Azure AD Connect Kurulum ve Yapılandırma
Merhaba, daha önceki makalelerimizde Kullanıcılarımıza ait UPN değiştirme,IdFix aracından ve Hybrid Deployment’in avantajlarından bahsetmiştik.
https://www.cozumpark.com/powershell-ile-kullanicilarin-upnini-degistirme/
https://www.cozumpark.com/o365-idfix-araci-nedir/
https://www.cozumpark.com/exchange-server-hybrid-deployment-icin-on-gereksinimler-ve-avantajlari
UPN ve IdFix aracını Hybrid yapıya geçmeden önce yapmamız gereken temel taşlardandır.
Azure AD Connect Nedir?
AD Connect, on-premises kullanıcı altyapısını Microsoft Azure AD ile eşitlemek için kullanılan bir araçtır. AD Connect sihirbazı, eşitleme ve oturum açma olmak üzere bağlantı için gerekli koşulları ve bileşenleri dağıtmaktadır. Azure AD Connect, Dirsync ve AAD eşitleme olarak yayımlayan işlevleride kapsamaktadır. Microsoft bu araçları tek tek yayınlamıyor ve tüm geliştirmeleri AD Connect üzerinde gerçekleşmektedir.
Azure AD Connect yüklenecek olan sunucunun ayrı bir sunucu olması önerilmektedir, DC sunucusuna kurulum yapılması önerilmemektedir ve Windows Server Core desteklenmemektedir.
- Windows Server 2012 veya üzeri bir sunucuya kurulması gerekmektedir.
- AD Connect kurulacak olan sunucuda NET.Framework 4.5 ve PowerShell 3.0+ olması gerekmektedir.
- Azure AD Connect sunucusunda PowerShell Transcription Group Policy özelliği etkinleştirilmemelidir. Azure AD Connect ile Federation Services’in kullanılması gerektiği durumlarda ise ADFS ve WAP sunucularının Windows Server 2012 R2 veya sonraki
sürümlerinin olması ve Windows Remote Management etkileştirilmelidir. ADFS için SSL sertifikasına ve ADFS için kullanılacak ismin çözümlenmesi gerekir
AD Connect indirmek için Azure Active Directory’e ekranına giriş yapıyoruz.
Sol menüde bulunan Azure AD Connect seçeneğinden Azure AD Connect’i indirin butonu ile uygulamayı indirebilirsiniz yada bırakmış olduğum linkten download edebilirsiniz.
Download Microsoft Azure Active Directory Connect from Official Microsoft Download Center
Uygulamayı indirdikten sonra çalıştırıyoruz ve Welcome to Azure AD Connect ekranı karşılıyor. Burası AD Connect ile ilgili lisans sözleşmesinin olduğu bölüm ilgili sözleşmeyi kabul ediyoruz ve Continue butonu ile devam ediyoruz.
İkinci ekranımız “Express Settings” ekranında Customize ve Express Settings butonları karşılamakta. Customize seçeneği ile aslında uçtan uca bir ayarlama yapabilmekteyiz. Biz hybrid bir yapı kuracağımız için Customize butonu ile devam edeceğiz.
- Install required compenents ekranında bizi 5 seçenek karşılamakta, ilgili seçenekleri tanımlarını şu şekilde yapabiliriz;
- Specifiy a custom installation location; bu seçenek kurulum dizini değiştirmemize olanak sağlamaktadır.
- Use an existing SQL Server; ortamınızda bir SQL Server varsa onun üzerinde yeni bir Instance oluşturup database olarak o sunucuyu kullanmasına izin verebilirsiniz.
- Use an existing service account; Azure AD Connect servisi için özel bir kullanıcı girebilirsiniz.
- Specify custom sync groups; AD Connect varsayılan olarak dört grup oluşturmaktadır. Burada grupların kullanıcılar tarafından belirlenmesi sağlanabilir, belirtilecek gruplar yerel gruplar olmalıdır. Böylelikle Azure AD Connect ile spesifik ayarlar yapılandırılabilir.
- Import Synchronization Setting; AD connect sunucunuzu değiştirdiyseniz ve eski yapılandırmanız için elinizde export dosyası varsa bu seçenek ile import yapabilirsiniz.
Ben ekstradan bir değişiklik yapmadan “Install” butonunu kullanıyorum.
Install butonu ile beraber kurulum başlıyor.
Kurulumun tamamlanmasının ardından “User Sign-in” arayüzü bizi karşılamakta. Burada kullanıcıların oturum açma işlemleri ile ilgili seçenekler yer alıyor.
Password Hash Synchronization; Bu seçenek Local Active Directory üzerinde bulunan kullanıcıların şifreleri ile beraber Office 365 ve Azure ortamında oturum açabilmelerini sağlamakta.
Pass-through Authentication; Local AD’de bulunan kullanıcıların Azure Active Directory’e sync olmadan, kullanıcıların, O365 servislerinde local parola bilgileriyle oturum açmalarına olanak sağlamaktadır. Kullanıcıların parolasını doğrulamak için On-Premises AD denetleyicisi kullanılır ve Seamless Single Sing-On seçeneği ile kullanılırsa ADFS mimarisine ihtiyaç duymadan kullanıcıların LOGIN olmasını destekler.
