Sammendrag
Fra og med sikkerhedsopdateringen fra januar 2023 (SU) til Microsoft Exchange Server introducerede vi en ny funktion, der gør det muligt for administratorer at konfigurere certifikatbaseret signering af PowerShell-serialiseringsdata. Denne funktion skal aktiveres manuelt af en Exchange Server administrator, når SU'en er installeret på alle Exchange-baserede servere. Denne artikel indeholder trinnene til at aktivere certifikatbaseret signering af PowerShell-serialiseringsdata i Exchange Server.
Forudsætninger
Forudsætninger for at aktivere denne funktion:
-
Sørg for, at alle Exchange-baserede servere i dit miljø har januar 2023 SU eller en nyere SU installeret. Hvis du aktiverer denne funktion, før du opdaterer alle servere, kan der opstå deserialiseringsfejl og udløse andre problemer.
-
Sørg for, at et gyldigt Exchange Server godkendelsescertifikat er konfigureret og tilgængeligt på alle Exchange-baserede servere (undtagen Edge Transport-servere) før og efter du aktiverer certifikatsignering.
Du kan køre MonitorExchangeAuthCertificate.ps1 -scriptet for at kontrollere, om der er et gyldigt godkendelsescertifikat på Exchange-baseservere i dit miljø. Scriptet kontrollerer også, om godkendelsescertifikatet udløber om mindre end 60 dage, og det kan hjælpe dig med at rotere certifikatet. Du kan få mere at vide om MonitorExchangeAuthCertificate.ps1under Overvåge Exchange AuthCertificate
Hvis du manuelt vil kontrollere tilgængeligheden og gyldigheden af godkendelsescertifikatet, skal du se Tilgængelighed og gyldighed af godkendelsescertifikat.
Vi anbefaler på det kraftigste, at du bruger scriptet MonitorExchangeAuthCertificate.ps1 (eller opretter et nyt, hvis det er nødvendigt). Dette skyldes, at scriptet også kan forny et udløbet godkendelsescertifikat. Scriptet indeholder en manuel udførelsestilstand (bekræft tilgængeligheden af godkendelsescertifikatet, eller bekræft og udfør handlinger, hvis det er nødvendigt). Scriptet indeholder også en automatiseringstilstand, der fungerer ved hjælp af Windows Opgavestyring.
Løsning
For servere, der kører Exchange Server 2019 eller Exchange Server 2016 (opdateret til januar 2023 SU eller nyere)
-
Kør følgende cmdlet i Exchange Management Shell (EMS) på en server, der kører Exchange Server i dit miljø:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Denne cmdlet aktiverer alle servere, der kører Exchange Server 2019, 2016 eller 2013 i dit miljø, til certifikatsignering af PowerShell-serialiseringsdata. Du behøver ikke at køre cmdlet'en på alle servere. -
Opdater argumentet VariantKonfiguration ved at køre følgende cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Hvis du vil anvende de nye indstillinger, skal du genstarte Tjenesten World Wide Web Publishing og Windows Process Activation Service (WAS). Det gør du ved at køre følgende cmdlet:
Restart-Service -Name W3SVC, WAS -ForceBemærk!: Genstart kun disse tjenester på den Exchange Server-baserede server, hvor cmdlet'en til tilsidesættelse af indstillinger køres.
For servere, der kører Exchange Server 2013
Hvis du har servere, der kører Microsoft Exchange Server 2013 i dit miljø, skal du konfigurere en registreringsdatabasenøgle på hver server. Angiv følgende indstillinger.
Registreringsdatabasenøgle:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Værdi:EnableSerializationDataSigning
Type: Streng
Data: 1
Kør følgende cmdlet for at oprette værdien i registreringsdatabasen på en Exchange Server 2013-baseret server:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Hvis du vil anvende de nye indstillinger, skal du genstarte Tjenesten World Wide Web Publishing og Windows Process Activation Service (WAS). Det gør du ved at køre følgende cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Bemærk!: Genstart disse tjenester på alle Exchange Server 2013-baserede servere i dit miljø, hvor der foretages ændringer i registreringsdatabasen.
Kendte problemer
-
Hvis muligheden for at signere serialiseringsdata er aktiveret, forhindrer et udløbet godkendelsescertifikat cmdlet'en Get-ExchangeCertificate i at returnere certifikatoplysninger.
-
Efter sikkerhedsopdateringen for januar 2023 eller februar 2023 til Microsoft Exchange Server 2019, 2016 eller 2013 er installeret, og certifikatsignering af PowerShell Serialization Payload er aktiveret, starter Exchange-værktøjskassen og Queue Viewer ikke. Du kan få mere at vide under Exchange-værktøjskasse og Queue Viewer mislykkes, når certifikatsignering af PowerShell Serialization Payload er aktiveret (KB5023352).
-
Hvis muligheden for at signere serialiseringsdata er aktiveret, returnerer Get-ExchangeCertificate-cmdlet'en ikke en synlig værdi, når den køres på en computer, hvor Exchange Management Tools er installeret, men ikke har nogen anden Exchange Server rolle. Dette sker, uanset om godkendelsescertifikatet er gyldigt.
-
Nogle af de scripts, der er inkluderet i Exchange Server (f.eks. RedistributeActiveDatabases.ps1), fungerer ikke korrekt, hvis følgende betingelser er sande:
-
Funktionen Signering af PowerShell-serialiserings nyttelast er aktiveret.
-
Du bruger ikke de standardsikkerhedsgrupper, der leveres af Exchange RBAC.
-
Den bruger, der kører scriptet, er ikke medlem af rollegruppen Organisationsadministration.
-
