Önceki

Sonraki

Karma kimlik

Tamamlandı

Tailwind Traders, 2000’lerin başında Windows NT 4.0’dan geçirildiğinden bu yana şirket içi ağ ortamında şirket içi kimlik sağlayıcısı olarak Active Directory Domain Services’ı (AD DS) kullanmıştır. Birçok mevcut Tailwind Traders uygulaması, Active Directory’ye bağımlıdır. Bu uygulamaların bazıları, kimlik sağlayıcısı olarak Active Directory’ye basit bir bağımlılığa sahiptir. Bazılarının, karmaşık Grup İlkesi gereksinimleri, özel etki alanı bölümleri ve özel şema uzantıları gibi daha derin bağımlılıkları vardır.

Tailwind Traders, Azure’da bazı kaynakları taşımaya ve yeni uygulamalar geliştirmeye başladıkça şirket, şirket içi ve bulut kaynakları için ayrı oturum açma bilgileri gerektirecek paralel bir kimlik çözümü oluşturmaktan kaçınmak istemektedir.

Bu ünitede, hibrit kimlik uygulamanın farklı yolları hakkında bilgi edineceksiniz.

Azure’a etki alanı denetleyicilerini dağıtma

Azure’da, bir kuruluşun şirket içinde sahip olduğu aynı AD DS ortamını sağlamanın en basit yolu şudur:

1. Azure sanal ağındaki bir alt ağ üzerinde bir çift AD DS etki alanı denetleyicisini dağıtmak.

2. Bu sanal ağı şirket içi ağa bağlamak.

3. Bu alt ağı, aşağıdaki görüntüde gösterildiği gibi yeni bir AD DS olarak yapılandırmak.

   

Diğer bir seçenek de, bulut tarafından barındırılan AD DS etki alanının, şirket içi etki alanı ormanının alt etki alanı olarak yapılandırılmasıdır. Bir diğer seçenek de, bulutta çalışan AD DS etki alanı denetleyicilerinin, şirket içi ortamla güven ilişkisi olan ayrı bir orman olarak yapılandırılmasıdır. Aşağıdaki görüntüde, bu kaynak ormanı topolojisi gösterilmektedir.

Kuruluşlar, Azure’daki sanal makinelerde etki alanı denetleyicilerini dağıttığında, etki alanı denetleyicisi sanal makinelerini dağıttıkları aynı Azure Sanal Ağ alt ağında yer alan bir etki alanı denetleyicisine yönelik görüş hattı gerektiren iş yüklerini dağıtabilir. Azure veri merkezleri, uzak Active Directory sitesi olarak değerlendirildiğinden bu, çoğu kuruluş için hibrit bulutun kavramsal olarak basit bir modelidir.

Tailwind Traders için, şirket içi Active Directory etki alanı veya ortamının Azure’a genişletilmesi, uygulama gereksinimlerine bağlı olarak yeterli olabilir. Bu seçeneği dağıtmanın sakıncası, sanal makinelerin her zaman çalışması ve bu nedenle etki alanı denetleyicilerinin bununla ilişkili olarak sürekli bir giderinin olmasıdır.

Microsoft Entra Bağlan nedir?

Microsoft Entra Bağlan (eski adıYla Azure AD Bağlan), kuruluşların şirket içi Active Directory örneğinde bulunan kimlikleri Microsoft Entra Id (eski adıYla Azure AD) ile eşitlemesine olanak tanır. Böylece, bulut kaynakları ve şirket içi kaynaklar için aynı kimliği kullanabilirsiniz. Microsoft Entra Bağlan, kuruluşların bulutta çalışan Microsoft SharePoint ve Exchange gibi uygulamalara şirket içi uygulamalar aracılığıyla erişilmesine izin vermek için Microsoft 365'i benimsediği durumlarda kullanılır.

Tailwind Traders, Exchange Online veya Microsoft Teams gibi Microsoft 365 teknolojilerini benimsemeyi planlıyorsa, şirket içi AD DS ortamındaki kimlikleri Azure'a çoğaltmak için Microsoft Entra Bağlan yapılandırması gerekir. Şirket, Azure'daki uygulamalarla şirket içi kimlikleri de kullanmak istiyor ancak VM'lerde AD DS etki alanı denetleyicileri dağıtmak istemiyorsa, Microsoft Entra Bağlan'ı da dağıtması gerekir.

Microsoft Entra Domain Services nedir?

Microsoft Entra Etki Alanı Hizmetleri'ni kullanarak bir Microsoft Entra etki alanını bir Azure sanal alt asına yansıtabilirsiniz. Bunu yaptığınızda, etki alanına katılım, Grup İlkesi, Basit Dizin Erişim Protokolü (LDAP) ve Kerberos gibi hizmetler ile NTLM kimlik doğrulaması, alt ağ üzerinde dağıtılan tüm sanal makinelerin kullanımına sunulur.

