Bir kuruluşta tüm posta kutularını tek seferde buluta taşımak nadiren mümkündür; çoğu zaman bir kısım kullanıcının On-Premises Exchange ortamında kalması, bir kısmının Exchange Online'a geçmesi ve bu iki dünyanın aylarca ya da yıllarca birlikte çalışması gerekir. Hybrid Deployment tam da bu noktada devreye girer: Endpoint Exchange (On-Premises Exchange) ile Exchange Online arasında geçici veya uzun süreli bir birlikte çalışma modeli kurar, iki tarafın birbirini tutarlı şekilde "görmesini" sağlar, Mailbox Migration süreçlerini esnek hale getirir ve geçişi kontrollü biçimde yürütmenin önünü açar. Kullanıcıların bir bölümü buluta taşınırken diğer bölümünün Endpoint'te kalabilmesi, Free/Busy bilgisinin sorunsuz görünmesi ve e-posta akışının iki platform arasında doğru yönlendirilmesi, bu yapının gündelik hayatta sunduğu pratik avantajlardır.
Bu yaklaşımı anlamaya çalıştığımızda aslında tek bir geçiş senaryosundan değil, iki farklı ortamın uyumlu şekilde çalışmasını mümkün kılan bir çerçeveden bahsedildiği fark edilir. Hybrid yapı sayesinde Migration adımlarını bir gecede tamamlamak yerine kademeli ilerleme şansı doğar; kullanıcı deneyimi bu süreç boyunca bozulmadan devam eder. Outlook bağlantıları, Autodiscover davranışı ve yönlendirme kararlarının arka planda nasıl şekillendiği, bu modelin sağladığı esnekliğin daha net görülmesini sağlar.
Zamanla oluşan ihtiyaçlar doğrultusunda Hybrid Deployment, iki farklı topolojiyle uygulanabilir hale geldi. İlki olan Classic Hybrid Topology, Exchange servislerinin Internet üzerinden doğrudan ulaşılabildiği geleneksel yaklaşımı temsil eder. İkincisi ise Modern Hybrid Topology olup, bağlantıların daha sade bir yapı üzerinden yönetildiği ve belirli operasyonların Hybrid Agent aracılığıyla yürütüldüğü modern bir modeli ifade eder. Her iki topoloji de aynı hibrit hedefe ulaşır; gerçek fark, iletişimin hangi yöntemle sağlandığı ve ortamın hangi gereksinimleri ön plana aldığıdır.
Bu makalede Classic Hybrid Topology'nin yani Classic Full yapının ve Modern Hybrid Topology'nin yani Modern Full yaklaşımın nasıl biçimlendiğini, birbirlerinden hangi yönlerde ayrıldığını ve hangi senaryolarda daha doğru bir tercih sunduğunu ayrıntılı bir çerçevede inceleyeceğim. Bu inceleme sonunda Hybrid Deployment modelinin hangi prensiplerle işlediğini, topoloji tercihinin geçiş sürecine nasıl yansıdığını ve hangi kurum profilinin hangi modele daha uygun olduğunu net biçimde görmek mümkün olacak.
Not: Hybrid Configuration Wizard (HCW) bugün Classic Topology altında Minimal, Express ve Full; Modern Topology altında ise Minimal ve Full seçeneklerini sunar. Bu makalede ele alınan iki uç model olan Classic Full ve Modern Full, hibrit kurulumların pratikte en sık karşılaşılan iki tercihtir.
1- Classic Hybrid Topology (Classic Full)
Classic Hybrid Topology, Exchange Online ile kurum içindeki Exchange sunucusunun hibrit yapı içinde nasıl iletişim kurduğunu en açık biçimde ortaya koyan yaklaşımdır. Bu modelde tüm servislerin internete açılması gerekmez; EWS, Autodiscover ve MRSProxy gibi belirli Endpoint'lerin dışarıdan güvenli biçimde erişilebilir olması hibrit akışın çalışması için yeterli olur.
Bulut tarafı her işlemde kurum içine bağlanmaz; ancak Free/Busy bilgisinin okunması, Autodiscover yönlendirmelerinin ilerlemesi ve Mailbox Migration işlemlerinin başlaması gibi durumlarda On-Premises Exchange'i doğrudan görebilmesi gerekir. Bu erişim, yayınlanan uç noktalar üzerinden net bir trafik akışıyla sağlanır ve iki ortam arasındaki iletişimin nasıl ilerlediğini anlamayı kolaylaştırır.
Hybrid Configuration Wizard (HCW) çalıştırıldığında hem bulut hem de kurum içi tarafta gereken ayarlar uygulanır. Buna rağmen hibrit iletişimin nasıl davranacağı, servis çağrılarının hangi rota üzerinden ilerleyeceği ve migration sürecinin nasıl şekilleneceği esas olarak On-Premises Exchange tarafından belirlenir. Bu düzen, trafiğin izlenmesini ve yapı üzerinde kontrol sağlamayı daha doğal hale getirir.
Genel çerçevede Classic Hybrid Topology, bulut ile kurum içi Exchange arasında açık, anlaşılır ve doğrudan bir iletişim çizgisi oluşturur. İki tarafın birbirini gerektiği anda sorunsuz görebilmesi, hibrit yapının çalışmasını daha tutarlı bir noktaya taşır ve kullanıcı tarafında beklenen davranışların doğal akışında ilerlemesine yardımcı olur.
