Freigeben über

Voraussetzungen für Microsoft Entra Connect

  • Artikel

In diesem Artikel werden die Voraussetzungen und die Hardwareanforderungen für Microsoft Entra Connect beschrieben.

Vor der Installation von Microsoft Entra Connect

Vor der Installation von Microsoft Entra Connect gibt es einige Dinge, die Sie benötigen.

Microsoft Entra ID

  • Sie benötigen einen Microsoft Entra-Mandanten. Sie können diesen mit einer kostenlosen Azure-Testversion erhalten. Sie können eins der folgenden Portale verwenden, um Microsoft Entra Connect zu verwalten:
  • Sie müssen die in Microsoft Entra ID zu verwendende Domäne hinzufügen und überprüfen. Wenn Sie beispielsweise contoso.com für Ihre Benutzer verwenden möchten, stellen Sie sicher, dass diese Domäne überprüft ist und Sie nicht nur die contoso.onmicrosoft.com Standarddomäne verwenden.
  • Ein Microsoft Entra-Mandant lässt standardmäßig 50.000 Objekte zu. Wenn Sie Ihre Domäne überprüfen, wird der Grenzwert auf 300.000 Objekte erhöht. Wenn Sie noch mehr Objekte in Microsoft Entra ID benötigen, stellen Sie eine Supportanfrage, um den Grenzwert noch weiter erhöhen zu lassen. Wenn Sie mehr als 500.000 Objekte verwalten müssen, benötigen Sie eine Lizenz, z. B. für Microsoft 365, Microsoft Entra ID P1 oder P2, oder Enterprise Mobility + Security.

Vorbereiten Ihrer lokalen Daten

Lokales Active Directory

  • Die Active Directory-Schemaversion und die Funktionsebene der Gesamtstruktur müssen Windows Server 2003 oder höher entsprechen. Die Domänencontroller können unter einer beliebigen Version ausgeführt werden, sofern die Anforderungen an die Schemaversion und an die Gesamtstrukturebene erfüllt sind. Möglicherweise benötigen Sie ein kostenpflichtiges Supportprogramm, wenn Sie Unterstützung für Domänencontroller benötigen, die unter Windows Server 2016 oder früheren Versionen ausgeführt werden.
  • Der von Microsoft Entra ID verwendete Domänencontroller darf nicht schreibgeschützt sein. Die Verwendung eines schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) wird nicht unterstützt, und Microsoft Entra Connect folgt keinen Umleitungen für Schreibvorgänge.
  • Die Verwendung von lokalen Gesamtstrukturen oder Domänen mit NetBIOS-Namen, die einen Punkt (.) enthalten, wird nicht unterstützt.
  • Wir empfehlen das Aktivieren des Active Directory-Papierkorbs.

PowerShell-Ausführungsrichtlinie

Microsoft Entra Connect führt signierte PowerShell-Skripts im Rahmen der Installation aus. Stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie die Ausführung von Skripts zulässt.

Die empfohlene Ausführungsrichtlinie während der Installation ist „RemoteSigned“.

Weitere Informationen zum Festlegen der PowerShell-Ausführungsrichtlinie finden Sie unter Set-ExecutionPolicy.

Microsoft Entra Connect-Server

Der Microsoft Entra Connect-Server enthält kritische Identitätsdaten. Es ist wichtig, den administrativen Zugriff auf diesen Server ordnungsgemäß zu schützen. Berücksichtigen Sie die Richtlinien unter Schützen des privilegierten Zugriffs.

Der Microsoft Entra Connect-Server muss wie im Active Directory-Verwaltungsebenenmodell beschrieben als Komponente der Ebene 0 behandelt werden. Es wird empfohlen, den Microsoft Entra Connect-Server als Ressource der Steuerungsebene gemäß den unter Schützen des privilegierten Zugriffs bereitgestellten Anleitungen zu schützen.

Weitere Informationen zum Schützen Ihrer Active Directory-Umgebung finden Sie unter Bewährte Methoden für den Schutz von Active Directory.

