AZURE AD CONNECT KURULUMU (ON-PREM AD SYNC)
Kimliklerin buluta taşınması: Şirket içi Active Directory kullanıcı ve gruplarını Azure Active Directory (Office 365) ile senkronize etme, ön koşullar ve kurulum sihirbazı adımları.
Giriş: Azure AD Connect, hibrit kimlik modelinin temelidir. Kullanıcıların Office 365 (Exchange Online, SharePoint Online) gibi bulut hizmetlerine, şirket içi Active Directory parolalarını kullanarak erişmesini sağlar. Bu, tek bir kimlik kaynağı (Single Source of Truth) oluşturarak yönetimi basitleştirir.
Bölüm 1: Ön Koşullar ve Kurulum Sunucusunun Hazırlanması
Kurulum Gereksinimleri
- Sunucu Konumu: Azure AD Connect, Domain'e katılmış (Domain Joined) ayrı bir sunucuya (DC olmayan bir sunucu önerilir) kurulmalıdır. Bu sunucu On-Premises Active Directory'ye erişebilmelidir.
- .NET Framework: .NET Framework 4.6.2 ve üzeri kurulu olmalıdır.
- SQL Server Express: Azure AD Connect, varsayılan olarak yerel SQL Server Express kullanır. Daha büyük ortamlar için tam SQL Server kurulumu gerekebilir.
- TLS 1.2 Zorunluluğu: Tüm iletişim TLS 1.2 üzerinden yapılmalıdır.
Kullanıcı Hesapları ve İzinler
Kurulum için iki kritik hesap gerekir:
- 1. AD Global Admin Hesabı: Azure/Office 365 portalında `Global Administrator` rolüne sahip hesap (Örn: `admin@tenanthost.onmicrosoft.com`).
- 2. On-Premises AD Enterprise Admin Hesabı: Şirket içi AD'de `Enterprise Administrator` veya `Domain Administrator` izinlerine sahip hesap. Bu hesap, senkronizasyon için gerekli izinleri ve servis hesaplarını oluşturmak için gereklidir.
Bölüm 2: Azure AD Connect Kurulum Sihirbazı
Azure AD Connect aracının indirilip kurulumunun başlatılması.
Adım Adım Kurulum
- **Kurulumu Başlatma:** İndirilen Azure AD Connect dosyasını (`AzureADConnect.msi`) kurulum sunucusunda çalıştırın. Lisans sözleşmesini kabul edin.
- **Express vs. Custom:**
- **Express Settings (Hızlı Ayarlar):** Tek bir Forest ve Parola Karması Senkronizasyonu (Password Hash Synchronization - PHS) kullanıyorsanız seçilir.
- **Customize (Özelleştir):** Birden fazla Forest, Pass-through Authentication (PTA) veya Federation (AD FS) gibi gelişmiş seçenekler için seçilir. **Bu rehberde Custom üzerinden ilerleyeceğiz.**
- **Gerekli Bileşenler:** Gerekli bileşenlerin (SQL Server Express, vb.) kurulmasını onaylayın.
- **User Sign-in (Kullanıcı Oturum Açma Yöntemi):** En kritik seçim budur.
- **Password Hash Synchronization (PHS):** Parola karmasını buluta senkronize eder. En basit ve en yaygın yöntemdir.
- **Pass-through Authentication (PTA):** Kullanıcı oturum açtığında sorguyu direkt On-Prem DC'ye iletir. Parola buluta senkronize edilmez.
- **Federation with AD FS:** Kurumsal düzeyde, kimlik yönetimini tamamen şirket içinde tutmak için kullanılır.
**Öneri:** Basit ve güvenilir bir bulut entegrasyonu için genellikle **Password Hash Synchronization (PHS)** seçilir.
Bölüm 3: Bağlantı ve Senkronizasyon Yapılandırması
Adım Adım Hesap ve Senkronizasyon Ayarları
- **Connect to Azure AD:** Azure Global Admin hesabınızı (Örn: `admin@tenanthost.onmicrosoft.com`) kullanarak oturum açın. Bu, şirket içi sunucuyu Azure'a bağlar.
- **Connect Directories (Şirket İçi Bağlantı):** On-Premises Active Directory'ye bağlanmak için `Add Directory` butonuna tıklayın ve `PROD.LOCAL` gibi domain adınızı girin.
- **Kullanıcı Adı/Parola:** **On-Premises AD Enterprise Admin** hesabınızı ve parolasını girin. Bu hesap, senkronizasyon için izinleri ayarlayacak olan hesaptır.
- **Domain ve OU Filtreleme:** Hangi OU'lardaki objelerin senkronize edileceğini seçin.
**Öneri:** Tüm objeleri senkronize etmek yerine, yalnızca **kullanıcıların** ve **grupların** bulunduğu OU'ları seçmek, gereksiz bulut trafiğini ve karmaşıklığı önler.
- **Unique Identifying Attribute (Benzersiz Nitelik):** Kullanıcıların bulutta ve şirket içinde tekil olarak eşleşmesini sağlayan niteliği seçin.
**Kritik Kontrol:** `userPrincipalName (UPN)` veya `mail` niteliği genellikle kullanılır. Ancak UPN'nin (Örn: `msengul@prod.local`), Azure'daki bulut domain adınızla (Örn: `msengul@contoso.com`) eşleşmesi için **Alternate UPN Suffix** ayarlarının yapılmış olması gerekir.
- **Optional Features (Opsiyonel Özellikler):** İhtiyaç duyulan ek özellikleri seçin (Örn: Group Writeback, Password Writeback, Exchange Hybrid deployment).
- **Kurulumu Başlatma:** Ayarlarınızı gözden geçirin ve **Install** butonuna tıklayın. Sihirbaz, gerekli servis hesaplarını oluşturacak ve ilk senkronizasyonu başlatacaktır.
Bölüm 4: Senkronizasyon Kontrolü ve Sorun Giderme
Kurulum tamamlandıktan sonra, senkronizasyonun düzgün çalıştığını doğrulamak önemlidir.
Doğrulama Komutları ve Araçları
- **Senkronizasyonu Manuel Tetikleme (PowerShell):** Azure AD Connect, varsayılan olarak her 30 dakikada bir senkronize olur. Acil senkronizasyon için:
Import-Module ADSync
Start-ADSyncSyncCycle -PolicyType Delta # Değişiklikleri senkronize eder
- **Senkronizasyon Durumunu Kontrol Etme:** **Synchronization Service Manager** uygulamasını açarak senkronizasyon işlerinin (`Connector`) başarılı olup olmadığını kontrol edin.
- **Obje Kontrolü:** Azure/Office 365 Yönetim merkezinde, şirket içi AD'de oluşturduğunuz bir test kullanıcısının buluta senkronize olduğunu (ve kaynağının **On-Premises AD** olduğunu) doğrulayın.
Kritik Hata: En yaygın sorun, **UPN** (User Principal Name) uyumsuzluğudur. Şirket içi UPN Suffix'i (Örn: `prod.local`), Office 365'e eklenmiş doğrulanmış bir alan adı (Verified Domain) olmalıdır. Aksi takdirde kullanıcılar `kullanici@tenanthost.onmicrosoft.com` formatında kalır. Bu, Hybrid ortamda kritik bir hatadır.
SONRAKİ DÖKÜMAN: EXCHANGE SERVER KURULUMU >>