Active Directory UPN Suffix Yapılandırması: Kullanıcıları Tek Kimlikle Yönetin

Yıllarca yönettiğim büyük ölçekli bir eğitim kurumunda garip bir tablo vardı: masaüstü bilgisayarlar ya workgroup’daydı ya da .local uzantılı Active Directory’ye bağlıydı; e-postalar Google Workspace panelinden yönetiliyordu; Microsoft 365 lisansları ise her yeni personel için Office 365 portalından elle atanıyordu. Active Directory UPN Suffix yapılandırılmamış olduğundan kullanıcıların User Principal Name (UPN)‘i iç domain uzantısı taşıyordu; kimlik sistemleri birbirinin varlığından habersizdi. Yeni birisi işe girdiğinde BT birimi üç ayrı sistemde üç ayrı işlem yapıyordu: Google’dan mail hesabı, AD’de PC girişi için kullanıcı, Office 365’te lisans ataması. Herhangi biri atlanırsa kullanıcı ilk gün e-postasız, Teams’siz ya da domain dışında başlıyordu.

Sorunun kökü şuydu: internal AD domain .local uzantılıydı ve public mail domain’iyle hiçbir bağı yoktu. Bu iki kimlik sistemi farklı dillerde konuşuyordu; birbirinin varlığından haberi yoktu. Active Directory Domains and Trusts konsolundan public domain suffix eklendikten, Microsoft doğrulaması tamamlandıktan ve Entra ID Connect kurulduktan sonra tablo kökten değişti. AD’de yeni kullanıcı oluşturulduğu an Entra ID senkronize etti, Microsoft 365 lisansı otomatik atandı, Exchange Online posta kutusu açıldı. Daha önce birkaç BT personelinin koordineli yürüttüğü süreç tek bir operatörle, tamamen otomatik hale geldi.

UPN suffix bu dönüşümün kilit taşıdır. ad.sercebilisim.com ortamına sercebilisim.com suffix nasıl eklenir, mevcut kullanıcıların UPN’i nasıl güncellenir ve Entra ID Connect senkronizasyonu için zemin nasıl hazırlanır; bu makalede adım adım anlatılıyor. Yapılandırma, Active Directory rehberinde ele alınan ortamın kurulumu tamamlandıktan sonra, kullanıcı hesapları oluşturulmadan önce yapılması önerilen adımdır; kurulum adımları için Active Directory kurulum rehberine başvurun.

Active Directory’de Alternatif UPN Suffix Ekleme

UPN suffix yönetimi Active Directory Domains and Trusts konsolundan yapılır. Bu konsol forest genelinde geçerli UPN suffix listesini yönetir.

Active Directory Domains and Trusts Konsolunu Açma

Başlat menüsüne Active Directory Domains and Trusts yazılır ve konsol açılır. Alternatif olarak Win + R → domain.msc ile de açılabilir.

Alternatif UPN Suffix Listesine Ekleme

Sol panelde Active Directory Domains and Trusts [DC-adı] yazısına (en üst düğüm, domain adının üstünde) sağ tıklanır ve Properties seçilir.

Properties penceresi açıldığında UPN Suffixes sekmesi görünür. Alternative UPN suffixes alanına sercebilisim.com yazılır ve Add tıklanır.

Active Directory Kullanıcı UPN’ini Güncelleme

Alternatif suffix eklenmesi mevcut kullanıcıları otomatik olarak etkilemez. Her kullanıcının UPN’i ayrıca güncellenmesi gerekir.

ADUC ile Tek Kullanıcı UPN Güncelleme

Active Directory Users and Computers (ADUC) konsolunda kullanıcıya çift tıklanır, Account sekmesi açılır. User logon name alanının yanındaki suffix açılır listesinden @sercebilisim.com seçilir.

PowerShell ile Toplu UPN Güncelleme

Onlarca ya da yüzlerce kullanıcı varsa tek tek ADUC’tan girmek yerine PowerShell ile tüm kullanıcılar toplu olarak güncellenebilir.

Belirli bir OU altındaki tüm kullanıcıları güncellemek:

Get-ADUser -Filter * -SearchBase "OU=Users,DC=ad,DC=sercebilisim,DC=com" |
  ForEach-Object {
    $yeniUPN = $_.SamAccountName + "@sercebilisim.com"
    Set-ADUser $_ -UserPrincipalName $yeniUPN
  }

Tüm domain kullanıcılarını güncellemek:

Get-ADUser -Filter {UserPrincipalName -like "*@ad.sercebilisim.com"} |
  ForEach-Object {
    $yeniUPN = ($_.UserPrincipalName -replace "@ad\.sercebilisim\.com", "@sercebilisim.com")
    Set-ADUser $_ -UserPrincipalName $yeniUPN
  }

UPN Suffix Doğrulama: PowerShell ile Kontrol

Güncelleme sonrasında kullanıcının yeni UPN’i doğrulanır:

Get-ADUser -Identity "adm.ipehlivan" -Properties UserPrincipalName |
  Select-Object Name, UserPrincipalName

Çıktıda UserPrincipalName alanında ilker.pehlivan@sercebilisim.com görünmelidir.

Kullanıcı artık Windows giriş ekranında ilker.pehlivan@sercebilisim.com adresiyle oturum açabilir.

Entra ID Connect ile İlişkisi

Entra ID Connect kurulumunda kullanıcıların on-premises UPN’i buluta aynen senkronize edilir. sercebilisim.com suffix’inin Entra ID’de verified domain olarak tanımlı olması gerekir; aksi halde senkronizasyon sırasında UPN @sercebilisim.onmicrosoft.com formatına dönüştürülür.

UPN suffix uyuşmazlığının en somut etkisi Microsoft 365 lisanslama ve hesap açma sürecinde görülür. Otomatik lisans atama kuralları, Exchange Online posta kutusu oluşturma ve Teams kimliği doğrulama; kullanıcının UPN’i üzerinden çalışır. UPN yanlış suffix taşıdığında yanlış adrese atanan lisanslar, açılmayan posta kutuları ve birbirinden kopuk giriş deneyimleri ortaya çıkar. Doğru yapılandırıldığında ise süreç tersten işler: AD’de yeni kullanıcı oluşturulduğu anda Entra ID senkronize eder, Microsoft 365 lisansı otomatik atanır ve kullanıcı ilk günden tek kimlikle her servise erişir.

Verified domain kontrolü için Microsoft 365 Admin Center → Settings → Domains bölümü incelenir. Domain henüz eklenmemişse DNS doğrulamasıyla eklenir; ardından Entra ID Connect senkronizasyonu çalıştırıldığında kullanıcılar doğru UPN ile buluta taşınır.

UPN Suffix Yapılandırmasından Sonraki Adımlar

UPN suffix yapılandırıldı ve kullanıcılar tek kimlikle hem Windows’a hem maile giriş yapabiliyor. Sıradaki adım bu kimliği buluta taşımak: Microsoft Entra ID Connect kurulum rehberi senkronizasyonu, Seamless SSO etkinleştirmeyi ve Microsoft 365 doğrulamasını kapsamaktadır. AD ortamının tamamını anlamak için Active Directory rehberine, kurulum adımları için Active Directory kurulum rehberine başvurun.

Yazan

İlker Pehlivan

Kurucu | Ağ ve Sistem Yöneticisi

İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.