Office 365

Exchange EDGE Server ile Hybrid Deployment – Bölüm 1

Öncelikle Exchange EDGE server ile hybrid deployment senaryosuna değinmeden önce EDGE rolünden biraz bahsedip ve daha sonrasında konumuz olan hybrid senaryona geçiş yapıyor olacağım.

EDGE rolü, genellikle bir Exchange kuruluşunun DMZ ağında bulunan bir sunucuya kurulan ve kuruluşun saldırı yüzeyini en aza indirecek şekilde tasarlanan isteğe bağlı bir Exchange rolüdür. Edge Transport sunucusu rolü, kurumunuzdaki şirket içi Exchange sunucuları için SMTP relay ve smart host hizmetleri sağlayarak tüm internete bakan posta akışını yönetir. Edge Transport sunucusunda çalışan ajanlar ek mesaj koruma ve güvenlik katmanları sağlar bununla beraber bu aracılar spamlara karşı koruma sağlar ve posta akışını kontrol etmek için posta akışı kurallarını (transport rule olarak da bilinir) uygular. Bu özelliklerin tümü, dahili Exchange’inizin Internet üzerindeki tehditlere maruz kalmasını en aza indirmeye yardımcı olmak için birlikte çalışır. Şirket içi Exchange sunucularını doğrudan internete maruz bırakmak istemiyorsanız, Edge Transport sunucularını kullanma opsiyonuna sahip olursunuz.

Edge Transport sunucusu DMZ networkünde kurulu olduğundan, hiçbir zaman kuruluşunuzun internal Active Directory forestına üye değildir ve Active Directory bilgilerine erişemez. Bununla birlikte, Edge Transport sunucusu Active Directory’de bulunan verileri gerektirir: örneğin, posta akışı için connector bilgileri ve antispam recipient görevleri için recipient bilgileri gibi. Bu veri, Microsoft Exchange EdgeSync hizmeti (EdgeSync) tarafından Edge Transport sunucusuna senkronize edilir. EdgeSync, alıcı ve yapılandırma bilgilerinin Active Directory’den Edge Transport sunucusundaki Active Directory Lightweight Directory Services (AD LDS) servisine tek yönlü olarak çoğaltılmasını sağlamak için bir Exchange 2010, Exchange 2013, Exchange 2016 veya Exchange 2019 mailbox sunucusunda yürütülen işlemler topluluğudur. EdgeSync, yalnızca Edge Transport sunucusunun antispam yapılandırma görevlerini gerçekleştirmesi ve uçtan uca posta akışını etkinleştirmesi için gereken bilgileri kopyalar.

Edge Transport sunucularını kullanmak isteyen Exchange 2013 veya Exchange 2016 organizasyonları, en son Exchange 2010 veya sonraki bir sürümünü sahip olarak Edge Transport sunucularını kullanma seçeneğine sahiptir. Exchange 2019 versiyonu Exchange 2010’u support etmemektedir. Güncel bilgi için lütfen aşağıdaki referans linki inceleyiniz.

https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2019#supported-coexistence-scenarios-for-exchange-2019

https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2016#supported-coexistence-scenarios-for-exchange-2016

DMZ network ‘ün de birden fazla Edge Transport sunucusu kurabilirsiniz. Birden fazla Edge Transport sunucusunun deploy edilmesi, gelen mesaj akışınız için yedekleme ve yük devretme özellikleri sağlar bununla beraber mail domaininiz için aynı öncelik değerine sahip birden fazla MX kaydı tanımlayarak SMTP trafiğini kurumunuza Edge Transport sunucuları arasında dağıtabilirsiniz.

Edge rolünün mimarisini incelediğimizde;

-External’dan Internal EDGE sunucularına mail trafiği için 25 portunun bi-directional açık olması,

-EDGE sunucuları ile Mailbox sunucuları arasında 25 portunun bi-directional olarak açık olması,

-Mailbox sunucularından EDGE sunucularına ise 50636 portunun açık olması,

-EDGE sunucuları üzerinden dış dünyaya erişim için ise 53 DNS portunun açık olması gerekmektedir.


Purpose

Ports

Source

Destination

Comments

Inbound mail – Internet to Edge Transport server

25/TCP (SMTP)

Internet (any)

Edge Transport server

The default Receive connector named “Default internal Receive connector <Edge Transport server name>” on the Edge Transport server listens for anonymous SMTP mail on port 25.

