Category Archives: Exchange Server

MsExchange BackEndRehydration Hatası

Exchange sunucularda özellikle geçiş yapıldıktan sonra olay günlüklerinde MsExchange BackEndRehydration hata kaydına rastlayabilirsiniz.

Protocol /ecp failed to process request from identity ORTACDEMIREL\EXCHANGE1$. Exception: Microsoft.Exchange.Security.Authentication.BackendRehydrationException: Rehydration failed. Reason: Source server ‘ORTACDEMIREL\EXCHANGE1$’ does not have token serialization permission.

   at Microsoft.Exchange.Security.Authentication.BackendRehydrationModule.TryGetCommonAccessToken(HttpContext httpContext, Stopwatch stopwatch, CommonAccessToken& token)

   at Microsoft.Exchange.Security.Authentication.BackendRehydrationModule.ProcessRequest(HttpContext httpContext)

   at Microsoft.Exchange.Security.Authentication.BackendRehydrationModule.OnAuthenticateRequest(Object source, EventArgs args).

Event ID 3002 kimlik numarası ile gözüken bu hata Exchange sunucularının token serialization izinlerine müsaade etmemesinden kaynaklanmaktadır. Bu izinler Exchange üzerinde yer alan bazı protokollere (ecp, owa, oab vb) erişimi kontrol etmektedir.

 

Hata ile karşılaşınca Exchange powershell den aşağıdaki komutu çalıştırabilirsiniz.

Get-ClientAccessServer | Add-ADPermission -AccessRights ExtendedRight -ExtendedRights “ms-Exch-EPI-Token-Serialization”, “ms-Exch-EPI-Impersonation” -User  “ortacdemirel.local\Exchange Server”

Bu komut ile iki adet attribute e izin vermiş olduk.

 

NOT: Komutun sonuna kendi domain isminizi yazmanız gerekmektedir. Exchange Server grubu ise her exchange yapısında yer alan standart grup ismidir.

Exchange 2013 Elektronik Posta Akışı ve İstemciler için Bağlantı Portları

Exchange sunucu yazılımında elektronik posta akışı bir takım aktörler sayesinde gerçekleşmektedir. Bu aktörler CAS, HUB ya da MailBox rolü üzerine koşan alma ve gönderme bağlaycıları (Send/Recieve Connectors) ile bir takım hizmetlerdir.

HUB rolü Exchange 2013 yazılımında standart olarak yer almazken gönderme ve alma işlemlerini CAS ve MailBox rolü devralmıştır. Böylelikle konektör sayı ve hizmeti de artmıştır.

Exchange 2013 elektronik posta akışında üç adet hizmet çalışmaktadır. Bunlar;

FrontEnd Transport Service: Bu hizmet tüm CAS rolü kurulu sunucularda çalışmaktadır. Dışarından gelen ya da dışarıya giden SMTP trafiğini yönetir. Bu hizmet mesajın içeriğine bakmaz, sadece Transport Service ile iletişime geçer ve yerelde (local) hiçbir mesajı kuyruğa sokmaz.

Transport Service: Bu hizmet MailBox rolü kurulu sunucuda çalışır ve eski bir rol olan HUB transport rolünün görevini üstlenir. Tüm SMTP elektronik posta akışı için mesajları kategorize etme ve mesaj içeriğini kontrol etme işlemini gerçekleştirir. Önceki sürüm Exchange yazılımlarının aksine asla direkt olarak mailbox veri tabanı ile iletişime geçmez. Bu işlemi Mailbox Transport hizmeti yapmaktadır. Transport hizmeti elektronik postaları Mailbox Transport hizmeti, Transport hizmeti ve Frontend Transport hizmeti arasında yönlendirme işlemini yapar.

Mailbox Transport: Bu hizmet Mailbox rolü kurulu tüm sunucularda yer almaktadır. İki ayrı hizmetten oluşur: Mailbox Transport Submission hizmeti ve Mailbox Transport Delivery hizmeti. Mailbox Transport Delivery hizmeti yerel ya da diğer Mailbox sunuculardaki Transport hizmeti ile gönderilen SMTP mesajlarını almak ve yerel mailbox veri tabanına Exchange remote procedure call (RPC) kullanarak bağlanıp mesajların teslimatı ile görevlidir.  Mailbox Transport Submission hizmeti ise RPC ile yerel mailbox veri tabanına bağlanıp mesajları geri almak ve yerel ya da diğer Mailbox sunuculardaki Transport hizmetine SMTP üzerinden mesajları göndermek ile görevlidir.

