Voraussetzungen für Microsoft Entra Connect

In diesem Artikel werden die Voraussetzungen und die Hardwareanforderungen für Microsoft Entra Connect beschrieben.

Bevor Sie Microsoft Entra Connect installieren

Vor der Installation von Microsoft Entra Connect gibt es einige Dinge, die Sie benötigen.

Microsoft Entra ID

  • Sie benötigen einen Microsoft Entra Mandanten. Sie können diesen mit einer kostenlosen Azure-Testversion erhalten. Sie können eines der folgenden Portale verwenden, um Microsoft Entra Connect zu verwalten:
  • Fügen Sie die Domäne hinzu, die Sie in Microsoft Entra ID verwenden möchten, und überprüfen Sie sie. Wenn Sie beispielsweise planen, „contoso.com“ für Ihre Benutzer zu verwenden, müssen Sie sicherstellen, dass diese Domäne überprüft wurde und nicht nur die Standarddomäne „contoso.onmicrosoft.com“ verwendet wird.
  • Ein Microsoft Entra Mandant lässt standardmäßig 50.000 Objekte zu. Wenn Sie Ihre Domäne überprüfen, wird der Grenzwert auf 300.000 Objekte erhöht. Wenn Sie noch mehr Objekte in Microsoft Entra ID benötigen, stellen Sie eine Supportanfrage, um den Grenzwert noch weiter erhöhen zu lassen. Wenn Sie mehr als 500.000 Objekte verwalten müssen, benötigen Sie eine Lizenz, z. B. für Microsoft 365, Microsoft Entra ID P1 oder P2, oder Enterprise Mobility + Security.

Vorbereiten Ihrer lokalen Daten

Lokales Active Directory

  • Die Active Directory-Schemaversion und die Funktionsebene der Gesamtstruktur müssen Windows Server 2003 oder höher entsprechen. Die Domänencontroller können unter einer beliebigen Version ausgeführt werden, sofern die Anforderungen an die Schemaversion und an die Gesamtstrukturebene erfüllt sind. Möglicherweise benötigen Sie ein kostenpflichtiges Supportprogramm, wenn Sie Unterstützung für Domänencontroller benötigen, die unter Windows Server 2016 oder früheren Versionen ausgeführt werden.
  • Der von Microsoft Entra ID verwendete Domänencontroller darf nicht schreibgeschützt sein. Die Verwendung eines schreibgeschützten Domänencontrollers (Read-Only Domain Controller, RODC) wird nicht unterstützt, und Microsoft Entra Connect folgt keinen Umleitungen für Schreibvorgänge.
  • Die Verwendung von lokalen Gesamtstrukturen oder Domänen mit NetBIOS-Namen, die einen Punkt (.) enthalten, wird nicht unterstützt.
  • Wir empfehlen das Aktivieren des Active Directory-Papierkorbs.

PowerShell-Ausführungsrichtlinie

Microsoft Entra Connect führt signierte PowerShell-Skripts im Rahmen der Installation aus. Stellen Sie sicher, dass die PowerShell-Ausführungsrichtlinie das Ausführen von Skripts zulässt.

Die empfohlene Ausführungsrichtlinie während der Installation ist „RemoteSigned“.

Weitere Informationen zum Festlegen der PowerShell-Ausführungsrichtlinie finden Sie unter Set-ExecutionPolicy.

Microsoft Entra Connect-Server

Der Microsoft Entra Connect-Server enthält kritische Identitätsdaten. Es ist wichtig, den administrativen Zugriff auf diesen Server ordnungsgemäß zu schützen. Berücksichtigen Sie die Richtlinien unter Schützen des privilegierten Zugriffs.

Der Microsoft Entra Connect-Server muss wie im Active Directory-Verwaltungsebenenmodell beschrieben als Komponente der Ebene 0 behandelt werden. Es wird empfohlen, den Microsoft Entra Connect-Server als Ressource der Steuerungsebene gemäß den unter Schützen des privilegierten Zugriffs bereitgestellten Anleitungen zu schützen

Weitere Informationen zum Schützen Ihrer Active Directory-Umgebung finden Sie unter Bewährte Methoden für den Schutz von Active Directory.