Inbound mail – Edge Transport server to internal Exchange organization

25/TCP (SMTP)

Edge Transport server

Mailbox servers in the subscribed Active Directory site

The default Send connector named “EdgeSync – Inbound to <Active Directory site name>” relays inbound mail on port 25 to any Mailbox server in the subscribed Active Directory site. For more information, see Send connectors created automatically by the Edge Subscription. 

The default Receive connector named “Default Frontend <Mailbox server name>” in the Front End Transport service on the Mailbox server listens for all inbound mail (including mail from Exchange 2013 or later Edge Transport servers) on port 25.

Outbound mail – Internal Exchange organization to Edge Transport server

25/TCP (SMTP)

Mailbox servers in the subscribed Active Directory site

Edge Transport servers

Outbound mail always bypasses the Front End Transport service on Mailbox servers. 

Mail is relayed from the Transport service on any Mailbox server in the subscribed Active Directory site to an Edge Transport server using the implicit and invisible intra-organization Send connector that automatically routes mail between Exchange servers in the same organization. 

The default Receive connector named “Default internal Receive connector <Edge Transport server name>” on the Edge Transport server listens for SMTP mail on port 25 from the Transport service on any Mailbox server in the subscribed Active Directory site.

Outbound mail – Edge Transport server to internet

25/TCP (SMTP)

Edge Transport server

Internet (any)

The default Send connector named “EdgeSync – <Active Directory site name> to Internet” relays outbound mail on port 25 from the Edge Transport server to the internet.

EdgeSync synchronization

50636/TCP (secure LDAP)

Mailbox servers in the subscribed Active Directory site that participate in EdgeSync synchronization

Edge Transport servers

When the Edge Transport server is subscribed to the Active Directory site, all Mailbox servers that exist in the site at the time participate in EdgeSync synchronization. However, any Mailbox servers that you add later don’t automaticallyparticipate in EdgeSync synchronization.

DNS for name resolution of the next mail hop (not pictured)

53/UDP,53/TCP (DNS)

Edge Transport server

DNS server

See the Name resolution section later in this topic.

Benim bu makalede hedeflediğim konu daha çok hali hazır ‘da EDGE rolüne sahip olup Exchange Online ile Hybrid mimarisini direk EDGE ile kurmak isteyenlere referans olmak olacak. Tabikide hiç EDGE rolüne sahip olmayanlara da temel anlamda EDGE rolünü nasıl deployment yapmaları gerektiği konusunda yukarıdaki bilgiler referans oluyor olacaktır.

Hybrid deployment yapılandırırken şirket içi ortamınızda bir Edge Transport sunucusunu deploy etmek isteğe bağlıdır. Hybrid ortamınızı yapılandırırken, Exchange Online Protection ile mail flow yapılandırması için Hybrid Wizard bir veya daha fazla şirket içi Exchange sunucusu veya bir veya daha fazla şirket içi Edge Transport sunucusu seçmenize olanak sağlar.

Edge Transport sunucusu olmadan posta akışı

Aşağıdaki şema, bir Edge Transport sunucusu kurulmadığında şirket içi bir Exchange sunucusu ile Exchange Online arasında gerçekleşen mail trafiğini açıklar:

  1. Şirket içi Exchange sunucusundan Exchange Online kuruluşundaki alıcılara giden iletiler iç Exchange sunucusundaki bir posta kutusundan gönderilir.
  2. Exchange sunucusu, mesajı doğrudan EOP’ye gönderir.
  3. EOP, mesajı Exchange Online kuruluşuna iletir.

Exchange Online kuruluşundan şirket içi kuruluştaki alıcılara gönderilen iletiler ters rotayı izler.


Edge Transport sunucusuyla posta akışı

Aşağıdaki şema, bir Edge Transport sunucusu kurulduğunda şirket içi bir Exchange sunucusu ile Exchange Online arasında gerçekleşen mail trafiğini açıklar. Şirket içi Exchange sunucusundan Exchange Online kuruluşundaki alıcılara giden iletiler Edge sunucusu aracılığıyla gönderilir:

  1. Şirket içi kuruluştan Exchange Online kuruluşundaki alıcılara iletiler, iç Exchange sunucusundaki bir posta kutusundan gönderilir.
  2. Exchange sunucusu, iletiyi desteklenen bir sürümünü çalıştıran bir Edge Transport sunucusuna gönderir.
  3. Edge Transport sunucusu mesajı EOP’ye gönderir.
  4. EOP, mesajı Exchange Online kuruluşuna iletir.

Exchange Online kuruluşundan şirket içi kuruluştaki alıcılara gönderilen iletiler ters rotayı izler.