Mailbox Transport Submission hizmeti ile Transport hizmeti aynı yönlendirme topoloji bilgisine sahiptir. FrontEnd Transport hizmetinde olduğu gibi Mailbox Transport hizmeti de yerelde hiçbir mesajı kuyruğa sokmaz.

 

İstemciler için bağlantı portları:

Exchange sunuculara POP3, IMAP4, şifreli ve şifresiz web bağlantıları ile SMTP istemcileri bağlantı kurarak elektronik posta gönderimi ve alımı yapar.

İstemciler ve hizmetler için kullanılan portlar 443,80,143,993,110,995 ve 587 portlarıdır.

 

443 portu TCP protokolü üzerinden hizmet verir. Şifrelenmiş web bağlantıları bu port ve protokol üzerinden sağlanır. Bu bağlantılar Autodiscover service, Exchange ActiveSync, Exchange Web Services (EWS), Offline address book dağıtımı, Outlook Anywhere (RPC over HTTP), Outlook MAPI over http ve Outlook Web App için kullanılır.

80 portu TCP protokolü üzerinden hizmet verir. Şifrelenmemiş web bağlantılarıdır. Bu bağlantılar internet takvim paylaşımı, Outlook Web App (yeniden yönlendirme 443/TCP) ve Autodiscover (443 den iletişim kurulamıyor ise) için kullanılır.

143 ve 993 portları TCP protokolü üzerinden hizmet verir. 143 IMAP, 993 ise güvenli IMAP portudur. IMAP4 istemciler için kullanılır. Varsayılan olarak kapalıdır.

110 ve 995 portları TCP protokolü üzerinden hizmet verir. 110 POP3, 995 ise güvenli POP3 portudur. POP3 istemciler için kullanılır. Varsayılan olarak kapalıdır.

 

587 portu TCP protokolü üzerinden hizmet vermektedir. Kimlik doğrulaması yapan SMTP istemciler için kullanılır. 587 portu üzerinden iletişimi CAS sunucu üzerindeki “Client Frontend” alma bağlayıcısı sağlar.

Client Frontend  <Cas sunucu ismi>

 

Dışarı ve içeriye doğru mail akışı için gerekli portlar:

Sunuculardan içeriye ve dışarıya doğru elektronik postaların iletimi içinde 25 nolu port kullanılmaktadır. Bu aktarımda CAS ve Mailbox sunucular kullanılmaktadır.

 

Internet ya da herhangi bir kaynaktan CAS sunucuya gelen elektronik postalar 25 portunu ve TCP protokolünü kullanır. Bu aynı zamanda varsayılan alıcı bağlayıcısıdır (default recieve connector). Bu konektör CAS sunucu üzerinde yer alır ve isimsiz (anonymous) SMTP isteklerini 25 nolu port üzerinden kabul eder.

Default FrontEnd  <Cas sunucu ismi>

 

Aynı zamanda bu bağlantı ile CAS sunucudan Mailbox sunucuya arka planda çalışan kesintisiz ve gizli bir gönderme bağlayıcısı (send connector) ile elektronik postalar otomatik ulaştırılır. Organizasyon içerisindeki elektronik postaların gönderimi için kullanılır.

Mailbox sunucu üzerinden dışarıya (outbound) çıkan 25 numaralı TCP portu organizasyon dışarısına elektronik postaların çıkması görevini üstlenir. Exchange sunucular varsayılan olarak gönderme bağlayıcısı (send connector) yaratmazlar. Bunu bizim yaratmamız gerekmektedir.

CAS sunuculardan da dışarıya (outbound) çıkan 25 numaralı TCP portu da vardır. Bu dışarıya doğru olan bağlantı, gönderme bağlayıcısı (send connector) sadece CAS üzerinden Proxy bağlantısı yapacak şekilde yapılandırılır ise kullanılır. Yani MailBox üzerinde yaratmak zorunda olduğumuz send connector bağlayıcısı elektronik postaları direkt olarak dış dünyaya göndermeden CAS sunucuya iletilmesini ve daha sonra dış dünyaya iletilmesini sağlar. Böylelikle CAS sunucu Proxy görevini görmüş olur. Eğer bir smart host ya da EDGE sunucu kullanmıyorsanız bu alma bağlayıcısı kullanılmalıdır. Çünkü elektronik postalar üzerinde anti-spam, içerik filtreleme, domain ve IP yasaklama gibi güvenlik uygulamaları yapabilirsiniz.

