Yazımızın birinci ve ikinci bölümlerinde O365 portalımızı hazırlamış, domainlerimizi tanımlamış ve DirSync sunucumuzun kurulumu ve yapılandırmasını gerçekleştirmiştik. Makalemizin bu bölümüne DirSync aracının daha efektif nasıl kullanabiliriz bununla devam ediyor olacağız ve sonrasında hybrid deployment adımlarımıza devam edeceğiz.

DirSync aracımızın bir çok özelliğinden faydalanabiliriz. Bunlardan bir tanesi de O365 platformuna sync etmek istediğimiz kullancıları OU bazında belirleyebiliriz. Hatta aynı OU içerisinden istediğimiz kullanıcıyı filtreliyebilir ve istediğimiz kullanıcı veya obje üzerinde işlem yapabiliriz. Bu konuyu ayrı bir makalemizde ele alacağız. Şimdi biz sync etmek istedğimiz objelerimize ait OU'muzu belirleyeceğiz.

Daha öncede bahsetmiş olduğumuz gibi aslında DirSync FIM çözümünü kullanmaktadır.  Aşağıda ki resimde gösterildiği gibi DirSync aracının kurulu olduğu FIM dizinine gidiyoruz ve UIShell (1) klasörüne kadar ilerliyoruz. Ve miisclient (2) exe sini açıyoruz. Bizi tanıdık bir arayiz olan FIM arayüzü karşılıyor. Yine bu arayüzden Management Agents (3) tabı ile devam edip, yine resimde gösterildiği gibi Active Directory Connector (4) seçeneğini seçiyoruz. Burada iki adet connector bulunmaktadır. Birizi Azure Active Directory Connector, yani O365 AD hizmeti, diğeri ise bizim On-premise Active Directory Connector. DirSync bu iki connector vasıtası ile sync işlemini gerçekleştirmektedir. Sonrasında açılan pencere üzerinden Configure Directory Partitions (5) menüzünü seçip sağ ratafta bulunan Containers (6) butonunu tıklıyoruz.

miisclient

Containers butonunu tıkladığımızda ve ilgili kullanıcı adı/parola girişini yaptığımızda (DirSync kurulumunu gerçekleştirdiğimiz Domain Admin), karşımıza aşağıdaki gibi, On-premise active directory ortamımızda ki OU dizini gelmektedir. Buradan istediğimiz OU muzu seçip, o OU'nun içerisinde bulunan objelerin sync olmasını sağlayabiliriz.

ouselect

Peki sync işlemini nasıl yapıyoruz. Default'ta sync işlemi 3 saatte bir kendiliğinden gerçekleşir. Biz istersebu süreyi değiştirebiliriz. Bunun yanında aşağıdaki gibi Windows Power Shell kullanarak bu işlemi force edebiliriz.

İlk Önce ilgili DirSync dizinine gidip sonrasında sırayla ilgili iki komutu kullanmak yeterlidi.

forcedir

Ve senkronizasyon işlemlerimizi aşağıdaki gibi yine FIM arayüzünden takip edebiliriz. Kaç obje taşınmış, kaı silinmiş kaçı güncellenmiş, bütün bunları takip edebiliriz. Hatta hangi objenin, hangi attiribute'u değişmiş, değişen obje sayısına tıklayarak bunu görmemiz bile mümkün.

dirson

Yine ağaşıda görüldüğü gibi senkronizasyon sonrası, O365 portalımıza baktığımızda, On-premise active directory'de sync ettiğimiz OU içerisinde bulunan kullanıcıların geldiğini görebiliyoruz. Dikkat ederseniz On-premise active directory ortamımızdan sync olan kullanıcıların Status kısmında, Active Directory ile yapılan sync sonucu O365 portalına geldiği belirtiliyor. Diğer kullanıcılar ise O365 portalında manuel oluşturulan kullanıclar ve dolayısı ile Status kısmında In Cloud olarak belirtilmekte.

portalsync

Şimdi sıra geldi ADFS ve ADFS Proxy sunucularımızı hazırlayıp yapılandırmaya. ADFS sunucularımız sayesinde hem SSO yapılandırmış olacağız ve tek bir login ile tüm yapımıza erişiyor olacağız, hem de kimlik doğrulama işlemi On-premise active directory üzerinden yapılıyor olacak. Yani Office 365 posta kutularına erişmeye çalışan client'lar, ADFS Proxy sayesinde ADFS sunucularına geliyor olacak ve sonrasında active directory ile kimlik doğrulaması gerçekleştirilecek. Böylece daha güvenli bir yapıya sahip olacağız. Aslında burada önerilen senaryo ADFS ve ADFS Proxy sunucularının bir NLB yapısı ile konfigüre edilmesidir. Bu işlem gerek Windows NLB ve gerekse bir HLB ile yapılabilir. Biz makalemizde tek bir ADFS ve tek bir ADFS Proxy sunucusu yapılandırarak ilerliyor olacağız.

