Aracılığıyla paylaş

Microsoft Entra Kerberos kullanarak Microsoft Entra karma katılım (önizleme)

Active Directory Federasyon Hizmetleri (AD FS) veya Microsoft Entra Connect eşitlemesi gerektirmeden bir cihaz için Microsoft Entra karma katılımı gerçekleştirmek için Microsoft Entra Kerberos'u kullanabilirsiniz. AD FS kurulumu olmadan Microsoft Entra karma birleştirme davranışını anında elde edersiniz.

Kullanım örnekleri

Aşağıdaki kullanım örnekleri önizleme için etkinleştirilir:

  • Yönetilen bir ortamda Microsoft Entra karma katılımı ile kalıcı olmayan Sanal Masaüstü Altyapısı (VDI) dağıtın.
  • Microsoft Entra Cloud Sync kullanan veya kullanmak isteyen müşteriler için Microsoft Entra karma katılımını dağıtın.
  • Azure Sanal Masaüstü ve Windows 365 karma dağıtımı için sağlama deneyimini geliştirin.
  • Microsoft Entra Connect Sync'in kullanılamadığı bağlantısız bir orman kurulumu için Microsoft Entra hibrit katılımını dağıtın.

Önkoşullar

Microsoft Entra Kerberos kullanarak Microsoft Entra karma katılımını gerçekleştirmek için aşağıdaki izinlere ve yapılandırmaya sahip olduğunuzdan emin olun. Lisans gereksinimi yoktur.

  • Rol gereksinimleri: Entra Kerberos Güvenilen Etki Alanı Nesnesi oluşturan ve yapılandıran kullanıcının aşağıdaki rollere ihtiyacı vardır:

    • Şirket içi Active Directory Etki Alanı Hizmetleri'nde Etki Alanı Yöneticileri ve Kurumsal Yöneticiler grubunun bir üyesi
    • Microsoft Entra Id'de Karma Kimlik Yöneticisi

    Daha fazla bilgi için bkz. Microsoft Entra Kerberos Güvenilen Etki Alanı Nesnesi oluşturma ve yapılandırma.

  • Anahtar Dağıtım Merkezi (KDC) proxy sunucusu Grup İlkesi Nesnesi 'ni (GPO) yapılandırın: Bu önkoşul yalnızca istemci bilgisayarınıza bir KDC Proxy Sunucusu GPO'sunu dağıttıysanız gereklidir. GPO'yu yapılandıran kullanıcının Domain Yöneticisi olması veya GPO yapılandırması için yetkilendirilmiş izinleri olması gerekir.

  • Microsoft Entra Cihaz Kayıt Hizmeti Sorumlusunu Yapılandırma: Microsoft Entra cihaz kaydı hizmet sorumlusuna bir Kerberos girdisi ekleyin. Hizmet sorumlusunu yapılandıran kullanıcının Uygulama Yöneticisi rolüne sahip olması gerekir.

  • Windows Server 2025 çalıştıran bir etki alanı denetleyicisinin dağıtımı: Active Directory etki alanında Windows Server 2025 sürüm 26100.6905 veya daha yenisini çalıştıran en az bir etki alanı denetleyicisini yükleyin.

  • İstemci bilgisayarı Entra Kerberos tabanlı birleştirme için yapılandırma: Entra Kerberos kullanarak karma birleştirme olarak kaydetmek istediğiniz istemci bilgisayara, Windows 11 derleme 26100.6584 veya daha yeni bir sürümü dağıtmanız gereklidir.

    Uyarı

    Birleştirme sırasında istemci bilgisayarın, Windows Server 2025 çalıştıran etki alanı denetleyicisiyle kesintisiz ağ bağlantısı olmalıdır.

  • Hizmet Bağlantı Noktasını (SCP) Yapılandırma: Microsoft Entra Connect'i kullanabilir veya PowerShell kullanarak Active Directory Etki Alanı Hizmetleri'ne (AD DS) yazabilirsiniz. Daha fazla bilgi için bkz. Hizmet bağlantı noktası yapılandırma.

