Domain tanımlama ve diğer Dns kayıtları ile ilgili adımları tamamlandıktan sonra ise Azure Adconnect kurulum adımlarına geçebiliriz. Adconect aracı ile hybrid mimarisinin ilk adımlarını atacağımızı serinin başında belirtmiştim. Kuruluma geçmeden önce Azure Adconnect aracını tanıyalım. Azure AD Connect yazılımı, On-prem Active Directory ile Azure Active Directory arasındaki senkronizasyon görevi gören bir servistir. Aynı zamanda kullanıcılara Azure AD ile birlikte Office 365, Azure ve SaaS uygulamaları için ortak bir kimlik oluşturabiliyoruz. Bu sayede kullanıcılar lokal kimlikleri ile Office 365 ve diğer SaaS uygulamalara aynı kimlik bilgileri ile bağlanmalarını sağlayabiliriz. Azure AD Connect neden kullanılır? On-prem yapının Azure AD ile kullanılması, kullanıcılarınızın hem bulut kaynaklarına hem de şirket içi kaynaklara erişmesi için ortak bir kimlik hesabı sunar. Buda güvenli, verimli ve kontrollü bir yapıyı ortaya çıkarız. Alt yapınız ve kullanıcılar için aşağıdaki avantajlar sunulur;
- Kullanıcılar, Office 365 gibi bulut hizmetlerine ve şirket içi uygulamalara erişmek için tek bir kimlik kullanır.
- Eşitleme ve oturum açmaya yönelik kolay bir dağıtım deneyimi sağlamaktır.
- Senaryolarınız için en yeni işlevleri ve özellikleri sizlere sunar. (Adconnect ‘e bağlı yeni özellikler güncelleştirmelere bağlı sizlere sunulur.)
Azure AD Connect ile gelen özellikler;
- Password hash synchronization : Kullanıcıların Hybrid kullanımına yönelik AD şifrelerini Azure AD ile senkronize eden tek bir oturum açma özelliğidir.
- Pass-through authentication : Kullanıcıların şirket içinde ve bulut ortamında aynı parolayı kullanmasına olanak sağlayan, ancak bir federasyon ortamının altyapısını gerektirmeyen oturum açma yönetimidir.
- Federation integration : Federasyon, Azure AD connect’in isteğe bağlı olarak kullanılan bir özelliğidir ve şirket içi bir AD FS altyapısı kullanarak hybrid bir ortamı yapılandırmak için kullanılabilir. Ayrıca sertifika yenileme ve ek olarak AD FS sunucu dağıtımları gibi AD FS yönetimi yetenekleri sunar.
- Synchronization : Kullanıcıları, grupları ve diğer nesneleri oluşturmak için kullanılan bir özelliktir.
- Health Monitoring : Azure AD Connect sağlık durumunu gözlemleyen ve senkronizayon durumunu izleyen özelliktir.
Azure AD Connect ile ilgili detaylı bilgilere ilgili linkten ulaşabilirsiniz.
Azure AD Connect destek bileşenleri nelerdir ?
Azure AD Connect yazılımın yüklü olduğu sunucuya yüklenen bileşenlerin listesi aşağıdaki gibidir. Bu liste de temel Express kurulumu yer alır.
- Azure AD Connect Health
- Microsoft SQL Server 2012 Komut Satırı Araçları
- Microsoft SQL Server 2012 Express LocalDB
- Microsoft SQL Server 2012 Yerel İstemcisi
- Microsoft Visual C ++ 2013 Yeniden Dağıtım Paketi
Adconnect kurulumunu yapacağınız sunucu ile ilgili ön hazırlıklar aşağıdaki gibidir;
- Var olan ortamınıza 1 adet Windows Server 2008 R2 SP1 veya üstü işletim sistemine sahip aşağıdaki özelliklerde bir sunucu kurulumu yapılması ve tüm güncellemelerin alması gerekir. (Tercihimiz Windows Server 2012r2-2016 işletim sistemidir.)
- Sunucunun Internal ip bilgilerini statik olarak ayarlanması.
- Oluşturmuş olduğunuz sunucunun Computer Name‘ni sisteminize göre veriniz ve sonuna anlaşılabilir olması adına “ADCONNECT” koyunuz ve sonra domaine alınız.
- Active Director’deki kullanıcıları sync edecek olan “adconnect” isminde bir kullanıcı oluşturulması, (Kullanıcının Enterprise admin yetkisine sahip olması gerekmektedir. Bu sebeple mevcuttaki Administrator kullanıcısını kopyalayarak ADconnect isminde bir account oluşturulmasını öneririz.)
- Azure AD Connect sunucusunda .NET Framework 4.5.1 veya üstü ve Microsoft PowerShell 3.0 veya üstü yüklü olmalıdır.
- Azure AD Connect’i Windows Server 2008 R2’ye yüklerseniz, güncel Windows Update’lerin yüklediğinden emin olun.
- Yukarıdaki adımları başarılı bir şekilde tanımlandıktan sonra aşağıdaki link üzerinden Adconnect yazılımını masaüstüne indirebilir misiniz?
Link: https://www.microsoft.com/en-us/download/details.aspx?id=47594
Ön hazırlıklar tamamlandığında kurulumu adımlarına geçebiliriz.
İlk olarak yukaridaki paylaşmış olduğum Azure Adconnect yazılımını ilgili sunucuya indirip, çalıştırdığınızda sizleri Azure AD Connect kurulum sihirbazı karşılayacaktır. Lisans sözleşmesini kabul edip ve AD Connect companent’lerin kurulumu sonrasında açılan pencerede Customize ve Express diye iki kurulum adımı yer alır . Tüm ayarları detaylı olarak düzenleyeceğimiz için Customize butonu ile ilerleyelim.
