Merhaba, bir önceki yazımızda 2 node lu bir Exchange Server yapısında DAG (Database Availibility Group) konfigurasyonunu yapmıştık. Bu yazımızda 2 node üzerindeki Virtual Directories leri düzenleyecek ve sunucularımıza geçerli bir sertifika atayacağız.
Peki nedir bu virtual directory ler ? Virtual Directory ler Exchange sistemini kullanmak isteyenlere ya da erişmek isteyenlere sunulan servislerdir diyebiliriz. Exchange bu servisler sayesinde bütünleşik yapısını küçük parçalara bölerek sistematik bir yapı oluşturur. Mesela maillerine browser ile ulaşmak isteyenlere Exchange /owa virtual directory ile cevap verirken , outlook ile maillere ulaşmak isteyenlere /mapi virtual directory ile cevap verir. Mail adres defteri için /OAB virtual directory sini kullanırken mobile aygıtların erişiminde /Microsoft-Server-ActiveSync directory sini kullanır. Kullanıcıların maillerine erişimini kolaylaştırmak ve bazı ayarları otomatik hale getirmek içinse /Autodiscover directory sini kullanır.
Exchange kurulumundan sonra her sunucunun virtual directory lerinde sunucunun kendi Fqdn adresi tanımlıdır. Bu yapılar dış dünyaya açık yapılar olduğu için sunucunun fqdn adreslerini kullanmak yerine daha anlaşılır isimler tercih ederiz. Ben bu yazımda fqdn olarak “mail.mg.com” kullanacağım ve virtual directory lerime bu ismi vereceğim. Virtual directory lerimize bir göz atalım. Bunları düzenlerken kullanacağımız İç ve Dış Url Adreslerini de tabloya ekledim.
Not : Outlook Anywhere erişimi sırasında kullanıcılar bir url ile değil domain adı ile bağlantı sağlarlar.
Şimdi bu düzenlemeleri yapmaya başlayalım. Bu düzenlemeleri Exchange Control Panel üzerinden ya da Exchange Management Shell ile yapabiliriz. Ben Control Panel üzerinden yapacağım. Sadece /Autodiscover directory sini shell ile düzenleyeceğiz.
İlk olarak “mail.mg.com” için DNS imiz üzerinde bir primary zone (mg.com) oluşturuyoruz. Dikkat ederseniz domain ismimiz “mg.local”. Bu sebeple oluşturduğumuz mg.com primary zone için “Dynamic Updates” kısmını “None” seçebiliriz.
“mg.com” primary zone üzerinde 2 tane Exchange server için A kayıtlarını oluşturuyoruz.
Kullanıcılar “mail.mg.com” ile erişim sağlamak istediklerinde artık nereye gideceklerini biliyorlar. Şimdi virtual directory düzenlemelerine geçelim.İlk ekranımız aşağıdaki gibi.
Yukarıdaki ekranda her 2 Exchange server sunucu makinemizde bulunan Virtual Directory leri görebilirsiniz. Şimdi tek tek her servisin düzenlemesini yapalım.
Her servis için Internal URL ve External URL adreslerini aşağıdaki ekrandakiler gibi yapıyorum.
/ecp ile başlayalım : EXC01 ve EXC02 için
/EWS : EXC01 ve EXC02 için
/mapi : EXC01 ve EXC02 için
/Microsoft-Server-ActiveSync : EXC01 ve EXC02 için
/OAB : EXC01 ve EXC02 için
/owa : EXC01 ve EXC02 için
/Powershell : EXC01 ve EXC02 için
Outlook Anywhere : EXC01 ve EXC02 için
Not : Outlook Anywhere ayarı için “Servers” bölümünde sunucuyu seçip ayarlarına gelmelisiniz.
Autodiscover için biraz detay vermekte fayda var. Autosdiscover sayesinde kullanıcılar outlook gibi yapılarda maillerini kolayca tanımlayabilmektedirler , ad ve soyadlarını girmeleri yeterli, geri kalan kısmını Autodiscover hallediyor. Peki nasıl yapıyor bunu? Burada yapacağımız düzenleme sayesinde. Önce düzenlemeyi yapalım, sonrasında bir detay daha vereceğim.
/Autodiscover : EXC01 ve EXC02 için
Bu işlem için Exchange Management Shell kullanmak zorundayız . ECP üzerinden düzenlemesi yok.
