Exchange 2013 & Enterprise Vault 11 – IMAP Client Access

Nothing in life is as important as you think it is, while you are thinking about it.

Exchange 2013 & Enterprise Vault 11 – IMAP Client Access

Merhaba;

Enterprise Vault’un yeni versiyonu(11) ile ürüne çeşitli yenilikler eklendi. Bu yeniliklerden biri de mobil cihazlardan, akıllı telefonlardan veya IMAP protokolünü destekleyen cihazlardan; arşive erişim sağlayan IMAP Client Access yeniliğidir.

Enterprise Vault(kısaca EV)’un önceki versiyonlarında,Internet Browser üzerinden Mobile Search imkanı sunan basit bir yapı mevcuttu. Bence kullanışlı değildi. Bu yapı hakkındaki yazımı http://www.aydogmusoglu.com/enterprise-vault-mobile-search.html adresinden inceleyebilirsiniz.

Yazımda, Enterprise Vault üzerindeki arşive konforlu erişim imkanı sunan IMAP Client Access yeniliğinden bahsedeceğim.

Test ortamımdan ve topolojimden bahsedeyim.

.

clip_image002

Sanallaştırma platformu, Windows 8.1 üzerinde hyper-v çalışıyor.

Domain controller , Windows Server 2012 R2 üzerinde çalışıyor

Exchange Server 2013 rolleri aynı sanal sunucuda çalışıyor.

Enterprise Vault 11 ve SQL Server 2012 aynı sanal sunucuda çalışıyor.

Check Point R77 sanal sunucuda çalışıyor ve bir internal iki external interface’e sahip.

Imap erişimi,owa erişimi,smtp erişimi,dns query için Check Point’in external interface’lerinden iç network’e doğru NAT mevcut. Ekran görüntüsü aşağıdaki gibidir.

clip_image004

Üstteki nat kuralları test ortamım içindir. Gerçek ortamlarda gereksinimler, port’lar, host’lar vb. farklı olabilir!

IMAP erişimi, Enterprise Vault sunucuda veya sunucularda devreye alınıyor. Imap özelliğinin devreye alındığı Enterprise Vault sunucu, IMAP server olarak hizmet veriyor. Email relay için, var olan smtp sunucularınızdan birini kullanıyor.Test ortamımda, Enterprise Vault’un kullandığı email relay smtp sunucusu Exchange Server 2013 sunucumdur.

Enterprise Vault neden email relay ihtiyacı duyuyor?

– Arşivdeki mail üzerinden “reply”, “reply to all”, “forward” yapılmak istenirse; EV sunucusu bu talebi bir smtp sunucu üzerinden geçirmek durumunda kalıyor(relay)!

– Bu trafiğin, journal archiving tarafından arşivlenemeyebileceğine dikkat etmek gerekir!

IMAP Acces devreye alınırken; güvenli erişim için SSL sertifikası kullanılmalıdır ve şifrelenmemiş trafiğe izin verilmemelidir. SSL sertifikası oluşturma süreci aşağıdaki gibidir.

clip_image006

EV kurulumu ile birlikte openssl.exe uygulaması geliyor. Sertifika üzerindeki değerleri üstteki biçimde belirleyebilirsiniz.

Uygulama çalıştırıldıktan sonra iki adet dosya üretiyor. Bir dosyada csr mevcut. Diğerinde key! Üstteki komut penceresinden anlaşılacağı üzere benim csr dosyam ev11csr.pem ‘dir. Bu talebi, güvenilen bir otoritesinden onaylatmanız gerekiyor. Test ortamında çalıştığım için Domain controller üzerinde çalışan sertifika otoritesini kullandım.

clip_image008

CSR ‘ı güvenilen bir sertifika otoritesinden onaylattıktan sonra, cer dosyanız ve private key’i içeren pem dosyanız kullanıma hazır olmuş olacak.

IMAP’i yapılandıralım. Bu özelliği devreye almak için policy ve provisioning group yapılandırması gerekiyor. Test ortamıma uygun policy detayları aşağıdaki gibidir.

