İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Fırat Boyan 06.12.2018 12

Exchange Server 2019 Kurulum ve Yapılandırma

Exchange Server 2019'un geliştirilme süreci, Microsoft'un kurumsal e-posta sistemlerini daha güvenli, performanslı ve yönetilebilir hale getirme hedefiyle başlamıştır. Microsoft, bu sürümde önceki sürümlere göre önemli yenilikler ve iyileştirmeler yaparak kullanıcı deneyimini ve sistem yönetimini üst seviyeye taşımayı amaçlamıştır. Bu bağlamda, güvenlik, performans ve yönetilebilirlik konularında yapılan geliştirmeler, Exchange Server 2019'u daha etkili ve verimli bir çözüm haline getirmiştir.

Microsoft, Exchange Server 2019'un geliştirilmesi sürecinde, kullanıcıların ihtiyaçlarını ve sektördeki değişen dinamikleri dikkate alarak çeşitli hedefler belirlemiştir. Bu hedefler arasında güvenlik iyileştirmeleri, sistem performansının artırılması ve yönetilebilirliğin kolaylaştırılması gibi önemli başlıklar bulunmaktadır. Exchange Server 2019'un çıkışı, bu hedeflerin başarılı bir şekilde hayata geçirilmesiyle gerçekleşmiştir.

Exchange Server 2019, ilk olarak 22 Ekim 2018 tarihinde duyurulmuştur. İlk olarak piyasaya sürülen versiyonu, Exchange Server 2019 RTM (Release to Manufacturing) olmuştur. Bu sürüm, Microsoft'un yeni nesil kurumsal e-posta sunucusu olarak kullanıcıların beğenisine sunulmuş ve sektörde geniş yankı uyandırmıştır.

Exchange Server 2019'un duyurulması, Microsoft'un güvenlik, performans ve yönetilebilirlik konularında yaptığı önemli geliştirmeleri içermektedir. Bu sürümle birlikte gelen yenilikler, kullanıcıların ve IT yöneticilerinin beklentilerini karşılamak üzere tasarlanmıştır. Exchange Server 2019'un geliştirilme süreci, Microsoft'un müşteri geri bildirimlerini ve sektördeki değişen ihtiyaçları dikkate alarak gerçekleştirilmiştir.

Sonuç olarak, Exchange Server 2019'un geliştirilme süreci, Microsoft'un kurumsal e-posta sistemlerini daha güvenli, performanslı ve yönetilebilir hale getirme hedefiyle başlamış ve bu hedeflerin başarılı bir şekilde hayata geçirilmesiyle sonuçlanmıştır. Exchange Server 2019, kullanıcıların ihtiyaçlarına uygun olarak geliştirilmiş ve piyasaya sürülmüştür. İlk olarak 22 Ekim 2018'de duyurulan ve RTM versiyonu ile piyasaya sürülen bu sürüm, Microsoft'un kurumsal e-posta çözümleri konusundaki liderliğini pekiştirmiştir.

Makalem şu aşamalardan oluşacak:
1- Exchange Server 2019 kurulumu için ön gereksinimler.
2- Exchange Server 2019 kurulumu için ön yapılandırma ayarlarının yapılması.
3- Exchange Server 2019 kurulumu.
4- Exchange Server 2019 kurulumu sonrası temel yapılandırma ayarlarının yapılması.
5- Exchange Server DNS yapılandırma ayarları.
6- Exchange Server için Firewall yapılandırmaları.

exchange server 2019 kurulumu

Microsoft Exchange Server 2019 Yenilikleri

Exchange Server 2019 kurulumu ve detaylı yapılandırmara işlemine geçmeden önce, Exchange Server 2019 ile gelen yeniliklerden bahsetmek istiyorum.

1- Gelişmiş CPU Desteği
Exchange Server 2019, gelişmiş donanım desteği ile performansını artırmaktadır. Önceki sürümlere kıyasla daha fazla CPU çekirdeği desteği sunar. Bu, daha fazla iş parçacığının paralel olarak çalıştırılmasına ve dolayısıyla daha yüksek performans elde edilmesine olanak tanır.

48 Çekirdek Desteği: Exchange Server 2019, 48 işlemci çekirdeğine kadar destek sağlar. Bu, Exchange Server 2016'ya kıyasla önemli bir artıştır. Daha fazla çekirdek, daha fazla iş parçacığı anlamına gelir, bu da aynı anda daha fazla işlemin gerçekleştirilmesini sağlar ve sunucunun genel performansını artırır.

Hyper-Threading Avantajları: Hyper-threading, aynı fiziksel çekirdek üzerinde iki iş parçacığının paralel olarak çalışmasını sağlar. Bu, işlemci kaynaklarının daha verimli kullanılmasını sağlar ve işlem performansını artırır. Exchange Server 2019, hyper-threading destekleyen işlemcilerle çalışarak, yoğun işlem gücü gerektiren iş yüklerinde daha iyi performans sunar. Bunun yanı sıra aynı fiziksel çekirdek üzerinde iki iş parçacığının paralel olarak çalışmasını sağlar. Bu, işlemci kaynaklarının daha verimli kullanılmasını sağlar ve işlem performansını artırır ve hyper-threading destekleyen işlemcilerle çalışarak, yoğun işlem gücü gerektiren iş yüklerinde daha iyi performans sunar.

2- Gelişmiş SSD (Solid State Drives) Desteği
Exchange Server 2019, depolama performansını optimize eden yenilikler sunar. Özellikle SSD'lerin (Solid State Drives) kullanımıyla ilgili iyileştirmeler dikkat çekicidir.

SSD Desteği: SSD'ler, daha hızlı veri erişimi sağlar ve bu da posta kutusu sunucularının yanıt sürelerini iyileştirir. Exchange Server 2019, SSD'leri veritabanı ve günlük dosyaları için optimize eder, bu da performansı artırır. Yazma İyileştirmeleri: Exchange Server 2019, veritabanı yazma işlemlerinde daha verimli yöntemler kullanır. Bu iyileştirmeler, Disk yazma gecikmelerini azaltır ve genel sistem yanıt süresini artırır.

SSD-Cache: Son yıllarda Mailbox Database'lerin daha fazla Data barındırması nedeniyle daha fazla Disk alanı ihtiyacını da beraberinde getirdi. Bunun sonucunda da Disk'ledeki Data okuma performansı da doğrudan etkilenmektedir. Tüm SSD üniteleri, yazma ve okuma işlemini düzenleyen ve bilgisayarlarda kullandığımız işlemcilere benzer hesaplama kabiliyetleri olan kontrolörlere sahiptir. Bu kontrolör, SSD ünitesini SSD yapan şeydir ve performansına direkt etki eder. Aynı anda yazılabilecek veri miktarı, yazma hızı, bellek bant genişliği ve bellek verimliliği bunların başında gelir. İşte tüm bunları yöneten ve performansı belirleyen bellek kontrolörüdür. Dolayısı ile de en çok kullanılan Data'lar, SSD'lerin Cache'lerinde tutulur ve performansın daha üst düzeyde tutulması sağlanır. SSD'lerin Cache özelliğinden yararlanmak için de Exchange Server 2019 ile birlikte SSD-Cache özellik desteği desteği devreye alınmıştır.

3- Gelişmiş Bellek Yönetimi
Exchange Server 2019, bellek yönetimi konusunda önemli iyileştirmeler sunar. Bu iyileştirmeler, bellek kullanımını optimize eder ve performansı artırır ve büyük bellek kapasitesine sahip sunucularda daha verimli çalışır.

Bellek Desteği: Exchange Server 2019, 256 GB RAM'e kadar bellek desteği sunar. Bu büyük bellek kapasitesi, veritabanı önbelleklemesini artırır ve bu da Disk I/O işlemlerinin azalmasına ve genel performansın iyileşmesine katkıda bulunur.

Dinamik Bellek Yönetimi: Exchange Server 2019, bellek kullanımını dinamik olarak ayarlar ve optimize eder. Bu, bellek kaynaklarının daha verimli kullanılmasını sağlar ve performansı artırır. Veritabanı Önbelleklemesi: Büyük bellek kapasitesi ile Exchange Server 2019, veritabanı verilerini daha fazla önbelleğe alabilir. Bu, Disk erişimlerini azaltır ve sistem performansını artırır.

4- Son Kullanıcı Deneyimi Yenilikleri

4.1- Gelişmiş Arama İşlevselliği
Exchange Server 2019, arama altyapısında önemli iyileştirmeler sunar. Bu iyileştirmeler, kullanıcıların e-posta ve takvim öğelerini daha hızlı ve doğru bir şekilde bulmalarını sağlar.

Yeniden Tasarlanan Arama Altyapısı: Arama altyapısı, performansı artırmak ve arama sonuçlarının doğruluğunu iyileştirmek için baştan tasarlanmıştır. Kullanıcılar, e-posta kutularında ve arşivlerde daha hızlı arama yapabilir. Hızlı ve Doğru Arama Sonuçları: Exchange Server 2019, büyük posta kutuları ve yüksek kullanıcı sayıları için optimize edilmiş hızlı arama sonuçları sunar. Bu, kullanıcıların ihtiyaç duydukları bilgilere hızla erişmelerini sağlar.

Exchange Server 2019, yeniden tasarlanan arama altyapısında Bing teknolojilerini kullanır. Bu yenilik, kullanıcıların arama performansını ve doğruluğunu artırmak amacıyla Bing’in güçlü arama algoritmalarından ve altyapısından yararlanır.

Bing Arama Servisi Nedir?
Bing, Microsoft tarafından geliştirilen ve işletilen bir arama motorudur. Bing, web üzerindeki bilgileri indeksleyerek kullanıcıların hızlı ve doğru arama sonuçları almasını sağlar. Exchange Server 2019, Bing arama motorunun bazı teknolojilerini kullanarak e-posta ve takvim öğeleri üzerinde gelişmiş arama işlevselliği sunar.

Hızlı İndeksleme: Bing teknolojisi, e-postaların ve diğer öğelerin hızlı bir şekilde indekslenmesini sağlar. Bu, arama sonuçlarının anında sunulmasını mümkün kılar.

Doğru Sonuçlar: Bing'in gelişmiş algoritmaları, arama terimlerine en uygun sonuçları getirir, bu da kullanıcıların ihtiyaç duydukları bilgileri hızla bulmalarına yardımcı olur.

Filtreleme: Kullanıcılar, arama sonuçlarını çeşitli kriterlere göre filtreleyebilir. Örneğin, belirli bir tarihten sonraki e-postaları, belirli bir göndericiden gelen mesajları veya belirli anahtar kelimeleri içeren e-postaları arayabilirler. Ayrıca kullanıcılar, arama sonuçlarını tarih, gönderici, anahtar kelime, ekler ve diğer kriterlere göre filtreleyebilir. Bu, arama sonuçlarının daha spesifik olmasını ve istenen bilgilere daha hızlı ulaşılmasını sağlar.

Arama Kapsamı: Kullanıcılar, arama yapacakları kapsamı belirleyebilirler. Örneğin, yalnızca belirli bir posta kutusunu, klasörü veya tüm posta kutusunu arayabilirler.

Öneriler: Bing teknolojisi, kullanıcıların arama terimlerine dayalı öneriler sunar. Bu, kullanıcıların aradıkları bilgilere daha kolay erişmelerini sağlar.

Veri İndeksleme
Bing arama teknolojisi, e-posta ve takvim öğelerini indeksler. Bu indeksleme süreci, verilerin hızlı ve etkili bir şekilde aranabilmesini sağlar.

İndeksleme Süreci: Exchange Server 2019, posta kutularındaki e-postaları, takvim girişlerini ve diğer ilgili verileri düzenli olarak indeksler. Bu süreç, verilerin arama motoru tarafından hızlı bir şekilde işlenmesini ve aranmasını sağlar.

İndeks Yapısı: İndeksleme, verilerin anahtar kelimeler ve metadata (meta veriler) temelinde organize edilmesini içerir. Bu, belirli terimlerle ilgili sonuçların hızlı bir şekilde bulunmasını mümkün kılar. Arama Algoritmaları Bing'in gelişmiş arama algoritmaları, kullanıcının arama terimlerini analiz eder ve en uygun sonuçları sunar.

Doğal Dil İşleme (NLP): Bing, doğal dil işleme teknolojilerini kullanarak kullanıcının arama terimlerini daha iyi anlar. Bu, kullanıcıların arama sorgularını doğal bir dilde girmelerine olanak tanır ve arama sonuçlarının doğruluğunu artırır.

Sıralama Algoritmaları: Bing, arama sonuçlarını sıralamak için çeşitli algoritmalar kullanır. Bu algoritmalar, arama teriminin bağlamını ve kullanıcı davranışlarını dikkate alarak en alakalı sonuçları üst sıralara yerleştirir.

4.2- Modern Outlook Web Experience
Yeni Arayüz Tasarımı: OWA, modern ve sezgisel bir arayüzle güncellenmiştir. Bu, kullanıcıların e-posta, takvim ve kişiler arasında kolayca gezinmelerini sağlar.

Karanlık Mod: Kullanıcılar, karanlık mod seçeneği ile göz yorgunluğunu azaltabilir ve düşük ışık koşullarında daha rahat çalışabilirler.

Mobil Uyumluluk: OWA, mobil cihazlar için optimize edilmiştir. Bu, kullanıcıların hareket halindeyken bile e-postalarına ve takvimlerine kolayca erişmelerini sağlar.

4.3- Gelişmiş Takvim Özellikleri
Takvim yönetimi, kullanıcıların iş ve kişisel zamanlarını organize etmelerine yardımcı olan önemli bir özelliktir. Exchange Server 2019, takvim işlevlerinde önemli iyileştirmeler sunar.

Gelişmiş Toplantı Planlama: Kullanıcılar, toplantı planlama sürecinde daha fazla seçenek ve esneklik sunan yeni özelliklere erişebilir. Örneğin, toplantı odası rezervasyonları ve katılımcı mevcudiyetini kolayca kontrol edebilirler.

