Матрицы ADS и IPS — что лучше?
Компания BOE добавила еще одну технологию к привычным TN, VA и IPS – новый тип матрицы ADS. Новая разработка получила название ADSDS (в качестве упрощения ее принято называть просто ADS). Далее мы разберемся в особенностях этой матрицы и выясним, насколько она лучше привычных стандартов.
IPS матрицы
Прежде чем переходить к новым технологиям, нужно разобраться как работают старые. Современным стандартом принято считать IPS дисплеи. Они появились в качестве замены TN-панелей, которые отличались слабой яркостью, контрастностью, цветопередачей и недостаточными углами обзора. Панели IPS решили все перечисленные проблемы, путем выбора другой конфигурации кристаллов. В отличие от TN, они располагаются в плоскости, перпендикулярной потоку света. Этот метод конфигурации получил название «In Plane Switch» или сокращенно IPS.
Однако, у такого подхода был ключевой недостаток – высокая цена.
Со временем, стоимость производства панелей с перпендикулярным расположением кристаллов снизилась. Это связано с оптимизацией технологических процессов и высоким спросом на подобный тип устройств. В связи с этим компания Samsung разрабатывает улучшенную версию IPS матриц – PLS. Новые дисплеи получили больше углы обзора и четкость изображения, благодаря более близкому расположению субпикселей друг с другом.
ADS матрица
Помимо Samsung другие компании тоже искали варианты усовершенствования IPS технологии. Дальше всего продвинулась китайская организация BOE Technology.
- сверхширокие углы обзора;
- улучшенная цветопередача;
- устойчивость к механическим воздействиям;
- высокая скорость обработки объектов в движении.
Первоначальная идея с матрицей ADS состояла в том, чтобы устанавливать их исключительно в коммерческие приспособления. Электронные доски, вывески, полупрозрачное табло, видеостены и т.п. Такое применение связано с очень широкими углами обзора и устойчивостью к механическим нажатиям. Это не играет большой роли для домашних телевизоров, зато крайне актуально в интерактивных панелях.
С технической стороны ADS панели отличаются от IPS иным материалом управляющего транзистора. Компания BOE использует оксид индия-олова (ITO). Благодаря ему увеличивается пиковая яркость на 15-20% и улучшается цветопередача. За более широкие углы обзора и высокую скорость обработки объектов отвечает новый метод вращения жидких кристаллов.
Ключевой недостаток дисплеев с матрицей ADS – высокая стоимость производства. Во многом это связано с дороговизной индия, который требуется для создания ITO слоя. Но компания BOE непрерывно работает над проблемой. Решением стало использование аналогичного по свойствам материала – оксида алюминия-цинка. Также ведутся исследования с применением других соединений. Например, с графеном.
IPS и ADS матрицы: что лучше
Ответ на этот вопрос однозначный: лучше ADS дисплеи. За счет использования более совершенного управляющего элемента, яркость и цветопередача выше. Новый метод вращения кристаллов делает углы обзора на сегодня непревзойденными. Низкое время отклика и четкость движущихся объектов крайне полезны для геймеров.
Подводя итог, переход IPS-ADS неизбежен. Компания Samsung уже выпускает флагманские телевизоры на этой матрице. Со временем технология все чаще будет встречаться и на менее премиальных продуктах.
Матрица ADS или IPS что лучше
Китайская компания BOE является ведущим производителем в области инноваций и развития технологий ЖК-дисплеев TFT.
Общемировая доля BOE в области жидкокристаллических панелей уже в 2018 году заняла первое место. Главное внимание компания BOE сосредотачивает на улучшении цветопередачи дисплеев ADS наряду с повышением яркости и углов обзора.
Её собственная технология формирования изображения получила название ADSDS или просто ADS. Когда в 2020 году компания Samsung объявила о грядущем сворачивании производства ЖК-панелей, использование в телевизорах Samsung матриц ADS от BOE стало реальностью. В этом материале мы выясним, что такое панель ADS, и ответим на вопрос: «Какой тип матрицы ADS или IPS лучше»?
IPS матрица
Матрицы IPS предназначены для обеспечения более насыщенных цветов и большей глубины, чем традиционные TN панели. В них используется конфигурация жидких кристаллов, расположенных в плоскости, перпендикулярной световому потоку подсветки (In Plane Switching). Общее качество изображения улучшено за счёт более высокого контраста, лучшей точности цветопередачи и повышенной яркости.
Но главное, что по сравнению с VA матрицами, где жидкие кристаллы расположены вдоль светового потока подсветки, у IPS панелей значительно улучшены углы обзора. Это огромное благо для любителей совместных развлечений у экрана телевизора. Дальнейшее развитие технология IPS получила в PLS матрицах.
