IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Exchange Server 2013 Client Access servislerinin ve Enterprise Vault ’un Checkpoint R76 ile “Publish” edilmesi

Merhaba,

Yazımda; Exchange Server 2013’ün ve arşivlemesini yapan Symantec Enterprise Vault’un Checkpoint R76 ile dış dünyaya hizmet vermesinin sağlanmansından bahsetmek istiyorum.

Çalışmamı üç başlık altında topladım.

  • Exchange Server 2013 tarafında yapılması gerekenler
  • Checkpoint tarafında yapılması gerekenler
  • Enterprise Vault tarafında yapılması gerekenler

Exchange Server 2013’e dair

Malumunuz geçen yıl sonunda yayınlandı ve yıl başında Exchange 2010’a getirilen SP3 ile transition yapılabilir hale geldi.Şu anki Cumulative Update sürümü de tam bir sürüm olup doğrudan kurulabilir haldedir.

Mimari, 2010 sürümüne göre değişti ve server role’leri CAS ve Mailbox başlıkları altında toplandı.

Exchange yapınızın dış dünyadan ve/veya şirket ağından , Outlook kullanıcılarına , Outlook Web App kullanıcılarına ve/veya ActiveSync kullanıcılarına hizmet vermesi için Client Access Server rolü hizmet vermektedir. Dolayısıyla Client Access için sunucunun yapılandırılması gerekir. External Client Access için Outlook Anywhere yapılandırması , AutoDiscovery yapılandırması ( name resolution ) , güvenilir bir sertifika otoritesinden alınmış SSL sertifikası ( test için internal CA’de kullanılabilir) gerekir. Internal Client Access’in sağlanamasında bir zorluk olmadığından bahsetmiyorum.Gereksinimlerin yapılandırılmasını ekran görüntüleri ile açıklayayım.

Exchange Management Console yerini Exchange Admin Center’a bıraktığından, yeni yönetim panelini https://server_name_or_server_fqdn/ecp ile açıyoruz.

clip_image002

Outlook Anywhere, yeni nesil Exchange Server Client Access mimarisinde “olmazsa olmaz” olarak görünüyor. Dolayısıyla sadece internal client access olacaksa da outlook anywhere yapılandırmasını tamamlamanızda fayda var!

Yapılandırma için Exchange Admin Center’da ( kısa EAC ) servers kısmı kullanılıyor.EMS’de kullanılabilir.

clip_image004

Her iki rolü ayrı ayrı ele almak için birer adet sunucu kurmuştum test ortamıma. Siz tek bir sunucu ile de çalışabilirsiniz. Sunucu rolleriniz ayrı ayrı ise, muhattabınız Client Access Role’ü yüklü olan sunucu olacaktır.

External Host Name belirlenmesi gerekir! External Host name’in isim çözümlemesi açısında DNS yapınızda uygun bir (A) record’a sahip olması gerekir!

Outlook Anywhere’in ve SSL bağlantısını kullanacak diğer client access bileşenlerinin çalışması için ( test ortamları dışında da uyarı vermemesi için) Exchange Server CAS sunucunuza, güvenilik bir otoriteden sertifika alınması gerekir. Sertifika işlemlerini EAC’den aşağıdaki kısımdan yapabilirsiniz.

clip_image006

Sunucu sayınız birden fazla ise, üstteki resimde görülen drop-down menüden, üzerinde işlem yapacağınız sunucunun seçilmesi gerekir!

Checkpoint Firewall’a(R76) dair

Kullanıcılar arşivlerine erişmek istediklerinde (Outlook Web App’ten yada Outlook’tan ) Exchange Server 2013 ile Symantec Enterprise Vault arasındaki bağlantı SSL üzerinden açılma eğilimdedir(Varsayılan durum). Dolayısıyla Checkpoint üzerinde firewall&nat blade’inde SSL bağlantısı için Publish ve/veya Access Rule oluşturulmalıdır.

Tek bir public IP adresiniz varsa, o IP adresine herhangi bir kaynaktan aynı port’tan(SSL) gelen bağlantıları, aynı anda iç network ’ünüzdeki iki ayrı kaynağa translate edemeyeceksiniz (Exchange Server CAS servisleri ile Enterprise Vault Web App’i ayrı sunucular üzerinde olacağından ötürü). İki adet public IP adresine ihtiyaç olacak.