Takvim Paylaşımı: Kullanıcılar, takvimlerini diğer kullanıcılarla daha kolay ve güvenli bir şekilde paylaşabilir. Bu, ekiplerin koordinasyonunu artırır ve işbirliğini teşvik eder.

5- Unified Messaging (UM) Desteği
Exchange Server 2019, Unified Messaging (UM) desteğini kaldırmıştır. Bu, kullanıcıların sesli mesaj ve faks hizmetleri gibi birleşik mesajlaşma özelliklerinden yararlanamayacağı anlamına gelir. UM işlevselliğinin kaldırılması, kullanıcıların Skype for Business veya üçüncü taraf çözümler kullanarak benzer hizmetleri sağlamalarını gerektirir.

Unified Messaging (UM) Nedir?
Unified Messaging, kullanıcıların sesli mesaj, e-posta ve faks mesajlarını tek bir posta kutusunda toplamasına olanak tanır. UM, kullanıcıların bu mesajlara çeşitli cihazlardan erişmelerini ve yönetmelerini sağlar.

UM Desteğinin Kaldırılması
Exchange Server 2019, Unified Messaging desteğini kaldırarak kullanıcıları alternatif çözümlere yönlendirmiştir. İşte UM desteğinin kaldırılmasının nedenleri ve etkileri:

Neden Kaldırıldı?
Azalan Kullanım: UM özelliklerinin kullanımında genel bir düşüş gözlemlenmiştir. Birçok kuruluş, UM özelliklerini kullanmak yerine Skype for Business veya diğer iletişim platformlarını tercih etmeye başlamıştır.

Güvenlik ve Yönetim: UM özelliklerinin yönetimi ve güvenliği, özellikle karmaşık sistemlerde zorlayıcı olabilir. UM'nin kaldırılması, Exchange Server'ın yönetimini ve güvenliğini basitleştirir.

Modern Çözümler: Microsoft, modern iletişim çözümlerine odaklanmak için UM desteğini kaldırmıştır. Skype for Business ve Teams gibi çözümler, gelişmiş iletişim ve işbirliği özellikleri sunar.

Alternatif Çözümler
UM desteğinin kaldırılmasıyla birlikte, kuruluşlar sesli mesaj ve faks hizmetleri için alternatif çözümler aramalıdır. İşte bazı alternatifler:

1. Skype for Business ve Teams
Microsoft'un Skype for Business ve Teams çözümleri, birleşik iletişim ve işbirliği hizmetleri sunar. Bu platformlar, sesli mesaj ve video konferans gibi çeşitli iletişim özelliklerini entegre eder.

Sesli Mesaj: Skype for Business ve Teams, kullanıcıların sesli mesajlarını yönetmelerine olanak tanır. İletişim ve İşbirliği: Bu platformlar, anlık mesajlaşma, video konferans ve dosya paylaşımı gibi özellikler sunar.

2. Üçüncü Taraf Çözümler
Birçok üçüncü taraf sağlayıcı, sesli mesaj ve faks hizmetleri sunar. Bu çözümler, Exchange Server 2019 ile entegre edilebilir ve kullanıcıların birleşik mesajlaşma ihtiyaçlarını karşılayabilir.

Sesli Mesaj Hizmetleri: Üçüncü taraf sağlayıcılar, sesli mesaj hizmetleri sunar ve bu hizmetler genellikle e-posta ile entegre edilebilir.

Faks Hizmetleri: Üçüncü taraf faks hizmetleri, gelen faksların e-posta yoluyla alınmasını sağlar.

3. Bulut Tabanlı Çözümler
Bulut tabanlı iletişim çözümleri, sesli mesaj ve faks hizmetleri sunar ve genellikle kolayca entegre edilebilir.

Bulut Telefon Sistemleri: Bulut tabanlı telefon sistemleri, sesli mesaj özelliklerini destekler.

Bulut Faks Hizmetleri: Bu hizmetler, faks mesajlarını doğrudan e-posta kutusuna iletir.

Gereksinimler

Exchange Server 2019 kurulum işlemine geçmeden önce kurulum için gerekli olan sistem gereksinimlerine ve ön kurulumlarına göz atalım. Ancak öncesinde şunu özellikle belirtmeliyim ki bu makaledeki kurulum işlemleri, Cumulative Update 11 (CU11) ile yapılacaktır. Aradan geçen zamanda CU11 üzerine gelen yeni CU versiyonlarına göre gereksinimler ve kurulum yöntemleri noktasında değişiklikler olma ihtimali vardır. Bu sebeple değişiklikler olması durumunda bu makaleyi de olabildiğince güncel tutmaya çalışacağım. Piyasaya sürülen Exchange Server Cumulative Update'lerini Exchange Server build numbers and release dates sayfasından takip edebilirsiniz.

1- Donanım Gereksimleri
Aşağıdaki bu tablo, Exchange Server 2019 kurulumu için gerekli olan en düşük donanım gereksinimlerini göstermektedir.

Donanım Gereksinim
RAM Bellek • Mailbox Server Role için en az 128 GB.
• Edge Transport Role için en az 64 GB.
Disk • Exchange Server'ın kurulacağı Disk alanında en az 30 GB boş alan.


2- Windows Server Gereksinimleri
Aşağıdaki bu tablo, Exchange Server'ın hangi Cumulative Update (CU) versiyonu ile hangi Windows Server versiyonu üzerinde kurabileceğinizi göstermektedir.

Bileşen Gereksinim
Windows Server • Windows Server 2022 Standart veya Datacenter (CU12 ve üstü)
• Windows Server 2019 Standart veya Datacenter (CU11 ve öncesi)


3- Active Directory Gereksinimleri
Exchange Organizasyonunuzu ilk defa kuruyorsanız, ortamınızdaki Domain Controller'ların aşağıdaki gereksinimleri karşılıyor olduğundan emin olmalısınız. Aşağıdaki bu tablo, Exchange Server'ın iletişim kuracağı Active Directory Domain Controller için desteklenen Windows Server versiyonlarını, Forest Functional Level gereksinimini ve Exchange Server'ın kurulacağı Cumulative Update (CU) versiyonunun hangi Windows Server versiyonlarını desteklediğini göstermektedir.

DİKKAT!: Mevcut Functional Level'ınız, Exchange Server 2019'un gereksinim duyduğu en düşük seviyeli Functional Level'dan daha düşükse (ör. Windows Server 2008 R2), Functional Level yükseltme işleminden önce mutlaka mevcut Functional Level'ınızın, ortamınızdaki uygulamalarla bir bağımlılığının olup olmadığını kontrol etmelisiniz!

Bileşen Gereksinim
Domain Controller • Windows Server 2022 Standart veya Datacenter (CU12 ve üstü)
• Windows Server 2019 Standart veya Datacenter (CU11 ve öncesi)
• Windows Server 2016 Standart veya Datacenter (Kısıt yok)
• Windows Server 2012 R2 Standart veya Datacenter (Kısıt yok)
Forest Functional Level  • Windows Server 2012 R2 veya üstü


4- Mevcut Yapıya Kurulum (Co-Existence) Gereksinimleri
Mevcut Exchange organizasyonunuzda kurulu alt versiyon Exchange Server'lar bulunuyorsa ve örneğin Exchange Server Migration amacı ile mevcut yapınıza ek olarak Exchange Server 2019 kurulumu yapacaksınız, mevcut organizasyondaki Exchange Server versiyon bilgisinin aşağıdaki tabloya göre olduğundan emin olmalısınız.

Mevcut Yapı Mevcut Yapıya Kurulum
Exchange Server 2010 ve daha öncesi Desktenlenmiyor.
Exchange Server 2013 Exchange Server 2013 CU21 veya üstü (Edge Transport dahil)
Exchange Server 2016 Exchange Server 2016 CU11 veya üstü (Edge Transport dahil)
Exchange Server 2013 ve 2016 karma yapı  Exchange Server 2016 ve Exchange Server 2013'ün gereksinimleri

Domain Controller (DC) üzerinde Exchange Server Kurulumu

Danışmanlık verdiğim müşteri ortamlarında nadir de olsa gerek kaynak yetersizliği, gerekse de sunucu lisansından kaçınmak için Exchange Server kurulum işlemlerinin Domain Controller üzerinde yapıldığına şahit oluyorum. Bu, her ne kadar donamım kaynağı ve lisans kazanımları gibi görülüp, değerlendirilse de, çok ciddi sorunları da beraberinde getirmektedir. Bu sebeple, Exchange Server kurulum işleminin Domain Controller (DC) üzerinde gerçekleştirmenin kesinlikle tavsiye edilmediğini belirtmek isterim. Teknik olarak neden önerilmediğini daha detaylı şekilde açıklayayım.

1- Kaynak Yönetimi ve Performans

1.1- CPU ve Bellek Kullanımı
Domain Controller: Active Directory veritabanını yönetir, LDAP isteklerini işler ve Kerberos kimlik doğrulaması yapar. Bu işlemler yoğun CPU ve bellek kullanımı gerektirir.

Exchange Server: E-posta aktarımı, posta kutusu veri tabanı yönetimi, içerik indeksleme ve istemci erişim hizmetlerini sağlar. Bu işlemler de yüksek düzeyde CPU ve bellek tüketir. İki uygulamanın aynı sunucuda çalışması, CPU ve bellek için yoğun satürasyona yol açar ve her iki hizmetin de performansını olumsuz etkiler.

1.2- Disk I/O:
Domain Controller: Active Directory veritabanı ve SYSVOL dizini için sürekli disk I/O gerektirir.

Exchange Server: Posta kutusu Database'ler ve Log dosyaları için de yüksek miktarda disk I/O gerektirir. Her iki uygulamanın aynı fiziksel diski kullanması, disk I/O darboğazlarına neden olabilir. Database'leri barındıracak olan Disklerin ayrılması, I/O performansını artırabilir ve I/O darboğazlarını azaltabilir. Ancak, CPU ve bellek kullanımı açısından iki yoğun kaynak gerektiren hizmetin (Exchange ve DC) aynı sunucuda çalışmasının getirdiği yük devam eder.

Resource Management and Performance

2- Güvenlik Riski

2.1- Saldırı Yüzeyi
Domain Controller: Ağın kalbi olan kimlik doğrulama ve yetkilendirme hizmetlerini sağlar. Exchange Server üzerinde bir güvenlik açığı bulunması durumunda, saldırganların Domain Controller'a erişim kazanma riski vardır. Bu nedenle, Exchange Server'ın bir DC üzerinde çalıştırılması, tüm Active Directory ortamının güvenliğini tehlikeye atar.

Exchange Server: Genellikle Internet'e açık olan ve Internet'ten gelebilecek tehditlere açık bir sunucudur ve çeşitli saldırı vektörlerine açıktır.

Security Risks

3- Yönetim ve Bakım Zorlukları

Exchange Server Güncellemeleri: Exchange Server için uygulanan güncellemeler ve yamalar, sunucunun yeniden başlatılmasını gerektirebilir ve bu durum Domain Controller hizmetlerini geçici olarak devre dışı bırakabilir.

Domain Controller Güncellemeleri: Domain Controller üzerinde yapılan güncellemeler, Active Directory hizmetlerinin geçici olarak durmasına neden olabilir ve bu durum Exchange Server'ın performansını etkileyebilir. Her iki hizmetin aynı sunucuda olması, bakım işlemlerinin daha karmaşık ve riskli hale gelmesine neden olur.

Management and Maintenance Challenges

4- Microsoft Desteği
Microsoft, Exchange Server'ın bir Domain Controller üzerinde çalıştırılmasını resmi olarak desteklemez. Desteklenmeyen bir yapılandırmada karşılaşılan sorunlar, Microsoft'un sunduğu destek hizmetlerini sınırlayabilir veya devre dışı bırakabilir.

Microsoft Support

5- Active Directory Replikasyonu ve Gecikmeleri

5.1- Replikasyonun Önemi
Veri Tutarlılığı: Active Directory (AD), Network üzerindeki tüm Domain Controller'lar arasında veri tutarlılığını sağlamak için düzenli olarak verileri replikasyon (çoğaltma) yapar. Bu, kullanıcı hesapları, grup üyelikleri, politika ayarları ve diğer kritik verilerin her DC'de güncel kalmasını sağlar.

Güvenilirlik ve Yedeklilik: Replikasyon, AD'nin güvenilirliğini ve yedekliliğini artırır. Bir DC'nin arızalanması durumunda, diğer DC'ler veri erişimini sürdürebilir.

5.2- Replikasyon Türleri:
Intrasite Replikasyonu: Aynı site içindeki DC'ler arasında gerçekleşir ve genellikle hızlıdır. Kullanıcı ve kaynakların aynı fiziksel ağda bulunması nedeniyle düşük gecikme sürelerine sahiptir.

Intersite Replikasyonu: Farklı sitelerdeki DC'ler arasında gerçekleşir ve genellikle daha yavaş ve daha az sık yapılır. WAN bağlantıları gibi daha yavaş Network bağlantıları kullanılır ve bu nedenle replikasyon daha fazla gecikmeye neden olabilir.

Active Directory replication and latencies

6- Exchange Server ve Active Directory Etkileşimi

6.1- Exchange Server'ın AD Kullanımı
Kimlik Doğrulama: Exchange Server, kullanıcıların kimlik doğrulamasını sağlamak için AD'ye sık sık istek gönderir. Kullanıcıların posta kutularına erişimi ve izin denetimleri için kimlik doğrulama gereklidir.

Adres Book ve Glolbal Address List (GAL): Exchange Server, Global Adres List (GAL) ve diğer Address Book'ları sağlamak için Active Directory verilerini kullanır.

Organizasyonel Bilgi: Kullanıcıların organizasyonel bilgileri ve grup üyelikleri gibi veriler için Active Directory'e bağımlıdır.

Active Directory and Exchange Server Interaction

6.2- Replikasyon Trafiği ve Gecikmeler
Replikasyon Trafiği: DC üzerinde Exchange Server çalıştırıldığında, DC'nin kendi replikasyon trafiği ve Exchange Server'ın AD ile ilgili sorguları birleşir. Bu, DC'nin Network trafiğini ve kaynak kullanımını artırır.

