1. Ana Sayfa
  2. Microsoft Office 365
  3. Yerel Active Directory Ortamınızı Office 365 ile Nasıl Senkronize Edersiniz?

Yerel Active Directory Ortamınızı Office 365 ile Nasıl Senkronize Edersiniz?

Eğer Office 365’e yeni başlıyorsanız, büyük ihtimalle içerideki kaynaklara erişim için kullandığınız Active Directory ortamınızı Cloud kaynaklarına nasıl bağlayacağınızı ve ortamınızı nasıl genişletebileceğinizi düşünüyorsunuzdur. Bunun sanırım en basit yolu DirSync adı verilen Windows Azure Active Directory Senkronizasyon aracıdır. Bu araç ağınızda bir Windows Sunucusu ya da İstemcisi üzerinde çalışabilir ve local kullanıcılarınızı cloud ile sync eder. DirSync kurulumu oldukça kısadır.

Büyük ölçekteki bir Active Directory ortamını bile bir günden daha az bir sürede Office 365 ile senkronize edebilirsiniz. Bu yazı DirSync’i başarıyla uygulamak için gerekli temel bilgileri sunmaktadır. Ayrıca burada yer verilmemiş detaylı bilgilere de referans sunar. Özellikle Azure Active Directory ile dizininizi senkronize etmeden neleri gözden geçirmeniz gerektiğini kapsar. Office 365 kullanıcı hesaplarını saklamak, tüm dizin araması ve kullanıcı kimlik doğrulaması için Azure Active Directory kullanır Eğer kimlik entegrasyonunun Office 365 ile nasıl çalıştığını anlıyorsanız, sadece hizmete başlamak için adımları takip edin. FastTrack Dağıtım kaynaklarında bu adımlara ulaşabilirsiniz.


Resim-1 – DirSync kullanıcı hesaplarını federe etmek ve tek oturum açma için Active Directory ‘nizdeki kullanıcı adı ve parola bilgilerinizi Office 365 ‘e güvenli bir şekilde göndererek bu hizmeti mümkün kılar.

Tek Oturum Açma Ve Aynı Oturum Açma

Eğer şirket içi bir dizininiz varsa, o zaman parola senkronizasyonlu DirSync ve Active Directory Federation Services ile DirSync arasında seçim yapabilirsiniz. DirSync aracı iki senaryo için de ortaktır. Tek oturum açma kullanıcıların Office 365’e otomatik olarak giriş yaptığı ve etki alanı katılımlı PC’lerine zaten giriş yapmış olduklarından dolayı tekrar parola girme ihtiyacının ortadan kalkmasıdır. Tek oturum açma hem DirSync hem de Active Directory Federation Services’in kurulmasını gerektirir. Parola senkronizasyonlu DirSync size “aynı giriş” dediğimiz, Office 365’e girişin PC’de kullanılan parolayla aynı parola olduğunu ancak parolanın müşteri tarafından tekrar girilmesi ya da kaydedilmesi gerektiği durumdur. Aynı oturumu açma ve ekstra parola girişi gereksinimiyle ek sunucu kurulumundan kaçınarak, donanım maliyetini ve ağ karmaşıklığını azaltırsınız. Ayrıca, Microsoft Outlook kullanıcı adı ve parolanın tek giriş uygun olduğu durumlarda tekrar girilmesini gerektirebilir. Bu postu takip eden iki post daha olacak. İkinci post bulut yönetimli kimlikler, parola senkronizasyonuyla DirSync ve Active Federation Services ile DirSync içeren üç kimlik modeli üzerinde detaylı öneri vermek hakkındadır. Üçüncü post benim tek giriş ve Active Directory Federation Services (ADFS) ile gelen yeni özellikleri açıkladığım bir yazı olacaktır. Eğer ADFS’yi seçerseniz, o zaman DirSync kullanıcı hesaplarını Office 365’e senkronize edecektir ve bu nedenle önce DirSync’i kurup parola senkronizasyonu yaptıktan sonra ADFS’yi eklemenizi öneririz.

Dirsync’i Kurmak Ve Parola Senkronizasyonu

DirSync kurulum yapmadan önce bu kolay adımları takip ederek, kolay ve rahat bir uygulamaya sahip olabilirsiniz. Adımlar şöyledir:


Resim-2

Şirket İçi Dizininizde Gözden Geçirmeniz Gereken Dört Şey

1.    Kurulum yapmadan önce, şirket içi dizin yapınızı gözden geçirin

DirSync kurmadan önce atmanız gereken ilk adım, şirket içindeki dizine bakarak, sağlıklı ve Azure Active Directory ile senkronize edilmeye hazır olup olmadığını kontrol etmektir. Kontrol etmeniz gerekenler noktalar şunlardır:

