Wymagania wstępne dotyczące usługi Microsoft Entra Connect
W tym artykule opisano wymagania wstępne i wymagania sprzętowe dotyczące programu Microsoft Entra Connect.
Przed zainstalowaniem programu Microsoft Entra Connect
Przed zainstalowaniem programu Microsoft Entra Connect potrzebne jest kilka rzeczy.
Microsoft Entra ID
- Potrzebna jest dzierżawa firmy Microsoft Entra. Możesz skorzystać z bezpłatnej wersji próbnej platformy Azure. Do zarządzania programem Microsoft Entra Connect można użyć jednego z następujących portali:
- Centrum administracyjne firmy Microsoft Entra.
- Portal pakietu Office.
- Dodaj i zweryfikuj domenę , której zamierzasz użyć w identyfikatorze Entra firmy Microsoft. Jeśli na przykład planujesz używać contoso.com dla użytkowników, upewnij się, że ta domena została zweryfikowana i nie używasz tylko domeny domyślnej contoso.onmicrosoft.com.
- Dzierżawa firmy Microsoft Entra zezwala domyślnie na 50 000 obiektów. Po zweryfikowaniu domeny limit zwiększa się do 300 000 obiektów. Jeśli potrzebujesz jeszcze większej liczby obiektów w identyfikatorze Entra firmy Microsoft, otwórz zgłoszenie do pomocy technicznej, aby zwiększyć limit jeszcze bardziej. Jeśli potrzebujesz więcej niż 500 000 obiektów, potrzebujesz licencji, takiej jak Microsoft 365, Microsoft Entra ID P1 lub P2 lub Enterprise Mobility + Security.
Przygotowywanie danych lokalnych
- Użyj identyfikatoraFix, aby zidentyfikować błędy, takie jak duplikaty i problemy z formatowaniem w katalogu przed zsynchronizowaniem z identyfikatorem Entra firmy Microsoft i platformą Microsoft 365.
- Przejrzyj opcjonalne funkcje synchronizacji, które można włączyć w identyfikatorze Entra firmy Microsoft i oceń, które funkcje należy włączyć.
Lokalna usługa Active Directory
- Wersja schematu usługi Active Directory i poziom funkcjonalności lasu musi być systemem Windows Server 2003 lub nowszym. Kontrolery domeny mogą uruchamiać dowolną wersję, o ile są spełnione wymagania dotyczące wersji schematu i poziomu lasu. Jeśli potrzebujesz obsługi kontrolerów domeny z systemem Windows Server 2016 lub starszym, może być wymagany program płatnej pomocy technicznej.
- Kontroler domeny używany przez usługę Microsoft Entra ID musi być zapisywalny. Używanie kontrolera domeny tylko do odczytu (RODC) nie jest obsługiwane, a program Microsoft Entra Connect nie wykonuje żadnych przekierowań zapisu.
- Używanie lokalnych lasów lub domen przy użyciu "kropkowanych" (nazwa zawiera kropkę ".") Nazwy NetBIOS nie są obsługiwane.
- Zalecamy włączenie kosza usługi Active Directory.
Zasady wykonywania programu PowerShell
Program Microsoft Entra Connect uruchamia podpisane skrypty programu PowerShell w ramach instalacji. Upewnij się, że zasady wykonywania programu PowerShell będą zezwalać na uruchamianie skryptów.
Zalecane zasady wykonywania podczas instalacji to "RemoteSigned".
Aby uzyskać więcej informacji na temat ustawiania zasad wykonywania programu PowerShell, zobacz Set-ExecutionPolicy.
Serwer Microsoft Entra Connect
Serwer Microsoft Entra Connect zawiera dane dotyczące tożsamości krytycznej. Ważne jest, aby dostęp administracyjny do tego serwera był prawidłowo zabezpieczony. Postępuj zgodnie z wytycznymi w temacie Zabezpieczanie dostępu uprzywilejowanego.