Test ortamımdaki Checkpoint topolojimi aşağıda aktarıyorum.

clip_image008

Topolojiden görüldüğü üzere iki adet external interface’e atadığım iki ayrı IP adresini Exchange Server CAS servislerinin yayınlanması için ve Symantec Enterprise Vault’un web servislerinin yayınlanması için kullanacağım.

Exchange Server’ın ve Enterprise Vault’un bulunduğu ip network’ü eth1 ’in arkasındadır.

Publish(yayınlama) için kullanılmak üzere aşağıdaki görüldüğü gibi Node objelerini oluşturunuz.

clip_image009

Örnek teşkil etmesi açısında bir node’un detayını aşağıda paylaşıyorum.

clip_image010

Bu node üzerinde NAT için “Hide Behind Gateway” , “Static” ya da “Hide Behind IP Address” seçimleri yapmadım! Amaca göre Static NAT da kullanabilirdim.

Port Address Translation’ı ve IP address Translation’ı NAT tablosundan manual olarak yapmayı tercih ettim. Oluşturduğum NAT kuralları aşağıdaki gibidir.

clip_image012

Birinci kural, 192.168.1.121 external IP adresine gelen https isteklerini yine https ile Exchange Server CAS’ına gönderiyor. ( owa hizmeri ve autodiscover hizmeti için çalışacak olan kural )

İkinci kural, 192.168.2.121 external IP adresine gelen https isteklerini yine https ile Enterprise Vault’ın web servislerini barındıran sunucuya gönderiyor.( Yani EV’ye gönderiyor, EV web servisleri ne erişim için çalışacak kural )

Enterprise Vault ’a dair

Yazımın ilk kısımlarında, Exchange Server 2013 ile Enterprise Vault arasındaki trafiğin SSL ile kurulma eğiliminde olduğundan bahsetmiştim. Bu duruma istinaden ilk olarak EV web servislerinin kullanabileceği bir SSL sertifikası ( test ortamında Internal CA olabilir ama Production için well-known trusted ca önerilir) tedarik edilmelidir.

clip_image014

“Name” ’ini “Multi_Valued_SAN” olarak yazdığım SSL sertifikasını Default Web Site ile ilişiklendirdim.

Enterprise Vault’un Site özelliklerine bakarak Web Access Application port kullanım durumunu gözleyebilirsiniz.

clip_image015

Outlook’tan yada Outlook Web App’ten Enterprise Vault’a SSL ile bağlanabilmek için HTTPS kullanımını seçebilirsiniz. Ama zorunlu değilsiniz. Daha önce, Enterprise Vault Default Web Site’ına SSL sertifikası “bind” ettiğiniz için Internet Information Service SSL bağlantısı kabul edilir durumdadır!

Arşiv’e, Outlook ile yada Outlook Web App ile bağlanacak olan kullanıcılar için bağlantı URL’ini Exchange Policy > Desktop Policy ile yapılandırabilirsiniz.

clip_image016

Outlook 2013 kullanıcıları için arşive erişimi sağlamak adına iki yolunuz mevcut. Dilerseniz herhangi bir add-in/plug-in kurmadan Office Mail App’ı ilgili kullanıcı(lar) için ya da tüm organizasyon için Exchange Management Shell yardımı ile “deploy” edebilirsiniz. Ya da bilindik Outlook add-in’ini ilgili istemci bilgisayarlara kurabilirsiniz.

Outlook Web App ( OWA 2013 diyebiliriz ) ‘ten bağlanacak olanlar için Office Mail App’ini EMS’den kullanıcı mailbox’larına “deploy” etmelisiniz. Bunun yapılandırmasına blog ’umdaki Exchange Server 2013 Arşivleme yazısından yada Enterprise Vault Administrator Guide’ından bakabilirsiniz.

clip_image017

MS Office Outlook ayarları için drop-down menüden outlook’u seçmelisiniz. Dış dünyadan ( şirket network’ü dışından MS Office Outlook ile bağlanacak olanlar) Outlook Anywhere ( rpc over https ) ile ssl bağlantısı kuracaklarından hangi URL’i kullanacaklarının bilgisini, istemci tarafındaki Enterprise Vault Add-In’ine göndermeniz gerekir. Üstte gösterildiği gibi URL’i “set” edebilirsiniz.