Temel İletişim Mantığı
✔ Exchange Online, bulutta barınan Mailbox'lar için çoğu işlemde doğrudan Endpoint'e bağlanmaz. Ancak Free/Busy paylaşımı, Mailbox Migration işlemleri ve Autodiscover yönlendirmeleri gibi hibrit senaryolarda Exchange Online'ın ilgili servis çağrılarını kurum içi bir Endpoint'e (Exchange Server) yönlendirebilmesi gerekir.
✔ Bu noktada Classic modelin avantajı ortaya çıkar: Free/Busy görünürlüğü, Mailbox Migration ve Autodiscover yönlendirmesi gibi servis etkileşimleri için gereken uç noktalar net ve güvenli biçimde yayınlandığında, bu işlemler kesintisiz ve kararlı şekilde çalışır.
✔ Classic modelin sağladığı bu doğrudan görünürlük, ileride bahsedilecek Hybrid Modern Authentication (HMA), Cross-Premises Message Tracking, Multi-Mailbox Search ve Teams Calendar gibi özelliklerin tam olarak desteklenebilmesinin de temel sebebidir.
Yapılandırma ve Yönetim Dinamikleri
Classic Hybrid Topology'de kontrol ve yönetim ağırlıklı olarak On-Premises Exchange (Endpoint) sunucuları üzerinden yürütülür. Hybrid Configuration Wizard (HCW) çalıştırıldığında hem Exchange Online hem de Endpoint tarafında yapılandırma ayarları güncellenir, ancak aşağıdaki kritik bileşenlerin davranışı büyük ölçüde Endpoint ortamı tarafından belirlenir:
» SSL sertifika yönetimi (güvenilir bir CA tarafından imzalanmış, EWS ve Autodiscover değerlerini SAN alanında içeren bir sertifika zorunludur).
» Servislerin dış dünyaya yayınlanması (Reverse Proxy / Load Balancer / Firewall publishing).
» HTTPS trafik yönlendirmesi ve erişim akışı.
» Mail Flow için Receive/Send Connector yapılandırması.
» Mailbox Migration sürecindeki MRSProxy davranışı.
Bu sayede yapı, hem daha öngörülebilir hem de gerektiğinde müdahale edilmeye daha elverişlidir.
Sertifika Gereksinimi: Microsoft, hibrit yapıdaki Exchange sunucularında IIS üzerinde güvenilir bir CA tarafından imzalanmış, EWS external URL ve Autodiscover Endpoint değerlerinin SAN alanında yer aldığı bir sertifikanın bulunmasını zorunlu kılar. Hibrit transport için kullanılan tüm sertifikalar aynı CA tarafından verilmiş ve aynı subject değerine sahip olmalıdır.
Mailbox Migration ve MRSProxy
Hibrit taşıma senaryolarında Exchange Online, posta kutularını taşıyabilmek için On-Premises Exchange sunucusundaki MRSProxy servisine HTTPS üzerinden erişim sağlar. Bu nedenle MRSProxy'nin dış dünyadan ulaşılabilir olacak şekilde güvenli biçimde yayınlanması gerekir.
Classic Hybrid Topology, MRSProxy servisini dış dünyaya güvenli şekilde açmak için gereken tüm yapılandırma adımlarını destekler. Böylece Exchange Online, bu servise Internet üzerinden doğrudan ve kesintisiz bağlanarak posta kutusu taşıma işlemlerini başlatabilir. Bu model, MRSProxy'nin:
» TCP/443 portu üzerinden yayınlanmasını,
» DNS ve NAT çözümlemelerinin doğru çalışmasını,
» SSL sertifikasının geçerli olmasını,
» Firewall/Reverse Proxy üzerinden kesintisiz ulaşılabilir olmasını,
doğrudan destekler. Migration trafiğinin uçtan uca izlenebilir olması, sorun anında devreye girmeyi de kolaylaştırır.
Teams Calendar Entegrasyonu
Classic Hybrid Topology'nin tercih edilme nedenlerinden biri, Microsoft Teams ile Exchange takvim verisinin entegrasyonunu sorunsuz şekilde desteklemesidir. Teams, on-premises mailbox sahibi kullanıcıların takvim bilgilerine erişmek için Exchange Web Services (EWS) ve REST tabanlı çağrılar üzerinden Endpoint Exchange'e ulaşmak ister.
Bu erişimin kesintisiz çalışabilmesi için iki temel koşulun sağlanması gerekir:
» Hybrid Modern Authentication (HMA) yapılandırmasının doğru ve eksiksiz uygulanmış olması.
» EWS ve Autodiscover servislerinin Internet üzerinden güvenli biçimde erişilebilir durumda olması.
Classic model, bu iki gereksinimi de doğrudan karşılayan mimariyi sunduğu için Teams entegrasyonu açısından en uyumlu hibrit yapı olarak öne çıkar. Microsoft, on-premises mailbox'lara erişim gerektiren Teams takvim senaryoları için resmi olarak Classic Full Hybrid topolojisini önerir; Modern Hybrid bu senaryo için desteklenen bir yapı değildir.
Kimin İçin İdeal?