Serwer Microsoft Entra Connect musi być traktowany jako składnik warstwy 0, jak opisano w modelu warstwy administracyjnej usługi Active Directory. Zalecamy wzmocnienie zabezpieczeń serwera Microsoft Entra Connect jako elementu zawartości płaszczyzny sterowania, postępując zgodnie ze wskazówkami podanymi w temacie Bezpieczny dostęp uprzywilejowany
Aby dowiedzieć się więcej na temat zabezpieczania środowiska usługi Active Directory, zobacz Najlepsze rozwiązania dotyczące zabezpieczania usługi Active Directory.
Wymagania wstępne instalacji
- Program Microsoft Entra Connect musi być zainstalowany w systemie Windows Server 2016 lub nowszym przyłączonym do domeny. Zalecamy używanie przyłączonego do domeny systemu Windows Server 2022. Program Microsoft Entra Connect można wdrożyć w systemie Windows Server 2016, ale ponieważ system Windows Server 2016 jest rozszerzony, możesz wymagać płatnego programu pomocy technicznej, jeśli potrzebujesz pomocy technicznej dla tej konfiguracji.
- Minimalna wymagana wersja programu .NET Framework to 4.6.2, a nowsze wersje platformy .NET są również obsługiwane. Platforma .NET w wersji 4.8 i nowszej oferuje najlepszą zgodność z ułatwieniami dostępu.
- Nie można zainstalować programu Microsoft Entra Connect w programie Small Business Server lub Windows Server Essentials przed 2019 r. (jest obsługiwany system Windows Server Essentials 2019). Serwer musi używać systemu Windows Server w warstwie Standardowa lub nowszej.
- Na serwerze Microsoft Entra Connect musi być zainstalowany pełny graficzny interfejs użytkownika. Instalowanie programu Microsoft Entra Connect w systemie Windows Server Core nie jest obsługiwane.
- Serwer Microsoft Entra Connect nie może mieć włączonych zasad grupy transkrypcji programu PowerShell, jeśli do zarządzania konfiguracją usług Active Directory Federation Services (AD FS) jest używany kreator Microsoft Entra Connect. Możesz włączyć transkrypcję programu PowerShell, jeśli używasz kreatora Microsoft Entra Connect do zarządzania konfiguracją synchronizacji.
- Upewnij się, że program MSOnline PowerShell (MSOL) nie jest zablokowany na poziomie dzierżawy.
- Jeśli usługi AD FS są wdrażane:
- Serwery, na których zainstalowano usługi AD FS lub sieci Web serwer proxy aplikacji, muszą mieć system Windows Server 2012 R2 lub nowszy. Zdalne zarządzanie systemem Windows musi być włączone na tych serwerach na potrzeby instalacji zdalnej. Jeśli potrzebujesz pomocy technicznej dla systemu Windows Server 2016 lub starszego, może być wymagany program płatnej pomocy technicznej.
- Należy skonfigurować certyfikaty TLS/SSL. Aby uzyskać więcej informacji, zobacz Zarządzanie protokołami SSL/TLS i zestawami szyfrowania dla usług AD FS i Zarządzanie certyfikatami SSL w usługach AD FS.
- Należy skonfigurować rozpoznawanie nazw.
- Nie jest obsługiwane przerywanie i analizowanie ruchu między programem Microsoft Entra Connect i identyfikatorem entra firmy Microsoft. Może to zakłócić działanie usługi.
- Jeśli administratorzy tożsamości hybrydowej mają włączoną usługę MFA, adres URL
https://secure.aadcdn.microsoftonline-p.com
musi znajdować się na liście zaufanych witryn. Zostanie wyświetlony monit o dodanie tej witryny do listy zaufanych witryn po wyświetleniu monitu o wyzwanie uwierzytelniania wieloskładnikowego i nie został on dodany wcześniej. Możesz użyć programu Internet Explorer, aby dodać go do zaufanych witryn. - Jeśli planujesz używać programu Microsoft Entra Connect Health do synchronizacji, musisz użyć konta administratora globalnego do zainstalowania usługi Microsoft Entra Connect Sync. Jeśli używasz konta administratora hybrydowego, agent zostanie zainstalowany, ale w stanie wyłączonym. Aby uzyskać więcej informacji, zobacz Instalacja agenta programu Microsoft Entra Connect Health.
