Genelde Azure, On-Premise altyapınız, Office 365 vb. bileşenlerin senkronizasyonu söz konusu olduğunda aklınıza ilk gelen kelime, DIRSYNC olur. Peki ama bu araç senkronizasyon işlemi için tek çözüm mü? Microsoft bize daha fazla filtreleme yapabileceğimiz, senkronizasyon işlemine başlamadan önce daha fazla manuel operasyon yapabileceğimiz bir araç sağlamıyor mu? İşte bu yazıda bu soruya cevap arayacağız.
Yukarıdaki sorunun cevabı tabi ki farklı bir aracın daha kullanılabilir durumda olduğu ve adının da Azure Active Directory Sync Services olduğu. Yani AADS yerine AADSS. Bu araç bize daha fazla filtre yaparak hangi nesnelerin Azure AD’ye aktarılacağına daha fazla müdahale edebilmemize yardımcı olabiliyor. Ya da Multi-Forest bir ortamdan Azure AD’ye Sync yapacaksanız AADSS’yi kullanmanız başarı oranınızı arttırırken işinizi de biraz daha kolaylaştıracaktır.
16 eylül 2014 tarihinde release olan bu yeni aracın kurulumuna ve konfigürasyonuna göz atalım.
https://www.microsoft.com/en-us/download/details.aspx?id=44225 linkini kullanarak aracı indirin. Yaklaşık 50 MB büyüklüğünde.
Resim-1
Ve Domain’e üye bir PC ya da sunucu üzerine kurulumunu yapmaya başlayın. Eğer kurulumu local SQL Express ile yapmak istemiyorsanız kurulumu aşağıdaki parametrelerden uygun olan ile başlatmanız gerekiyor.
DirectorySyncTool.exe /sqlserver localhost
/sqlserverinstance InstanceName
/serviceAccountDomain Azure AD Sync
/serviceAccountName Azure AD SyncSvc
/serviceAccountPassword VerySecretP@ssw0rd
Resim-2
Install dedikten sonra ikinci adımda Azure AD Credentials sekmesinde bize kullandığımız kiralamanın hesap bilgilerini soruyor. Office 365 hesabım için Admin yetkisine sahip olan kullanıcı hesabımın kullanıcı adını ve şifresini giriyorum. Hesabın en az Global Admin yetkilerine sahip olması gerekli.
Resim-3
Ve tabi ki hangi Forest’lar için işlem yapacaksanız o Forest’lar için Admin bilgilerini teker teker ilgili alana girin ve Add Forest diyin. Birden fazla Forest için Sync işlemi yapacaksanız her defasında Add Forest diyerek ilerleyin. Daha önceki yazılarda Suffix olarak eklediğim benemre.com’u burada kullanmadığıma dikkat edin.
Resim-4
Eklediğiniz Forest’lar arasında taşınacak kullanıcı hesaplarını belirleyecek Attribute’u seçin. Doğru attribute üzerinden işlem yapılacak olması önemli bir durum. Örneğin Matching Across Forest seçeneği altındaki Your users are only represented once across all forest seçeneğini seçerek devam ederseniz her forest’ınızda bir objeden sadece bir tane olduğunu ve aktarımın bu şekilde yapıldığını onaylıyor olacaksınız. Ya da Match Using‘i seçip sonrasında Mail Attribute‘u seçerseniz aynı mail adresine sahip tüm objeleri tek bir obje gibi merge edip tek bir objenin Sync işlemi esnasında aktarımını gerçekleştirmeyi onaylıyorsunuz anlamı taşıyor. Ya da bir sonra ki seçeneği seçerseniz ObjectSID and msExchangeMasterAccountSID linklenmiş bir mailbox kullanımız bulunuyorsa bu mailbox ile user object’ini tek bir obje olarak düşünür ve Sync bu şekilde yapılır. Tüm liste detayı için aşağıdaki yazıyı okuyabilirsiniz.
Install the AADSync Service
http://msdn.microsoft.com/en-us/library/azure/dn757602.aspx#BKMK_AccountJoin
User Matching için daha fazla bilgiye ihtiyaç duyarsanız aşağıdaki linki kullanabilirsiniz.
http://msdn.microsoft.com/en-us/library/azure/dn757602.aspx#BKMK_ConfigureSynchronizationOptions
Daha önceki yazılarda bu tarzda çakuşan kullanıcılar bulunuyorsa nasıl çözebiliriz diye konuşmuştuk. İşte çözüm noktasında User Matching alanını rahatlıkla kullanabilirsiniz. Nesnelerinizi doğru attribute’ler ile tanımlayın ve karşı tarafa bu şekilde aktarılmasını sağlayın.
Resim-5
Hybrid bir yapıda çalışmak istiyorsanız Exchange Hybrid Deployment kutucuğunu işaretleyin. Eğer Sync işlemi esnasında Password Sync istiyorsanız ikinci seçeneği de işaretleyin. Eğer Password’leriniz için Write-back istiyorsanız (Cloud’dan On-Premise yapınıza Sync) üçüncü seçeneğide işaretleyin. Bu seçeneği kullanmak için elinizde Azure Active Directory Premium lisansının olması gerektiğini de unutmayın. Son seçenek ise eğer Azure AD ile entegre çalışacak uygulamaları filtrelemek ve tüm attribute’leri Sync etmek istemiyorsanız seçebilirsiniz.
Resim-6
Dilerseniz servis bazında filtreleme yaparak tüm nesnelerin Azure AD’ye aktarımının önünü kesebilirsiniz.
Resim-7
Ya da servis bazlı filtreleme size yetmiyor ise attribute bazlı filtreleme gayet faydalı olabilir.
Resim-8
Ve hazırız. Configure diyelim.
Resim-9
Finish’e tıklayın ve daha önceki yazılarda yaptığımız gibi Sync işlemi tamamlansın.
Resim-10
Evet belki biraz kafa karıştırıcı fakat elimizde SYNC işlemi için iki tane araç bulunuyor. Bir tanesi Azure Active Directory Sync ve diğeri Azure Active Directory Sync Services. Hangi durumda hangisini kullanmalıyız sorusu akıllara geliyor olabilir. Benim kendi kişisel görüşüm çok fazla filtrelemeye ihtiyacınız varsa ve özellikle buna bağlı olarak multi-forest bir ortamda çalışıyorsanız önerim Azure Active Directory Sync Services olur. Diğer her türlü durumda Azure Active Directory Sync’i kullanın derim. İkiside gayet başarılı.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
Yorumlar (1)