Mailbox sunuculardan elektronik postaların CAS sunucuya Proxy için iletimi 717 portu üzerinden gerçekleşir.

Bu bağlayıcı Outbound Proxy Frontend olarak geçer ve CAS sunucu üzerinde yer alır.

Outbound Proxy Frontend <CAS Server ismi>

 

465 TCP portu ise Proxy isteklerinin CAS sunucudan Mailbox sunucuya iletimi için kullanılır. Yukardaki işlemin tam tersi olarak düşünebilir.

Bu işlem Mailbox sunucu üzerindeki Client Proxy alma bağlayıcı ile yapılır.

Client Proxy <Mailbox Server ismi>

 

 

475 portu farklı bir mailbox sunucu üzerindeki transport hizmetinden elektronik posta alımı için kullanılır.

2525 TCP portu ise eğer CAS ve Mailbox rolü aynı sunucu üzerinde ise Transport hizmeri için alıcıbağlayıcısı (send connector) 25 yerine 2525 portunu dinleyecektir. Bunun sebebi iki rol aynı makinede olursa eğer Transport hizmeti ile FrontEnd Transport hizmeti aynı portu dinleyemez. Bu sebep ile biri 2525 portu üzerinden iletişim kurar.

Bu alma bağlayıcısı ise Default alma bağlayıcısıdır.

Default <Mailbox Server ismi>

 

 

Kaynak:

https://technet.microsoft.com/en-us/library/bb331973.aspx?f=255&MSPPError=-2147217396

Exchange Server Hierarchical Address Book

Exchange Server’da oluşturulan adres listeleri sayesinde Exchange yöneticileri kişileri, kontakları, grupları vb. nesneleri gruplayarak kullanıcıların owa ya da Outlook bağlantılarından email atacakları kişileri daha rahat bulmasını sağlar.

Hierarchical Address Book (Hiyerarşik Adres Defteri) ise bu gruplamayı daha da kolaylaştırmak için kullanılır.

Outlook istemcileri kullanan kullanıcıların yapınızda yer alan gruplar ve bu gruplar içindeki kullanıcıları hiyerarşik olarak görmelerini ve onlara kolayca email atmalarını sağlamaktadır.

Exchange Server 2010 Sp1 ile gelen bu özellik 2013 de de desteklenmektedir.  Kullanıcılar ise Outlook 2010 ve yukarısını kullanmalıdırlar.

Kısacası bu özellik Active Directory de yer alan grup ve onlara üye olan kullanıcıları Outlook üzerine hiyerarşik bir şekilde getirir ve sizin kullanıcılar için ayrıyeten adres listeleri hazırlamanıza gerek kalmaz.

Exchange 2013 yönetim konsolunda alıcılar bölümüne gelerek yeni bir dağıtım grubu yaratıyoruz.

 

Exchange Server 2013 Database Availability Group

Exchange Server 2010 sürümü ile birlikte tanıtılan yüksek erişebilirlik uygulaması olan “Database Availability Group” yani kısacası DAG, Exchange Server 2013 yazılımı üzerinde de yer almaktadır. Geliştirilen bu özellik Exchange Server 2013’ün web tabanlı yönetim ara yüzünü de uyarlanmıştır.

En az 16 adet sunucu ile yapılabilen DAG uygulaması mailbox veri tabanlarının mailbox server rolüne sahip Exchange sunucularda yedeklenmesini sağlamaktadır. DAG içerisinde yer alan her bir mailbox sunucusu veri tabanlarının bir kopyasını üzerinde tutmaktadır. Mailbox sunucularından birinin kapanması durumunda diğer bir mailbox sunucusu üzerinden veri tabanı ya da veri tabanları hizmet verir şekilde çalışabilmektedir. Böylelikle kullanıcı mailbox ları için süreklilik sağlanmaktadır.

DAG uygulaması için en az 2 adet Mailbox rolü yüklü Exchange sunucunuzun olması gerekmektedir. Bunun dışında DAG bilgisinin tutulacağı bir ya da iki adet witness sunucuya da ihtiyacınız vardır. Bu sunucular aynı zamanda DAG üyesi olamazlar.

