Bei Microsoft anmelden
Melden Sie sich an, oder erstellen Sie ein Konto.
Hallo,
Wählen Sie ein anderes Konto aus.
Sie haben mehrere Konten.
Wählen Sie das Konto aus, mit dem Sie sich anmelden möchten.

Zusammenfassung 

Ab januar 2023 Sicherheitsupdate (SU) für Microsoft Exchange Server wurde ein neues Feature eingeführt, mit dem Administratoren die zertifikatbasierte Signatur von PowerShell-Serialisierungsnutzlasten konfigurieren können. Dieses Feature muss von einem Exchange Server Administrator manuell aktiviert werden, nachdem die SU auf allen Exchange-basierten Servern installiert wurde. Dieser Artikel enthält die Schritte zum Aktivieren der zertifikatbasierten Signatur von PowerShell-Serialisierungsdaten in Exchange Server.  

Voraussetzungen 

Voraussetzungen für die Aktivierung dieses Features: 

  • Stellen Sie sicher, dass auf allen Exchange-basierten Servern in Ihrer Umgebung die SU vom Januar 2023 oder eine spätere SU installiert ist. Wenn Sie dieses Feature aktivieren, bevor Sie alle Server aktualisieren, können Deserialisierungsfehler auftreten und andere Probleme auslösen. 

  • Stellen Sie sicher, dass ein gültiges Exchange Server Authentifizierungszertifikat konfiguriert und auf allen Exchange-basierten Servern (mit Ausnahme von Edge-Transport-Servern) konfiguriert und verfügbar ist, bevor und nachdem Sie die Zertifikatsignatur aktivieren.

Sie können das MonitorExchangeAuthCertificate.ps1 Skript ausführen, um auf Exchange-basierten Servern in Ihrer Umgebung nach einem gültigen Authentifizierungszertifikat zu suchen. Das Skript überprüft auch, ob das Authentifizierungszertifikat in weniger als 60 Tagen abläuft, und es kann Ihnen helfen, das Zertifikat zu rotieren. Weitere Informationen zu MonitorExchangeAuthCertificate.ps1finden Sie unter Überwachen von Exchange AuthCertificate.

Informationen zum manuellen Überprüfen der Verfügbarkeit und Gültigkeit des Authentifizierungszertifikats finden Sie unter Verfügbarkeit und Gültigkeit des Authentifizierungszertifikats.

Es wird dringend empfohlen, das MonitorExchangeAuthCertificate.ps1 -Skript zu verwenden (oder bei Bedarf ein neues Skript zu erstellen). Dies liegt daran, dass das Skript auch ein abgelaufenes Authentifizierungszertifikat erneuern kann. Das Skript enthält einen manuellen Ausführungsmodus (überprüfen Sie die Verfügbarkeit des Authentifizierungszertifikats, oder überprüfen Sie, und ergreifen Sie entsprechende Maßnahmen, falls dies erforderlich ist). Das Skript enthält auch einen Automatisierungsmodus, der mithilfe des Windows-Aufgabenplaners funktioniert. 

Lösung

Für Server, auf denen Exchange Server 2019 oder Exchange Server 2016 ausgeführt wird (aktualisiert auf die SU vom Januar 2023 oder höher) 

  1. Führen Sie das folgende Cmdlet in der Exchange-Verwaltungsshell (EMS) auf einem Server aus, auf dem Exchange Server in Ihrer Umgebung ausgeführt wird:

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    Dieses Cmdlet ermöglicht allen Servern, die Exchange Server 2019, 2016 oder 2013 in Ihrer Umgebung ausgeführt werden, die Zertifikatsignatur der PowerShell-Serialisierungsnutzlast. Sie müssen das Cmdlet nicht auf jedem Server ausführen.

