1. Anasayfa
  2. Microsoft Office 365

Yerel Active Directory Ortamınızı Office 365 ile Nasıl Senkronize Edersiniz?

Emre Aydın tarafından
15/07/2014 Okuma süresi: 10dk, 42sn
0

Eğer Office 365’e yeni başlıyorsanız, büyük ihtimalle içerideki kaynaklara erişim için kullandığınız Active Directory ortamınızı Cloud kaynaklarına nasıl bağlayacağınızı ve ortamınızı nasıl genişletebileceğinizi düşünüyorsunuzdur. Bunun sanırım en basit yolu DirSync adı verilen Windows Azure Active Directory Senkronizasyon aracıdır. Bu araç ağınızda bir Windows Sunucusu ya da İstemcisi üzerinde çalışabilir ve local kullanıcılarınızı cloud ile sync eder. DirSync kurulumu oldukça kısadır.

Büyük ölçekteki bir Active Directory ortamını bile bir günden daha az bir sürede Office 365 ile senkronize edebilirsiniz. Bu yazı DirSync’i başarıyla uygulamak için gerekli temel bilgileri sunmaktadır. Ayrıca burada yer verilmemiş detaylı bilgilere de referans sunar. Özellikle Azure Active Directory ile dizininizi senkronize etmeden neleri gözden geçirmeniz gerektiğini kapsar. Office 365 kullanıcı hesaplarını saklamak, tüm dizin araması ve kullanıcı kimlik doğrulaması için Azure Active Directory kullanır Eğer kimlik entegrasyonunun Office 365 ile nasıl çalıştığını anlıyorsanız, sadece hizmete başlamak için adımları takip edin. FastTrack Dağıtım kaynaklarında bu adımlara ulaşabilirsiniz.


Resim-1 – DirSync kullanıcı hesaplarını federe etmek ve tek oturum açma için Active Directory ‘nizdeki kullanıcı adı ve parola bilgilerinizi Office 365 ‘e güvenli bir şekilde göndererek bu hizmeti mümkün kılar.

Tek Oturum Açma Ve Aynı Oturum Açma

Eğer şirket içi bir dizininiz varsa, o zaman parola senkronizasyonlu DirSync ve Active Directory Federation Services ile DirSync arasında seçim yapabilirsiniz. DirSync aracı iki senaryo için de ortaktır. Tek oturum açma kullanıcıların Office 365’e otomatik olarak giriş yaptığı ve etki alanı katılımlı PC’lerine zaten giriş yapmış olduklarından dolayı tekrar parola girme ihtiyacının ortadan kalkmasıdır. Tek oturum açma hem DirSync hem de Active Directory Federation Services’in kurulmasını gerektirir. Parola senkronizasyonlu DirSync size “aynı giriş” dediğimiz, Office 365’e girişin PC’de kullanılan parolayla aynı parola olduğunu ancak parolanın müşteri tarafından tekrar girilmesi ya da kaydedilmesi gerektiği durumdur. Aynı oturumu açma ve ekstra parola girişi gereksinimiyle ek sunucu kurulumundan kaçınarak, donanım maliyetini ve ağ karmaşıklığını azaltırsınız. Ayrıca, Microsoft Outlook kullanıcı adı ve parolanın tek giriş uygun olduğu durumlarda tekrar girilmesini gerektirebilir. Bu postu takip eden iki post daha olacak. İkinci post bulut yönetimli kimlikler, parola senkronizasyonuyla DirSync ve Active Federation Services ile DirSync içeren üç kimlik modeli üzerinde detaylı öneri vermek hakkındadır. Üçüncü post benim tek giriş ve Active Directory Federation Services (ADFS) ile gelen yeni özellikleri açıkladığım bir yazı olacaktır. Eğer ADFS’yi seçerseniz, o zaman DirSync kullanıcı hesaplarını Office 365’e senkronize edecektir ve bu nedenle önce DirSync’i kurup parola senkronizasyonu yaptıktan sonra ADFS’yi eklemenizi öneririz.