Voraussetzungen für die Installation

  • Microsoft Entra Connect muss auf einem in die Domäne eingebundenen Computer unter Windows Server 2016 oder höher installiert werden. Es wird empfohlen, einen in eine Domäne eingebundenen Computer unter Windows Server 2022 zu verwenden. Sie können Microsoft Entra Connect unter Windows Server 2016 bereitstellen. Da Windows Server 2016 jedoch erweitert unterstützt wird, benötigen Sie möglicherweise ein kostenpflichtiges Supportprogramm, wenn Sie Unterstützung für diese Konfiguration benötigen.
  • Erforderlich ist mindestens .NET Framework Version 4.6.2, und neuere Versionen von .NET werden ebenfalls unterstützt. .NET Version 4.8 und höhere Versionen bieten die beste Barrierefreiheitscompliance.
  • Microsoft Entra Connect kann nicht unter Small Business Server oder Windows Server Essentials vor 2019 (Windows Server Essentials 2019 wird unterstützt) installiert werden. Der Server muss Windows Server Standard oder höher verwenden.
  • Auf dem Microsoft Entra Connect-Server muss eine vollständige GUI installiert sein. Die Installation von Microsoft Entra Connect unter Windows Server Core wird nicht unterstützt.
  • Auf dem Microsoft Entra Connect-Server darf die Gruppenrichtlinie für die PowerShell-Transkription nicht aktiviert sein, wenn Sie die Konfiguration von Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) mit dem Microsoft Entra Connect-Assistenten verwalten. Sie können die PowerShell-Transkription aktivieren, wenn Sie den Microsoft Entra Connect-Assistenten zum Verwalten der Synchronisierungskonfiguration verwenden.
  • Wenn AD FS bereitgestellt wird, gelten die folgenden Voraussetzungen:
  • Es wird nicht unterstützt, den Datenverkehr zwischen Microsoft Entra Connect und Microsoft Entra ID zu unterbrechen und zu analysieren. Dadurch könnte der Dienst unterbrochen werden.
  • Wenn Ihre Hybrididentitätsadministrierenden MFA aktiviert haben, muss die URL https://secure.aadcdn.microsoftonline-p.com in der Liste vertrauenswürdiger Websites enthalten sein. Sie werden aufgefordert, diese Website zur Liste der vertrauenswürdigen Websites hinzuzufügen, wenn Sie zur Eingabe einer MFA-Abfrage aufgefordert werden und diese noch nicht hinzugefügt wurde. Sie können dafür Internet Explorer verwenden.
  • Wenn Sie beabsichtigen, Microsoft Entra Connect Health für die Synchronisierung zu verwenden, müssen Sie ein globales Administratorkonto verwenden, um Microsoft Entra Connect Sync zu installieren. Wenn Sie ein Hybrididentitätsadministratorkonto verwenden, wird der Agent installiert, aber in einem deaktivierten Zustand. Weitere Informationen finden Sie unter Installieren der Microsoft Entra Connect Health-Agents.

Härten Ihres Microsoft Entra Connect-Servers

Es wird empfohlen, den Microsoft Entra Connect-Server zuverlässig zu schützen, um die Angriffsfläche für Sicherheitsangriffe für diese wichtige Komponente Ihrer IT-Umgebung zu verringern. Wenn Sie diese Empfehlungen befolgen, können Sie einige Sicherheitsrisiken für Ihre Organisation mindern.

  • Es wird empfohlen, den Microsoft Entra Connect-Server als Ressource der Steuerungsebene (vormals Ebene 0) gemäß den unter Schützen des privilegierten Zugriffs und Active Directory-Verwaltungsebenenmodell bereitgestellten Anleitungen zu schützen.
  • Beschränken Sie den administrativen Zugriff auf den Microsoft Entra Connect-Server ausschließlich auf Domänenadministrierende oder andere streng kontrollierte Sicherheitsgruppen.
  • Erstellen Sie ein dediziertes Konto für alle Mitarbeitenden mit privilegiertem Zugriff. Administratoren sollten in Konten mit hohen Berechtigungen nicht im Internet surfen, ihre E-Mails abfragen oder alltägliche Produktivitätsaufgaben ausführen.
  • Folgen Sie den Anweisungen unter Schützen des privilegierten Zugriffs.
  • Verweigern Sie die Verwendung der NTLM-Authentifizierung mit dem Microsoft Entra Connect-Server. Hier sind einige Möglichkeiten dafür: Einschränken von NTLM auf dem Microsoft Entra Connect-Server und Einschränken von NTLM in einer Domäne.
  • Stellen Sie sicher, dass für jeden Computer ein eindeutiges lokales Administratorkennwort vorhanden ist. Weitere Informationen finden Sie unter Local Administrator Password Solution (Windows LAPS). Mit dieser Lösung können eindeutige zufällige Kennwörter auf jeder Arbeitsstation konfiguriert werden, und für den Server werden die Kennwörter in Active Directory gespeichert und durch eine ACL geschützt. Nur berechtigte autorisierte Benutzer*innen können diese lokalen Kennwörter für das Administratorkonto lesen oder eine Rücksetzung anfordern. Weitere Informationen zum Betreiben einer Umgebung mit Windows LAPS und Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAWs) finden Sie unter Prinzip der vertrauenswürdigen Quelle für betriebliche Standards.
  • Implementieren Sie dedizierte Arbeitsstationen mit privilegiertem Zugriff für alle Mitarbeitenden mit privilegiertem Zugriff auf die Informationssysteme Ihrer Organisation.
  • Berücksichtigen Sie diese zusätzlichen Richtlinien, um die Angriffsfläche Ihrer Active Directory-Umgebung zu verringern.
  • Befolgen Sie die Anweisungen zum Überwachen von Änderungen an der Verbundkonfiguration, um Warnungen einzurichten und Änderungen an der Vertrauensstellung zwischen Ihrem Identitätsanbieter und Microsoft Entra ID zu überwachen.
  • Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) für alle Benutzenden mit privilegiertem Zugriff in Microsoft Entra ID oder in AD. Ein Sicherheitsproblem bei der Verwendung von Microsoft Entra Connect besteht darin, dass Angreifende, wenn sie die Kontrolle über den Microsoft Entra Connect-Server erhalten können, Benutzende in Microsoft Entra ID manipulieren können. Um zu verhindern, dass Angreifende diese Fähigkeiten nutzen, um Microsoft Entra-Konten zu übernehmen, bietet MFA Schutzmechanismen, die verhindern, dass Angreifende den zweiten Faktor umgehen können, selbst wenn es ihnen gelingt, etwa das Passwort von Benutzenden mit Microsoft Entra Connect zurückzusetzen.
  • Deaktivieren Sie Soft Matching in Ihrem Mandanten. Soft Matching ist ein hilfreiches Feature, um die Quelle der Autorität für vorhandene in der Cloud verwaltete Objekte an Microsoft Entra Connect zu übertragen, birgt aber gewisse Sicherheitsrisiken. Wenn Sie es nicht benötigen, sollten Sie Soft Matching deaktivieren.
  • Deaktivieren Sie die Hard Match-Übernahme. Die Hard Match-Übernahme ermöglicht es Microsoft Entra Connect, die Kontrolle über ein in der Cloud verwaltetes Objekt zu übernehmen und die Autoritätsquelle für das Objekt in Active Directory zu ändern. Sobald die Autoritätsquelle eines Objekts von Microsoft Entra Connect übernommen wurde, überschreiben Änderungen am Active Directory-Objekt, das mit dem Microsoft Entra-Objekt verknüpft ist, die ursprünglichen Microsoft Entra-Daten, und zwar einschließlich Kennworthash, wenn die Kennworthashsynchronisierung aktiviert ist. Angreifende können diese Möglichkeit ausnutzen, um die Kontrolle über die in der Cloud verwalteten Objekte zu übernehmen. Deaktivieren Sie zum Entschärfen dieses Risikos die Hard Match-Übernahme.

Von Microsoft Entra Connect verwendete SQL Server-Instanz

  • Microsoft Entra Connect erfordert eine SQL Server-Datenbank zum Speichern von Identitätsdaten. Standardmäßig wird SQL Server 2019 Express LocalDB (eine einfache Version von SQL Server Express) installiert. Für SQL Server Express gilt eine Größenbeschränkung von 10 GB. Dies ermöglicht Ihnen das Verwalten von ca. 100.000 Objekten. Wenn Sie eine größere Anzahl von Verzeichnisobjekten verwalten möchten, müssen Sie im Installations-Assistenten auf eine andere Installation von SQL Server verweisen. Der SQL Server-Installationstyp kann sich auf die Leistung von Microsoft Entra Connect auswirken.
  • Wenn Sie eine andere Installation von SQL Server verwenden, gelten die folgenden Anforderungen:

    • Microsoft Entra Connect unterstützt alle SQL Serverversionen mit grundlegendem Support bis zu SQL Server 2022 unter Windows. Weitere Informationen finden Sie im SQL Server-Lebenszyklusartikel, um den Supportstatus Ihrer SQL Server-Version zu überprüfen. SQL Server 2012 R2 wird nicht mehr unterstützt. Azure SQL-Datenbank wird als Datenbank nicht unterstützt. Dies gilt sowohl für Azure SQL-Datenbank als auch für Azure SQL Managed Instance.

    • Sie müssen eine SQL-Sortierung ohne Berücksichtigung der Groß- und Kleinschreibung verwenden. Diese Sortierungen werden durch „a_CI_“ in ihrem Namen bestimmt. Die Verwendung einer Sortierung, bei der die Groß-/Kleinschreibung beachtet wird, die durch _CS_ in ihrem Namen identifiziert wird, wird nicht unterstützt.

    • Sie können jeweils nur ein Synchronisierungsmodul pro SQL-Instanz verwenden. Das Freigeben einer SQL-Instanz mit MIM Sync, DirSync oder Azure AD Sync wird nicht unterstützt.

    • Verwalten Sie ODBC-Treiber für SQL Server Version 17 und OLE DB-Treiber für SQL Server Version 18, die mit Microsoft Entra Connect gebündelt sind. Das Upgrade der Haupt- oder Nebenversionen von ODBC-/OLE DB-Treibern wird nicht unterstützt. Das Microsoft Entra Connect-Produktgruppenteam enthält neue ODBC/OLE DB-Treiber, da diese verfügbar sind und eine Anforderung haben, aktualisiert zu werden.

    • Microsoft Entra Connect unterstützt das SQL Named Pipes-Protokoll nicht.

Anmerkung

Wenn Sie SQL auf demselben Server wie Microsoft Entra Connect installieren, empfiehlt es sich, SQL so zu konfigurieren, dass der maximale Arbeitsspeicher begrenzt wird, der vom System verwendet werden kann. Befolgen Sie SQL-Best Practices für die Speicherkonfiguration.

Konten

  • Sie müssen über ein Konto globaler Microsoft Entra-Admins oder Admins für hybride Identität für den Microsoft Entra-Mandanten verfügen, den Sie integrieren möchten. Bei diesem Konto muss es sich um ein Geschäfts-, Schul- oder Unikonto handeln, und es darf kein Microsoft-Konto sein.
  • Wenn Sie den Partnerverbund mit AD FS oder PingFederate konfigurieren, benötigen Sie entweder ein Konto mit der globalen Administratorrolle oder ein Konto mit der Rolle des Hybrididentitätsadministrators und des Domänennamenadministrators. Die Konfigurationen im Zusammenhang mit dem Verbund erfordern Berechtigungen, über die die Rolle für Hybrididentitätsadministrierende derzeit nicht verfügt, aber die Rolle für Domänennamenadministrierende.
  • Wenn Sie Expresseinstellungen verwenden oder ein Upgrade von DirSync durchführen, müssen Sie über ein Unternehmensadministratorkonto für Ihre lokale Active Directory-Instanz verfügen.
  • Wenn Sie den Installationspfad für benutzerdefinierte Einstellungen verwenden, stehen Ihnen mehr Optionen zur Verfügung. Weitere Informationen finden Sie unter Einstellungen für die benutzerdefinierte Installation.