Wzmacnianie zabezpieczeń serwera Microsoft Entra Connect
Zalecamy wzmocnienie zabezpieczeń serwera Microsoft Entra Connect w celu zmniejszenia obszaru ataków bezpieczeństwa dla tego krytycznego składnika środowiska IT. Wykonanie tych zaleceń pomoże ograniczyć niektóre zagrożenia bezpieczeństwa dla organizacji.
- Zalecamy wzmocnienie zabezpieczeń serwera Microsoft Entra Connect jako elementu zawartości Płaszczyzna sterowania (wcześniej warstwa 0), postępując zgodnie ze wskazówkami podanymi w modelu warstwy administracyjnej Bezpieczny dostęp uprzywilejowany i Active Directory.
- Ogranicz dostęp administracyjny do serwera Microsoft Entra Connect tylko administratorom domeny lub innym ściśle kontrolowanym grupom zabezpieczeń.
- Utwórz dedykowane konto dla wszystkich pracowników z uprzywilejowanym dostępem. Administratorzy nie powinni przeglądać internetu, sprawdzać swoje wiadomości e-mail i wykonywać codzienne zadania związane z produktywnością przy użyciu kont z wysokimi uprawnieniami.
- Postępuj zgodnie ze wskazówkami podanymi w artykule Zabezpieczanie uprzywilejowanego dostępu.
- Odmów użycia uwierzytelniania NTLM z serwerem Microsoft Entra Connect. Poniżej przedstawiono kilka sposobów, aby to zrobić: ograniczanie protokołu NTLM na serwerze Microsoft Entra Connect i ograniczanie protokołu NTLM w domenie
- Upewnij się, że każda maszyna ma unikatowe hasło administratora lokalnego. Aby uzyskać więcej informacji, zobacz Local Administrator Password Solution (Windows LAPS) can configure unique random passwords on each workstation and server store them in Active Directory protected by an ACL (Rozwiązanie do lokalnych haseł administratora lokalnego (Windows LAPS) może skonfigurować unikatowe losowe hasła na każdej stacji roboczej i serwerze przechowywać je w usłudze Active Directory chronionej przez listę ACL. Tylko uprawnieni użytkownicy mogą odczytywać lub żądać zresetowania tych haseł konta administratora lokalnego. Dodatkowe wskazówki dotyczące obsługi środowiska z systemem Windows LAPS i stacji roboczych z uprzywilejowanym dostępem (PAW) można znaleźć w standardach operacyjnych opartych na zasadzie czystego źródła.
- Zaimplementuj dedykowane stacje robocze uprzywilejowanego dostępu dla wszystkich pracowników z uprzywilejowanym dostępem do systemów informacyjnych organizacji.
- Postępuj zgodnie z tymi dodatkowymi wskazówkami, aby zmniejszyć obszar ataków środowiska usługi Active Directory.
- Postępuj zgodnie z instrukcjami Monitorowanie zmian konfiguracji federacji, aby skonfigurować alerty w celu monitorowania zmian zaufania ustanowionych między dostawcą tożsamości a identyfikatorem Entra firmy Microsoft.
- Włącz uwierzytelnianie wieloskładnikowe (MFA) dla wszystkich użytkowników, którzy mają uprzywilejowany dostęp w usłudze Microsoft Entra ID lub w usłudze AD. Jednym z problemów z zabezpieczeniami podczas korzystania z programu Microsoft Entra Connect jest to, że jeśli osoba atakująca może uzyskać kontrolę nad serwerem Microsoft Entra Connect, może manipulować użytkownikami w identyfikatorze Entra firmy Microsoft. Aby zapobiec korzystaniu z tych funkcji do przejęcia kont Microsoft Entra, uwierzytelnianie wieloskładnikowe zapewnia ochronę, aby nawet jeśli osoba atakująca zarządza, na przykład zresetować hasło użytkownika przy użyciu programu Microsoft Entra Connect, nadal nie może pominąć drugiego czynnika.
- Wyłącz dopasowywanie nietrwałe w dzierżawie. Soft Matching to świetna funkcja, która ułatwia przenoszenie źródła urzędu dla istniejących obiektów zarządzanych w chmurze do programu Microsoft Entra Connect, ale wiąże się z pewnymi zagrożeniami bezpieczeństwa. Jeśli nie jest to wymagane, należy wyłączyć dopasowywanie nietrwałe.