Это собственность компании Samsung. PLS (Plane to Line Switching) предлагает ещё более широкие углы обзора, а также превосходное качество изображения и яркость за счёт более плотного расположения субпикселей. Также известно, что матрицы PLS более доступны по цене. Существенный минус IPS и PLS матриц – слабая контрастность относительно VA.
ADS матрица это…
Продолжая развивать и усовершенствовать идеологию IPS, многие компании стремятся к устранению основных недостатков таких панелей – низкая контрастность и цена. Очевидно, что больше других преуспела компания BOE со своей технологией ADvanced Super Dimension Switch. Тип матрицы ADS отличается сверхширокими углами обзора, превосходной цветопередачей и сверхвысокой скоростью обработки движущихся изображений.
Изначально матрица телевизора ADS предполагалась к использованию в основном в коммерческих проектах. Это и бесшовные видеостены, и цифровые вывески, и интерактивные доски, и прозрачные табло, и иные специализированные дисплеи. Такое разнообразие сфер применения обусловлено не в последнюю очередь высокой прочностью панелей с типом матрицы IPS-ADS. ADS экраны очень устойчивы к воздействию нажатием, что не так важно для телевизора, но очень важно для интерактивных дисплеев.
Как продолжение развития технологии IPS ADS матрица для формирования слоя с управляющими транзисторами использует высокопрозрачный и хорошо проводящий материал оксида индия-олова (ITO). В конкретных цифрах это даёт дополнительный прирост яркости порядка 15%. Кроме того, управление вращением жидких кристаллов в субпикселе ведётся двумя электрическими полями – продольным и поперечным.
За счёт этого значительно повышается скорость изменения состояния пикселя от серого к серому (GTG). Т.е. показатель времени отклика ADS панели существенно улучшается.
Основным недостатком ADS матриц является относительная дороговизна слоя ITO из-за высокой цены индия. Но производитель работает над использованием высокопрозрачных материалов-аналогов. Это и оксид алюминия-цинка, и графен, и множество других соединений.
Матрица ADS vs IPS
ADS матрица или IPS что лучше
Чем отличается ADS от IPS? IPS панели уже давно стали отраслевым стандартом, поскольку цветопередача и углы обзора этих матриц пока не превзойдены. Но матрица ADS в сравнение с IPS обладает повышенной яркостью за счёт использования более светопропускающего слоя в качестве основы для размещения управляющих элементов.
Уже одно это даёт ей огромный плюс. Размещение управляющего слоя над слоем ЖК обеспечивает матрице ADS дополнительную жёсткость, расширяющую возможные области её использования. Уменьшенное время отклика открывает хорошие перспективы для применения в качестве ТВ экранов и игровых мониторов.
Остаётся обойти главный недостаток – относительную дороговизну ADS.
Но раз уже компания Samsung начала использовать ADS панели в своих телевизорах (Q80A 2021 года), то значит, дело движется в правильном направлении.
https://ultrahd.su/video/ads-vs-ips.html
SemenВидеовидеоКитайская компания BOE является ведущим производителем в области инноваций и развития технологий ЖК-дисплеев TFT. Общемировая доля BOE в области жидкокристаллических панелей уже в 2018 году заняла первое место. Главное внимание компания BOE сосредотачивает на улучшении цветопередачи дисплеев ADS наряду с повышением яркости и углов обзора. Её собственная технология формирования изображения…SemenСемён EditorUltraHD
ADS против IPS: что лучше?
Компания BOE, базирующаяся в Китае, является ведущим производителем инноваций и разработок технологии TFT LCD. Мировая доля BOE в области жидкокристаллических панелей заняла первое место в 2018 году.
Основное внимание BOE уделяется улучшению цветопередачи на дисплеях ADS при одновременном увеличении яркости и углов обзора.
Его запатентованная технология обработки изображений называется ADSDS или просто ADS. Когда Samsung объявила о прекращении производства ЖК-панелей в 2020 году, матрицы BOE ADS стали реальностью в телевизорах Samsung. В этой статье мы узнаем, что такое панель ADS и ответим на вопрос: «Какой тип матрицы ADS или IPS лучше»?
Матрица IPS
Панели IPS обеспечивают более насыщенные цвета и большую глубину, чем традиционные панели TN. В них используется конфигурация жидких кристаллов, расположенных в плоскости, перпендикулярной световому потоку подсветки (In Plane Switching). Общее качество изображения улучшается благодаря более высокой контрастности, лучшей точности цветопередачи и повышенной яркости.
Но главное, что по сравнению с VA-матрицами, где вдоль светового потока подсветки расположены жидкие кристаллы, у IPS-панелей значительно улучшились углы обзора.
Это огромная находка для любителей совместных развлечений у экрана телевизора. Технология IPS получила дальнейшее развитие в матрицах PLS.
