Exchange Server 2007 CAS rolü üzerinden dışarıya sunmanız gereken tipik web tabanlı servisler aşağıdaki gibidir:

• Outlook Web Access (OWA)
• Activesync
• Offline Address Book (Web Based Distribution)
• Outlook Anywhere
• Autodiscover

Bu servislerden Autodiscover haricindekiler aynı FQDN ile çalışabilirler. Yani örneğin, “https://mail.bilgeadam.com” adresi üzerinden hem OWA, hem de Activesync, Offline Address Book, Outlook Anywhere bileşenlerini sunabilirsiniz.

Fakat Autodiscover özelliğinin davranış biçimi farklıdır.

Outlook 2007 ve sonrasi istemciler açıldıklarında autodiscover.xml ‘i download etmeye çalışırlar. Bu xml dosyası istemcinin otomatik konfigürasyonu, sunucu ile ilgili konfigürasyon değişiklikleri, Offline Address Book Web Based Dİstribution adresi gibi birçok parametreyi istemciye belirtmek için kullanılır. Outlook 2007, autodiscover.xml ‘i sırasıyla aşağıdaki adreslerde arar:

• https://<smtpdomain>/Autodiscover/Autodiscover.xml
• https://autodiscover.<smtpdomain>/Autodiscover/Autodiscover.xml
• http://autodiscover.<smtpdomain>/Autodiscover/Autodiscover.xml

Yukarıda saydığım CAS üzerinde sunulan servislerden autodiscover haricinde olanları internete sunmak için Exchange 2003′ten gelen public sertifikanızı kullanabilirsiniz. Fakat yukarıdaki senaryoya göre autodiscover için aynı sertifikayı kullanamazsınız, çünkü autodiscover, daha önceden Microsoft’un belirlediği <smtpdomain> ve sutodiscover.<smtpdomain> adreslerini sorgular.

Bu noktada 2 alternatifiniz bulunmakta:

• Var olan public sertifikanızı yenileyip Exchange 2007 ve Unified Messaging çözümleri için geliştirilen ve birden fazla subject name içeren özel sertifikalardan alıp, hem owa ve diğer servisler için kullandığınız domain’i hem de autodiscover.<smtpdomain> adresini aynı sertifikadan sunabilirsiniz. Bu özelliği destekleyen Certification Authority’lerin adresleri için
  http://support.microsoft.com/kb/929395 makalesini inceleyebilirsiniz.
• HTTP isteğini redirect ederek HTTPS ihtiyacından kurtulursunuz ve sertifika derdiniz olmaz. Fakat bu sefer de hem ikinci bir IIS site oluşturmak zorundasınız hem de ikinci bir public IP edinmelisiniz.

Microsoft bu ihtiyaçları göz önünde bulundurarak 27 Haziran 2007 (27 June 2007) tarihli Outlook 2007 güncellemesiyle Outlook 2007′nin sorguladığı autodiscovery özelliklerine bir yenisini ekledi.

http://support.microsoft.com/kb/939184/ adresinden indirebileceğiniz Outlook güncellemesi sayesinde Outlook 2007 istemcilerin alternatif olarak DNS SRV kayıtlarını sorgulayarak autodiscover adresini bulmaları sağlanıyor.

Bu özelliği kullanmak için:

• Dışarıdan autodiscover özelliğini kullanması gereken Outlook 2007 istemcilere ilgili güncellemeyi yükleyin.
• External DNS’inizde autodiscover servisi için yaratmış olduğunuz Host (A) veya CNAME kayıtlarını silin.
• External DNS’inizde ilgili DNS SRV kaydını oluşturun (Service: _autodiscover Protocol: _tcp Port Number: 443 Host: <OWA için kullandığınız FQDN, örn: mail.bilgeadam.com

Outlook’a ilgili güncellemeyi yükledikten sonra Outlook’un autodiscover servisini bulmak için sorgulama yöntemi aşağıdaki gibi değişir:

• Autodiscover https://contoso.com/Autodiscover/Autodiscover.xml adresini dener, bu sorgu başarısız olur.
• Autodiscover https://autodiscover.contoso.com/Autodiscover/Autodiscover.xml adresini dener, bu sorgu başarısız olur.
• Autodiscover http://autodiscover.contoso.com/Autodiscover/Autodiscover.xml redirect adresini dener, bu sorgu başarısız olur.
• Autodiscover _autodiscover._tcp.contoso.com için DNS SRV kaydını sorgular, “mail.bilgeadam.com” (OWA ve diğer servisler için kullanılan FQDN) cevabını alır, devam eder.