Dirsync’i Kurmak Ve Parola Senkronizasyonu

DirSync kurulum yapmadan önce bu kolay adımları takip ederek, kolay ve rahat bir uygulamaya sahip olabilirsiniz. Adımlar şöyledir:


Resim-2

Şirket İçi Dizininizde Gözden Geçirmeniz Gereken Dört Şey

1.    Kurulum yapmadan önce, şirket içi dizin yapınızı gözden geçirin

DirSync kurmadan önce atmanız gereken ilk adım, şirket içindeki dizine bakarak, sağlıklı ve Azure Active Directory ile senkronize edilmeye hazır olup olmadığını kontrol etmektir. Kontrol etmeniz gerekenler noktalar şunlardır:

  • Active Directory sağlık kontrolu: DirSync dizindeki bazı nitelikler için gereksinimlere sahiptir ve bu nitelik değerlerini hizaya getirmek genel olarak Active Directory iyileştirmesi olarak bilinir. Active Directory iyileştirmesine yarıdm etmek için dizini gözden geçiren ve interaktif Active Directory iyileştirmesini gerçekleştiren IdFix aracını , kullanabilirsiniz. Bu araç geçerli olmayan verileri kontrol eder ve dizin niteliklerindeki userPrincipalName (UPN), mailNickName, proxyAddress, sAMAccountName, targetAddress ve diğerleri olmak üzere verileri kopyalar IDFix aracı aynı zamanda yönlendirilemeyen UPN’den (domain.local gibi) internet yönlendirmeli etki alanı adına geçişte destek olacaktır. Çünkü internet yönlendirmeli etki alanı Azure Active Directory’nin gereksinimlerinden biridir. Ağınızda IDFix’i çalıştırdığınızdan emin olun böylece etki alanınız’ı senkronizasyon için hazır hale getirin.
  • Orman işlevsel seviye (Forest Functional Level): Dizinizin orman işlevsel seviyesinin Windows Sunucu 2003 orman işlevsel seviyesine ya da daha yukarısında olup olmadığını kontrol etmeniz gerekecektir. Eğer değilse, DirSync kurmadan önce kurulum Windows Sunucu 2003 seviyesine yükseltmeniz gerekebilir.
  • Çoklu Ormanlar (Multiple Forests): Çoklu ormanlar standart DirSync aracı tarafından yönetilmez. Forefront Identity Manager 2010’un çoklu ormanları Azure Active Directory’e senkronize edebilir fakat parola senkronizasyonunu desteklemez.
  • Active Directory haricindeki dizinler: Eğer Active Directory kullanmıyorsanız ve şirket içinde başka dizininiz var ise, hala Office 365 kullanabilirsiniz ama başka bir yardım almanız gerekir. Azure Active Directory Sync, LDAP v3, SQL veritabanı tabloları ve CSV dosyaları, Active Directory olmayan dizin kaynaklarını senkronize edebilir. Ek olarak, PowerShell komutları ile kullanıcı objelerinizi güncelleyebilirsiniz.  


Resim-3 – DirSync için 1-4 arası sunucu gerekebilir

2.   Kurulumdan önce ek sunucuya ihtiyacınız olup olmadığından emin olun

DirSync’i kurmadan önce yapmanız gereken ihtiyaç duyacağınız şirket içi dizin sunucularında nelerin kurulu olduğudur. Dikkat etmeniz gereken birkaç nokta;

  • Etki alanı kontrol edenle yanyana kurulum tavsiye edilmez(Domain Controller üzerine kurulum tavsiye edilmez). DirSync var olan bir etki alanı kontrolcüsüne kurulabilir ama çok küçük dizin ya da test/pilot topolojiler haricinde tavsiye edilmez.
  • Tek sunucu en yaygın olanıdır. DirSync’in tek sunucu dağıtımı en çok kabul edilendir. Eğer 50,000 dizin öğesinden daha fazlasına sahipseniz, aynı zamanda ayrı bir SQL Sunucu kurulumuna ihtiyacınız olacaktır. Gerçek kullanıcılardan daha çok dizin öğeniz ve nitelikleriniz olacaktır; hem kontaklar, hem gruplar hem de kullanıcılar için kullanıcı öğeleriniz fazlaca olacaktır. Bu sunucu gereksinimleri TechNet’te listelenmiştir.  DirSync, senkronize edilen her etki alanı için bir etki alanı kontrolcüsüne bağlantı gerektirir ve nadir durumlarda da olsa var olan etki alanı kontrolcüleri erişilebilir olmayabilir ve ek etki alanı kontrolcü sunucusuna ihtiyaç duyabilirsiniz. Bu toplam durumda dört sunucu ihtiyacı olacaktır.
  • Azure kullanmayı düşünün. Eğer veri merkezinizde şirket içi sunucu istemiyorsanız, DirSync’i ve Azure IaaS çevresi için gerekli herhangi SQL Sunucu veritabanlarını  Azure’da DirSync dağıtın‘da anlatıldığı gibi kullanabilirsiniz.
  • DirSync yol haritasını kullanın.
    DirSync yol haritasını okuduğuzda Microsoft Dağıtım Hazırlığı ile ilgili detayları ve UPN’lerinizi güncelleme hakkındaki detayları atlayabilirsiniz, çünkü zaten bunları IDFix Aracı ile otomatik olarak hallettiniz. (Yukarıdaki adım 1’e bakın)  DirSync yol haritası hakkında not etmek isteyeceğiniz birkaç nokta daha; DirSync sunucunuzda saatin doğru olması, yönetici hesabının Office 365 kiracınız için geçerli olması ve ağ bağlılığınızın tüm etki alanları için etki alanı kontrolcülerine açık olması önemlidir.


