Mevcut bir eşitlenmiş AD ormanı için Microsoft Entra Cloud Sync'e geçiş
Bu öğretici, Microsoft Entra Connect Sync kullanılarak zaten eşitlenmiş bir test Active Directory ormanı için bulut eşitlemeye nasıl geçiş yapacağınızı gösterir.
Not
Bu makalede temel geçiş bilgileri sağlanır ve üretim ortamınızı geçirmeyi denemeden önce Bulut eşitlemesine geçiş belgelerini gözden geçirmeniz gerekir.
Dikkat edilmesi gereken noktalar
Bu öğreticiyi denemeden önce aşağıdaki öğeleri göz önünde bulundurun:
Bulut eşitlemenin temellerini bildiğinizden emin olun.
Microsoft Entra Connect Sync sürüm 1.4.32.0 veya üzerini çalıştırdığınızdan ve eşitleme kurallarını belgelendiği gibi yapılandırdığınızdan emin olun.
Pilot çalışırken, Microsoft Entra Connect Eşitleme kapsamından bir test OU veya grubunu kaldıracaksınız. Nesneleri kapsam dışına taşımak, Bu nesnelerin Microsoft Entra Id'de silinmesine neden olur.
- Kullanıcı nesneleri, Microsoft Entra Id içindeki nesneler geçici olarak silinir ve geri yüklenebilir.
- Grup nesneleri, Microsoft Entra Id içindeki nesneler sabit olarak silinir ve geri yüklenemez.
Microsoft Entra Connect Sync'te pilot kullanım senaryosunda silme işlemini önleyecek yeni bir bağlantı türü kullanıma sunulmuştur.
Bulut eşitlemenin nesnelerle sabit eşleşmesi için pilot kapsamdaki nesnelerin ms-ds-consistencyGUID doldurulmuş olduğundan emin olun.
Not
Microsoft Entra Connect Sync, grup nesneleri için ms-ds-consistencyGUID'yi varsayılan olarak doldurmaz.
- Bu yapılandırma gelişmiş senaryolara yöneliktir. Bu öğreticide belgelenen adımları tam olarak izlediğinize emin olun.
Önkoşullar
Bu öğreticiyi tamamlamak için gereken önkoşullar şunlardır:
- Microsoft Entra Connect Sync sürüm 1.4.32.0 veya üzeri ile bir test ortamı
- Eşitleme kapsamında olan ve pilot olarak kullanılabilen bir OU veya grup. Küçük bir nesne kümesiyle başlamanızı öneririz.
- Sağlama aracısını barındıracak Windows Server 2016 veya üzerini çalıştıran bir sunucu.
- Microsoft Entra Connect Sync kaynak bağlantısı objectGuid veya ms-ds-consistencyGUID olmalıdır
Microsoft Entra Connect'i güncelleştirme
En azından Microsoft Entra Connect 1.4.32.0 olmalıdır. Microsoft Entra Connect Sync'i güncelleştirmek için Microsoft Entra Connect: En son sürüme yükseltme makalesindeki adımları tamamlayın.
Microsoft Entra Connect yapılandırmanızı yedekleme
Herhangi bir değişiklik yapmadan önce Microsoft Entra Connect yapılandırmanızı yedeklemeniz gerekir. Bu şekilde önceki yapılandırmanıza geri dönebilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra Connect yapılandırma ayarlarını içeri ve dışarı aktarma.
Zamanlayıcıyı durdurma
Microsoft Entra Connect Sync, bir zamanlayıcı kullanarak şirket içi dizininizde gerçekleşen değişiklikleri eşitler. Özel kuralları değiştirmek ve eklemek için, değişiklikleri yaparken eşitlemelerin çalışmaması için zamanlayıcıyı devre dışı bırakmak istiyorsunuz. Zamanlayıcıyı durdurmak için aşağıdaki adımları kullanın:
- Microsoft Entra Connect Sync çalıştıran sunucuda PowerShell'i Yönetim Ayrıcalıklarıyla açın.
Stop-ADSyncSyncCycle
'i çalıştırın. Enter tuşuna basın.Set-ADSyncScheduler -SyncCycleEnabled $false
'i çalıştırın.
Not
Microsoft Entra Connect Sync için kendi özel zamanlayıcınızı çalıştırıyorsanız, lütfen zamanlayıcıyı devre dışı bırakın.
Özel kullanıcı gelen kuralı oluşturma
Microsoft Entra Connect Eşitleme Kuralları düzenleyicisinde, daha önce tanımladığınız OU'daki kullanıcıları filtreleyen bir gelen eşitleme kuralı oluşturmanız gerekir. Gelen eşitleme kuralı, cloudNoFlow'un hedef özniteliğine sahip bir birleştirme kuralıdır. Bu kural, Microsoft Entra Connect'e bu kullanıcılar için öznitelikleri eşitlememelerini bildirir. Daha fazla bilgi için üretim ortamınızı geçirmeyi denemeden önce bulut eşitlemesine geçiş belgelerine bakın.
Eşitleme düzenleyicisini aşağıda gösterildiği gibi masaüstündeki uygulama menüsünden başlatın:
Yön açılan listesinden Gelen'i seçin ve Yeni kural ekle'yi seçin.
Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:
- Ad: Kurala anlamlı bir ad verin
- Açıklama: Anlamlı bir açıklama ekleyin
- Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz AD bağlayıcısını seçin
- Bağlı Sistem Nesne Türü: Kullanıcı
- MetaVerse Nesne Türü: Kişi
- Bağlantı Türü: Birleştirme
- Öncelik: Sistemde benzersiz bir değer sağlayın
- Etiket: Bunu boş bırakın
Kapsam filtresi sayfasında, pilota dayalı olmasını istediğiniz OU veya güvenlik grubunu girin. OU'ya filtre uygulamak için ayırt edici adın OU bölümünü ekleyin. Bu kural, o OU'daki tüm kullanıcılara uygulanır. Bu nedenle, DN "OU=CPUsers,DC=contoso,DC=com ile bitiyorsa, bu filtreyi eklemeniz gerekir. Sonra İleri'yi seçin.
Kural Öznitelik İşleç Değer Kapsam belirleme OU DN ENDSWITH OU'nun ayırt edici adı. Kapsam belirleme grubu ISMEMBEROF Güvenlik grubunun ayırt edici adı. Birleştirme kuralları sayfasında İleri'yi seçin.
Dönüşümler sayfasında bir Sabit dönüştürme: flow True to cloudNoFlow özniteliği ekleyin. Ekle'yi seçin.
Tüm nesne türleri (kullanıcı, grup ve kişi) için aynı adımların izlenmesi gerekir. Yapılandırılmış AD Bağlayıcısı /AD ormanı başına adımları yineleyin.
Özel kullanıcı giden kuralı oluşturma
Ayrıca bağlantı türü JoinNoFlow olan bir giden eşitleme kuralına ve cloudNoFlow özniteliği True olarak ayarlanmış kapsam filtresine de ihtiyacınız olacaktır. Bu kural, Microsoft Entra Connect'e bu kullanıcılar için öznitelikleri eşitlememelerini bildirir. Daha fazla bilgi için üretim ortamınızı geçirmeyi denemeden önce bulut eşitlemesine geçiş belgelerine bakın.
Yön açılan listesinde Giden'i seçin ve kural ekle'yi seçin.
Açıklama sayfasında aşağıdakileri girin ve İleri'yi seçin:
- Ad: Kurala anlamlı bir ad verin
- Açıklama: Anlamlı bir açıklama ekleyin
- Bağlı Sistem: Özel eşitleme kuralını yazmakta olduğunuz Microsoft Entra bağlayıcısını seçin
- Bağlı Sistem Nesne Türü: Kullanıcı
- MetaVerse Nesne Türü: Kişi
- Bağlantı Türü: JoinNoFlow
- Öncelik: Sistemde benzersiz bir değer sağlayın
- Etiket: Bunu boş bırakın
Kapsam belirleme filtresi sayfasında cloudNoFlow eşittir True'yu seçin. Sonra İleri'yi seçin.
Birleştirme kuralları sayfasında İleri'yi seçin.
Dönüşümler sayfasında Ekle'yi seçin.
Tüm nesne türleri (kullanıcı, grup ve kişi) için aynı adımların izlenmesi gerekir.
Microsoft Entra sağlama aracısını yükleme
Temel AD ve Azure ortamı öğreticisini kullanıyorsanız cp1 olacaktır. Aracıyı yüklemek için şu adımları izleyin:
- Azure portalında Microsoft Entra ID'yi seçin.
- Sol tarafta Microsoft Entra Connect'i seçin.
- Sol tarafta Bulut eşitleme'yi seçin.
- Sol tarafta Aracı'yı seçin.
- Şirket içi aracıyı indir'i ve koşulları kabul et ve indir'i seçin.