Bu adımda Microsoft 365 Portal’ına bağlı bir global admin kullanıcısı istiyor. Gerekli bilgileri girip ilerliyoruz.
Burada ise Local Active Directory üzerinde bulunan yetkili bir kullanıcı hesabı istenmektedir. Hata alınması adına bu hesbın Enterprise Admin hakkına sahip olması gerekmektedir.
Microsoft 365 tarafına tanımladığımız lab58884.o365ready.com domain’imizin verified olduğu görebiliyoruz. User Principal Name bölümünde ise AD üzerinde bulunan kullanıcıların Microsoft 365 tarafına nasıl sync olacaklarını belirliyorum. Burada yapınıza göre istediğiniz Attribute seçebilirsiniz. Genelde UPN ve E-mail ‘e göre senkronizasyon işlemleri uygulanır.
Eşitleme işlemi Domain ve OU bazlı sağlanır. Burada tüm objeleri sync etmek yerine yapınıza göre istediğiniz OU’yu sync edebilirsiniz. Tüm kullanıcılarımın olduğu LabUser adındaki Klasörümü işaretlerek ilerliyorum.
Forest’lar arası eşitleme özelliği ile birlikte On-prem taraftaki kullanıcıların Azure AD tarafında nasıl teslim edeceği belirlenir. Senaryo ve yapıya göre ayarları düzenlenebilir, mesela kullanıcı Attribute’ları dolu olanları eşitle diyebilirsiniz.
Bu ekranda Azure AD Connect tarafında sunulan özellikler yer alır. (Bu özellikleri lisans durumlarına göre kullanbilirsiniz.) Bu özellikleri;
- Exchange Hybrid Deployment: Exchange Hybrid Deployment özelliği, Exchange posta kutularının hem şirket içinde hem de Office 365’te aynı anda çalışmasını sağlar. AD Connect, Azure AD’deki attributes şirket içi domaine eşitler.
- Exchange Mail Public Folders: Exchange Mail Public Folders özelliğini kullanarak, posta özellikli Ortak Klasör nesnelerini şirket içi Active Directory’den Azure AD’ye eşitleyebilirsiniz.
- Azure AD app and attribute filtering: Azure AD uygulaması ve attribute filtreleme etkinleştirilerek, Azure AD ile hangi özelliklerin senkronize edileceğini sınırlayabilirsiniz. Kurulum sırasında ilgili uygulamaları görebilirsiniz.
- Password hash synchronization: Kullanıcı parola bilgilerinin Azure AD’ye eşitlenmesini sağlar. Oturum açma çözümü olarak federasyonu seçtiyseniz, bu seçeneği etkinleştirebilirsiniz. Bu durumda parola eşitleme ve yedekleme seçeneği olarak kullanılabilir.
- Password writeback: Password writeback özelliği etkinleştirildiğinde Azure AD’de gerçekleşen parola değişiklikleri on-prem tarafa geri yazılır.
- Group writeback: Office 365 Grupları özelliğini kullanıyorsanız, bu gruplar şirket içi AD’yi temsil eder. Bu seçenek sadece şirket içi Active Directory’nizde Exchange varsa kullanılır.
- Device writeback: Koşullu erişim senaryoları için Azure AD’deki aygıt nesnelerini şirket içi Active Directory’ye yeniden yazmanıza olanak tanır.
- Directory extension attribute sync: Bu özelliği aktif ettiğinizde belirtilen attribute Azure AD ile senkronize edilir.
hybrid deployment adımı için “Exchange hybrid deployment” seçeneğini işareleyip, ilerliyorum.
“Start he synchronization process when configuration completes” seçeneğini işaretleyip, senkronizyon işlemini başlatıyorum.
Kurulum adımlarını sağlıklı bir şekilde tamamlanmasının ardından senkronizasyon durum ve bilgilerini gösteren Synchronization Server Manager uygulaması açılır. Operations bölümü altında sync işlemin devam ettiğini görebilirsiniz.
Ardından Connectors bölümü altında local AD servisine üzerinde Configure directory partitions – Containers kısmında sync ettiğimiz OU’yu bulabilirsiniz. Bu arada istediğiniz OU seçip, senkronizasyona dahil edebilirsiniz. Senkronizasyon işlemine bir kullanıcı eklendiğinde, silindiğinde yada güncellendiğinde bu görsel ekrandan yapılan aksiyona ilişkin bilgileri alabilirsiniz.
Örnek veriyorum Local AD üzerinde bir kullanıcı oluşturduğunuz ve bunun Office 365 tarafına sync edip, kullanıma hazır olmasını istediğinizde senkronizasyon zamanlamasına göre sync işlemi yapılır. Bu zamanla işlemini Get-ADSyncScheduler komut ile görüntüleyebilirsiniz.(Öncesinde Import-Module ADSync cmdlet kullanın.)
Ya da senkronizasyonu powershell yardımı ile manuel olarakta gerçekleştirebilirsiniz. Full sync ve Delta sync olarak kontrol edilebilir.
- Azure AD Connect Module: Import-Module ADSync
- Konfigürasyon Ayarları: Get-ADSyncScheduler
- Full Senkronizasyon: Start-ADSyncSyncCycle -PolicyType Initial
- Delta Senkronizasyon (Değişen nesneler için kullanılır.): Start-ADSyncSyncCycle -PolicyType Delta
Ayrıca Azure AD Admin Center bölümünden Sync durumunu görebilirsiniz.