ADConnect Pass-through Authentication High Available Yapısı Nasıl Kurulur?

ADFS serverlarının kurulum , yönetim zorluğu , güvenlik ve yüksek erişilebilirlik için gereken donanım gereksinimlerinden ötürü Office 365 kullanan bir çok yapıda ADConnect ile gelen Pass-through özelliğinin kullanımı ile beraber bir dönüşüm başladı.Temel anlamda çok fazla complex ADFS özelliklerine ihtiyaç olmayacak ve kullanıcıların Office 365 , Azure AD SaaS gibi servislerinden publish edilen applicationlara erişirken şifre authentication işlemlerinin on-premise Active Directory yapısından olması ve kullanıcıyı deneyimini arttırmak adına SSO isteniyorsa Pass-Through bu konuda çok başarılı çalışmaktadır. Yaptığım projelerde öncelikle güvenlik adına ADConnect password synchronization yerine Pass-through özelliğini tercih edip aktif etmekteyim. Entegrasyonlarda adconnect ile gelen “password hash synchronization” opsiyonu olsada şirket dışarısına password datasının çıkmasını istenmediği , güvenlikle ilgili kaygıların olduğu durumlarda pass-through ihtiyacımız olan çözümü sunmaktadır.

 

 

ADConnect pass-through çalışma mimarisi veya kurulum gereksinimlerini bir başka makalemde anlattığım için bu makalede anlatmıyor olacağım. Temel anlamda aşağıdaki gibi özelliği aktif edebilirsiniz. Peki Pass-through authentication özelliği ile nasıl ADFS’teki gibi farm yapısı kuracağız , kullanıcılarımıza nasıl yüksek erişebilirlik sağlayacağız ?

 

 

ADConnect ilk kurulumu tamamlandığında eğer pass-through özelliğini aktif ettiyseniz içinde pass-through agent varsayılan olarak gelmekte ve ortamda authentication işlemini sağlayacak ilk node (agent) olmaktadır. Yüksek erişilebilirlik için pass-through agentı farklı sunuculara kurarak elde edeceğiz.Azure Active Directory portalına eriştikten sonra ADConnect bölümü altında status’e göz atabilirsiniz.

Bu uyarıda Best Practices olarak agent’ın 3 farklı makineye kurulmasını önermektedir.

İpucu ! : Pass through agent maximum 12 taneye kadar support edilmektedir.

 

 

İçerisine göz attığımızda aktif olduğunu gözlemlemekteyiz , burada active statüsünden farklı bir durum varsa lütfen agent’ın kurulu olduğu sunucunun firewall tarafındaki internet erişimlerini kontrol ediniz. Bununla ilgili Microsof’un hazırlamış olduğu pass-through ve sso için gerekli olan portların check yapıldığı site bulunmaktadır. Troubleshooting ilk olarak kontrol etmeniz gereken agent’ın kurulu olduğu sunucu üzerinde aşağıdaki link’e erişip erişemediğiniz ve portların erişebilir olduğudur.

https://aadap-portcheck.connectorporttest.msappproxy.net/

 

 

Pass-through yüksek erişilebilirliği için ikinci hazırlamış olduğumuz sunucuya yukarıdaki ekrandaki download bölümünden pass-through agent install işlemini gerçekleştiriyoruz. Burada benim uyguladığım ve önerdiğim eğer müşteri birden fazla lokasyona sahipse ikinci veya üçüncü kurmak istediğiniz pass-through authentication agent’ını kesinlikle farklı bir lokasyondaki sunucuya install ediniz.

Pass-through agent sadece outbound olarak network trafiğinden çıkış yaparken aşağıdaki portlara ve URL’lere ihtiyaç duymaktadır.

·         80 portu – Sertifikasyonun doğrulama işleminde kullanılır. Firewall üzerinde 80 portundan dışarı tüm trafik açık değilse sadece bu URL’lere açmanız yeterlidir.

mscrl.microsoft.com:80 , crl.microsoft.com:80 , ocsp.msocsp.com:80 , www.microsoft.com:80

·         443 portu – Servis ile ilgili tüm iletişim trafiğini yönetir. Firewall üzerinde 443 portundan dışarı tüm trafik açık değilse sadece bu URL’lere açmanız yeterlidir.

