna yüklenen sertifikanın hem yerel sunucuda hem de tüm federasyon sunucularında güvenilir olduğundan emin olun.
  • Sertifikanın kimliği federasyon hizmeti adıyla (örneğin, sts.contoso.com) eşleşmelidir.
    • Kimlik, dNSName türünde bir konu alternatif adı (SAN) uzantısıdır veya SAN girdisi yoksa, konu adı ortak ad olarak belirtilir.
    • Sertifikada birden çok SAN girdisi bulunabilir ve bunlardan biri federasyon hizmeti adıyla eşleşir.
    • Workplace Join kullanmayı planlıyorsanız, enterpriseregistration değeriyle birlikte ek bir SAN gerekir. Ardından kuruluşunuzun kullanıcı asıl adı (UPN) soneki (örneğin, enterpriseregistration.contoso.com).
  • CryptoAPI yeni nesil (CNG) anahtarlarına ve anahtar depolama sağlayıcılarına (KSP) dayalı sertifikalar desteklenmez. Sonuç olarak, KSP'yi değil şifreleme hizmeti sağlayıcısını (CSP) temel alan bir sertifika kullanmanız gerekir.
  • Joker sertifikalar desteklenir.

Federasyon sunucuları için ad çözümlemesi

  • Hem intranet (iç DNS sunucunuz) hem de extranet (etki alanı kayıt şirketiniz aracılığıyla genel DNS) için AD FS adı (örneğin, sts.contoso.com) için DNS kayıtlarını ayarlayın. İntranet DNS kaydı için CNAME kayıtlarını değil A kayıtlarını kullandığınızdan emin olun. Etki alanına katılmış makinenizden Windows kimlik doğrulamasının düzgün çalışması için A kayıtları kullanmak gerekir.
  • Birden fazla AD FS sunucusu veya Web Uygulama Ara Sunucusu sunucusu dağıtıyorsanız, yük dengeleyicinizi yapılandırdığınızdan ve AD FS adı için DNS kayıtlarının (örneğin, sts.contoso.com) yük dengeleyiciye işaret etmesini sağlayın.
  • Windows tümleşik kimlik doğrulamasının intranetinizde Internet Explorer kullanan tarayıcı uygulamalarında çalışması için AD FS adının (örneğin, sts.contoso.com) Internet Explorer'daki intranet bölgesine eklendiğinden emin olun. Bu gereksinim grup ilkesi aracılığıyla denetlenebilir ve etki alanına katılmış tüm bilgisayarlarınıza dağıtılabilir.

Azure AD Destekleyici bileşenleri bağlama

Azure AD Connect, Azure AD Connect'in yüklü olduğu sunucuya aşağıdaki bileşenleri yükler. Bu liste basit bir Hızlı yükleme içindir. Eşitleme hizmetlerini yükle sayfasında farklı bir SQL Server kullanmayı seçerseniz, SQL Express LocalDB yerel olarak yüklenmez.

  • Azure AD Connect Health
  • Microsoft SQL Server 2019 Komut Satırı Yardımcı Programları
  • Microsoft SQL Server 2019 Express LocalDB
  • Microsoft SQL Server 2019 Yerel İstemcisi
  • Microsoft Visual C++ 14 Yeniden Dağıtım Paketi

Azure AD Connect için donanım gereksinimleri

Aşağıdaki tabloda, Azure AD Connect eşitleme bilgisayarı için en düşük gereksinimler gösterilmektedir.

Active Directory'deki nesne sayısı CPU Bellek Sabit sürücü boyutu
10.000'den az 1,6 GHz 4 GB 70 GB
10,000–50,000 1,6 GHz 4 GB 70 GB
50,000–100,000 1,6 GHz 16 GB 100 GB
100.000 veya daha fazla nesne için SQL Server tam sürümü gereklidir. Performans nedenleriyle yerel olarak yükleme tercih edilir.
100,000–300,000 1,6 GHz 32 GB 300 GB
300,000–600,000 1,6 GHz 32 GB 450 GB
600.000'den fazla 1,6 GHz 32 GB 500 GB

AD FS veya Web Uygulama Ara Sunucusu sunucuları çalıştıran bilgisayarlar için en düşük gereksinimler şunlardır:

  • CPU: Çift çekirdek 1,6 GHz veya üzeri
  • Bellek: 2 GB veya üzeri
  • Azure VM: A2 yapılandırması veya üzeri

Sonraki adımlar

Şirket içi kimliklerinizi Azure Active Directory ile tümleştirme hakkında daha fazla bilgi edinin.