- Wyłącz przejęcie meczu twardego. Przejęcie twardego dopasowania umożliwia firmie Microsoft Entra Connect przejęcie kontroli nad obiektem zarządzanym w chmurze i zmianą źródła urzędu dla obiektu na usługę Active Directory. Gdy źródło urzędu obiektu zostanie przejęte przez program Microsoft Entra Connect, zmiany wprowadzone w obiekcie usługi Active Directory połączone z obiektem Microsoft Entra zastąpią oryginalne dane firmy Microsoft Entra , w tym skrót hasła, jeśli włączono synchronizację skrótów haseł. Osoba atakująca może użyć tej funkcji, aby przejąć kontrolę nad obiektami zarządzanymi w chmurze. Aby ograniczyć to ryzyko, wyłącz twarde przejęcie dopasowania.
Program SQL Server używany przez firmę Microsoft Entra Connect
- Program Microsoft Entra Connect wymaga bazy danych programu SQL Server do przechowywania danych tożsamości. Domyślnie jest instalowany program SQL Server 2019 Express LocalDB (lekka wersja programu SQL Server Express). Program SQL Server Express ma limit rozmiaru 10 GB, który umożliwia zarządzanie około 100 000 obiektów. Jeśli musisz zarządzać większą liczbą obiektów katalogu, wskaż kreatora instalacji do innej instalacji programu SQL Server. Typ instalacji programu SQL Server może mieć wpływ na wydajność programu Microsoft Entra Connect.
- Jeśli używasz innej instalacji programu SQL Server, obowiązują następujące wymagania:
- Program Microsoft Entra Connect obsługuje wszystkie podstawowe obsługiwane wersje programu SQL Server do programu SQL Server 2022 działającego w systemie Windows. Zapoznaj się z artykułem cyklu życia programu SQL Server, aby sprawdzić stan pomocy technicznej wersji programu SQL Server. Program SQL Server 2012 nie jest już obsługiwany. Usługa Azure SQL Database nie jest obsługiwana jako baza danych. Obejmuje to zarówno usługę Azure SQL Database, jak i usługę Azure SQL Managed Instance.
- Należy użyć sortowania SQL bez uwzględniania wielkości liter. Te sortowania są identyfikowane z wartością _CI_ w nazwie. Używanie sortowania z uwzględnieniem wielkości liter zidentyfikowanych przez _CS_ w nazwie nie jest obsługiwane.
- Można mieć tylko jeden aparat synchronizacji na wystąpienie SQL. Udostępnianie wystąpienia SQL za pomocą synchronizacji programu MIM, narzędzia DirSync lub usługi Azure AD Sync nie jest obsługiwane.
- Obsługa sterownika ODBC dla programu SQL Server w wersji 17 i sterownika OLE DB dla programu SQL Server w wersji 18, które są powiązane z programem Microsoft Entra Connect. Uaktualnianie sterowników ODBC/OLE DB w wersji głównej lub pomocniczej nie jest obsługiwane. Zespół grupy produktów Microsoft Entra Connect będzie zawierać nowe sterowniki ODBC/OLE DB, ponieważ staną się one dostępne i muszą zostać zaktualizowane.
Klienci
- Musisz mieć konto administratora globalnego firmy Microsoft Entra lub konto administratora tożsamości hybrydowej dla dzierżawy firmy Microsoft Entra, z którą chcesz się zintegrować. To konto musi być kontem szkolnym lub organizacyjnym i nie może być kontem Microsoft.
- Jeśli używasz ustawień ekspresowych lub uaktualnij z narzędzia DirSync, musisz mieć konto administratora przedsiębiorstwa dla lokalna usługa Active Directory.
- Jeśli używasz ścieżki instalacji ustawień niestandardowych, masz więcej opcji. Aby uzyskać więcej informacji, zobacz Ustawienia instalacji niestandardowej.