 

*.msappproxy.net , *.servicebus.windows.net. , login.windows.net , login.microsoftonline.com

 

·         8080 (opsiyonel) portu – Authentication agent her 10 dakika da bir status raporunu Azure portalına 8080 portu üzerinden gönderir(Eğer 443 portundan ulaşılamıyorsa).8080 portu kullanıcının oturum açma işlemlerinde kullanılmamaktadır.

Minumum Windows Server 2012 R2 OS sahip sunucu üzerinde agent indirilir ve agent çalıştırılarak kurulum gerçekleştirilir. Kurulum esnasında Azure AD Global administrator kimlik bilgilerinin girilmesi gerekmektedir.

 

 

 

Azure portal’dan kontrolü yaptığımızda ikinci kurduğumuz agent’ında aktif olduğunu görmekteyiz.

 

 

Kurulum sırasında  0x80070643 kodlu bir hata alıyorsanız muhakkak yukarıda paylaşmış olduğum port , Url ve erişim testlerini gerçekleştiriniz. Port’ların erişilemiyor olması durumunda kurulum fail olacak ve  0x80070643 hatasını alıyor olacaksınız.

ADConnect Pass-Through Authentication server erişilemez duruma düşerse ne olur ?

Eğer makalede anlatıldığı gibi high available yapısı kurduysanız sunuculardan birine birşey olduğunda kullanıcı tarafında herhangi bir kesinti yaşamıyor olacaksanız fakat authentication için sadece ADConnect üzerinde varsayılan olarak gelen pass-through agentına sahipseniz ve sunucu’da yaşanacak bir kesinti’de Office 365 Portal ve SaaS uygulamalarını kullanan kullanıcılarda sign-in problemi yaşıyor olacaksınız.

Burada önemli bir detay pass-through ile beraber sso özelliğini kullanıyorsanız eğer network dışından portala erişmek istediğiniz , outlook profili kurmak istediğinizde , pass-through agent erişilemez durumdaysa aşağıdaki gibi hata ile karşılaşıyor ve oturum açamıyor olacaksınız.

İpucu ! : Pass-through agentının yüklü olduğu sunucu’da kesinti meydana gelmeden önce oturum açmış olan kullanıcılar’da bir sonraki oturum açma gereksinimine kadar herhangi bir kesinti yaşamıyor olacaksınız.

 

 

ADConnect Pass-Through Authentication sign-in problemlerinin troubleshooting edilmesi

Troubleshooting için kontrol edilmesi gereken log yolları aşağıdaki gibidir.

Authentication agent event log’ları için : Event Viewer altındaki Application and Service Logs \Microsoft\AzureAdConnect\AuthenticationAgent\Admin yoluna göz atabilirsiniz.

Agent’ların statüsleri için :  Azure Active Directory altındaki AD Connect bölümünü kontrol ediniz.

Kurulum ile ilişkili ADConnect log’ları için : %ProgramData%\AADConnect\trace-*.log

Kullanıcıların oturum açma problemleri için : %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\.

Örneklemek gerekirse bir kullanıcı ile Office 365 sayfasına az önce login olmayı denedim ve aldım , peki ne yapacağım sorun neden kaynaklanıyor olabilir ?

Yukarıda bahsettiğim gibi sing-in log’ları için pass-through agent’ının kurulu olduğu sunucuda %ProgramData%\Microsoft\Azure AD Connect Authentication Agent\Trace\. path’i altındaki tarih sıralamasındaki en üstteki log’u açınız.

 

 

Örnek’te görüldüğü üzere kullanıcının Active Directory hesabı kapalı olduğu için Office 365 Portalına sign-in olamadığı tespit edilmiştir.

ADConnect Pass-Through Authentication nasıl uninstall edilir ?

Pass-through agent’ını teknik sebeplerden ötürü tenant üzerinde uninstall etme ihtiyacınız olması veya yeni sunucuya kurup mevcut olan sunuculardan uninstall etme gibi bir planınız varsa best practices olarak öncelikle agent’ın kurulu olduğu sunucu üzerinde program ekle kaldır bölümünden aşağıdaki 3 bileşenin kaldırılması gerekmektedir.Agent uninstall edildikten sonra Azure üzerinde status’un “Inactive” durumuna düştüğünü göreceksiniz ve tenant üzerinden portal kısmından bir kaç gün sonra siliniyor olacak.

 

 

 

 

Umarım faydalı olmuştur , keyifli okumalar.

Exit mobile version