Это собственность Samsung. PLS (Plane to Line Switching) предлагает еще более широкие углы обзора, а также превосходное качество и яркость изображения за счет более плотного расположения субпикселей. Также известно, что матрицы PLS более доступны по цене. Существенным недостатком матриц IPS и PLS является слабая контрастность относительно VA.
Матрица ADS это…
Продолжая развивать и совершенствовать идеологию IPS, многие компании стремятся устранить основные недостатки таких панелей — низкую контрастность и цену. BOE, безусловно, является самой успешной компанией со своей технологией ADvanced Super Dimension Switch. Датчик типа ADS отличается сверхшироким углом обзора, отличной цветопередачей и сверхбыстрой обработкой движущихся изображений.
Изначально матрица ADS TV предназначалась для использования в основном в коммерческих проектах.
Это бесшовные видеостены, цифровые вывески, интерактивные доски, прозрачные доски и другие специализированные дисплеи. Такое разнообразие областей применения обусловлено не в последнюю очередь высокой прочностью панелей с типом матрицы IPS-ADS. Экраны ADS очень устойчивы к давлению, что не так важно для телевизоров, но очень важно для интерактивных дисплеев.
В качестве продолжения развития технологии IPS в матрице ADS используется высокопрозрачный и хорошо проводящий материал из оксида индия-олова (ITO) для формирования слоя управляющего транзистора. В конкретных цифрах это дает дополнительный прирост яркости порядка 15%. Кроме того, вращение жидких кристаллов в субпикселе управляется двумя электрическими полями — продольным и поперечным.
Это значительно увеличивает скорость изменения состояния пикселя с серого на серый (GTG). Те. время отклика панели ADS значительно улучшено. Основным недостатком матриц ADS является относительная дороговизна слоя ITO из-за высокой цены индия.
Но производитель работает над использованием высокопрозрачных аналоговых материалов. Это оксид алюминия-цинка, графен и многие другие соединения.
ADS vs IPS Matrix
ADS матрица или IPS что лучше
Чем ADS отличается от IPS? Панели IPS уже давно стали отраслевым стандартом, так как цветопередача и углы обзора этих матриц еще не превзойдены. А вот матрица ADS по сравнению с IPS имеет повышенную яркость за счет использования в качестве основы для размещения элементов управления более светопропускающего слоя.
Уже одно это дает ей огромный плюс. Размещение управляющего слоя над ЖК-слоем придает матрице ADS дополнительную жесткость, расширяя возможные области ее использования. Уменьшенное время отклика открывает хорошие перспективы для использования в качестве экранов телевизоров и игровых мониторов.
Осталось обойти главный недостаток — относительную дороговизну АДС. Но поскольку Samsung уже начала использовать панели ADS в своих телевизорах (Q80A 2021), значит, дело движется в правильном направлении.
Что вы думаете?
/ 5.
Azure AD Connect: необходимые условия и оборудование — Microsoft Entra
Редактировать
Твиттер LinkedIn Фейсбук Электронная почта
- Статья
В этой статье описываются предварительные условия и требования к оборудованию для Azure Active Directory (Azure AD) Connect.
Прежде чем устанавливать Azure AD Connect, необходимо выполнить несколько действий.
Azure AD
- Вам нужен клиент Azure AD. Вы получаете один с бесплатной пробной версией Azure. Вы можете использовать один из следующих порталов для управления Azure AD Connect:
- Портал Azure.
- Офисный портал.
- Портал Azure.
- Добавьте и проверьте домен, который вы планируете использовать в Azure AD. Например, если вы планируете использовать contoso.com для своих пользователей, убедитесь, что этот домен проверен и вы не используете только домен по умолчанию contoso.onmicrosoft.com.
- Клиент Azure AD по умолчанию допускает 50 000 объектов. Когда вы подтверждаете свой домен, ограничение увеличивается до 300 000 объектов. Если вам нужно еще больше объектов в Azure AD, откройте запрос в службу поддержки, чтобы еще больше увеличить лимит. Если вам нужно более 500 000 объектов, вам потребуется лицензия, например Microsoft 365, Azure AD Premium или Enterprise Mobility + Security.
Подготовьте локальные данные
- Используйте IdFix для выявления ошибок, таких как дубликаты и проблемы с форматированием, в вашем каталоге перед синхронизацией с Azure AD и Microsoft 365.
- Просмотрите дополнительные функции синхронизации, которые вы можете включить в Azure AD, и оцените, какие функции следует включить.
Локальная версия Active Directory
- Версия схемы Active Directory и функциональный уровень леса должны быть Windows Server 2003 или более поздней версии. Контроллеры домена могут работать с любой версией, если соблюдены требования к версии схемы и уровню леса. Вам может потребоваться платная программа поддержки, если вам требуется поддержка контроллеров домена под управлением Windows Server 2016 или более ранней версии.
- Контроллер домена, используемый Azure AD, должен быть доступен для записи. Использование контроллера домена только для чтения (RODC) не поддерживается , а Azure AD Connect не следует никаким перенаправлениям записи.
- Использование локальных лесов или доменов с использованием «точечных» (имя содержит точку «.») имен NetBIOS не поддерживается
- Мы рекомендуем включить корзину Active Directory.
Политика выполнения PowerShell
Azure Active Directory Connect запускает подписанные сценарии PowerShell как часть установки.
Убедитесь, что политика выполнения PowerShell разрешает выполнение сценариев.
Рекомендуемая политика выполнения во время установки — «RemoteSigned».
Дополнительные сведения о настройке политики выполнения PowerShell см. в разделе Set-ExecutionPolicy.
Сервер Azure AD Connect содержит важные идентификационные данные. Важно, чтобы административный доступ к этому серверу был надежно защищен. Следуйте инструкциям в разделе Защита привилегированного доступа.
Сервер Azure AD Connect должен рассматриваться как компонент уровня 0, как описано в модели административного уровня Active Directory. Мы рекомендуем усилить защиту сервера Azure AD Connect как ресурса Control Plane, следуя указаниям, приведенным в безопасном привилегированном доступе 9.0003
Дополнительные сведения о защите среды Active Directory см. в разделе Рекомендации по защите Active Directory.
Предварительные требования для установки
- Azure AD Connect должен быть установлен на присоединенном к домену Windows Server 2016 или более поздней версии. Вы можете развернуть Azure AD Connect на Windows Server 2016, но, поскольку Windows Server 2016 находится в расширенной поддержке, вам может потребоваться платная программа поддержки, если вам требуется поддержка для этой конфигурации. Мы рекомендуем использовать присоединенный к домену Windows Server 2022.
- Минимальная требуемая версия .NET Framework — 4.6.2, также поддерживаются более новые версии .Net.
- Azure AD Connect нельзя установить на Small Business Server или Windows Server Essentials до 2019 года (поддерживается Windows Server Essentials 2019). Сервер должен использовать стандарт Windows Server или выше.
- На сервере Azure AD Connect должен быть установлен полный графический интерфейс. Установка Azure AD Connect на Windows Server Core не поддерживается.
- На сервере Azure AD Connect не должна быть включена групповая политика транскрипции PowerShell, если вы используете мастер Azure AD Connect для управления конфигурацией служб федерации Active Directory (AD FS). Вы можете включить транскрипцию PowerShell, если используете мастер Azure AD Connect для управления конфигурацией синхронизации.
- Если AD FS развертывается:
- Серверы, на которых установлены AD FS или прокси веб-приложения, должны быть под управлением Windows Server 2012 R2 или более поздней версии. Для удаленной установки на этих серверах должно быть включено удаленное управление Windows. Вам может потребоваться платная программа поддержки, если вам требуется поддержка Windows Server 2016 и более ранних версий.
- Необходимо настроить сертификаты TLS/SSL. Дополнительные сведения см. в статьях Управление протоколами SSL/TLS и наборами шифров для AD FS и Управление SSL-сертификатами в AD FS.
- Необходимо настроить разрешение имен.
- Разрыв и анализ трафика между Azure AD Connect и Azure AD не поддерживается. Это может нарушить работу службы.
- Если ваши администраторы гибридной идентификации включили MFA, URL-адрес
https://secure.должен быть в списке надежных сайтов. Вам будет предложено добавить этот сайт в список надежных сайтов, когда вам будет предложено выполнить вызов MFA, а он еще не был добавлен. Вы можете использовать Internet Explorer, чтобы добавить его в список надежных сайтов. aadcdn.microsoftonline-p.com - Если вы планируете использовать Azure AD Connect Health для синхронизации, убедитесь, что выполнены предварительные условия для Azure AD Connect Health. Дополнительные сведения см. в разделе Установка агента Azure AD Connect Health.
Вы можете развернуть Azure AD Connect на Windows Server 2016, но, поскольку Windows Server 2016 находится в расширенной поддержке, вам может потребоваться платная программа поддержки, если вам требуется поддержка для этой конфигурации. Мы рекомендуем использовать присоединенный к домену Windows Server 2022.
Вы можете включить транскрипцию PowerShell, если используете мастер Azure AD Connect для управления конфигурацией синхронизации.
aadcdn.microsoftonline-p.com Мы рекомендуем усилить защиту сервера Azure AD Connect, чтобы уменьшить вероятность атаки на этот критически важный компонент вашей ИТ-среды. Следование этим рекомендациям поможет снизить некоторые риски безопасности для вашей организации.