  2. Aktualisieren Sie das Argument VariantConfiguration , indem Sie das folgende Cmdlet ausführen:
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Um die neuen Einstellungen anzuwenden, starten Sie den World Wide Web Publishing-Dienst und den Windows-Prozessaktivierungsdienst (WAS) neu. Führen Sie dazu das folgende Cmdlet aus:

    Restart-Service -Name W3SVC, WAS -Force 

    Hinweis: Starten Sie diese Dienste nur auf dem Exchange Server-basierten Server neu, auf dem das Einstellungsüberschreibungs-Cmdlet ausgeführt wird. 

Für Server mit Exchange Server 2013

Wenn In Ihrer Umgebung Server mit Microsoft Exchange Server 2013 ausgeführt werden, müssen Sie auf jedem Server einen Registrierungsschlüssel konfigurieren. Geben Sie die folgenden Einstellungen an.

Registrierungsschlüssel: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Wert:EnableSerializationDataSigning 

Typ: Zeichenfolge 

Daten: 1

Führen Sie das folgende Cmdlet aus, um den Registrierungswert auf einem Exchange Server 2013-basierten Server zu erstellen:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Um die neuen Einstellungen anzuwenden, starten Sie den World Wide Web Publishing-Dienst und den Windows-Prozessaktivierungsdienst (WAS) neu. Führen Sie dazu das folgenden Cmdlet aus:  

  • Restart-Service -Name W3SVC, WAS -Force 

Hinweis: Starten Sie diese Dienste auf allen Exchange Server 2013-basierten Servern in Ihrer Umgebung neu, auf denen Registrierungsänderungen vorgenommen werden. 

Bekannte Probleme

  • Wenn die Möglichkeit zum Signieren von Serialisierungsdaten aktiviert ist, verhindert ein abgelaufenes Authentifizierungszertifikat, dass das Cmdlet Get-ExchangeCertificate Zertifikatdetails zurückgibt.

  • Nachdem das Sicherheitsupdate vom Januar 2023 oder Februar 2023 für Microsoft Exchange Server 2019, 2016 oder 2013 installiert wurde und die Zertifikatsignatur der PowerShell-Serialisierungsnutzlast aktiviert ist, werden exchange Toolbox und Queue Viewer nicht gestartet. Weitere Informationen finden Sie unter Exchange Toolbox und Queue Viewer schlägt fehl, nachdem die Zertifikatsignatur der PowerShell-Serialisierungsnutzlast aktiviert wurde (KB5023352).

  • Wenn die Möglichkeit zum Signieren von Serialisierungsdaten aktiviert ist, gibt das Cmdlet Get-ExchangeCertificate keinen sichtbaren Wert zurück, wenn es auf einem Computer ausgeführt wird, auf dem die Exchange-Verwaltungstools installiert sind, aber keine andere Exchange Server Rolle hat. Dies geschieht unabhängig davon, ob das Authentifizierungszertifikat gültig ist.

  • Einige der Skripts, die in Exchange Server enthalten sind (z. B. RedistributeActiveDatabases.ps1), funktionieren nicht ordnungsgemäß, wenn die folgenden Bedingungen erfüllt sind:

    • Das Feature Signieren der PowerShell-Serialisierungsnutzlast ist aktiviert.

    • Sie verwenden nicht die Standardsicherheitsgruppen, die von Exchange RBAC bereitgestellt werden.

    • Der Benutzer, der das Skript ausführt, ist kein Mitglied der Rollengruppe Organisationsverwaltung.

Facebook LinkedIn E-Mail
RSS-FEEDS ABONNIEREN

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Entdecken Community

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

Vorteile des Microsoft 365-Abonnements

Microsoft 365-Training

Microsoft Security

Barrierefreiheitscenter

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.

Fragen Sie die Microsoft Community

Microsoft Tech Community

Windows-Insider

Microsoft 365 Insider

War diese Information hilfreich?

Wie zufrieden sind Sie mit der Sprachqualität?
Was hat Ihre Erfahrung beeinflusst?
Wenn Sie auf "Absenden" klicken, wird Ihr Feedback zur Verbesserung von Produkten und Diensten von Microsoft verwendet. Ihr IT-Administrator kann diese Daten sammeln. Datenschutzbestimmungen.

Vielen Dank für Ihr Feedback!

×