Active Directory on Kürşat Bal

Exchange Server'da Kerberos Kimlik Doğrulamasına Geçiş

Mon, 10 Nov 2025 00:00:00 +0000

Bu kılavuz, Microsoft Exchange Server ortamınızda Kerberos kimlik doğrulamasına geçiş için gerekli adımları detaylandırmaktadır.

Ön Şartlar ve Active Directory Yapılandırması

DNS Kayıtlarının Oluşturulması

DNS Forward Lookup Zone üzerinde ilgili Autodiscover ve mail adları için A kaydı oluşturulmalıdır.

Alternatif Hizmet Hesabı (ASA) Computer Nesnesi Oluşturma

Kerberos’un düzgün çalışabilmesi için bir Alternatif Hizmet Hesabı (ASA) bilgisayar nesnesi oluşturulmalıdır. Bu nesne devre dışı bırakılmamalıdır.

OU Path Tespiti:

Exchange Server’ın bulunduğu OU üzerine gelin → Properties → Attribute Editor → distinguishedName değerini not alın.

ASA Computer Nesnesi Oluşturma:

1
2
3
4
5
6


New-ADComputer -Name "EXCH2019ASA" `
 -AccountPassword (Read-Host "Enter new password" -AsSecureString) `
 -Description "Alternate Service Account credentials for Exchange" `
 -Enabled:$True `
 -SamAccountName "EXCH2019ASA" `
 -Path "OU=Exchange Servers,OU=Servers,OU=Company,DC=kuso,DC=local"

-Path parametresini kendi OU yapınıza göre güncelleyin.

AES 256 Şifrelemesini Etkinleştirme:

1

Set-ADComputer "EXCH2019ASA" -add @{"msDS-SupportedEncryptionTypes"="28"}

Doğrulama:

1

Get-ADComputer "EXCH2019ASA" | Format-List msDS-SupportedEncryptionTypes

AD Senkronizasyonunu Tetikleme:

1

Repadmin /syncall /ADPe

Exchange Server Üzerinde ASA Dağıtımı

ASA Kimlik Bilgilerinin Dağıtılması

Bu adımlar Exchange Management Shell (EMS) üzerinden gerçekleştirilir.

Scripts klasörüne geçin:

1

cd $exscripts

İlk Exchange Sunucusuna Dağıtma:

1
2
3


.\RollAlternateServiceAccountPassword.ps1 `
 -ToSpecificServer "kbexchsrv.kuso.local" `
 -GenerateNewPasswordFor kuso\EXCH2019ASA$

Önemli: kuso\EXCH2019ASA$ kısmında netBIOS adını kullanın. İstendiğinde Y yazıp Enter’a basın. İşlem tamamlandığında “Succeeded” çıktısı görülmelidir.

Birden Fazla Exchange Sunucusuna Dağıtma:

1
2
3


.\RollAlternateServiceAccountPassword.ps1 `
 -ToSpecificServer "exchsrv2.kuso.local" `
 -CopyFrom "kbexchsrv.kuso.local"

ASA Kimlik Bilgisi Ayarlarını Kontrol Etme:

1
2


Get-ClientAccessServer -IncludeAlternateServiceAccountCredentialStatus |
 Format-List Name, AlternateServiceAccountConfiguration

Çıktıda tüm sunucular için kuso\EXCH2019ASA$ görülmelidir.

Hizmet Asıl Adlarını (SPN) Ayarlama

Mevcut SPN İlişkilerini Kontrol Etme

CMD üzerinden çalıştırın. Çıktı “No such SPN found” olmalıdır:

1
2


setspn -F -Q http/mail.kuso.local
setspn -F -Q http/autodiscover.kuso.local

SPN’leri ASA Kimlik Bilgilerine Bağlama

MAPI/HTTP ve Outlook Anywhere SPN’si:

1

setspn -S http/mail.kuso.local kuso\EXCH2019ASA$

Autodiscover SPN’si:

1

setspn -S http/autodiscover.kuso.local kuso\EXCH2019ASA$

SPN İlişkilerini Doğrulama

1

setspn -L kuso\EXCH2019ASA$

Exchange Sanal Dizinlerini Yapılandırma

Outlook Anywhere İçin Kerberos

Etkinleştirme:

1
2


Get-OutlookAnywhere -Server "kbexchsrv" |
 Set-OutlookAnywhere -InternalClientAuthenticationMethod Negotiate

