On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Bölüm 1. Bu makale serisinde, Azure Active Directory ile On-Prem Active Directory yapısının, farklı senaryolar üzerinde nasıl entegre edilebileceğini inceleyeceğiz. Öncelikle seçeneklerimize bir bakalım.
ADDS ve Azure AD Entegrasyon Seçenekleri
Azure AD ve AD DS entegrasyonuna ilişkin aşağıdaki seçenekler ile konfigürasyon yapılabilir.
Resim-1
On-Premise AD’nin Azure’a extend edilmesi:
Bu seçenek ile On-Premise üzerinde çalışan AD DS’e ek bir DC Azure üzerindeki VM üzerine kurulur.
On-Premise Active Directory’nin Azure AD ile Senkronize Edilmesi:
Directory senkronizasyonu ile kullanıcı, grup ve kontak bilgileri Azure AD’ye senkronize edilir ve bilgiler senkronize tutulur. Bu senaryoda kullanıcılar farklı kullanıcı adı ve parola ile Cloud ve On-Premise kaynaklarına erişirler.
On-Premise Active Directory ve Azure AD Senkronizasyonunda Password Sync Kullanılması:
Bu seçenek ile kullanıcılar On-Premise üzerinde kullandıkları parolalar ile Azure AD’ye bağımlı uygulamalara erişirler.
On-Premise Active Directory ve Azure AD arasında SSO Entegre Edilmesi:
Bu özellik genelde geniş çaplı organizasyonlarda kullanılır. Kullanıcılar Azure üzerindeki kaynaklara bağlanmadan önce On-Premise üzerindeki Active Directory ile kimlik doğrulaması yaparlar. Bu mimariyi yapılandırmak için ADFS rolüne ihtiyaç vardır. ADFS, ADFS Server ve ADFS Proxy isimli bileşenlerden oluşur.
DC’yi VM olarak Azure üzerinde tutma nedenleri aşağıdaki gibidir.
- On-Premise Directory yapısına esneklik kazandırır.
- Azure tabanlı servisler için yapılan kimlik doğrulama isteklerini Azure ortamı içerisinde tutar.
- Dünya çapında siteler için On-Premise AD erişimini genişletir.
- ADFS ile dizin senkronizasyonu ve SSO gibi ek seçenekleri etkinleştirir.
Azure üzerine dc kurulurken dikkat edilecek en önemli nokta AD Database’inin DC üzerindeki Data diski üzerine kurulmasıdır. Bunun sebebi Azure üzerindeki OS diskini barındıran dizin üzerinde Read/Write Cache ayarları bulunmasıdır. Bu ayarlar AD DB’si bu diske konulduğu zaman Data bozulmalarına sebep olabilir.
Azure üzerine AD ortamının genişletilmesi ile ilgili olarak 3 ana senaryo bulunur. Bunlar aşağıdaki gibidir.
ADDS Azure üzerinde Single bir VM üzerine Deploy edilir. Bu tip senaryoda Virtual network kurmak zorunludur fakat Cross-Premise bağlantı olması gerekli değildir. Böyle bir mimaride Azure üzerinde yeni bir Forest kurulur ve tüm DC’ler Azure üzerinde çalışırlar. Azure portal ya da PowerShell yardımı ile domain Controller’lar için statik IP ayarlanması gerekir. Bu çözüm eğer Azure ortamında çalışan App’ler Kerberos kimlik doğrulama yöntemine ihtiyaç duyuyorsa uygundur. Fakat On-Premise Directory servisi ile bir bağlantı olması gerekliliği yoktur.
Resim-2
ADDS sadece On-Premise üzerine kurulur. Bu On-Premise ortamın Cross-Premise bağlantıları vardır. Bu senaryoda varolan DC’ler On-Premise ortamda tutulur. Ortam site2site VPN ya da Express Route ile Azure’a bağlanır. Böylece kimlik doğrulama ve erişim Policy’leri Azure üzerinde barındırılan kaynaklar için genişletilmiş olur. Bu senaryoda site2site VPN kullanan Cross-Premise bağlantı için Virtual network oluşturulmasına ihtiyaç duyar. Böyle bir senaryoda IP Address çakışmalarını önlemek için IP Address seçimleri planlı şekilde yapılmalıdır. Böyle bir senaryo Internal kullanıcıların ve App’lere bir form yardımıyla erişen Bussiness Partner’ların Azure üzerinde barındırılan App’lere erişmesi için kullanılır.