Gecikmeler: AD replikasyon gecikmeleri, Exchange Server'ın en güncel verilere erişimini etkileyebilir. Özellikle kullanıcı kimlik doğrulama ve izin denetimleri gibi kritik işlemler gecikebilir. Örneğin, bir kullanıcı parolasını değiştirdiğinde, bu değişiklik diğer DC'lere replikasyon yapılana kadar Exchange Server bu değişikliği göremeyebilir.

Performans Etkisi: Replikasyon trafiği nedeniyle DC'nin CPU ve bellek kaynakları yoğun bir şekilde kullanılır. Exchange Server'ın da aynı kaynaklara ihtiyaç duyması, performansın düşmesine neden olabilir.

Replication Traffic and latencies

Özetle, Exchange Server'ın bir Domain Controller üzerinde kurulması, hem performans hem de güvenlik açısından ciddi riskler taşır. Kaynak rekabeti, güvenlik açıkları ve yönetim zorlukları gibi nedenlerle, Exchange Server'ın ayrı bir üye sunucu (member server) üzerinde çalıştırılması en iyi uygulamalardan biridir. Bu, hizmetlerin daha kararlı ve güvenli olmasını sağlar.

Ön Gereksinimlerin Hazırlanması

Yukarıdaki tüm gereksinimleri yerine getirildikten sonra sıra, Exchange Server 2019 kurulum için gerekli olan diğer ön hazırlıkları yapmaya geldi.

1- İlk etapta Remote Tools Administration Pack kurulumu için PowerShell Console'unu "Run as Administrator" ile açarak, aşağıdaki komut yazıyorum.

Install-windowsFeature RSAT-ADDS

Exchange Server 2019 Kurulumu

Exchange Server 2019 Kurulumu

2- Komutu yazılıp çalıştırıldıktan sonra, aynı PowerShell penceresi üzerinden aşağıdaki komutu yazıp, çalıştırıyorum.

NOT: Bu işlem sırasında Inernet bağlantınızı tekrar kontrol etlemenizi öneririm. Çünkü gerekli bazı roller Internet'ten indirilmektedir.

Install-WindowsFeature Server-Media-Foundation, NET-Framework-45-Core, NET-Framework-45-ASPNET, NET-WCF-HTTP-Activation45, NET-WCF-Pipe-Activation45, NET-WCF-TCP-Activation45, NET-WCF-TCP-PortSharing45, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT-ADDS

Exchange Server 2019 Kurulumu

Exchange Server 2019 Kurulumu

3- Yukarıdaki ön kurulum gereksinimlerini yerine getirdikten sonra, Exchange Server 2019 kurulumu yapılacak Server üzerine kurulması gereken bir takım APP.'ler bulunmaktadır. Bu APP.'ler, Cumulative Update versiyonuna göre değişiklik gösterebileceği için, aşağıda sadece APP.leri Download edebileceğiniz bağlantı adresini paylaşıyorum.

exchange server 2019 kurulumu Exchange Server Prerequisites

Gerekli PowerShell komutlarının ve APP.'lerin kurulum işlemlerini tamamladıktan sonra Exchange Server 2019 kurulumu için aşağıdaki adımlarla devam ediyorum. Aşağıdaki adımlarda, Exchange Server'ın Active Directory ortamında kurulumu ve yapılandırılması için gerekli hazırlıkları yapacağız. Bu hazırlıklar; her biri, Active Directory'de farklı seviyelerde değişiklikler yapan, gerekli komutların kullanımlarıdır. Her bir komut, Exchange Server'ın sorunsuz çalışabilmesi için gerekli olan ortamı hazırlar. Aşağıdaki komutları uygulamak için kullanacağınız Active Directory hesabının mutlaka Schema Admins ve Enterprise Admins gruplarına üye olduğundan emin olun.

PrepareSchema - Active Directory Şema Genişletme

Setup.exe /PrepareSchema komutu, Exchange Server'ın Active Directory ile tam uyumlu ve sorunsuz çalışabilmesi için gerekli olan şema güncellemelerini gerçekleştirir. Bu komutun doğru bir şekilde çalıştırılması, Exchange kurulumunun ilk ve kritik adımlarından biridir ve tüm Active Directory Forest'ındaki Domain Controller'lara yayılan yapısal değişiklikler içerir. Bu nedenle, bu komut çalıştırılmadan önce dikkatlice planlanması ve gerekli yetkilere sahip olunması önemlidir.

Değişiklik Alanları

1- Yeni Class (Sınıf) Eklenmesi
Exchange Server, çeşitli nesne türleri (Object Types) için yeni Class'lar ekler. Bu sınıflar, Exchange ile ilişkili nesnelerin nasıl tanımlandığını belirtir.

Örnek: msExchExchangeServer Class'ı, Exchange Server'ı tanımlamak için kullanılır ve Exchange Server'a özgü Attribute'lar içerir.

2- Yeni Attribute (Öznitelik) Eklenmesi
Exchange, mevcut nesnelere yeni Attribute'lar ekler. Bu öznitelikler, Exchange Server'ın çeşitli işlevleri için gereken bilgileri depolamak için kullanılır.

Örnek: msExchVersion Attribute'u, bir Exchange Server nesnesinin hangi Exchange versiyonunda olduğunu belirtir.

3- Mevcut Class ve Attribute'ların Güncellenmesi
Bazı durumlarda, mevcut Class ve Attribute'lar güncellenir. Bu güncellemeler, yeni işlevler veya iyileştirmeler eklemek için yapılır.

Örnek: User Class'ı, kullanıcı nesneleri için kullanılan temel bir Class'tır. Exchange Server kurulumunda, bu Class'a Exchange'e özgü Attribute'lar eklenir.

4- Exchange'e Özgü Şema Nesneleri
Exchange Server, Active Directory'ye özgü şema Class'ları ekler. Bu Class'lar, Exchange'in işleyişi için kritik öneme sahiptir.

Örnek: msExchOrganizationContainer, Exchange organizasyonunu tanımlamak ve yönetmek için kullanılan bir Class'tır.

İşlem Sırası

1- Şema Master Bulunması
Setup.exe /PrepareSchema komutu çalıştırıldığında, ilk olarak Active Directory Forest'ında Şema Master (Schema Master) rolüne sahip Domain Controller'ı bulunur. Bu rol, şema değişikliklerini gerçekleştirmek için gereklidir.

2- Şema Güncellemelerinin Uygulanması
Komut, gerekli şema değişikliklerini bir LDIF (LDAP Data Interchange Format) dosyasından okur ve bu değişiklikleri Şema Master üzerinde uygular. Bu adım, yeni sınıfların ve özniteliklerin eklenmesini ve mevcut olanların güncellenmesini içerir.

3- Replikasyon
Şema güncellemeleri tamamlandığında, bu değişiklikler Active Directory Forest'taki diğer Domain Controller'lara replike edilir. Bu, tüm Domain Controller'ların güncellenmiş şemaya sahip olmasını sağlar.

Örnekler

1- Yeni Bir Attribute Eklenmesi

dn: CN=msExchRecipientTypeDetails,CN=Schema,CN=Configuration,DC=firatboyan,DC=com
changetype: add
attributeID: 1.2.840.113556.1.4.7000.102.500.200
attributeSyntax: 2.5.5.9
isSingleValued: TRUE
cn: msExchRecipientTypeDetails

Bu örnek, msExchRecipientTypeDetails Attribute'un eklenmesini gösterir. Bu Attribute, Recipient (Mailbox) nesneleri için belirli bir tür detayını belirtmek için kullanılır.

2- Yeni Bir Class'ın Eklenmesi

dn: CN=msExchActiveSyncDeviceClass,CN=Schema,CN=Configuration,DC=contoso,DC=com
changetype: add
objectClass: classSchema
governsID: 1.2.840.113556.1.4.7000.142.100
lDAPDisplayName: msExchActiveSyncDeviceClass
schemaIDGUID:: +mo1e7zp20y1e2z1ezf2e6==
subClassOf: top
mayContain: msExchDeviceID
cn: msExchActiveSyncDeviceClass

Bu örnek, msExchActiveSyncDeviceClass Class'ının eklenmesini gösterir. Bu Class, ActiveSync cihazlarıyla ilgili bilgileri depolamak için kullanılır ve Exchange Server'ın mobil cihaz yönetimi işlevselliğini destekler.

DİKKAT!:
Eğer sadece şema genişletme işlemini gerçekleştirmek istiyorsanız, bir sonraki adımda detaylarına değindiğim .\setup /PrepareAD komutunu çalıştırmanız gerekli değildir. Bunun yerine, sadece şema genişletmesini yapmak için Setup.exe /PrepareSchema komutunu kullanabilirsiniz.

Eğer şema genişletme işlemi de dahil olmak üzere tüm gerekli AD hazırlıklarını yapmayı planlıyorsanız, .\setup /PrepareAD komutunu tek başına kullanmanız yeterli olacaktır. .\setup /PrepareAD komutu, Setup.exe /PrepareSchema komutunu da içerir ve şema genişletme işlemini de otomatik olarak gerçekleştirir. Bu sayede, tek bir komut ile tüm gerekli işlemleri tamamlamış olursunuz.

Active Directory Schema Extension işlemi için Exchange Server 2019 ISO dosyasını takıyorum.

exchange server 2019 kurulumu

"Run as Administrator" ile CMD (Command Promt) Komut istemcisini açarak komut satırında Exchange Server 2019 kurulum dosyalarının olduğu dizine gidiyor, aşağıdaki komutu yazarak Schema Extension işlemine başlıyorum.

Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

Exchange Server 2016 ve 2019'da _DiagnosticDataON & _DiagnosticDataOFF parametreleri

Exchange Server 2016
Exchange Server 2016 için _DiagnosticDataON & _DiagnosticDataOFF parametreleri, Cumulative Update 23 (CU23) ile birlikte sunulmuştur. Bu güncelleme, çeşitli hata düzeltmeleri ve iyileştirmelerle birlikte tanılama verilerinin Microsoft'a gönderilmesine olanak tanıyan bu yeni parametreyi içermektedir. CU23, Exchange Server 2016'nın en son ve son güncellemesi olarak kabul edilir ve 20 Nisan 2021 tarihinde yayınlanmıştır.

Exchange Server 2019
Exchange Server 2019 için ise _DiagnosticDataON & _DiagnosticDataOFF parametreleri, Cumulative Update 11 (CU11) ile birlikte sunulmuştur. CU11, 28 Eylül 2021 tarihinde yayınlanmış olup, bu güncelleme ile tanılama verilerinin Microsoft'a gönderilmesini sağlayan parametre aktif hale getirilmiştir. CU11, aynı zamanda çeşitli hata düzeltmeleri ve performans iyileştirmeleri de içermektedir.

Genel Bilgiler
Tanılama Verileri Gönderme: _DiagnosticDataON & _DiagnosticDataOFF parametreleri, Microsoft'a anonim tanılama verilerinin gönderilmesine olanak tanır. Bu, Microsoft'un ürün performansını ve kullanıcı deneyimini geliştirmesine yardımcı olur.

Güncelleme Notları: Hem Exchange Server 2016 CU23 hem de Exchange Server 2019 CU11 güncellemeleri, çeşitli hata düzeltmeleri ve performans iyileştirmeleri içerir. Bu parametrenin eklenmesi, sistem yöneticilerinin Exchange Server kurulumlarını daha verimli yönetmelerine yardımcı olur.

Exchange Server 2019 kurulumu

Exchange Server 2019 CU11 öncesi _DiagnosticDataON ya da _DiagnosticDataOFF komut eklentileri olmadan aşağıdaki gibi kullanılıyordu.

exchange server 2019 kurulumu

Prepare AD - Active Directory Hazırlama

.\setup /PrepareAD komutu ile Active Directory Hazırlama, Exchange Server’ın Active Directory ile tam uyumlu ve işlevsel bir şekilde çalışabilmesi için kritik bir adımdır. Bu komut, AD şemasını günceller, gerekli yapılandırma verilerini ekler, Domain ve Forest seviyesindeki değişiklikleri gerçekleştirir ve güvenlik izinlerini ayarlar ve Active Directory ile uyumlu bir şekilde çalışabilmesi için gerekli tüm şematik ve konfigürasyon değişikliklerini gerçekleştirir. Bu sayede, Exchange Server'ın sorunsuz bir şekilde kurulumu ve işletimi mümkün hale gelir.

1- Active Directory Schema (Şema) Güncellemesi

Schema (Şema) Güncellemeleri:
AD Şema Uzantıları: .\setup /PrepareAD komutu çalıştırıldığında, Exchange Server Active Directory şemasına bir dizi yeni nesne ve öznitelik ekler. Bu, Exchange Server’ın gereksinim duyduğu veri yapılarının AD tarafından desteklenmesini sağlar.

Şema Sürümü: Bu komut, şema sürümünü mevcut Exchange Server sürümüne yükseltir. Örneğin, Exchange Server 2019 kurulumu sırasında, şema sürümü "15332" olarak güncellenir. Bu işlem, Setup\Data klasöründe bulunan schema.ldf dosyasındaki şema uzantılarını içe aktarır.

Örnek Şema Değişiklikleri:
1- ms-Exch-Mailbox-Server Object Class'ın eklenmesi.
2- ms-Exch-Schema-Version-Pt Attribute'un güncellenmesi.

2- Active Directory Yapılandırma Bölümü

Yapılandırma (Configuration) Güncellemeleri:
Exchange Organization Configuration: Komut, AD'nin Configuration bölümüne Exchange Server ile ilgili yeni yapılandırma verilerini ekler. Bu veriler, Exchange organizasyonunun genel yapılandırmasını ve sunucular, veri tabanları vb. Exchange bileşenlerinin yönetimini içerir.

Organizasyon Adı: .\setup /PrepareAD komutu, Exchange organizasyonunun adını tanımlar ve AD'ye ekler.

