On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – On-Premise Active Directory’nin Sync için Hazırlanması – Bölüm 3. Directory’ler arası senkronizasyon işlemi, senkronizasyon başlamadan önce iyi planlama yapılmasını gerektiriyor. Çünkü düzgün şekilde konfigüre edilmediği zaman Map’leme işlemleri hata çıkmasına sebep oluyor. Bu sebeple kurulum ve konfigürasyona başlamadan göz önünde bulundurulması gereken maddeler aşağıdaki gibidir. Bu maddeler aynı zamanda kurulum için gerekli olan gereksinimleri de içermektedir.
Resim-1
Bu konunun ilk iki bölümüne aşağıdaki linkten ulaşabilirsiniz.
On-Prem Active Directory (Lokal AD) Mimarisinin Azure’a Genişletilmesi ve Hybrid Yapı – Bölüm 1
Domain Gereksinimleri:
Azure AD Connect ile çalışmak için Domain Functional seviyesi 2003 ve üzeri olmalıdır.
Password Write-Back özelliğini kullanmak için Domain Controller’lar Minimum 2008 ve son Service Pack’leri yüklü olmalıdır.
Azure AD Connect Bilgisayar Gereksinimleri
AD Connect’i çalıştıracak makine Windows Server 2008 ve sonrası işletim sistemine sahip olmalıdır. (Son Hotfix ve Update’leri de yüklenmiş olmalıdır.)
Express Settings için kurulum yapılacak makine Domain üyesi bir makine ya da Domain Controller olmalıdır. Custom Settings ile kurulumda ise Workgroup makinesi de olabilir.
Eğer Azure AD Connect ADFS ile kullanılacaksa ADFS ve Web Application Proxy olacak sunucular Windows Server 2012 R2 ve üzeri olmalıdır.
Azure AD Connect minimum Microsoft .NET Framework 4.5.1 ve minimum Windows Powershell 3.0’a ihtiyaç duyar. ADFS ve Web Application Proxy kurulumunda rollerin kurulacağı makineler üzerinde Windows Remote Management etkinleştirilmelidir.
Donanım Gereksinimleri
50000’den fazla objenin senkronizasyonu söz konusu ise Ram miktarı 4GB’dan 16GB’a yükseltilmelidir. Eğer Azure AD Connect Azure üzerinde bir sanal makine üzerine yüklenmişse, gereklilik durumunda Virtual Machine Scale-up yapılabilir olmalıdır.
Obje sayısına bağlı olarak atanması gereken donanım kaynakları aşağıdaki gibidir.
Number of objects in AD DS | Central processing unit (CPU) | Memory | Hard disk size |
Fewer than 10,000 | 1.6 gigahertz (GHz) | 4 GB | 70 GB |
10,000–50,000 | 1.6 GHz | 4 GB | 70 GB |
50,000–100,000 | 1.6 GHz | 16 GB | 100 GB |
100,000–300,000 | 1.6 GHz | 32 GB | 300 GB |
300,000–600,000 | 1.6 GHz | 32 GB | 450 GB |
More than 600,000 | 1.6 GHz | 32 GB | 500 GB |
Yönetici Accountlar ve Yetkilendirme
Azure AD tarafında Global Admin yetkisine sahip bir hesap olmalıdır. Bu hesap On-Premise üzerindeki ADDS ile entegre edilecek Directory üzerinde oluşturulmalıdır.
On-Premise hesap ise Enterprise Administrator rolüne sahip olmalıdır. Bu Account AD DS içerisinde Synchronization kullanıcı hesabı oluşturur ve senkronizasyon işlemi sırasında gerekli olan okuma ve yazma yetkilerini verir.
Azure AD Connect için Custom Settings Wizard’ı kullanılırsa ve önceden oluşturulmuş senkronizasyon hesabı gerekli izinlere sahip olduğu sürece On-Premise hesabın Enterprsie Admin grubuna üye olmasına gerek yoktur.
Azure AD Connect Global Administrator yetkisindeki hesabı kullanarak Directory entegrasyonunu aktifleştirir ve sonradan kullanılacak olan Azure AD service hesabını oluşturur. Bu hesap “Sync_” prefix’ine sahiptir ve devamında Azure AD Connect’i barındıran Server’ın ismini taşır. Bu hesap kullanıcı hesaplarının oluşturulmasından ve Update edilmesinden sorumludur.
Directory Sync işlemi, Sync edilen Forest’ın root Domain’ine ait USERS Container’ı içerisinde AAD_id isimli bir kullanıcı hesabı oluşturur. Bu hesap Azure AD Connect kurulumu olan yerde Microsoft Azure AD Sync olarak çalışan Synchronization engine için kullanılır. AAD_id hesabı random olarak oluşturulmuş ve expire olmayacak şekilde ayarlanmış bir parolaya sahiptir. Directory Synchronization işlemi başladığı zaman service hesabı kullanılarak içerik On-Premise AD üzerinden okunup Azure AD’ye ait Database’e yazılır.
Gerekli Network Portları
Azure AD ile senkronizasyon SSL üzerinden olur. Bu senkronizasyon Outbound olarak yapılır. On-Premise içerisinde kullanılan port standart AD portudur.
