Microsoft Exchange ortamlarında sertifikalar güvenli iletişimin bel kemiğidir. Özellikle Edge Transport sunucuları ile Mailbox sunucuları arasındaki trafiğin büyük kısmı TLS (Transport Layer Security) üzerinden gerçekleşir.
DAG (Database Availability Group) kullanılan senaryolarda bu önem daha da artar. Çünkü ortamda birden fazla Mailbox sunucusu bulunduğunda Edge Transport sunucusunun herhangi bir Mailbox’a kesintisiz şekilde mail iletebilmesi gerekir. Buradaki kırılgan nokta ise Default Transport Certificate ayarıdır. Eğer bu sertifika eksikse veya yanlış atanmışsa, TLS oturumu kurulamaz ve mail akışı tamamen durur.
Bu makalede, gerçek bir müşteri ortamında yaşanan şu senaryoyu ele alıyoruz:
- Edge Transport Server, DAG’daki ilk Mailbox sunucusuna sorunsuz mail gönderirken,
- ikinci Mailbox sunucusu devreye girdiğinde (ilk sunucu kapalıyken) mail teslimi başarısız oluyor.
Adım adım inceleyelim.
Senaryo ve Problemin Belirtileri
Ortam Bileşenleri:
- 1 × Exchange Edge Transport Server
- 2 × Exchange Mailbox Server (DAG içinde)
Beklenen davranış:
Edge sunucusu DAG’daki herhangi bir Mailbox sunucusuna mail gönderebilmelidir.
Gerçekleşen durum:
- İlk Mailbox kapatıldığında,
- Edge sunucusu ikinci Mailbox sunucusuna mail teslim edemedi.
Edge sunucusu hata mesajları:
LED=451 4.4.395 Target host responded with error.
454 4.7.5 Outbound direct trust authentication failed for the certificate
ve
LED=451 4.4.397 Error communicating with target host.
421 4.2.1 Unable to connect -> SocketTimedout: Socket error code 10060
Bu hatalar TLS kimlik doğrulamasının başarısız olduğunu ve Edge’in hedef Mailbox sunucusuna güvenli bağlantı kuramadığını gösteriyordu.
Kök Neden Analizi
İkinci Mailbox sunucusunun sertifikaları kontrol edildiğinde şu durum görüldü:
- Geçerli ve kullanılabilir bir SSL sertifikası vardı.
- Ancak bu sertifika SMTP servisine atanmadığı için Default Transport Certificate rolünü üstlenmiyordu.
- Sunucuda “varsayılan” olarak görünen sertifika ise daha önce ortamdan kaldırılmış eski bir SSL sertifikasıydı.
Sonuç olarak, Edge Transport sunucusu ikinci Mailbox sunucusunun kimliğini doğrulayamadı. Bu yüzden TLS handshake tamamlanamadı ve mail teslimi başarısız oldu.
Bu, Exchange ortamlarında sık görülen bir yanılgıdır:
“Sertifika yüklü, o halde sorun yok” düşüncesi yanlıştır. Sertifikanın doğru servislere atanmış olması da en az varlığı kadar kritiktir.
Çözüm Adımları
Sertifikaları İnceleme
Öncelikle mevcut sertifikalar listelendi:
Get-ExchangeCertificate | FL FriendlyName,Subject,NotAfter,Thumbprint,Services
Bu komut çıktısı hangi sertifikaların hangi servislere atanmış olduğunu görmemizi sağladı. Geçerli sertifika vardı ancak SMTP servisinde etkin değildi.
Doğru Sertifikayı SMTP’ye Atama
DAG yapılarında tutarlılık çok önemlidir. Bu yüzden ilk Mailbox sunucusunda SMTP servisine atanmış olan geçerli sertifika, ikinci Mailbox üzerinde de aynı şekilde atanmalıdır.
Komut:
Enable-ExchangeCertificate -Thumbprint <CertificateThumbprint> -Services SMTP
Bu işlem sonrası:
- Sertifika SMTP servisine bağlandı.
- Varsayılan transport sertifikası haline geldi.
Mail Akışını Test Etme
Değişiklikten sonra test:
Test-Mailflow -TargetMailboxServer MBX02
Sonuç: Edge sunucusundan Mailbox2’ye mail teslimi başarıyla gerçekleşti.
Yaşanan sorunun özünde şu vardı:
- Geçerli sertifika ortamda mevcuttu, fakat SMTP’ye atanmadığı için Default Transport Certificate rolünü üstlenemiyordu.
- Edge Transport bu nedenle DAG’daki ikinci Mailbox sunucusunu doğrulayamadı.
Sorun, sertifikanın doğru servise (SMTP) atanması ile tamamen çözüldü.
Öneriler ve En İyi Uygulamalar
- DAG ortamlarında tutarlılık sağlayın.
Tüm Mailbox sunucularında aynı geçerli transport sertifikasının bulunduğundan ve SMTP servisine atanmış olduğundan emin olun. - Sertifika sürelerini düzenli takip edin.
Yaklaşan süre sonlarını kontrol etmek için:Get-ExchangeCertificate | Where-Object {$_.NotAfter -lt (Get-Date).AddDays(30)} | Select FriendlyName,Subject,NotAfter - “Yüklü sertifika var” demek yetmez.
Sertifikanın doğru servislere atanması (özellikle SMTP) şarttır. - TLS sorunlarında ilk kontrol noktası: Transport sertifikası.
Edge ↔ Mailbox iletişim problemlerinde, Default Transport Certificate ataması mutlaka gözden geçirilmelidir.
