Exchange Server düzenli yama yönetimi yapılacak en önemli ürünlerden birisidir. Bunun en temel sebebi dış dünyaya tamamen kapatamayacağımız bir ürün veya servistir. Bazı şirketler örneğin OWA yı dış dünyaya kapatsa dahi en temel olarak Active Sync yani 443 nolu port üzerinden TCP trafiği ve SMTP yani 25 nolu port için TCP Protokolünü açmamız gerekiyor. Tabi ki kurumsal şirketler de gerek HTTPS gerekse SMTP trafiği için mutlaka ön tarafta SMTP GW, WAF ve benzeri güvenlik ürünleri olduğu için bazen Exchange Server üzerinde bir açık olsa dahi bu sistemler sanal yamam veya benzeri bir yöntem ile sistemlerinizi koruyabilmektedir. Ancak bu kadar gelişmiş koruma sistemlerine sahip şirketler zaten düzenli bir yama politikasına sahip olduğu için ben bu azımı daha çok bu tür imkanları olmayan ve firewall üzerinden doğrudan port yönlendirmesi ile Exchange Server kullanan müşteriler için hazırladım.
Öncelikle pek çok şirket organizasyonunda bir belki duruma göre birden fazla sunucu var. Birden fazla sunucu olan ortamlardan en azından ilk sunucu için geçiş yapılıp olası bir sorunda diğer sunucudan kesintisiz hizmet verebilirsiniz. Ancak tek bir mail sunucunuz var ise her bir CU yüklemesinin aslında yeni bir Exchange Server kurulumuna eşdeğer işlem olduğunu bilmeniz gerekli. Yani çalışan bir sistem birden hizmet vermeyebilir. Bunun en temel nedeni ise en son sağlıklı çalışan sistem üzerinde yaptığınız değişiklikler, sertifika süreleri, 3. Parti anti virüs veya transport seviyesinde çalışan bir eklenti buna neden olabilir.
Ayrıca bir diğer önemli konu her bir CU yüklemesi geri döndürülemez. Yani örneğin CU22 kullanıyorsunuz, CU23 yüklemek demek eski exchange sürümü kaldırıp yenisini yüklemek demektir. Bu nedenle eğer güncel CU ile ilgili bir sorun var ise öncelikle bir sunucu üzerinde geçiş yapıp sorun olmadığını doğruladıktan sonra diğer sunuculara geçiş yapın.Eğer tek bir exchange sunucununuz var ise bir bilene danışın veya kısa bir araştırma ile yüklemek istediğiniz CU ile ilgili bilindik bir sorun var mı kontrol edin.
CU yüklemesi yapmadan önce ilk olarak yükleme yapacak kullanıcının yeterli yetkilerinin olup olmadığını kontrol edin. Bunun en temel nedeni ise bazı CU yüklemeleri ki birazdan bahsedeceğiz Active Directory Schema değişikliği isteyebilir. Bu durumda Schema Admins grubuna üye olmanız gerekli. Yine her bir CU yüklemesi veya Exchange setup işlemi aslında Active Directory yapınızı, Exchange Server kurulumuna hazırlar. Her ne kadar kurulmuş bir yapı olsa bile gelen CU değişikliği veya sizin yanlışlıkla sildiğiniz sistem posta kutuları gibi eksiklerin tekrar kurulmasını sağlar. Zaten ilk olarak bunları kontrol eder ve sonra kuruluma başlar.
Özetle aşağıdaki 3 grup üyesi olmanız ilk aşamada yeterli olacaktır.
Administrators
Domain Admins
Enterprise Admins
Schema Admins
Daha sonra ilk olarak AD yapısını hazırlayacağınız için mutlaka AD yedeğini alınız. Burada system state yedeği en doğru yöntem olacaktır. İmaj yedeği veya snapshot alabilirsiniz, ancak dönüş sırasında birden çok domain controller var ise burada uzmanlık gerektiren bir dönüş senaryosu ile karşılaşacaksınız.
Gerekli yetkileri tamamladıktan sonra, AD yedeğini aldık ve hazır yedek alıyorken Exchange Server içinde benzer şekilde yedek almanızı tavsiye ederim. Hangi sunucuyu güncelleyecekseniz öncelikle onun yedeklenmesi ilk aşamada yeterli olacaktır.