Communications Server ortamınızı LCS 2005′ten OCS 2007′ye yükseltirken en önemli adım kullanıcıların LCS 2005 Front End sunucusundan OCS 2007 ye move edilme sürecidir. Bu süreçte hangi Communicator versiyonunun hangi Communications Server versiyonunu desteklediğini bilmek çok önemli.

Geçişte en kritik nokta OCS 2007′deki “Enhanced Presence” özelliğidir. OCS 2007 ile beraber gelen enhanced presence özelliği bir kullanıcıda aktif hale getirildikten sonra bir daha geri çevrilemez. Bu özellik aktif hale getirildiği anda Communicator 2007 öncesi versiyonları artık kullanamazsınız.

Hangi Communicator versiyonunu hangi Communications Server ile kullanabileceğinize dair bir tabloyu aşağıda bulabilirsiniz:

Communicator Versiyonu	Sunucu Versiyonu	Enhanced Presence Özelliği Aktif mi?	Enhanced Presence Modu aktifmi?	Bağlanabilir mi?
OC 2005	LCS 2005 SP1	N/A	N/A	Yes
OC 2007	LCS 2005 SP1	N/A	N/A	No
OC 2005	OCS 2007	No	No	Yes
OC 2007	OCS 2007	No	No	No
OC 2005	OCS 2007	Yes	No	Yes
OC 2007	OCS 2007	Yes	Yes (sets it on first successful connection)	Yes
OC 2005	OCS 2007	Yes	Yes	No

 

Kullanıcı LCS 2005 SP1′den OCS 2007′ye taşındığında Enhanced Presence özelliği otomatik olarak aktif hale getirilmez. Kullanıcı direk olarak OCS 2007′de oluşturulduğunda enhanced presence özelliği aktif edilir, fakat enhanced presence modu aktif edilmez. Enhanced presence özelliği bir kere aktif hale getirildiğinde tekrar deaktif edilemez.

Kullanıcının Enhance Presence modunun aktif olup olmadığını merkezi olarak öğrenmek istiyorsanız OCS 2007 Reseource Kit içindeki dbanalyze aracını kullanabilirsiniz. Örnek: dbanalyze /reportuser /user:<Kullanıcının SIP URI değeri>. Dönen değerdeki “RichMode” satırına dikkat etmelisiniz, eğer değeri “True” ise kullanıcının Enhanced Presence modu aktiftir.

Office Communications Server 2007, Microsoft’un “Birleşik Haberleşme” çözümünün en önemli bileşenlerinden biridir. Bu yazımda, var olan LCS 2005 ortamınızı OCS 2007’ye yükseltirken nasıl bir yol izlemeniz ve nelere dikkat etmeniz gerektiği üzerinde duracağım.

Geçiş Fazları

LCS ortamınızı OCS’e geçirirken Microsoft 5 fazlı bir geçiş önermekte.