Örnek Yapılandırma Değişiklikleri:

1- CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=firatboyan,DC=com
konteynerinin eklenmesi.

2- CN=Administrative Groups ve CN=Exchange Administrative Group
alt konteynerlerinin oluşturulması.


3- Arbitration Mailbox Eklenmesi

Arbitration Mailbox, Exchange Server ortamında belirli sistem işlevlerini yönetmek ve önemli sistem verilerini saklamak için kullanılan özel türde bir posta kutusudur. Bu posta kutuları, sistem mesajlarının, takvim randevularının, onaylama isteklerinin ve diğer önemli verilerin işlenmesini sağlar. Arbitration Mailbox'lar, belirli görevlerin yerine getirilmesi için kritik öneme sahiptir ve genellikle aşağıdaki işlevler için kullanılır.

Arbitration Mailbox Örnekleri
Exchange Server kurulumu sırasında otomatik olarak oluşturulan bazı Arbitration Mailbox örnekleri şunlardır:

SystemMailbox{bb558c35-97f1-4cb9-8ff7-d53741dc928c}:
Özel bir Arbitration Mailbox olup, çeşitli kritik işlevlerin yönetiminde kullanılır. Bu posta kutusu, özellikle Offline Address Book (OAB) oluşturma ve dağıtma işlemleri için de önemlidir.

Görev ve İşlevi
Offline Address Book (OAB), kullanıcıların Outlook gibi e-posta istemcileri ile çevrimdışı modda çalışırken adres defterine erişmelerini sağlar. OAB, kullanıcılara çevrimdışı olduklarında bile kişi bilgilerine erişim imkanı tanır ve özellikle büyük organizasyonlarda ağ trafiğini azaltmak için kullanışlıdır.

Migration.8f3e7716-2011-43e4-96b1-aba62d229136:
Belirli sistem işlevlerini yönetmek için kullanılan özel bir Arbitration Mailbox'tur. Bu posta kutusu, özellikle posta kutusu taşıma ve geçiş işlemlerinde önemli bir rol oynar.

Görevleri ve İşlevleri
Migration.8f3e7716-2011-43e4-96b1-aba62d229136 posta kutusunun başlıca işlevleri şunlardır:

3.1- Posta Kutusu Taşıma İşlemleri
Bu posta kutusu, Exchange Server'da posta kutusu taşıma işlemlerini yönetmek için kullanılır. Taşıma isteklerinin izlenmesi ve yönetilmesi görevlerini üstlenir.

3.2- Posta Kutusu Geçiş İşlemleri
Exchange Server ve Office 365 gibi ortamlar arasında posta kutusu geçişi yapılırken, Migration.8f3e7716-2011-43e4-96b1-aba62d229136 posta kutusu bu geçiş işlemlerini koordine eder ve geçiş sürecini yönetir.

3.3- Taşıma İstekleri Yönetimi
Posta kutusu taşıma isteklerinin başlatılması, durdurulması ve durumlarının izlenmesi için kullanılır. Kullanıcıların posta kutularının başka sunuculara veya Exchange organizasyonlarına taşınması sırasında bu istekler üzerinden işlem yapılır.

4- Active Directory Domain ve Forest Güncellemeleri

Domain ve Forest Hazırlıkları:
Domain Hazırlığı: .\setup /PrepareAD komutu, Forest içindeki her bir Domain için .\setup /PrepareDomain komutunu otomatik olarak çalıştırır. Bu işlem, Exchange Server’ın kullanacağı güvenlik gruplarını ve diğer Domain seviyesindeki nesneleri oluşturur.

Forest Hazırlığı: Forest seviyesindeki güncellemeler, .\setup /PrepareSchema ve .\setup /PrepareAD komutlarının bir kombinasyonu ile gerçekleştirilir. Bu, tüm Forest genelinde geçerli olan değişiklikleri içerir.

Örnek Domain ve Forest Değişiklikleri:
1- CN=Exchange Install Domain Servers güvenlik grubunun eklenmesi.
2- Forest seviyesinde CN=Exchange Organization nesnesinin oluşturulması.
3- Güvenlik Grubu ve İzinler.

5- Güvenlik ve İzinler:

Güvenlik Grupları: .\setup /PrepareAD komutu, Exchange Server’ın düzgün çalışması için gerekli olan çeşitli güvenlik gruplarını oluşturur. Bu gruplar, Exchange Server bileşenlerine ve kullanıcı hesaplarına uygun erişim izinleri sağlar.

İzin Atamaları: Komut, AD nesneleri üzerindeki izinleri ayarlayarak Exchange Server bileşenlerinin ve yönetim araçlarının gerekli izinlere sahip olmasını sağlar.

Örnek Güvenlik Değişiklikleri:
1- Exchange Trusted Subsystem güvenlik grubunun oluşturulması.
2- AD üzerindeki Exchange nesnelerine gerekli izinlerin atanması.
3- Özelleştirilebilir Parametreler ve Ek İşlevler.

6- Özelleştirilebilir Parametreler:

/OrganizationName: Exchange organizasyonunun adını belirlemek için kullanılır.
/IAcceptExchangeServerLicenseTerms: Lisans şartlarını kabul etmek için gereklidir ve komutun çalışması için zorunludur.

7- Ek İşlevler:

Log Dosyaları: .\setup /PrepareAD komutu, işlemlerin ayrıntılı bir dökümünü içeren log dosyaları oluşturur. Bu log dosyaları, olası sorunları teşhis etmek ve çözmek için kullanışlıdır.

.\setup /PrepareAD /OrganizationName:"FIRATBOYAN" /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

Exchange Server 2019 kurulumu

Exchange Server 2019 CU11 öncesi _DiagnosticDataON ya da _DiagnosticDataOFF komut eklentileri olmadan aşağıdaki gibi kullanılıyordu.

exchange server 2019 kurulumu

Active Directory Domain Hazırlama

Son işlem olarak sıra, Exchange Server'ın kurulacağı Active Directory Domain'in hazırlanması işlemine geldi. Setup.exe /PrepareAllDomains komutu, Exchange Server'ın tüm Active Directory (AD) Domain Controller'ları için gerekli hazırlıkları yapar. Bu komut, Exchange Server'ın düzgün çalışabilmesi için AD ortamında belirli değişiklikler yapar.

Setup.exe /PrepareAllDomains Komutunun Yaptığı İşlemler

DomainPrep İşlemleri

Organizational Unit (OU) Oluşturma: Her Active Directory Domain Controller'da CN=Microsoft Exchange System Objects adlı Organizational Unit (OU) oluşturur. Bu OU, Exchange'e ait sistem nesnelerini barındırır.

Örnek: CN=Microsoft Exchange System Objects OU'su, e-posta akışını ve diğer Exchange hizmetlerini desteklemek için gerekli olan sistem nesnelerini içerir.

İzin Ayarları

Domain Controller İzinleri: Her Active Directory Domain Controller'daki kullanıcı ve grup nesnelerine gerekli izinleri ekler. Bu izinler, Exchange sunucularının ve yöneticilerinin belirli AD nesnelerine erişimini sağlar.

Örnek: Exchange Trusted Subsystem grubuna, Domain Controller'daki tüm kullanıcı ve grup nesnelerine okuma/yazma izinleri verilir. Bu, Exchange sunucularının posta kutusu ve diğer kullanıcı nesnelerine erişmesine ve gerekli değişiklikleri yapmasına olanak tanır.

Güvenlik Grubu Güncellemeleri

Grup Üyelikleri: Belirli güvenlik gruplarına üyelik eklemeleri yapar veya günceller. Bu gruplar, Exchange'in yönetimi ve işleyişi için kritik öneme sahiptir.

Örnek: Exchange Install Domain Servers grubu, Domain Controller'daki Exchange sunucularını içerir ve bu sunuculara gerekli izinleri sağlar.

PrepareAD Komutu ile PrepareAllDomains Komutu Arasındaki Farklar

Her iki komutun da belirli bir kurulum aşaması ve amacı vardır. .\setup /PrepareAD komutu, AD şemasının ve Configuration bölümünün hazırlanmasında kritik rol oynar ve ilk kurulum adımında mutlaka kullanılması gerekir. Setup.exe /PrepareAllDomains komutu ise, tüm Domain Controller'ların Exchange Server için uygun hale getirilmesini sağlar ve kurulumun son aşamalarında kullanılmalıdır.

1- PrepareAD Komutu

Amaç: Exchange Server'ın kurulumu öncesinde, Active Directory Forest'ını ve ilk Active Directory (AD) Domain Controller'ı hazırlamak.

Kapsam: Tüm Active Directory Forest'ı ve komutun çalıştırıldığı Active Directory (AD) Domain Controller için geçerlidir.

Yapılan Değişiklikler

Schema Güncellemeleri: Active Directory şemasını Exchange Server için genişletir. Bu, Exchange Server'ın çalışabilmesi için gerekli olan tüm schema genişletmelerini içerir.

Örnek: ms-Exch-Mailbox Attribute'u gibi Exchange'e özel yeni Attribute'lar eklenir.

Configuration Partition Güncellemeleri: AD Configuration bölümünde değişiklikler yapar ve Exchange'in yapılandırma bilgilerinin saklandığı yeni konteynerlar oluşturur.

Örnek: CN=Microsoft Exchange konteyneri altında Exchange'e özgü yapılandırma nesneleri oluşturulur.

İlk Domain Controller Güncellemeleri: İlk Active Directory (AD) Domain Controller'ı Exchange için hazırlar ve gerekli izinleri atar.

Örnek: Exchange Trusted Subsystem grubuna gerekli izinler verilir.

Güvenlik Grupları: Exchange Server için gerekli olan yeni güvenlik gruplarını oluşturur.

Örnek: Exchange Organization Administrators gibi gruplar oluşturulur.

DomainPrep İşlemleri: İlk Domain Controller'da gerekli hazırlıkları yapar.

Örnek: CN=Microsoft Exchange System Objects adlı Organizational Unit (OU) oluşturulur.

2- PrepareAllDomains Komutu

Amaç: Exchange Server'ın tüm Active Directory Domain Controller'ları için gerekli hazırlıkları yapmak.

Kapsam: Tüm Active Directory Domain Controller'lar için geçerlidir.

Yapılan Değişiklikler

DomainPrep İşlemleri: Tüm Active Directory Domain Controller'larda gerekli hazırlıkları yapar.

Örnek: Her Active Directory Domain Controller'da CN=Microsoft Exchange System Objects adlı Organizational Unit (OU) oluşturulur.

Domain Controller İzinleri: Her Active Directory Domain Controller'daki kullanıcı ve grup nesnelerine gerekli izinleri ekler.

Örnek: Exchange Trusted Subsystem grubuna, Domain Controller'daki tüm kullanıcı ve grup nesnelerine okuma/yazma izinleri verilir.

Karşılaştırma Tablosu

Özellik PrepareAD PrepareAllDomains
Kapsam Tüm Active Directory Forest ve ilk Domain Controller Tüm Domain Controller'lar
Schema Güncellemeleri Evet Hayır
Configuration Partition Güncellemeleri Evet Hayır
DomainPrep İşlemleri İlk Domain Controller Tüm Domain Controller'lar
Güvenlik Grupları Evet Hayır
İzinler İlk Domain Controller Tüm Domain Controller'lar
Exchange Nesneleri Evet Hayır


Active Directory Domain Hazırlama işlemi için CMD (Command Promt) komut istemini "Run as Administrator" ile açarak komut satında kurulum dosyalarının olduğu dizine erişiyor, ardından aşağıdaki komutu yazarak Domain Hazırlama işlemine başlıyorum.

Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms_DiagnosticDataON

Exchange Server 2019 kurulumu

Exchange Server 2019 CU11 öncesi _DiagnosticDataON ya da _DiagnosticDataOFF komut eklentileri olmadan aşağıdaki gibi kullanılıyordu.

exchange server 2019 kurulumu
 

Exchange Server 2019 Kurulumu

Yukarıdaki tüm adımlar başarılı bir şelilde tamamlandıktan sonra sıra, Exchange Server 2019 Kurulumu gerçekleştirme adımına geldi. Exchange Server 2019 kurulum işlemini CMD (Command Promt) üzerinden ya da Exchange Server ISO dosyasındaki setup.exe'den olmak üzere iki farklı yoldan gerçekleştirebilirsiniz. Tercih Sizindir.

1- Unattended Mode Kurulum 
Exchange Server'ı Unattended Mode'da kurmak için CMD-Command Promt (komut satırı) parametreleri kullanılır. Bu parametreler, kurulum sırasında hangi ayarların ve lisans şartlarının kabul edileceğini belirtir.

Unattended Mode Kurulum Parametreleri:
/Mode:Install: Kurulum modunu belirtir.
/IAcceptExchangeServerLicenseTerms: Lisans şartlarının kabul edildiğini belirtir.
/InstallWindowsComponents: Gerekli Windows bileşenlerinin kurulmasını sağlar.
/Roles: Kurulacak Exchange Server rollerini belirtir (Ör. /r:MB). Bu parametre, Mailbox ve Client Access rollerini tek bir parametre ile kurar.
/OrganizationName: Organizasyon adını belirtir.

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /mode:Install /r:MB

exchange server 2019 kurulumu

exchange server 2019 kurulumu

exchange server 2019 kurulumu

2- GUI-Graphical User Interface İle Exchange Server 2019 Kurulum
Kurulum işlemini GUI-Graphical User Interface üzerinden ISO (yükleme medyası) içindeki Setup.exe üzerinden gerçekleştirmek istersem, Setup.exe'yi Run as administrator ile çalıştıp, yönergeleri takip etmem yeterli olacaktır. 