RPC over Http Proxy URL olarak https://vaultexternal.e-vault.info/enterprisevault adresini kullandım.

Dikkat: Eğer Enterprise Vault Default Web Site’ına “bind” ettiğiniz sertifika içinde geçen Subject Name vaultexternal.e-vault.info isminden farklı ise , istemci tarafında MS Office Outlook’ten arşive erişim sırasında sertifika uyarısı alınır!

Yapılan ayarın geçerli olması için mailbox’ların “Synchronize” edilmesi gerekir.

clip_image019

“Sync” işleminden sonra değişiklik istemci tarafında Enterprise Vault add-in’ine gönderildi.Outlook açıldığında ve başarılı şekilde logon olunduktan sonra yansıyaccaktır. İstemci tarafına geçerek durumu inceleyelim.

clip_image021

Yapılandırma sonucu üstte görüldüğü gibi. İstemci, şirket network’ünün dışından Office Outlook ile arşivine bakmak isterse bu URL kullanılacak!

Test

Hazırladığım test lab’ına göre ( daha önce ifade etmiştim ) , şirket network’üm 172.20.1.0/24 ip bloğundadır.

Test için kullandığım Windows 7 client 192.168.1.0/24 ( Checkpoint’e göre dış dünya ) ip bloğundadır. 192.168.1.0/24 ve 192.168.2.0/24 ip blokları arasında Routing mevcuttur.

clip_image023

Üstte görüldüğü üzere MS Office Outlook 2010, https üzerinden exchange organizasyonundaki ilgili mailbox’a bağlandı.

Server Name’e dikkat çekmek istiyorum. AutoDiscover kaydının önemi görünüyor diye düşünüyorum.

clip_image025

MS Office Outlook üstte görüldüğü üzere arşive bakılmak istendiğinde daha önce ayarlanan isme yani https://vaultexternal.e-vault.info/enterprisevault ismine gidiyor.

clip_image027

Sertifikanın içinde geçen SAN altında vaultexternal.e-vault.info ismi olmadığından ( daha önce bahsettiğim üzere ) uyarı alındı. “Yes” ile devam edebiliriz.

clip_image029

Erişim sağlandı.

clip_image031

Enterprise Vault’un Index servisi de çalışıyor. Office Mail App ile OWA üzerinden de erişim sağlandığını gözleyebiliriz.

clip_image033

Enterprise Vault Mail App’inin view,search,archive explorer vb. özelliklerinden faydalanabilir durumdayız.

Office Mail App ile ilgili ayarlara Exchange Server 2013 sunucularınızın birinden EMS’den get-app cmdlet’i ile bakabilirsiniz.

Örnek :

get-app –mailbox baris

get-app -mailbox baris | ?{$_.displayname -like “Enterprise Vault”} | fl

Checkpoint SmartView Tracker’dan log’lara bakabiliriz.(Malumunuz, erişim sağlandığına göre NAT’ın çalışmış olması gerekirJ)

clip_image035

Aynı source’dan ( windows 7 client’tan ) Checkpoint’in iki ayrı interface’ine paket gelmiş.

clip_image037

Source’un yani windows 7 client’ın talebine göre, gelen istekler Checkpoint tarafından Exchange Server’a ve Enterprise Vault Server’a doğru translate edilmiş. ( Bakınız XlateDst kolonu, üstte )

Sonuç

Lab ortamında, Exchange Server 2013 CAS hizmetlerini ve arşivlenmiş mailbox’lara erişim için Enterprise Vault web servisini Checkpoint R76’ın kullanımına sunulan iki adet external ip adres ile dış dünyaya açmış olduk.Dikkat edilmesi gereken kısımları tekrar ifade edelim.

– Exchange Server 2013 CAS için geçerli bir otoriteden alınmış SSL sertifikası

– External Domain Name

– Enterprise Vault için Outlook Anywhere ( RPC over HTTP/S ) ile bağlanan istemcilerin kullanacağı URL

– Enterprise Vault web servisi için geçerli bir otoriteden alınmış SSL sertifikası

– Kullanılan tüm URL’lerin Name-to-IP mapping’lerinin yapılmış olması ( DNS!)

Herkese sorunsuz ve neşeli günler dilerim.

1 comment found

Comments are closed.