Microsoft Entra Connect önkoşulları

Bu makalede, Microsoft Entra Connect için önkoşullar ve donanım gereksinimleri açıklanmaktadır.

Önemli

Zorunlu Yükseltme Gerekli: En az 2.5.79.0 sürümünde değilseniz, Microsoft Entra Connect Sync'teki tüm eşitleme hizmetleri 30 Eylül 2026'da çalışmayı durduracaktır. Mayıs 2025'te, hizmetlerimizi sağlamlaştıran bir arka uç hizmet değişikliği ile bu sürümü yayımladık. Hizmet kesintisini önlemek için bu son tarihten önce yükseltin.

Son tarihten önce yükseltemiyorsanız, en son sürüme yükseltene kadar tüm eşitleme hizmetleri başarısız olur. Microsoft Entra Connect Sync yükleme dosyası yalnızca Microsoft Entra Yönetim Merkezi'nden kullanılabilir. .NET Framework 4.7.2 ve TLS 1.2 gibi en düşük gereksinimleri karşıladığınızdan emin olun.

Microsoft Entra Connect'i yüklemeden önce

Microsoft Entra Connect'i yüklemeden önce ihtiyacınız olan birkaç şey vardır.

Microsoft Entra Kimlik

• Microsoft Entra kiracısına ihtiyacınız var. Ücretsiz Azure denemesi ile bir tane alırsınız. Microsoft Entra Connect'i yönetmek için aşağıdaki portallardan birini kullanabilirsiniz:
  • Microsoft Entra yönetim merkezi.
  • Office portalı.
• Microsoft Entra ID'de kullanmayı planladığınız etki alanını doğrulayın ve ekleyin. Örneğin, kullanıcılarınız için contoso.com kullanmayı planlıyorsanız, bu etki alanının doğrulandığından ve yalnızca contoso.onmicrosoft.com varsayılan etki alanını kullanmadığınızdan emin olun.
• Microsoft Entra kiracısı varsayılan olarak 50.000 nesneye izin verir. Etki alanınızı doğruladığınızda, sınır 300.000 nesneye artar. Microsoft Entra ID'de daha fazla nesneye ihtiyacınız varsa sınırın daha da artırılması için bir destek olayı açın. 500.000'den fazla nesneye ihtiyacınız varsa Microsoft 365, Microsoft Entra ID P1 veya P2 veya Enterprise Mobility + Security gibi bir lisansa ihtiyacınız vardır.

Şirket içi verilerinizi hazırlama

• Microsoft Entra Id ve Microsoft 365 ile eşitlemeden önce dizininizdeki yinelemeler ve biçimlendirme sorunları gibi hataları belirlemek için IdFix kullanın.
• Microsoft Entra ID'de etkinleştirebileceğiniz isteğe bağlı eşitleme özelliklerini gözden geçirin ve hangi özellikleri etkinleştirmeniz gerektiğini değerlendirin.

Şirket içi Active Directory

• Active Directory şema sürümü ve orman işlev düzeyi Windows Server 2003 veya üzeri olmalıdır. Şema sürümü ve orman düzeyi gereksinimleri karşılandığı sürece etki alanı denetleyicileri herhangi bir sürümü çalıştırabilir. Windows Server 2016 veya daha eski bir sürümünü çalıştıran etki alanı denetleyicileri için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir.
• Microsoft Entra ID tarafından kullanılan etki alanı denetleyicisi yazılabilir olmalıdır. Salt okunur etki alanı denetleyicisi (RODC) kullanılması desteklenmez ve Microsoft Entra Connect yazma yönlendirmelerini takip etmez.
• Şirket içi ormanları veya etki alanlarını, adı bir nokta (".") içeren 'noktalı' NetBIOS adları kullanarak kullanmak desteklenmez.
• Active Directory geri dönüşüm kutusunu etkinleştirmenizi öneririz.

PowerShell yürütme ilkesi

Microsoft Entra Connect, yüklemenin bir parçası olarak imzalı PowerShell betiklerini çalıştırır. PowerShell yürütme ilkesinin betiklerin çalıştırılmasına izin verdiğinden emin olun.

Yükleme sırasında önerilen yürütme ilkesi "RemoteSigned" şeklindedir.