Łączność
- Serwer Microsoft Entra Connect wymaga rozpoznawania nazw DNS zarówno dla intranetu, jak i Internetu. Serwer DNS musi mieć możliwość rozpoznawania nazw zarówno dla lokalna usługa Active Directory, jak i punktów końcowych firmy Microsoft Entra.
- Program Microsoft Entra Connect wymaga łączności sieciowej ze wszystkimi skonfigurowanymi domenami
- Program Microsoft Entra Connect wymaga łączności sieciowej z domeną główną wszystkich skonfigurowanych lasów
- Jeśli masz zapory w intranecie i musisz otworzyć porty między serwerami Microsoft Entra Connect i kontrolerami domeny, zobacz Porty microsoft Entra Connect, aby uzyskać więcej informacji.
- Jeśli serwer proxy lub zapora ograniczają adresy URL, do których można uzyskać dostęp, należy otworzyć adresy URL udokumentowane w adresach URL i zakresach adresów IP usługi Office 365. Zobacz również safelist the Microsoft Entra admin center URL on your firewall or proxy server (Bezpieczne listy adresów URL centrum administracyjnego firmy Microsoft na serwerze zapory lub serwera proxy).
- Jeśli korzystasz z chmury firmy Microsoft w Niemczech lub w chmurze Microsoft Azure Government, zobacz Uwagi dotyczące wystąpień usługi Microsoft Entra Connect Sync pod kątem adresów URL.
- Program Microsoft Entra Connect (wersja 1.1.614.0 i nowsze) domyślnie używa protokołu TLS 1.2 do szyfrowania komunikacji między aparatem synchronizacji i identyfikatorem Entra firmy Microsoft. Jeśli protokół TLS 1.2 nie jest dostępny w bazowym systemie operacyjnym, program Microsoft Entra Connect przyrostowo wraca do starszych protokołów (TLS 1.1 i TLS 1.0). Od firmy Microsoft Entra Connect w wersji 2.0. Protokoły TLS 1.0 i 1.1 nie są już obsługiwane, a instalacja zakończy się niepowodzeniem, jeśli protokół TLS 1.2 nie jest włączony.
- Przed wersją 1.1.614.0 program Microsoft Entra Connect domyślnie używa protokołu TLS 1.0 do szyfrowania komunikacji między aparatem synchronizacji i identyfikatorem Entra firmy Microsoft. Aby zmienić protokół TLS 1.2, wykonaj kroki opisane w artykule Włączanie protokołu TLS 1.2 dla programu Microsoft Entra Connect.
Ważne
Wersja 2.3.20.0 to aktualizacja zabezpieczeń. W przypadku tej aktualizacji program Microsoft Entra Connect wymaga protokołu TLS 1.2. Przed zaktualizowaniem do tej wersji upewnij się, że protokół TLS 1.2 jest włączony.
Wszystkie wersje systemu Windows Server obsługują protokół TLS 1.2. Jeśli protokół TLS 1.2 nie jest włączony na serwerze, przed wdrożeniem programu Microsoft Entra Connect v2.0 należy go włączyć.
Aby uzyskać skrypt programu PowerShell w celu sprawdzenia, czy protokół TLS 1.2 jest włączony, zobacz Skrypt programu PowerShell w celu sprawdzenia protokołu TLS
Aby uzyskać więcej informacji na temat protokołu TLS 1.2, zobacz Microsoft Security Advisory 2960358. Aby uzyskać więcej informacji na temat włączania protokołu TLS 1.2, zobacz jak włączyć protokół TLS 1.2
Jeśli używasz serwera proxy ruchu wychodzącego do łączenia się z Internetem, należy dodać następujące ustawienie w folderze C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config , aby kreator instalacji i program Microsoft Entra Connect Sync mógł nawiązać połączenie z Internetem i identyfikatorem Entra Firmy Microsoft. Ten tekst należy wprowadzić w dolnej części pliku. W tym kodzie <serwer PROXYADDRESS> reprezentuje rzeczywisty adres IP serwera proxy lub nazwę hosta.