Voraussetzungen für die Installation

  • Microsoft Entra Connect muss auf einem in die Domäne eingebundenen Computer unter Windows Server 2016 oder höher installiert werden. Es wird empfohlen, einen in eine Domäne eingebundenen Computer unter Windows Server 2022 zu verwenden. Sie können Microsoft Entra Connect unter Windows Server 2016 bereitstellen, aber da für Windows Server 2016 der erweiterte Support gilt, ist möglicherweise ein kostenpflichtiges Supportprogramm erforderlich, wenn Sie Unterstützung für diese Konfiguration benötigen.
  • Erforderlich ist mindestens .NET Framework Version 4.6.2, und neuere Versionen von .NET werden ebenfalls unterstützt. .NET, Version 4.8 und höher, bietet die beste Konformität mit der Barrierefreiheit.
  • Microsoft Entra Connect kann nicht unter Small Business Server oder Windows Server Essentials vor 2019 (Windows Server Essentials 2019 wird unterstützt) installiert werden. Der Server muss Windows Server Standard oder höher verwenden.
  • Auf dem Microsoft Entra Connect-Server muss eine vollständige GUI installiert sein. Die Installation von Microsoft Entra Connect unter Windows Server Core wird nicht unterstützt.
  • Auf dem Microsoft Entra Connect-Server darf die Gruppenrichtlinie für die PowerShell-Aufzeichnung nicht aktiviert sein, wenn Sie die Konfiguration von Active Directory-Verbunddienste (Active Directory Federation Services, AD FS) mit dem Microsoft Entra Connect-Assistenten verwalten. Sie können die PowerShell-Aufzeichnung aktivieren, wenn Sie den Microsoft Entra Connect-Assistenten zum Verwalten der Synchronisierungskonfiguration verwenden.
  • Stellen Sie sicher, dass MSOnline PowerShell (MSOL) auf der Ebene des Mandanten nicht blockiert ist.
  • Wenn AD FS bereitgestellt wird, gelten die folgenden Voraussetzungen:
  • Es wird nicht unterstützt, den Datenverkehr zwischen Microsoft Entra Connect und Microsoft Entra ID zu unterbrechen und zu analysieren. Dies kann den Dienst stören.
  • Wenn Ihre Hybrididentitätsadministratoren MFA aktiviert haben, muss die URL https://secure.aadcdn.microsoftonline-p.com in der Liste vertrauenswürdiger Websites enthalten sein. Sie werden aufgefordert, diese Website zur Liste vertrauenswürdiger Websites hinzuzufügen, wenn Sie zu einer MFA-Abfrage aufgefordert werden und diese zuvor noch nicht hinzugefügt wurde. Sie können dafür den Internet Explorer verwenden.
  • Wenn Sie Microsoft Entra Connect Health für die Synchronisierung verwenden möchten, müssen Sie ein globales Administratorkonto verwenden, um Microsoft Entra Connect Sync zu installieren. Wenn Sie ein Hybridadministratorkonto verwenden, wird der Agent zwar installiert, ist aber deaktiviert. Weitere Informationen finden Sie unter Microsoft Entra Connect Health-Agent-Installation.

Härten Ihres Microsoft Entra Connect-Servers

Es wird empfohlen, den Microsoft Entra Connect-Server zuverlässig zu schützen, um die Angriffsfläche für Sicherheitsangriffe für diese wichtige Komponente Ihrer IT-Umgebung zu verringern. Wenn Sie die folgenden Empfehlungen befolgen, können Sie einige Sicherheitsrisiken für Ihre Organisation minimieren.

