Shrnutí
Od aktualizace zabezpečení (SU) pro Microsoft Exchange Server z ledna 2023 jsme zavedli novou funkci, která správcům umožňuje konfigurovat podepisování datových částí serializace PowerShellu na základě certifikátů. Tuto funkci musí ručně povolit správce Exchange Server po instalaci SU na všech serverech exchange. Tento článek obsahuje postup povolení podepisování dat serializace PowerShellu na základě certifikátu v Exchange Server.
Předpoklady
Požadavky pro povolení této funkce:
-
Ujistěte se, že všechny servery založené na Exchangi ve vašem prostředí mají nainstalovanou aktualizaci SU z ledna 2023 nebo novější. Pokud tuto funkci povolíte před aktualizací všech serverů, může dojít k selháním deserializace a způsobit další problémy.
-
Před a po povolení podepisování certifikátu se ujistěte, že je na všech serverech se systémem Exchange nakonfigurovaný a dostupný platný ověřovací certifikát Exchange Server (s výjimkou serverů Edge Transport).
Spuštěním skriptu MonitorExchangeAuthCertificate.ps1 můžete zkontrolovat platný ověřovací certifikát na serverech Exchange-Base ve vašem prostředí. Skript také zkontroluje, jestli platnost ověřovacího certifikátu vyprší za méně než 60 dnů, a může vám pomoct certifikát obměnět. Další informace o MonitorExchangeAuthCertificate.ps1najdete v tématu Monitorování certifikátu Exchange Authificate.
Pokud chcete ručně zkontrolovat dostupnost a platnost ověřovacího certifikátu, přečtěte si téma Dostupnost a platnost ověřovacího certifikátu.
Důrazně doporučujeme použít MonitorExchangeAuthCertificate.ps1 skript (nebo v případě potřeby vytvořit nový). Důvodem je to, že skript může také obnovit ověřovací certifikát, jehož platnost vypršela. Skript zahrnuje režim ručního spuštění (ověřte dostupnost ověřovacího certifikátu nebo ověřte a v případě potřeby proveďte akci). Skript také obsahuje režim automatizace, který funguje pomocí Plánovače úloh systému Windows.
Řešení
Pro servery se systémem Exchange Server 2019 nebo Exchange Server 2016 (aktualizováno na SU z ledna 2023 nebo novější)
-
V prostředí Exchange Management Shell (EMS) na serveru, na kterém běží Exchange Server ve vašem prostředí, spusťte následující rutinu:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Tato rutina povolí všem serverům se systémem Exchange Server 2019, 2016 nebo 2013 ve vašem prostředí podepisování certifikátů datové části serializace PowerShellu. Rutinu nemusíte spouštět na každém serveru. -
Aktualizujte argument VariantConfiguration spuštěním následující rutiny:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Pokud chcete použít nové nastavení, restartujte službu publikování na webu a aktivační službu procesů systému Windows (WAS). Provedete to spuštěním následující rutiny:
Restart-Service -Name W3SVC, WAS -ForcePoznámka: Restartujte tyto služby pouze na serveru založeném na Exchange Server, na kterém je spuštěna rutina přepsání nastavení.
Pro servery se systémem Exchange Server 2013
Pokud máte ve svém prostředí servery se systémem Microsoft Exchange Server 2013, musíte na každém serveru nakonfigurovat klíč registru. Zadejte následující nastavení.
Klíč registru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Hodnotu:EnableSerializationDataSigning
Typ: Řetězec
Data: 1
Pokud chcete vytvořit hodnotu registru na serveru se systémem Exchange Server 2013, spusťte následující rutinu:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Pokud chcete použít nové nastavení, restartujte službu publikování na webu a aktivační službu procesů systému Windows (WAS). Provedete to spuštěním následující rutiny:
- Restart-Service -Name W3SVC, WAS -Force
Poznámka: Restartujte tyto služby na všech serverech založených na Exchange Server 2013 ve vašem prostředí, na kterém se provádějí změny registru.
Známé problémy
-
Pokud je povolena možnost podepisování dat serializace, ověřovací certifikát, jehož platnost vypršela, zabrání rutině Get-ExchangeCertificate v vrácení podrobností o certifikátu.
-
Po instalaci aktualizace zabezpečení z ledna 2023 nebo února 2023 pro Microsoft Exchange Server 2019, 2016 nebo 2013 a povolení podepisování certifikátu datové části serializace PowerShellu se sada nástrojů Exchange a Prohlížeč front nespustí. Další informace najdete v tématu Sada nástrojů exchange a prohlížeč front selhává po povolení podepisování certifikátu datové části serializace PowerShellu (KB5023352).
-
Pokud je povolena možnost podepisovat data serializace, rutina Get-ExchangeCertificate nevrací viditelnou hodnotu, když je spuštěna na počítači, který má nainstalované Nástroje pro správu systému Exchange, ale nemá jinou roli Exchange Server. K tomu dochází bez ohledu na to, zda je ověřovací certifikát platný.
-
Některé skripty, které jsou součástí Exchange Server (například RedistributeActiveDatabases.ps1), nefungují správně, pokud jsou splněny následující podmínky:
-
Funkce podepisování datové části serializace PowerShellu je povolená.
-
Nepoužíváte výchozí skupiny zabezpečení, které poskytuje Exchange RBAC.
-
Uživatel, který skript spouští, není členem skupiny rolí Správa organizace.
-