Microsoft Entra Kerberos Güvenilen Etki Alanı Nesnesi oluşturma ve yapılandırma

Gelen güven tabanlı akışla Microsoft Entra ID için Windows Kimlik Doğrulamasını ayarlama makalesindeki adımları izleyin.

KDC proxy sunucusu GPO'sunu yapılandırma

İstemci bilgisayarlarınıza KDC proxy sunucusu GPO'sunu dağıtmadıysanız bu bölümü atlayın.

  1. Microsoft Entra kiracı kimliğinizi bulun.
  2. Gelen güven tabanlı akışı kullanarak istemci makinelere aşağıdaki Grup İlkesi ayarını dağıtın:

    1. Kerberos istemcileri için Yönetim Şablonları\System\Kerberos\Specify KDC proxy sunucuları ilke ayarını düzenleyin.

      • İlke Yapılandırılmadı ise, e adımına gidin.
      • İlke Devre Dışı İse Etkin'i seçin.

    2. Seçenekler'in altında Göster... öğesini seçin. Bu, İçeriği Göster iletişim kutusunu açar.

      Kerberos istemcileri için KDC proxy sunucuları belirtmeyi etkinleştiren iletişim kutusunun ekran görüntüsü.

    3. Aşağıdaki eşlemeyi kullanarak KDC proxy sunucuları ayarını tanımlayın. your_Microsoft Entra_tenant_id değerini Microsoft Entra kiracı kimliğiniz ile değiştirin. Değer eşlemesinde, https'den sonra ve kapanış / öncesinde bir boşluk görüntülenir.

      Değer adı Değer
      KERBEROS.MICROSOFTONLINE.COM https login.microsoftonline.com:443:your_Microsoft Entra_tenant_id/kerberos /

      KDC proxy sunucusu ayarlarını tanımla iletişim kutusunun ekran görüntüsü.

    4. İçeriği Göster iletişim kutusunu kapatmak için Tamam'ı seçin.

    5. Kerberos istemcileri için KDC proxy sunucularını belirtin iletişim kutusunda Uygula'yı seçin.

Microsoft Entra Cihaz Kayıt Hizmeti Prensibini Yapılandırma

  1. Microsoft Entra PowerShell'i yükleyin.

  2. Yönetici olarak çalıştır'ı seçerek yükseltilmiş bir PowerShell oturumu açın.

  3. Aşağıdaki PowerShell komutunu çalıştırın ve Uygulama Yöneticisi rolüyle bir Microsoft Entra hesabı kullanarak kimlik doğrulaması yapın.

    Connect-Entra -Environment ‘Global’ -Scopes "Application.ReadWrite.All"

    Uyarı

    US Government ve Microsoft bağımsız bulutları için Azure farklı ortam adları gerektirir. Önceden tanımlanmış ortamların listesini almak için komutunu çalıştırın Get-EntraEnvironment .

  4. Hizmet sorumlusu ayarlarınızı denetlemek için aşağıdaki komutu çalıştırın:

    $drsSP = Get-EntraServicePrincipal -Filter "AppId eq '01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9'"
$drsSP.ServicePrincipalNames

  5. Görüntülenen hizmet sorumlusu adlarını denetleyin. Listede yoksa adrs/enterpriseregistration.windows.net , eklemek için aşağıdaki komutu çalıştırın:

    $spns = [System.Collections.Generic.List[string]]::new($drsSP.ServicePrincipalNames)
$kerbSpn = "adrs/enterpriseregistration.windows.net"
$spns.Add($kerbSpn)
Set-EntraServicePrincipal -ObjectId $drsSp.ObjectId -ServicePrincipalNames $spns
$drsSP.ServicePrincipalNames

    Uyarı

    Görüntülenen hizmet sorumlusu adlarını yeniden denetleyin. adrs/enterpriseregistration.windows.net Hizmet asıl adı listelenmelidir. US Government için Azure ve Microsoft bağımsız bulutlarının farklı hizmet asıl adları vardır.