  • Es wird empfohlen, den Microsoft Entra Connect-Server als Ressource der Steuerungsebene (vormals Ebene 0) gemäß den unter Schützen des privilegierten Zugriffs und Mehrstufiges Active Directory-Verwaltungsmodell bereitgestellten Anleitungen zu schützen.
  • Beschränken Sie den administrativen Zugriff auf den Microsoft Entra Connect-Server ausschließlich auf Domänenadministratoren oder andere streng kontrollierte Sicherheitsgruppen.
  • Erstellen Sie ein dediziertes Konto für alle Mitarbeiter mit privilegiertem Zugriff. Administratoren sollten in Konten mit hohen Berechtigungen nicht im Internet surfen, ihre E-Mails abfragen oder alltägliche Produktivitätsaufgaben ausführen.
  • Folgen Sie den Anweisungen unter Schützen des privilegierten Zugriffs.
  • Verweigern Sie die Verwendung der NTLM-Authentifizierung mit dem Microsoft Entra Connect-Server. Dies sind einige Möglichkeiten, um dies zu tun: Einschränken von NTLM auf dem Microsoft Entra Connect-Server und Einschränken von NTLM in einer Domäne
  • Stellen Sie sicher, dass für jeden Computer ein eindeutiges lokales Administratorkennwort vorhanden ist. Weitere Informationen finden Sie unter Microsoft-Sicherheitsempfehlung: Local Administrator Password Solution (Windows LAPS). Mit dieser Lösung können eindeutige zufällige Kennwörter auf jeder Arbeitsstation konfiguriert werden, und für den Server werden die Kennwörter in Active Directory gespeichert und durch eine ACL geschützt. Nur berechtigte autorisierte Benutzer können diese lokalen Kennwörter für das Administratorkonto lesen oder eine Rücksetzung anfordern. Weitere Informationen zum Betreiben einer Umgebung mit Windows LAPS und Arbeitsstationen mit privilegiertem Zugriff (Privileged Access Workstations, PAWs) finden Sie unter Prinzip der vertrauenswürdigen Quelle für betriebliche Standards.
  • Implementieren Sie dedizierte Arbeitsstationen mit privilegiertem Zugriff für alle Mitarbeiter mit privilegiertem Zugriff auf die Informationssysteme Ihrer Organisation.
  • Berücksichtigen Sie diese zusätzlichen Richtlinien, um die Angriffsfläche Ihrer Active Directory-Umgebung zu verringern.
  • Folgen Sie dem Abschnitt Änderungen an der Verbundkonfiguration überwachen, um Alarme einzurichten, die Änderungen an der Vertrauensstellung zwischen Ihrem Identitätsanbieter und Microsoft Entra ID überwachen.
  • Aktivieren Sie die Multifaktor-Authentifizierung (MFA) für alle Benutzer mit privilegiertem Zugriff in Microsoft Entra ID oder in AD. Ein Sicherheitsproblem bei der Verwendung von Microsoft Entra Connect besteht darin, dass ein Angreifer, wenn er die Kontrolle über den Microsoft Entra Connect-Server erhalten kann, Benutzer in Microsoft Entra ID manipulieren kann. Um zu verhindern, dass ein Angreifer diese Fähigkeiten nutzt, um Microsoft Entra-Konten zu übernehmen, bietet MFA Schutzmechanismen, die verhindern, dass ein Angreifer den zweiten Faktor umgehen kann, selbst wenn es ihm gelingt, z. B. das Passwort eines Benutzers mit Microsoft Entra Connect zurückzusetzen.
  • Deaktivieren Sie Soft Matching in Ihrem Mandanten. Soft Matching ist ein hilfreiches Feature, um die Quelle der Autorität für vorhandene in der Cloud verwaltete Objekte an Microsoft Entra Connect zu übertragen, birgt aber gewisse Sicherheitsrisiken. Wenn Sie es nicht benötigen, sollten Sie Soft Matching deaktivieren.
  • Deaktivieren der Hard Match-Übernahme. Die Hard Match-Übernahme ermöglicht Microsoft Entra Connect, die Kontrolle über ein in der Cloud verwaltetes Objekt zu übernehmen und die Autoritätsquelle für das Objekt in Active Directory zu ändern. Sobald die Autoritätsquelle eines Objekts von Microsoft Entra Connect übernommen wurde, überschreiben Änderungen am Active Directory-Objekt, das mit dem Microsoft Entra-Objekt verknüpft ist, die ursprünglichen Microsoft Entra-Daten, und zwar einschließlich Kennworthash, wenn die Kennwort-Hashsynchronisierung aktiviert ist. Ein Angreifer kann diese Möglichkeit ausnutzen, um die Kontrolle über die in der Cloud verwalteten Objekte zu übernehmen. Deaktivieren Sie zum Entschärfen dieses Risikos die Hard Match-Übernahme.