Faz	Açıklama	Son kullanıcıya etkisi
Faz 1: Perimeter network’ünüzü ve (varsa) Director rolüne sahip sunucunuzu OCS 2007 ile değiştirin.	Var olan, çalışmakta olan LCS 2005 SP1 ortamınıza OCS 2007 Access Edge sunucularının kurulması.	Son kullanıcıya herhangi bir etkisi olmayacaktır. Kullanıcılar Office Communicator 2005 client kullanarak anlık mesajlaşma ve durum fonksiyonlarını kullanmaya devam edecektir.
Faz 2: İç yapıya OCS 2007 sunucularını kurun.	OCS 2007 Enterprise pool’un ve Archiving sunucusunun kurulması.	Son kullanıcıya herhangi bir etkisi olmayacaktır. Kullanıcılar Office Communicator 2005 client kullanarak anlık mesajlaşma ve durum fonksiyonlarını kullanmaya devam edecektir.
Faz 3: Pilot kullanıcılar için gelişmiş durum bilgisi fonksiyonunun aktif hale getirilmesi.	Pilot kullanıcılar için gelişmiş durum bilgisi fonksiyonunun aktif hale getirilmesi, Office Communicator 2007 ve Live Meeting 2007 yazılımlarının pilot kullanıcılar için yaygınlaştırılması.	Pilot kullanıcılar ortamdaki diğer pilot kullanıcılar ile iletişim kurarken OCS 2007’nin tüm özelliklerini kullanmaya başlarlar. Pilot kullanıcıların “gelişmiş durum” özelliği aktif hale getirildiğinde Communicator 2005, Communicator Web Access 2005  istemcisi kullanarak ortama bağlanamazlar. Communicator 2005 kullanıcıları ile haberleşirken, pilot kullanıcılar OCS 2007’nin yeni özelliklerinden faydalanabilirler. Pilot kullanıcılar Live Meeting 2007 kullanarak OCS 2007 sunucularından sunulan web konferanslarına bağlanabilirler.
Faz 4: Yeni Edge Server Rollerinin yaygınlaştırılması	Web Conferencing Edge Server ve A/V Edge Server bileşenlerinin perimeter network’e kurulması.	Pilot kullanıcılar dışarıdan bağlanırken yeni Web Conferencing ve audio / video özelliklerini kullanabilirler.
Faz 5: Kalan kullanıcıların yeni ortama taşınması	Kalan kullanıcıların gelişmiş durum özelliklerinin aktif hale getirilmesi ve Office Communicator 2007 ve Live Meeting 2007 yazılımlarının yaygınlaştırılması.	OCS 2007 kullanıcıları diğer OCS 2007 kullanıcıları ile iletişim kurarken Communicator 2007’nin tüm özelliklerini kullanabilirler Communicator 2005 kullanıcıları ile iletişim kurarken, Communicator 2007 istemcileri OCS 2007’nin yeni özelliklerini kullanamazlar. Kullanıcılar Live Meeting 2007 kullanarak OCS 2007 sunucularından sunulan web konferanslarına içeriden ve dışarıdan bağlanabilirler.

 

Dikkat Edilmesi Gereken Konular

• DNS. OCS 2007 ile birlikte dış kullanıcıların Edge sunucularına eriştiği varsayılan port 5061 yerine 443 olarak değiştirildi. Dışarıdaki Communicator istemcilerinin 5061. Porta erişimi olmaması ihtimalinin daha yüksek olması sebebiyle geçiş sırasında default portu 443 olarak değiştirmenizi öneririm.Bunu gerçekleştirmek için Access Edge sunucusunun dış bacağını gösteren _sip._tls.<domain> DNS SRV kaydını 443. Portu kullanması için değiştirmelisiniz.
• External FQDN. OCS 2007 Access Edge sunucunuzun external FQDN değerini LCS 2005 Access Proxy sunucunuzla aynı vermenizin birçok avantajı bulunmakta. Bunların en temel 2 tanesi olarak, sertifikayı yenilemenize gerek kalmaması ve Public IM başvurunuzu yeniden yapmanıza gerek kalmaması sayılabilir.
• Enhanced Presence. Kullanıcıları OCS 2007 ortamına yükseltmek ile kullanıcıların enhanced presence özelliklerini aktif hale getirmek farklı adımlardır. Bir kullanıcıyı “enhanced presence” özelliğini destekler şekilde değiştirdiğinizde, o kullanıcı bir kere Communicator 2007′den login olduğu anda artık LCS 2005’in istemci bileşenlerini (Communicator 2005, CWA 2005) kullanamaz.
• Dışarıdan içeriye doğru yükseltme. Altyapınızı LCS 2005’ten OCS 2007’ye yükseltirken dışarıdan içeriye doğru yükseltmeniz gerekiyor. Kısaca, öncelikle var olan LCS 2005 Access Proxy sunucunuzun yanında OCS 2007 Access Edge kuruyorsunuz, devamında içerideki pool’u oluşturup kullanıcıları yeni ortama geçiriyorsunuz. Devamında dışarıdaki A/V ve Web conferencing edge rollerini kuruyorsunuz ve pilot kullanıcıları enhanced presence için aktif hale getirip testlere başlıyorsunuz.
• LCS 2005 ön koşulları. OCS 2007 geçişi gerçekleştirmeniz için LCS 2005 ile OCS 2007′nin belirli süre aynı ortamda çalışması gerekmekte. LCS 2005′in OCS 2007 ile beraber çalışabilmesi için LCS 2005′i SP1′e yükseltmenin yanında aşağıdaki QFE’leri de LCS 2005 SP1 sunucularınıza yüklemelisiniz:
  • http://r.office.microsoft.com/r/rlidOCS?clid=1033&p1=kb911996
  • http://r.office.microsoft.com/r/rlidOCS?clid=1033&p1=kb921543
• Active Directory Schema. OCS 2007 kurmadan önce Active Directory schema’sını upgrade etmelisiniz. Bu konuda herhangi bir problem yok, OCS 2007 Active Directory schema upgrade işlemi LCS 2005 uyumludur.
• OCS 2007 Access Edge & Director. OCS 2007 Access Edge rolü LCS 2005 ile uyumlu bir roldür. LCS 2005 ortamındaki tüm kullanıcılar ve federated partner’larınız OCS 2007 Access Edge kullanarak organizasyona bağlanabilirler. Dolayısıyla tipik bir upgrade işlemi perimeter network’teki LCS Access Proxy’nizi OCS 2007 Access Edge’e çevirmek ile başlıyor.
• Arşivleme. LCS 2005 ve OCS 2007 ancak kendi sunucuları üzerindeki iletişimi arşivleyebilirler, birbirlerinin iletişimini arşivleyemezler.
• Dokümantasyonu takip edin. Profesyonel bir çözüm geliştirmek istiyorsanız OCS 2007’nin dokümanlarını incelemenizi tavsiye ederim. OCS 2007 gerçekten çok detaylı tasarım ve kurulum dokümantasyonu olan bir ürün. OCS 2007 dokümanlarına toplu olarak

ACS (Audit Collection Services) Operations Manager 2007 ile beraber gelen ve şüphesiz güvenlik denetimi ve raporlaması yapmak isteyen, özellikle IT denetimlerine tabi olan kurumların işlerini çok kolaylaştıran çözümdür.

ACS sayesinde aşağıdaki örnek sorulara ve çok daha fazlasına cevap vereceğiniz analiz raporları veya verilerine birkaç dakika içinde ulaşabilirsiniz:

• Belirtilen sunucuya son 3 gün içinde kimler oturum açmış?
• Belirtilen sunucuda son 7 gün içinde “alpero” kullanıcısı hangi yazılımları çalıştırmış?
• “alpero” kullanıcısı son 1 aydır hangi sunuculara oturum açmış?
• Son 1 haftadır Active Directory üzerinde kimler yönetimsel görevler (kullanıcı hesabı oluşturmak, silmek, şifre resetlemek gibi) gerçekleştirmiş?

ACS sayesinde aynı zamanda sizin aklınıza soru olarak gelmeyecek fakat güvenlik tehdidi oluşturabilecek konuları da raporlayabilirsiniz. Aynı zamanda adli konular için delil niteliği taşıyan raporlar üretebilirsiniz.

Bununla beraber, Operations Manager 2007 ortamında ACS özelliğini aktif hale getirmeden önce veri depolama kapasitesinin ve optimizasyonun çok iyi tasarlanması gerekmekte. Aksi taktirde ACS veritabanınız çok kısa süre içinde saklayamayacağınız veya raporlayamayacağınız büyüklükte veriler ile dolabilir.

Peki, ACS çözümünü altyapıya uygularken ne gibi optimizasyon seçenekleri mevcut?

AUDIT POLICY

ACS raporları istemciler ve sunucular üzerindeki security event log’larının merkezi veritabanına toplanıp yorumlanması sonucunda oluşturulur. Bu perspektiften bakıldığında ACS veritabanında oluşacak verilerin kaplayacağı alan ve ihtiyaç duyacağı donanım kaynağı, ACS ajanları üzerinde aktif hale getirilecek Audit Policy’ler ile doğru orantılıdır. İhtiyacınız olmayan Audit Policy’leri devreden çıkararak ACS optimizasyonunda ilk adımı atabilirsiniz.