PowerShell yürütme ilkesini ayarlama hakkında daha fazla bilgi için bkz . Set-ExecutionPolicy.

Microsoft Entra Connect sunucusu

Microsoft Entra Connect sunucusu kritik kimlik verileri içerir. Bu sunucuya yönetici erişiminin düzgün bir şekilde güvenli hale getirilmesi önemlidir. Ayrıcalıklı erişimin güvenliğini sağlama bölümünde yer alan yönergeleri izleyin.

Microsoft Entra Connect sunucusu, Active Directory yönetim katmanı modelinde belgelendiği gibi katman 0 bileşeni olarak kabul edilmelidir. Güvenli Ayrıcalıklı Erişim'de sağlanan yönergeleri izleyerek Microsoft Entra Connect sunucusunu Denetim Düzlemi varlığı olarak sağlamlaştırmanızı öneririz

Active Directory ortamınızın güvenliğini sağlama hakkında daha fazla bilgi için bkz . Active Directory'yi güvenli hale getirmek için en iyi yöntemler.

Yükleme önkoşulları

• Microsoft Entra Connect, Windows Server 2022, Windows Server 2019 veya Windows Server 2016 çalıştıran bir etki alanı bağlı sunucuya yüklenmelidir. Windows Server 2022'nin kullanılması önerilir. Microsoft Entra Connect'i Windows Server 2016'da dağıtabilirsiniz. Ancak, Windows Server 2016 genişletilmiş destekte olduğundan, bu yapılandırma için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir. Windows Server'ın desteklenmeyen sürümlerine yüklemek hizmet hatalarına veya beklenmeyen davranışlara neden olabilir.

  Önemli

  Windows Server 2025 desteklenmez. Windows Server 2025'te Microsoft Entra Connect Sync'in eşitleme sorunlarıyla karşılaşmasına neden olabilecek bilinen bir sorun vardır. Windows Server 2025'e yükselttiyseniz, 20 Ekim 2025 - KB5070773 güncelleştirmesi veya sonraki bir sürümü yüklediğinizden emin olun. Bu güncelleştirmeyi yükledikten sonra değişikliklerin etkili olması için sunucuyu yeniden başlatın. Microsoft Entra Connect Sync için Windows Server 2025 desteğinin gelecek bir sürüm için yapılması planlanmaktadır.

• Gereken en düşük .NET Framework sürümü 4.6.2'dir ve daha yeni .NET sürümleri de desteklenir. .NET sürüm 4.8 ve üzeri en iyi erişilebilirlik uyumluluğunu sunar.

• Microsoft Entra Connect, Small Business Server veya Windows Server Essentials'a 2019'den önce yüklenemez (Windows Server Essentials 2019 desteklenir). Sunucunun Windows Server standart veya daha iyi bir sürümünü kullanıyor olması gerekir.

• Microsoft Entra Connect sunucusunda tam gui yüklü olmalıdır. Microsoft Entra Connect'in Windows Server Core'a yüklenmesi desteklenmez.

• Active Directory Federasyon Hizmetleri (AD FS) yapılandırmasını yönetmek için Microsoft Entra Connect sihirbazını kullanıyorsanız, Microsoft Entra Connect sunucusunda PowerShell Transkripsiyon Grup İlkesi etkin olmamalıdır. Eşitleme yapılandırmasını yönetmek için Microsoft Entra Connect sihirbazını kullanıyorsanız PowerShell transkripsiyonunu etkinleştirebilirsiniz.

• AD FS dağıtım aşamasındaysa:

  • AD FS veya Web Uygulama Ara Sunucusu'nin yüklü olduğu sunucular Windows Server 2012 R2 veya üzeri olmalıdır. Uzaktan yükleme için bu sunucularda Windows uzaktan yönetimi etkinleştirilmelidir. Windows Server 2016 ve üzeri için desteğe ihtiyacınız varsa ücretli bir destek programı gerekebilir.
  • TLS/SSL sertifikalarını yapılandırmanız gerekir. Daha fazla bilgi için bkz. AD FS için SSL/TLS protokollerini ve şifreleme paketlerini yönetme ve AD FS'de SSL sertifikalarını yönetme.
  • Ad çözümlemeyi yapılandırmanız gerekir.
  • Genel yönetici rolüne sahip bir hesaba veya karma kimlik yöneticisi ve etki alanı adı yöneticisi rollerine sahip bir hesaba ihtiyacınız olacaktır. Federasyonla ilgili yapılandırmalar, karma kimlik yöneticisinin şu anda sahip olmadığı ancak etki alanı adı yöneticisi rolünün sahip olduğu izinler gerektirir.