Azure AD Connect: Seamless Single Sign-On | Microsoft Docs
Fedaration with AD FS; Local Active Directory üzerinde bulunan kullanıcıların Office 365 üzerinde kendi şirket içi ağlarında kullandıkları parolayla oturum açabilir. Oturum açma işlemini ADFS sunucu üzerinden yapabilirler.
Federation with PingFederate; Kullanıcılar, O365 ve Azure servislerinde kendi local ortamlarında kullandıkları bilgilerle oturum açmaktadırlar. Kullanıcılar oturum açmak için on-premises PingFederate örneklerine yönlendirilir ve kimlik doğrulama gerçekleşir
Burada ben Password Hash Synchronization ile devam edeceğim. Siz kendi senaryonuza uygun seçeneği belirleyerek devam edebilirsiniz.
Connect to Azure AD ekranında ise Azure AD’ye bağlanmak için global administrator yetkisine sahip kullanıcımızın bilgisini giriyoruz. Azure AD için global administrator olan onmicrosoft.com kullanıcısı oluşturulabilir, bu kullanıcın parola biligisi istediğiniz zaman değiştirilir.
Bir sonraki ekranımız ise “Connect your directories” bu yapılandırma ekranında ise Active Directory için yetki kullanıcı bilgisi girildikten sonra seçmiş olduğunuz Forest ile bağlantı sağlanmaktadır. Kullanıcı bilgisi girerken isterseniz yeni bir kullanıcı oluşturabilirsiniz.
Yeni kullanıcı oluşturmak için Create new AD account butonunu kullanabilirsiniz, ilgili seçenecek size yeni bir enterprise admin kullanıcısı oluşturacaktır.
Azure AD Connect: Accounts and permissions | Microsoft Docs
Use existing AD Account seçeneği ise varolan bir kullanıcı girmenizi isteyecektir. Ben varolan bir kullanıcı bilgisi giriyorum.
Kullanıcı bilgilerimi girdikten sonra forest ile bağlantı sağlanıyor.
Benim UPN olarak eklediğim domain, O365 tarafında ekli ve doğrulanmış olduğu için “Verified” olarak geldi. Eğer “cozumpark.com.tr” olarak devam etseydim bu domaini O365 tarafına eklememiz gerekecekti. Hybrid bir yapı için yapılması gerekenleri tekrar sıralamak gerekirse sıralama şu şekilde;
- UPN Değişikliği
- IdFix Aracı ile Test işlemi
- Outlook Conenctivity ve Outlook Autodiscover servislerinin test işlemi
- O365 tarafında Domain ekleme ve doğrulama işlemi
- Azure AD Connect Kurulumu ve Yapılandırması
Biz AD Connect kurulumundan önce UPN Değişikliği ve IdFix aracını kurulumu yapmıştık.
Benim UPN olarak eklediğim “cengizyilmaz.net” doğrulanmış bir şekilde geldi. Aslında Azure AD sign-in configuration ekranı Local AD’de bulunana ekli olan tüm UPN’leri listelemektedir. Bu sayfa üzerinde userPrincipalName ile kullanıcıların Azure AD ve O365 servislerinde oturum açarken kullandıkları bir öznitelik olarak gelmektedir. Tekrar kısa bir hatırlatma: yönlendirilmesi mümkün olmayan UPN’ler O365 tarafında onmicrosoft.com olarak yansıyacaktır.
Aslında Default olarak tüm OU ve etki alanları AD Connect eşitlenmeye hazır gelir ama “Sync selected domains adn OUs” seçeneği ile eşitlenmesini istediğiniz OU ve Etki Alanları seçebilirsiniz. İsterseniz buradaki yapılandırmayı daha sonra değiştirebilirsiniz.
Burada oluşacak kullanıcıların hangi tanımlama değerlerine göre aktarılacağını belirliyoruz. Yani AD DS Forest’ı üzerinde bulununan kullanıcıların Azure AD’de nasıl görüneceğini tanılanıyor. Bir kullanıcı ya tüm forest yalnızca bir kez temsil edilebilir ya da etkin ve devre dışı hesapların birleşimine sahip olabiliyor. Ben varsayılan özelliklerle devam ediyorum.
Filter users and devices penceresinde, belirtilen neslerin eşitlenmesine izin verebiliriz. Grup tabanlı bir eşitleme imkanı sağlıyor aslında bize. On-Premises Active Directory’de grup oluşturuyoruz ve bu gruba Azure AD ile Sync olacak kullanıcı ve grupları ekliyoruz. İç içe geçmiş grupların üyesini ekleyemiyorsunuz.
Azure AD Connect uygulamasının opsiyonel olarak sunduğu özellikleri görüyoruz.
- Exchange Hybrid Deployment; On-Premises exchange sunucumuz ile O365 aynı anda aktif olduğu migration senaryolarında kullanılmaktadır.