Resim-4 – DirSync kurulum sihirbazından ekran görüntüsü

3.    Kurulum yapın ve DirSync sürecinizi kontrol edin.

DirSync’i kurmak en kolay kısım çünkü onu az önce indirdiniz ve etki alanına katılmış bir makinede sihirbazı çalıştırdınız. Kurulum tamamlandığında, senkronizasyon sırasındaki hataları gözden geçirmeniz gerekecektir. Gözden geçirmeniz alanlar şunlardır:

  • Dizin öğe limitlerinin farkında olun. Yeni bir Office 365 kiracısı varsayılan olarak 50,000 dizin öğesini senkronize edebilir. Eğer kiracınız içerisinde bir etki daha alanı kaydedersiniz, limit 300,000’e yükselecektir. Limit ayrıca ihtiyaç duyulduğunda destek konusunda iletişime geçerek arttırılabilir.
  • Office 365’e etki alanları ekleyin. DirSync’i kullanmadan önce Office 365’e etki alanı isimleri eklerseniz, giriş UPN’leriniz bunlarla senkronize olacaktır. Başta Office 365’e etki alanı isimlerini eklemeyi atlayabilirsiniz ancak bu tüm kullanıcılarınızın Office 365’te  sizin kişisel etki alanı adınızla değil ama onmicrosoft.com’daki gibi UPN’leri ile gözükmelerine yol açabilir. Doğru UPN’leri etki alanlarınızla almak için, şirket içinden bir senkronizasyon güncellemesi gerekebilir.
  • Şimdi senkronize edin DirSync dizini her üç saatte senkronize edecektir ve ilk senkronizasyon 5,000 kullanıcı öğesi başına bir saat alacaktır. Sunucuda PowerShell komutu ile bir senkronizasyon başlatabilirsiniz. Bu DirSync için TechNet kurulum rehberinde açıklanmıştır. Eğer parola senkronizasyonunu aktif hale getirdiyseniz, parola değişiklikleri her iki dakikada bir senkronize olacaktır.
  • Olay loglarını kontrol edin. Kurulumdan sonra, DirSync çalıştıran makinede olay loglarını kontrol ediniz. Eğer daha önce burayı kullanmadıysanız, EVENTVWR.EXE komutunu çalıştırın. Windows Logları dosyasını açın ve Uygulama loguna bakın. Kiracı yöneticisi aynı zamanda çözülmesi gereken hatalar hakkında e-postalar alacaktır ama event logu bu sorunları çözmede en hızlı yoldur. DirSync’teki her hata Directory Senkronizasyonu listesinde olay kaynağı olarak listelenecektir.
  • Bu KB yazısı  ile sorun giderme çözümlerine ulaşabilirsiniz.
  • Office 365 yönetici hesabının parola bitim tarihini kontrol edin. DirSync için kullandığınız Office 365 yönetici hesabındaki parola bitim tarihine bakın. Eğer süresi bitmişse, DirSync başarısız olacaktır.
  • Lisanslar atayın.  Kullanıcılar senkronize olduktan sonra onlara Office 365 kullanım lisansları atamanız gerekecektir. Bu Office 365 yönetici merkezinden yapılabilir ya da Technet’teki bu yazıya göz atarak PowerShell ile atamayı yapabilirsiniz.


Resim-5 – Azure AD’ye senkronize edilen parolar güvenlik sürecinden geçer böylece, orjinal parola elde edilemez.