- Microsoft Entra Connect Sağlama Aracısı Paketi indirildikten sonra, indirmeler klasörünüzden AADConnectProvisioningAgentSetup.exe yükleme dosyasını çalıştırın.
Not
ABD Kamu Bulutu için yükleme yaparken:
AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment
Daha fazla bilgi için bkz. "ABD kamu bulutunda aracı yükleme".
- Giriş ekranında Lisans ve koşulları kabul ediyorum'u ve ardından Yükle'yi seçin.
- Yükleme işlemi tamamlandıktan sonra yapılandırma sihirbazı başlatılır. Yapılandırmayı başlatmak için İleri'yi seçin.
- Uzantı Seç ekranında İk temelli sağlama (Workday ve SuccessFactors) / Microsoft Entra Connect bulut eşitlemesi'ni ve ardından İleri'yi seçin.
Not
Şirket içi uygulama sağlama ile kullanmak üzere sağlama aracısını yüklüyorsanız Şirket içi uygulama sağlama (Microsoft Uygulama için Entra Id) seçeneğini belirleyin.
- En azından Karma Kimlik Yöneticisi rolüne sahip bir hesapla oturum açın . Internet Explorer gelişmiş güvenliği etkinleştirdiyseniz, oturum açma işlemini engeller. Öyleyse yüklemeyi kapatın, Internet Explorer artırılmış güvenliğini devre dışı bırakın ve Microsoft Entra Connect Sağlama Aracısı Paketi yüklemesini yeniden başlatın.
- Hizmet Hesabını Yapılandır ekranında bir grup Yönetilen Hizmet Hesabı (gMSA) seçin. Bu hesap aracı hizmetini çalıştırmak için kullanılır. Yönetilen hizmet hesabı etki alanınızda zaten başka bir aracı tarafından yapılandırılmışsa ve ikinci bir aracı yüklüyorsanız, sistem mevcut hesabı algıladığı ve yeni aracı için gMSA hesabını kullanması için gerekli izinleri eklediğinden gMSA oluştur'u seçin. İstendiğinde aşağıdakilerden birini seçin:
- Aracının sizin için provAgentgMSA$ yönetilen hizmet hesabını oluşturmasına olanak tanıyan gMSA oluşturun. Grup tarafından yönetilen hizmet hesabı (örneğin, CONTOSO\provAgentgMSA$) konak sunucusunun katıldığı Aynı Active Directory etki alanında oluşturulur. Bu seçeneği kullanmak için Active Directory etki alanı yöneticisi kimlik bilgilerini girin (önerilir).
- Özel gMSA kullanın ve bu görev için el ile oluşturduğunuz yönetilen hizmet hesabının adını belirtin.
Devam etmek için İleri’yi seçin.
Active Directory'ye Bağlan ekranında, etki alanı adınız Yapılandırılan etki alanları altında görünüyorsa sonraki adıma geçin. Aksi takdirde, Active Directory etki alanı adınızı yazın ve Dizin ekle'yi seçin.
Active Directory etki alanı yönetici hesabınızla oturum açın. Etki alanı yöneticisi hesabının süresi dolmuş bir parola olmamalıdır. Parolanın süresinin dolması veya aracı yüklemesi sırasında değişmesi durumunda aracıyı yeni kimlik bilgileriyle yeniden yapılandırmanız gerekir. Bu işlem şirket içi dizininizi ekler. Devam etmek için Tamam'ı ve ardından İleri'yi seçin.
- Aşağıdaki ekran görüntüsünde yapılandırılmış contoso.com etki alanı örneği gösterilmektedir. Devam etmek için İleri'yi seçin.
Yapılandırma tamamlandı ekranında Onayla'yı seçin. Bu işlem aracıyı kaydeder ve yeniden başlatır.
Bu işlem tamamlandıktan sonra Aracı yapılandırmanızın başarıyla doğrulandığı size bildirilmelidir. Çıkış'ı seçebilirsiniz.
- İlk giriş ekranını almaya devam ediyorsanız Kapat'ı seçin.
Aracı yüklemesini doğrulama
Aracı doğrulaması Azure portalında ve aracıyı çalıştıran yerel sunucuda gerçekleşir.
Azure portal aracısı doğrulaması
Aracının Microsoft Entra Id tarafından kaydedildiğini doğrulamak için şu adımları izleyin:
- Azure Portal’ında oturum açın.
- Microsoft Entra ID'yi seçin.
- Microsoft Entra Connect'i ve ardından Bulut eşitleme'yi seçin.
- Bulut eşitleme sayfasında yüklediğiniz aracıları görürsünüz. Aracının görüntülendiğini ve durumunun iyi durumda olduğunu doğrulayın.
Yerel sunucuda
Aracının çalıştığını doğrulamak için şu adımları izleyin:
- Sunucuda yönetici hesabıyla oturum açın.
- Hizmetler'e giderek veya Başlat/Çalıştır/Services.msc adresine giderek Hizmetleri açın.
- Hizmetler altında, Microsoft Entra Connect Agent Updater ve Microsoft Entra Connect Sağlama Aracısı'nın mevcut olduğundan ve durumun Çalışıyor olduğundan emin olun.
Sağlama aracısı sürümünü doğrulama
Aracının çalışmakta olan sürümünü doğrulamak için şu adımları izleyin:
- 'C:\Program Files\Microsoft Azure AD Connect Sağlama Aracısı' öğesine gidin
- 'AADConnectProvisioningAgent.exe' öğesine sağ tıklayın ve özellikleri seçin.
- Ayrıntılar sekmesine tıklar ve sürüm numarası Ürün sürümü'nin yanında görüntülenir.
Microsoft Entra Cloud Sync'i yapılandırma
Sağlamayı yapılandırmak için aşağıdaki adımları kullanın:
- Microsoft Entra yönetim merkezinde en az Karma Yönetici olarak oturum açın.
- Kimlik>Karma yönetimi>Microsoft Entra Connect>Bulut eşitleme'ye göz atın.
- Yeni yapılandırma'ya tıklayın.
- Yapılandırma ekranında etki alanınızı ve parola karması eşitlemenin etkinleştirilip etkinleştirilmeymeyeceğini seçin. Oluştur'a tıklayın.
Başlarken ekranı açılır.
Başlarken ekranında Kapsam filtresi ekle simgesinin yanındaki Kapsam belirleme filtreleri ekle'ye veya Yönet'in altındaki sol taraftaki Kapsam belirleme filtreleri'ne tıklayın.
- Kapsam filtresini seçin. Bu öğretici için şunları seçin:
- Seçili kuruluş birimleri: Yapılandırmayı belirli OU'lara uygulanacak şekilde kapsamlar.
- Kutuya "OU=CPUsers,DC=contoso,DC=com" yazın.
- Ekle'yi tıklatın. Kaydet'e tıklayın.
Zamanlayıcıyı başlatma
Microsoft Entra Connect Sync, bir zamanlayıcı kullanarak şirket içi dizininizde gerçekleşen değişiklikleri eşitler. Kuralları değiştirdiğinize göre zamanlayıcıyı yeniden başlatabilirsiniz. Aşağıdaki adımları kullanın:
- Microsoft Entra Connect Sync çalıştıran sunucuda PowerShell'i Yönetim Ayrıcalıklarıyla açın
Set-ADSyncScheduler -SyncCycleEnabled $true
'i çalıştırın.- komutunu çalıştırın
Start-ADSyncSyncCycle
, ardından Enter tuşuna basın.
Not
Microsoft Entra Connect Sync için kendi özel zamanlayıcınızı çalıştırıyorsanız, lütfen zamanlayıcıyı etkinleştirin.
Zamanlayıcı etkinleştirildikten sonra, herhangi bir başvuru özniteliği (örneğinmanager
) güncelleştirilmediği sürece Microsoft Entra Connect meta veri kümesinin içindeki nesnelerdeki cloudNoFlow=true
değişiklikleri dışarı aktarmayı durdurur. Nesnede herhangi bir başvuru özniteliği güncelleştirmesi olması durumunda, Microsoft Entra Connect sinyali yoksayar cloudNoFlow
ve nesnedeki tüm güncelleştirmeleri dışarı aktarır.
Bir sorun oluştu
Pilot sistemin beklendiği gibi çalışmaması durumunda, aşağıdaki adımları izleyerek Microsoft Entra Connect Sync kurulumuna geri dönebilirsiniz:
- Portalda sağlama yapılandırmasını devre dışı bırakın.
- Eşitleme Kuralı Düzenleyicisi aracını kullanarak Bulut Sağlama için oluşturulan tüm özel eşitleme kurallarını devre dışı bırakın. Devre dışı bırakmak tüm bağlayıcılarda tam eşitlemeye neden olmalıdır.