2.1- İlgili ISO dosyasını Mount edip, Setup.exe'yi Run as administrator olacak çalıştırıyorum.

exchange server 2019 kurulumu

2.2- Check for Updates penceresinde Internet'e bağlanıp güncelleştirmelerin indirilmesi için Connect to the Internet and check for updates seçeneği işaretli haldeyken Next butonuna basıyoruz.

exchange server 2019 kurulumu
exchange server 2019 kurulumu

2.3- Kurulum için gerekli dosyalar kopyalanıyor...

exchange server 2019 kurulumu
exchange server 2019 kurulumu

2.4- Exchange Server 2019 Kurulumu başlatılıyor...

exchange server 2019 kurulumu

2.5- Exchange Server 2019 Kurulum işlemine geçmek için Next butonuna basıyorum.

exchange server 2019 kurulumu

2.6- Lisans sözleşmesini kabul ediyorum.

exchange server 2019 kurulumu

2.7- Varsayılan ayarları ile kurulmasını istiyorum.

exchange server 2019 kurulumu
 

Exchange Server 2019 Rolleri

En önemli kısım olan Exchange Server 2019 rollerin kurulumuna geldik. Server Role Selection penceresinde kurulacak olan rolleri seçiyoruz. İlk bakışta Mailbox role ve Edge role dikkatimizi çekiyor. Kuruluma devam etmeden önce rollerden kısaca bahetmek istiyorum.

Exchange Server rolleri, Exchange Server 2013'e kadar 3 ayrı rol olarak farklı Exchange Server'lara ya da hepsi tek bir Server'a kurulabiliyordu. Exchange Server 2013 ile birlikte bu 3 ayrı yol yerini, sadece Mailbox Role (MR) bırakmıştır. Bu üç rol, tıpkı Exchange Server 2016'da olduğu gibi, Exchange Server 2019'da da Mailbox Role altında birleşerek karşımıza çıkıyor.
Microsoft, rollerin tek sunucuda çalıştırılmasının performans açısından daha fazla verimlilik sağlayacağı konusuda bilgilendirme yapmıştı.

Mailbox Role seçimi ile birlikte kurulacak olan alt servisler aşağıdaki gibidir;

1- Front End Transport Service (eski CAS ROLE)
Front End Transport Service, E-Mail trafiğinin dışarıdan içeriye ve içeriden dışarıya yönlendirilmesinden sorumludur. Bu servis, E-Mail içeriğine bakmaz ve içerik filtrelemesi yapmaz. Görevi, SMTP (Simple Mail Transfer Protocol) kullanarak gelen E-Mail'leri almak ve Transport Service'e yönlendirmektir. Aynı şekilde, dışarıya gönderilecek E-Mail'leri Transport Service'ten alır ve hedef E-Mail sunucusuna iletir. TLS (Transport Layer Security) kullanarak E-Mail iletişiminin güvenliğini sağlar ve E-Mail'lerin şifreli bir şekilde iletilmesini temin eder. Bu sayede, kullanıcıların E-Mail trafiği güvenli ve hızlı bir şekilde yönetilir. Ayrıca, bu servis load balancing (yük dengeleme) işlemlerini de destekler, böylece gelen ve giden E-Mail trafiği birden fazla sunucu arasında dengeli bir şekilde dağıtılabilir. Bu durum, yüksek trafik hacmi olan ortamlar için önemlidir ve sistemin performansını ve güvenilirliğini artırır.

2- Transport Service (eski HUB Transport Server ROLE)
Transport Service, E-Mail'lerin alınması, kategorize edilmesi ve sınıflandırılması işlemlerini gerçekleştirir. Front End Transport Service'ten gelen E-Mail'leri alır ve alıcı adreslerine göre ayırarak doğru Mailbox Transport Servisi'ne iletir. Bu servis, E-Mail yönlendirme politikalarını ve kurallarını uygular. Anti-spam ve anti-malware filtreleme işlemlerini gerçekleştirerek, zararlı içeriklerin sistemden geçmesini engeller. E-Mail'lerin iletim kuralları ve politikalarına uygun olarak yönlendirilmesini sağlar. Transport Service, E-Mail'lerin geçiş sürecinde çeşitli denetimler yapar ve gerekirse E-Mail'leri karantinaya alabilir veya reddedebilir. Bu servis, E-Mail'lerin doğru kullanıcılara ulaştırılmasını ve güvenli bir şekilde iletilmesini temin eder. İçeriği analiz eder ve E-Mail'lerin hangi kurallara göre işleneceğini belirler. Ayrıca, Transport Service yüksek güvenilirlik ve kullanılabilirlik sağlamak amacıyla DAG (Database Availability Group) gibi yüksek erişilebilirlik yapılarını destekler.

3- Mailbox Transport Service (Mailbox Server ROLE)
Mailbox Transport Service, iki ayrı servis bileşenine ayrılır: Mailbox Transport Delivery ve Mailbox Transport Submission.

3.1- Mailbox Transport Delivery
Transport Service tarafından iletilen E-Mail'leri alır ve Local Mailbox database'lerine RPC (Remote Procedure Call) protokolünü kullanarak teslim eder. Bu süreçte, E-Mail'lerin doğru Mailbox'a ulaştırılmasını sağlar. Mailbox Transport Delivery, E-Mail'leri Mailbox database'ine yazarak kullanıcıların erişimine sunar. E-Mail'lerin güvenli ve hızlı bir şekilde iletilmesi için gerekli olan tüm işlemleri yapar. Ayrıca, E-Mail'lerin iletim sırasında herhangi bir veri kaybı veya hata yaşanmaması için gerekli olan kontrolleri gerçekleştirir. Bu servis, kullanıcıların gelen kutularının güncel ve doğru şekilde olmasını sağlar.

3.2- Mailbox Transport Submission
Local Mailbox hesaplarından çıkan E-Mail'lerin dışarıya iletilmesini sağlar. Kullanıcıların gönderdiği E-Mail'leri alır ve Transport Service'e ileterek, bu E-Mail'lerin dışarıya gönderilmesini temin eder. Mailbox Transport Submission, E-Mail'lerin doğru alıcılara ulaşmasını sağlar ve gönderim sırasında gerekli olan güvenlik ve protokol gereksinimlerini karşılar. Bu servis, E-Mail'lerin dışarıya gönderilmesi sürecinde gerekli olan tüm işlemleri yapar ve E-Mail'lerin doğru bir şekilde iletilmesini sağlar. Kullanıcıların E-Mail gönderme işlemlerinin güvenli ve verimli bir şekilde gerçekleştirilmesini temin eder. Ayrıca, bu servis MAPI (Messaging Application Programming Interface) üzerinden gelen E-Mail'leri işler ve SMTP üzerinden Transport Service'e gönderir.

Sonuç olarak, Front End Transport Service, Transport Service ve Mailbox Transport Service birlikte çalışarak, E-Mail trafiğinin güvenli, hızlı ve verimli bir şekilde yönetilmesini sağlar. Bu servislerin her biri, E-Mail yönlendirme, iletim ve teslim süreçlerinde kritik rol oynar ve kullanıcıların E-Mail deneyimlerinin sorunsuz olmasını temin eder.

Exchange Server 2016 Kurulumu

Servisler arasındaki ilişkinin nasıl işlediği ve e-posta trafiğinin nasıl çalıştığı ile ilgili daha fazla bilgi edinmek için Exchange Server 2019'da Gelen E-Posta Akış Trafiği (Mail Flow) Nasıl İşler? konulu makalemi okuyabilirsiniz.

4- Edge Transport Role
Edge Transport Role, Exchange Server 2019'un güvenlik mimarisinde kritik bir rol oynar. Organizasyonun dahili ağını dış tehditlere karşı koruyan ve e-posta trafiğini güvenli hale getiren bu rol, Firewall'un dışında, DMZ (Demilitarized Zone) bölgesinde yer alır. Exchange Server 2007 ile tanıtılan ve sonraki sürümlerde de kullanılan Edge Transport Role, e-posta güvenliğini artırmak ve spam ile kötü amaçlı yazılımların engellenmesi gibi önemli işlevleri yerine getirir. Exchange Server 2019'da, bu rol daha da geliştirilmiş ve optimize edilmiştir. Aşağıda, bu rolün işlevselliği, teknik detayları ve diğer Exchange sürümleriyle karşılaştırılması yer almaktadır.

Genel Bakış
Edge Transport Role, Exchange Server ortamının güvenliğini sağlamak amacıyla tasarlanmış özel bir rolüdür. Bu rol, gelen ve giden e-postaları tarayarak, istenmeyen e-postaların ve kötü amaçlı yazılımların iç ağa girmesini engeller. Edge Transport sunucuları, organizasyonun dahili Exchange sunucuları ile internet arasında bir güvenlik katmanı oluşturur.

Firewall ve DMZ

Edge Transport Role, organizasyonun Firewall'un dışında, DMZ (Demilitarized Zone) olarak adlandırılan bölgede konumlanır. Bu yerleşim, Edge Transport sunucusunun, iç ağdaki diğer sunuculara doğrudan erişim olmadan dış dünyadan gelen e-posta trafiğini işleyebilmesini sağlar. Bu sayede, iç ağdaki sunucular ve veriler, dış tehditlere karşı daha iyi korunur.

Spam ve Kötü Amaçlı Yazılım Filtreleme

Edge Transport sunucusu, gelen e-postaları tarayarak spam ve kötü amaçlı yazılımları engeller. Bu işlem, çeşitli filtreleme teknolojileri kullanılarak gerçekleştirilir. Connection Filtering Gelen bağlantıların kaynak IP adreslerini kontrol eder ve istenmeyen bağlantıları engeller.

Content Filtering: E-postaların içeriğini analiz ederek spam ve kötü amaçlı yazılımları tespit eder.
Sender Filtering: Belirli göndericilerden gelen e-postaları engeller.
Recipient Filtering: Belirli alıcılara yönelik e-postaları engeller.

E-posta Politikaları ve Kuralları

Edge Transport sunucusu, organizasyonun e-posta politikalarını uygulamak için çeşitli kurallar ve politikalar tanımlayabilir. Bu kurallar, e-postaların içeriğini, başlıklarını ve eklerini kontrol ederek uygun olmayan e-postaların iç ağa ulaşmasını engeller. Ayrıca, giden e-postaların da belirli politikalar doğrultusunda işlenmesini sağlar.

İleti Akışı ve Yönlendirme

Edge Transport sunucusu, gelen ve giden e-postaların doğru şekilde yönlendirilmesini sağlar. Gelen e-postalar, dahili Exchange sunucularına iletilmeden önce Edge Transport sunucusu tarafından işlenir. Benzer şekilde, giden e-postalar da önce Edge Transport sunucusu tarafından işlenir ve ardından dış dünyaya iletilir. Bu işlem, e-postaların güvenli ve doğru bir şekilde iletilmesini sağlar.

Exchange Server 2019'daki İyileştirmeler

Exchange Server 2019, önceki sürümlere göre önemli iyileştirmeler ve optimizasyonlar sunar. Edge Transport Role de bu iyileştirmelerden faydalanarak daha güvenli, performanslı ve yönetilebilir hale gelmiştir.

Gelişmiş Güvenlik Özellikleri

Exchange 2019, daha gelişmiş güvenlik özellikleri ve filtreleme mekanizmaları sunar. Bu, zararlı içeriklerin tespitini ve engellenmesini daha etkili hale getirir. Yeni güvenlik politikaları, sistemin genel güvenliğini artırır ve dış tehditlere karşı daha güçlü bir koruma sağlar.

Yüksek Performans

Exchange 2019, Edge Transport Role'ün performansını önemli ölçüde artırmıştır. Daha hızlı işlemci kullanımı ve gelişmiş bellek yönetimi, e-posta trafiğinin daha verimli bir şekilde işlenmesini sağlar. Bu iyileştirmeler, özellikle yüksek hacimli e-posta trafiği olan organizasyonlar için performans avantajları sunar.

Kolay Yönetim ve İzleme

Exchange 2019'da, Edge Transport Role'ün yönetimi ve izlenmesi daha kullanıcı dostu hale getirilmiştir. Yeni yönetim araçları ve izleme mekanizmaları, yöneticilerin rol performansını ve güvenliğini daha iyi izlemesini sağlar. Ayrıca, merkezi yönetim konsolu üzerinden yapılandırma ve izleme işlemleri daha kolay hale getirilmiştir.

Diğer Exchange Sürümleriyle Karşılaştırma

Exchange Server 2010
Exchange Server 2010'da, Edge Transport Role ilk olarak tanıtıldı ve e-posta güvenliği sağlama konusunda önemli bir rol oynadı. Ancak, bu sürümdeki güvenlik ve performans özellikleri, Exchange 2019'a göre daha sınırlıydı. Exchange 2010, temel filtreleme ve güvenlik özellikleri sunarken, performans ve yönetim açısından bazı sınırlamalar içeriyordu.

Exchange Server 2013 ve 2016
Exchange Server 2013 ve 2016, Edge Transport Role'ün performansını ve güvenlik özelliklerini önemli ölçüde geliştirdi. Bu sürümler, daha gelişmiş filtreleme mekanizmaları ve güvenlik politikaları sunarak e-posta güvenliğini artırdı. Ayrıca, yönetim ve izleme araçları da daha kullanıcı dostu hale getirildi. Ancak, Exchange 2019, bu sürümlere kıyasla daha yüksek performans ve gelişmiş güvenlik özellikleri sunarak önemli bir ilerleme kaydetti.