    Not

    Microsoft Entra Connect'in yüklenmesi ve yapılandırılması için genel yönetici veya karma kimlik yöneticisi rolü doğrudan kullanıcıya atanmalıdır. Bu roller grup üyeliği aracılığıyla verilemiyor

• Microsoft Entra Connect ile Microsoft Entra ID arasındaki trafiği kesmek ve analiz etmek mümkün değildir. Bunu yapmak hizmeti kesintiye uğratabilir.

• Karma Kimlik Yöneticilerinizde MFA etkinleştirildiyse, URL https://secure.aadcdn.microsoftonline-p.comgüvenilen siteler listesinde olmalıdır . MFA sınaması istendiğinde ve bu site henüz güvenilen siteler listesine eklenmemişse, bu siteyi listeye eklemeniz istenir. Internet Explorer'ı kullanarak güvenilen sitelerinize ekleyebilirsiniz.

• Eşitleme için Microsoft Entra Connect Health kullanmayı planlıyorsanız, Microsoft Entra Connect Sync'i yüklemek için bir Genel Yönetici hesabı kullanmanız gerekir. Karma Kimlik Yöneticisi hesabı kullanıyorsanız aracı yüklenir ancak devre dışı durumdadır. Daha fazla bilgi için bkz . Microsoft Entra Connect Health aracısı yüklemesi.

Microsoft Entra Connect sunucunuzu sağlamlaştırma

BT ortamınızın bu kritik bileşeni için güvenlik saldırısı yüzeyini azaltmak için Microsoft Entra Connect sunucunuzu sağlamlaştırmanızı öneririz. Bu önerilerin izlenmesi, kuruluşunuzda bazı güvenlik risklerinin azaltılmasına yardımcı olur.

