Extending Azure AD – Part 3

By | 25/08/2016

On-Premise Active Directory’nin Sync için Hazırlanması

Directory’ler arası senkronizasyon işlemi,senkronizasyon başlamadan önce iyi planlama yapılmasını gerektiriyor. Çünkü düzgün şekilde konfigüre edilmediği zaman map’leme işlemleri hata çıkmasına sebep oluyor. Bu sebeple kurulum ve konfigürasyon’a başlamadan göz önünde bulundurulması gereken maddeler aşağıdaki gibidir. Bu maddeler aynı zamanda kurulum için gerekli olan gereksinimleri de içermektedir.

Domain Gereksinimleri:

Azure AD connect ile çalışmak için domain fonctional seviyesi 2003 ve üzeri olmalıdır.

Password Write-Back özelliğini kullanmak için domain controller’lar minimum 2008 ve son service pack’leri yüklü olmalıdır.

Azure AD Connect Bilgisayar Gereksinimleri

AD Connect’i çalıştıracak makine Windows Server 2008 ve sonrası işletim sistemine sahip olmalıdır. (Son hotfix veupdate’leri de yüklenmiş olmalıdır.)

Express settings için kurulum yapılacak makine domain üyesi bir makine yada domain controller olmalıdır. Custom settings ile kurulumda ise workgroup makinesi de olabilir.

Eğer Azure AD Connect ADFS ile kullanılacaksa ADFS ve web application proxy olacak sunucular Windows Server 2012 R2 ve üzeri olmalıdır.

Azure AD connect minimum Microsoft .NET Framework 4.5.1 ve minimum Windows Powershell 3.0’a ihtiyaç duyar. ADFS ve Web Application Proxy kurulumunda rollerin kurulacağı makineler üzerinde Windows Remote Management etkinleştirilmelidir.

Donanım Gereksinimleri

50000’den fazla objenin senkronizasyonu söz konusu ise Ram miktarı 4GB’dan 16GB’a yükseltilmelidir. Eğer Azure AD Connect azure üzerinde bir sanal makine üzerine yüklenmişse, gereklilik durumunda virtual machine scale-up yapılabilir olmalıdır.

Obje sayısına bağlı olarak atanması gereken donanım kaynakları aşağıdaki gibidir.

Number of objects in
AD DS
Central processing
unit (CPU)
Memory Hard disk size
Fewer than 10,000 1.6 gigahertz (GHz) 4 GB 70 GB
10,000–50,000 1.6 GHz 4 GB 70 GB
50,000–100,000 1.6 GHz 16 GB 100 GB
100,000–300,000 1.6 GHz 32 GB 300 GB
300,000–600,000 1.6 GHz 32 GB 450 GB
More than 600,000 1.6 GHz 32 GB 500 GB

Yönetici Accountlar ve Yetkilendirme

Azure AD tarafında Global Admin yetkisine sahip bir hesap olmalıdır. Bu hesap onpremise üzerindeki ADDS ile entegre edilecek directory üzerinde oluşturulmalıdır.

On-premise hesap ise Enterprise Administrator rolüne sahip olmalıdır. Bu account AD DS içerisinde synchronization kullanıcı hesabı oluşturur ve senkronizasyon işlemi sırasında gerekli olan okuma ve yazma yetkilerini verir.

Azure AD Connect için Custom settings wizard’ı kullanılırsa ve önceden oluşturulmuş senkronizasyon hesabı gerekli izinlere sahip olduğu sürece on-premise hesabın enterprsie admin grubuna üye olmasına gerek yoktur.

Azure AD connect global administrator yetkisindeki hesabı kullanarak directory entegrasyonunu aktifleştirir ve sonradan kullanılacak olan azure AD service hesabını oluşturur. Bu hesap “Sync_” prefix’ine sahiptir ve devamındaAzure AD Connect’i barındıran server’ın ismini taşır. Bu hesap kullanıcı hesaplarının oluşturulmasından ve update edilmesinden sorumludur.

Directory sync işlemi , sync edilen forest’ın root domain’ine ait USERS container’ı içerisinde AAD_id isimli bir kullanıcı hesabı oluşturur. Bu hesap Azure AD Connect kurulumu olan yerde Microsoft Azure AD Sync olarak çalışan synchronization engine için kullanılır. AAD_id hesabı random olarak oluşturulmuş ve expire olmayacak şekilde ayarlanmış bir parolaya sahiptir. Directory synchronization işlemi başladığı zaman service hesabı kullanılarak içerik on-premise AD üzerinden okunup Azure AD’ye ait database’e yazılır.