ADFS ve ADFS Proxy sunucularımızın her ikisi içinde 100 GB lık bir disk ve 16 GB lık memory sağlıklı olacaktır. Bununla birlikte ADFS Proxy sunucularımız DMZ networkünde olacağı için iki adet ethernet'e ihtiyaç duyulacaktır. Tabi ki biz ADFS domaine join olan Windows Server 2012 R2 kullancağız, zira Server 2012 R2 ile birlikte ADFS rolünün son versiyonu olan ADFS 3.0 bulunmaktadır. ADFS Proxy sunucumuz DMZ networkümüzde olduğu için workgroup'ta olacaktır.

Herşeyden önce public bir CA'den alınan bir SSL sertifikamıza ihtiyacımız olacaktır. Bu sertifika wildcard sertifikası olabileceği gibi bir SAN sertifikası da olabilir. Eğer sertifikamız bir SAN sertifkası ise içinde bulunması gereken SAN ler şunlar olmalıdır.

  • sts.domain.com (federation service name) bu isim genellikle sts.domain.com ve ya sso.domain.com olarak yapılandırlır. tabi ki siz isterseniz farklı bir isim kullanabilirsiniz.
  • mail.domain.com (Hybrid suncular için EWS ismi) bunun için mevcut exchange sunucularınızı kullanabilirsiniz ya da mailbox taşıma sırasında mevcut exchange sunucularınızı çok fazla yormak istemiyorsanız, ayrı bir exchange 2013 sunucu kurup bu sunucularınızı hybrid sunucu olarak yapılandırabilirsiniz ve yine bumsunucular üzerinde EWS olarak farklı bir FQDN kullanabilirsiniz. (hybrid.domain.com) gibi.
  • webmail.domain.com (Exchange Online tarafındaki OWA adresi) hali hazırda On-premise exchange yapımızda mail.domain.com OWA adresini kullandığımızı varsyarak, hybrid deployment sonrası O365 platformuna taşınan kullancıların OWA üzerinden maillerine erişebilmesi için, örneğin https://portal.office.com adresini kullanmaları gerekmektedir. Fakat bir ADFS yapısı olduğu için ve SSO özelliğinden yararlanmak için, aynı zamanda kimlik doğrulaması yapılabilmesi için webmail.domain.com FQDN'i kullanılarak, istekler ilk önce On-premise ADFS sunucularına gelecek, kullanıcı adı ve parola girildikten sonra, kimlik doğrulaması gerçekleşecek ve sonrasında IIS üzerinde yapacağımız redirect işlemi ile istek O365 e gönderilecek ve kullanıcı mailbox'ına erişiyor olacaktır.

Şimdi ADFS sunucu kurulumu ve kongiürasyonu ile devam edelim. İlk Önce sertifikamızı ADFS sunucumuza IIS üzerinden private key'i ile import ediyoruz.

iiscertadfs

Sonrasında Defaut Web Site'a atıyoruz. Aşağıda göründüğü gibi ilk önce IIS üzerinde Default Web Site'a geliyoruz, sağ taraftan Binding'i seçip add diyoruz ve https'i seçiyoruz, sonrasında alt kısımdan import ettiğimiz sertifikayı seçim tamam diyoruz.

iiscerata

Sonrasında Windows Features and Role yardımı ile Federation Service'ini yüklüyoruz.

adfsrole

Başka bir bileşen seçmeden ilerliyoruz ve ilgili rolü yüklemeyi tamamlıyoruz.

adfsroleend

Daha sonra Server Manager ekranından ADFS konfügurasyonuna devam etmemiz gerektiğini gözüyoruz ve bu konfigürasyona aşağıda göründü gibi devam ediyoruz.

adfrroledevam

Karşımıza çıkan ekranda yeni bir ADFS farm oluşturacağımız için ilk seçeneği seçip devam ediyoruz.

adfsconf1

Sunucuya login olduğumuz account otomatik gelmektedir veya ilgili account bilgilerini girip ilerliyoruz.

adfsconf2

Bir sonraki adımda IIS'e import ettiğimiz sertifikamızı seçiyoruz ve Federation Service adımızı giriyoruz ve ilerliyoruz.

adfsconf3

Ve daha sonra ADFS suncular ile ADFS Proxy sunucularının haberleşmesi için bir Service Account'u isteniyor. Bu account mevcut admin hesabımız olduğu gibi farkı bir domain user hesabıda olabilir. Biz burada hali hazırda kullandığımız domain admin hesabımızı kullanıyor olacağız.

adfsconf4

Sonrasında bizden bir SQL sunucusu istemektedir veya database için mevcut sunucuyu kullanacak ve database'i o sunucu üzerinde oluşturacaktır. Biz ilgili sunucu üzerinde database oluşturup onu kullanmasını istiyoruz.

adfsconf5

Ve setup size son durum ile ilgili son bilgileri verip prerequisite'leri check ediyor.

adfsconf7

Herşey yolunda ise configure diyip devam ediyoruz. Bir süre bekliyoruz ve kurulum tamamlandıktan sonra close ile wizard'ı tamamlıyoruz.