Konnektivität

  • Der Microsoft Entra Connect-Server benötigt die DNS-Auflösung sowohl für das Intranet als auch für das Internet. Der DNS-Server muss Namen sowohl zu Ihrem lokalen Active Directory als auch zu den Microsoft Entra-Endpunkten auflösen können.
  • Microsoft Entra Connect erfordert Netzwerkkonnektivität mit allen konfigurierten Domänen.
  • Microsoft Entra Connect erfordert Netzwerkkonnektivität mit der Stammdomäne aller konfigurierten Gesamtstrukturen.
  • Wenn Sie in Ihrem Intranet Firewalls verwenden und die Ports zwischen den Microsoft Entra Connect-Servern und Ihren Domänencontrollern öffnen müssen, lesen Sie die Informationen unter Microsoft Entra Connect-Ports.
  • Wenn Ihr Proxy oder Ihre Firewall den Zugriff auf bestimmte URLs beschränkt, müssen die unter Office 365-URLs und -IP-Adressbereiche dokumentierten URLs geöffnet werden. Weitere Informationen finden Sie auch unter Hinzufügen der URLs für Microsoft Entra Admin Center zu einer Liste sicherer Adressen für Ihre Firewall oder Ihren Proxyserver.
  • Microsoft Entra Connect (Version 1.1.614.0 und höher) verwendet standardmäßig TLS 1.2 für die Verschlüsselung der Kommunikation zwischen dem Synchronisierungsmodul und Microsoft Entra ID. Wenn TLS 1.2 auf dem zugrunde liegenden Betriebssystem nicht verfügbar ist, greift Microsoft Entra Connect schrittweise auf älter Protokolle zurück (TLS 1.1 und TLS 1.0). Ab Microsoft Entra Connect Version 2.0. TLS 1.0 und 1.1 werden nicht mehr unterstützt, und die Installation schlägt fehl, wenn TLS 1.2 nicht aktiviert ist.
  • Vor Version 1.1.614.0 verwendet Microsoft Entra Connect standardmäßig TLS 1.0 für die Verschlüsselung der Kommunikation zwischen dem Synchronisierungsmodul und Microsoft Entra ID. Führen Sie zur Änderung in TLS 1.2 die Schritte unter Aktivieren von TLS 1.2 für Microsoft Entra Connect aus.

Wichtig

Version 2.3.20.0 ist ein Sicherheitsupdate. Mit diesem Update erfordert Microsoft Entra Connect TLS 1.2. Stellen Sie sicher, dass Sie TLS 1.2 aktiviert haben, bevor Sie ein Update auf diese Version ausführen.

Alle Versionen von Windows Server unterstützen TLS 1.2. Wenn TLS 1.2 auf Ihrem Server nicht aktiviert ist, müssen Sie dies aktivieren, bevor Sie Microsoft Entra Connect V2.0 bereitstellen können.

Ein PowerShell-Skript zum Überprüfen, ob TLS 1.2 aktiviert ist, finden Sie unter PowerShell-Skript zum Überprüfen von TLS.

Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358. Weitere Informationen zum Aktivieren von TLS 1.2 finden Sie unter Aktivieren von TLS 1.2.

  • Wenn Sie einen ausgehenden Proxy für die Verbindung mit dem Internet verwenden, muss die folgende Einstellung in der Datei C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config hinzugefügt werden, um dem Installations-Assistenten und der Microsoft Entra Connect-Synchronisierung das Herstellen einer Verbindung mit dem Internet und Microsoft Entra ID zu ermöglichen. Dieser Text muss am Ende der Datei eingegeben werden. Im folgenden Code steht <PROXYADDRESS> für die tatsächliche Proxy-IP-Adresse oder den tatsächlichen Hostnamen.

        <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • Wenn für den Proxyserver eine Authentifizierung erforderlich ist, muss sich das Dienstkonto in der Domäne befinden. Verwenden Sie den Installationspfad für benutzerdefinierte Einstellungen, um ein benutzerdefiniertes Dienstkonto anzugeben. Außerdem müssen Sie in „machine.config“ eine weitere Änderung vornehmen. Durch diese Änderung in „machine.config“ antworten der Installations-Assistent und das Synchronisierungsmodul auf Authentifizierungsanfragen des Proxyservers. Auf allen Seiten des Installations-Assistenten mit Ausnahme der Seite Konfigurieren werden die Anmeldeinformationen des angemeldeten Benutzers verwendet. Am Ende des Installations-Assistenten wird auf der Seite Konfigurieren der Kontext in das von Ihnen erstellte Dienstkonto geändert. Der Abschnitt in der Datei „machine.config“ sollte wie folgt aussehen:

        <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>

  • Wenn die Proxykonfiguration in einem vorhandenen Setup erfolgt, muss der Microsoft Entra Connect Sync-Dienst einmal neu gestartet werden, damit Microsoft Entra Connect die Proxykonfiguration lesen und das Verhalten aktualisieren kann.

  • Wenn Microsoft Entra Connect im Rahmen der Verzeichnissynchronisierung eine Webanforderung an Microsoft Entra ID sendet, kann es bis zu 5 Minuten dauern, bis Microsoft Entra ID antwortet. In der Regel ist für Proxyserver das Leerlauftimeout für Verbindungen konfiguriert. Stellen Sie sicher, dass die Konfiguration auf mindestens 6 Minuten festgelegt ist.

Weitere Informationen finden Sie im MSDN-Artikel über das defaultProxy-Element. Weitere Informationen zu Problemen mit der Konnektivität finden Sie unter Beheben von Konnektivitätsproblemen.

Sonstiges

Optional: Verwenden Sie ein Testbenutzerkonto zur Überprüfung der Synchronisierung.

Voraussetzungen für Komponenten

PowerShell und .NET Framework

Microsoft Entra Connect ist abhängig von Microsoft PowerShell 5.0 und .NET Framework 4.5.1. Auf dem Server muss diese Version oder eine neuere Version installiert sein.

Aktivieren von TLS 1.2 für Microsoft Entra Connect

Wichtig

Version 2.3.20.0 ist ein Sicherheitsupdate. Mit diesem Update erfordert Microsoft Entra Connect TLS 1.2. Stellen Sie sicher, dass Sie TLS 1.2 aktiviert haben, bevor Sie ein Update auf diese Version ausführen.

Alle Versionen von Windows Server unterstützen TLS 1.2. Wenn TLS 1.2 auf Ihrem Server nicht aktiviert ist, müssen Sie dies aktivieren, bevor Sie Microsoft Entra Connect V2.0 bereitstellen können.

Ein PowerShell-Skript zum Überprüfen, ob TLS 1.2 aktiviert ist, finden Sie unter PowerShell-Skript zum Überprüfen von TLS.

Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358. Weitere Informationen zum Aktivieren von TLS 1.2 finden Sie unter Aktivieren von TLS 1.2.

Vor Version 1.1.614.0 verwendet Microsoft Entra Connect standardmäßig TLS 1.0 für die Verschlüsselung der Kommunikation zwischen dem Synchronisierungsmodul und Microsoft Entra ID. Sie können .NET-Anwendungen für die standardmäßige Verwendung von TLS 1.2 auf dem Server konfigurieren. Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358.

  1. Stellen Sie sicher, dass der .NET 4.5.1-Hotfix für Ihr Betriebssystem installiert ist. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2960358. Möglicherweise ist dieser Hotfix oder eine neuere Version bereits auf dem Server installiert.

  2. Legen Sie für alle Betriebssysteme diesen Registrierungsschlüssel fest, und starten Sie den Server neu.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
"SchUseStrongCrypto"=dword:00000001

  3. Wenn Sie TLS 1.2 auch zwischen dem Server mit dem Synchronisierungsmodul und einer SQL Server-Remoteinstanz aktivieren möchten, müssen Sie sicherstellen, dass die erforderlichen Versionen für die TLS 1.2-Unterstützung für Microsoft SQL Server installiert sind.

Weitere Informationen finden Sie unter Aktivieren von TLS 1.2.

DCOM-Voraussetzungen auf dem Synchronisierungsserver

Während der Installation des Synchronisierungsdiensts überprüft Microsoft Entra Connect, ob der folgende Registrierungsschlüssel vorhanden ist:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Unter diesem Registrierungsschlüssel überprüft Microsoft Entra Connect, ob die folgenden Werte vorhanden sind und nicht beschädigt sind:

Voraussetzungen für die Verbundinstallation und -konfiguration

Wichtig

Wenn Sie den Verbund mit Active Directory-Verbunddienste (AD FS) oder PingFederate konfigurieren, benötigen Sie entweder ein Konto mit der Rolle „Globaler Administrator“ oder ein Konto mit den Rollen Hybrididentitätsadministrator und Domänennamenadministrator. Die Konfigurationen im Zusammenhang mit dem Verbund erfordern Berechtigungen, über die die Rolle für Hybrididentitätsadministrierende derzeit nicht verfügt, aber die Rolle für Domänennamenadministrierende.

Windows-Remoteverwaltung

Wenn Sie Microsoft Entra Connect zum Bereitstellen von AD FS oder des Webanwendungsproxys (WAP) verwenden, überprüfen Sie die folgenden Anforderungen:

  • Wenn der Zielserver in die Domäne eingebunden ist, stellen Sie sicher, dass die Windows-Remoteverwaltung aktiviert ist.
    • Verwenden Sie in einem PowerShell-Befehlsfenster mit erhöhten Rechten den Befehl Enable-PSRemoting –force.
  • Wenn der Zielserver kein in die Domäne eingebundener WAP-Computer ist, gibt es einige zusätzliche Anforderungen:
    • Auf dem Zielcomputer (WAP-Computer):
      • Stellen Sie sicher, dass die Windows-Remoteverwaltung/der WS-Verwaltungsdienst (WinRM) über das Dienste-Snap-In ausgeführt wird.
      • Verwenden Sie in einem PowerShell-Befehlsfenster mit erhöhten Rechten den Befehl Enable-PSRemoting –force.
    • Auf dem Computer, auf dem der Assistent ausgeführt wird (wenn der Zielcomputer nicht in die Domäne eingebunden ist oder sich in einer nicht vertrauenswürdigen Domäne befindet):
      • Verwenden Sie in einem PowerShell-Befehlsfenster mit erhöhten Rechten den Befehl Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • Im Server-Manager:
        • Fügen Sie einem Computerpool einen DMZ-WAP-Host hinzu. Wählen Sie im Server-Manager die Optionen Verwalten>Server hinzufügen aus, und verwenden Sie dann die Registerkarte DNS.
        • Klicken Sie auf der Registerkarte Server-Manager – Alle Server mit der rechten Maustaste auf den WAP-Server, und wählen Sie Verwalten als aus. Geben Sie die lokalen (keine domänenspezifischen) Anmeldeinformationen für den WAP-Computer ein.
        • Um die PowerShell-Remotekonnektivität zu überprüfen, klicken Sie auf der Registerkarte Server-Manager – Alle Server mit der rechten Maustaste auf den WAP-Server, und wählen Sie Windows PowerShell aus. Daraufhin sollte eine PowerShell-Remotesitzung geöffnet werden, um sicherzustellen, dass PowerShell-Remotesitzungen hergestellt werden können.

TLS-/SSL-Zertifikatanforderungen

  • Es wird empfohlen, dasselbe TLS-/SSL-Zertifikat für alle Knoten Ihrer AD FS-Farm und für alle Webanwendungsproxy-Server zu verwenden.
  • Das Zertifikat muss ein X.509-Zertifikat sein.
  • Sie können ein selbstsigniertes Zertifikat für Verbundserver in einer Testlabumgebung verwenden. Für Produktionsumgebungen empfiehlt es sich, das Zertifikat von einer öffentlichen Zertifizierungsstelle zu erwerben.
    • Stellen Sie bei Verwendung eines nicht öffentlich vertrauenswürdigen Zertifikats sicher, dass dem auf jedem Webanwendungsproxy-Server installierten Zertifikat sowohl auf dem lokalen Server als auch auf allen Verbundservern vertraut wird.
  • Die Identität des Zertifikats muss mit dem Namen des Verbunddiensts (z. B. sts.contoso.com) übereinstimmen.
    • Die Identität ist die Erweiterung eines alternativen Antragstellernamens (Subject Alternative Name, SAN) des Typs „dNSName“, oder der Name des Antragstellers wird als allgemeiner Name angegeben, wenn keine SAN-Einträge vorhanden sind.
    • Im Zertifikat können mehrere SAN-Einträge vorhanden sein, sofern einer der Einträge mit dem Namen des Verbunddiensts übereinstimmt.
    • Wenn Sie Workplace Join verwenden möchten, ist ein zusätzliches SAN mit dem Wert enterpriseregistration. gefolgt vom User Principal Name (UPN)-Suffix Ihrer Organisation erforderlich, z. B. enterpriseregistration.contoso.com.
  • Auf CNG-Schlüsseln (Cryptography API: Next Generation) und Schlüsselspeicheranbietern (Key Storage Providers, KSPs) basierende Zertifikate werden nicht unterstützt. Dies bedeutet, dass Sie ein auf einem Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) basierendes Zertifikat verwenden müssen und kein Zertifikat von einem KSP.
  • Platzhalterzertifikate werden unterstützt.