Classic Hybrid Topology, hibrit yapıyı uzun vadeli kullanmayı planlayan ve yönetimi ağırlıklı olarak kendi On-Premises Exchange ortamı üzerinden yürütmek isteyen kurumlar için ideal bir çözümdür. Özellikle Hybrid Modern Authentication, Teams Calendar, Cross-Premises Message Tracking, Multi-Mailbox Search ve Public Folder coexistence gibi özellikler kullanılacaksa Classic Full topolojisi, Microsoft tarafından açıkça önerilen yapıdır.
2- Modern Hybrid Topology (Modern Full)
Modern Hybrid Topology, Exchange Online ile kurum içindeki Exchange Server arasındaki hibrit iletişimin doğrudan Internet'e açılan servisler yerine Hybrid Agent üzerinden kurulmasını hedefleyen bir yaklaşımdır. Bu modelde bulut tarafının EWS, Autodiscover veya MRSProxy gibi Endpoint'lere doğrudan ulaşması beklenmez; hibrit trafiğin önemli bir bölümü tek yönlü bir Outbound bağlantıyla kurum dışına taşınır.
Hybrid Agent bu akışın merkezinde yer alır ve Microsoft Entra Application Proxy (eski adıyla Azure AD Application Proxy) altyapısı üzerine inşa edilmiştir. Agent, outbound HTTPS bağlantıları üzerinden Exchange Online'dan gelen isteği alır, ardından bu isteği kurum içindeki Exchange Server'a iletir. Böylece Free/Busy ve Mailbox Migration gibi senaryolar için servis yayınlama, SSL yapılandırması, DNS yönetimi veya Internet'e açık bir Endpoint hazırlama gereksinimi büyük ölçüde ortadan kalkar.
Bu yapının sunduğu sadelik, hibrit iletişime ihtiyaç duyan ancak servislerini internete açmak istemeyen kurumlar için pratik bir çözüm haline gelir. Tünel kurulduğu anda Exchange Online ile kurum içi Exchange Server arasındaki iletişim, kullanıcının fark etmeyeceği kadar düzenli bir akışla ilerler ve Free/Busy görünürlüğü ya da Mailbox Migration talepleri Agent üzerinden yönlendirilir.
Bu noktada bağlantı düzeninin nasıl işlediği kurum içinde doğrudan görülemez; çünkü Hybrid Agent, hibrit trafiğin büyük bölümünü soyutlayan bir yapı sunar. Bulutun hangi servise hangi sırayla eriştiği, Classic modele göre daha az görünür olur; ancak kurulum süreci daha hızlıdır ve yönetimsel yük daha düşüktür. Bu sadelik, beraberinde belirli sınırlamaları da getirir — ki bu sınırlamaları doğru anlamak, Modern Hybrid'in doğru senaryoda kullanılabilmesi için kritik önem taşır.
Nasıl Çalışır?
✔ Exchange Online; on-premises mailbox'lara yönelik Free/Busy sorgularını ve Mailbox Migration isteklerini doğrudan kurum içi servis uç noktalarına göndermez.
✔ Bu servis çağrıları önce Hybrid Agent'a ulaşır; Agent isteği kurum içi Exchange'e iletir ve cevabı tekrar buluta taşır.
✔ Hybrid Agent, Microsoft Entra Application Proxy altyapısını kullanır ve *.msappproxy.net ile *.servicebus.windows.net Endpoint'lerine outbound HTTPS bağlantıları kurar.
✔ Free/Busy yönü simetrik değildir: cloud → on-prem yönündeki istekler Agent üzerinden ilerlerken, on-prem → cloud yönündeki Free/Busy çağrıları için on-premises Exchange sunucularının Microsoft 365 / Office 365 Endpoint'lerine doğrudan outbound HTTPS erişimi olması gerekir. Bu yön Hybrid Agent'tan geçmez.
Önemli: Microsoft Learn'e göre tüm Exchange Mailbox sunucuları (Exchange 2013 Mailbox sunucuları dahil) HTTPS (TCP/443) üzerinden Microsoft 365 / Office 365 Endpoint'lerine ulaşabilmek zorundadır. Yani "Modern Hybrid'i seçersem on-premises Exchange'in dış dünyaya hiç çıkmasına gerek kalmaz" varsayımı yanlıştır. Outbound HTTPS, hem Free/Busy on-prem → cloud yönü hem de sertifika revocation, OAuth metadata ve diğer kontrol düzlemi çağrıları için gereklidir.
Hybrid Agent — Server Gereksinimleri
Hybrid Agent, mevcut bir Exchange Server üzerine kurulabileceği gibi ayrı bir Agent server üzerine de kurulabilir. Microsoft, üretim ortamlarında Agent'ı Exchange Server üzerine kurmak yerine ayrı bir domain-joined Windows Server üzerinde çalıştırılmasını önerir. Bu, hem Exchange sunucusunun yükünü hafifletir hem de Hybrid Agent sunucusunun ayrı bir güvenlik sınırı olarak yönetilmesine olanak verir.
Asgari Teknik Gereksinimler
|
Bileşen |
Asgari Gereksinim |
|
İşletim Sistemi |
Windows Server 2012 R2, 2016, 2019 veya 2022. |
|
.NET Framework |
4.7.2 veya üzeri.
» Exchange sürümünün gerektirdiği daha yüksek .NET sürümü varsa onu kullanın.