- Exchange Mail Public Folders; Public Folder objelerimizin On-Premises AD üzerinden Azure AD’ye Sync yapılmasını sağlamaktadır.
- Azure AD app and attribute filtering; Özellik filtrelemesini etkinleştirir.
- Password hash synchronization; Kullanıcıya ait parola bilgisini Azure AD tarafına Sync edilmesine olanak sağlamaktadır. Senaryolara değişiklik gösterilebilir, Federasyon işlemlerini etkinleştirerek yedekleme seçeneği olarak kullanılabiliyor.
- Password WriteBack; Azure AD üzerinde gerçekleştirilen kullanıcı parolasını, On-Premises AD üzerine Sync etmek için kullanılmaktdır.
- Group Writeback; O365 servislerinde O365 Groups özelliği aktif olarak kullanılıyorsa eğer, ilgili grupları On-Premises AD üzerinde’de aktif eder. (Local’de Exchange Server olmak zorunda)
- Device Writeback; Azure AD üzerinde bulunan cihaz nesnelerinin On-premises AD ortamına yazmak için kullanılmaktadır.
- Directory Extension Attribute Sync; İstenilen özellikler Azure AD Sync edilmesi için kullanılmaktadır.
Azure AD Connect sync: Directory extensions | Microsoft Docs
Biz Hybrid Deployment için, Exchange Hybrid Deployment seçeneği ile ilerliyoruz.
Next dediğiniz zaman compenentsleri hazırlamak için araç çalışıyor.
Start the synchronization process when configuration completes; bu seçenek işaretliyken Install butonuna basarsanız kurulum ile beraber Sync işleminide başlatmış olursunuz. Ben Sync işlemini manuel başlatmayacağım için bu seçenek işaretliyken Install butonun kullanıyorum.
Kurulum ve yapılandırma işlemleri başladı, kısa süre sonra işlem tamamlanacaktır.
Kurulum işlemi tamamlandı. Kurulum ve yapılandırma ile ilgili kısa bir bilgi vermekte. Active Directory üzerinden Recycle Bin özeliği açık olmadığını ve bu özelliğin açılmasını önermekte.
Kurulum ve yapılandırma işlemi tamamlandığına göre Synchronization Service Manager uygulamasını açabiliriz. miisclient uygulaması, kurulum dizini içinde yer almaktadır.
On-Premises AD ve Azure AD üzerine ilgili connectorlar oluşturulmuş ve Sync işlemi başarılı şekilde gerçekleşmiş.
Şimdi Azure AD konsolumuzu açıyoruz ve son eşitleme bilgimize bakıyoruz. Azure Active Directory konsolumuzda Sync işleminin etkin olup olmadığını görebiliyoruz.
Azure Active Directory konsolunda kullanıcılar bölümüne gelerek, Sync edilmiş kullanıcılarımızı kontrol ettiğimizde, On-Premises AD üzerinde bulunan kullanıcılarımızı Azure AD üzerinde görüntüleyebiliyoruz.
Azure AD Connect uygulaması ile nesneler sync işlemi 30 dakikada bir gerçekleşmektedir.
İsterseniz Sync işlemini Powershell ile manuel tetikleyebilirsiniz yada kurulum öncesi “Start the synchronization process when configuration completes” seçeneği seçmeseydik Sync işlemini manuel tetiklemek zorunda kalacaktık.
Öncelikle ADSync Import yapmamız gerekiyor.
Import-Module ADSync
Sync yapılandırmamız kontrol edelim, sync süremizi ve bir sonraki sync başlama süresini görüntülemek için.
Get-ADSyncScheduler
Full Sync işlemi başlatmak için aşağıdaki komut setini kullanabiliriz.
Start-ADSyncSyncCycle -PolicyType Initial
Delta Sync işlemi için aşağıdaki komut seti kullanılabilir. Delta Sync; Sadece değişen objeleri Sync etmektedir.
Start-ADSyncSyncCycle -PolicyType Delta
Bir sonraki makalemiz Hybrid Wizard yapılandırması ile devam edeceğiz.
Eline sağlık.
Teşekkür ederim hocam
Teşekkür ederim.
Takıldığım bir noktayı çözdüm.
Sağlıkla kalın.
Harika bir makalae
*Öncellikle bu güzel anlatım için teşekkür ederim.
*AD connect uygulamasının DC ile aynı sunucuda mı kurulmalı yoksa farklı sunucuya mı kurulması tavsiye edilir? Bu konuda bilgilendirebilir misiniz?
İyi çalışmalar.
Merhaba, önerilen ayrı olması, ancak dc üzerine de kurabilirsiniz.
Merhabalar,
Teşekkür ederim Hakan Bey.
Çalıştığım yerde bir sorunla karşılaştık. AD üzerinden toplu olarak bir kullanıcı ekledik. Sonra maile giremedikleri için kullanıcıları sildik. Sonrasında AD de yapılan hiç bir işlem Exchange yansımadı kullanıcı açınca exchange gelmiyor. Bu arada ki kontroller konusunda ADFS üzerinde senkron yaptığımda sorunsuz yapıyor ama 365 tarafına yansımamakta bir fikriniz var mıdır?