von Microsoft Entra Connect verwendete SQL Server

  • Microsoft Entra Connect erfordert eine SQL Server-Datenbank zum Speichern von Identitätsdaten. Standardmäßig wird SQL Server 2019 Express LocalDB (eine einfache Version von SQL Server Express) installiert. Für SQL Server Express gilt eine Größenbeschränkung von 10 GB. Dies ermöglicht Ihnen das Verwalten von ca. 100.000 Objekten. Wenn Sie eine größere Anzahl von Verzeichnisobjekten verwalten möchten, müssen Sie im Installations-Assistenten auf eine andere Installation von SQL Server verweisen. Der SQL Server-Installationstyp kann sich auf die Leistung von Microsoft Entra Connect auswirken.
  • Wenn Sie eine andere Installation von SQL Server verwenden, gelten die folgenden Anforderungen:
    • Microsoft Entra Connect unterstützt alle SQL Serverversionen mit grundlegendem Support bis zu SQL Server 2022 unter Windows. Weitere Informationen finden Sie im Artikel zum SQL Server-Lebenszyklus, um den Supportstatus Ihrer SQL Server-Version zu überprüfen. SQL Server 2012 wird nicht mehr unterstützt. Azure SQL-Datenbank wird als Datenbank nicht unterstützt. Dies gilt sowohl für Azure SQL-Datenbank als auch für Azure SQL Managed Instance.
    • Sie müssen eine SQL-Sortierung ohne Berücksichtigung der Groß- und Kleinschreibung verwenden. Diese Sortierungen werden durch „a_CI_“ in ihrem Namen bestimmt. Die Verwendung einer Sortierung, bei der die Groß-/Kleinschreibung beachtet wird, die durch _CS_ in ihrem Namen identifiziert wird, wird nicht unterstützt.
    • Sie können jeweils nur ein Synchronisierungsmodul pro SQL-Instanz verwenden. Das Freigeben einer SQL-Instanz mit MIM Sync, DirSync oder Azure AD Sync wird nicht unterstützt.
    • Verwalten Sie ODBC-Treiber für SQL Server, Version 17 und OLE DB-Treiber für SQL Server Version 18, die mit Microsoft Entra Connect gebündelt sind. Das Aktualisieren der Haupt- oder Nebenversion von ODBC/OLE DB-Treibern wird nicht unterstützt. Das Team der Microsoft Entra Connect-Produktgruppe wird neue ODBC- bzw. OLE-DB-Treiber aufnehmen, sobald diese verfügbar sind und eine Aktualisierung erforderlich ist.

Konten

  • Sie müssen über ein Konto eines globalen Microsoft Entra-Administrators oder Administrators für hybride Identität für den Microsoft Entra-Mandanten verfügen, den Sie integrieren möchten. Bei diesem Konto muss es sich um ein Geschäfts-, Schul- oder Unikonto handeln, und es darf kein Microsoft-Konto sein.
  • Wenn Sie Expresseinstellungen verwenden oder ein Upgrade von DirSync durchführen, müssen Sie über ein Unternehmensadministratorkonto für Ihre lokale Active Directory-Instanz verfügen.
  • Wenn Sie den Installationspfad für benutzerdefinierte Einstellungen verwenden, stehen Ihnen mehr Optionen zur Verfügung. Weitere Informationen finden Sie unter Einstellungen für die benutzerdefinierte Installation.