IMAP tab’ında; üzerinde IMAP servisi çalışacak EV sunucunun alias ve sertifika bilgilerini yapılandırıyorsunuz.

clip_image010

Alias Name, sertifika içinde geçmelidir! Bu isim için DNS’te kayıt oluşturunuz!

Sertifikayı değiştirmek isterseniz, daha önce de belirttiğim gibi private key’i içeren pem dosyasına ve onaylanmış sertifikayı içeren cer doyasına ihtiyacınız olacak!

clip_image012

SMTP tab’ında, email notification ve mail relay için kullanılacak smtp server bilgilerini belirliyorsunuz. Burada belirlenen sunucu bilgisi ve önceki aşamada belirlenen IMAP endpoint bilgisi; IMAP erişim özelliğini kullanacak olan kullanıcılara bilgilendirme email’i şeklinde gönderilecek.

Policy hazırlanmış oldu. Provisioning group’u hazırlayalım. Email archiving için hazırlanan provisioning group ile IMAP erişimi için hazırlanan provisioning group farklıdır! Mailbox’ını arşivlediğiniz her kullanıcının IMAP erişimi olmayabilir!

clip_image013

clip_image014

Targets tab’ında; Enterprise Vault üzerindeki arşivine Secure IMAP ile erişecek olan kullanıcıları belirliyoruz.Tek tek account eklemek yöntemi ile veya farklı yöntemler ile target kısmını doldurabilirsiniz.

IMAP için policy ve provisioning group işlemlerini tamamladık. İlgili EV sunucunun Tasks kısmına bakıldığında, Client Access için yeni task/task’ler belirmiş olacaktır.

clip_image016

Task’leri manual olarak çalıştırabilirsiniz veya doğal çalışma zamanını bekleyebilirsiniz(schedule). Task’ler çalıştıktan sonra; provisioning group’taki kullanıcılar için IMAP Access devreye alınmış olacak.

***#***

Not(opsiyonel):

Belli bir OU içindeki account’larda, office mail app’ini devreye amak için aşağıdaki fonksiyon’u kullanabilirsiniz. Office mail app’inin mailbox’lar üzerinde aktif olup olmaması, mailbox arşivlemeyi veya imap client access ‘ini etkilemiyor. Office mail app’i, office 2013 ile veya office web app ile mailbox’a bağlantıktan sonra, arşive erişimi sağlayan konforlu bir web uygulamasıdır.

clip_image018

***#***

Task’ler çalıştıktan sonra; IMAP hizmetinden faydalanacak olan kullanıcıya aşağıdakine benzer bir email gönderilecektir.

clip_image020

Email’in biçimini test amaçlı olarak değiştirmiştim. Bilgilendirme mesajını özelleştirmeniz için EV kurulum dizininde bir araç mevcut. Siz de email’in biçimini, kurumsallığınıza uygun olacak şekilde değiştirebilirsiniz. Email ile gelen bilgileri değerlendirelim.

– IMAP yapılandırması için kullanılacak email adresi

– Incoming IMAP Mail Server ( Enterprise Vault , policy ile belirlemiştik)

– IMAP Port’u ( SSL kullanıdık , 993)

– Username, biçime dikkat!

– Password, user account’un parolası

– Outgoing SMTP Mail Server ( SMTP server’ı policy ile belirlemiştik)

– Port, smtp portu ( Port’u policy ile belirlemiştik)

Personeliniz mobil cihazından,akıllı telefonundan ve imap destekleyen tüm cihazlardan güvenli biçimde arşivine erişebilir.

Yapılandırmayı tamamlamış olduk. Öncelikli olarak dikkat edilmesi gerekenler aşağıdaki gibidir .

– SSL sertifikası

– SSL sertifikası içinde kullanılması planlanan tüm alias’lar mutlaka common name & subject alternate name olarak geçmelidir.

– IMAP Server(EV) alias’ı ve SMTP server ismi için DNS bilgileri, iç ve dış DNS sunucularında yapılandırılmalıdır.

– IMAP özelliğinden hizmet alacak personele gönderilecek email, kurum standartlarına uygun olarak özelleştirilmelidir.

– Edge firewall ‘unuzda veya aralardaki firewall ’larınızda Secure IMAP ( 993 ) için NAT kurallarının yapılandırılması.