Service | Protocol | Port |
LDAP | TCP/User Datagram Protocol (UDP) | 389 |
Kerberos | TCP/UDP | 88 |
DNS | TCP/UDP | 53 |
Kerberos change password | TCP/UDP | 464 |
Remote procedure call (RPC) | TCP | 135 |
RPC randomly allocated high TCP ports | TCP | 1024–65535 49152–65535 |
Server Message Block (SMB) | TCP | 445 |
SSL | TCP | 443 |
SQL | TCP | 1433 |
Sertifika Gereksinimleri
Bütün ADFS Server’lar aynı HTTPS sertifikayı kullanmak zorundadır. SSL sertifika Thumbprint’ini içeren ADFS konfigürasyonu WID (Windows Internal Database) yada SQL Server Database yoluyla ADFS Server Farm’ının tüm üyelerine Replike edilir.
Burada ki önemli nokta Public bir CA üzerinden alınmış bir sertifikaya ihtiyaç vardır.
Azure AD Connect Kurulum Sırasında Yüklenen Bileşenler
- Microsoft SQL Server 2012 Command Line Utilities
- Microsoft SQL Server 2012 Native Client
- Microsoft SQL Server 2012 Express LocalDB
- Azure Active Directory Module for Windows PowerShell
- Microsoft Online Services Sign-In Assistant for IT Professionals
- Microsoft Visual C++ 2013 Redistributable Package
UPN Gereksinimleri
Kullanıcı hesapları SSO ya da Same Sign-on gibi teknolojilerde kullanmak için Azure AD’ye Sync edildiklerinde UPN’lerin On-Premise AD ve Azure AD ile eşleşmesi gerekir.
Bu sebeple On-Premise üzerinde kullanılan UPN Suffix’in Azure AD’ye custom Domain olarak eklenmesi gerekir. Böylece Suffix’ler aynı olur ve iki Directory’deki kullanıcılar Map’lenebilir.
Eğer On-Premise üzerindeki Suffix Route edilebilir değilse (zeki.local) bunun değiştirilip Azure AD’ye eklenen Suffix ile Map edilebilir duruma getirilmesi gerekir.
AD DS Temizliği
AD Connect ile senkronizasyon işlemi yapmadan önce AD DS kontrol edilmelidir.
Hatalı UPN’ler ve hatalı karakter içeren Attribute’lar düzenlenmelidir.
AD Schema Extension’ları ve Custom Attribute’lar tanımlanmalıdır.
Kullanılan Network portları ve Azure’a ait DNS kayıtları kayıt edilmelidir.
Active Directory Attribute gereksinimlerine ait tablo aşağıdaki gibidir.
Attribute | Characters | Requirements | Invalid characters |
proxyAddress | 256 | Must be unique | ) ( ; > < ] [ \ |
sAMAccountName | 20 | ! # $ % ^ & { } \ { ` ~ ” / [ ] : @ < > + = ; ? * | |
givenName | 64 | ? @ \ + | |
surname | 64 | ? @ \ + | |
displayName | 256 | ? @ \ + | |
256 | Must be unique | [ ! # $ % & * + / = ? ^ ` { } ] | |
mailNickname | 64 | ” \ [ ] : > < ; | |
userPrincipalName | 64/256 | Must be unique in the Forest @ character must exist Must not include a space, end in a space, a period, &, or @ Must be Internet routable | } { # ‗ $ % ~ * + ) ( > < ! / \ = ? ` |
Duplicate olan ProxyAddress ve UserPrincipalName Attribute’ları silinmelidir.
Boş olan UPN Attribute’ları doğru olan ile değiştirilmelidir.
GivenName, Surname, sAMAccountName, displayName, mail, proxyAddresses, mailNickname, userPrincipalName gibi Attribute’lardaki hatalı karakterler silinmelidir.
Eğer Azure AD SSO ile kullanılacak şekilde planlanmışsa UPN’lerin kesinlikle gereksinimleri karşılaması gerekir.
IDFix
IDFix AD DS üzerindeki Major Sync hatalarını tanımlamayı sağlar. Yaygın oluşan hata olan Dublicate UPN ve ProxyAddress hatalarını da belirler.
Kullanımı oldukça basittir. Yapılması gereken kontrol edilecek OU’nun seçilmesi dir. IDFix’in çalışmasının ardından belirlenen hatalar Tool’un üzerinden düzenlenebilir.
ADModify.NET
Attribute değişiklikleri çoklu obje üzerinde yapılacak ise ADModifty.Net tercih edilmelidir. Batch mode tercih edilerek Attribute’lar OU ya da Domain bazında toplu olarak editlenir.
Kısaca gereksinimler ve göz önünde bulundurulması gerekenler bu şekilde.
Bir sonraki makalede kurulum ve konfigürasyon ile devam edeceğim.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs : Azure, Microsoft, Azure Active Directory, on prem datacenter in Azure a genisletilmesi, datacenter i Azure koyma, on prem AD yi Azure genisletme, local Active Directory Azure a genisletme, yerel ad Azure a koyma, Sync Azure AD to a local AD Server, Sync local ad to Azure ad, Azure ad Connect kullanimi, Azure datacenter genisletmesi, Integrating Your On-Premises Active Directory with Azure Active Directory, Active Directory – Azure On-Premises local AD, datancenter i Azure a koyma, datacenter i Azure a buyutme, Azure nasil kullanilir, Active Directory yi Azure koyma, Active Directory yi Azure dan kullandirma, Active Directory Azure da calistirma, Azure Active Directory nedir, yerel Active Directory nedir, yerel bir Active Directory, Active Directory nedir ne ise yarar, Azure Active Directory kurulumu, Azure ad uygulamasi, Active Directory kullanimi, Active Directory yonetimi