Bir şirket bünyesinde bulunan Exchange server sadece şirket içine değil aynı zamanda şirket dışındaki kullanıcılara da hizmet vermelidir, ancak bir Exchange server ı sadece port yönlendirmesi ile dışa açmak çok sakıncalı olabilir, bu nedenle Exchange Server ın yayınlanmasında ISA Server ı kullanmak güvenliğimizi arttırmaktadır.
ISA Server kullanarak Exchange Server pek çok değişik yöntem ile yayınlanabilmektedir ( daha önceki makalelerimde bundan bahsetmiştim ) , ancak bunlardan en çok kullanılanı, OWA ( Outlook Web Access )dır. Biz sistem yöneticileri için yayınlanması kolay ve güvenli bir hizmettir. Exchange Server a kullanıcıların dışarıdan mail client yazılımları ile ( outlook vb. )bağlanmaları sistemimizi yoracaktır. Özellikle POP3 servisinin açılması ve kullanıcıların bu servisi kullanmasına izin vermek Exchange serverımız hem yoracak hem de tehlikeye sokacaktır. POP3 servisinde mailler direk olarak sunucudan client a yüklendiği için yüklü mail alımları ve gönderimlerinde gerek Exchange server, gerekse Exchange server ın internet bant genişliği bundan negatif olarak etkilenecektir. Ayrıca POP3 protokolünde şifreler clear text olarak gönderildiğinden de paketlerin sniff edilerek şifrelerin alınması çok kolaydır.
Bu sebeplerden dolayı biz sistem yöneticileri çalışanların şirket dışında iken de maillerine bakmalarını sağlamak için, Exchange server ın standart bir özelliği olan OWA yı SSL li bir şekilde yayınlamamız gerekmektedir.
Bu işlem için şirketinizde bir takım servislerin kurulu ve çalışıyor olması gerekmektedir. Bunlar aşağıdaki gibidir.
Domain Controller ( DC )
Exchange Server
Internet Security and Acceleration
Certificate Authority (CA )
BU servilerin kurulumu tamamlandıktan sonra, Exchange Server ın kurulumu ile beraber çalışmaya başlayan OWA ya IIS yönetim konsolu ile CA den bir sertifika almanız gerekmektedir. Bu sertifikayı aldıktan sonra ise sertifikayı export etmemiz gerekmektedir.
Export edilen sertifika ise ISA üzerine import edilmelidir.
BU işlemleri gerçekleştirdikten sonra ise artık makalemize başlayabiliriz. Diğer makalelerimden farklı olarak ISA 2006, ISA 2004 e göre farklı bir OWA ara yüzüne ve yayınlama prosedürüne sahiptir. Bu nedenle her ne kadar ISA 2004 e benzerlik gösterse de değişen pek çok kısım bulunmaktadır.
Sertifika import edildikten sonra ISA yönetim konsolunu açıyoruz.
Şekil – 1
ISA yönetim konsolunda Firewall Policy kısmında sağ tarafta bulunan menüden “Publish Exchange……” seçeneğini seçiyoruz.
Şekil – 2
Oluşturacağımız kurala bir isim veriyor ve ilerliyoruz.
Şekil – 3
Exchange Server ın ISA üzerinden yayınlanmasının bir den çok yöntemi vardır. Biz bunlardan OWA yayınını kullanacağımız için burada OWA yı seçiyor ve ilgili Exchange sürümünü de belirledikten sonra ilerliyoruz.
Şekil - 4
Tek bir server yayınladığımızdan dolayı ilk seçeneği seçiyor ve ilerliyoruz
Şekil – 5
Amacımız ilk makalemden farklı olarak SSL üzerinden bir web sitesi yayınlamak olduğu için ( OWA nihayetinde bir web sitesidir ) ben ilk seçeneği seçiyorum. Bu ilk seçenek bana ISA Server ile yayınlanan Web server arasında SSL kullanılarak bir iletişim sağlanacağını belirtir. BU sayede şirket içerisindeki sniffer lara karşıda önlem almış oluyoruz.