Get-ClientAccessService | Set-ClientAccessService –AutoDiscoverServiceInternalUri https://autodiscover.mg.com/Autodiscover/Autodiscover.xml
Doğrulama için aşağıdaki komutu girebilirsiniz.
Get-ClientAccessService | format-list name, auto*Farkettiyseniz burada “mail.mg.com” değil “autodiscover.mg.com” kullandım. Burada , peki autodiscover için bir kayıt oluşturmama gerek var mı diye bir soru aklınıza gelebilir. Internal DNS te bununla ilgili bir kayıt açmanıza gerek yok , Active Directory entegre kullanıcılar bu bilgiyi Active Directory üzerinde tanımlı SCP (Service Connection Point) üzerinden alır. SCP kaydı da yukarıda girdiğimiz komut sonrası oluşur.
Not : Kullanıcılar dışarıdan (internet) bağlantı sağlamak isterlerse External DNS üzerinde bir autodiscover SRV kaydına ihtiyaç duyarlar.
Merak edenler için, autodiscover SCP kaydı adsiedit üzerinden aşağıdaki path ile görülebilir.
Virtual Directory ile ilgili düzelemeleri bitirdik. Şimdi Certificate kısmına geçelim.
Exchange sunucular kurulduktan sonra default olarak sertifikalar “Self Signed” olarak gelir. Yani bu sertifika güvenilir bir sertifika otoritesi tarafından imzalanmış değil demektir. Zaten giriş yapmak istediğimizde aşağıdaki gibi uyarı alırız.
Not : Yukarıdaki işlemi “exc01.mg.local” domain fqdn ismi ile denedik zira “mail.mg.com” ismi ile de denesek aynı uyarıyı alacaktık.
Yapacağımız işlemleri adımlayalım
1- EXC01 sunucusu üzerinden bir sertifika isteğinde bulunmak
2- Active Directory entegre kurduğum CA (Certificate Authority) ile bu isteği imzalamak
3- EXC01 üzerinde imzalan dosyayı “complete” etmek
4- EXC01 üzerinde sertifikayı servislere “assign” etmek
5- EXC01 üzerindeki bu sertifikayı “export” etmek
6- EXC02 üzerinde export ettiğimiz sertifikayı “import” etmek ve servislere assign etmek.
EXc01 sunucusu üzerinde sertifika isteği ile başlayalım.
Next ile devam ediyoruz.
Sertifikamıza bir isim verip devam ediyoruz.
Sertifikanızın wildcard (*) olmasını isterseniz yukarıdaki ekrandan bunu yapabilirsiniz. Ben herhangi bir ayar yapmadan devam ediyorum.
Sertifikayı hangi sunucu üzerinden istediğimiz bilgisini giriyoruz.
Yukarıdaki ekranda daha önce düzenlemelerini yaptığımız Virtual Directory ler var. Bu düzenlemeleri zaten yaptığımız için burada herhangi bir değişiklik yapmadan devam ediyorum.
Yukarıdaki ekranda sertifikamız için domain ayarlarını yapıyoruz. Biz tüm servislere bağlanırken “mail.mg.com” u kullanacağımız için bu domain adının burada olması çok önemli. Birde “AutoDiscover.mg.com” u kullanacağız. Bunun dışındakileri kaldırabiliriz.
Sertifika için gerekli bazı bilgileri girerek devam ediyoruz.
Sertifika dosyamız için bizden bir UNC path istiyor. EXC01 sunucusunun C diskine “Cert” isimli bir dizin oluşturup paylaşıma açıyorum ve bu dizinin yolunu gösteriyorum. İstek dosyamızın ismini “sslcert.req” yapıyorum.
Finish diyerek bitirdiğimizde “Certificates” alanında oluşturduğumuz isteği görebiliriz. Status kısmında “Pending Request” yazısına dikkat edelim.
Şimdi ikinci adım olan imzalama kısmına geçelim. Önce oluşturduğumuz dosyayı notepad ile açıp içeriğini aşağıdaki gibi kopyalıyoruz.
Şimdi sertifika sunucumuza gidelim . Sertifika sunucumuzun ip si 10.10.10.8 dir.
http: //10.10.10.8/certsrv ile sunucuya web üzerinden ulaşıyoruz.
Not : Bu işlemi yapabilmek için “Certificate Authority Web Enrollment” rolünün CA sunucusunda yüklü olması gerekir.