• Güvenli Ayrıcalıklı Erişim ve Active Directory yönetim katmanı modelinde sağlanan yönergeleri izleyerek Microsoft Entra Connect sunucusunu Denetim Düzlemi (eski adıyla Katman 0) varlığı olarak sağlamlaştırmanızı öneririz.
• Microsoft Entra Connect sunucusuna yönetim erişimini yalnızca etki alanı yöneticileriyle veya sıkı denetimli diğer güvenlik gruplarıyla kısıtlayın.
• Ayrıcalıklı erişimi olan tüm personel için ayrılmış bir hesap oluşturun. Yöneticiler web'e göz atmamalı, e-postalarını denetlememeli ve yüksek ayrıcalıklı hesaplarla günlük üretkenlik görevleri gerçekleştirmemelidir.
• Ayrıcalıklı erişimin güvenliğini sağlama bölümünde sağlanan yönergeleri izleyin.
• Microsoft Entra Connect sunucusuyla NTLM kimlik doğrulaması kullanımını reddedin. Bunu yapmanın bazı yolları şunlardır: Microsoft Entra Connect Sunucusu'nda NTLM'yi kısıtlama ve etki alanında NTLM'yi kısıtlama
• Her makinenin benzersiz bir yerel yönetici parolası olduğundan emin olun. Daha fazla bilgi için bkz . Yerel Yönetici Parola Çözümü (Windows LAPS), her iş istasyonunda benzersiz rastgele parolalar yapılandırabilir ve bunları bir ACL ile korunan Active Directory'de depolayabilir. Bu yerel yönetici hesabı parolalarını yalnızca uygun yetkili kullanıcılar okuyabilir veya sıfırlama isteğinde bulunabilir. Windows LAPS ve ayrıcalıklı erişim iş istasyonları (PAW) ile bir ortamı çalıştırmaya yönelik ek yönergeler, temiz kaynak ilkesine dayalı operasyonel standartlarda bulunabilir.
• Kuruluşunuzun bilgi sistemlerine ayrıcalıklı erişimi olan tüm personel için ayrılmış ayrıcalıklı erişim iş istasyonları uygulayın.
• Active Directory ortamınızın saldırı yüzeyini azaltmak için bu ek yönergeleri izleyin.
• Federasyon yapılandırmasındaki değişiklikleri izlemeyi takip ederek Idp ve Microsoft Entra Kimliğiniz arasında kurulan güven değişikliklerini izlemek için uyarılar ayarlayın.
• Microsoft Entra Id veya AD'de ayrıcalıklı erişimi olan tüm kullanıcılar için Çok Faktörlü Kimlik Doğrulamasını (MFA) etkinleştirin. Microsoft Entra Connect'i kullanmayla ilgili bir güvenlik sorunu, bir saldırganın Microsoft Entra Connect sunucusu üzerinde denetim sahibi olması durumunda Microsoft Entra Id'deki kullanıcıları yönetebileceğidir. MFA, bir saldırganın Microsoft Entra hesaplarını ele geçirmeye çalışmasını önlemek için korumalar sağlar; dolayısıyla, bir saldırgan Microsoft Entra Connect kullanarak kullanıcının parolasını sıfırlasa bile ikinci faktörü aşamaz.
• Kiracı ayarlarınızda Yumuşak Eşleştirmeyi devre dışı bırakın. Geçici Eşleştirme, mevcut bulut tarafından yönetilen nesnelerin yetki kaynağının Microsoft Entra Connect'e aktarılmasına yardımcı olmak için harika bir özelliktir, ancak belirli güvenlik riskleriyle birlikte gelir. Gerekli değilse, Geçici Eşleştirme'yi devre dışı bırakmanız gerekir.
• Sabit Eşleşme Devralma özelliğini devre dışı bırakın. Katı eşleşme devralma, Microsoft Entra Connect'in bulutta yönetilen bir nesnenin kontrolünü ele geçirmesini ve bu nesnenin yetki kaynağını Active Directory olarak değiştirmesini sağlar. Bir nesnenin yetki kaynağı Microsoft Entra Connect tarafından devralındıktan sonra, Microsoft Entra nesnesine bağlı Active Directory nesnesinde yapılan değişiklikler, Parola Karması Eşitleme etkinse parola karması da dahil olmak üzere özgün Microsoft Entra verilerinin üzerine yazılır. Bir saldırgan, bulut tarafından yönetilen nesnelerin denetimini ele almak için bu özelliği kullanabilir. Bu riski azaltmak için, sabit eşleşme devralma özelliğini devre dışı bırakın.

Microsoft Entra Connect tarafından kullanılan SQL Server

• Microsoft Entra Connect’e kimlik verilerini depolamak için bir SQL Server veritabanı gerekiyor. Varsayılan olarak, bir SQL Server 2019 Express LocalDB (SQL Server Express'in basit bir sürümü) yüklenir. SQL Server Express,yaklaşık 100.000 nesneyi yönetmenizi sağlayan 10 GB boyut sınırına sahiptir. Daha yüksek bir dizin nesnesi hacmini yönetmeniz gerekiyorsa, yükleme sihirbazını farklı bir SQL Server yüklemesine yöneltin. SQL Server yükleme türü, Microsoft Entra Connect'in performansını etkileyebilir.
• SQL Server'ın farklı bir yüklemesini kullanıyorsanız, bu gereksinimler geçerlidir:
  • Microsoft Entra Connect, Sql Server 2022'ye kadar Windows üzerinde çalışan temel desteklenen SQL Server sürümlerini destekler. SQL Server sürümünüzün destek durumunu doğrulamak için SQL Server yaşam döngüsü makalesine bakın. SQL Server 2012 ve SQL Server 2016 artık desteklenmiyor. Azure SQL Veritabanı veritabanı olarak desteklenmez. Buna hem Azure SQL Veritabanı hem de Azure SQL Yönetilen Örneği dahildir.
    • SQL'de büyük/küçük harfe duyarlı olmayan bir sıralama düzeni kullanmanız gerekir. Bu harmanlamalar adında bir _CI_ ile tanımlanır. Adında _CS_ bulunan büyük/küçük harfe duyarlı harmanlamanın kullanılması desteklenmez.
    • SQL örneği başına yalnızca bir eşitleme altyapınız olabilir. MIM Sync, DirSync veya Azure AD Eşitleme ile BIR SQL örneğinin paylaşılması desteklenmez.
    • MICROSOFT Entra Connect ile birlikte gelen SQL Server sürüm 17 için ODBC Sürücüsü ve SQL Server sürüm 18 için OLE DB Sürücüsü'ne sahip olun. ODBC/OLE DB sürücülerinin ana veya ikincil sürümlerinin yükseltilmesi desteklenmez. Microsoft Entra Connect ürün grubu ekibi, yeni ODBC/OLE DB sürücülerini kullanıma sunulduklarında ve güncellenmeleri gerektiğinde dahil eder.
    • Microsoft Entra Connect, SQL Adlandırılmış Kanallar protokolunu desteklemez.