<system.net> <defaultProxy> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Jeśli serwer proxy wymaga uwierzytelniania, konto usługi musi znajdować się w domenie. Użyj ścieżki instalacji ustawień niestandardowych, aby określić niestandardowe konto usługi. Potrzebna jest również inna zmiana pliku machine.config. Dzięki tej zmianie w pliku machine.config kreator instalacji i aparat synchronizacji odpowiadają na żądania uwierzytelniania z serwera proxy. Na wszystkich stronach kreatora instalacji z wyłączeniem strony Konfigurowanie używane są poświadczenia zalogowanych użytkowników. Na stronie Konfigurowanie na końcu kreatora instalacji kontekst jest przełączany do utworzonego konta usługi. Sekcja machine.config powinna wyglądać następująco:
<system.net> <defaultProxy enabled="true" useDefaultCredentials="true"> <proxy usesystemdefault="true" proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>" bypassonlocal="true" /> </defaultProxy> </system.net>
Jeśli konfiguracja serwera proxy jest wykonywana w istniejącej konfiguracji, należy ponownie uruchomić usługę Microsoft Entra ID Sync raz, aby program Microsoft Entra Connect odczytał konfigurację serwera proxy i zaktualizował zachowanie.
Gdy program Microsoft Entra Connect wysyła żądanie internetowe do identyfikatora Entra firmy Microsoft w ramach synchronizacji katalogów, reagowanie na nie może potrwać do 5 minut. Często serwery proxy mają konfigurację limitu czasu bezczynności połączenia. Upewnij się, że konfiguracja jest ustawiona na co najmniej 6 minut.
Aby uzyskać więcej informacji, zobacz MSDN na temat domyślnego elementu serwera proxy. Aby uzyskać więcej informacji o problemach z łącznością, zobacz Rozwiązywanie problemów z łącznością.
Inne
Opcjonalnie: użyj konta użytkownika testowego, aby zweryfikować synchronizację.
Wymagania wstępne dotyczące składników
Program PowerShell i program .NET Framework
Program Microsoft Entra Connect zależy od programów Microsoft PowerShell 5.0 i .NET Framework 4.5.1. Potrzebna jest ta wersja lub nowsza wersja zainstalowana na serwerze.
Włączanie protokołu TLS 1.2 dla programu Microsoft Entra Connect
Ważne
Wersja 2.3.20.0 to aktualizacja zabezpieczeń. W przypadku tej aktualizacji program Microsoft Entra Connect wymaga protokołu TLS 1.2. Przed zaktualizowaniem do tej wersji upewnij się, że protokół TLS 1.2 jest włączony.
Wszystkie wersje systemu Windows Server obsługują protokół TLS 1.2. Jeśli protokół TLS 1.2 nie jest włączony na serwerze, przed wdrożeniem programu Microsoft Entra Connect v2.0 należy go włączyć.
Aby uzyskać skrypt programu PowerShell w celu sprawdzenia, czy protokół TLS 1.2 jest włączony, zobacz Skrypt programu PowerShell w celu sprawdzenia protokołu TLS
Aby uzyskać więcej informacji na temat protokołu TLS 1.2, zobacz Microsoft Security Advisory 2960358. Aby uzyskać więcej informacji na temat włączania protokołu TLS 1.2, zobacz jak włączyć protokół TLS 1.2
Przed wersją 1.1.614.0 program Microsoft Entra Connect domyślnie używa protokołu TLS 1.0 do szyfrowania komunikacji między serwerem aparatu synchronizacji i identyfikatorem Entra firmy Microsoft. Aplikacje platformy .NET można skonfigurować domyślnie do używania protokołu TLS 1.2 na serwerze. Aby uzyskać więcej informacji na temat protokołu TLS 1.2, zobacz Microsoft Security Advisory 2960358.
Upewnij się, że masz zainstalowaną poprawkę .NET 4.5.1 dla systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Microsoft Security Advisory 2960358. Być może ta poprawka lub nowsza wersja jest już zainstalowana na serwerze.
W przypadku wszystkich systemów operacyjnych ustaw ten klucz rejestru i uruchom ponownie serwer.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
Jeśli chcesz również włączyć protokół TLS 1.2 między serwerem aparatu synchronizacji i zdalnym programem SQL Server, upewnij się, że masz zainstalowane wymagane wersje dla obsługi protokołu TLS 1.2 dla programu Microsoft SQL Server.