Kullanıcı adı ve şifremizi girdikten sonra aşağıdaki ekran ile karşılaşıyoruz.
“Request a certificate” tıklayarak devam ediyoruz.
“advanced certificate request” ile devam ediyoruz.
“Saved Request” kısmına sslcert.req dosyasından kopyaladığımız kısmı yapıştırıyoruz. “Certificate Template” kısmında “Web Server” seçimine dikkat edelim. Son olarak “Submit” diyerek devam ediyoruz.
Sertifikamızı “Download certificate” diyerek indiriyoruz. İndirdiğimiz “certnew.cer” dosyasını oluşturduğumuz oluşturduğumuz “C:\Cert” isimli paylaşımın içine atıyoruz.
Şimdi bir sonraki adım olan “complete” işlemine geçelim.
Yukarıdaki ekranda henüz işlemi tamamlanmayan (Pending Request) sertifikamızı seçiyoruz ve sağ tarafta yer alan “Complete” kısmına tıklıyoruz.
CA sunucusundan imzalayıp indirdiğimiz “certnew.cer” isimli sertifikamızı gösteriyoruz.
Artık yukarıdaki ekranda gördüğünüz gibi sertifika durumumuz “Valid” duruma geçti.
Şimdi sonraki adımımız olan “assign” işlemine geçelim. Yukarıdaki ekranda sertifikamızı seçip çift tıkladığımızda ya da kalem ikonuna tıkladığımızda aşağıdaki ekran ile karşılaşırız.
“Services” kısmından yukarıdaki gibi tüm servisleri seçip save diyoruz.
Gelen uyarı ekranına Yes diyerek servisleri “assign” etmiş oluyoruz.
Bu durumda EXC01 sunucusu üzerindeki sertifika işlemlerimizi tamamladık. Artık bu sunucuya gelen “mail.mg.com/directories” isteklerinde uyarı almayacağız. Fakat bizim yapımızda bir de EXC02 sunucusu var. “mail.mg.com” kaydı DNS sunucuda 2 IP ye karşılık geliyordu hatırlarsanız. Client “mail.mg.com” isteği yaptığında DNS bu isteği (Round Robin) EXC02 sunucusuna da gönderebilir. Bu sebeple EXC02 sunucusuna da bu sertifikayı tanımlamamız gerekiyor.
EXC02 için aynı adımları yapmamıza gerek yok. Bunun için sonraki adımlarımız olan “Export” ve “Import” işlemlerini gerçekleştireceğiz.
Önce EXC01 sunucusu üzerinden sertrifikamızı “Export” edelim.
Yukarıdaki gibi sertifikamızı seçerek Export işlemini başlatıyoruz.
Setifikayı export edeceğimiz yolu(cert paylaşım dosyası) seçiyoruz ve bir şifre tanımlıyoruz. Export dosyamızın uzantısının .pfx olduğuna dikkat edelim.
Export işlemini tamamladık. Şimdi EXC02 sunucumuzu seçerek “Import” işlemini yapalım.
Yukarıdaki ekranı takip ederek “Import Exchange Certificate” diyoruz.
Export ettiğimiz .pfx uzantılı dosyamızın yolunu gösteriyoruz ve export ederken tanımladığımız şifreyi giriyoruz.
Import işleminin gerçekleştirdiğimiz EXC02 sunucusunu seçip bitiriyoruz.
EXC02 ye de sertifikamızı tanımlamış olduk fakat daha servisleri atamadık. EXC02 sunucusundaki sertifikamızı seçiyoruz ve kalem ikonuna tıklayarak aşağıdaki ekrana ulaşıyoruz.
Servisleri seçip “save” diyoruz.
Gelen uyarı ekranına “Yes” diyerek “assign” işlemini EXC02 için de tamamlamış oluyoruz.
Sunucular üzerinde sertifika işlemlerini bitirdik. Şimdi browser üzerinden testlerimizi gerçekleştirelim.
/owa servisine gittiğimizde artık uyarı almadığımızı görebiliyoruz.
“Sertifikayı Görüntüle” diyerek aşağıdaki gibi daha detaylı olarak sertifikamızı görüntüleyebiliriz.
Evet bu yazımızın da sonuna geldik. Umarım ihtiyacı olanlar için faydalı olur. Sonraki yazımızda görüşmek dileğiyle.
MUSTAFA GÖKÇELİK 
Leave a comment