Konnektivität

  • Der Microsoft Entra Connect-Server benötigt die DNS-Auflösung sowohl für das Intranet als auch für das Internet. Der DNS-Server muss Namen sowohl zu Ihrem lokalen Active Directory als auch zu den Microsoft Entra-Endpunkten auflösen können.
  • Microsoft Entra Connect erfordert Netzwerkkonnektivität zu allen konfigurierten Domänen
  • Microsoft Entra Connect erfordert Netzwerkkonnektivität mit der Stammdomäne aller konfigurierten Gesamtstrukturen
  • Wenn Sie in Ihrem Intranet Firewalls verwenden und die Ports zwischen den Microsoft Entra Connect-Servern und Ihren Domänencontrollern öffnen müssen, lesen Sie die Informationen unter Microsoft Entra Connect-Ports.
  • Wenn Ihr Proxy oder Ihre Firewall den Zugriff auf bestimmte URLs beschränkt, müssen die unter Office 365-URLs und -IP-Adressbereiche dokumentierten URLs geöffnet werden. Weitere Informationen finden Sie auch unter Hinzufügen der URLs für das Microsoft Entra Admin Center zu einer Liste sicherer Adressen für Ihre Firewall oder Ihren Proxyserver.
  • Microsoft Entra Connect (Version 1.1.614.0 und höher) verwendet standardmäßig TLS 1.2 für die Verschlüsselung der Kommunikation zwischen dem Synchronisierungsmodul und Microsoft Entra ID. Wenn TLS 1.2 auf dem zugrunde liegenden Betriebssystem nicht verfügbar ist, greift Microsoft Entra Connect schrittweise auf älter Protokolle zurück (TLS 1.1 und TLS 1.0). Ab Microsoft Entra Connect Version 2.0. TLS 1.0 und 1.1 werden nicht mehr unterstützt und die Installation schlägt fehl, wenn TLS 1.2 nicht aktiviert ist.
  • Vor Version 1.1.614.0 verwendet Microsoft Entra Connect standardmäßig TLS 1.0 für die Verschlüsselung der Kommunikation zwischen der Synchronisierungs-Engine und der Microsoft Entra ID. Folgen Sie zur Änderung in TLS 1.2 den Schritten in Aktivieren von TLS 1.2 für Microsoft Entra Connect.

Wichtig

Version 2.3.20.0 ist ein Sicherheitsupdate. Mit diesem Update erfordert Microsoft Entra Connect TLS 1.2. Stellen Sie sicher, dass Sie TLS 1.2 aktiviert haben, bevor Sie ein Update auf diese Version ausführen.

Alle Versionen von Windows Server unterstützen TLS 1.2. Wenn TLS 1.2 auf Ihrem Server nicht aktiviert ist, müssen Sie dies aktivieren, bevor Sie Microsoft Entra Connect V2.0 bereitstellen können.

Ein PowerShell-Skript zum Überprüfen, ob TLS 1.2 aktiviert ist, finden Sie unter PowerShell-Skript zum Überprüfen von TLS

Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358. Weitere Informationen zum Aktivieren von TLS 1.2 finden Sie unter Aktivieren von TLS 1.2

  • Wenn Sie einen ausgehenden Proxy für die Verbindung mit dem Internet verwenden, muss die folgende Einstellung in der Datei C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config hinzugefügt werden, um dem Installations-Assistenten und der Microsoft Entra Connect-Synchronisierung das Herstellen einer Verbindung mit dem Internet und Microsoft Entra ID zu ermöglichen. Dieser Text muss am Ende der Datei eingegeben werden. Im folgenden Code steht <PROXYADDRESS> für die tatsächliche Proxy-IP-Adresse oder den tatsächlichen Hostnamen.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Wenn für den Proxyserver eine Authentifizierung erforderlich ist, muss sich das Dienstkonto in der Domäne befinden. Verwenden Sie den Installationspfad für benutzerdefinierte Einstellungen, um ein benutzerdefiniertes Dienstkonto anzugeben. Außerdem müssen Sie in „machine.config“ eine weitere Änderung vornehmen. Durch diese Änderung in „machine.config“ antworten der Installations-Assistent und das Synchronisierungsmodul auf Authentifizierungsanfragen des Proxyservers. Auf allen Seiten des Installations-Assistenten mit Ausnahme der Seite Konfigurieren werden die Anmeldeinformationen des angemeldeten Benutzers verwendet. Am Ende des Installations-Assistenten wird auf der Seite Konfigurieren der Kontext in das von Ihnen erstellte Dienstkonto geändert. Der Abschnitt in der Datei „machine.config“ sollte wie folgt aussehen:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Wenn die Proxykonfiguration in einem vorhandenen Setup erfolgt, muss der Microsoft Entra Connect Sync-Dienst einmal neu gestartet werden, damit Microsoft Entra Connect die Proxykonfiguration lesen und das Verhalten aktualisieren kann.