  6. Hizmet sorumlusunun etiketlerini denetlemek için aşağıdaki komutu çalıştırın:

    $drsSP.Tags

  7. Görüntülenen etiketleri denetleyin. Listede yoksa KerberosPolicy:ExchangeForJwt , eklemek için aşağıdaki komutu çalıştırın.

    $tags = [System.Collections.Generic.List[string]]::new($drsSP.Tags)  
$tags.Add("KerberosPolicy:ExchangeForJwt")
Set-EntraServicePrincipal -ObjectId $drsSP.ObjectId -Tags $tags

Ya da aşağıdaki betiği çalıştırabilirsiniz:

# Use specific environment for your sovereign cloud
# Run Get-EntraEnvironment to retrieve the list of predefined environments

Connect-Entra -Environment 'Global' -Scopes "Application.ReadWrite.All"

# Get the service principal

$drsSP = Get-EntraServicePrincipal -Filter "AppId eq '01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9'"

# Prepare both updates

$needsUpdate = $false
$spns = [System.Collections.Generic.List[string]]::new($drsSP.ServicePrincipalNames)
$tags = [System.Collections.Generic.List[string]]::new($drsSP.Tags)

# Configure Kerberos SPN

$kerbSpn = "adrs/enterpriseregistration.windows.net"
if ($drsSP.ServicePrincipalNames -notcontains $kerbSpn) {
Write-Host "Kerberos SPN needs to be added"
$spns.Add($kerbSpn)
$needsUpdate = $true

}

# Configure Kerberos policy tag

$kerberosTag = "KerberosPolicy:ExchangeForJwt"
if ($drsSP.Tags -notcontains $kerberosTag) {
Write-Host "Kerberos policy tag needs to be added"
$tags.Add($kerberosTag)
$needsUpdate = $true

}

# Single update operation

if ($needsUpdate) {
Write-Host "Updating service principal configuration..."
Set-EntraServicePrincipal -ObjectId $drsSP.Id -ServicePrincipalNames $spns -Tags $tags
Write-Host "Service principal configuration updated successfully"
} else {
Write-Host "Service principal already configured correctly"

}

# Display final configuration

$drsSP = Get-EntraServicePrincipal -Filter "AppId eq '01cb2876-7ebd-4aa4-9cc9-d28bd4d359a9'"
Write-Host "`nFinal Configuration:"
Write-Host "SPNs:"
$drsSP.ServicePrincipalNames | ForEach-Object { Write-Host " $_" }
Write-Host "Tags:"
$drsSP.Tags | ForEach-Object { Write-Host " $_" }

Windows Server 2025 çalıştıran bir etki alanı denetleyicisi dağıtın.

Etki alanı denetleyicisini etki alanınıza dağıtmak için bu yönergeleri izleyin. Etki alanı denetleyicisinin Windows Server 2025 sürüm 26100.6905 veya üzerini çalıştırdığından emin olun.

Uyarı

Microsoft Entra Kerberos kullanarak Microsoft Entra karma katılımını gerçekleştirmek istediğiniz her etki alanına Windows Server 2025 çalıştıran bir etki alanı denetleyicisi yüklemeniz gerekir.

İstemci bilgisayarını Microsoft Entra Kerberos katılma için yapılandırın

  1. Windows 11 derleme 26100.6584 veya üzerini bir istemci bilgisayara dağıtın veya mevcut Windows 11 istemci bilgisayarınızı güncelleştirmek için Windows update'i kullanın.
  2. İstemci bilgisayarı Active Directory etki alanına ekleyin ve yeniden başlatın.  

FAQ

Soru: Entra Kerberos kullanan Microsoft Entra karma birleşimi başarısız olabilir mi?

Yanıt: Birleştirme sırasında Windows Server 2025 çalıştıran etki alanı denetleyicisiyle ağ bağlantısı engellenirse veya diğer önkoşullar eksikse bir hata oluşabilir.

Sorun giderme

Sorunları giderme konusunda yardım için şu makaleleri izleyebilirsiniz:

Kerberos günlüklerini toplamak için şu adımları izleyin:

  1. https://aka.ms/authscripts adresinden kayıt tutma scriptlerini indirin ve sıkıştırılmış dosyayı açın.