Aby uzyskać więcej informacji, zobacz jak włączyć protokół TLS 1.2
Wymagania wstępne dotyczące modelu DCOM na serwerze synchronizacji
Podczas instalacji usługi synchronizacji program Microsoft Entra Connect sprawdza obecność następującego klucza rejestru:
- HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
W ramach tego klucza rejestru program Microsoft Entra Connect sprawdzi, czy istnieją następujące wartości i które nie zostały przerwane:
Wymagania wstępne dotyczące instalacji i konfiguracji federacji
Windows Remote Management
Jeśli używasz programu Microsoft Entra Connect do wdrażania usług AD FS lub sieci Web serwer proxy aplikacji (WAP), sprawdź następujące wymagania:
- Jeśli serwer docelowy jest przyłączony do domeny, upewnij się, że funkcja zdalnego zarządzania systemem Windows jest włączona.
- W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia
Enable-PSRemoting –force
.
- W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia
- Jeśli serwer docelowy jest maszyną WAP nieprzyłączonych do domeny, istnieje kilka dodatkowych wymagań:
- Na maszynie docelowej (maszyna WAP):
- Upewnij się, że usługa Windows Remote Management/WS-Management (WinRM) jest uruchomiona za pośrednictwem przystawki Usługi.
- W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia
Enable-PSRemoting –force
.
- Na maszynie, na której jest uruchomiony kreator (jeśli maszyna docelowa jest nieprzyłączonych do domeny lub jest niezaufaną domeną):
- W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate
. - W Menedżerze serwera:
- Dodaj hosta dmZ WAP do puli maszyn. W Menedżerze serwera wybierz pozycję Zarządzaj>dodaj serwery, a następnie użyj karty DNS .
- Na karcie Menedżer serwera Wszystkie serwery kliknij prawym przyciskiem myszy serwer WAP i wybierz polecenie Zarządzaj jako. Wprowadź poświadczenia lokalne (nie domena) dla maszyny WAP.
- Aby zweryfikować zdalną łączność programu PowerShell, na karcie Menedżer serwera Wszystkie serwery kliknij prawym przyciskiem myszy serwer WAP i wybierz pozycję Windows PowerShell. Zdalna sesja programu PowerShell powinna zostać otwarta, aby upewnić się, że można ustanowić zdalne sesje programu PowerShell.
- W oknie polecenia programu PowerShell z podwyższonym poziomem uprawnień użyj polecenia
- Na maszynie docelowej (maszyna WAP):
Wymagania dotyczące certyfikatów TLS/SSL
- Zalecamy używanie tego samego certyfikatu TLS/SSL we wszystkich węzłach farmy usług AD FS i wszystkich serwerów serwer proxy aplikacji sieci Web.
- Certyfikat musi być certyfikatem X509.
- Certyfikat z podpisem własnym można używać na serwerach federacyjnych w środowisku laboratorium testowym. W przypadku środowiska produkcyjnego zalecamy uzyskanie certyfikatu od publicznego urzędu certyfikacji.
- Jeśli używasz certyfikatu, który nie jest publicznie zaufany, upewnij się, że certyfikat zainstalowany na każdym serwerze serwer proxy aplikacji sieci Web jest zaufany zarówno na serwerze lokalnym, jak i na wszystkich serwerach federacyjnych.
- Tożsamość certyfikatu musi być zgodna z nazwą usługi federacyjnej (na przykład sts.contoso.com).
- Tożsamość jest rozszerzeniem alternatywnej nazwy podmiotu (SAN) typu dNSName lub, jeśli nie ma wpisów SIECI SAN, nazwa podmiotu jest określona jako nazwa pospolita.
- W certyfikacie może znajdować się wiele wpisów sieci SAN, pod warunkiem, że jeden z nich jest zgodny z nazwą usługi federacyjnej.
- Jeśli planujesz używać funkcji Dołączanie w miejscu pracy, wymagana jest dodatkowa sieć SAN z wartością enterpriseregistration. Następnie sufiks głównej nazwy użytkownika (UPN) organizacji, na przykład enterpriseregistration.contoso.com.