- Мы рекомендуем усилить защиту сервера Azure AD Connect как ресурса уровня управления (ранее уровня 0), следуя указаниям, приведенным в модели безопасного привилегированного доступа и административного уровня Active Directory.
- Предоставьте административный доступ к серверу Azure AD Connect только администраторам домена или другим строго контролируемым группам безопасности.
- Создайте специальную учетную запись для всех сотрудников с привилегированным доступом. Администраторы не должны просматривать веб-страницы, проверять свою электронную почту и выполнять повседневные рабочие задачи с учетными записями с высоким уровнем привилегий.
- Следуйте инструкциям в разделе Защита привилегированного доступа.
- Запретить использование проверки подлинности NTLM на сервере AADConnect. Вот несколько способов сделать это: Ограничение NTLM на сервере AADConnect и Ограничение NTLM на домене
- Убедитесь, что у каждой машины есть уникальный пароль локального администратора. Дополнительные сведения см. в разделе Решение для паролей локального администратора (LAPS) позволяет настраивать уникальные случайные пароли на каждой рабочей станции, а сервер сохраняет их в Active Directory, защищенном ACL. Только уполномоченные авторизованные пользователи могут читать или запрашивать сброс паролей этих учетных записей локального администратора. Вы можете получить LAPS для использования на рабочих станциях и серверах в Центре загрузки Microsoft. Дополнительные рекомендации по эксплуатации среды с LAPS и рабочими станциями с привилегированным доступом (PAW) можно найти в операционных стандартах, основанных на принципе чистого источника.
- Внедрите выделенные рабочие станции с привилегированным доступом для всех сотрудников с привилегированным доступом к информационным системам вашей организации.
- Следуйте этим дополнительным рекомендациям, чтобы уменьшить поверхность атаки вашей среды Active Directory.
- Следуйте отслеживанию изменений в конфигурации федерации, чтобы настроить оповещения для отслеживания изменений в доверии, установленном между вашим Idp и Azure AD.
- Включить многофакторную аутентификацию (MFA) для всех пользователей, имеющих привилегированный доступ в Azure AD или в AD. Одна из проблем безопасности при использовании Azure AD Connect заключается в том, что если злоумышленник сможет получить контроль над сервером Azure AD Connect, он сможет манипулировать пользователями в Azure AD. Чтобы злоумышленник не мог использовать эти возможности для захвата учетных записей Azure AD, MFA предлагает средства защиты, поэтому даже если злоумышленнику удастся, например, сбросить пароль пользователя с помощью Azure AD Connect, они все равно не смогут обойти второй фактор.
- Отключите Soft Matching для своего клиента. Мягкое сопоставление — это отличная функция, помогающая передавать источник полномочий для существующих облачных управляемых объектов в Azure AD Connect, но она сопряжена с определенными рисками безопасности. Если вам это не нужно, отключите Soft Matching.
- Отключить захват сложного матча. Перехват жесткого совпадения позволяет Azure AD Connect получить контроль над облачным управляемым объектом и изменить источник полномочий для объекта на Active Directory. После того как Azure AD Connect перейдет к источнику полномочий объекта, изменения, внесенные в объект Active Directory, связанный с объектом Azure AD, перезапишут исходные данные Azure AD, включая хэш пароля, если включена синхронизация хэша паролей. . Злоумышленник может использовать эту возможность, чтобы получить контроль над объектами, управляемыми облаком. Чтобы снизить этот риск, отключите захват жестких совпадений.
Только уполномоченные авторизованные пользователи могут читать или запрашивать сброс паролей этих учетных записей локального администратора. Вы можете получить LAPS для использования на рабочих станциях и серверах в Центре загрузки Microsoft. Дополнительные рекомендации по эксплуатации среды с LAPS и рабочими станциями с привилегированным доступом (PAW) можно найти в операционных стандартах, основанных на принципе чистого источника.
Одна из проблем безопасности при использовании Azure AD Connect заключается в том, что если злоумышленник сможет получить контроль над сервером Azure AD Connect, он сможет манипулировать пользователями в Azure AD. Чтобы злоумышленник не мог использовать эти возможности для захвата учетных записей Azure AD, MFA предлагает средства защиты, поэтому даже если злоумышленнику удастся, например, сбросить пароль пользователя с помощью Azure AD Connect, они все равно не смогут обойти второй фактор.