  2. Windows Server 2025 çalıştıran birden çok etki alanı denetleyiciniz varsa, biri dışında KDC hizmetlerini devre dışı bırakın. Bir etki alanı denetleyicisinde KDC hizmetini durdurmak için aşağıdaki komutu çalıştırın:

    net stop kdc

  3. KDC hizmeti çalışırken Windows Server 2025 çalıştıran kalan etki alanı denetleyicisinde yönetici ayrıcalıklarıyla bir PowerShell penceresi açın, aşağıdaki betiği çalıştırın:

    start-auth.ps1

  4. İstemci bilgisayarınızda yönetici ayrıcalıklarıyla bir PowerShell penceresi açın, aşağıdaki betiği çalıştırın:

    start-auth.ps1

  5. İstemci bilgisayarınızda yönetici ayrıcalıklarıyla bir cmd penceresi açın, aşağıdaki komutu çalıştırın:

    dsregcmd /join

  6. İstemci bilgisayarınızda, PowerShell penceresinde aşağıdaki betiği çalıştırın:

    stop-auth.ps1

  7. KDC hizmeti çalışan Windows Server 2025 çalıştıran etki alanı denetleyicinizde, PowerShell penceresinde aşağıdaki betiği çalıştırın:

    stop-auth.ps1

  8. Windows Server 2025 çalıştıran ek etki alanı denetleyicilerinizde KDC hizmetlerini yeniden başlatabilirsiniz. Bir etki alanı denetleyicisinde KDC hizmetini başlatmak için aşağıdaki komutu çalıştırın:

    net start kdc

Kerberos hataları

Hata kodu Açıklama Reason Çözünürlük
DSREG_TOKEN_MISSING_ON_PREM_ID(0x801c0095) Jeton yerinde bir kimlik içermiyor. Şirket içi Kerberos yetkilisinden alınan Kerberos anahtarı, Microsoft Entra Id için gerekli bilgileri içermez. Active Directory etki alanı içinde Windows Server 2025 çalıştıran her etki alanı denetleyicisinde aracı EnableKerbHaadj.exe çalıştırın ve yeniden başlatın.
SEC_E_NO_AUTHENTICATING_AUTHORITY(0x80090311) - Kimlik Doğrulayıcı Yetkisi Yok Kimlik doğrulaması için hiçbir yetkiliyle bağlantı kurulamadı. Windows Server 2025 çalıştıran işlevsel bir etki alanı denetleyicisiyle bağlantı kurulamıyor. Active Directory etki alanında Windows Server 2025 çalıştıran en az bir etki alanı denetleyicisi yükleyin. Aracı EnableKerbHaadj.exe çalıştırın ve yeniden başlatın. KDC hizmetinin bu etki alanı denetleyicisinde çalıştığından ve bu etki alanı denetleyicisiyle karma birleştirmeyi gerçekleştirmeye çalışan bilgisayar tarafından iletişim kuruladığından emin olun. Etki alanı denetleyicisinde dcdiag.exe çalıştırın ve kendisini tanıtdığından emin olun.
Kerberos olay günlüğünde SEC_E_TARGET_UNKNOWN (0x80090303) hata kodu: KDC_ERR_S_PRINCIPAL_UNKNOWN (0x7) Belirtilen hedef bilinmiyor veya ulaşılamıyor.
Kerberos olay günlüğünde SEC_E_LOGON_DENIED (0x8009030c) hata kodu: KDC_ERR_NULL_KEY (0x9) Oturum açma girişimi başarısız oldu. Kerberos hatası: No KerberosKeyInformation Keys found. Microsoft Entra cihaz kayıt hizmeti sorumlusu için Kerberos anahtarı bulunamadı. KerberosPolicy:ExchangeForJwt etiketini hizmet sorumlusuna ekleyin.

İlgili içerik

Microsoft Entra hibrit katılan cihazlar

  • Last updated on