Extending Azure AD – Part 1

By | 19/08/2016

Merhaba 4 part ‘tan oluşacak olan bu makale serisinde, Azure Active Directory ile on-prem Active Directory yapısının ,farklı senaryolar üzerinde nasıl entegre edilebileceğini inceleyeceğiz. Öncelikle seçeneklerimize bir bakalım.

ADDS ve Azure AD Entegrasyon Seçenekleri

Azure AD ve AD DS entegrasyonuna ilişkin aşağıdaki seçenekler ile konfigürasyon yapılabilir.

adds azure active directory integration ile ilgili görsel sonucu

Onpremise AD’nin Azure’a extend edilmesi:

Bu seçenek ile onpremise üzerinde çalışan AD DS’e ek bir DC azure üzerindeki VM üzerine kurulur.

Onpremise Active Directory’nin Azure AD ile Senkronize Edilmesi:

Directory senkronizasyonu ile kullanıcı,grup ve kontak bilgileri Azure AD’ye senkronize edilir ve bilgiler senkronize tutulur. Bu senaryoda kullanıcılar farklı kullanıcı adı ve parola ile cloud ve onpremise kaynaklarına erişirler.

Onpremise Active Directory ve Azure AD Senkronizasyonunda Password Sync Kullanılması:

Bu seçenek ile kullanıcılar on-premise üzerinde kullandıkları parolalar ile Azure AD’ye bağımlı uygulamalara erişirler.

On-Premise Active Directory ve Azure AD arasında SSO Entegre Edilmesi:

Bu özellik genelde geniş çaplı organizasyonlarda kullanılır. Kullanıcılar azure üzerindeki kaynaklara bağlanmadan önce onpremise üzerindeki active directory ile kimlik doğrulaması yaparlar. Bu mimariyi yapılandırmak için ADFS rolüne ihtiyaç vardır. ADFS, ADFS server ve ADFS proxy isimli bileşenlerden oluşur.

DC yi VM olarak azure üzerinde tutma nedenleri aşağıdaki gibidir.

  • Onpremise directory yapısına esneklik kazandırır.
  • Azure tabanlı servisler için yapılan kimlik doğrulama isteklerini azure ortamı içerisinde tutuar.
  • Dinya çapında siteler için on-premise AD erişimini genişletir.
  • ADFS ile dizin senkronizasyonu ve SSO gibi ek seçenekleri etkinleştirir.

Azure üzerine dc kurulurken dikkat edilecek en önemli nokta AD database’inin DC üzerindeki data diski üzerine kurulmasıdır. Bunun sebebi azure üzerindeki OS diskini barındıran dizin üzerinde read/write cache ayarları bulunmasıdır. Bu ayarlar AD db’si bu diske konulduğu zaman data bozulmalarına sebep olabilir.

Azure üzerine AD ortamının genişletilmesi ile ilgili olarak 3 ana senaryo bulunur. Bunlar aşağıdaki gibidir.

ADDS azure üzerinde single bir VM üzerine deploy edilir. Bu tip senaryoda virtual network kurmak zorunludur fakat cross-premise bağlantı olması gerekli değildir. Böyle bir mimaride Azure üzerinde yeni bir forest kurulur ve tüm DC’ler azure üzerinde çalışırlar. Azure portal yada powershell yardımı ile domain controller’lar için statik IP ayarlanması gerekir. Bu çözüm eğer azure ortamında çalışan App’ler kerberos kimlik doğrulama yöntemine ihtiyaç duyuyorsa uygundur. Fakat on-premise directory servisi ile bir bağlantı olması gerekliliği yoktur.

azure ad app ile ilgili görsel sonucu

ADDS sadece onpremise üzerine kurulur. Bu onpremise ortamın crose-premise bağlantıları vardır. Bu senaryoda varolan DC’ler on-premise ortamda tutulur. Ortam site2site VPN yada express route ile Azure’a bağlanır. Böylece kimlik doğrulama ve erişim policy’leri azure üzerinde barındırılan kaynaklar için genişletilmiş olur. Bu senaryoda site2site VPN kullanan cross-premise bağlantı için virtual network oluşturulmasına ihtiyaç duyar. Böyle bir senaryoda IP address çakışmalarını önlemek için IP address seçimleri planlı şekilde yapılmalıdır. Böyle bir senaryo internal kullanıcıların ve app’lere bir form yardımıyla erişen bussiness partner’ların azure üzerinde barındırılan app’lere erişmesi için kullanılır.

ADDS onpremisse altyapısına ve Azure üzerindeki bir VM üzerine kurulur. Bu uygulama LDAP kullanan we windows authentication kimlik doğrulama yönemini destekleyen app’ler için kullanılır.Bu senaryo cross-premise network, azure üzerinde çalışacak VM için IP address planlaması ve virtual network gerektirir. Bu senaryo ile sadece outbound trafiğe ücretlendirme yapıldığı için çözümün maliyeti düşer. Aynı zamanda performans oldukça hızlıdır ve kullanıcı login deneyimleri uygulamalara erişirken kimlik doğrulamasını azure üzerindeki DC üzerinden yaptığı için yüksektir.

Active Directory Domain Controller’ının Azure üzerine Deploy Edilmesinin Planlanması

Planlama yapılırken göz önünde bulundurulması gereken bileşenler aşağıdaki gibidir.

Inter-Site Connectivity:

Azure VM’in onpremise üzerindeki domain controller’lar ile iletişim kurabildiği doğrulanmalıdır. Bunun için site2site vpn yada expressroute düzgün biçimde konfigüre edilmiş olmalıdır.

SitetoSite bağlantı için onpremise network için statik public IP adresine ve virtual network için dynamic gateway’e ihtiyaç vardır.

Active Directory Sites:

Active directory site’ı üzerinde azure için bir site oluşturulmalıdır. Böylece KCC replikastonları düzgün şekilde ayarlayabilir.

Read-Only Domain Controllers:

RODC kullanılarak trafik azaltılıp azure servisine ödenen maliyet düşürülebilir. Fakat buradaki önemli nokta, ADDS’e write erişimine ihtiyaç duyan uygulamalar olduğunda RODC ihtiyacı karşılayamayacaktır.

FSMO

Bütün azure üzerinde çalışan DC’ler global catalog olarak yapılandırılmalıdır. Böylece univercal grup üyeliği sorgulamak için onpremise’e sorgu yapılması önlenmiş olur ve bu da gidip gelen trafik bakımından maliyeti düşürür. Eğer farklı DC’ler farklı forest’larda ise operation masters’ların azure üzerinde barındırılması gerekir. Ayrıca Azure DC’ler farklı domain’de ise PDC,RID ve Infrastructure Master rolleri bu VM’ler üzerinde olmalıdır.

Backup ve Restore

Onpremise’te olduğu gibi azure dc’lerin de system state backup’ları alınmalıdır. Virtual harddisk’i clone’lama işleminden kaçınılmalıdır.

Active Directory DC rolünün Azure Vm Üzerine Yüklenmesi

Azure üzreinde yeni bir VM oluşturulmalı ve bu VM’e data diski eklenmelidir. Ayrıca DC olacak VM’in IP’si statik olarak ayarlanmalıdır. Ayrıca site2site yada express route konfigürasyonu yapılarak virtual network ile local onpremise network arasında crose-premise bağlantı sağlanmalıdır.

Azure Virtual Network ve Site-To-Site VPN oluşturulması

Storage account oluşturulması

VM oluşturulması ve static IP addresi atanması

Azure VM üzerine AD DS ve DNS rollerinin kurulması