Doğrulama:

1
2
3


Get-OutlookAnywhere -Server "kbexchsrv" |
 Format-Table InternalClientAuthenticationMethod
# Beklenen: Negotiate

MAPI over HTTP İçin Kerberos

Etkinleştirme (NTLM + Negotiate):

1
2


Get-MapiVirtualDirectory -Server "kbexchsrv" |
 Set-MapiVirtualDirectory -IISAuthenticationMethods Ntlm,Negotiate

Doğrulama:

1
2
3


Get-MapiVirtualDirectory -Server "kbexchsrv" |
 Format-List IISAuthenticationMethods
# Beklenen: {Ntlm, Negotiate}

Hibrit/OAuth Ortamları İçin (Opsiyonel):

1
2
3


$mapidir = Get-MapiVirtualDirectory -Server "kbexchsrv"
$mapidir | Set-MapiVirtualDirectory `
 -IISAuthenticationMethods ($mapidir.IISAuthenticationMethods +='Negotiate')

Son İşlemler ve Test

Grup İlkesi (GPO) Uygulama

Kerberos kullanacak tüm kullanıcılara bir GPO uygulanmalıdır. Authenticated Users grubuna uygulanabilir.

Yol: Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → Security Options

Policy	Setting
Restrict NTLM: Incoming NTLM traffic	Deny all accounts
Restrict NTLM: NTLM authentication in this domain	Disable
Restrict NTLM: Outgoing NTLM traffic to remote servers	Deny all

Hizmetleri Yeniden Başlatma

1
2


Restart-Service MSExchangeServiceHost
Restart-WebAppPool -Name MSExchangeAutodiscoverAppPool

Test ve Doğrulama

İstemci makinesinde Outlook’u başlatın
CMD’yi başlatın ve Kerberos biletlerini kontrol edin:

1

klist

Çıktıda aşağıdaki biletlerin görülmesi Kerberos’un başarıyla çalıştığını gösterir:

1
2
3


Server: HTTP/mail.kuso.local @ kuso.local
Server: HTTP/autodiscover.kuso.local @ kuso.local
KerbTicket Encryption Type: AES-256-CTS-HMAC-SHA1-96

Exchange On-Premises'ten Microsoft 365'e Hibrit Geçiş Rehberi

Mon, 30 Jun 2025 00:00:00 +0000

Kurumsal altyapınızı buluta taşımak, günümüz iş dünyasının vazgeçilmez bir parçası haline geldi. Bu makale, şirket içi Exchange yapınızı Exchange Online (Microsoft 365) ile nasıl harmanlayacağınızı adım adım anlatmaktadır.

Not: Bu rehber genel bir yol haritası sunar. Buradaki dökümanı sadece geçiş öncesi bilgilendirme gibi düşünebilirsiniz.

Geçiş Öncesi Hazırlıklar

OU Yapısı Analizi ve Düzenlemesi

Hibrit yapıya adım atarken Organizasyonel Birim (OU) yapılarınızı gözden geçirmek zorunludur. Şirket OU’su altında aşağıdaki 4 OU oluşturulması önerilir:

SirketMailboxUsers — E-posta kutusu olan kullanıcılar
SirketUsers — E-postası olmayan AD kullanıcıları
SirketDistGroups — Dağıtım grupları
SirketGroups — E-posta grubu olmayan genel gruplar

Senkronize Edilecek Birimlerin Kontrolü

Bu işlemin arkasındaki kahraman Microsoft Entra Connect Cloud Sync aracıdır. Kilit nokta, AD kullanıcılarının “E-mail” (mail-attribute) değeridir.

Püf Noktası: E-posta kutusu olan tüm kullanıcıların ve dağıtım gruplarının istisnasız Office 365’e senkronize edilmesi gerekir. Senkronize olmayan birimlerin Azure kimliği oluşmaz.

E-posta Değerlerinin Kontrolü

Türkçe karakterlere (ş, ç, ö vb.) dikkat edin! Bu karakterler senkronizasyon sonrası Office 365’te farklı işaretlere dönüşebilir.

Microsoft 365 Tenant Oluşturulması

Domain Ekleme

Microsoft 365 Yönetici Merkezi’nden Ayarlar → Etki Alanları → Etki alanı ekle adımlarını izleyerek domain adınızı girin.