» Güncel Exchange CU'ları (örn. Exchange 2019 CU14+) .NET 4.8 veya üzerini gerektirir. |
|
TLS |
TLS 1.2 etkin.
» Hem işletim sistemi hem .NET stack tarafında etkinleştirilmelidir.
» TLS 1.0 / 1.1 ile Hybrid Agent çalışmaz. |
|
Domain Üyeliği |
Domain-joined Windows Server zorunludur.
» Active Directory'ye üye olmalıdır; workgroup desteklenmez.
» Kerberos kimlik doğrulaması için Domain Controller'lara erişim gerekir. |
|
Kurulum Hesabı |
Üç ayrı yetki seti gerekir.
» On-Premises AD hesabı: Exchange tarafında Organization Management rol grubunda olmalıdır.
» Kurulum yapılacak sunucuda: yerel Administrators grubunda olmalıdır.
» Microsoft 365 / Office 365 tarafında: Global Administrator (veya eşdeğer rol) gerekir. |
|
Internet Erişimi |
Outbound HTTPS erişimi.
» Portlar: TCP/443 (HTTPS) ve TCP/80 (Certificate Revocation Check).
» Erişilecek Endpoint'ler: *.msappproxy.net, *.servicebus.windows.net ve Microsoft 365 servis Endpoint'leri.
» Outbound proxy ortamında Agent kurulumundan sonra ConfigureOutBoundProxy.ps1 ile proxy yapılandırılmalıdır. |
|
CAS Erişimi |
Agent ayrı bir sunucudaysa CAS'a erişim gerekir.
» TCP/80 ve TCP/443: HTTPS bağlantısı.
» TCP/5985 ve TCP/5986: Remote PowerShell (WinRM HTTP / HTTPS).
» Agent doğrudan CAS veya Mailbox rolündeki Exchange sunucusuna kuruluyorsa bu port erişimleri gerekmez. |
|
Tarayıcı |
ClickOnce destekli tarayıcı.
» Microsoft Edge önerilir.
» HCW'nin Agent MSI paketini otomatik indirip kurabilmesi için gereklidir.
» Yalnızca ilk kurulum aşamasında gerekli; çalışma zamanında ihtiyaç yoktur. |
Exchange Server tarafında ise hibrit kurulumun genel gereksinimleri geçerlidir: Exchange 2013 veya üzeri, en güncel CU/SU/HU ve uygun rol kurulumu (Exchange 2016+ için Mailbox rolü, Exchange 2013 için Client Access rolü) zorunludur.
Dış Yayınlama Gereksinimleri
Free/Busy ve Mailbox Migration için Endpoint Exchange Server'lardaki EWS, Autodiscover ve MRSProxy gibi servislerin Internet üzerinden erişilebilir olmasına gerek yoktur. Bu yönüyle Modern Hybrid, perimeter publishing yükünü hafifletir.
Ancak Mail Flow (SMTP) için durum farklıdır: Hybrid Agent SMTP'yi taşımadığı için bu trafik için public sertifika, DNS ve TCP/25 inbound erişimi yine gerekir. Bu, Modern Hybrid'in pratikte en sık atlanan gerçeklerinden biridir.
Bu sayede yalnızca Free/Busy ve Migration tarafında:
» DMZ tarafında ek yapılandırma gerekmez.
» Firewall'da bu işlevler için inbound port açılmaz.
» SSL sertifikası, DNS, NAT gibi harici yayın süreçleriyle uğraşılmaz.
Buna karşın mail flow için yine geleneksel hibrit transport gereksinimleri uygulanır.
Hybrid Agent'ın Kapsam Dışında Bıraktığı İşlevler
Modern Hybrid'in en sık atlanan teknik gerçeği, Hybrid Agent'ın tüm hibrit trafiği taşımıyor olmasıdır. Agent yalnızca belirli uygulama seviyesindeki hibrit işlemleri yönlendirir; bunun dışında kalan kritik birçok özellik için Classic Hybrid'in sunduğu doğrudan bağlantı modeli geçerli olmaya devam eder. Microsoft Learn'in resmi açıklamasına göre aşağıdaki işlevler Hybrid Agent üzerinden geçmez ve Modern Hybrid topolojisi tercih edilirken bu sınırlamaların kurum ihtiyaçlarıyla örtüşüp örtüşmediği mutlaka değerlendirilmelidir.
1. SMTP Mail Flow
Hybrid Agent SMTP trafiğini taşımaz. Mail flow için yine genel bir CA tarafından imzalanmış public sertifika ve On-Premises Exchange'e (veya bir Edge Transport sunucusuna) yönelik TCP/25 inbound bağlantı yapılandırması gerekir. Bu nedenle "Modern Hybrid kullanırsam Internet'e hiçbir şey açmam gerekmez" varsayımı, mail flow tarafında geçerli değildir.
2. Hybrid Modern Authentication (HMA)
HMA, Hybrid Agent ile desteklenmez. Outlook istemcilerinin HMA üzerinden çalışabilmesi için EWS, Autodiscover, ActiveSync, MAPI ve OAB Endpoint'lerinin Internet üzerinden yayınlanması ve dolayısıyla Classic Hybrid topolojisinin kullanılması gerekir. HMA, MFA ve modern kimlik doğrulama akışlarının on-premises tarafa taşınması için kritik olduğundan, bu ihtiyaca sahip kurumlar Modern Hybrid'i bir seçenek olarak değerlendirmemelidir.
3. Cross-Premises Message Tracking ve Multi-Mailbox Search
Cross-Premises Message Tracking ve Multi-Mailbox Search işlemleri Hybrid Agent üzerinden çalışmaz. Bu özellikler EWS ve Autodiscover'ın doğrudan dış dünyaya açık olduğu Classic connectivity modeline bağlıdır. Compliance, eDiscovery ve denetim ihtiyacı yoğun olan ortamlarda bu sınırlama kritik bir kısıt oluşturur.
4. Teams Calendar (On-Premises Mailbox)
Mailbox'ı on-premises olan kullanıcılar için Teams takvim entegrasyonu, Hybrid Agent'ın EWS'yi dışarı yayınlamaması ve HMA desteğinin bulunmaması nedeniyle stabil çalışmaz. Microsoft bu senaryo için resmi olarak Classic Full Hybrid topolojisini önerir. Mailbox'ları Exchange Online'da olan kullanıcılarda ise Teams takvim entegrasyonu zaten doğrudan Exchange Online üzerinden çalıştığı için bu sınırlama söz konusu değildir.
5. Multiple Migration Endpoint ve Multi-Organization Senaryoları
Hybrid Agent yalnızca tek bir migration endpoint ve tek bir Exchange organizasyonu ile çalışır. Özel URL'lerle tanımlanmış birden fazla migration endpoint veya çoklu Exchange organizasyonu içeren hibrit senaryolar desteklenmez. Bu kısıt, birden fazla bağlı şirketi tek bir Tenant altında yöneten yapılar için doğrudan etkileyici olabilir.
6. Sovereign Cloud Ortamları
Modern Hybrid; GCC, GCC High ve Gallatin (China) gibi Microsoft sovereign cloud ortamlarında desteklenmez. Bu ortamlarda hibrit yapılandırma yalnızca Classic topoloji ile yapılabilir. Kamu, savunma veya bölgesel uyumluluk gereksinimi olan kurumların Modern Hybrid'i bir seçenek olarak değerlendirme imkanı bulunmaz.
Windows Extended Protection Uyarısı: Hybrid Agent ile yayınlanan Exchange sunucularında Front-End EWS Virtual Directory üzerinde Windows Extended Protection (EP) etkinleştirilmemelidir. Etkinleştirildiğinde Migration ve Free/Busy işlemleri kırılır. Microsoft'un sağladığı ExchangeExtendedProtectionManagement.ps1 script'i, -ExcludeVirtualDirectories "EWSFrontEnd" parametresiyle çalıştırılarak bu virtual directory'nin kapsam dışında bırakılması gerekir.
Hybrid Agent Bağımlılığı
Modern Hybrid Topology, Free/Busy ve Mailbox Migration akışını Hybrid Agent üzerinden yönlendiren bir modeldir. Agent, Endpoint Exchange ile Microsoft 365 arasında bir ara katman görevi görür ve bazı hibrit işlemlerin bulut tarafından Endpoint'e doğrudan ulaşmak yerine bu güvenli kanal üzerinden taşınmasını sağlar. Bu yapı bazı kolaylıklar getirirken aynı zamanda belirli sınırlamalar ve bir bağımlılık ilişkisi oluşturur.
1. Bağlantıların ve yapılandırmanın Agent tarafından yönetilmesi
Hybrid Agent, Endpoint Exchange ile Microsoft 365 arasındaki Free/Busy ve Migration işlemleri için gereken iletişimi Outbound HTTPS (TCP/443) bağlantıları üzerinden kurar. Kullanılan portlar veya bağlantı yönlendirmeleri kullanıcı tarafından belirlenmez. Bu işlemler çalışırken bağlantının nasıl kurulacağı tamamen Agent'ın kendi mekanizmaları ile Microsoft Entra Application Proxy altyapısı tarafından yönetilir.
2. Elle müdahale veya ince ayar yapılamaması
Modern Hybrid Topology'de hibrit trafik, Agent tarafından soyutlandığı için yönlendirmenin nasıl yapılacağına dair esnek bir yapı sunulmaz. Hybrid Agent yalnızca Migration ve Free/Busy gibi uygulama seviyesindeki hibrit işlemleri taşır; Mail Flow (Transport), port özelleştirme veya özel yönlendirme davranışları bu modelin kapsamı dışındadır. Bu nedenle Agent'ın sunduğu çalışma modeli dışında manuel bir ince ayar yapılması mümkün değildir.
3. Yüksek Erişilebilirlik (HA) ve Agent'a bağımlılık
İlk preview döneminde Hybrid Agent için yalnızca tek bir kurulum desteklenirdi; bu da Agent sunucusunun çökmesi durumunda Free/Busy ve Migration işlemlerinin durması anlamına geliyordu. Bugün bu durum değişmiştir: HCW içindeki "Install an additional agent" seçeneği veya MSI'ın manuel olarak indirilip kurulması ile birden fazla Hybrid Agent çalıştırılabilir. Bu, kurum için temel bir yüksek erişilebilirlik (HA) seçeneği sunar.
Daha esnek bir HA tasarımı için Update-HybridApplication cmdlet'i kullanılarak Agent'ın targetUri değeri tek bir Exchange sunucusu yerine bir load balancer Endpoint'ine yönlendirilebilir. Buna rağmen Agent'ın bulut tarafındaki bileşenleri kullanıcı tarafından yönetilemediği için derin sorunlarda çözüm çoğu zaman Microsoft Support müdahalesi gerektirir. Dolayısıyla Modern Hybrid'de Free/Busy ve Migration sürekliliği büyük ölçüde Agent altyapısının kesintisiz çalışmasına bağlıdır.
HCW Dedicated Exchange Hybrid App: Microsoft, HCW'ye eklediği "Deploy dedicated Exchange hybrid app" özelliği ile Free/Busy, MailTips ve profil fotoğrafı paylaşımı gibi servisleri Microsoft Entra ID'de oluşturulan ayrı bir uygulama üzerinden yönetir. Bu özellik tenant-wide admin consent gerektirir; consent kaldırıldığında bu hibrit özellikleri çalışmayı durdurur. HCW'nin günümüzdeki varsayılan davranışı bu uygulamayı yapılandırmaktır.
Nerede Tercih Edilir?
Modern Hybrid Topology genellikle aşağıdaki profillere uygundur:
✔ Küçük ve orta ölçekli yapılar.
✔ Güvenlik nedeniyle dış erişimin kısıtlandığı kurumlar.
✔ Kısa süreli veya geçici hibrit geçiş senaryoları (mailbox'ları buluta taşıyıp ardından on-premises Exchange'i decommission etmeyi planlayan organizasyonlar).
Kurulum hızlıdır ve Free/Busy ile Mailbox Migration için dış dünyaya servis açma ihtiyacı ortadan kalktığı için yapı sade kalır. Ancak yukarıda belirtilen sınırlamaların ihtiyaç duyulan özellikleri kapsayıp kapsamadığı kurulum öncesi mutlaka değerlendirilmelidir.
Classic Full ve Modern Full Arasındaki Farklar
Classic Hybrid Topology ile Modern Hybrid Topology arasındaki farkları anlamak için önce Exchange Online'ın Endpoint Exchange ile nasıl iletişim kurduğuna bakmak gerekir. Classic modelde Exchange Online, ihtiyaç duyduğu servislerin Internet'e açık adreslerine doğrudan bağlanır ve hibrit işlemler bu yayınlanan Endpoint'ler üzerinden gerçekleşir. Modern modelde ise bu doğrudan bağlantı yerine Hybrid Agent devreye girer; Endpoint Exchange'e ulaşması gereken Free/Busy ve Mailbox Migration istekleri önce Agent'a gelir ve Agent, bu istekleri iç Network ortamındaki Exchange'e kendi üzerinden iletir. Yani Classic model doğrudan iletişim kurarken, Modern model bu işlevler için güvenli bir tünel oluşturur — ancak Mail Flow, HMA ve Teams Calendar gibi alanlarda bu tünel devreye girmez.
Bu iki yaklaşım arasındaki farklar sadece iletişim yönteminde değil, servis yayınlama gereksinimlerinde, Migration davranışında, takvim erişiminde, kimlik doğrulama desteğinde, güvenlik modelinde ve kullanım senaryolarında da belirgin şekilde kendini gösterir. Özellikle Teams Calendar, Hybrid Modern Authentication, Mail Flow, Message Tracking ve Mailbox Migration gibi işlevlerin nasıl çalıştığı iki topoloji arasında önemli ayrımlar oluşturur.
Her iki modelin iletişim akışındaki mantığı ve pratikte nasıl davrandığını en net şekilde görebilmek için aşağıdaki karşılaştırma tablosu yol gösterici olacaktır.
1. İletişim ve Servis Yayınlama
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
On-Premises'e Bağlantı Mantığı |
Doğrudan bağlantı modeli.
» Exchange Online; EWS, Autodiscover ve MRSProxy Endpoint'lerine Internet üzerinden doğrudan bağlanır.
» İki ortam arasında doğrudan HTTPS trafiği oluşur. |
Hybrid Agent üzerinden tünelleme.
» Cloud → On-Prem yönündeki Free/Busy ve Migration istekleri önce Agent'a gelir; Agent isteği iç ağa iletir.
» Altyapı Microsoft Entra Application Proxy üzerine inşa edilmiştir.
» On-Prem → Cloud yönü Agent'tan geçmez; on-premises Exchange'in Microsoft 365 Endpoint'lerine outbound HTTPS erişimi gerekir. |
|
Servis Yayınlama Gereksinimi |
Tam dış yayın gerekir.
» Yayınlanacak servisler: EWS, Autodiscover, MRSProxy ve mail flow.
» Zorunlu altyapı: public sertifika, DNS, NAT, Firewall publishing. |
Kısmi yayın yeterli.
» Free/Busy ve Migration için EWS / MRSProxy yayını gerekmez.
» SMTP mail flow için: public sertifika ve TCP/25 inbound hâlâ zorunludur (Agent SMTP'yi taşımaz).
» Legacy ActiveSync veya ileride HMA planı varsa Autodiscover external DNS ve public sertifika gerekli olabilir. |
|
Mail Flow (SMTP) |
Standart hibrit transport.
» HCW, Receive ve Send Connector'ları yapılandırır.
» Mail flow doğrudan iki ortam arasında veya Edge Transport üzerinden TLS ile akar.
» Centralized Mail Transport opsiyoneldir. |
⚠️ SMTP, Agent'tan geçmez.
» HCW Connector'ları yapılandırır, ancak Agent SMTP trafiğini taşımaz.
» Public sertifika, DNS ve TCP/25 inbound gereksinimleri Classic ile aynıdır.
» Modern Hybrid'in en sık atlanan sınırlamasıdır. |
2. Veri Akışları (Migration ve Free/Busy)
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
Mailbox Migration Akışı |
Doğrudan MRSProxy bağlantısı.
» Taşıma trafiği bulut → On-Premises arasında doğrudan akar.
» Birden fazla migration endpoint ve özel URL desteklenir. |
Agent üzerinden tünellenen taşıma.
» HCW, benzersiz bir URL oluşturur: .resource.mailboxmigration.his.msappproxy.net
» Migration Endpoint ve TargetSharingEPR bu URL'ye yönlendirilir.
» ⚠️ Tek Migration Endpoint ve tek Exchange organizasyonu destekler; çoklu endpoint veya özel URL desteklenmez. |
|
Free/Busy ve Takvim İşlemleri |
Doğrudan EWS erişimi.
» Exchange Online, On-Premises EWS'ye doğrudan bağlanır.
» Free/Busy ve takvim verileri stabil okunur. |
Asimetrik akış.
» Cloud → On-Prem: çağrılar Agent üzerinden ilerler.
» On-Prem → Cloud: on-premises Exchange'in Microsoft 365 Endpoint'lerine doğrudan outbound HTTPS (TCP/443) gerekir — bu yön Agent'tan geçmez. |
3. Kimlik Doğrulama ve İstemci Entegrasyonu
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
Hybrid Modern Authentication (HMA) |
Tam destek.
» EWS, Autodiscover, ActiveSync, MAPI ve OAB Endpoint'leri yayınlandığında HMA tüm Outlook ve Office istemcileri için çalışır.
» HCW, OAuth altyapısını ve Federation Trust'ı yapılandırır.
» HMA'nın tam etkinleştirilmesi için ek adımlar gereklidir. |
⚠️ Desteklenmez.
» Agent, EWS / Autodiscover / MAPI / OAB Endpoint'lerini Internet'e açmaz.
» İstemcilerin OAuth tabanlı modern kimlik doğrulama akışı tamamlanamaz.
» HMA ihtiyacı varsa Classic topolojiye geçilmelidir. |
|
Teams Calendar Uyumluluğu |
Tam uyumlu.
» Teams, On-Premises EWS'ye erişebilir ve HMA çalışır.
» Microsoft, on-premises mailbox'lı kullanıcılar için Classic Full topolojisini önerir. |
⚠️ On-prem mailbox'larda stabil değil.
» Agent EWS'yi dışarı açmadığı ve HMA desteklenmediği için entegrasyon stabil çalışmaz.
» Microsoft Learn, bu senaryo için açıkça Classic Full topolojisini önerir.
» Cloud mailbox'lı kullanıcılar bu kısıtlamadan etkilenmez. |
4. Cross-Premises Özellikler
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
Cross-Premises MailTips |
Desteklenir.
» HCW tarafından yapılandırılır ve cross-premises çalışır. |
Desteklenir.
» HCW Options resmi tablosuna göre Modern Full'da çalışır.
» Message Tracking / Multi-Mailbox Search'ten farklı olarak kullanılabilir. |
|
Message Tracking & Multi-Mailbox Search |
Cross-premises desteklenir. |
⚠️ Cross-premises kullanılamaz.
» Bu trafik türü Hybrid Agent üzerinden geçmez.
» İhtiyaç varsa Classic Full topolojisi gereklidir. |
|
OWA / ECP Yayını |
Yayınlanabilir.
» Reverse Proxy veya doğrudan publishing ile On-Premises'ten Internet'e yayınlanabilir. |
⚠️ Yayınlanamaz.
» Microsoft Entra Application Proxy üzerinden OWA / ECP yayını desteklenmez.
» Modern Hybrid'in belgelenmiş bir kısıtlamasıdır. |
5. Platform ve Altyapı Kısıtları
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
Sovereign Cloud Desteği |
Tüm bulut ortamları.
» Public Cloud, GCC, GCC High ve Gallatin (China) ortamlarında desteklenir. |
⚠️ Yalnızca Public Cloud.
» GCC, GCC High ve Gallatin ortamlarında desteklenmez. |
|
Yüksek Erişilebilirlik (HA) |
Geniş HA seçenekleri.
» Birden fazla CAS / Mailbox sunucusu.
» Load Balancer ve Reverse Proxy katmanları. |
Sınırlı HA, Agent'a bağımlı.
» Birden fazla Hybrid Agent kurulabilir (HCW veya manuel MSI ile).
» HCW kayıt sırasında seçilen CAS'ın internal FQDN'ini Hybrid Proxy altyapısına yazar; o sunucu offline olursa Cloud → On-Prem yönündeki Free/Busy ve Migration kırılır.
» Daha esnek HA için Update-HybridApplication cmdlet'i ile Agent, tek sunucu yerine bir load balancer Endpoint'ine yönlendirilebilir.
» Classic'in çok katmanlı mimarisine göre daha sade ve Agent altyapısına bağımlıdır. |
|
Windows Extended Protection (EP) Uyumluluğu |
Uyumlu.
» Front-End EWS Virtual Directory üzerinde EP ile birlikte yapılandırılabilir. |
⚠️ EWSFrontEnd üzerinde EP etkinleştirilemez.
» Script çağrısı: .\ExchangeExtendedProtectionManagement.ps1 -ExcludeVirtualDirectories "EWSFrontEnd" |
6. Güvenlik ve Yönetim
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
Güvenlik Yaklaşımı |
Geniş saldırı yüzeyi, tam kontrol.
» EWS, Autodiscover, MRSProxy ve SMTP Internet'e açıktır.
» Güvenlik tasarımı tamamen kurumun sorumluluğundadır; kontrol kurumun elindedir. |
Daha küçük saldırı yüzeyi, yeni güven sınırı.
» Free/Busy ve Migration için Internet'e açık servis olmadığından bu yüzeyler küçülür.
» Agent yalnızca outbound HTTPS bağlantısı kurar (Microsoft Entra Application Proxy mantığı).
» SMTP tarafı: Classic ile aynı yüzey geçerlidir.
» Hybrid Agent sunucusu Tenant ile güven ilişkisi taşır; sıkılaştırılmalı ve Tier 0 varlığı olarak yönetilmelidir. |
|
Yönetim ve Esneklik |
Geniş özelleştirme.
» Hibrit davranışların büyük kısmı On-Premises Exchange üzerinde yönetilir.
» İnce ayar ve müdahale alanı geniştir. |
Sade kurulum, sınırlı özelleştirme.
» Agent yönetimi HybridManagement.psm1 PowerShell modülü ile yapılır.
» Kullanılan cmdlet'ler: Get-HybridAgent, Update-HybridApplication, Get-HybridApplication, Remove-HybridApplication. |
7. Kullanım Senaryosu Uygunluğu
|
Kapsam |
Classic Hybrid Topology |
Modern Hybrid Topology |
|
Hangi Ortamlara Uygun? |
Uygun profiller:
» Uzun vadeli hibrit çalışacak kurumlar.
» Teams Calendar (on-prem mailbox) ve HMA gereken organizasyonlar.
» GCC / GCC High / Gallatin sovereign cloud ortamları.
» Büyük Exchange ortamları.
» DMZ ve Reverse Proxy altyapısına sahip yapılar. |
Uygun profiller:
» Kısa süreli migration planlayan kurumlar.
» EWS / MRSProxy'yi Internet'e yayınlamak istemeyen yapılar.
» Küçük ve orta ölçekli organizasyonlar.
⚠️ Uygun olmayan profiller:
» HMA, Teams Calendar (on-prem mailbox), Cross-Premises Message Tracking, Multi-Mailbox Search ihtiyacı olan organizasyonlar.
» Sovereign cloud (GCC, GCC High, Gallatin) gereksinimi olan kurumlar. |
Bu makalede Hybrid Deployment yapısının iki farklı topolojide nasıl şekillendiğini ve hibrit iletişimin hangi bileşenler üzerinden kurulduğunu detaylı bir çerçevede ele aldım. Classic Hybrid yaklaşımının, Exchange Online'ın ihtiyaç duyduğu servisleri doğrudan görebildiği bir iletişim modeli sunduğu ve bu nedenle daha görünür, daha öngörülebilir bir çalışma dinamiği oluşturduğu noktalar örneklerle açıklığa kavuştu. Modern Hybrid modelinin ise Free/Busy ve Mailbox Migration trafiğini Hybrid Agent üzerinden yönlendirerek bu işlevler için Internet yayınlama gereksinimini azaltan daha sade bir yapı kurduğu; ancak SMTP mail flow, Hybrid Modern Authentication ve cross-premises özellikler gibi alanlarda Classic'in sağladığı kapsamı sunmadığı daha net biçimde ortaya çıktı.
Migration sürecinde verinin hangi yolu izlediği, Free/Busy görünürlüğünün nasıl sağlandığı ve Teams Calendar gibi hassas entegrasyonların hangi topolojide daha tutarlı davrandığı ele alındığında, her iki modelin hibrit yapıya farklı bir yaklaşım getirdiği daha anlaşılır hale geldi. Classic modelin doğrudan erişim gerektiren senaryolarda sağladığı esneklik, Modern modelin ise tünel tabanlı iletişimle sunduğu pratiklik, hibrit mimarinin kurum ihtiyaçlarına göre nasıl şekillendirilebileceğini gösteren önemli ayrımlardır.
Tüm bu değerlendirmeler ışığında, Hybrid Deployment'ın tek bir geçiş yönteminden çok daha fazlasını ifade ettiği ve kurumun güvenlik beklentisi, yayınlama politikası, kimlik doğrulama gereksinimleri, entegrasyon ihtiyaçları ve kullanım süresi gibi faktörlere göre doğru topolojinin seçilmesinin sürecin tamamına yön veren bir karar olduğu daha net görülür.
Faydalı olması dileğiyle...
Makale ile ilgili düşüncelerinizi ve sorularınızı aşağıdaki yorum kısmında paylaşmaktan çekinmeyin. Her katkı, içeriğin daha fazla kişiye ulaşmasını ve daha faydalı bir tartışma ortamı oluşmasını sağlar.