Dirsync İçin Göz Önünde Bulundurulması Gereken Diğer Önemli Noktalar

İşte genelde kişilerin sorduğu ve tekrar etmeniz gereken birkaç konu;

  • Yüksek erişilebilirlik: Kuruluşunuzun yüksek erişilebilirlik gereksinimleri bulunabilir. DirSync sadece tek bir sunucuda ya da istemcide çalışabilir ama bu demek değildir ki siz yüksek erişilebilirliğe sahip olamazsınız. Eğer DirSync sunucu çevrimdışı ise, kullanıcılar yine de giriş yapabilecekler çünkü Azure Active Directory kimlik doğrulaması için DirSync sunucusuna bağlantısı gerektirmez. Eğer kullanıcı ve parola senkronizasyonu için endişeleniyorsanız, bir yüksek erişilebilirlik senaryosu olarak SQL Sunucu kurabilirsiniz. Aynı zamanda hali hazırda DirSync bulunduran bir sunucuyu kurmak üzere bekletebilirsiniz. Kullanıcılar her üç saatte bir senkronize edilmektedir ve senkronizasyonu hızlaca kurabilir, başlatabilirsiniz. İlk senkronizasyon biraz vakit alabilir ancak DirSync’i yeniden kurduktan sonraki güncelleme eğer SQL Sunucu veritabanı önerilen şekilde hazırlanmışsa daha hızlı olabilir. Bu yazıda daha çok ayrıntıya ulaşabilirsiniz.
  • Karma güvenlik: Kuruluşunuzda karma parolaların Azure Active Directory’de saklanması hakkında güvenlik departmanınızda bazı endişeler olabilir. Güvenlik, Microsoft ve Office 365 ekibi için en önemli önceliktir. Şirket içi Active Directory Etki Alanı Hizmeti parolaları gerçek kullanıcı parolasının karma veri temsili olarak depolamaktadır. Parola karması şirket içi ağınıza giriş yapmak için kullanılamaz. Ayrıca tekrar metin formuna çevrilip kullanıcının parolasına erişim sağlanmasını engelleyecek şekilde geliştirilmiştir.  Parolayı senkronize etmek için, DirSync aracı kullanıcı parolası karmasını şirket içi Active Directory’den çıkartır. Ek güvenlik süreci Azure Active Directory’e senkronize etmeden önce parola karmasına uygulanır. Office 365 güvenliği hakkında Office 365 Trust Center‘da daha çok bilgiye ulaşabilirsiniz.
  • DirSync’i filtrelemek.   Varsayılan olarak DirSync tüm kullanıcıları Azure Active Directory’e senkronize eder.
  • TechNet’te detaylandırıldığı gibi kurumsal birime, etki alanına ya da kullanıcı niteliklerine göre kullanıcıları ayarlayabilir ya da limitleyebilirsiniz ancak odaktaki kullanıcıların tüm niteliklerini veya özel bir nitelik seçemezsiniz.

Bu yazıyı okuduktan sonra DirSync S.S.S.’yi , DirSync versiyonları hakkında daha fazla bilgi ve DirSync Topluluk Sayfalarını da okumak isteyebilirsiniz.

Office 365 bağlantılarınızla şirket içi sistemlerinize yapabileceğiniz birçok şey var. Dizin senkronizasyonu kolaydır ve kurduğunuz Office 365’in ilk parçası olmalıdır. Office 365’i hemen denemek için www.office.com adresini, dünyada en fazla tercih edilen kurumsal sosyal ağ Yammer’ı hemen kullanmaya başlamak için www.yammer.com adresini ziyaret edebilirsiniz.

Bu konuyla ilgili sorularınızı  alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.

Referanslar

www.mshowto.org

Bu İçeriğe Tepkin Ne Oldu?
  • 2
    harika_
    Harika!!
  • 0
    be_enmedim
    Beğenmedim
  • 0
    _ok_iyi
    Çok iyi
  • 0
    sevdim_
    Sevdim!
  • 0
    bilemedim_
    Bilemedim!
  • 0
    olmad_
    Olmadı!
  • 0
    k_zd_m_
    Kızdım!
Emre Aydın

2005 senesinde www.mshowto.org web sitesini kurmuştur. Sitenin fikir ve isim babasıdır. Son yıllarda Microsoft'ta çalışmaktadır.

Yazarın Profili
İlginizi Çekebilir
3 Nis, 2015 Azure Virtual Machine Yönetim Aracı – İndirmek İçin Tıklayın

Benzer Yazılar

Bültenimize Katılın

Tıklayın, üyemiz olun ve yeni güncellemelerden haberdar olan ilk kişi siz olun.

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir