Microsoft Entra Connect için topolojiler

Bu makalede, anahtar tümleştirme çözümü olarak Microsoft Entra Connect Sync kullanan çeşitli şirket içi ve Microsoft Entra topolojileri açıklanmaktadır. Bu makalede hem desteklenen hem de desteklenmeyen yapılandırmalar hakkında bilgiler bulunmaktadır.

Makaledeki resimlere ilişkin gösterge:

Açıklama Simge
Şirket içi Active Directory ormanı Şirket içi Active Directory ormanı
Filtrelenmiş içeri aktarma ile şirket içi Active Directory Filtrelenmiş içeri aktarma ile Active Directory
Microsoft Entra Connect Sync sunucusu Microsoft Entra Connect Sync sunucusu
Microsoft Entra Connect Sync sunucusu "hazırlama modu" Microsoft Entra Connect Sync sunucusu
Microsoft Identity Manager (MIM) 2016 ile GALSync MIM 2016 ile GALSync
Microsoft Entra Connect Sync sunucusu, ayrıntılı Microsoft Entra Connect Sync sunucusu, ayrıntılı
Microsoft Entra Kimlik Microsoft Entra Kimlik
Desteklenmeyen senaryo Desteklenmeyen senaryo

Önemli

Microsoft, Microsoft Entra Connect Sync'in resmi olarak belgelenen yapılandırmaların veya eylemlerin dışında değiştirilmesini veya çalıştırılmasını desteklemez. Bu yapılandırmalardan veya eylemlerden herhangi biri Microsoft Entra Connect Sync'in tutarsız veya desteklenmeyen durumuna neden olabilir. Sonuç olarak, Microsoft bu tür dağıtımlar için teknik destek sağlayamaz.

Tek orman, tek Microsoft Entra kiracısı

Tek bir orman ve tek bir kiracı için topoloji

En yaygın topoloji, bir veya birden çok etki alanı ve tek bir Microsoft Entra kiracısı olan tek bir şirket içi ormandır. Microsoft Entra kimlik doğrulaması için parola karması eşitleme kullanılır. Microsoft Entra Connect'in hızlı yüklemesi yalnızca bu topolojiyi destekler.

Tek orman, bir Microsoft Entra kiracısına birden çok eşitleme sunucusu

Tek bir orman için desteklenmeyen, filtrelenmiş topoloji

Hazırlama sunucusu dışında , aynı Microsoft Entra kiracısına bağlı birden çok Microsoft Entra Connect Sync sunucusu olması desteklenmez. Bu sunucular birbirini dışlayan bir nesne kümesiyle eşitlenecek şekilde yapılandırılmış olsa bile desteklenmez. Ormandaki tüm etki alanlarına tek bir sunucudan ulaşamıyorsanız veya yükü birkaç sunucuya dağıtmak istiyorsanız bu topolojiyi dikkate almış olabilirsiniz. (Yeni bir Azure AD Eşitleme Sunucusu yeni bir Microsoft Entra ormanı ve doğrulanmış yeni bir alt etki alanı için yapılandırıldığında hata oluşmaz.)

Birden çok orman, tek Bir Microsoft Entra kiracısı

Birden çok orman ve tek bir kiracı için topoloji

Birçok kuruluşun birden çok şirket içi Active Directory ormanı olan ortamları vardır. Birden fazla şirket içi Active Directory ormana sahip olmanın çeşitli nedenleri vardır. Tipik örnekler, hesap kaynağı ormanlarına sahip tasarımlar ve bir birleşme veya alım sonucudur.

Birden çok ormanınız olduğunda, tüm ormanlara tek bir Microsoft Entra Connect Sync sunucusu tarafından erişilebilir olmalıdır. Sunucunun bir etki alanına katılması gerekir. Tüm ormanlara ulaşmak için gerekirse sunucuyu bir çevre ağına (DMZ, arındırılmış bölge ve ekranlı alt ağ olarak da bilinir) yerleştirebilirsiniz.

Microsoft Entra Connect yükleme sihirbazı, birden çok ormanda temsil edilen kullanıcıları birleştirmek için çeşitli seçenekler sunar. Amaç, bir kullanıcının Microsoft Entra Id'de yalnızca bir kez temsil edilerek gösterilmesidir. Yükleme sihirbazındaki özel yükleme yolunda yapılandırabileceğiniz bazı yaygın topolojiler vardır. Kullanıcılarınızı benzersiz olarak tanımlama sayfasında topolojinizi temsil eden ilgili seçeneği belirleyin. Birleştirme yalnızca kullanıcılar için yapılandırılır. Yinelenen gruplar varsayılan yapılandırmayla birleştirilmemiştir.

Ortak topolojiler ayrı topolojiler, tam ağ ve hesap kaynağı topolojisi hakkındaki bölümlerde ele alınıyor.

Microsoft Entra Connect Sync'teki varsayılan yapılandırma şunları varsayar:

  • Her kullanıcının yalnızca bir hesabı etkindir ve bu hesabın bulunduğu orman kullanıcının kimliğini doğrulamak için kullanılır. Bu varsayım parola karması eşitleme, doğrudan kimlik doğrulaması ve federasyon için kullanılır. UserPrincipalName ve sourceAnchor/immutableID bu ormandan gelir.
  • Her kullanıcının yalnızca bir posta kutusu vardır.
  • Bir kullanıcının posta kutusunu barındıran orman, Exchange Genel Adres Listesi'nde (GAL) görünen öznitelikler için en iyi veri kalitesine sahiptir. Kullanıcı için posta kutusu yoksa, bu öznitelik değerlerine katkıda bulunmak için herhangi bir orman kullanılabilir.
  • Bağlantılı posta kutunuz varsa, farklı bir ormanda oturum açmak için kullanılan bir hesap da vardır.

Ortamınız bu varsayımlarla eşleşmiyorsa aşağıdakiler gerçekleşir:

  • Birden fazla etkin hesabınız veya birden fazla posta kutunuz varsa, eşitleme altyapısı birini seçer ve diğerini yoksayar.
  • Başka etkin hesabı olmayan bağlantılı posta kutusu Microsoft Entra Id'ye aktarılmaz. Kullanıcı hesabı herhangi bir grupta üye olarak temsil edilmez. DirSync'teki bağlı posta kutusu her zaman normal bir posta kutusu olarak temsil edilir. Bu değişiklik, birden çok ormanlı senaryoları daha iyi desteklemek için kasıtlı olarak farklı bir davranıştır.

Daha fazla ayrıntı için bkz. Varsayılan yapılandırmayı anlama.

Birden çok orman, bir Microsoft Entra kiracısına birden çok eşitleme sunucusu

Birden çok orman ve birden çok eşitleme sunucusu için desteklenmeyen topoloji

Tek bir Microsoft Entra kiracısına bağlı birden fazla Microsoft Entra Connect Sync sunucusunun olması desteklenmez. Özel durum, bir hazırlama sunucusunun kullanılmasıdır.

Bu topoloji, tek bir Microsoft Entra kiracısına bağlı birden çok eşitleme sunucusu desteklenmediğinden aşağıdakinden farklıdır. (Desteklenmese de bu işlem çalışmaya devam ediyor.)

Birden çok orman, tek eşitleme sunucusu, kullanıcılar yalnızca bir dizinde temsil edilir

Tüm dizinlerde kullanıcıları yalnızca bir kez temsil etme seçeneği

Birden çok ormanın ve ayrı topolojilerin gösterimi

Bu ortamda, tüm şirket içi ormanlar ayrı varlıklar olarak değerlendirilir. Başka bir ormanda kullanıcı yok. Her ormanın kendi Exchange kuruluşu vardır ve ormanlar arasında GALSync yoktur. Bu topoloji, bir birleşme/alım sonrasında veya her iş biriminin bağımsız olarak çalıştığı bir kuruluşta durum olabilir. Bu ormanlar, Microsoft Entra Id'de aynı kuruluşta yer alır ve birleşik bir GAL ile görünür. Yukarıdaki resimde, her ormandaki her nesne meta veri deposunda bir kez temsil edilir ve hedef Microsoft Entra kiracısında toplanır.

Birden çok orman: kullanıcıları eşleştirme

Tüm bu senaryolarda yaygın olarak kullanılan, dağıtım ve güvenlik gruplarının kullanıcı, kişi ve Yabancı Güvenlik Sorumlularının (FSP) bir karışımını içerebileceğidir. FSP'ler Active Directory Etki Alanı Hizmetleri'nde (AD DS) bir güvenlik grubundaki diğer ormanlardan üyeleri temsil etmek için kullanılır. Tüm FSP'ler Microsoft Entra Id'deki gerçek nesneye çözümlenir.

Birden çok orman: isteğe bağlı GALSync ile tam ağ

Birden çok dizinde kullanıcı kimlikleri mevcut olduğunda eşleştirme için posta özniteliğini kullanma seçeneği

Birden çok orman için tam ağ topolojisi

Tam ağ topolojisi, kullanıcıların ve kaynakların herhangi bir ormanda bulunmasına olanak tanır. Genellikle ormanlar arasında iki yönlü güvenler vardır.

Exchange birden fazla ormanda varsa, (isteğe bağlı olarak) bir şirket içi GALSync çözümü olabilir. Ardından her kullanıcı diğer tüm ormanlarda bir kişi olarak temsil edilir. GALSync genellikle Microsoft Identity Manager aracılığıyla uygulanır. Microsoft Entra Connect, şirket içi GALSync için kullanılamaz.

Bu senaryoda, kimlik nesneleri mail özniteliği aracılığıyla birleştirilir. Bir ormanda posta kutusu olan bir kullanıcı, diğer ormanlardaki kişilerle birleştirilir.

Birden çok orman: hesap kaynağı ormanı

Birden çok dizinde kimlikler mevcut olduğunda eşleştirme için ObjectSID ve msExchMasterAccountSID özniteliklerini kullanma seçeneği

Birden çok orman için hesap kaynağı orman topolojisi

Hesap kaynağı ormanı topolojisinde, etkin kullanıcı hesaplarına sahip bir veya daha fazla hesap ormanınız vardır. Devre dışı bırakılmış hesapları olan bir veya daha fazla kaynak ormanınız da var.

Bu senaryoda, bir (veya daha fazla) kaynak ormanı tüm hesap ormanlarına güvenir. Kaynak ormanı genellikle Exchange ve Lync ile genişletilmiş bir Active Directory şemasına sahiptir. Diğer paylaşılan hizmetlerle birlikte tüm Exchange ve Lync hizmetleri bu ormanda bulunur. Kullanıcıların bu ormanda devre dışı bırakılmış bir kullanıcı hesabı var ve posta kutusu hesap ormanına bağlı.

Microsoft 365 ve topoloji ile ilgili dikkat edilmesi gerekenler

Bazı Microsoft 365 iş yüklerinin desteklenen topolojiler üzerinde belirli kısıtlamaları vardır:

İş Yükü Kısıtlamalar
Exchange Online Exchange Online tarafından desteklenen karma topolojiler hakkında daha fazla bilgi için bkz . Birden çok Active Directory ormanıyla karma dağıtımlar.
Skype Kurumsal Birden çok şirket içi ormanı kullanırken yalnızca hesap kaynağı ormanı topolojisi desteklenir. Daha fazla bilgi için bkz. Skype Kurumsal Server 2015 için ortam gereksinimleri.

Daha büyük bir kuruluşsanız Microsoft 365 PreferredDataLocation özelliğini kullanmayı düşünmelisiniz. Kullanıcının kaynaklarının hangi veri merkezi bölgesinde bulunduğunu tanımlamanızı sağlar.

