درخواست های ارتباط
جستجو
لیست دوستان من
صندوق پیام
همه را دیدم
  • در حال دریافت لیست پیام ها
صندوق پیام
رویدادها
همه را دیدم
  • در حال دریافت لیست رویدادها
همه رویدادهای من
تخفیف های وب سایت
همه تخفیف ها

عضویت در

کانال تلگرام

توسینسو

اطلاعات مطلب
مدرس/نویسنده
احمد جهلولی
امتیاز: 37801
رتبه:19
0
79
37
617

نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم

تاریخ 37 ماه قبل
نظرات 0
بازدیدها 553
در این جلسه قصد دارم درباره انتقال Certificate در Exchange 2016 توضیحاتی بدم.قبل از اینکار اجازه بدید در مورد Exchange و استفاده این سرویس از Certificate را توضیح بدم. قرار نیست مثل یک ماشین باشیم که هی Next و ... کنیم. باید بدانیم داریم چکار می کنیم تا اگر جائی به مشکل برخوردم دست به دامن جنیان نشویم D: و بتوانیم مشکلمونو حل کنیم.

Exchange Server 2016 SSL Certificates


ارتباطات Exchange با کلاینتها بوسیله پروتکلهای مانند HTTPS, SMTP, IMAP and POP صورت میگیره و لازمه چنین ارتباطی احراز هویت کاربر می باشد. ترافیک چنین ارتباط بصورت Clear می باشد. یعنی اگر کاربری User $ pass خودشو وارد کرد این اطلاعات بصورت شفاوف و بدون رمزگذاری در شبکه منتقل می شود که دارای ریسک امنیتی بالای می باشد. پس به همین دلیل Exchange برای رمزگذاری چنین اطلاعات حساسی از SSL certificates استفاده می کند.
این ارتباطات در Exchange شامل :

  1. Outlook connecting to Outlook Anywhere (RPC-over-HTTP) or MAPI-over-HTTP
  2. Web browsers connecting to Outlook on the web (OWA)
  3. Mobile devices connecting to ActiveSync to access mailboxes and calendars
  4. Applications connecting to Exchange Web Services (EWS) for free/busy and other lookups
  5. Email clients connecting to secure POP or IMAP
  6. TLS encrypted SMTP between Exchange servers or other email servers

می باشد.
وقتی شما Exchange 2016 را نصب می کنید. خود Exchange یک SSL Certificate بصورت موقت برای خود ایجاد می کند. که به این نوع سرتیفیکت Self-Sign Certificate گفته می شود. که در کل جهان این نوع سرتیفیکت نا معتبر است.
شاید سوال براتون پیش بیاد که اگر معتبر نیست پس چرا Exchange به خودش زحمت داده درسش کرده؟؟
جواب این سوال سادس. تا در برهه ی که شما مشغول خرید یک Certificate هستید اطلاعات ردو بدل شده با Exchange بصورت رمزگذاری شده باشد.
ما در قضیه Certificate کلا دو سناریو بیشتر نداریم.
  1. فقط کاربران داخلی از Exchange استفاده می کنند.
  2. کاربران داخلی و کاربران خارجی (internet) از Exchange استفاده میکنند.
راهکاری که در گذینه اول دارید اینه که یک CA Server در شبکه داخلی ایجاد کنید و آن را بوسیله Group Policy به شبکه بشناسونید و از این سرور برای Exchange سرتیفیکت درخواست بدید. در نتیجه Certificate ارائه شده برای همه Client/Server ها معتبر است.
راهکار گذینه دوم فقط و فقط خرید یک Certificate معتبر و نصب این Cert در Exchange می باشد. تا در حین اتصال به Exchange خطای Certificate دریافت نکیند.
اینم بگم در ایران قضیه Certificate به غیر از سازمانها و ارگانهای دولتی قضیه زیاد مهمی نیست. سازمانهای زیادی دیدم که از Self-Signe خود Exchange استفاده می کنند. که این بحث برای انها بی معنیه.
برای خرید Certificate باید پیش نیازهای زیر را رعایت کنید:
Correct server/domain names:
Certificateی که شما درخواست می دهید باید شامل URLs, aliases, domain names های باشد که کاربران با استفاده از آنها به Exchange شما وصل می شوند. به عنوان مثال mail.tosinso.com
Certificate validity period:
Certificateی که درخواست می دهید بصورت مادام العمر نیست و در یک برهه زمانی خاص Expire می شود و شما باید دوباره آن را Renew کنید و شما باید در مورد این مدت زمان با آن شرکت بحث و توافق کنید. ( چیز بدیهی گفتم نه؟!! D:)
Trusted certificate authority:
Certificateی که درخواست می دهید باید از یک certificate authority معتبردر کل جهان باشد. تا بتوانید یک ارتباط امن با همه کاربرا داشته باشید. اینجاست که به بی ارزشی Self-sign اکسچنج سرور پی میبرید.
بیشتر اتصالات Exchange بوسیله پروتکل HTTS می باشد. این اتصالات که در تصویر زیر مشاهده می کنید:
نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم

می تواند اسم و FQDN متفاوتی داشته باشد. که همانطور که می دانید Certificate می تواند بر روی یک FQDN اعمال شود یا فقط اسم دامنه سازمان. یا می توانید یک Wildcard certificate برای کل سرویس های خود بخرید که قاعدتا هزینه زیادی را می طلبه.
وقتی که من Certificate درخواست میدم یکی از سوالتی که از من پرسیده میشه اسم Hostnameی که کاربران برای اتصال به Exchange استفاده می کنند. و این Hostname حتما باید جزئی از Certificate باشد.
مایکروسافت در اینباره میگه:

The host names you must include in your Exchange certificates are the host names used by client applications to connect to Exchange.