CU geçişi öncesinde mutlaka Windows OS güncellemelerini tamamlayın. Windows OS yamaları tamamlandıktan sonra yüklemek istediğiniz CU dosyasını exchange server üzerine indirin veya kopyalayın. Kopyalama işlemi bittikten sonra başlat – çalıştır komut setini run as administrator yani yetkili hesap ile açıyoruz ve iso dosyasının mount olduğu veya açtığınız dizine giderek aşağıdaki 3 komutu çalıştırıyoruz;
Not: Eylül 2021 ve sonraki CU geçişleri için “/IAcceptExchangeServerLicenseTerms” anahtarı çalışmayacaktır. Hala eski sürüm kullananlar için makalemde yer veriyorum. Ancak daha güncel bir CU yüklemesi yapıyorsanız bir sonraki komut olan “/IAcceptExchangeServerLicenseTerms_DiagnosticDataON” veya “/IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF” komutlarını kullanmanız gerekli.
Örneğin burada ben E sürücüsünü kullandım.
Schema Güncellemesi için
Eylül 2021 öncesi güncelleme paketleri için
E:\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema
Eylül 2021 sonrası güncelleme paketleri için
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareSchema
Active Directory Güncellemesi için
E:\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD /OrganizationName:”First Organization”
Not: Organizasyon ismi internal olarak kullanılan bir isim olup kesinlikle mail adresi, mail domain ve benzeri eşleşmeleri sağlamak zorunda değildir. Varsayılan olarak gerçekleştirilen kurulumlarda bu isim “First Organization” dır. Muhtemel sizinde oeganizasyon ismini bu olmak ile beraber isterseniz aşağıdaki komut ile bunu öğrenebilirsiniz.
Get-OrganizationConfig | select name
Active Directory Domain güncellemesi için
Malum büyük organizasyonlar içerisinde birden çok domain olabilir ve her domain için ayrı exchange sunucuları kurulabilir. Böyle bir durumda hangi domain için CU geçişi planlandı ise o domain için komutları kullanabilirsiniz.
E:\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains
Eğer ortamda birden çok domain var ve siz bir tek domain için CU geçişi yapıyorsanız aşağıdaki gibi kullanabilirsiniz komutu
Eylül 2021 öncesi güncelleme paketleri için
E:\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareDomain:istanbul.cozumpark.com
Eylül 2021 sonrası güncelleme paketleri için
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAD /OrganizationName:”istanbul.cozumpark.com”
Bu hazırlıkları yaptıktan sonra sunucu üzerinde 3. Parti çalışan uygulama servislerini durdurmak veya anti virüs gibi ürünler var ise mutlaka kaldırmak veya deva dışı bıraktığınızdan emin olmanız gereklidir.
Eğer forest içerisinde birden çok domain var ise aşağıdaki komut ile diğer domainleri de Exchange güncelleştirmesine hazır hale getirmeniz gereklidir.
Eylül 2021 öncesindeki güncelleme paketi için komut;
E:\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains
Eylül 2021 sonrasındaki güncelleme paketi için komut;
E:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /PrepareAllDomains
Genelde transport seviyesinde çalışan disclaimer yazılımları çok sorun çıkarmamak ile birlikte eğer çok sağlam bir geçiş yapmak istiyorsanız önce onları transport seviyesinde kapatmak, geçiş sonrası tekrar açmanız gerekli. Ama unutmayın gerek AV gerekse özellikle transport seviyesinde çalışan ürünlerin güncel CU desteğinin olması gereklidir, aksi halde çalışmayabilirler.
Tüm hazırlıkları yaptıktan sonra temiz bir yeniden başlatma yapın, açılışta herhangi bir sorun olmadığından emin olun.
Bundan sonra isterseniz ara yüz üzerinde aşağıdaki gibi ilerleyebilirsiniz;
Ya da komut seti ile devam etmek istiyorsanız aşağıdaki komutu kullanabilirsiniz.
E:\Setup.exe /IAcceptExchangeServerLicenseTerms /Mode:Upgrade /DomainController:dc01.cozumpark.local
Umarım faydalı bir yazı olmuştur. Bir sonraki makalemde görüşmek üzere.