IMAP erişimi ile ilgili kullanabileceğiniz dashboard’lara veya konsollara aşağıdaki yöntemler ile erişebilirsiniz.

Enterprise Vault konsolundan

clip_image022

Internet Browser ’dan (http://evault/enterprisevault/MonitorIMAP.aspx)

clip_image024

Users tab ’ından

clip_image026

Son olarak, kullanılacağını sanmasam da http://ev_server/enterprisevault/IMAP.aspx?sid=user_SID şeklinde.

Örneğin corp\arthas ’ın IMAP Access detayı için http://evault/enterprisevault/IMAP.aspx?sid=S-1-5-21-1626825390-285430590-2561215432-1173 kullandım. SID bilgisi değişecektir!

Enterprise Vault Management Shell ‘deki IMAP cmdlet ’leri aşağıdaki gibidir.

clip_image028

Şimdilik, Enterprise Vault ile gelen powershell modülündeki cmdlet ’ler aşağıdaki gibidir.

clip_image030

Bir kullanıcının IMAP detaylarını, Enterprise Vault Management Shell ile aşağıdaki gibi inceleyebilirsiniz.

clip_image032

Get-EVIMAPUserSettings cmdlet’inde SID yerine archive ismi veya username kullanılabilirdi ama SID tercih edilmiş 🙂

Enterprise Vault 11 ile gelen özelliklerden IMAP Client Access özelliğini incelemiş olduk.

Herkese sorunsuz ve neşeli günler dilerim.

 

7 Responses

  1. Barış hocam ellerine sağlık yüne çok güzel bir makale hazırlamıssın.

  2. Merhaba,
    Bizde yapımızda EV 11 ‘e gectik. Fakat *.company.com wildcard ssl sertifikamızı enterprise vault imap ‘e ekleyemedik. Aşağıdaki komutlarla ürettiğimiz sertikaları eklemek istediğimiz hata mesajı alıyoruz.

    openssl pkcs12 -in sslcompany.pfx -nocerts -out evimapscr.pem

    openssl pkcs12 -in sslcompany.pfx -clcerts – -nokeys -out ev-imap-key.pem

  3. Merhaba,
    Bizde yapımızda EV 11 ‘e gectik. Fakat *.company.com wildcard ssl sertifikamızı enterprise vault imap ‘e ekleyemedik. Aşağıdaki komutlarla ürettiğimiz sertikaları eklemek istediğimiz hata mesajı alıyoruz.

    openssl pkcs12 -in sslcompany.pfx -nocerts -out evimapscr.pem

    openssl pkcs12 -in sslcompany.pfx -clcerts – -nokeys -out ev-imap-key.pem

    • barisca says:

      Merhaba,
      EV 11 SP1 dokumanları arasında Setting_up_Imap isminde bir dokuman var. Oradan da bakabilirsiniz isterseniz.
      SSL sertifikası imap endpoint server’ın FQDN’ini içermelidir. Wildcard desteklenmemektedir.
      iyi çalışmalar.

      • Muharrem Türk says:

        Merhaba Barış Bey,
        Söz konusu dökümanda anlatıldığı gibi yeni pem dosyaları oluşturdum. Fakat bunlarıda EV server kabul etmedi. Siz makalede pem dosyalarını güvenilen bir otoritesinden onaylatmanız gerekiyor demişsiniz. Bu işlemi nasıl yaptınız?

        • barisca says:

          Merhaba ,
          Şirket network’ünüzde kullandığınız bir sertifika otoritesi varsa(Microsoft CA), ve sertifika ihtiyacınızı bu CA’den sağlıyorsanız, yetkili otorite olarak bunu kullanabilirsiniz. Fakat internal CA’ler mobile device’lar tarafından “tursted” olmayacağı için external sertifikaları verisign,turktrust,comodo,thawte gibi global otoritelerden almakta fayda var diye düşünüyorum.
          Onaylatma süreci için:
          Makalede görğlen ve içinde CSR harfleri geçen dosya içindeki veriyi kullanarak onaylatma işlemi yapılmaktadır.
          iyi çalışmalar.

Leave a Reply

Your email address will not be published. Required fields are marked *