ACS COLLECTION FİLTRELERİ

ACS veritabanından elde edeceğiniz ilk raporların çoğu zaman raporların işinize yaramayacak, gereksiz bilgiler ile dolduğunu göreceksiniz (Group Policy kontrolü yapmak için oturum açan ve kapatan bilgisayarların COMPUTER$ şeklindeki hesapları gibi…). Bu kirliliği engellemek için ACS Collection Filtrelerini kullanmanız gerekmekte. Bu konu ne yazık ki Microsoft tarafından çok iyi dokümante edilmemiş konulardan biridir. Fakat Microsoft’un özellikle ACS konusunda oldukça başarılı çözümler geliştiren Secure Vantage firmasının ürettiği “ACS Noise Filter Guide” bu iş için çok güzel ve anlaşılabilir bir dokümandır. Aynı zamanda yine Secure Vantage firmasının ürettiği ACS Resource Kit içinde gelen “Noise Filter Starting Kit” ile var olan filtreleri inceleyebilir, yeni filtreleri kolaylıkla uygulayabilirsiniz.

ACS Veri Tabanının Optimizasyonu

ACS veritabanındaki veriler günlük olarak SQL partition’larına ayrılır. Her gece 01:00’da çalışan bir görev sonucunda yeni bir partition oluşturulur ve o günün ACS verileri aynı günün partition’una kaydedilir.

Bazı kurumlar, ACS’i kısa dönemli güvenlik olaylarının sorgulanması için kullanırken geçmiş veriler (Örn: Son 1 yılın güvenlik raporları) için 3rd party arşivleme çözümleri kullanmakta. ACS veritabanında geriye doğru sadece ihtiyacınız kadar günkü verileri saklamak performansı arttırıcı tasarım kararları arasındadır.

Bunun için SQL dtconfig tablosundaki “number of partitions” değerini değiştirmek yeterli olacaktır.

ACS Optimizasyonu ve Planlaması hakkında daha detaylı bilgi için aşağıdaki linklerden faydalanabilirsiniz:

• ACS Performance & Scalability Guide
• Security Monitoring and Attack Detection Planning Guide
• ACS Administration : AdtAdmin.exe

Operations Manager 2007 ilk tanıtımlarından bu yana “uçtan uca servis yönetimi” vizyonu ile karşımıza çıkmış bir çözümdür. Elbette, kritik BT servislerinizi uçtan uca yönetmek için çoğu zaman altyapınızdaki Windows sunucuları yönetmekten çok daha fazlasını yapmanız gerekmekte. Örneğin altyapınızdaki network cihazlarını ve non-windows (Unix, Linux vb.) işletim sistemlerini de aynı çatı altında izleyebilmek gerekmekte.

Operations Manager 2007 ile beraber buna getirilen bazı hazır ve ücretli çözümler bulunmaktaydı. Örneğin, non-windows sunucular için, Operations Manager 2007′yi bir Syslog sunucusu gibi gösterip syslog mesajlarını Operations Manager 2007′den yorumlayabiliyordunuz. Veya bir network cihazını SNMP ile ekleyip ilgili SNMP OID’lerini manuel olarak yapılandırarak dinleyebiliyordunuz. Bununla beraber gerçekten etkili bir çözüm için Microsoft iş ortaklarının geliştirdiği ve çoğu ücretli olan Management Pack’leri kullanmanız gerekmekteydi.

Microsoft bu vizyonu bir adım öteye taşıdı. Network cihazlarının yönetilmesi ile ilgili çözümü EMC’nin “SMARTS” çözümünü Operations Manager 2007 R2′ye entegre ederek sunacak (SMARTS konusuna farklı bir yazımda değineceğim). Bunun yanında non-Winodws işletim sistemlerinin (HP-UX, IBM-AIX, Solaris gibi)izlenmesi için “Operations Manager 2007 Cross Platform and Interop Solutions” çözümünü geliştirdi. Bu çözümün beta versiyonunu Microsoft Connect sitesinden indirip deneyebilirsiniz.

Operations Manager 2007′ye yeni eklenecek olan bu özellikler ile beraber network cihazlarınız, non-Windows işletim sistemleri ve bu işletim sistemleri üzerinde koşan uygulamalarınız ile ilgili uyarıları Operations Manager konsolundan görebilecek, uyarılar ile ilgili e-posta, SMS, IM gibi yöntemlerle haberdar olabilecek, Performance View ile performans counter’larını inceleyebilecek, bu cihaz ve işletim sistemlerini Distributed Application’larınıza dahil edebilecek ve raporlarınıza dahil edebileceksiniz.