به عنوان مثال Mail.tosinso.com که حتما باید Mailعضو certificate باشد. تا بتوانید یک ارتباط رمزگذاری شده داشته باشید. مثلا اگر شما بجای Mail از IP یا اسم دیگری استفاده کنید خطای Certificate می گیرید.
فرض کنید ما ادرس Mial.tosinso.com را می خواهیم برای سرویس های زیر ایجاد کنیم:

  1. Outlook Anywhere
  2. MAPI
  3. Outlook Web App
  4. Exchange Control Panel
  5. Exchange ActiveSync
  6. Exchange Web Services
  7. Offline Address Book
  8. AutoDiscover

در نتیجه تنظیمات ما بدین صورت است :

Outlook Anywhere – mail.tosinso.com
MAPI – https://mail.tosinso.com/mapi
Outlook Web App – https://mail.tosinso.com/owa
Exchange Control Panel – https://mail.tosinso.com/ecp
Exchange ActiveSync – https://mail.tosinso.com/Microsoft-Server-ActiveSync
Exchange Web Services –https://mail.tosinso.comEWSExchange.asmx
Offline Address Book – https://mail.tosinso.com/OAB
AutoDiscover – https://mail.tosinso.comAutodiscoverAutodiscover.xml

برای اطلاع بیشتر در مورد Certificate لینک زیر را بخوانید:

Exchange Server Certificate

در جلسه قبلی ما Exch 2016 را نصب کردیم وهمچنین خاصیت SCP را تعقیر دادیم.
اجازه بدید سناریو را توضیح بدم تا جائی گنگ نباشه.
هدف ما مهاجرت از Exch 2013 to Exch 2016 می باشد.
DNS Public سازمان در شبکه خود سازمان در ناحیه DMZ نگهداری می شود. در نتیجه من دوتا Zone دارم یکی برای کاربران داخلی و یکی هم برای دامنه خارجی سازمان. و من قبلا Exch 2013 را Publish کرده بودم که همه کاربران داخلی و خارجی با ادرس https://mail.my-city.com به Exchange وصل می شوند.
Exch 2016 با ادرس 192.168.1.3 هستش که من بوسیله ادرس https://mail-02.my-city.local وصل می شوم.
الان قصد دارم Certificate ی که بر روی Exch 2013 هستش رو Export کنم و آن را روی Exch 2016 ایمپورت کنم.
اولین قدم شناسائی Certificate می باشد برای اینکار EMS را در Exch 2013 اجرا کنید و دستور زیر را وارد کنید:
Get-ExchangeCertificate | fl Thumbprint,NotAfter,Issuer,CertificateDomains,Services
نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم

Certificate مورد نظر را مشخص می کنیم در مثال بالا Certificate من با
Thumbprint= 4AC586A2F6885976A88057AF07698C853CD47DAC
نشان داده شده.
الان باید این Certificate رو Export کنم.
ما باید Public key and Private key را اکسپورت کنیم و آنها را به Exch 2016 منتقل کنیم. در دستور زیرز ما باید یک پسورد ست کنیم. چون Private key را نگهداری میکند.
که در این مثال پسور ما Password1می باشد. و فایل را در درایو C:\ با اسم Exchange2013Cert.pfx ذخیره می کند برای Export دستورات زیر را به ترتیب وارد کنید:
password = ConvertTo-SecureString "Password1" -AsPlainText –Force
Export-ExchangeCertificate -Thumbprint 4AC586A2F6885976A88057AF07698C853CD47DAC -FileName C:\Exchange2013Cert.pfx -Password $password | Out-Null
نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم

الان فایلی که در C:\ هستش را به Exch 2016 منتقل کنید و EMS را اجرا کنید و دستورات زیر را به ترتیب اجرا کنید و اگر از شما درخواست کرد که از تنظمات پیش فرض SMTP Certificate استفاده کند حرف n را وارد کنید:
$password = ConvertTo-SecureString " Password1" -AsPlainText –Force
Import-ExchangeCertificate -FileName C:\Exchange2013Cert.pfx -PrivateKeyExportable $true –Password $password | Enable-ExchangeCertificate –Services POP,IMAP,IIS,SMTP –DoNotRequireSsl
نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم

خب ظاهرا همه چیزی به خوبی تموم شد D:
الان برید توی کنسول IIS چک کنید Certificate اعمال شده یا نه؟
نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم


در جلسه بعدی Virtual Directory ها را تنظیم می کنیم.

موفق پیروز باشید.

نویسنده: احمد جهلولی
منبع : جزیره سرویس های شبکه مایکروسافت وب سایت توسینسو
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی است
برچسب ها
ردیف عنوان
1 نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت اول
2 نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت دوم
3 نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت سوم
4 نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت چهارم
5 نحوه مهاجرت (Migration) از Exchange Server 2013 به Exchange Server 2016 قسمت آخر
دوره مجموعه کل دوره
مطالب مرتبط

در حال دریافت اطلاعات

نظرات
هیچ نظری ارسال نشده است

    برای ارسال نظر ابتدا به سایت وارد شوید