ADDS On-Prem altyapısına ve Azure üzerindeki bir VM üzerine kurulur. Bu uygulama LDAP kullanan ve Windows Authentication kimlik doğrulama yönemini destekleyen App’ler için kullanılır. Bu senaryo Cross-Premise network, Azure üzerinde çalışacak VM için IP Address planlaması ve Virtual network gerektirir. Bu senaryo ile sadece Outbound trafiğe ücretlendirme yapıldığı için çözümün maliyeti düşer. Aynı zamanda performans oldukça hızlıdır ve kullanıcı login deneyimleri uygulamalara erişirken kimlik doğrulamasını Azure üzerindeki DC üzerinden yaptığı için yüksektir.
Active Directory Domain Controller’ının Azure üzerine Deploy Edilmesinin Planlanması
Planlama yapılırken göz önünde bulundurulması gereken bileşenler aşağıdaki gibidir.
Inter-Site Connectivity:
Azure VM’in On-Premise üzerindeki domain Controller’lar ile iletişim kurabildiği doğrulanmalıdır. Bunun için site2site VPN ya da Express Route düzgün biçimde konfigüre edilmiş olmalıdır.
SitetoSite bağlantı için On-Premise network için statik public IP adresine ve Virtual network için Dynamic Gateway’e ihtiyaç vardır.
Active Directory Sites:
Active Directory Site’ı üzerinde Azure için bir site oluşturulmalıdır. Böylece KCC replikasyonları düzgün şekilde ayarlayabilir.
Read-Only Domain Controllers:
RODC kullanılarak trafik azaltılıp Azure servisine ödenen maliyet düşürülebilir. Fakat buradaki önemli nokta, ADDS’e Write erişimine ihtiyaç duyan uygulamalar olduğunda RODC ihtiyacı karşılayamayacaktır.
FSMO
Bütün Azure üzerinde çalışan DC’ler global catalog olarak yapılandırılmalıdır. Böylece Univercal Group üyeliği sorgulamak için On-Premise’e sorgu yapılması önlenmiş olur ve bu da gidip gelen trafik bakımından maliyeti düşürür. Eğer farklı DC’ler farklı Forest’larda ise Operation Masters’ların Azure üzerinde barındırılması gerekir. Ayrıca Azure DC’ler farklı Domain’de ise PDC, RID ve Infrastructure Master rolleri bu VM’ler üzerinde olmalıdır.
Backup ve Restore
On-Premise’te olduğu gibi Azure DC’lerin de System State Backup’ları alınmalıdır. Virtual Harddisk’i Clone’lama işleminden kaçınılmalıdır.
Active Directory DC rolünün Azure Vm Üzerine Yüklenmesi
Azure üzerinde yeni bir VM oluşturulmalı ve bu VM’e Data diski eklenmelidir. Ayrıca DC olacak VM’in IP’si statik olarak ayarlanmalıdır. Ayrıca site2site ya da Express Route konfigürasyonu yapılarak Virtual network ile Local On-Premise network arasında Cross-Premise bağlantı sağlanmalıdır.
Azure Virtual Network ve Site-to-Site VPN oluşturulması
Storage account oluşturulması
VM oluşturulması ve static IP addresi atanması
Azure VM üzerine AD DS ve DNS rollerinin kurulması
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs : azure, Microsoft, azure active directory, on prem datacenter in azure a genisletilmesi, datacenter i azure koyma, on prem AD yi azure genisletme, local active directory azure a genisletme, yerel ad azure a koyma, Sync Azure AD to a local AD Server, sync local ad to azure ad, azure ad connect kullanimi, azure datacenter genisletmesi, Integrating Your On-Premises Active Directory with Azure Active directory, active directory – Azure on-premises local AD, datancenter i azure a koyma, datacenter i azure a buyutme, azure nasil kullanilir, active directory yi azure koyma, active directory yi azure dan kullandirma, active directory azure da calistirma, azure active directory nedir, yerel active directory nedir, yerel bir active directory, active directory nedir ne ise yarar, azure active directory kurulumu, azure ad uygulamasi, active directory kullanimi, active directory yonetimi
Yorumlar (1)