Sonrasında Server Manager ekranında Tools > AD FS Management'ı açıyoruz ve ADFS rolümüzün başarılı bir şekilde kurulduğunu görebiliyoruz.

adfsmanager2

Bununla birlikte herhangi bir internal client veya sunucudan aşağıda belirtilen URL'i bir tarayıcıya yazdığımzıda, yine aşağıda görüntülenen sayfayı görebiliyor olmamız lazım.

Şimdi internal DNS sunucumuzafederation service ismin olan  sts.cokbulutlu.com kaydını giriyoruz ve ADFS sunucumuzun ip sini veriyoruz. Eğer birden fazla ADFS sunucumuz olsaydı her birini ADFS Farm'a dahil etmemiz gerekecek ve sts.cokbulutlu.com ismine karşılık, internal DNS'de Load Balancing IP sini veriyor olacaktık. ADFS Farm yapısını ayrı bir makalede inceliyor olacağız.

https://adfs_sunucu_ismi/FederationMetadata/2007-06/FederationMetadata.xml

adfstest

Şimdi sıra geldi ADFS Proxy sunucularımız kurlumuna, konfigürasyonuna ve sonrasında ADFS sunucuları ile ilişkilendirmeye. Daha öncede bahsetmiş oladuğumuz gibi ADFS Proxy sunucumuz DMZ networkümüzde bulunacak ve kendisine gelen istekleri internal networkümüzde bulunan ADF sunucusuna işeticek, ve sonrasında kimlik doğrulamasını gerçekleştiriyor olacak. Tabi bununla birlikte bize SSO hizmetinden faydalanmamızı sağlayacak. Aslında buraya kada hep ADFS Proxy ismi ile ilerledik ama Windows Server 2012 R2 ile birlikte bu proxy hizmetini  bize sunan yeni bir özellik geldi. Buda WAP (Wep Application Proxy). Bizler ADFS Proxy olarak bu özelliği kullanıyor olacağız. Basit olarak şöyle düşünülebilir. Güvenli bir networkte olan bir sunucuyu proxy yardımı ile güvenli olarak dış dünyaya publih etmek. Yine daha önce bahsetmiş olduğumuz gibi, bu şekilde bir ADFS ve ADFS Proxy senaryosunda önerilen yapı bir Load Balancing konumlandırmaktır. Bu Load balancing Windows NLB de olabilir ya da bir HLB (Hardware Load Balancing) çözümüde olabilir.

Yine burada ilk yapmamız gereken ADFS sunucumuzun hazırlanmasında bahsetmiş olduğumuz gibi, IIS üzerine yine ADFS sunucumuzda kullandığımız sertifikayı aynı şekilde import edip, Default Web Site'a atamak olacaktır.

Sonrasında ADFS Proxy sunucumuzun Host dosyasına sts.cokbulutlu.com ismini girip ADFS sunucumuzun IP sini giriyoruz. ADFS Proxy sunucumuz DMZ networkünde olduğundan internal DNS çözümleme problemlerine karşılık bu işlemi yapıyoruz.

Bu işlemlerden sonra yine Server Manager tarafına geliyoruz ve WAP (Web Application Proxy) rolünü kurmaya başlıyoruz. Söylemiş olduğumuz gibi WAP, Server 2012 R2 ile birlikte kullanılan ADFS Proxy özelliğidir.

Windows Features and Roles kısmından Remote Access rolünü seçip ileriliyoruz.

adfsp1

Herhangi başka bir bileşen secmeden aşağıda gördüğümüz adıma kadar geliyoruz. Burada Web Application Proxy bileşenini seçip next ile devam ediyoruz. çıkan pencerede WAP ile irlikte kuracağı diğer bileşenleri gösterecektir. Add Features diyip devam ediyoruz.

adfsp2

Yüklenecek tüm bileşenleri görüp yüklemeyi başlatıyoruz.

adfsp3

Bileşenlerin yüklemesi tamamlandığında Server Manager bize configurasyonun henüz bitmediğini ve tamamlanması gereken bir setup olduğunu bildiriyor. Artık Web Application Proxy rolümüzü İnternal networkümüzde bulunan ADFS sunucu veya sunucu farm'ı için yapılandırabiliriz.

adfsp04

Bu uyarıyı tıklayarak kanfigurasyona başlıyoruz. Setup konfigürasyon hakkında bilgi veriyor.