2.8- Mailbox role seçeneğini seçip, kurulum sırasında Exchange Server kurulumu sırasında gerekli rol ve özelliklerin kurulumu için Automatically install Windows Server roles and features that are required to install Exchange Server seçeneğini de seçerek next butonuna basarak kuruluma devam ediyorum.

exchange server 2019 kurulumu

2.9- Installation space and Location penceresinde kurulum yapılacak Disk dizin yolunu gösteriyor. Varsayılan halini bırakıp, next butonuna basarak kuruluma devam ediyorum.

exchange server 2019 kurulumu

2.10- Gereksinimler kontrol edilir. Eğer sağlanması gereken eksikler tespit edilirse yine bu aşamada listelenir. Sorun yoksa, install butonuna basarak Exchange Server 2019 kurulumuna başlayabiliriz.

exchange server 2019 kurulumu
exchange server 2019 kurulumu

2.11- Exchange Server 2019 Kurulumu başladı...

exchange server 2019 kurulumu
exchange server 2019 kurulumu
exchange server 2019 kurulumu
exchange server 2019 kurulumu

2.12- Uzun bir uğraşın sonunda Exchange Server 2019 kurulumu başarılı bir şekilde tamamlandı. Finish butonuna tıklamadan önce Launch Exchange Administration Center after finishing Exchange setup seçeneğine tıklarsanız, Web Browser içerisinde Web tabanlı yönetim ara yüzü olan Exchange Admin Center (EAC) açılır.  Ben, bu noktada bu seçeneği seçmeden Finish butonuna tıklayarak Setup Wizard'ı sonlandırıyorum.

exchange server 2019 kurulumu

2.13- CMD (Command Promt) Üzerinden Exchange Server 2019 Kurulum başlığı altında komut istemi üzerinden kurulum başlamış olsaydık kurulum, aşağıdaki şekilde tamamlanmış olacaktı.

exchange server 2019 kurulumu

2.14- Exchange Server 2019 Kurulumu tamamlandıktan sonra, Exchange Server versiyon ve sürüm bilgilerini görüntülemek için;

Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion

komutunu kullanabilirsiniz.  

exchange server 2019 kurulumu

2.15- Ek olarak Exchange Server Sürüm bilgilerini Microsoft'un Exchange Server build number and release dates sayfasından inceleyebilirsiniz. Bu sayda üzerinden çıkan Cumulative Update'leri de rahatlıkla takip edebilirsiniz. Exchange Admin Center (EAC)'a erişmek için Browser'da https://EXCHSRV001/ecp yazmak yeterlidir. SamAccountName giriş yordamı ile FIRATBOYAN\Administrator şeklinde Exchange Admin Center'a giriş yapıyorum.

exchange server 2019 kurulumu

exchange server 2019 kurulumu

Exchange Server 2019 Kurulum Sonrası Ayarlar

Exchange Server 2019 kurulum işleminden sonra bazı kurulum sonrası yapılması gereken yapılandırma işlemleri var.

1- Virtual Directory URL Yapılandırma Ayarları

Exchange Server 2019 kurulum işleminden sonra ilk yapmamız gerken işlem End-Point URL adreslerinin yapılandırılması olacak. Virtual Directory URL yapılandırma işlemini Exchange Control Panel (ECP) üzerinden de yapabilirsiniz ancak ben, bu işlemi Script kullanarak kolayca nasıl yapabileceğinizi göstereceğim. Tek bir Exchange Server Node'unuz varsa, ECP üzerinden daha kolay yapılabiliyor olsa da birden fazla Node'unuz varsa, Script kullanmak daha pratik olacaktır.

Bu URL'ler, Microsoft Outlook gibi e-posta uygulamalarının Exchange Server'daki Mapi, Outlook Anywhere, EWS (Exchange Web Services), OAB (Offline Address Book, Autodiscover ve ActiveSync gibi servislerine Network içinden ya da dışından https protokolü üzerinden erişebilmeleri ya da Microsoft Outlook uygulamasının WEB karşılığı olan OWA (Outlook Web Access) veya Exchange Server yöneticilerinin yönetim paneli olan ECP (Exchange Control Panel) erişimleri için gerekli olan URL'lerdir.

URL adresleri, Internal ve External olmak üzere ikiye ayrılıyor olup, kurulum sonrasında varsayılan olarak Internal Url adresleri Server FQDN (ör. exchsrv01.firatboyan.Local) olarak ayarlanmış şekilde karşımıza çıkmaktadır. Makelemin Internal DNS Yapılandırma Ayarları bölümünde Local DNS Server'ımda Split DNS yapılandırması yapacağım için, hem Internal hem de External URL adreslerini tek tip (ör. mail.firatboyan.com) olarak yapılandıracağım.

1.1- İlk olarak, GetExchangeURLs.ps1 Script'ini kullanarak, URL'lerimin durumunu kontrol ediyorum. Script'i çalıştırdıktan sonra, Server[0]: yazan alana ortamınızdaki tüm Node'ların  Host Name bilgisini yazarak tek seferde hepsini kontrol edebilirsiniz. Benim ortamımda tek Node olduğu için, Server[0]: yazan alana Host Name bilgisini yazıp, Server[1]: alanında Enter tuşuna basıp, Script'i çalıştırıyorum.

Exchange Server Virtual Directory Yapılandırma
Exchange Server Virtual Directory Yapılandırma

Virtual Directory URL'lerinizi ilgili Script yardımıyla kontrol edebileceğiniz gibi, aşağıdaki komutlar yardımıyla tek tek de kontrol edebilme imkanına sahipsiniz.

Get-OutlookAnywhere | Select Server,ExternalHostname,Internalhostname

Get-OwaVirtualDirectory | ft identity,internalurl,externalurl -AutoSize

Get-MapiVirtualDirectory | ft identity,internalurl,externalurl -AutoSize

Get-EcpVirtualDirectory | ft identity,internalurl,externalurl -AutoSize

Get-ActiveSyncVirtualDirectory | ft identity,internalurl,externalurl -AutoSize

Get-WebServicesVirtualDirectory | ft identity,internalurl,externalurl -AutoSize

Get-OabVirtualDirectory | ft identity,internalurl,externalurl -AutoSize

Get-ClientAccessService | fl identity,autodiscoverserviceinternaluri

1.2- Sonrasında Internal ve External URL adreslerinin yapılandırmasını ConfigureExchangeURLs.ps1 Script'ini referans göstererek aşağıdaki komutla kolaylıkla tek seferde oluşturuyorum. Ortamınızda birden fazla Exchange Server Node'u varsa, -Server parametresinden sonra virgülle ayırarak Host Name bilgisi yazıp, yine tek seferde hepsinin URL yapılandırma işlemini gerçekleştirebilirsiniz.

.\ConfigureExchangeURLs.ps1 -Server EXCHSRV01 -InternalURL mail.firatboyan.com -ExternalURL mail.firatboyan.com -AutodiscoverSCP autodiscover.firatboyan.com

Exchange Server Virtual Directory Yapılandırma
Exchange Server Virtual Directory Yapılandırma

1.3- Tekrar GetExchangeURLs.ps1 Script'i ile URL değişliklerini kontrol ettiğimde, URL yapılandırma işlemimin başarılı bir şekilde oluşturulduğunu görebiliyorum.

Exchange Server Virtual Directory Yapılandırma
Exchange Server Virtual Directory Yapılandırma

2- SSL (Secure Sockets Layer) Sertifikası Yapılandırma Ayarları

Virtual Directory URL yapılandırma işlemlerinden sonra sıra, SSL sertifikası yapılandırma işlemine geldi. Virtual Directory URL'lerinin bağlantıları, 443 Port numarası üzerinden https protokolünü kullandığı için, kurulan bağlantılarda güvenli bağlantı isteği sağlayabilmek için SSL sertifikası şarttır. Bir çok sertifika türü bulunmaktadır ancak ben, sadece yıldız sertifika (WildCard Certificate) oluşturma işlemlerini yürüteceğim. Wildcard SSL sertifikaları, sayısız Sub Domain'i (alt alan adı) koruma altına alır. Bu koruma, Virtual Directory URL'leri tanımlarken tanımladığımız Domain'e ait DNS kaydı/kayıtları da dahil, Web siteniz ve Web sitenize ait tüm Sub Domain'leri (alt alan adı) de geçerlidir. 

Wildcard sertifikamı, firatboyan.com Domain'i için oluşturacak olup, tanımlamamı *.firatboyan.com için yapacağım. Virtual Directory URL tanımlarken OWA, ECP, EWS, OAB, Mapi, Outlook Anywehere ve ActiveSync gibi Exchange Server servislerine mail.firatboyan.com şeklinde bir tanımlama yapmıştık. Ek olarak Autodiscover servisi için de autodiscover.firatboyan.com şeklinde bir tanımlama yapmıştık. Wildcard sertifika kullanımı ile hem Exchange Server hem de Web sitemiz için Domain ile ilişkili sınırsız sayıdaki tüm değişken DNS kayıtlarını kullabilir hale geliyoruz.

Wildcard sertifika ile örnek URL kullanımları:
Wildcard sertifikada tanımladığınız Domain için aşağıdaki şekilde sınırsız sayıda DNS kaydını sertifika için tanımladığınız firatboyan.com Domain'inde *.firatboyan.com için kullanabilme imkanına sahip olursunuz. Yukarıda verdiğim bilgilerin daha açıklayıcı olması için aşağıda bazı örnek kullanımları sıraladım.

mail.firatboyan.com (owa, ecp, ews, oab, mapi, outlook anywhere);
owa.firatboyan.com (owa)
posta.firatboyan.com (owa)
autodiscover.firatboyan.com
www.firatboyan.com (web)
ftp.firatboyan.com (web)

2.1- SSL sertifikası yapılandırma için öncelikle bir sertifika isteği (CSR-Certificate Signing Request) oluşturmamız gerekmektedir. CSR oluşturmak için servers > certificates altında Select server kısmında CSR oluşturulacak Exchange Server Node'unu seçtikten sonra artı (+) simgesine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma 

2.2- Karşıma çıkan pencerede Create a request from a certificate authority seçeneğini seçiyor, Next butonuna basarak devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

2.3- *Friendly name for this certificate alanında SSL sertifikam için bana anlamlı gelen bir görünen isim giriyor, Next butonuna basarak işlemime devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

2.4- Bu kısımda Request a wildcard certificate... seçeneğini işaretleyip, aşağıda açılan Text alanına *.firatboyan.com şeklinde Accepted Domain'de tanımlı olan E-mail adresleri için kullanılacak Domain adını yazıyorum.

Exchange Server Wildcard sertifika oluşturma

2.5- Bu kısımda *Store certificate request on this server alanında sertifika isteğinin (CSR) tutulacağı sunucuyu seçmem gerekiyor. Sertifika isteği (CSR), hangi sunucuda oluşturulmuşsa, sertifika tanımlamasının da o sunucu üzerinde yapılması gerekmektedir. CSR oluşturmak için Browse... butonuna tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.6- Ortamımda bulunan EXCHSRV01 Host Name'li sunucuyu seçiyor, OK butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

2.7- SSL sertifika Request'ini üzerinde tutacağım sunucuyu seçtikten sonra Next botonuna basarak devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

2.8- Bu kısımda şirketiniz ile ilgili şirket adı, il, ilçe, ülke gibi bilgiler girmemiz gerekiyor. Bilgileri girdikten sonra Next butonuna basıp, işlemime devam ediyorum.

Exchange Server Wildcard sertifika oluşturma

2.9- Sonraki adımda SSL sertifika Request'imi Exchange Server'ımın C$ altında oluşmuş olduğum paylaşım klasörünün UNC (Universal Naming Convention) Path bilgisini SSL sertifika Request'ime uzantısı .REQ olacak şekilde isim yazıyor, Finish botonuna basarak SSL Sertifikası Request oluşturma işlemimi sonlandırıyorum.

Exchange Server Wildcard sertifika oluşturma

2.10- Sertifika isteğimi başarılı bir şekilde oluşturdum. STATUS alanındaki durum bilgisi Pending request olarak görünüyor. Bu işlemle sadece Request oluşturma admını tamamlamış oldum. Request'i oluşturulan sertifikalar, oluşturulduğu Server'da Private Key bilgisi ile tutulur. Private Key, SSL sertifikalarının oluşturma talebinde kullanılan sertifikanın doğruluğunu kontrol etmek için üretilen özel bir anahtardır.  

Exchange Server Wildcard sertifika oluşturma

2.11- Exchange Management üzerinden de Pending request durumdaki sertifikamı,

Get-ExchangeCertificate | where {$_.Status -eq "PendingRequest" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint

komutuyla daha detaylı bir şekilde görüntüleyebilirim.

Exchange Server Wildcard sertifika oluşturma

2.12- SSL sertifika Request'imi Exchange Server'ımın C$ altında oluşmuş olduğum paylaşım klasörünün UNC (Universal Naming Convention) Path üzerinde kaydetmiştim. .REQ uzantılı bu Text dosyasında Hash'lenmiş bir şekilde SSL sertifika Request'imin bilgileri yer alıyor. Bu .REQ uzantılı dosyayı GlobalSign, VeriSign, Digicert, Comodo vb. gibi bir sertifika sağlayıcısına yollayıp, SSL sertifikanızı satın almanız gerekiyor.

Exchange Server Wildcard sertifika oluşturma

2.13- Satın aldığımız SSL sertifikamız elimize ulaştıktan sonra yapılamsı gereken, Reuqest'in Complete edilmesi, yani sertifkanın tanımlanmasıdır.

Exchange Server Wildcard sertifika oluşturma

2.14- SSL sertifika Request'imi Complete etme yani sertifkanın tanımlanması işlemi için servers > certificates altında Pending request durumda bekleyen sertifka isteğine tıklayıp, sağ bölümde bulunan Complete Link'ine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.15- Açılan pencere satın aldığım sertifikamı paylaşımlı bir klasör içine tutup, bu klasörün UNC (Universal Naming Convention) Path bilgisini *File to import from altındaki alana yazıyor, OK butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

2.16- Pending request durumda bekleyen sertifkamın Valid durumda olduğunu görebiliyorum. Sıra, sertifikam için ilgili servislerin ataması işlemine geldi. ilgili servislerin ataması işlemini yapmadan, sertifika kullanımı sağlanayacaktır. Bunun için üst bölümde bulunan kalem simgesine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.17- Açılan pencerede services altında SMTP ve IIS servislerini seçip, Save butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

2.18- Save butonuna bastıktan sonra karşıma çıkan Warning penceresinde Overwrite the existing default SMTP certificate? sorusunu Yes butonuna basarak onayladıktan sonra kapatıyorum.

Exchange Server Wildcard sertifika oluşturma

2.19- İlgili servislerin tanımladığımız sertifikaya atandığını, sertifikamızın durumunun da Valid yani geçerli olduğunu görebiliyorum.