  • Active Directory sağlık kontrolu: DirSync dizindeki bazı nitelikler için gereksinimlere sahiptir ve bu nitelik değerlerini hizaya getirmek genel olarak Active Directory iyileştirmesi olarak bilinir. Active Directory iyileştirmesine yarıdm etmek için dizini gözden geçiren ve interaktif Active Directory iyileştirmesini gerçekleştiren IdFix aracını , kullanabilirsiniz. Bu araç geçerli olmayan verileri kontrol eder ve dizin niteliklerindeki userPrincipalName (UPN), mailNickName, proxyAddress, sAMAccountName, targetAddress ve diğerleri olmak üzere verileri kopyalar IDFix aracı aynı zamanda yönlendirilemeyen UPN’den (domain.local gibi) internet yönlendirmeli etki alanı adına geçişte destek olacaktır. Çünkü internet yönlendirmeli etki alanı Azure Active Directory’nin gereksinimlerinden biridir. Ağınızda IDFix’i çalıştırdığınızdan emin olun böylece etki alanınız’ı senkronizasyon için hazır hale getirin.
  • Orman işlevsel seviye (Forest Functional Level): Dizinizin orman işlevsel seviyesinin Windows Sunucu 2003 orman işlevsel seviyesine ya da daha yukarısında olup olmadığını kontrol etmeniz gerekecektir. Eğer değilse, DirSync kurmadan önce kurulum Windows Sunucu 2003 seviyesine yükseltmeniz gerekebilir.
  • Çoklu Ormanlar (Multiple Forests): Çoklu ormanlar standart DirSync aracı tarafından yönetilmez. Forefront Identity Manager 2010’un çoklu ormanları Azure Active Directory’e senkronize edebilir fakat parola senkronizasyonunu desteklemez.
  • Active Directory haricindeki dizinler: Eğer Active Directory kullanmıyorsanız ve şirket içinde başka dizininiz var ise, hala Office 365 kullanabilirsiniz ama başka bir yardım almanız gerekir. Azure Active Directory Sync, LDAP v3, SQL veritabanı tabloları ve CSV dosyaları, Active Directory olmayan dizin kaynaklarını senkronize edebilir. Ek olarak, PowerShell komutları ile kullanıcı objelerinizi güncelleyebilirsiniz.  


Resim-3 – DirSync için 1-4 arası sunucu gerekebilir

2.   Kurulumdan önce ek sunucuya ihtiyacınız olup olmadığından emin olun

DirSync’i kurmadan önce yapmanız gereken ihtiyaç duyacağınız şirket içi dizin sunucularında nelerin kurulu olduğudur. Dikkat etmeniz gereken birkaç nokta;

  • Etki alanı kontrol edenle yanyana kurulum tavsiye edilmez(Domain Controller üzerine kurulum tavsiye edilmez). DirSync var olan bir etki alanı kontrolcüsüne kurulabilir ama çok küçük dizin ya da test/pilot topolojiler haricinde tavsiye edilmez.
  • Tek sunucu en yaygın olanıdır. DirSync’in tek sunucu dağıtımı en çok kabul edilendir. Eğer 50,000 dizin öğesinden daha fazlasına sahipseniz, aynı zamanda ayrı bir SQL Sunucu kurulumuna ihtiyacınız olacaktır. Gerçek kullanıcılardan daha çok dizin öğeniz ve nitelikleriniz olacaktır; hem kontaklar, hem gruplar hem de kullanıcılar için kullanıcı öğeleriniz fazlaca olacaktır. Bu sunucu gereksinimleri TechNet’te listelenmiştir.  DirSync, senkronize edilen her etki alanı için bir etki alanı kontrolcüsüne bağlantı gerektirir ve nadir durumlarda da olsa var olan etki alanı kontrolcüleri erişilebilir olmayabilir ve ek etki alanı kontrolcü sunucusuna ihtiyaç duyabilirsiniz. Bu toplam durumda dört sunucu ihtiyacı olacaktır.
  • Azure kullanmayı düşünün. Eğer veri merkezinizde şirket içi sunucu istemiyorsanız, DirSync’i ve Azure IaaS çevresi için gerekli herhangi SQL Sunucu veritabanlarını  Azure’da DirSync dağıtın‘da anlatıldığı gibi kullanabilirsiniz.
  • DirSync yol haritasını kullanın.
    DirSync yol haritasını okuduğuzda Microsoft Dağıtım Hazırlığı ile ilgili detayları ve UPN’lerinizi güncelleme hakkındaki detayları atlayabilirsiniz, çünkü zaten bunları IDFix Aracı ile otomatik olarak hallettiniz. (Yukarıdaki adım 1’e bakın)  DirSync yol haritası hakkında not etmek isteyeceğiniz birkaç nokta daha; DirSync sunucunuzda saatin doğru olması, yönetici hesabının Office 365 kiracınız için geçerli olması ve ağ bağlılığınızın tüm etki alanları için etki alanı kontrolcülerine açık olması önemlidir.