adfsp5

Burada wizard bizden ADFS sunucularımızın konfigürasyonlarını yaparken belirlemiş olduğumuz Federation Service ismini istiyor. Hatırlarsanız biz bu ismi sts.cokbulutlu.com olarak belirlemiştik. Bununla birlikte yine bu servise erişecek birde servis hesabı istiyor. Yine hatırlarsanız ADFS yapılandırmamızda, bir adet servis hesabına ihtiyacımız olduğunu ve bunun ADFS ve ADFS Proxy sunucular haberleşirken kullanılacağını belirtmiştik. Biz yazımız için ayrı bir hesap oluşturmamıştık ve hali hazırda kullandığımız domain admin hesabı ile ilerliyoruz.

adfsp6

Sonrasında yine ADFS sunucularımızda kullandığımız aynı sertifikayı bizden istiyor. Bu sertifikayı daha önce ADFS Proxy sunucumuzun IIS Default Web Site'ına atadığımız için burada ilgili sertifikayı seçiyoruz ve ilerliyoruz.

adfsp7

Son olarak wizard bize son durum hakkında bilgi veriyor ve Configure diyip ADFS Proxy sunucularımızın yapılandırmasına başlıyoruz.

Bu yapılandırma sırasında ADFS Proxy sunucumuz, internal networkümüzdeki ADFS sunucu ile haberleşecek ve sonrasında ADFS sunucu vasıtası ile kimlik doğrulama işlemimiz gerşekleşecek.

adfsp8

Configure dedikten sonra ve konfigürasyonun başarılı bir şekilde tamamlandığına dair bilgilendirmeyi aldıktan sonra yine Server Manager'dan Tools menüsünden Remote Access Management Console'u açıyoruz ve yapılandırmamızı doğruluyoruz.

adfsp10

Evet Yapılandırmamız gayet sağlıklı bir şekilde çalışıyor ve şimdi sıra geldi internal networkumuzde bulunan ADFS sunucumuzu yani sts.cokbulutlu.com federation servis ismini dış dünyaya publish etmeye.

Bu işleme başlamadan önce Public DNS sunucumuzda sts.cokbulutlu.com FQDN i ile bir DNS kaydı açıyoruz ve bu isme karşılık gelecek public IP adresimizi ADFS Proxy, yani WAP sunucumuzun DMZ bacağına yönlendiriyoruz. Çünkü ADFS Proxy sunucularımıza gelen istekler sts.cokbulutlu.com ismi ile geliyor olacaklar.

Şimdi Publish işlemine başlayalım. Yine Remote Access Management Console üzerinden sol tarafta bulunan Web Application Proxy'yi tıklıyoruz, sonrasında sağ taraftan Publish'i tıklıyoruz ve karşımıza gelen wizard ile ilerliyoruz.

adfsp11

Daha sonra aşağıda göründüğü gibi ikinci seçenek olan Pass-through ile ilerliyoruz.

adfsp12

Bir sonraki ekranda dışarıya publish edeceğimiz federation servis için görünen bir isim istiyor. Burada dilediğiniz ismi kullanabilirsiniz. Bu isim WAP konsolunda görüntülenecek. Bununla birlikte bizden external da kullanılacak Federation Service ismininin URL sini girmemizi istiyor. Burada biz aynı ismi kullanacağımız için yine sts.cokbulutlu.com kullanıyoruz. Fakat burada bunu https://sts.cokbulutlu.com. olarak girmemiz gerekmektedir. Sonrasında yine ilgili sertifikamızı seçim devam ediyoruz.

adfsp13

Ve ayarlarımızla ilgili son durumu görüyoruz ve Publish butonunu tıklayarak publish işlemimizi tamamlıyoruz.

adfsp14

Şimdi sıra geldi publish işlemlerimiz ne kadar başarılı olmuş ona bakalım. İlk önce Remote Access Management Console'una bakıyoruz ve isteğimizin publish edildiğini görebiliyoruz.

adfsp015

Hatırlarsanız ADFS sunucumuz kurduğumuzda ve test ettiğimizde ilgili URL'i internal bir client veya sunucuya girdiğimizde karşımıza bir xml getirmişti. Şimdi bunu aşağıdaki URL ile external bir networkten deniyoruz. Bir tarayıcı açıyoruz ve aşağıdaki URL'yi yazıyoruz.

https://sts.cokbulutlu.com/FederationMetadata/2007-06/FederationMetadata.xml

İlgili URL'imizi girdikten sonra, internal networkümde bulunan ADFS üzerindenki istediğim xml'e ulaşıyorum.

adfspson

Böylelikle ADFS ve ADFS Proxy sunucularımın kurulumunu yayapılandırmasını tamamlamış oluyoruz. Yazımızın devamına makalemizin dördüncü bölümü ile devam ediyor olacağız.


Cüneyt E. ORHUN

MCT, MCSA:Office 365, Communication