Şekil – 6
Yayınlamak istediğimiz server ın FQDN ismini yazmamız gerekmektedir. Domain ismim “hakanuzuner.com” bende https://mail.hakanuzuner.com/exchange şeklinde bir yayınlama yapacağım . ( şirket içi domain ismi ile yayınlayacağım domain birbirinden farklı ise dns te bu yeni domain için bir zone açmam gerekli. )
Şekil – 7
Sizin mail sunucunuza kullanıcıların hangi adresten bağlanmalarını istiyorsanız bu adresi yazıyorsunuz
Şekil – 8
Tanımlı bir listener yok o nedenle “New” diyerek tanımlıyoruz.
Şekil – 9
Listener için bir isim veriyoruz.
Şekil – 10
Bu alanda ise istemci makine ile ISA Server arasındaki bağlantının nasıl olacağına karar veriyoruz. SSL li bir yayın yapmak istediğim için ilk seçenekte Exchange Server ( OWA ) ile ISA arasındaki trafiği SSL li yapmıştık , şimdi bu güvenliği tamamlayacak ikinci kısma geldik , Exchange ten SSL ile gelen veri ISA server dan istemciye nasıl gidecek ? Tabi ki bunu biz SSL ile göndereceğiz , bunun için ilk seçenek seçilir.
Şekil – 11
İsteklerin nereden geleceğini tanımlıyoruz . Şirket içerisinden gelen isteklerinde dinlenmesini istiyorsanız “internal” ıda seçebilirsiniz.
Şekil -12
Yayınlamada kullanacağımız sertifikayı göstermemiz gerekmektedir. Bu sertifika diğer makalelerimde detaylı bir şekilde anlatmış oldum , OWA için CA den alınan ardından Exchange makine üzerinde export edilip , ISA üzerinde import edilen sertifikadır. “Select Certificate” diyerek isa server üzerinde yüklü olan sertifikalardan ihtiyacımız olanı seçiyoruz.
Şekil – 13
Sertifikamızı seçiyoruz.
Şekil - 14
Ardından “next” diyerek ilerliyoruz.
Şekil -15
Bu kısımda ise “HTML Form Authentication” ı seçip alt taraftan Active Directory (Windows)’ u işaretleyelim
Şekil – 16
Bu pencerede eğer şirket içerisindeki bir ISA Server a login olmamız halinde diğerlerine login olmamıza gerek kalmamasını sağlayan Single Sign On seçeneğini görüyoruz. Bu yayınlama için gerekli bir seçenek değildir.
Şekil – 17
Oluşturduğumuzun Listener ın bir özetini görmekteyiz , Finish diyerek Listener’ı tamamlıyoruz.
Şekil - 18
Listener tamamlandı ve ilerliyoruz
Şekil -19
Bu Ekranı ise olduğu gibi bırakıyoruz ve ilerliyoruz
Şekil -20
Bu ekranda ise User seçme şansımız bulunmaktadır , dışarıdan gelen kullanıcılar internet ortamıdnan geldiği için buradaki User kısmında “All Users” a izin vermek daha doğru olacaktır.
Şekil – 21
Hakkında özet bilgiyi görüyoruz ve Finish diyerek kuralımız tamamlıyoruz. Artık user ların kullanımına hazırız . Kullanıcılarımız OWA ya giriş yapacaklarında artık karşılarına aşağıdaki gibi bir ekran çıkacaktır.
Şekil - 22
Şirket içerisinden veya şirket dışından kullanıcılarınız ; https://mail.hakanuzuner.com/exchange yazmaları halinde ISA 2006 nın sahip olduğu yeni OWA ara yüzü ile karşılaşacaklar ve bu sayede daha hızlı ve güvenli bir hizmet alacaklardır.
( Clientlar Error:12250 hatası alırlar ise makalesinin sonundaki detaylı açıklamaya bakabilirler. )( şirketinizin bir domain i yok ise bir hosting firmasından örn : piramit.com kendinize bir domain satın almalı ve mx ile ptr kayıdı açtırmalısınız. Bu kayıtlar için sizden istenen ip adresi olarak ise Exchange server ın internete çıkış ip adresini yani adsl modem ise adsl modemin sabit ip adresini vermelisiniz. Ayrıca adsl modem üzerinde 25 ile 443 nolu portları da Exchange server a yönlendirmeli ve Exchange server ın gateway inide adsl modem olarak ayarlamalısınız )