Not

SQL'i Microsoft Entra Connect ile aynı sunucuya yüklüyorsanız SQL'i sistemden kullanabileceği en yüksek belleği sınırlayacak şekilde yapılandırmanızı öneririz. Bellek yapılandırması için SQL en iyi yöntemlerini izleyin.

Hesaplar

• Tümleştirmek istediğiniz Microsoft Entra kiracısı için bir Microsoft Entra Genel Yönetici hesabınız veya Karma Kimlik Yöneticisi hesabınız olması gerekir. Bu hesap bir okul veya kuruluş hesabı olmalıdır ve Microsoft hesabı olamaz.
• AD FS veya PingFederate ile federasyon yapılandırıyorsanız, genel yönetici rolüne sahip bir hesaba veya karma kimlik yöneticisi ile etki alanı adı yöneticisi rollerine sahip bir hesaba ihtiyacınız olacaktır. Federasyonla ilgili yapılandırmalar, karma kimlik yöneticisinin şu anda sahip olmadığı ancak etki alanı adı yöneticisi rolünün sahip olduğu izinler gerektirir.
• DirSync'ten hızlı ayarlar veya yükseltme kullanıyorsanız, şirket içi Active Directory için bir Kuruluş Yöneticisi hesabınız olmalıdır.
• Özel ayarlar yükleme yolunu kullanırsanız, daha fazla seçeneğiniz vardır. Daha fazla bilgi için bkz . Özel yükleme ayarları.

Bağlantı

• Microsoft Entra Connect sunucusunun hem intranet hem de internet için DNS çözümlemesine ihtiyacı vardır. DNS sunucusunun hem şirket içi Active Directory hem de Microsoft Entra uç noktalarınızdaki adları çözümleyebilmesi gerekir.

• Microsoft Entra Connect, yapılandırılmış tüm etki alanlarına ağ bağlantısı gerektirir

• Microsoft Entra Connect, yapılandırılmış tüm ormanın kök etki alanına ağ bağlantısı gerektirir

• İntranetinizde güvenlik duvarları varsa ve Microsoft Entra Connect sunucuları ile etki alanı denetleyicileriniz arasındaki bağlantı noktalarını açmanız gerekiyorsa daha fazla bilgi için bkz . Microsoft Entra Connect bağlantı noktaları .

• Ara sunucunuz veya güvenlik duvarınız erişilebilen URL'leri sınırlarsa, Office 365 URL'leri ve IP adresi aralıklarında belgelenen URL'ler açılmalıdır. Ayrıca bkz Microsoft Entra yönetim merkezi URL'lerini güvenli listeye ekleme işlemini güvenlik duvarınızda veya proxy sunucunuzda yapın.

  • Microsoft bulutunu Almanya'da veya Microsoft Azure Kamu bulutunu kullanıyorsanız, URL'ler için Microsoft Entra Connect Eşitleme hizmeti örnekleri hakkında dikkate alınması gerekenler bölümüne bakın.

• Microsoft Entra Connect (sürüm 1.1.614.0 ve sonrası) varsayılan olarak eşitleme altyapısı ile Microsoft Entra Id arasındaki iletişimi şifrelemek için TLS 1.2 kullanır. Temel işletim sisteminde TLS 1.2 kullanılamıyorsa, Microsoft Entra Connect artımlı olarak eski protokollere (TLS 1.1 ve TLS 1.0) geri döner. Microsoft Entra Connect sürüm 2.0'dan itibaren. TLS 1.0 ve 1.1 artık desteklenmiyor ve TLS 1.2 etkinleştirilmediyse yükleme başarısız oluyor.