Microsoft Entra Domain Services, etki alanı denetleyicisi olarak çalışan VM'leri yönetme, bakım ve ödeme konusunda endişelenmeden vm'lerin kullanabileceği temel bir yönetilen Active Directory ortamına sahip olmanıza olanak tanır. Microsoft Entra Domain Services, özel olarak yapılandırılmış bir Azure Sanal Ağ alt ağı üzerinde çalışan VM'lerle etkileşime geçmek için Microsoft Entra Bağlan aracılığıyla şirket içi kimlikleri kullanmanıza da olanak tanır.

Microsoft Entra Domain Services'ın bir dezavantajı, Grup İlkesi uygulamasının temel olmasıdır. Sabit bir dizi Grup İlkesi içerir ve Grup İlkesi Nesnesi (GPO) oluşturma olanağı sunmaz. Şirket içinde kullanılan kimlikler, Azure’da kullanılabilir olsa da, şirket içi olarak yapılandırılan bazı ilkeler kullanılamaz.

Tailwind Traders için Microsoft Entra Domain Services, hibrit iş yükleri için iyi bir orta alan sağlar. Etki alanına katılmış kimliklerin kullanımına ve önemli miktarda Grup İlkesi yapılandırmasına olanak sağlar. Ancak özel etki alanı bölümleri ve şema uzantıları gibi karmaşık Active Directory işlevleri gerektiren uygulamaları desteklemez.

Bilgilerinizi kontrol edin

1.

Tailwind Traders’ın Auckland veri merkezinden geçirmeyi planladığı sanal makineler arasında birkaç konak uygulamanın, özel şema uzantısını içeren AD DS’ye ve özel AD DS bölümü kullanımına yönelik bağımlılıkları vardır. Şirket, uygulamaları barındıran sanal makinelerin, Azure hizmet olarak altyapı (IaaS) sanal makineleri şeklinde çalışmak üzere geçirilmesi durumunda bu uygulamaları desteklemek için aşağıdaki hibrit kimlik çözümlerinden hangisini kullanabilir?

Şirket içi AD DS kimliklerini Azure'a çoğaltmak için Microsoft Entra Bağlan yapılandırın. Azure sanal ağında bir alt ağ oluşturma. Auckland veri merkezinden bu alt ağa sanal makineleri geçirme. Geçirilen VM'leri Microsoft Entra Domain Services etki alanına ekleyin.

Azure sanal ağında bir alt ağ oluşturma. Bu sanal ağ ile şirket içi ağ arasında VPN bağlantısı yapılandırma. Bu alt ağda Windows Server 2022 çalıştıran VM'lerde iki AD DS etki alanı denetleyicisi dağıtın. Azure alt ağı için ayrı bir AD DS sitesi yapılandırma. Auckland veri merkezinden bu alt ağa sanal makineleri geçirme.

Şirket içi AD DS kimliklerini Azure'a çoğaltmak için Microsoft Entra Bağlan yapılandırın. Azure sanal ağında bir alt ağ oluşturma. Microsoft Entra Domain Services'ı yapılandırın ve yeni oluşturulan bu alt ağ için kullanılabilir olacak şekilde yapılandırın. Auckland veri merkezinden bu alt ağa sanal makineleri geçirme. Geçirilen VM'leri Microsoft Entra Domain Services etki alanına ekleyin.

2.

Tailwind Traders'ın yan kuruluşu, Windows Server 2022 IaaS VM'lerini Azure sanal ağındaki bir alt ağa dağıtıyor. Bu sanal ağ ayrı bir aboneliğe ve Microsoft Entra kiracısına bağlıdır. Bu bilgisayarların güvenlik ve kimlik nedeniyle etki alanına katılımının yapılması gerekir; ancak karmaşık grup ilkesi yapılandırması gerekmez. Bu sanal makineler, herhangi bir şirket içi Tailwind Traders AD DS örneğinden kimliklerin eşitlenmesini gerektirmez. Bu hedefi gerçekleştirmek için dağıttığınız sanal makine sayısını en aza indirmek istiyorsunuz. Bunun için uygun çözüm aşağıdakilerden hangisidir?

Her VM'ye Microsoft Entra Bağlan dağıtın ve Microsoft Entra kiracısıyla eşitleyin.

Microsoft Entra Domain Services'ı dağıtın ve sanal makineleri barındıran alt ağ için yapılandırın. VM'leri Microsoft Entra Domain Services etki alanına ekleyin.

Alt ağda yeni bir sanal makinede AD DS’yi dağıtma. Sanal makineleri AD DS etki alanına ekleme.

Çalışmanızı denetlemeden önce tüm soruları yanıtlamalısınız.

Devam et