Forum
Bildirimler
Hepsini Temizle
Exchange Server
6
Yazılar
2
Üyeler
2
Reactions
88
Görüntüleme
Konu başlatıcı
Merhaba herkese,
Şu an hybrid bir Exchange ortamında Hybrid Modern Authentication (HMA) yapılandırması üzerinde çalışıyorum. Süreçte karşılaştığım bir soruyu sizlerle paylaşmak ve görüşlerinizi almak istiyorum:
Exchange ve Outlook tarafında, modern kimlik doğrulama geçişini planlıyorum. Bu süreçte Microsoft'un belgelerinde geçen şu registry kaydı dikkatimi çekti:
[HKEY_CURRENT_USER\Software\Microsoft\Exchange]
"AlwaysUseMSOAuthForAutoDiscover"=dword:00000001
Bu ayarın, Outlook istemcilerinin Autodiscover aşamasında dahi OAuth (modern authentication) kullanmasını zorunlu tuttuğunu biliyorum. Ancak sorum şu:
❓ Eğer bu registry ayarını HMA yapılandırmasını tamamlamadan önce istemcilere uygularsam ne gibi sorunlar yaşanabilir?
Tahminimce Outlook istemcileri OAuth kullanmak isteyecek ama sunucu tarafında EvoSTS Auth Server ya da gerekli SPN’ler hazır olmadığı için bağlantı sorunları yaşanacaktır.
Ama bu konuda gerçek senaryoda deneyimi olanlar varsa, sizden net bir görüş almak isterim.
🔧 HMA henüz aktif değil:
-
Get-OrganizationConfig | ft OAuth2ClientProfileEnabled→ False -
Get-AuthServer | where {$_.Name -like “EvoSts*”}→ boş
Ek sorular:
-
Bu registry ayarı sizce yalnızca HMA sonrasında mı uygulanmalı?
-
Herhangi bir geçici çözüm var mı (örneğin fallback olarak Basic Auth denemesi)?
Şimdiden teşekkürler!
Her türlü deneyim, görüş ve kaynak paylaşımı benim için çok değerli olur.
Gönderildi : 04/04/2025 11:42
Geçişi geniş zamanda yapın, o reg'i uygulamayın HMA tamamlayın sonra test ederek client'lara uygulayın.
Client'ların profile davranışları sürümleriyle ilgili biraz da.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 04/04/2025 13:57
Fatih Türkoğlu reacted
Konu başlatıcı
@ibrahimyildiz Testlerimi yaptım, ortamda şu an hibrit bir Exchange kurulumu var ve HMA henüz aktif değil. Outlook istemcilerinde test ettiğim sürüm Outlook 2019. Ancak biliyorsun hocam, GPO’yu öyle direkt uygulayamam; biraz zaman alıyor. O yüzden, bir hafta önceden GPO’yu dağıtıp, ardından bir gün içerisinde HMA’yı aktif etsem mi diye düşünüyorum.
Gönderildi : 04/04/2025 14:08
Hayır, bunu bir hafta sonunda yapmalısın. Önce HMA sonra o reg ile client bağlantı doğrulamaları en son oturduktan sonra basic auth kapatırsın. HMA dan sonra client'ların düşebilir. Yukarıda yazdıklarını ve aşamaları gpt'e sor sana aşama aşama tarif edecek.
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 04/04/2025 14:27
Konu başlatıcı
Selam hocam,
Yani demek istediğin şey; önce HMA’yı aktif hale getirmek, ardından Regedit ayarını yaygınlaştırmak, son aşamada da Basic Auth’u kapatmak şeklinde bir sırayla gitmek, değil mi?
Ben bu konuda bazı testler yaptım. Bazı client’lara AlwaysUseMSOAuthForAutoDiscover=1 registry anahtarını uyguladım. Bu istemcileri hem lokal ağda hem de dış network’te test ettim ve şu ana kadar belirgin olarak sadece dis agda sorun yasadim.
Örnek olarak test makinelerimden birinde PowerShell ile Outlook’u otomatik olarak kapatıp açan bir script yazdım — yaklaşık 10.000+ kez restart oldu ve hiçbirinde şifre sormadı.
Ancak bir yandan da biliyorum ki şu an HMA kapalı ve Basic Auth açık, dolayısıyla yapılan testlerin verimliliği ve doğruluğu %100 değil. Belki Basic Auth arka planda fallback olarak devreye giriyor olabilir. Bu nedenle gerçek ve izole bir HMA senaryosu tam olarak simüle edilemiyor.
Burada esas merak ettiğim: Siz olsanız bu geçişi nasıl planlardınız?
Benim roll-back planım hazır, riskleri hesapladım ama yine de işin mutfağında bu geçişleri tecrübe etmiş kişilerin yorumları benim için çok değerli. Sizin yaklaşımınıza göre önce HMA’yı açıp sistemin oturmasını beklemek, ardından adım adım Regedit ve sonrasında Basic Auth’u kapatmak daha sağlam bir yol gibi görünüyor — doğru mu anlıyorum?
Tekrar teşekkür ederim katkınız için 🙏
Gönderildi : 04/04/2025 14:44
Sırasıyla;
Evet, aynen.
Yukarıda dediğim gibi yapardım. Mesela bir noktada çok daha zorlusunu bir hafta sonunda yapmıştık outlook 2010'lardan geçişle tüm profilleri yeniden kurarak.:)
Evet, doğru. Alternatif tavsiyeleri olursa uzman arkadaşlar yazarlar.
Korku, çekincelerini çok iyi anlıyorum ben de yaşamıştım bence öncelikle bu tür hızlıca çıkan kaynaklardan konuları iyi anlar, kendini hazırlarsan sonrasında hakim olarak çok rahat test ederek uygularsın. Kurum, ortamın büyüklüğü önemli tabi. Hizmet satın alarak riski dağıtmakta bir yöntem.:)
https://www.hakanuzuner.com/outlook-2016-ve-2019-exchange-baglanma-sorunu-direct-connect-to-office-365/
https://www.cozumpark.com/community/microsoft_office-4/outlook-sifre-surekli-sifre-soruyor/
'balık vermez, nasıl tutulabildiğine yönlendirir'
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız. Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz. Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 04/04/2025 16:40
Fatih Türkoğlu reacted