Bir Edge Transport sunucusunu Hybrid model ile kullanırken, Exchange Online Protection hizmeti aracılığıyla Exchange Online, iletileri iletmek için Edge Transport sunucunuza bağlanır. Edge Transport sunucusu daha sonra mesajları alıcı posta kutusunun bulunduğu şirket içi Exchange Mailbox sunucusuna iletecektir.

Özetle Edge Transport sunucusu, kurum içi organizasyondan Exchange Online organizasyonuna giden ve gelen mail trafiği için dahili Exchange sunucuları ve EOP arasında bir aracı görevi görür.

Saha tecrübelerimden söyleyebileceğim şudur ki yapılan Hybrid Deployment’ların %95’den fazlası Edge transport rolü olmadan 25 SMTP port trafiğinin direk şirket içi Exchange sunucularından EOP’a, EOP’tan ise şirket içindeki Exchange sunucularına açılarak gerçekleştirilmektedir. Özellikle banka veya finans sektöründeki şirketlerden birinde çalışıyor veya bunlara danışmanlık yapıyorsanız güvenlik katmanlarının çok fazla olduğunu ve core network’e dışarıdan izin verilmediğini bilmeniz gerekir. Bu gibi security’inin önem arz ettiği kuruluşlarda yapılan projelerdeki trafiğin DMZ networkünde deploy edilen sunucular aracılığı ile işlemesi gerekmektedir. Yukarıdaki anlattığım sebeplerden ötürü yapınızdaki EDGE sunucuları ile Exchange Online arasında Hybrid Deployment yapma gereksiniminiz bulunabilir.

Hybrid deployment öncesi bir diğer dikkat etmeniz gereken konu ise Exchange Online ile Exchange arasındaki iletişim sağlayacak olan portların açılmasıdır. Bunu bir örnekle açıklamak gerekirse benim EDGE deployment senaryosunda;

owa.lab60413o365ready.com – EWS servisi için – Port 443 – Şirket içerisindeki Exchange CAS sunucumuzu point etmektedir.

autodiscover.lab60413o365ready.com – Autodiscover servisi için – Port 443 – Şirket içerisindeki Exchange CAS sunucumuzu point etmektedir.

hybrid.lab60413o365ready.com – SMTP/TLS servisi için – Port 25 – DMZ network’ünüzdeki Exchange EDGE sunucumuzu point etmektedir.

En çok yapılan eksikliklerden ve dizayn hatalarından biriyse kullanıcı sayınızın yüksek olduğu ve mail trafiğinin çok kritik olduğu bir şirketlerde hybrid yapının tek sunucu üzerinden dizayn edilmesidir kalıcı olarak Hybrid yapısı düşünüyorsanız kesinlikle Exchange sunucularının önüne F5 gibi NLB cihazı koyarak dışarıdan gelen trafiği Exchange sunucuları arasında dağıtmanız gerekmektedir.

Hybrid Deploymentta kullandığınız bu URL’lerin Exchange 2013 için CAS veya Exchange 2016 için Mailbox ve EDGE sunucunda assign edilmiş Public sertifika içerisindeki Subject Alternative Names içerisinde bulunması gerekmektedir.

Transport Protocol

Upper Level Protocol

Feature/
Component

On-premises Endpoint

On-premises
Path

TCP 25 (SMTP)

SMTP/TLS

Mail flow between Office 365 and on-premises

Exchange 2019/2016 Mailbox/Edge

Exchange 2013 CAS/Edge

Exchange 2010 HUB/Edge

N/A

TCP 443 (HTTPS)

Autodiscover

Autodiscover

Exchange 2019/2016 Mailbox

Exchange 2013/2010 CAS

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

TCP 443 (HTTPS)

EWS

Free/busy, MailTips, Message Tracking

Exchange 2019/2016 Mailbox

Exchange 2013/2010 CAS

/ews/exchange.asmx/wssecurity

TCP 443 (HTTPS)

EWS

Multi-mailbox search

Exchange 2019/2016 Mailbox

Exchange 2013/2010 CAS

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

TCP 443 (HTTPS)

EWS

Mailbox migrations

Exchange 2019/2016 Mailbox

Exchange 2013/2010 CAS

/ews/mrsproxy.svc

TCP 443 (HTTPS)

Autodiscover

EWS

OAuth

Exchange 2019/2016 Mailbox

Exchange 2013/2010 CAS

/ews/exchange.asmx/wssecurity

/autodiscover/autodiscover.svc/wssecurity

/autodiscover/autodiscover.svc

2.bölümde ise Hybrid wizard üzerindeki ayarları inceliyor olacağız.

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu