Σύνοψη
Ξεκινώντας από την ενημέρωση ασφαλείας (SU) του Ιανουαρίου 2023 για Microsoft Exchange Server, παρουσιάσαμε μια νέα δυνατότητα που επιτρέπει στους διαχειριστές να ρυθμίζουν τις παραμέτρους υπογραφής των ωφέλιμων φορτίων σειριοποίησης του PowerShell βάσει πιστοποιητικού. Αυτή η δυνατότητα πρέπει να ενεργοποιηθεί με μη αυτόματο τρόπο από ένα διαχειριστή Exchange Server μετά την εγκατάσταση του SU σε όλους τους διακομιστές που βασίζονται στο Exchange. Αυτό το άρθρο παρέχει τα βήματα για να ενεργοποιήσετε την υπογραφή με πιστοποιητικό των δεδομένων σειριοποίησης του PowerShell σε Exchange Server.
Προαπαιτούμενα
Προαπαιτούμενα για την ενεργοποίηση αυτής της δυνατότητας:
-
Βεβαιωθείτε ότι όλοι οι διακομιστές που βασίζονται στο Exchange στο περιβάλλον σας έχουν εγκατεστημένο το SU του Ιανουαρίου 2023 ή νεότερη SU. Εάν ενεργοποιήσετε αυτήν τη δυνατότητα πριν από την ενημέρωση όλων των διακομιστών, ενδέχεται να προκύψουν αποτυχίες αποσειριοποίησης και να ενεργοποιηθούν άλλα προβλήματα.
-
Βεβαιωθείτε ότι ένα έγκυρο πιστοποιητικό ελέγχου ταυτότητας Exchange Server έχει ρυθμιστεί και είναι διαθέσιμο σε όλους τους διακομιστές που βασίζονται στο Exchange (εκτός από τους διακομιστές μεταφοράς Edge) πριν και μετά την ενεργοποίηση της υπογραφής πιστοποιητικού.
Μπορείτε να εκτελέσετε τη δέσμη ενεργειών MonitorExchangeAuthCertificate.ps1 για να ελέγξετε για ένα έγκυρο πιστοποιητικό ελέγχου ταυτότητας στους διακομιστές βάσης του Exchange στο περιβάλλον σας. Η δέσμη ενεργειών ελέγχει επίσης εάν το πιστοποιητικό ελέγχου ταυτότητας θα λήξει σε λιγότερο από 60 ημέρες και μπορεί να σας βοηθήσει να περιστρέψετε το πιστοποιητικό. Για περισσότερες πληροφορίες σχετικά με MonitorExchangeAuthCertificate.ps1, ανατρέξτε στο θέμα Monitor Exchange AuthCertificate
Για να ελέγξετε με μη αυτόματο τρόπο τη διαθεσιμότητα και την εγκυρότητα του πιστοποιητικού ελέγχου ταυτότητας, ανατρέξτε στο θέμα Διαθεσιμότητα και εγκυρότητα πιστοποιητικού ελέγχου ταυτότητας.
Συνιστάται ιδιαίτερα να χρησιμοποιήσετε τη δέσμη ενεργειών MonitorExchangeAuthCertificate.ps1 (ή να δημιουργήσετε μια νέα, εάν είναι απαραίτητο). Αυτό συμβαίνει επειδή η δέσμη ενεργειών μπορεί επίσης να ανανεώσει ένα πιστοποιητικό έλεγχο ταυτότητας που έχει λήξει. Η δέσμη ενεργειών περιλαμβάνει μια λειτουργία μη αυτόματης εκτέλεσης (επαληθεύστε τη διαθεσιμότητα του πιστοποιητικού ελέγχου ταυτότητας ή επαληθεύστε και εκτελέστε κάποια ενέργεια, εάν είναι απαραίτητο). Η δέσμη ενεργειών περιλαμβάνει επίσης μια λειτουργία αυτοματοποίησης που λειτουργεί με τη χρήση του Χρονοδιαγράμματος εργασιών των Windows.
Επίλυση
Για διακομιστές που εκτελούν Exchange Server 2019 ή Exchange Server 2016 (ενημέρωση σε SU Ιανουαρίου 2023 ή νεότερη έκδοση)
-
Εκτελέστε το ακόλουθο cmdlet στο Κέλυφος διαχείρισης Exchange (EMS) σε ένα διακομιστή που εκτελεί Exchange Server στο περιβάλλον σας:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Αυτό το cmdlet επιτρέπει σε όλους τους διακομιστές που εκτελούν Exchange Server 2019, 2016 ή 2013 στο περιβάλλον σας την υπογραφή πιστοποιητικού ωφέλιμου φορτίου σειριοποίησης PowerShell. Δεν χρειάζεται να εκτελέσετε το cmdlet σε κάθε διακομιστή. -
Ανανεώστε το όρισμα VariantConfiguration εκτελώντας το ακόλουθο cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Για να εφαρμόσετε τις νέες ρυθμίσεις, επανεκκινήστε την υπηρεσία World Wide Web Publishing και την Υπηρεσία ενεργοποίησης διαδικασίας των Windows (WAS). Για να το κάνετε αυτό, εκτελέστε το ακόλουθο cmdlet:
Restart-Service -Name W3SVC, WAS -ForceΣημείωση: Επανεκκινήστε αυτές τις υπηρεσίες μόνο στον διακομιστή που βασίζεται σε Exchange Server στον οποίο εκτελούνται οι ρυθμίσεις παράκαμψης cmdlet.
Για διακομιστές που εκτελούν Exchange Server 2013
Εάν έχετε διακομιστές που εκτελούν Microsoft Exchange Server 2013 στο περιβάλλον σας, πρέπει να ρυθμίσετε τις παραμέτρους ενός κλειδιού μητρώου σε κάθε διακομιστή. Καθορίστε τις ακόλουθες ρυθμίσεις.
Κλειδί μητρώου:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Τιμή:EnableSerializationDataSigning
Πληκτρολογήστε: Συμβολοσειρά
Data: 1
Για να δημιουργήσετε την τιμή μητρώου σε ένα διακομιστή που βασίζεται σε Exchange Server 2013, εκτελέστε το ακόλουθο cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Για να εφαρμόσετε τις νέες ρυθμίσεις, επανεκκινήστε την υπηρεσία World Wide Web Publishing και την Υπηρεσία ενεργοποίησης διαδικασίας των Windows (WAS). Για να το κάνετε αυτό, εκτελέστε το ακόλουθο cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Σημείωση: Επανεκκινήστε αυτές τις υπηρεσίες σε όλους τους διακομιστές που βασίζονται στο Exchange Server 2013 στο περιβάλλον σας, στους οποίους γίνονται αλλαγές στο μητρώο.
Γνωστά προβλήματα
-
Όταν είναι ενεργοποιημένη η δυνατότητα υπογραφής δεδομένων σειριοποίησης, ένα πιστοποιητικό ελέγχου ταυτότητας που έχει λήξει εμποδίζει την επιστροφή λεπτομερειών πιστοποιητικού από το cmdlet Get-ExchangeCertificate .
-
Μετά την ενημέρωση ασφαλείας του Ιανουαρίου 2023 ή του Φεβρουαρίου 2023 για το Microsoft Exchange Server 2019, 2016 ή 2013 και είναι ενεργοποιημένη η υπογραφή πιστοποιητικού για το ωφέλιμο φορτίο σειριοποίησης του PowerShell, η εργαλειοθήκη του Exchange και το πρόγραμμα προβολής ουράς δεν εκκινούνται. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Η εργαλειοθήκη του Exchange και το πρόγραμμα προβολής ουράς αποτυγχάνουν μετά την ενεργοποίηση της υπογραφής πιστοποιητικού του ωφέλιμου φορτίου σειριοποίησης PowerShell (KB5023352).