Hazırlama sunucusu

Topolojide hazırlama sunucusu

Microsoft Entra Connect, hazırlama modunda ikinci bir sunucu yüklemeyi destekler. Bu modda bir sunucu tüm bağlı dizinlerdeki verileri okur ancak bağlı dizinlere hiçbir şey yazmaz. Normal eşitleme döngüsünü kullanır ve bu nedenle kimlik verilerinin güncelleştirilmiş bir kopyasına sahiptir.

Birincil sunucunun başarısız olduğu bir olağanüstü durumda hazırlama sunucusuna yük devredebilirsiniz. Bunu Microsoft Entra Connect sihirbazında yaparsınız. Birincil sunucuyla hiçbir altyapı paylaşılmadığından bu ikinci sunucu farklı bir veri merkezinde bulunabilir. Birincil sunucuda yapılan yapılandırma değişikliklerini ikinci sunucuya el ile kopyalamanız gerekir.

Yeni bir özel yapılandırmayı ve bunun verileriniz üzerindeki etkisini test etmek için bir hazırlama sunucusu kullanabilirsiniz. Değişiklikleri önizleyebilir ve yapılandırmayı ayarlayabilirsiniz. Yeni yapılandırmadan memnun olduğunuzda, hazırlama sunucusunu etkin sunucu yapabilir ve eski etkin sunucuyu hazırlama moduna ayarlayabilirsiniz.

Bu yöntemi etkin eşitleme sunucusunu değiştirmek için de kullanabilirsiniz. Yeni sunucuyu hazırlayın ve hazırlama moduna ayarlayın. İyi durumda olduğundan emin olun, hazırlama modunu devre dışı bırakın (etkin hale getirin) ve o anda etkin olan sunucuyu kapatın.

Farklı veri merkezlerinde birden çok yedekleme yapmak istediğinizde birden fazla hazırlama sunucusuna sahip olmak mümkündür.

Birden çok Microsoft Entra kiracısı

Bir kuruluş için Microsoft Entra Id'de tek bir kiracı olmasını öneririz. Birden çok Microsoft Entra kiracısı kullanmayı planlamadan önce, Microsoft Entra Id'de yönetim birimleri yönetimi makalesine bakın. Tek bir kiracıyı kullanabileceğiniz yaygın senaryoları kapsar.

AD nesnelerini birden çok Microsoft Entra kiracısına eşitleme

Birden çok Microsoft Entra kiracısının topolojisini gösteren diyagram.

Bu topoloji aşağıdaki kullanım örneklerini uygular:

  • Microsoft Entra Connect, kullanıcıları, grupları ve kişileri tek bir Active Directory'den birden çok Microsoft Entra kiracısına eşitleyebilir. Bu kiracılar, 21Vianet ortamı tarafından sağlanan Microsoft Azure veya Azure Kamu ortamı gibi farklı Azure ortamlarında olabilir, ancak her ikisi de Azure Ticari'de bulunan iki kiracı gibi aynı Azure ortamında da olabilirler. Seçenekler hakkında daha fazla bilgi için bkz. Azure Kamu uygulamaları için kimlik planlama.
  • Aynı Kaynak Tutturucu ayrı kiracılardaki tek bir nesne için kullanılabilir (ancak aynı kiracıdaki birden çok nesne için kullanılamaz). (Doğrulanmış etki alanı iki kiracıda aynı olamaz. Aynı nesnenin iki UPN'ye sahip olmasını sağlamak için daha fazla ayrıntı gerekir.)
  • Eşitlemek istediğiniz her Microsoft Entra kiracısı için bir Microsoft Entra Connect sunucusu dağıtmanız gerekir. Bir Microsoft Entra Connect sunucusu birden fazla Microsoft Entra kiracısına eşitlenemez.
  • Farklı kiracılar için farklı eşitleme kapsamlarına ve farklı eşitleme kurallarına sahip olmak desteklenir.
  • Aynı nesne için Active Directory'ye geri yazmak üzere yalnızca bir Microsoft Entra kiracı eşitlemesi yapılandırılabilir. Buna cihaz ve grup geri yazmanın yanı sıra Karma Exchange yapılandırmaları dahildir. Bu özellikler yalnızca bir kiracıda yapılandırılabilir. Buradaki tek özel durum Parola Geri Yazmadır; aşağıya bakın.
  • Aynı kullanıcı nesnesi için Active Directory'den birden çok Microsoft Entra kiracısına Parola Karması Eşitleme yapılandırması desteklenir. Bir kiracı için Parola Karması Eşitleme etkinleştirildiyse, Parola Geri Yazma da etkinleştirilebilir ve bu işlem birden çok kiracıda yapılabilir: parola bir kiracıda değiştirilirse, parola geri yazma özelliği Active Directory'de güncelleştirilir ve Parola Karması Eşitleme diğer kiracılardaki parolayı güncelleştirir.
  • Bu kiracılar farklı Azure ortamlarında olsa bile, birden fazla Microsoft Entra kiracısında aynı özel etki alanı adının eklenmesi ve doğrulanması desteklenmez.
  • Birden fazla kiracıyla, AD'de sorunsuz SSO ve Microsoft Entra karma katılımı (hedefsiz yaklaşım) gibi orman düzeyinde yapılandırma kullanan karma deneyimlerin yapılandırılması desteklenmez. Bunun yapılması, diğer kiracının yapılandırmasının üzerine yazılarak artık kullanılamaz hale gelir. Ek bilgileri Microsoft Entra karma katılım dağıtımınızı planlama bölümünde bulabilirsiniz.
  • Cihaz nesnelerini birden fazla kiracıyla eşitleyebilirsiniz, ancak bir cihaz yalnızca bir kiracıya katılmış Microsoft Entra karması olabilir.
  • Her Microsoft Entra Connect örneği etki alanına katılmış bir makinede çalışıyor olmalıdır.

Not

Genel Adres Listesi Eşitlemesi (GalSync) bu topolojide otomatik olarak yapılmaz ve her kiracının Exchange Online ve Skype Kurumsal Online'da eksiksiz bir Genel Adres Listesi (GAL) olduğundan emin olmak için ek bir özel MIM uygulaması gerektirir.

Geri yazma kullanarak GALSync

GALSync'in Microsoft Entra Id'ye odaklanması ile birden çok orman ve birden çok dizin için desteklenmeyen topoloji GALSync'in şirket içi Active Directory odaklanması ile birden çok orman ve birden çok dizin için desteklenmeyen topoloji

Şirket içi eşitleme sunucusu ile GALSync

Birden çok orman ve birden çok dizin için topolojide GALSync

Kullanıcıları (GALSync aracılığıyla) iki Exchange kuruluşu arasında eşitlemek için şirket içi Microsoft Identity Manager'ı kullanabilirsiniz. Bir kuruluştaki kullanıcılar, diğer kuruluştaki yabancı kullanıcılar/kişiler olarak görünür. Bu farklı şirket içi Active Directory örnekleri daha sonra kendi Microsoft Entra kiracılarıyla eşitlenebilir.

Microsoft Entra Connect arka ucuna erişmek için yetkisiz istemcileri kullanma

Microsoft Entra Connect arka ucuna erişmek için yetkisiz istemcileri kullanma

Microsoft Entra Connect sunucusu, Microsoft Entra Connect arka ucu aracılığıyla Microsoft Entra Id ile iletişim kurar. Bu arka uçla iletişim kurmak için kullanılabilecek tek yazılım Microsoft Entra Connect'tir. Microsoft Entra Connect arka ucuyla başka bir yazılım veya yöntem kullanarak iletişim kurmak desteklenmez.

Sonraki adımlar

Bu senaryolar için Microsoft Entra Connect'in nasıl yükleneceğini öğrenmek için bkz . Microsoft Entra Connect'in özel yüklemesi.

Microsoft Entra Connect Eşitleme yapılandırması hakkında daha fazla bilgi edinin.

Şirket içi kimliklerinizi Microsoft Entra Id ile tümleştirme hakkında daha fazla bilgi edinin.