DNS Kayıtları

Etki alanınızın size ait olduğunu kanıtlamak için DNS’e bir TXT kaydı eklemeniz gerekir:

1
2
3


TXT adı : @
TXT değeri: MS=ms12345678
TTL : 3600

Hibrit Geçiş Ayarı: Alan adınıza tıkladıktan sonra “Exchange ve Exchange Online Protection” seçeneğini kapatın. SPF, Autodiscover ve MX kayıtlarını şimdilik manuel yöneteceksiniz.

Accepted Domains — Autodiscover Ayarı

Hem şirket içi Exchange’de hem Exchange Online’da “accepted domain” ayarları birebir aynı olmalıdır.
Posta kutusu taşıma sırasında autodiscover.domain.com kaydı mutlaka şirket içi Exchange’e çözülmelidir.

Connector Ayarları

Hybrid Configuration Wizard (HCW) bu ayarların çoğunu otomatik yapar:

Şirket içinden Office 365’e giden postalar için Send Connector oluşturur
Office 365’ten şirket içine gelen postalar için Inbound Connector kurar
Güvenli iletişim için TLS ayarlarını yapar

Standart hibrit kurulumda manuel Receive Connector oluşturmanıza gerek yoktur.

Hibrit Konfigürasyonu İçin Gerekli Kurulumlar

Windows Server VM Kurulumu

1000 kişiden az kullanıcı için: 2 CPU, 8 GB RAM, 70 GB disk ile bir Windows Server VM yeterlidir.

AD’de özel bir kullanıcı açın (örn. azuresync). Zorunlu roller:

Domain Admin
Organization Management

EAC Ayarları

https://ipadress/ecp adresinden Sunucular → Sanal Dizinler → EWS altında “Enable MRS Proxy endpoint” seçeneğinin etkin olduğundan emin olun.

Hybrid Configuration Wizard (HCW)

https://aka.ms/HybridWizard adresinden indirin.

Hibrit Özellikler:

Seçenek	Açıklama
Full Hybrid	Kontrollü ve aşamalı geçiş için — önerilen
Minimal Hybrid	Hızlı, direkt geçiş senaryosu için

Hibrit Topoloji:

Seçenek	Açıklama
Classic Hybrid Topology	Full Hybrid için genellikle tercih edilir
Modern Hybrid Topology	Daha hızlı, yerel sunucuya dışarıdan erişim gerektirmez

Microsoft Entra Connect — Cloud Sync

Cloud Sync’e Giriş

Azure Portal’da arama kutusuna “Microsoft Entra Connect” yazın → Cloud Sync.

Cloud Sync Kurulumu

Yeni yapılandırma → “AD’den Microsoft Entra Kimliği” seçin
“Şirket içi aracıyı indir” ile ajan yazılımını indirip kurun
Sol menüden Aracılar sekmesinde ajanın “Etkin” göründüğünü doğrulayın

Kapsam Belirleme Filtreleri

“Seçili kuruluş birimleri” seçeneğiyle senkronize edilecek OU’ları belirleyin.

Örnek DN Bilgileri:

1
2


OU=SirketMailboxUsers,OU=Sirketim,DC=sirketim,DC=com
OU=SirketDistGroups,OU=Sirketim,DC=sirketim,DC=com

DN bilgisini almak için: ilgili OU → sağ tık → Özellikler → Öznitelik Düzenleyici → distinguishedName

Öznitelik Eşleştirmesi (Attribute Mapping)

UserPrincipalName karşısına şunu yazın:

1

Trim([mail])

Public DNS Kayıtları

SPF kaydınızı mutlaka güncelleyin:

1

include:spf.protection.outlook.com -all

Mailbox Geçişi (Migration)

Exchange Admin Center → Migration → Add migration batch:

Adım	Seçim
Migration path	Migration to Exchange Online
Migration type	Remote move migration
Kullanıcı ekleme	Manually add users
Schedule	Automatically

Geçiş işlemlerinden önce bir pivot kullanıcı ve dağıtım grubu açarak tüm testlerinizi bu birimlerde gerçekleştirin.

Ana ekranda işlem syncing → synced → complete olarak ilerleyecektir.

Sonuç

Exchange On-Premises’ten Microsoft 365’e hibrit geçiş süreci, adım adım ve dikkatli bir planlamayla sorunsuz şekilde tamamlanabilir. Her altyapı farklılık gösterebilir; bu adımları kendi ortamınıza uyarlarken dikkat edin.