NOT: Bu işlemlerden sonra mutlaka CMD ya da PowerShell konsolunu Run as administrator olarak çalıştrırıp, konsolunu IISRESET komutu ile IIS servislerini Restart etmeyi unutmayın!

Exchange Server Wildcard sertifika oluşturma

2.20- Sertifikamızın geçerlilik durumunu ve detaylı bilgilerini

Get-ExchangeCertificate | where {$_.Status -eq "Valid" -and $_.IsSelfSigned -eq $false} | Format-List FriendlyName,Subject,CertificateDomains,Thumbprint,NotBefore,NotAfter

komutuyla görüntüleyebilirim.

Exchange Server Wildcard sertifika oluşturma

2.21- Sıra, tanımlanan SSL sertifikasının Client Access Service (CAS), başka bir ifade ile Front End Transpot Service, tanımlamasını yapmaya geldi. Client'lar, Transport Service (Exchange Back End) hizmetlerine doğrudan bağlanmazlar. Https protokolü üzerinden gelen Client bağlantı istekleri ilk önce Client Access Service (CAS) tarafından karşılanır. Client Access Service (CAS), tüm Client bağlantı isteklerini kabul etmekten sorumludur ve gelen bu bağlantıları Exchange Mailbox Server'daki Transport Service (Exchange Back End) hizmetlerine yönlendirir. Bu nedenle gelen Client bağlantı istekleri ilk önce Client Access Service (CAS) tarafından karşılanğı için, SSL sertifikasının Transport Service (Exchange Back End) Binding'lerinde tanımlanması gerekmektedir.

Exchange Server Wildcard sertifika oluşturma

Bunun için öncelikle IIS Manager'ı açıyor, Server Certificates altında sertifikamın oluştuğunu görüyorum.

Exchange Server Wildcard sertifika oluşturma

Exchange Server Wildcard sertifika oluşturma

2.22- Default Web Site (Front End Transport-CAS) üzerine tıklayıp, sağ bölümde Bindings... Link'ine tıklıyorum.

Exchange Server Wildcard sertifika oluşturma

2.23- https için oluşturulmuş olan Site Bindig'leri alaşağıdaki gibidir.

Exchange Server Wildcard sertifika oluşturma

2.24- Her iki Site Binding'e tek tek tıklayıp açtıktan sonra SSL certificate menüsünden oluşturduğum SSL sertifikasını seçip, OK butonuna basıyorum.

Exchange Server Wildcard sertifika oluşturma

Exchange Server Wildcard sertifika oluşturma

2.25- Bu işlemlerden sonra CMD ya da PowerShell konsolunu Run as administrator olarak çalıştrırıp, konsolunu IISRESET komutu ile IIS servislerini Restart ediyorum.

Exchange Server Wildcard sertifika oluşturma

2.26- Browser üzerinden daha önce tanımladığım Virtual Directory URL bilgisi ile ECP'ye (Exchange Control Panel) erişim sağlatığımda, sertifikamın başarılı bir şekilde tanımlandığını görebiliyorum.

Exchange Server Wildcard sertifika oluşturma
 

3- External DNS Yapılandırma Ayarları

Exchange Server DNS kayıtları, Local ortamınızda bir DNS hizmeti verip, bunu da Firewall'dan dışarıya açmadıysanız, hizmet sağlayıcınız üzerinden yönetilmektedir. İlgili DNS kayıtlarını, servis sağlayıcınızın size sunduğu DNS panel yönetim konsolu üzerinden oluşturmalısınız. Bu kayıtlar aşağıdaki gibidir.

Host (A): Ör. exmail.firatboyan.com.
Exchange Control Panel (ECP), Outlook Web App (OWA), Outlook Anywhere (RPC over HTTP), MAPI (Mapi over HTTP), Offline Address Book (OAB), Exchange Web Services (EWS), POP3, IMAP4 gibi servislerin kullanımı için gerekli Host (A) kaydıdır.
• MX (Mail exchanger)
• PTR (Pointer)
• SPF (Sender Policy Framework)
• Autodiscover

 
Exchange Server DNS Kayıtları

3.1- MX (Mail Exchanger) Kaydı:
MX kayıtları; bir e-posta hesabına gelen e-postaları, kullanıcının e-posta hesaplarını barındırdığı SMTP Server'a yönlendirilmesini sağlayan alan adınız ile ilişkilendirilmiş DNS kayıtlarıdır. Başka bir ifade ile; Şirket içerisinde ve dışarısındaki SMTP Server'lar, bir birlerini DNS’te yer alan MX (Mail Exchanger) kayıtlarından bulurlar. Sorgulama yapılırken ilgili Domain ismine gidilir ve o Domain'e SMTP Server'ın nerede olduğu sorulur. Eğer MX kayıtlarınızı girmezseniz, dış dünyadan e-posta alamazsınız. Çünkü size atılan e-postaların hangi IP'de sonlanacağı, gönderen tarafından bilinemez.
DNS'in MX kaydını sorgulayabiliyor olduğunu CMD üzerinden nslookup -querytype=mx firatboyan.com komutu ile kontrol edebilirsiniz.

3.2- SPF (Sender Policy Framework) Kaydı: 
Sender Policy Framework (SPF) kaydının amacı, SPAM iletilerin engellenmesidir. Bir çok SMTP Server, üzerinde SPF kaydı olmayan alan adlarına ait e-posta hesaplarından e-posta kabul edilmemekte veya önemsiz klasörüne düşmektedir.

Bu nedenle; SMTP Server'ınızdan farklı bir SMTP Server'a e-posta iletirken, iletimi gerçekleştirmek istediğiniz taraf, sizi doğrulamak için SPF kaydınızı sorguluyor olabilir.
Bundan dolayı Sender Policy Framework (SPF) kaydı, alan adınızın (Domain) hangi SMTP Server üzerinden e-posta gönderme iznine sahip olduğunu tanımlamanız gerekmektedir. Böyle bir durumda sorunlarla karşılaşmamak için aynı DNS Zone altında MX kaydına ek olarak SPF kaydı da oluşturun.

NOT: Sender Policy Framework (SPF) kayıtları TXT kaydı olarak eklenmektedir.

SPF'yi örnek vererek biraz daha net hale getireyim:
ör. mail@firatboyan.com mail hesabımın bulunduğu Exchange Server üzerinden mailin çıkış IP Adresi 31.210.64.2 olsun. mail@firatboyan.com e-posta hesabımdan Google'ın mail hizmeti olan gmail.com uzantılı bir e-posta adresine mail gönderimi gerçekleştirdiğimde, üzerindeki SPF  kayıtlarını kontrol eden Server, SPF  kaydı içinde 31.210.64.2 IP adresini doğrulayamazsa gönderilen Mail'i reddeder. SPF kayıtlarını yapılandırırsak, SPF kaydı içerisinde 31.210.64.2 IP adresi olacağı için Server tarafından kabul edilecektir.

Text alanına, v=spf1 a mx ip4:31.210.64.2 -all  yazıyorum.
Bu, 31.210.64.2 IP adresindeki tüm Host (A) kayıtları ile ilişkili olan MX kayıtları demektir.

İlgili SPF kaydı girilten sonra, CMD (Command Promt) üzerinden;
nslookup -querytype=txt firatboyan.com komutu ile kontrol edilebilir.

Exchange Server DNS Kayıtları

3.3- PTR (Pointer) Kaydı:
PTR kaydı, sizin DIŞ DNS hizmetinizi aldığınız alandan eklenebilecek bir kayıt türü değildir. Bu kayıt türü, ISP'niz tarafından açılıp, devreye alınmaktadır. Bu kaydı açtırmak için, ISP'nize PTR kaydı açtırma talebi iletmeniz gerekmektedir. Eğer bu kayıt oluşturulmazsa, göndermiş olduğunuz e-posta, SPAM olarak etiketlenecektir.

3.4- Autodiscover Kaydı:
İlk kez Exchange Server 2007’de gelen Autodiscover servisi, Client'ın Outlook ayarlarının otomatik olarak gerçekleştirilmesi için kullanılan bir servistir. Biraz daha netleştirecek olursak;
Bir e-posta kullanıcısı, genelde iki bilgiye sahip olur. Bu bilgiler, E-posta adresi ve parola bilgileridir. Ancak aynı kullanıcı; Exchange Server adresi (hangi Exchange Server'a erişeği), bu Exchange Server'ın SSL/TLS isteyip istemediği, hangi Port üzerinden yayın yapıldığı gibi bilgilere sahip değildir. İşte Autodiscover servisinin çıkış noktası tam da burasıdır. Özetle Autodiscover servisi, bir e-posta istemcisinin, erişim ve hizmet ayarları için ihtiyaç duyduğu gerekli ayarları otomatik olarak sağlayan servistir.

Temel çalışma mantığı şu şekildedir:
1- Client, Autodiscover URL adresine "Autodiscover Request" gönderir.
2- IIS (Internet Information Services) üzerinden sunulan Autodiscover servisi (Client Access Service-CAS), isteği işler. Kimlik doğrulama yapar ve o kullanıcı için doğru ayarları bulur.
3- Client'a cevap olarak bir Autodiscover.xml dosyası gönderir.
4- Client, bu dosya içindeki bilgilere göre e-posta profilini oluşturup gerekli ayarlarını yapılandırır.

Desktop tabanlı Mail Client’lar Autodiscover URL‘e ulaşmak için sırasıyla 4 bulma yöntemi denerler. Eğer Autodiscover URL’i bulmak için denenen ilk yöntem başarısız olursa sonraki ve gerekli ise daha sonraki bulma yöntemlerine geçilir. Eğer yöntemlerden biri ile URL’e ulaşılırsa sonraki bulma yöntemleri denenmez.

3.4.1- Service Connection Point (SCP) URL
Domain-Member bir bilgisayar, Autodiscover için Active Directory Configuration Partition’da bulunan Service Connection Point-SCP (Servis Bağlantı Noktası) nesnesini sorgular. SCP kaydını oraya yazan ise setup/config sırasında Exchange Server’dır ve içerisinde Internal Autodiscover URL bilgisi yer alır.

SCP bilgisi, ADSI Edit üzerinde Configuration > Services > Microsoft Exchange > Organization Adı (FIRATBOYAN) > Administrative Groups > Exchange Administrative Group (FYDIBOHF23SPDLT) > Servers > Host Name (EXCHSRV01) > Protocols > Autodiscover  altındaki serviceBindingInformation Attribute değerinde yer almaktadır.

exchange server autodiscover service binding information

exchange server autodiscover service binding information

Eğer Domain-Member Client, SCP’den Autodiscover URL bilgisini okuyabilirse, bunu alır ve servise ulaşmak için kullanır. Bu bulma yönteminde SCP’den dönen URL bilgisi, Client Access Service'in (Exchange Server) iç erişim adreslerini işaret eder.

https://EXCHSRV01.firatboyan.Local/autodiscover/autodiscover.xml

Yukarıdaki bu Internal URL yordamı, SCP erişimi için kullanılmaktadır ve bu ilk Autodiscover URL bulma yöntemi, Workgroup Client'lar için geçerli değildir. Çünkü Workgroup Client'lar, mimari gereği Autodiscover URL bilgisini SCP’den sorgulamazlar ancak şunu özellikle belirtmek gerekir ki bir Domain-Member Client, fiziksel bağlantı ya da VPN erişimi anlamında Exchange Server'ın bulunduğu Network içinde değilse, SCP sorgulaması yapılamayacaktır. Her iki durumda da Client'lar, sıradaki diğer bulma yöntemlerini kullanarak ileyeceklerdir.

NOT: Bu Internal URL genellikle,  Virtual Directory URL Yapılandırma makalemde bahsetmiş olduğum gibi, dijital sertifika içinde e-posta adresiniz için kullandığınız Domain tarafında bir sorun yaşamamanız için External URL yapısına dönüştülür.

SCP'deki Autodiscover URL bilgisini

Get-ClientAccessService | fl identity,autodiscoverserviceinternaluri

komutu yardımıyla Exchange Management Shell (EMS) üzerinden de sorgulayabilirsiniz.

exchange server autodiscover url

3.4.2- Hard-coded URLs
Eğer bir Client, Domain-Member değil ise, yani bir Workgroup Client ise, Mail Account’un Domain Suffix’ini (ör. firatboyan.com) referans alıp birkaç Hard-Coded Autodiscover URL kombinasyonunu türetir ve yine belirli bir sırada DNS servisinden IP adreslerini sorgular.

Eğer bir Client, Domain-Member olduğu halde, ör. VPN iletişimi olmaması gibi bir nedenden ötürü, SCP kaydını okuyamazsa, yine aynı şelilde Mail Account’un Domain Suffix’ini referans alıp aşağıdaki gibi Hard-Coded Autodiscover URL kombinasyonlarını türetir ve yine belirli bir sırada DNS servisinden IP adreslerini sorgular. 

Buna göre ör. mail@firatboyan.com olan bir-posta hesabı için türetilen URL, ilk etapta aşağıdaki gibi türetilecektir. Client, bu ilk URL'den doğru bir yanıt alamazsa, ki çoğunlukla alamaz. Bunun nedeni, e-posta Domain'i için dış DNS hizmetinize erişildiğinde firatboyan.com Domain'indeki Web sitesine bağlı autodiscover Virtual Directory'sine erişip, buradan da bu Virtual Directory içindeki autodiscover.xml dosyasını okumaya çalışacaktır. Sizin Domain'inizde de autodiscover adında bir Virtual Directory ve bu Virtual Directory içinde de ilgili XML dosyası olmayacağı için, buradaki Autodiscover Request işlemi başarısız olacaktır. 

https://firatboyan.com/autodiscover/autodiscover.xml

Aşağıdaki URL yordamı, External URL'ler için, DIŞ DNS'teki Autodiscover Host (A) kaydına karşılık gelen Public IP adresinin sorgulanması için kullanılmaktadır. Dikkat ederseniz, her iki URL de HTTPS’tir. Çünkü Mail Client’ın Autodiscover servisinden bilgileri alabilmesi için öncelikle User Name ve Password bilgilerini göndererek kimlik doğrulaması (Authentication) gerçekleştirmesi gerekir. Yine HTTPS sayesinde hassas bilgilerin gönderileceği sunucunun da gerçekten gitmek istediği sunucu olup olmadığını doğrulama şansına sahip olur. Bu yüzden URL’ler Secure ve dijital sertifika tabanlıdır.

