Hybrid Exchange Server ortamlarında sertifika yenileme süreci kritik bir işlemdir. Özellikle Office 365 ile mail akışını sağlayan Send Connector üzerinde kullanılan sertifikaların yanlış yenilenmesi, hybrid mail flow ve servislerde kesinti yaşanmasına sebep olabilir.
İçindekiler
Exchange Server Sertifika Kontrol Adımı
Hybrid Exchange için ayrı bir FQDN kullanıyor olabilirsiniz ve sertifika değişimi yapmanız gerekebilir. Öncelikle mevcut sertifikaları Exchange Admin Center (EAC) üzerinden kontrol etmelisiniz.
Adımlar:
- EAC → Servers → Certificates bölümüne gidin.
- Burada geçerli olan sertifikaların durumunu inceleyin.
- Global CA’dan alınan sertifikanın süresi dolduğunda, Exchange servislerinde hata almanız normaldir. İşlem yapmadan önce mutlaka yenilenmiş sertifikayı import edin.EAC → Servers → Certificates bölümüne gidin.
Bu bölümde görmüş olduğunuz Global CA’dan alınan sertifika süresi dolduğu zaman Exchange Server servislerinde hatalar almanız normal, burada işlem yapmadan önce yenilenmiş bir Sertifika import etmeniz gerekmektedir.
Hybrid Exchange Sertifika A special Rpc error occurs on server These certificates are tagged with following Hatası
Mevcut Exchange Server ortamınızda güncellenmiş bir sertifika ekledikten sonra eski sertifikayı kaldırmak istediğiniz zaman aşağıdaki gibi bir hata görebilirsiniz;
error
A special Rpc error occurs on server MBX01: These certificates are tagged with following Send Connectors : Outbound to Office 365 - 8e53240-f269-4ac8-885d-425fdfd1231a. Removing and replacing certificates from Send Connector would break the mail flow. If you still want to proceed then replace or remove these certificates from Send Connector and then try this command.
Hybrid Exchange A special Rpc error occurs on server These certificates are tagged with following Hatasının Anlamı
Bu hata, yenilemeye çalıştığınız SSL sertifikasının hali hazırda “Outbound to Office 365” gibi bir send connector üzerinde tanımlı olduğunu belirtmektedir. Yani sertifika doğrudan mail akışında kullanılmaktadır. Eğer sertifika doğrudan kaldırılırsa veya yanlış bağlanırsa, hybrid mail flow kesintiye uğrayacaktır.
Exchange Server Sertifikaların Kontrolü
Öncelikle sunucuda bulunan sertifikaların durumunu ve kullanım alanlarını kontrol edin:
Get-ExchangeCertificate | FL FriendlyName,Subject,Thumbprint,Services,NotAfterNotAfter alanı sertifikanın geçerlilik bitiş tarihini gösterir.
Bu listeden yeni eklediğiniz sertifikanın Thumbprint değerini kopyalayın.
Hybrid Exchange Sertifika Yenilecek Connector İsimlerini Kontrol Etme
- Send Connector:
EAC → Mail Flow → Send Connectors - Receive Connector:
EAC → Mail Flow → Receive Connectors
Özellikle “Outbound to Office 365” send connector ve “Default Frontend MBX01” receive connector için işlem yapılacaktır.
Hybrid Exchange Server’da Connector Sertifikası Yenileme
Daha önceki yazılarımız da Exchange Server’da Send Connector ve Receive Connector için Sertifika ataması nasıl yapılır paylaşmıştır, detaylar için ilgili yazıyı okuyabilirsiniz.
Bir önceki adımda Exchange Server Sertifikasının Thumbprint değerini kopyalamıştık, şimdi onu doğrulamak için aşağıdaki komutu çalıştırabiliriz.
Get-ExchangeCertificate -Thumbprint "FEE65029E15E6FDA539BB37C433B4AE3BBF8EE1F"
Thumbprint Services Subject
---------- -------- -------
FDE65029E3256FDA539BB37C432B4AE3BBF8E41F ...WS.. CN=*.cengizyilmaz.netThumbprint değerimizi bir değişkene atamamız gerekmektedir.
$TLSCert = Get-ExchangeCertificate -Thumbprint "FDE65029E3256FDA539BB37C432B4AE3BBF8E41F"$TLSCertName = "<I>$($TLSCert.Issuer)<S>$($TLSCert.Subject)"Send Connector adımızı kullanarak TLSCertificateName değerini kaydedebiliriz.
Set-SendConnector "Outbound to Office 365 - 8ecad010-f269-4ac8-885d-fd5fdfd1717a" -TlsCertificateName $TLSCertNameŞimdi ise Receive Connector için aynı işlemi yapabiliriz, ilgili işlemi Default Frontend Connectoru için yapmamız gerekmektedir.
Set-ReceiveConnector "MBX01\Default Frontend MBX01" -TlsCertificateName $TLSCertName
WARNING: The command completed successfully but no settings of 'MBX01\Default Frontend MBX01' have
been modified.Eski Sertifikanın Kaldırılması
Yeni sertifika connector’lere tanımlandıktan ve testler başarıyla tamamlandıktan sonra eski sertifikayı silebilirsiniz. Bu işlem EAC üzerinden yapılamaz. Bunun için MMC Certificates Snap-in konsolunu kullanmanız gerekir.
MMC üzerinden silme işlemi yapmadan önce sileceğiniz Sertifikayı kontrol etmeniz gerekmektedir ve sonrasında silme işlemi sağlamanız gerekmektedir. Bu işlemden sonra Exchange Server EAC üzerinden eski sertifikanın silindiğini doğrulayabilirsiniz.
Sonuç
Hybrid Exchange Server ortamında connector sertifikalarının yenilenmesi, özellikle Office 365 mail akışını etkileyen kritik bir adımdır. Doğru adımlar izlenerek yeni sertifikanın connector’lere atanması ve testler tamamlandıktan sonra eski sertifikanın kaldırılması, kesintisiz mail akışı sağlar.