Namensauflösung für Verbundserver

  • Richten Sie DNS-Einträge für den AD FS-Namen (z. B. „sts.contoso.com“) für das Intranet (Ihren internen DNS-Server) sowie für das Extranet (den öffentlichen DNS-Server über Ihre Domänenregistrierungsstelle) ein. Stellen Sie sicher, dass Sie für den Intranet-DNS-Eintrag A-Einträge und keine CNAME-Einträge verwenden. Die Verwendung von A-Einträgen ist erforderlich, damit die Windows-Authentifizierung auf Ihrem in die Domäne eingebundenen Computer ordnungsgemäß funktioniert.
  • Wenn Sie mehr als einen AD FS-Server oder Webanwendungsproxy-Server bereitstellen, müssen Sie unbedingt den Lastenausgleich konfigurieren und sicherstellen, dass die DNS-Einträge für den AD FS-Namen (z. B. „sts.contoso.com“) auf den Lastenausgleich verweisen.
  • Damit die integrierte Windows-Authentifizierung für Browseranwendungen bei Verwendung von Internet Explorer in Ihrem Intranet funktioniert, müssen Sie sicherstellen, dass der AD FS-Name (z. B. „sts.contoso.com“) der Intranetzone in Internet Explorer hinzugefügt wird. Diese Anforderung kann über Gruppenrichtlinien gesteuert und für alle Ihre in die Domäne eingebundenen Computer bereitgestellt werden.

Unterstützende Microsoft Entra Connect-Komponenten

Microsoft Entra Connect installiert die folgenden Komponenten auf dem Server, auf dem Microsoft Entra Connect installiert ist. Diese Liste ist für eine einfache Expressinstallation. Wenn Sie auf der Seite Synchronisierungsdienste installieren eine andere SQL Server-Version auswählen, wird SQL Express LocalDB nicht lokal installiert.

  • Microsoft Entra Connect Health
  • Befehlszeilen-Hilfsprogramme für Microsoft SQL Server 2022
  • Microsoft SQL Server 2022 Express LocalDB
  • Nativer Microsoft SQL Server 2022-Client
  • Microsoft Visual C++ 14 Redistributable Package

Hardwareanforderungen für Microsoft Entra Connect

In der folgenden Tabelle sind die Mindestanforderungen für den Microsoft Entra Connect-Synchronisierungscomputer aufgeführt.

Anzahl der Objekte in Active Directory CPU Arbeitsspeicher Festplattengröße
Weniger als 10.000 1,6 GHz 6 GB 70 GB
10.000 bis 50.000 1,6 GHz 6 GB 70 GB
50.000 bis 100.000 1,6 GHz 16 GB 100 GB
Bei 100.000 oder mehr Objekten ist die Vollversion von SQL Server erforderlich. Aus Leistungsgründen wird eine lokale Installation bevorzugt. Die folgenden Werte sind nur für die Microsoft Entra Connect-Installation gültig. Wenn SQL Server auf demselben Server installiert ist, ist weiterer Arbeitsspeicher, Laufwerk und CPU erforderlich.
100.000 bis 300.000 1,6 GHz 32 GB 300 GB
300.000 bis 600.000 1,6 GHz 32 GB 450 GB
Mehr als 600.000 1,6 GHz 32 GB 500 GB

Die Mindestanforderungen für Computer mit AD FS oder Webanwendungsproxy-Servern lauten wie folgt:

  • CPU: Doppelkern mit 1,6 GHz oder mehr
  • Arbeitsspeicher: mindestens 2 GB
  • Azure-VM: A2-Konfiguration oder höher

Nächste Schritte

Erfahren Sie mehr über das Integrieren Ihrer lokalen Identitäten in Microsoft Entra ID.