Secure HTTP sayesinde;
• İletişim öncesinde Server tarafından Client'a gönderilen dijital sertifika vasıtasıyla Client'ın User Name ve Password ile Credential bilgisi göndereceği Server'ı doğrulama şansı olur. 
• Client’ın kimlik doğrulama için Server'a gönderdiği Credential bilgisinin transferi sırasında Man-in-the-middle gibi araya girme ataklarına karşı güvenliği artırır.

https://autodiscover.firatboyan.com/autodiscover/autodiscover.xml

Eğer URL’lerden birinde doğru Exchange Server Autodiscover servisiyle karşılaşırsa Client, HTTP POST ile Credential (User Name ve Password) bilgisi gönderir ve kendini tanıtarak süreci ilerletir.

3.4.3- HTTP Redirection
Eğer Mail Client, bu aşamaya kadar geldiyse, bir önceki yöntemde doğru HTTPS URL’lere ulaşamamış demektir. Bu durumda yine Mail Account’un Domain Suffix’ini (ör. firatboyan.com) referans alarak aşağıdaki gibi Secure olmayan bir HTTP URL türetir.

http://autodiscover.firatboyan.com/autodiscover/autodiscover.xml

Türetilen bu HTTP URL ile bu sefer GET işlemi yapar ve GET metoduyla çağırılan istek (Request), HTTPS olmadığı ve dijital sertifika gereksinimi olmadığı için sunucu kimlik doğrulaması yapılmaz. Ek olarak HTTP Redirection için istemci kimlik doğrulaması (Client Authentication) gerekmediği için Credential (User Name ve Password) bilgisi gönderilmez. Buradan tam olarak doğru Autodiscover servisine ait Secure HTTP URL’e yönlendirilip yönlendirilmediğine bakar, yani aslında bu HTTP servise herhangi bir bilgi göndermez. Yani POST işlemi yapmaz ve herhangi bir yapılandırma ayarı beklemez. Sadece HTTP Redirection (yeniden yönlendirme) için 301 veya 302 yanıtı bekler. Eğer bir yanıt alırsa, bu durumda HTTP URL ile işi biter ve yönlendirme mesajıyla öğrendiği HTTPS URL’e gidip, tıpkı 2. adımdaki gibi sunucu kimlik doğrulama sonrası POST yaparak Credential bilgisi gönderme ve servis ayarlarını alma sürecini ilerletir.

3.4.4- DNS SRV Kaydı
Eğer önceki bulma yöntemlerinden hiçbiri Client’ı bir Autodiscover servisine ulaştıramazsa Client, son olarak firatboyan.com’un DNS Zone’una aşağıdaki SRV kaydının karşılığını sorar. 

_autodiscover._tcp.firatboyan.com

Bu kaydın karışılığı, aşağıdaki gibi bir HTTPS URL olmalıdır.

https://autodiscover.firatboyan.com/autodiscover/autodiscover.xml

Client, bu URL’i alabilirse, Autodiscover iletişimini başlatmayı dener. Eğer bu aşamada da doğru bir URL alamazsa, Client için Autodiscover macerasının sonu demektir ve kullanıcıdan gerekli e-posta servis bilgilerini Manual olarak girmesi istenir. Giremez ise e-posta hesabı ekleme işlemi başarısız bir şekilde sonlanır.

5- Exchange Server için NAT ve Firewall Policy Yapılandırması

5.1- 25 Port'unun ISP (Internet Service Provider-Internet Servis Sağlayıcı) üzerinden açılması

Firewall üzerinde NAT ve Policy yapılandırması işlemini gerçekleştirmeden önce, 25 numaralı Port'un Internet hizmeti aldığınız (ISP-Internet Service Provider) tarafından açık olduğundan emin olmanız gerekmektedir. Bu Port'un kontrolünü TELNET komutu ile kontrol edebilirsiniz.

Komut istemcisi (CMD) üzerinde ör. telnet 73.122.35.127 25 komutunu çalıştırdığınızda Port'unuzun açık olup olmadığını test edebilirsiniz.
Bu kontrolü Server ya da client üzerinden yapakcasanız, bunun için Telnet Client'ı yüklemeniz gerekecektir.

Telnet komutu

25 numaralı Port kapalı ise, ISP'niz ile iletişime geçerek açtırmanız gerekecektir. Bu Port açılmadan dış dünya ile e-posta gönerim ve alım işlemleri yapamazsınız!

5.2- Firewall Port Bilgileri

Exchange Server’ın dış dünyaya e-posta atabilmesi ve yine dış dünyadan e-posta alabilmesi için Firewall üzerinde aşağıda belirttiğim Port'lar için NAT ve policy yapılandırma işlemleri yapılması gerekmektedir.

Amaç Port Kaynak Hedef
• Autodiscover
• ActiveSync
• Exchange Web Services (EWS)
• Offline address book (OAB)
• Outlook Anywhere (RPC over HTTP)
• Outlook MAPI over HTTP
• Exchange Control Panel (ECP)
• Outlook on the web (Outlook Web App)
443/TCP (HTTPS) • WAN (Any) • LAN (Load Balancer)
• Tavim paylaşımı
• Outlook on the web (443/TCP Redirection)
• Autodiscover (443/TCP erişim kontrolü)
80/TCP (HTTP) • WAN (Any) • LAN (Load Balancer)
• İç yöne e-posta akışı 25/TCP (SMTP) • WAN (Any) • LAN (Antispam Mail Gateway)
• Dış yöne e-posta akışı 25/TCP (SMTP) • LAN (Antispam Mail Gateway) • WAN (Any)

NOT: Exchange Server üzerinde IMAP ve POP yapılandırması yapmayacaksanız, IMAP ve POP Port'ları için Firewall üzerinde NAT oluşturmanıza gerek yoktur.

Aşağıdaki diyagramda LAN ya da WAN ortamındaki Outlook Client, Outlook'tan e-posta gönderimi yaparken ilk etapta 443 Port'u üzerinden MAPI over HTTP ya da RPC over HTTP (Outlook Anywhere) ile Exchange Server'daki posta kutusuna bağlanacak; e-posta, Exchange Server tarafından 25 Port'u üzerinden Internet'e gönderilecektir. Tam tersi işlemde ise; yine Internet ortamından 25 Port'u üzerinden gelen e-posta, Exchange Server'a iletilecektir. Outlook Client, bağlantısını sürdürdüğü sürece e-postalarına erişebilcektir. Exchange Server üzerine IMAP ya da POP hizmetleri verecekseniz Outlook Client, burada belirleyeceğiniz Port üzerinden e-posta gönderimi yapacaktır. Bu Port numarası da genellikle 587'dir. Bu durumda ise 587 Port'u için WAN to LAN yönünde NAT tanımlaması yapmanız gerecektir.
 

exchange server 2019 kurulumu

NOT: Yukarıdaki görsel, klasik bir mimari için örnek teşkil etmesi için hazırlanmıştır.

Firewall üzerinde gerekli Port'lar için NAT yapılandırma işlemlerinizi tamamladıktan sonra mutlaka PowerShell üzerinden aşağıdaki komutlar yardımıyla Test işlemleri gerçekleştirmenizi öneririm.

5.2.1- Aşağıdaki komut yardımıyla ortamımdaki Public IP (Wan IP) bilgisin çekiyorum.

(Invoke-WebRequest -Uri "http://ifconfig.me/ip").Content

5.2.2- Aşağıdaki komut yardımıyla Public IP bilgim üzerinden 443 TCP bağlantı kontrolümü sağlıyorum.

Test-NetConnection 73.122.35.127 -Port 443

5.2.3- Aşağıdaki komut yardımıyla Public IP bilgim üzerinden 25 SMTP bağlantı kontrolümü sağlıyorum.

Test-NetConnection 73.122.35.127 -Port 25

5.2.4-Aşağıdaki komut yardımıyla Private IP (Lan IP) bilgim üzerinden 25 SMTP bağlantı kontrolümü sağlıyorum.

Test-NetConnection 10.10.10.200 -Port 25

exchange server 2019 kurulumu

Faydalı olması dileğiyle...

Etiketler: Windows Server 2016, Exchange Server 2019 Kurulum, Yapılandırma, Exchange Server Konfigürasyon, Exchange Server Firewall policy yapılandırması, Exchange Server Nat, Exchange Server DNS Ayarları
 


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim. 2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin en önde gelen entegratör firması olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum. Ek olarak, 2015 yılında Network Akademi bünyesinde Sistem ve Network Uzmanlık eğitimleri vermeye başladım ve 2017 yılında da eğitmenlik tecrübemi, Microsft Certified Trainer (MCT) ünvanı ile taçlandırdım. Eğitmenlik serüvenime 2021 yılından beri Bilge Adam bünyesinde MCT ünvanı ile devam etmekteyim.

YORUMLAR
Bu makaleye 12 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


07.11.2022 Kasim Tutak
Merhaba Hocam, 2019 kurulumunu gerçekleştirdim. Hem 2016 hemde 2019 çalışıyor, ikisinde de autodiscovery çalışıyor. Firewall ayarlarını da 2019a göre yaptım. Fakat 2016daki databasede bulunan mail hesabı 2019 databaseinde bulunan hesaba mail atamıyor. Tam tersi çalışıyor. Her ikiside dışarı atabiliyor alabiliyor. Nedense 2016dan 2019a mail attıramadım. 2019dan hem dışarı hemde 2016daki mailbox a mail alışverişi aktif. Yardımını rica ederim. Teşekkürler
20.05.2022 Celalettin Dizman
Selamlar, Öncelikle detaylı açıklamalar için çok teşekkürler. Bir sorum olacaktı. Autodiscover aktif olarak çalışıyor fakat, mutlaka kullanıcı ismi ve şifreyi girmemi istiyor. Kullanıcı ismi olarak Domain\kullanıcı formatını kabul ediyor sadece... Aslında mail adresi ve şifre yeterli olmalı sanırım. Bunu nereden ayarlayabiliriz.

20.05.2022 Fırat Boyan
Merhaba, Outlook kullanıcı adı ve parola soruyorsa, Autodiscover Auth. işlemini tamamlayamadığı içindir. Kontrol etmek lazım ancak en büyük sebebi sertifika ya da hatalı URL yapılandırmasından kaynaklı olarak karşımıza çıkabiliyor.


27.12.2021 Hanifi Deliveli
Merhaba Hocam, Yeni başlayan arkadaşlar için kurulum sırasında .net framework 4.8 gereksiniminden bahsetmemişsiniz. Bilen insanlarla iletişim kurmamız zor olacağından dolayı bunu belirtmek istedim. İçerik süper olmuş, elinize sağlık.

28.12.2021 Fırat Boyan
Merhaba Hanifi, Son CU'ya göre .net framework indirme link'ini güncelledim. Ek olarak IIS URL Rewrite module'ü de ekledim.


12.04.2021 Emre Imsiyat
Fırat hocam merhaba, makaleniz çok güzel, sormak istedigim bir soru var, yönetim paneli kullanicisini nasıl değiştirebiliriz. Mevcut kullaniciyi disable edip başka kullaniciyi ecp ye atayabiliyormuyuz.

13.04.2021 Fırat Boyan
Merhaba Emre, Öncelikle yorumun için teşekkür ederim. Standart bir user mailbox'a sahip olan kullanıcı bile ECP'ye giriş yapabilir. Burada önemli olan nokta, ECP içindeki Permissions kıskımdaki admin roles altında istediğin kullanıyıca hangi yetkileri atayacağın ile alakalı bir durum.


14.02.2020 Onur
Merhaba Fırat bey, makalenizi keyifle okudum. Size bir sorum olacaktı. Biz office 365 üzerinden local de bulunan exchange server üzerine geçiş yapmak istiyoruz. Sunucu oluşturuldu ve test için bir kaç hesabı sunucuya migrate ettik. client tarafında outlookta kurulum yaparken kullanıcı adı ve şifreyi girdikten sonra "An encrypted connection to your mail server is not available. Click next to attempt using an unencrypted connection" uyarısı alıyorum. Next yaptıktan sonra ise bağlantı başarısız deyip kendini kapatıyor. fakat owa üzerinde oturum açabiliyoruz bir sıkıntı yaşamıyoruz.

17.02.2020 Fırat Boyan
Merhaba, Öncelikle Hybrid konfigürasyonunun doğru yapıldığından emin olman lazım. Bu hata 365'in autodiscover kayıtları ile sizin local'deki autodiscover URL'inin uyumsuz olmasından kaynaklanabilir. Authentication metodunu NTLM yerine Negotiated seçmiş olabilirsiniz. Bunun gibi bir çok nedeni olabilir. En doğrusu için, google'dan test connectivity analyzer ile test yapıp, autodiscover kaynın sonucuna bakmanız lazım. Bunun sonucunu iletirsen, daha kesin bir şey söylenebilir.


17.09.2019 Aziz
Merhabalar, Sanal dizinlerin adresileri değiştirim ancak şimdi ne localhosttan nede yazdığım webmail...... adresinden erişim sağlayamıyorum.IIS üzerinden de denedim ancak 404 hatası alıyorum. Yardım ederseniz çok sevinirim.

17.09.2019 Fırat Boyan
Merhaba, sanal dizin için belirttiğiniz DNS kaydı, DIŞ DNS üzerinde de tanımlı mı? Tanımlı değilse, isim çözemez.


07.12.2018 Onur AYDIN
Elinize sağlık. İlk kez exchange kuracak arkadaşlar için çok açıklayıcı ve akıcı bir makale olmuş.