  • Wenn Microsoft Entra Connect im Rahmen der Verzeichnissynchronisierung eine Webanforderung an Microsoft Entra ID sendet, kann die Antwort Microsoft Entra ID bis zu 5 Minuten dauern. In der Regel ist für Proxyserver die Leerlaufzeitüberschreitung für Verbindungen konfiguriert. Stellen Sie sicher, dass die Konfiguration auf mindestens 6 Minuten festgelegt ist.

Weitere Informationen finden Sie im MSDN-Artikel über das defaultProxy-Element. Informationen zu Problemen mit der Konnektivität finden Sie unter Beheben von Konnektivitätsproblemen.

Andere

Optional: Verwenden Sie ein Testbenutzerkonto zum Überprüfen der Synchronisierung.

Voraussetzungen an Komponenten

PowerShell und .NET Framework

Microsoft Entra Connect ist abhängig von Microsoft PowerShell 5.0 und .NET Framework 4.5.1. Auf dem Server muss diese Version oder eine neuere Version installiert sein.

Aktivieren von TLS 1.2 für Microsoft Entra Connect

Wichtig

Version 2.3.20.0 ist ein Sicherheitsupdate. Mit diesem Update erfordert Microsoft Entra Connect TLS 1.2. Stellen Sie sicher, dass Sie TLS 1.2 aktiviert haben, bevor Sie ein Update auf diese Version ausführen.

Alle Versionen von Windows Server unterstützen TLS 1.2. Wenn TLS 1.2 auf Ihrem Server nicht aktiviert ist, müssen Sie dies aktivieren, bevor Sie Microsoft Entra Connect V2.0 bereitstellen können.

Ein PowerShell-Skript zum Überprüfen, ob TLS 1.2 aktiviert ist, finden Sie unter PowerShell-Skript zum Überprüfen von TLS

Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358. Weitere Informationen zum Aktivieren von TLS 1.2 finden Sie unter Aktivieren von TLS 1.2

Vor Version 1.1.614.0 verwendet Microsoft Entra Connect standardmäßig TLS 1.0 für die Verschlüsselung der Kommunikation zwischen der Synchronisierungs-Engine und der Microsoft Entra ID. Sie können .NET-Anwendungen für die standardmäßige Verwendung von TLS 1.2 auf dem Server konfigurieren. Weitere Informationen zu TLS 1.2 finden Sie in der Microsoft-Sicherheitsempfehlung 2960358.

  1. Stellen Sie sicher, dass der .NET 4.5.1-Hotfix für Ihr Betriebssystem installiert ist. Weitere Informationen finden Sie in der Microsoft-Sicherheitsempfehlung 2960358. Möglicherweise ist dieser Hotfix oder eine neuere Version bereits auf dem Server installiert.

  2. Legen Sie für alle Betriebssysteme diesen Registrierungsschlüssel fest, und starten Sie den Server neu.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Wenn Sie TLS 1.2 auch zwischen dem Server mit dem Synchronisierungsmodul und einer SQL Server-Remoteinstanz aktivieren möchten, müssen Sie sicherstellen, dass die erforderlichen Versionen für die TLS 1.2-Unterstützung für Microsoft SQL Server installiert sind.

Weitere Informationen finden Sie unter Aktivieren von TLS 1.2

DCOM-Voraussetzungen auf dem Synchronisierungsserver

Während der Installation des Synchronisierungsdiensts überprüft Microsoft Entra Connect, ob der folgende Registrierungsschlüssel vorhanden ist:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

Microsoft Entra Connect überprüft auch, ob unter diesem Registrierungsschlüssel die folgenden Werte vorhanden und unbeschädigt sind:

Voraussetzungen für die Verbundinstallation und -konfiguration

Windows-Remoteverwaltung

Wenn Sie Microsoft Entra Connect zum Bereitstellen von AD FS oder des Webanwendungsproxys (WAP) verwenden, überprüfen Sie die folgenden Anforderungen:

  • Wenn der Zielserver in die Domäne eingebunden ist, stellen Sie sicher, dass die Windows-Remoteverwaltung aktiviert ist.
    • Verwenden Sie in einem PowerShell-Befehlsfenster mit erhöhten Rechten den Befehl Enable-PSRemoting –force.
  • Wenn der Zielserver kein in die Domäne eingebundener WAP-Computer ist, gibt es einige zusätzliche Anforderungen:
    • Auf dem Zielcomputer (WAP-Computer):
      • Stellen Sie sicher, dass die Windows-Remoteverwaltung/der WS-Verwaltungsdienst (WinRM) über das Dienste-Snap-In ausgeführt wird.
      • Verwenden Sie in einem PowerShell-Befehlsfenster mit erhöhten Rechten den Befehl Enable-PSRemoting –force.
    • Auf dem Computer, auf dem der Assistent ausgeführt wird (wenn der Zielcomputer nicht in die Domäne eingebunden ist oder sich in einer nicht vertrauenswürdigen Domäne befindet):
      • Verwenden Sie in einem PowerShell-Befehlsfenster mit erhöhten Rechten den Befehl Set-Item.WSMan:\localhost\Client\TrustedHosts –Value "<DMZServerFQDN>" -Force –Concatenate.
      • Im Server-Manager:
        • Fügen Sie einem Computerpool einen DMZ-WAP-Host hinzu. Wählen Sie im Server-Manager die Optionen Verwalten>Server hinzufügen aus, und verwenden Sie dann die Registerkarte DNS.
        • Klicken Sie auf der Registerkarte Server-Manager – Alle Server mit der rechten Maustaste auf den WAP-Server, und wählen Sie Verwalten als aus. Geben Sie die lokalen (keine domänenspezifischen) Anmeldeinformationen für den WAP-Computer ein.
        • Um die PowerShell-Remotekonnektivität zu überprüfen, klicken Sie auf der Registerkarte Server-Manager – Alle Server mit der rechten Maustaste auf den WAP-Server, und wählen Sie Windows PowerShell aus. Daraufhin sollte eine PowerShell-Remotesitzung geöffnet werden, um sicherzustellen, dass PowerShell-Remotesitzungen hergestellt werden können.

TLS/SSL-Zertifikatanforderungen

  • Es wird empfohlen, dasselbe TLS-/SSL-Zertifikat für alle Knoten Ihrer AD FS-Farm und für alle Webanwendungsproxy-Server zu verwenden.
  • Das Zertifikat muss ein X509-Zertifikat sein.
  • Sie können ein selbstsigniertes Zertifikat für Verbundserver in einer Testumgebung verwenden. Für Produktionsumgebungen empfiehlt es sich, das Zertifikat von einer öffentlichen Zertifizierungsstelle zu erwerben.
    • Stellen Sie bei Verwendung eines nicht öffentlich vertrauenswürdigen Zertifikats sicher, dass dem auf jedem Webanwendungsproxy-Server installierten Zertifikat sowohl auf dem lokalen Server als auch auf allen Verbundservern vertraut wird.
  • Die Identität des Zertifikats muss mit dem Namen des Verbunddiensts (z. B. sts.contoso.com) übereinstimmen.
    • Die Identität ist die Erweiterung eines alternativen Antragstellernamens (Subject Alternative Name, SAN) des Typs „dNSName“, oder der Name des Antragstellers wird als allgemeiner Name angegeben, wenn keine SAN-Einträge vorhanden sind.
    • Im Zertifikat können mehrere SAN-Einträge vorhanden sein, sofern einer der Einträge mit dem Namen des Verbunddiensts übereinstimmt.
    • Wenn Sie Workplace Join verwenden möchten, ist ein zusätzliches SAN mit dem Wert enterpriseregistration. gefolgt vom User Principal Name (UPN)-Suffix Ihrer Organisation erforderlich, z. B. enterpriseregistration.contoso.com.
  • Auf CNG-Schlüsseln (Cryptography API: Next Generation) und Schlüsselspeicheranbietern (Key Storage Providers, KSPs) basierende Zertifikate werden nicht unterstützt. Dies bedeutet, dass Sie ein auf einem Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) basierendes Zertifikat verwenden müssen und kein Zertifikat von einem KSP.
  • Platzhalterzertifikate werden unterstützt.

