Резюме
Започвайки от актуализацията на защитата (SU) за януари 2023 г. за Microsoft Exchange Server, въведохме нова функция, която позволява на администраторите да конфигурират базирано на сертификат подписване на полезни обеми за сериализация на PowerShell. Тази функция трябва да бъде разрешена ръчно от администратор на Exchange Server след инсталирането на su на всички сървъри, базирани на Exchange. Тази статия предоставя стъпките за разрешаване на подписване въз основа на сертификат на данни за сериализация на PowerShell в Exchange Server .
Предварителни изисквания
Предварителни изисквания за разрешаване на тази функция:
-
Уверете се, че всички сървъри, базирани на Exchange във вашата среда, имат инсталиран SU от януари 2023 г. или по-нов SU. Ако разрешите тази функция, преди да актуализирате всички сървъри, е възможно да възникнат грешки при десериализацията и да се задействат други проблеми.
-
Уверете се, че валиден сертификат за удостоверяване на Exchange Server е конфигуриран и наличен на всички сървъри, базирани на Exchange (с изключение на граничните транспортни сървъри), преди и след като разрешите подписването на сертификат.
Можете да изпълните скрипта на MonitorExchangeAuthCertificate.ps1 , за да проверите за валиден сертификат за удостоверяване на сървърите с exchange-bases във вашата среда. Скриптът също така проверява дали сертификатът за удостоверяване ще изтече след по-малко от 60 дни и може да ви помогне да завъртите сертификата. За повече информация относно MonitorExchangeAuthCertificate.ps1вж. Наблюдение на Exchange AuthCertificate
За да проверите ръчно наличността и валидността на сертификата за удостоверяване, вижте Наличност и валидност на сертификат за удостоверяване.
Настоятелно ви препоръчваме да използвате скрипта за MonitorExchangeAuthCertificate.ps1 (или да създадете нов, ако е необходимо). Това е така, защото скриптът може също да поднови сертификат за удостоверяване с изтекъл срок. Скриптът включва режим на ръчно изпълнение (проверете наличността на сертификата за удостоверяване или проверете и предприемете действие, ако е необходимо). Скриптът включва и режим на автоматизация, който работи с помощта на планировчика на задачи на Windows.
„Разделителна способност”
За сървъри, работещи с Exchange Server 2019 или Exchange Server 2016 (актуализиран до януари 2023 г. или по-нова версия)
-
Изпълнете следната кратка команда в обвивката на Exchange за управление (EMS) на сървър, на който се изпълнява Exchange Server във вашата среда:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Тази кратка команда разрешава всички сървъри, които работят с Exchange Server 2019, 2016 или 2013 във вашата среда за подписване на сертификат за зареждане на сериен обем на PowerShell. Не е необходимо да изпълнявате кратката команда на всеки сървър. -
Обновете аргумента VariantConfiguration , като изпълните следната кратка команда:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
За да приложите новите настройки, рестартирайте услугата за публикуване World Wide Web и услугата за активиране на процеси на Windows (WAS). За да направите това, изпълнете следната кратка команда:
Restart-Service -Name W3SVC, WAS -ForceЗабележка: Рестартирайте тези услуги само на сървъра, базиран на Exchange Server , на който се изпълнява кратката команда за заместване на настройките.
За сървъри, изпълняващи Exchange Server 2013
Ако имате сървъри, които работят с Microsoft Exchange Server 2013 във вашата среда, трябва да конфигурирате ключ от системния регистър на всеки сървър. Задайте следните настройки:
Ключ от системния регистър:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Стойност:EnableSerializationDataSigning
Въведете: Низ
Данни: 1
За да създадете стойността на системния регистър на сървър, базиран на Exchange Server 2013, изпълнете следната кратка команда:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
За да приложите новите настройки, рестартирайте услугата за публикуване World Wide Web и услугата за активиране на процеси на Windows (WAS). За да направите това, изпълнете следната кратка команда:
- Restart-Service -Name W3SVC, WAS -Force
Забележка: Рестартирайте тези услуги на всички сървъри, базирани на Exchange Server 2013, във вашата среда, в която се правят промени в системния регистър.
Известни проблеми
-
Ако е разрешена възможността за подписване на данни за сериализация, сертификатът за удостоверяване с изтекъл срок не позволява на кратката команда Get-ExchangeCertificate да върне подробни данни за сертификата.
-
След инсталирането на актуализацията на защитата от януари 2023 г. или февруари 2023 г. за Microsoft Exchange Server 2019 г., 2016 г. или 2013 г. и подписването на сертификат на полезен обем за сериализиране на PowerShell не се стартира. За повече информация вижте Кутия с инструменти на Exchange и Визуализатор на опашка е неуспешно, след като е разрешено подписването на сертификат на PowerShell Serialization Payload (KB5023352)..
-
Ако е разрешена възможността за подписване на данни за сериализация, кратката команда Get-ExchangeCertificate не връща видима стойност, когато се изпълнява на компютър с инсталирани инструменти за управление на Exchange, но няма друга Exchange Server роля. Това се случва независимо дали сертификатът за удостоверяване е валиден.
-
Някои от скриптовете, които са включени в Exchange Server (например RedistributeActiveDatabases.ps1), не работят правилно, ако са изпълнени следните условия:
-
Функцията за подписване на powerShell Serialization Payload е разрешена.
-
Не използвате групите за защита по подразбиране, които са предоставени от Exchange RBAC.
-
Потребителят, който изпълнява скрипта, не е член на ролевата група за управление на организацията.
-