Gerekli Network Portları

Azure AD ile senkronizasyon SSL üzerinden olur. Bu senkronizasyon outbound olarak yapılır. Onpremise içerisinde kullanılan port standart AD portudur.

Service Protocol Port
LDAP TCP/User Datagram
Protocol (UDP)
389
Kerberos TCP/UDP 88
DNS TCP/UDP 53
Kerberos change password TCP/UDP 464
Remote procedure call (RPC) TCP 135
RPC randomly allocated high TCP ports TCP 1024–65535
49152–65535
Server Message Block (SMB) TCP 445
SSL TCP 443
SQL TCP 1433

Sertifika Gereksinimleri

Bütün ADFS serverlar aynı HTTPS sertifikayı kullanmak zorundadır. SSL sertifika thumbprint’ini içeren ADFS konfigürasyonu WID(Windows Internal Database) yada SQL Server Database yoluyla ADFS server farm’ının tüm üyelerine replike edilir.

Burada ki öndemli nokta public bir CA üzerinden alınmış bir sertifikaya ihtiyaç vardır.

Azure AD Connect Kurulum Sırasında Yüklenen Bileşenler

• Microsoft SQL Server 2012 Command Line Utilities

• Microsoft SQL Server 2012 Native Client

• Microsoft SQL Server 2012 Express LocalDB

• Azure Active Directory Module for Windows PowerShell

• Microsoft Online Services Sign-In Assistant for IT Professionals

• Microsoft Visual C++ 2013 Redistributable Package

UPN Gereksinimleri

Kullanıcı hesapları SSO yada same sign-on gibi teknolojilerde kullanmak için Azure AD’ye sync edildiklerinde UPN’lerin onpremise AD ve Azure AD ile eşleşmesi gerekir.

Bu sebeple onpremise üzerinde kullanılan UPN suffix’in Azure AD’ye custom domain olarak eklenmesi gerekir. Böylece suffix’ler aynı olur ve iki directory’deki kullanıcılar map’lenebilir.

Eğer onpremise üzerindeki suffix route edilebilir değilse (zeki.local) bunun değiştirilip Azure AD’ye eklenen suffix ile map edilebilir duruma getirilmesi gerekir.

AD DS Temizliği

AD Connect ile senkronizasyon işlemi yapmadan önce AD DS kontrol edilmelidir.

Hatalı Upn’ler ve hatalı karakter içeren attribute’lar düzenlenmelidir.

AD Schema extension’ları ve custom attribute’lar tanımlanmalıdır.

Kullanılan Network portları ve Azure’a ait DNS kayıtları kayıt edilmelidir.

Active directory attribute gereksinimlerine ait tablo aşağıdaki gibidir.

Attribute Characters Requirements Invalid characters
proxyAddress 256 Must be unique ) ( ; > < ] [ \
sAMAccountName 20 ! # $ % ^ & { } \ { ` ~ ” / [ ] : @ < > + = ;
? *
givenName 64 ? @ \ +
surname 64 ? @ \ +
displayName 256 ? @ \ +
mail 256 Must be unique [ ! # $ % & * + / = ? ^ ` { } ]
mailNickname 64 ” \ [ ] : > < ;
userPrincipalName 64/256 Must be unique in the
forest
@ character must
exist
Must not include a
space, end in a space,
a period, &, or @
Must be Internet
routable
} { # ‗ $ % ~ * + ) ( > < ! / \ = ? `

Duplicate olan proxyAddress ve userPrincipalName attribute’ları silinmelidir.

Boş olan UPN attribute’ları doğru olan ile değiştirilmelidir.

givenName, surname, sAMAccountName, displayName, mail, proxyAddresses, mailNickname, userPrincipalName gibi attribute’lardaki hatalı karakterler silinmelidir.

Eğer Azure AD SSO ile kullanılacak şekilde planlanmışsa UPN’lerin kesinlikle gereksinimleri karşılaması gerekir.

LDFX

Ldfx AD DS üzerindeki major sync hatalarını tanımlamayı sağlar. Yaygın oluşan hata olan dublicate UPN ve proxyAddress hatalarını da belirler.

Kullanımı oldukça basittir. Yapılması gereken kontrol edilecek OU’nun seçilmesi dir. Ldfx’in çalışmasının ardından belirlenen hatalar tool’un üzerinden düzenlenebilir.

ADModify.NET

Attribute değişiklikleri çoklu obje üzerinde yapılacak ise ADModifty.Net tercih edilmelidir. Batch mode tercih edilerek attribute’lar OU yada domain bazında toplu olarak editlenir.

Kısaca gereksinimler ve göz önünde bulundurulması gerekenler bu şekilde.

Bir sonraki makalede kurulum ve konfigürasyon ile devam edeceğim.