После того как Azure AD Connect перейдет к источнику полномочий объекта, изменения, внесенные в объект Active Directory, связанный с объектом Azure AD, перезапишут исходные данные Azure AD, включая хэш пароля, если включена синхронизация хэша паролей. . Злоумышленник может использовать эту возможность, чтобы получить контроль над объектами, управляемыми облаком. Чтобы снизить этот риск, отключите захват жестких совпадений.- Для Azure AD Connect требуется база данных SQL Server для хранения идентификационных данных. По умолчанию установлена SQL Server 2019 Express LocalDB (облегченная версия SQL Server Express). SQL Server Express имеет ограничение на размер в 10 ГБ, что позволяет управлять примерно 100 000 объектов. Если вам нужно управлять большим объемом объектов каталога, укажите мастеру установки другую установку SQL Server. Тип установки SQL Server может повлиять на производительность Azure AD Connect.
- Если вы используете другую установку SQL Server, применяются следующие требования:
- Azure AD Connect поддерживает все основные поддерживаемые версии SQL Server вплоть до SQL Server 2019. См. статью о жизненном цикле SQL Server, чтобы проверить состояние поддержки вашей версии SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных . Сюда входят как База данных SQL Azure, так и Управляемый экземпляр Azure SQL.
- Необходимо использовать сопоставление SQL без учета регистра. Эти сопоставления идентифицируются с помощью _CI_ в их имени. Использование сопоставления с учетом регистра, определяемого _CS_ в их имени не поддерживается .
- У вас может быть только один модуль синхронизации для каждого экземпляра SQL. Совместное использование экземпляра SQL с FIM/MIM Sync, DirSync или Azure AD Sync не поддерживается .
- Azure AD Connect поддерживает все основные поддерживаемые версии SQL Server вплоть до SQL Server 2019.
См. статью о жизненном цикле SQL Server, чтобы проверить состояние поддержки вашей версии SQL Server. SQL Server 2012 больше не поддерживается. База данных SQL Azure не поддерживается в качестве базы данных . Сюда входят как База данных SQL Azure, так и Управляемый экземпляр Azure SQL.Учетные записи
- У вас должна быть учетная запись глобального администратора Azure AD или учетная запись администратора гибридного удостоверения для клиента Azure AD, с которым вы хотите выполнить интеграцию. Эта учетная запись должна быть учетной записью школы или организации и не может быть учетной записью Microsoft 9. 0092 .
- Если вы используете экспресс-настройки или выполняете обновление с DirSync, у вас должна быть учетная запись администратора предприятия для локальной службы Active Directory.
- Если вы используете путь установки пользовательских настроек, у вас есть больше возможностей. Дополнительные сведения см. в разделе Выборочные параметры установки.
0092 .Возможности подключения
Серверу Azure AD Connect требуется разрешение DNS как для интрасети, так и для Интернета. DNS-сервер должен иметь возможность разрешать имена как в локальной Active Directory, так и в конечных точках Azure AD.
Azure AD Connect требует сетевого подключения ко всем настроенным доменам
Azure AD Connect требует сетевого подключения к корневому домену всего настроенного леса
Если в вашей интрасети есть брандмауэры и вам необходимо открыть порты между серверами Azure AD Connect и контроллерами домена, дополнительные сведения см.
в разделе Порты Azure AD Connect.Если ваш прокси-сервер или брандмауэр ограничивают доступ к URL-адресам, необходимо открыть URL-адреса, задокументированные в URL-адресах и диапазонах IP-адресов Office 365. Также см. раздел Безопасный список URL-адресов портала Azure на брандмауэре или прокси-сервере.
- Если вы используете облако Microsoft в Германии или облако Microsoft Azure для государственных организаций, ознакомьтесь с рекомендациями по экземплярам службы синхронизации Azure AD Connect для URL-адресов.
Azure AD Connect (версия 1.1.614.0 и более поздние версии) по умолчанию использует TLS 1.2 для шифрования связи между модулем синхронизации и Azure AD. Если TLS 1.2 недоступен в базовой операционной системе, Azure AD Connect постепенно возвращается к более старым протоколам (TLS 1.1 и TLS 1.0). Начиная с Azure AD Connect версии 2.0 и выше. TLS 1.0 и 1.1 больше не поддерживаются, и установка завершится ошибкой, если TLS 1.
2 не включен.До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между модулем синхронизации и Azure AD. Чтобы перейти на TLS 1.2, выполните действия, описанные в статье Включение TLS 1.2 для Azure AD Connect.