Resim-4 – DirSync kurulum sihirbazından ekran görüntüsü

3.    Kurulum yapın ve DirSync sürecinizi kontrol edin.

DirSync’i kurmak en kolay kısım çünkü onu az önce indirdiniz ve etki alanına katılmış bir makinede sihirbazı çalıştırdınız. Kurulum tamamlandığında, senkronizasyon sırasındaki hataları gözden geçirmeniz gerekecektir. Gözden geçirmeniz alanlar şunlardır:

  • Dizin öğe limitlerinin farkında olun. Yeni bir Office 365 kiracısı varsayılan olarak 50,000 dizin öğesini senkronize edebilir. Eğer kiracınız içerisinde bir etki daha alanı kaydedersiniz, limit 300,000’e yükselecektir. Limit ayrıca ihtiyaç duyulduğunda destek konusunda iletişime geçerek arttırılabilir.
  • Office 365’e etki alanları ekleyin. DirSync’i kullanmadan önce Office 365’e etki alanı isimleri eklerseniz, giriş UPN’leriniz bunlarla senkronize olacaktır. Başta Office 365’e etki alanı isimlerini eklemeyi atlayabilirsiniz ancak bu tüm kullanıcılarınızın Office 365’te  sizin kişisel etki alanı adınızla değil ama onmicrosoft.com’daki gibi UPN’leri ile gözükmelerine yol açabilir. Doğru UPN’leri etki alanlarınızla almak için, şirket içinden bir senkronizasyon güncellemesi gerekebilir.
  • Şimdi senkronize edin DirSync dizini her üç saatte senkronize edecektir ve ilk senkronizasyon 5,000 kullanıcı öğesi başına bir saat alacaktır. Sunucuda PowerShell komutu ile bir senkronizasyon başlatabilirsiniz. Bu DirSync için TechNet kurulum rehberinde açıklanmıştır. Eğer parola senkronizasyonunu aktif hale getirdiyseniz, parola değişiklikleri her iki dakikada bir senkronize olacaktır.
  • Olay loglarını kontrol edin. Kurulumdan sonra, DirSync çalıştıran makinede olay loglarını kontrol ediniz. Eğer daha önce burayı kullanmadıysanız, EVENTVWR.EXE komutunu çalıştırın. Windows Logları dosyasını açın ve Uygulama loguna bakın. Kiracı yöneticisi aynı zamanda çözülmesi gereken hatalar hakkında e-postalar alacaktır ama event logu bu sorunları çözmede en hızlı yoldur. DirSync’teki her hata Directory Senkronizasyonu listesinde olay kaynağı olarak listelenecektir.
  • Bu KB yazısı  ile sorun giderme çözümlerine ulaşabilirsiniz.
  • Office 365 yönetici hesabının parola bitim tarihini kontrol edin. DirSync için kullandığınız Office 365 yönetici hesabındaki parola bitim tarihine bakın. Eğer süresi bitmişse, DirSync başarısız olacaktır.
  • Lisanslar atayın.  Kullanıcılar senkronize olduktan sonra onlara Office 365 kullanım lisansları atamanız gerekecektir. Bu Office 365 yönetici merkezinden yapılabilir ya da Technet’teki bu yazıya göz atarak PowerShell ile atamayı yapabilirsiniz.


Resim-5 – Azure AD’ye senkronize edilen parolar güvenlik sürecinden geçer böylece, orjinal parola elde edilemez.

Dirsync İçin Göz Önünde Bulundurulması Gereken Diğer Önemli Noktalar

İşte genelde kişilerin sorduğu ve tekrar etmeniz gereken birkaç konu;