Witness sunucular eğer Exchange sunucu rollerinden birine sahip değillerse eğer “Exchange trusted subsystem” grubu tüm witness sunucularda yerel yöneticisi grubuna dahil olmalıdır.


Exchange 2013 OWA Sayfasına Captcha Kodu Yerleştirme

 
Exchange 2013 ile yenilenen OWA bağlantı sayfamıza captcha kodu yerleştirip bağlantı sayfasını daha güvenli hale getirebiliriz. Böylelikle oturum açacak kişinin robot olmadığını da kontrol etmiş oluruz. Sürekli oturum açmayı deneyen yazılımlara karşı da güzel bir çözümdür.

Captcha bildiğiniz üzere ekrandaki yazıların altındaki kutucuğa yazılması ile bir doğrulama sağlamaktadır. Siz isterseniz kendi captcha uygulamanızı yazabilirsiniz.  İstersek Google ın bu hazır hizmetinden de yararlanabiliriz.

Bu yazımızda Google ın hazır hizmetinden yararlanacağız.

Öncelikle www.google.com/recaptcha sitesine giriyoruz. Sol tarafta bulunan menülerden “My account” a tıklıyoruz ve gmail hesabımız ile oturum açıyoruz.

İlk olarak yapmamız gereken kendi domainimize özgü olarak public ve private key oluşturmaktır. Bu anahtarları daha sonra kullanacağız.

Domain bölümüne mail.infopark.com.tr şeklinde OWA bağlantı adresini yazın.


Exchange 2013 OWA Sayfasını Değiştirme

Exchange 2013 sunucu ile gelen en büyük yeniliklerden biride kullanıcıların emaillerine web tarayıcı üzerinden erişmesini sağlayan OWA bağlantı sayfasının değişmesidir.
 
Neredeyse tamamıyla yenilenen owa sayfası önceki sürümlere göre daha az karmaşık olup daha kolay kişiselleştirilebilmektedir.
 
OWA bağlantı sayfasının ara yüz dosyaları Exchange 2013 CAS sunucu üzerinde aşağıdaki adreste yer almaktadır.
 
C:Program FilesMicrosoftExchange ServerV15FrontEndHttpProxyOwa Auth15.0.516themesResources

Exchange Server 2010 Elle Kaldırma

Yapınızda kurulu olan Exchange Server 2010 mesajlaşma sunucusunu rahatlıkla elle (manual) kaldırabilirsiniz. Exchange Server 2010 yazılımı sunucu üzerinden program ekle kaldır bölümünden kaldırılabilmektedir. Fakat bir takım sorunlar sebebi ile bu yöntem başarısız olabilir. Başarısız olma durumunda ise elle (manual) kaldırma yöntemine başvurabilirsiniz.
 
Bu yöntem oldukça basit ve güvenli bir yöntemdir.
 
Exchange Server 2010 yazılımı kurulu olan sunucumuzda ilk olarak hizmetler bölümünde geliyoruz ve tüm Exchange hizmetlerini durduruyoruz.

 
 
Ardından aynı sunucuda regedit aracı ile kayıt defterini açıyoruz ve aşağıdaki adreste bulunan tüm Exchange kayıtlarını elle siliyoruz.
 
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
HKEY_LOCAL_MACHINESoftwareMicrosoftExchangeServer

 
 
NOT1: Kurulu olan Exchange rollerine göre daha az ya da daha fazla kayıt görebilirsiniz.
NOT2: Bir sıkıntı olmaması için silme işlemi yapmadan önce kayıt defterinin bir yedeğini almanızı tavsiye ederim.
 
Aktif dizin kontrolcümüze (DC) gelerek “adsiedit” aracını çalıştırıyoruz.
Aşağıdaki adrese geliyoruz.
Configuration > Services > Microsoft Exchange > Administrative Groups > ExchangeAdministrativeGroup > Servers

 
 
Bu adreste yapımızda bulunan tüm Exchange sunucular listelenecektir. Silmek istediğimiz sunucuyu sağdaki bölümden elle silmemiz gerekmektedir.
Bu aşamalardan sonra Exchange sunucusu elle kaldırılmıştır. Exchange yönetim konsolunda da artık  sunucunun isminin artık yer almadığını görebilirsiniz.