• İnternet'e bağlanmak için giden ara sunucu kullanıyorsanız, yükleme sihirbazı için C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config dosyasındaki aşağıdaki ayar eklenmelidir ve Microsoft Entra Connect Sync'in İnternet'e ve Microsoft Entra Id'ye bağlanabilmesi için eklenmelidir. Bu metin dosyanın en altına girilmelidir. Bu kodda, <PROXYADDRESS> gerçek proxy IP adresini veya ana bilgisayar adını temsil eder.

      <system.net>
          <defaultProxy>
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Proxy sunucunuz kimlik doğrulaması gerektiriyorsa, hizmet hesabının etki alanında bulunması gerekir. Özel bir hizmet hesabı belirtmek için özelleştirilmiş ayarlar yükleme yolunu kullanın. Machine.config dosyasında da farklı bir değişiklik yapmanız gerekir. Machine.config dosyasındaki bu değişiklikle, yükleme sihirbazı ve eşitleme altyapısı ara sunucudan gelen kimlik doğrulama isteklerine yanıt verir. Yapılandır sayfası hariç tüm yükleme sihirbazı sayfalarında oturum açmış kullanıcının kimlik bilgileri kullanılır. Yükleme sihirbazının sonundaki Yapılandır sayfasında bağlam, oluşturduğunuz hizmet hesabına geçirilerek değişir. machine.config bölümü şöyle görünmelidir:

      <system.net>
          <defaultProxy enabled="true" useDefaultCredentials="true">
              <proxy
              usesystemdefault="true"
              proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
              bypassonlocal="true"
              />
          </defaultProxy>
      </system.net>
  

• Ara sunucu yapılandırması mevcut bir kurulumda yapılıyorsa, Microsoft Entra Connect'in ara sunucu yapılandırmasını okuması ve davranışı güncelleştirmesi için Microsoft Entra ID Sync hizmetinin bir kez yeniden başlatılması gerekir.

• Microsoft Entra Connect, dizin eşitlemesi kapsamında Microsoft Entra Id'ye bir web isteği gönderdiğinde, Microsoft Entra Id'nin yanıt vermesi 5 dakika kadar sürebilir. Ara sunucuların bağlantı boşta kalma zaman aşımı yapılandırmasına sahip olması yaygındır. Yapılandırmanın en az 6 dakika veya daha fazla olarak ayarlandığından emin olun.

Daha fazla bilgi için MSDN'de Varsayılan proxy öğesi hakkında bkz. Bağlantı sorunlarınız olduğunda daha fazla bilgi için bkz . Bağlantı sorunlarını giderme.

Diğer

İsteğe bağlı: Eşitlemeyi doğrulamak için test kullanıcı hesabı kullanın.

Bileşen önkoşulları

PowerShell ve .NET Framework

Microsoft Entra Connect, Microsoft PowerShell 5.0 ve .NET Framework 4.5.1'e bağlıdır. Sunucunuzda bu sürümün veya sonraki bir sürümün yüklü olması gerekir.

Microsoft Entra Connect için TLS 1.2'yi etkinleştirme

1. Eşitleme altyapısı sunucusu ile uzak SQL Server arasında TLS 1.2'yi etkinleştirmek istiyorsanız, Microsoft SQL Server içinTLS 1.2 desteği için gerekli sürümlerin yüklü olduğundan emin olun.

Daha fazla bilgi için bkz. TLS 1.2'yi etkinleştirme

Eşitleme sunucusunda DCOM önkoşulları

Eşitleme hizmetinin yüklenmesi sırasında, Microsoft Entra Connect aşağıdaki kayıt defteri anahtarının olup olduğunu denetler:

• HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Bu kayıt defteri anahtarı altında, Microsoft Entra Connect aşağıdaki değerlerin mevcut ve bozuk olup olmadığını denetler:

• MachineAccessRestriction
• MakineBaşlatmaKısıtlaması
• Varsayılan Başlatma İzni

Federasyon yükleme ve yapılandırma önkoşulları

Önemli

AD FS veya PingFederate ile federasyon yapılandırıyorsanız, genel yönetici rolüne sahip bir hesaba veya karma kimlik yöneticisi ve etki alanı adı yöneticisi rolleri bir hesaba ihtiyacınız olacağını lütfen unutmayın. Federasyonla ilgili yapılandırmalar, karma kimlik yöneticisinin şu anda sahip olmadığı ancak etki alanı adı yöneticisi rolünün sahip olduğu izinler gerektirir.