  • Yüksek erişilebilirlik: Kuruluşunuzun yüksek erişilebilirlik gereksinimleri bulunabilir. DirSync sadece tek bir sunucuda ya da istemcide çalışabilir ama bu demek değildir ki siz yüksek erişilebilirliğe sahip olamazsınız. Eğer DirSync sunucu çevrimdışı ise, kullanıcılar yine de giriş yapabilecekler çünkü Azure Active Directory kimlik doğrulaması için DirSync sunucusuna bağlantısı gerektirmez. Eğer kullanıcı ve parola senkronizasyonu için endişeleniyorsanız, bir yüksek erişilebilirlik senaryosu olarak SQL Sunucu kurabilirsiniz. Aynı zamanda hali hazırda DirSync bulunduran bir sunucuyu kurmak üzere bekletebilirsiniz. Kullanıcılar her üç saatte bir senkronize edilmektedir ve senkronizasyonu hızlaca kurabilir, başlatabilirsiniz. İlk senkronizasyon biraz vakit alabilir ancak DirSync’i yeniden kurduktan sonraki güncelleme eğer SQL Sunucu veritabanı önerilen şekilde hazırlanmışsa daha hızlı olabilir. Bu yazıda daha çok ayrıntıya ulaşabilirsiniz.
  • Karma güvenlik: Kuruluşunuzda karma parolaların Azure Active Directory’de saklanması hakkında güvenlik departmanınızda bazı endişeler olabilir. Güvenlik, Microsoft ve Office 365 ekibi için en önemli önceliktir. Şirket içi Active Directory Etki Alanı Hizmeti parolaları gerçek kullanıcı parolasının karma veri temsili olarak depolamaktadır. Parola karması şirket içi ağınıza giriş yapmak için kullanılamaz. Ayrıca tekrar metin formuna çevrilip kullanıcının parolasına erişim sağlanmasını engelleyecek şekilde geliştirilmiştir.  Parolayı senkronize etmek için, DirSync aracı kullanıcı parolası karmasını şirket içi Active Directory’den çıkartır. Ek güvenlik süreci Azure Active Directory’e senkronize etmeden önce parola karmasına uygulanır. Office 365 güvenliği hakkında Office 365 Trust Center‘da daha çok bilgiye ulaşabilirsiniz.
  • DirSync’i filtrelemek.   Varsayılan olarak DirSync tüm kullanıcıları Azure Active Directory’e senkronize eder.
  • TechNet’te detaylandırıldığı gibi kurumsal birime, etki alanına ya da kullanıcı niteliklerine göre kullanıcıları ayarlayabilir ya da limitleyebilirsiniz ancak odaktaki kullanıcıların tüm niteliklerini veya özel bir nitelik seçemezsiniz.

Bu yazıyı okuduktan sonra DirSync S.S.S.’yi , DirSync versiyonları hakkında daha fazla bilgi ve DirSync Topluluk Sayfalarını da okumak isteyebilirsiniz.

Office 365 bağlantılarınızla şirket içi sistemlerinize yapabileceğiniz birçok şey var. Dizin senkronizasyonu kolaydır ve kurduğunuz Office 365’in ilk parçası olmalıdır. Office 365’i hemen denemek için www.office.com adresini, dünyada en fazla tercih edilen kurumsal sosyal ağ Yammer’ı hemen kullanmaya başlamak için www.yammer.com adresini ziyaret edebilirsiniz.

Bu konuyla ilgili sorularınızı https://forum.mshowto.org linkini kullanarak ulaşacağınız forum sayfamızda sorabilirsiniz.

Referanslar

www.mshowto.org

Yorum Yap

Yazar Hakkında

Emre Aydın, Üniversite öncesi tüm öğrenimini İstanbul’da, üniversite öğrenimini ise Kocaeli'nde tamamladı. İşletme Yüksek Lisansını (MBA) Işık Üniversitesinde gerçekleştirmiştir. Üniversite sonrası Metis, Microsoft Türkiye, BilgeAdam gibi bilişim sektörünün farklı firmalarında Çözüm Danışmanı, Birim Müdür Yardımcı ve Birim Müdürü olarak görev almıştır. Son olarak Comparex Türkiye'de Birim Müdürü olarak çalışmış ve sonrasında tekrar Microsoft Türkiye çatısı altında Office 365'ten sorumlu teknik çalışan olmuştur. Uzmanlık alanı olan Microsoft Exchange Server, Office 365, Microsoft EMS, Windows Server ve Microsoft Azure konularında birçok kişi ve firmaya teknik eğitim vermiştir. Özellikle  Türkiye’nin önde gelen firmalarında Mesajlaşma Teknolojileri üzerine başarılı projelere imza atmıştır. Türkiye'nin en büyük ve uzun soluklu bilişim portali olan MSHOWTO’yu 2005 yılında kurmuş, portalin isim ve fikir babası olmuştur. Halen MSHOWTO’da yönetici olarak portalın birçok kişiye ulaşmasında önemli bir görev üstlenmektedir. Microsoft Office 365 alanında MVP olan Emre Aydın, Türkiye’de 11 kez üst üste MVP seçilebilme başarısı gösteren iki MVP’den birisidir. Birçok üniversite, etkinlik ve lansmanda konuşmacı, moderatör olarak yer almıştır. Sahip olduğu bazı sertifikalar: MVP | Office 365 | Since 2006 MCT | Since 2005 MCSD | Azure Solutions Architect MCSE | Private Cloud, Messaging, Communication, Server Infrastructure, Productivity, Platform MCSA | Office 365, Server 2012, Server 2016, Cloud Platform MCTS | Developing Azure Solutions, Implementing Azure Infrastructure, Architecting Microsoft Azure Solutions, SAM P-Seller Intelligent Cloud | EMS Amazon | AWS Certified Solutions Architect - Associate

Yorum Yap