Если вы используете исходящий прокси-сервер для подключения к Интернету, для установки необходимо добавить следующий параметр в файл C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config . мастер и Azure AD Connect синхронизируются, чтобы иметь возможность подключаться к Интернету и Azure AD. Этот текст необходимо ввести внизу файла. В этом коде
<система.сеть> <прокси-сервер по умолчанию> <прокси использование системы по умолчанию = "истина" proxyaddress="http://<ПРОКСИАДРЕС>:<ПРОКСИПОРТ>" байпассонлокал = "истина" />
net>
Если ваш прокси-сервер требует аутентификации, учетная запись службы должна находиться в домене. Используйте путь установки настроенных параметров, чтобы указать пользовательскую учетную запись службы. Вам также необходимо внести другое изменение в machine.config. Благодаря этому изменению в файле machine.config мастер установки и механизм синхронизации отвечают на запросы проверки подлинности от прокси-сервера. На всех страницах мастера установки, кроме Настройте страницу , используются учетные данные пользователя, выполнившего вход. На странице Настройка в конце мастера установки контекст переключается на созданную вами учетную запись службы. Раздел machine.config должен выглядеть так:
<система.сеть><прокси использование системы по умолчанию = "истина" proxyaddress="http://<ПРОКСИАДРЕС>:<ПРОКСИПОРТ>" байпассонлокал = "истина" /> 
net>
Если конфигурация прокси-сервера выполняется в существующей настройке, службу синхронизации Microsoft Azure AD необходимо перезапустить один раз, чтобы Azure AD Connect прочитал конфигурацию прокси-сервера и обновил поведение.
Когда Azure AD Connect отправляет веб-запрос в Azure AD в рамках синхронизации каталогов, ответ Azure AD может занять до 5 минут. Обычно прокси-серверы имеют конфигурацию тайм-аута простоя соединения. Убедитесь, что в конфигурации установлено значение не менее 6 минут или более.
в разделе Порты Azure AD Connect.
2 не включен.Дополнительные сведения о прокси-элементе по умолчанию см. в MSDN. Дополнительные сведения о проблемах с подключением см. в разделе Устранение неполадок с подключением.
Другое
Необязательно: Используйте тестовую учетную запись пользователя для проверки синхронизации.
Предварительные требования для компонентов
PowerShell и .NET Framework
Azure AD Connect зависит от Microsoft PowerShell 5.
0 и .NET Framework 4.5.1. Вам нужна эта версия или более поздняя версия, установленная на вашем сервере.
До версии 1.1.614.0 Azure AD Connect по умолчанию использует TLS 1.0 для шифрования связи между сервером механизма синхронизации и Azure AD. Вы можете настроить приложения .NET для использования TLS 1.2 по умолчанию на сервере. Для получения дополнительных сведений о TLS 1.2 см. рекомендации Microsoft по безопасности 2960358.
Убедитесь, что для вашей операционной системы установлено исправление .NET 4.5.1. Для получения дополнительной информации см. рекомендации Microsoft по безопасности 2960358. Возможно, на вашем сервере уже установлено это исправление или более поздняя версия.
Для всех операционных систем установите этот раздел реестра и перезапустите сервер.
HKEY_LOCAL_MACHINE\ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\Майкрософт\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
Если вы также хотите включить TLS 1.
2 между сервером механизма синхронизации и удаленным SQL Server, убедитесь, что у вас установлены необходимые версии для поддержки TLS 1.2 для Microsoft SQL Server.
2 между сервером механизма синхронизации и удаленным SQL Server, убедитесь, что у вас установлены необходимые версии для поддержки TLS 1.2 для Microsoft SQL Server.Предварительные требования DCOM на сервере синхронизации
Во время установки службы синхронизации Azure AD Connect проверяет наличие следующего раздела реестра:
- HKEY_LOCAL_MACHINE: Software\Microsoft\Ole
В этом разделе реестра Azure AD Connect проверит наличие и целостность следующих значений:
- MachineAccessRestriction
- MachineLaunchRestriction
- Разрешение на запуск по умолчанию
Необходимые условия для установки и настройки федерации
Удаленное управление Windows
При использовании Azure AD Connect для развертывания AD FS или прокси веб-приложения (WAP) проверьте следующие требования:
- Если целевой сервер присоединен к домену, убедитесь, что удаленное управление Windows включено.
- В командном окне PowerShell с повышенными привилегиями используйте команду
Enable-PSRemoting –force.
- В командном окне PowerShell с повышенными привилегиями используйте команду
- Если целевой сервер не является присоединенной к домену машиной WAP, существует несколько дополнительных требований:
- На целевой машине (машина WAP):
- Убедитесь, что служба Windows Remote Management/WS-Management (WinRM) запущена через оснастку «Службы».
- В командном окне PowerShell с повышенными привилегиями используйте команду
Enable-PSRemoting –force.
- На машине, на которой работает мастер (если целевая машина не присоединена к домену или не является доверенным доменом):
- В командном окне PowerShell с повышенными привилегиями используйте команду
Set-Item.WSMan:\localhost\Client\TrustedHosts –Value.-Force –Concatenate - В диспетчере серверов:
- Добавьте хост DMZ WAP в пул машин. В диспетчере серверов выберите Управление > Добавить серверы , а затем используйте вкладку DNS .
- На вкладке Server Manager All Servers щелкните правой кнопкой мыши WAP-сервер и выберите Manage As . Введите локальные (не доменные) учетные данные для WAP-машины.
- Чтобы проверить удаленное подключение PowerShell, в диспетчере серверов Все серверы , щелкните правой кнопкой мыши WAP-сервер и выберите Windows PowerShell . Удаленный сеанс PowerShell должен быть открыт, чтобы обеспечить возможность установки удаленных сеансов PowerShell.
- Добавьте хост DMZ WAP в пул машин. В диспетчере серверов выберите Управление > Добавить серверы , а затем используйте вкладку DNS .
- В командном окне PowerShell с повышенными привилегиями используйте команду
- На целевой машине (машина WAP):
Требования к сертификату TLS/SSL
- Мы рекомендуем использовать один и тот же сертификат TLS/SSL на всех узлах фермы AD FS и на всех прокси-серверах веб-приложений.
- Сертификат должен быть сертификатом X509.
- Вы можете использовать самозаверяющий сертификат на серверах федерации в среде тестовой лаборатории. Для производственной среды рекомендуется получить сертификат в общедоступном центре сертификации.
- Если вы используете сертификат, которому не доверяют публично, убедитесь, что сертификат, установленный на каждом сервере прокси веб-приложения, является доверенным как на локальном сервере, так и на всех серверах федерации.
- Идентификатор сертификата должен соответствовать имени службы федерации (например, sts.contoso.com).
- Удостоверение является либо расширением альтернативного имени субъекта (SAN) типа dNSName, либо, если записи SAN отсутствуют, имя субъекта указывается как обычное имя.
- В сертификате может присутствовать несколько записей SAN, если одна из них соответствует имени службы федерации.
- Если вы планируете использовать присоединение к рабочему месту, требуется дополнительная SAN со значением enterpriseregistration. , за которым следует суффикс имени участника-пользователя (UPN) вашей организации, например, enterpriseregistration.contoso.com.
- Сертификаты, основанные на ключах CryptoAPI следующего поколения (CNG) и поставщиках хранилища ключей (KSP), не поддерживаются. В результате вы должны использовать сертификат на основе поставщика криптографических услуг (CSP), а не KSP.
- Поддерживаются сертификаты с подстановочными знаками.
В результате вы должны использовать сертификат на основе поставщика криптографических услуг (CSP), а не KSP.Разрешение имен для серверов федерации
- Настройте записи DNS для имени AD FS (например, sts.contoso.com) как для интрасети (ваш внутренний DNS-сервер), так и для экстрасети (общедоступный DNS через регистратора домена). . Для записи DNS интрасети убедитесь, что вы используете записи A, а не записи CNAME. Использование записей A необходимо для правильной работы проверки подлинности Windows с компьютера, присоединенного к домену.
- Если вы развертываете несколько серверов AD FS или прокси-серверов веб-приложений, убедитесь, что вы настроили балансировщик нагрузки и что записи DNS для имени AD FS (например, sts.contoso.com) указывают на балансировщик нагрузки.
- Чтобы встроенная проверка подлинности Windows работала для приложений браузера, использующих Internet Explorer в интрасети, убедитесь, что имя AD FS (например, sts. contoso.com) добавлено в зону интрасети в Internet Explorer. Это требование можно контролировать с помощью групповой политики и развернуть на всех компьютерах, присоединенных к домену.
contoso.com) добавлено в зону интрасети в Internet Explorer. Это требование можно контролировать с помощью групповой политики и развернуть на всех компьютерах, присоединенных к домену.Azure AD Connect устанавливает следующие компоненты на сервер, где установлен Azure AD Connect. Этот список предназначен для базовой экспресс-установки. Если вы решите использовать другой SQL Server на странице Установка служб синхронизации , SQL Express LocalDB не будет установлена локально.
- Azure AD Connect Health
- Утилиты командной строки Microsoft SQL Server 2019
- Microsoft SQL Server 2019 Express LocalDB
- Microsoft SQL Server 2019Собственный клиент
- Распространяемый пакет Microsoft Visual C++ 14
В следующей таблице показаны минимальные требования для компьютера синхронизации Azure AD Connect.
| Количество объектов в Active Directory | ЦП | Память | Размер жесткого диска |
|---|---|---|---|
| Менее 10 000 | 1,6 ГГц | 6 ГБ | 70 ГБ |
| 10 000–50 000 | 1,6 ГГц | 6 ГБ | 70 ГБ |
| 50 000–100 000 | 1,6 ГГц | 16 ГБ | 100 ГБ |
Для 100 000 и более объектов требуется полная версия SQL Server. |