Windows Uzaktan Yönetimi

AD FS veya Web Uygulama Ara Sunucusu (WAP) dağıtmak için Microsoft Entra Connect'i kullandığınızda şu gereksinimleri denetleyin:

• Hedef sunucu etki alanına katıldıysa, Windows Uzaktan Yönetim'in etkin olduğundan emin olun.
  • Yükseltilmiş bir PowerShell komut penceresinde komutunu Enable-PSRemoting –forcekullanın.
• Hedef sunucu etki alanına katılmamış bir WAP makinesiyse, birkaç ek gereksinim vardır:
  • Hedef cihazda (WAP cihazı):
    • Hizmetler eklentisi aracılığıyla Windows Uzaktan Yönetim/WS-Management (WinRM) hizmetinin çalıştığını doğrulayın.
    • Yükseltilmiş bir PowerShell komut penceresinde komutunu Enable-PSRemoting –forcekullanın.
  • Sihirbazın üzerinde çalıştığı makinede (hedef makine etki alanına katılmamışsa veya güvenilmeyen bir etki alanıysa):
    • Yükseltilmiş bir PowerShell komut penceresinde komutunu Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenatekullanın.
    • Sunucu yöneticisinde:
      • Bir makine havuzuna DMZ WAP sunucusu ekleyin. Sunucu yöneticisinde Sunucu Ekle'yi Yönet'i>seçin ve DNS sekmesini kullanın.
      • Sunucu Yöneticisi Tüm Sunucular sekmesinde WAP sunucusuna sağ tıklayın ve Farklı Yönet'i seçin. WAP makinesi için yerel (etki alanı değil) kimlik bilgilerini girin.
      • Uzak PowerShell bağlantısını doğrulamak için, tüm sunucular Sunucu Yöneticisi sekmesinde WAP sunucusuna sağ tıklayın ve Windows PowerShell'i seçin. Uzak PowerShell oturumlarının kuruladığından emin olmak için bir uzak PowerShell oturumu açılmalıdır.

TLS/SSL sertifika gereksinimleri

• AD FS grubunuzun tüm düğümlerinde ve tüm Web Uygulama Ara Sunucusu sunucularında aynı TLS/SSL sertifikasını kullanmanızı öneririz.
• Sertifika bir X509 sertifikası olmalıdır.
• Test laboratuvarı ortamında federasyon sunucularında otomatik olarak imzalanan bir sertifika kullanabilirsiniz. Bir üretim ortamı için, sertifikayı bir genel sertifika yetkilisinden edinmenizi öneririz.
  • Genel olarak güvenilir olmayan bir sertifika kullanıyorsanız, her Web Uygulama Ara Sunucusu sunucusuna yüklenen sertifikanın hem yerel sunucuda hem de tüm federasyon sunucularında güvenilir olduğundan emin olun.
• Sertifikanın kimliği federasyon hizmeti adıyla (örneğin, sts.contoso.com) eşleşmelidir.
  • Kimlik, dNSName türünde bir konu alternatif adı (SAN) uzantısıdır veya SAN girdisi yoksa, konu adı ortak ad olarak belirtilir.
  • Sertifikada birden çok SAN girdisi bulunabilir ve bunlardan biri federasyon hizmeti adıyla eşleşir.
  • Workplace Join kullanmayı planlıyorsanız, enterpriseregistration değeri ve ardından kuruluşunuzun kullanıcı asıl adı (UPN) ekiyle ek bir SAN gerekir. Örneğin, enterpriseregistration.contoso.com.
• CryptoAPI yeni nesil (CNG) anahtarlarını ve anahtar depolama sağlayıcılarını (KSP) temel alan sertifikalar desteklenmez. Sonuç olarak, KSP'yi değil şifreleme hizmeti sağlayıcısını (CSP) temel alan bir sertifika kullanmanız gerekir.
• Wildcard sertifikalar desteklenmektedir.

Federasyon sunucuları için ad çözümlemesi

• Hem intranet (iç DNS sunucunuz) hem de extranet (etki alanı kayıt şirketiniz aracılığıyla genel DNS) için AD FS adı (örneğin, sts.contoso.com) için DNS kayıtlarını ayarlayın. İntranet DNS kaydı için CNAME kayıtlarını değil A kayıtlarını kullandığınızdan emin olun. Windows kimlik doğrulamasının etki alanına katılmış makinenizden düzgün çalışabilmesi için A kayıtlarının kullanılması gerekir.
• Birden fazla AD FS sunucusu veya Web Uygulama Ara Sunucusu sunucusu dağıtıyorsanız yük dengeleyicinizi yapılandırdığınızdan ve AD FS adı için DNS kayıtlarının (örneğin, sts.contoso.com) yük dengeleyiciye işaret olduğundan emin olun.
• Windows tümleşik kimlik doğrulamasının intranetinizde Internet Explorer kullanan tarayıcı uygulamalarında çalışması için AD FS adının (örneğin, sts.contoso.com) Internet Explorer'daki intranet bölgesine eklendiğinden emin olun. Bu gereksinim Grup İlkesi aracılığıyla denetlenebilir ve etki alanına katılmış tüm bilgisayarlarınıza dağıtılabilir.

Microsoft Entra Connect destekleyici bileşenleri

Microsoft Entra Connect, Microsoft Entra Connect'in yüklü olduğu sunucuya aşağıdaki bileşenleri yükler. Bu liste, basit bir Hızlı yükleme içindir. Eşitleme hizmetlerini yükle sayfasında farklı bir SQL Server kullanmayı seçerseniz, SQL Express LocalDB yerel olarak yüklenmez.

• Microsoft Entra Connect Sağlık
• Microsoft SQL Server 2019 Komut Satırı Yardımcı Programları
• Microsoft SQL Server 2019 Express LocalDB
• Microsoft SQL Server 2019 Yerel İstemcisi
• Microsoft Visual C++ 14 Yeniden Dağıtım Paketi

Microsoft Entra Connect için donanım gereksinimleri

Aşağıdaki tabloda, Microsoft Entra Connect Sync bilgisayarı için en düşük gereksinimler gösterilmektedir.

Active Directory'deki nesne sayısı	CPU (Merkezi İşlem Birimi)	Bellek	Sabit sürücü boyutu
10.000'den az	1,6 GHz	6 GB	70 GB
10,000–50,000	1,6 GHz	6 GB	70 GB
50,000–100,000	1,6 GHz	16 GB	100 GB
100.000 veya daha fazla nesne için SQL Server'ın tam sürümü gereklidir. Performans nedenleriyle yerel olarak yükleme tercih edilir. Aşağıdaki değerler yalnızca Microsoft Entra Connect yüklemesi için geçerlidir. SQL Server aynı sunucuda yüklüyse daha fazla bellek, sürücü ve CPU gerekir.
100,000–300,000	1,6 GHz	32 GB	300 GB
300,000–600,000	1,6 GHz	32 GB	450 GB
600.000'den fazla	1,6 GHz	32 GB	500 GB

Yukarıda listelenen belirtimler, hem eşitleme uygulamasını hem de SQL Server veritabanını (yerleşik SQL Express veya yerel olarak yüklenen tam bir SQL Server örneği) barındıran Microsoft Entra Connect sunucusu için birleşik donanım gereksinimlerini temsil eder. SQL Server veritabanı uzaktan ayrı bir sunucuda barındırılıyorsa Entra Connect uygulama sunucusu daha az kaynak gerektirebilirken, SQL Server'ın SQL Server boyutlandırma en iyi yöntemlerine göre kendi işlem, bellek ve depolama kapasitesine ihtiyacı olacaktır.

AD FS veya Web Uygulama Ara Sunucusu sunucuları çalıştıran bilgisayarlar için en düşük gereksinimler şunlardır:

• CPU: Çift çekirdekli 1,6 GHz veya üzeri
• Bellek: 2 GB veya üzeri
• Azure VM: A2 yapılandırması veya üzeri

Sonraki adımlar

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.