Namensauflösung für Verbundserver

  • Richten Sie DNS-Einträge für den AD FS-Namen (z. B. „sts.contoso.com“) für das Intranet (Ihren internen DNS-Server) sowie für das Extranet (den öffentlichen DNS-Server über Ihre Domänenregistrierungsstelle) ein. Stellen Sie sicher, dass Sie für den Intranet-DNS-Eintrag A-Einträge und keine CNAME-Einträge verwenden. Die Verwendung von A-Einträgen ist erforderlich, damit die Windows-Authentifizierung auf Ihrem in die Domäne eingebundenen Computer ordnungsgemäß funktioniert.
  • Wenn Sie mehr als einen AD FS-Server oder Webanwendungsproxy-Server bereitstellen, müssen Sie unbedingt den Lastenausgleich konfigurieren und sicherstellen, dass die DNS-Einträge für den AD FS-Namen (z. B. „sts.contoso.com“) auf den Lastenausgleich verweisen.
  • Damit die integrierte Windows-Authentifizierung für Browseranwendungen bei Verwendung von Internet Explorer in Ihrem Intranet funktioniert, müssen Sie sicherstellen, dass der AD FS-Name (z. B. „sts.contoso.com“) der Intranetzone in Internet Explorer hinzugefügt wird. Diese Anforderung kann über Gruppenrichtlinien gesteuert und für alle Ihre in die Domäne eingebundenen Computer bereitgestellt werden.

Microsoft Entra Connect unterstützende Komponenten

Microsoft Entra Connect installiert die folgenden Komponenten auf dem Server, auf dem Microsoft Entra Connect installiert ist. Diese Liste ist für eine einfache Expressinstallation. Wenn Sie auf der Seite Synchronisierungsdienste installieren eine andere SQL Server-Version auswählen, wird SQL Express LocalDB nicht lokal installiert.

  • Microsoft Entra Connect Health
  • Microsoft SQL Server 2022 Befehlszeilen-Hilfsprogramme
  • Microsoft SQL Server 2022 Express LocalDB
  • Microsoft SQL Server 2022 Native Client
  • Microsoft Visual C++ 14 Redistributable Package

Hardwareanforderungen für Microsoft Entra Connect

In der folgenden Tabelle sind die Mindestanforderungen für den Microsoft Entra Connect-Synchronisierungscomputer aufgeführt.

Anzahl der Objekte in Active Directory CPU Arbeitsspeicher Festplattengröße
Weniger als 10.000 1,6 GHz 6 GB 70 GB
10.000 bis 50.000 1,6 GHz 6 GB 70 GB
50.000 bis 100.000 1,6 GHz 16 GB 100 GB
Bei 100.000 oder mehr Objekten ist die Vollversion von SQL Server erforderlich. Aus Leistungsgründen wird eine lokale Installation bevorzugt. Die folgenden Werte sind nur für die Microsoft Entra Connect-Installation gültig. Wenn SQL Server auf demselben Server installiert wird, gibt es weitere Anforderungen an Arbeitsspeicher, Laufwerke und CPU.
100.000 bis 300.000 1,6 GHz 32 GB 300 GB
300.000 bis 600.000 1,6 GHz 32 GB 450 GB
Mehr als 600.000 1,6 GHz 32 GB 500 GB

Die Mindestanforderungen für Computer mit AD FS oder Webanwendungs-Proxyservern lauten wie folgt:

  • CPU: Doppelkern mit 1,6 GHz oder mehr
  • Memory: Mindestens 2 GB
  • Azure-VM: A2-Konfiguration oder höher

Nächste Schritte

Erfahren Sie mehr zum Integrieren lokaler Identitäten in Microsoft Entra ID.