Microsoft System Center ürün ailesi ile ITIL süreçlerini doküman üzerinde kalan ve uygulanması zor politika ve prosedür olmaktan çıkarıp, uygulanabilir hale getirecek çözümü sunacağını belirtmişti. Çözümün her geçen gün olgunlaştığını, Service Desk yazılımının da gelmesi ile beraber entegrasyonun tamamlanacağını hesaba katarsak Microsoft yakında bu açığı tamamlayacak gibi gözüküyor.

Şu sıralarda tamamladığım Global Bilgi Exchange Server 2007 projesinde platform olarak Windows Server 2008 kullanmaya karar verdik. Windows Server 2008 yönetim, performans ve yönetim kolaylığı açısından gerçekten çok ciddi faydalar sağladı. Proje ile Türkiye’deki ilk büyük ölçekli Windows Server 2008 üzerinde çalışan Exchange Server 2007 mimarilerinden birini geliştirdik. Cluster ortamı olarak 2 aktif bir pasif 3 node’lu Exchange 2007 SCC çözümü geliştirdik. Proje boyunca Exchange 2007′nin Windows 2008 üzerinde çalışmasından kaynaklanan bazı önemli noktalara rastladık, bunları sizlerle paylaşmak istedim.

Offline Address Book (OAB) - Web Distribution Bug -1

Exchange Server 2007 ile beraber gelen bir özellik olan OAB Web Distribution’un çalışma prensibi OAB içeriğinin öncelikle bir folder’a (OABDropFolder) atılması, devamında ise Exchange FDS servisi tarafından IIS’teki OAB folder’ının altından publish edilmesi ve autodiscovery ile istemcilere bu lokasyonun bildirilmesidir.

Buraya kadar herşey normal gözüküyor. Fakat eğer SCC ve CCR kullanıyorsanız OABDropFolder’ınız muhtemelen shared storage olarak Windows Clustering tarafından cluster kaynağı olarak eklenmiştir. Problem ise tam olarak burada başlıyor. Exchange Server 2007 shared storage’da host edilen OABDropFolder’da gerekli dosyaları oluşturamıyor.

Peki çözüm?

Microsoft şu anda bu olayla ilgili bir yama geliştiriyor. Yama geliştirilene kadar konu ile ilgili iki workaround bulunmakta. Birinci workaround oldukça zahmetli, OAB’ı update etmek istediğiniz zaman OABDropFolder’ınızın paylaşımını kaldırıp Cluster’dan remove ediyorsunuz. OAB’ın folder’da yaratılması için ilgili servisleri restart ediyorsunuz. OAB’ı tekrar share edip Cluster’a dahil ediyorsunuz. Cluster kaynaklarını failover edip tekrar failback ediyorsunuz.

Daka kısa bir workaround ise ilgili patch çıkana kadar OAB’ı oluşturacağınız Public Folder database’inizi host etmek için clustered olmayan birMailbox Server rolü kurmak olacaktır.

Offline Address Book (OAB) - Web Distribution Bug -2

Eğer Autodiscovery’nin ayarlarını gerçekleştirip aktif hale getirdiyseniz ve CAS sunucunuz Windows Server 2008 ise, mailbox’ları move etmeye başladığınızda kullanıcılarınza şifre sormaya başlayacaktır. Sorunu teşhis etmek için OAB.xml dosyasını manuel olarak download etmeye çalışın (http://cas_sunucusu/OAB/<OABfolder>/OAB.xml) göreceksiniz ki şifrenizi kabul etmeyecektir. IIS’e gidip folder’ın security’sini incelediğinizde ise security ayarlarının aslında yeterli olduğunu göreceksiniz.

Bu da farklı bir bug’a işaret ediyor. Windows Server2008 IIS’in Kernel Mode Authentication’u ile bir uyumsuzluktan kaynaklanan bu bug için workaround şu şekilde: IIS’de OAB folder’ınızı seçin, sağ taraftaki menüden Authentication’u ve “Windows Authentication” u seçin. Advanced özelliklerden “Kernel Mode Authentication” un tikini kaldırın.