- Certyfikaty oparte na kluczach nowej generacji (CNG) i dostawcach magazynu kluczy (KSP) nie są obsługiwane. W związku z tym należy użyć certyfikatu opartego na dostawcy usług kryptograficznych (CSP), a nie dostawcy usług kryptograficznych.
- Obsługiwane są certyfikaty wieloznaczne.
Rozpoznawanie nazw dla serwerów federacyjnych
- Skonfiguruj rekordy DNS dla nazwy usług AD FS (na przykład sts.contoso.com) dla intranetu (wewnętrznego serwera DNS) i ekstranetu (publicznego systemu DNS za pośrednictwem rejestratora domen). W przypadku intranetowego rekordu DNS upewnij się, że używasz rekordów A, a nie rekordów CNAME. Używanie rekordów A jest wymagane do prawidłowego działania uwierzytelniania systemu Windows z komputera przyłączonego do domeny.
- Jeśli wdrażasz więcej niż jeden serwer usług AD FS lub serwer serwer proxy aplikacji sieci Web, upewnij się, że skonfigurowano moduł równoważenia obciążenia i że rekordy DNS dla nazwy usług AD FS (na przykład sts.contoso.com) wskazują moduł równoważenia obciążenia.
- Aby zintegrowane uwierzytelnianie systemu Windows działało w przypadku aplikacji przeglądarki przy użyciu programu Internet Explorer w intranecie, upewnij się, że nazwa usług AD FS (na przykład sts.contoso.com) jest dodawana do strefy intranetowej w programie Internet Explorer. To wymaganie można kontrolować za pośrednictwem zasad grupy i wdrażać na wszystkich komputerach przyłączonych do domeny.
Składniki pomocnicze programu Microsoft Entra Connect
Program Microsoft Entra Connect instaluje następujące składniki na serwerze, na którym zainstalowano program Microsoft Entra Connect. Ta lista dotyczy podstawowej instalacji ekspresowej. Jeśli zdecydujesz się użyć innego programu SQL Server na stronie Instalowanie usług synchronizacji, program SQL Express LocalDB nie jest zainstalowany lokalnie.
- Microsoft Entra Connect Health
- Narzędzia wiersza polecenia programu Microsoft SQL Server 2022
- Microsoft SQL Server 2022 Express LocalDB
- Microsoft SQL Server 2022 Native Client
- Pakiet redystrybucji programu Microsoft Visual C++ 14
Wymagania sprzętowe dotyczące programu Microsoft Entra Connect
W poniższej tabeli przedstawiono minimalne wymagania dotyczące komputera microsoft Entra Connect Sync.
Liczba obiektów w usłudze Active Directory | Procesor CPU | Memory (Pamięć) | Rozmiar dysku twardego |
---|---|---|---|
Mniej niż 10 000 | 1,6 GHz | 6 GB | 70 GB |
10,000–50,000 | 1,6 GHz | 6 GB | 70 GB |
50,000–100,000 | 1,6 GHz | 16 GB | 100 GB |
W przypadku co najmniej 100 000 obiektów wymagana jest pełna wersja programu SQL Server. Ze względu na wydajność preferowane jest instalowanie lokalnie. Poniższe wartości są prawidłowe tylko w przypadku instalacji programu Microsoft Entra Connect. Jeśli program SQL Server zostanie zainstalowany na tym samym serwerze, wymagana jest dalsza pamięć, dysk i procesor CPU. | |||
100,000–300,000 | 1,6 GHz | 32 GB | 300 GB |
300,000–600,000 | 1,6 GHz | 32 GB | 450 GB |
Ponad 600 000 | 1,6 GHz | 32 GB | 500 GB |
Minimalne wymagania dotyczące komputerów z usługami AD FS lub serwerami serwer proxy aplikacji sieci Web są następujące:
- Procesor CPU: Dwurdzeniowy 1,6 GHz lub nowszy
- Pamięć: 2 GB lub wyższa
- Maszyna wirtualna platformy Azure: konfiguracja A2 lub nowsza
Następne kroki
Dowiedz się więcej na temat integrowania tożsamości lokalnych z identyfikatorem Entra firmy Microsoft.