Iniciar sesión con Microsoft
Iniciar sesión o crear una cuenta
Hola:
Seleccione una cuenta diferente.
Tiene varias cuentas
Elija la cuenta con la que desea iniciar sesión.

Resumen 

A partir de la actualización de seguridad (SU) de enero de 2023 para Microsoft Exchange Server, hemos introducido una nueva característica que permite a los administradores configurar la firma basada en certificados de las cargas de serialización de PowerShell. Un administrador de Exchange Server debe habilitar manualmente esta característica después de instalar el SU en todos los servidores basados en Exchange. En este artículo se proporcionan los pasos para habilitar la firma basada en certificados de datos de serialización de PowerShell en Exchange Server.  

Requisitos previos 

Requisitos previos para habilitar esta función: 

  • Asegúrese de que todos los servidores basados en Exchange de su entorno tengan instalado el SU de enero de 2023 o un SU posterior. Si habilita esta característica antes de actualizar todos los servidores, es posible que se produzcan errores de deserialización y se desencadenen otros problemas. 

  • Asegúrese de que un certificado de autenticación de Exchange Server válido esté configurado y disponible en todos los servidores basados en Exchange (excepto los servidores de transporte perimetral) antes y después de habilitar la firma de certificados.

Puede ejecutar el script de MonitorExchangeAuthCertificate.ps1 para comprobar si hay un certificado de autenticación válido en los servidores de Exchange-bases de su entorno. El script también comprueba si el certificado de autenticación expirará en menos de 60 días y puede ayudarle a girar el certificado. Para obtener más información sobre MonitorExchangeAuthCertificate.ps1, vea Supervisar exchange AuthCertificate

Para comprobar manualmente la validez y la disponibilidad de los certificados de autenticación, consulte Disponibilidad y validez de los certificados de autenticación.

Le recomendamos encarecidamente que use el script de MonitorExchangeAuthCertificate.ps1 (o que cree uno nuevo, si es necesario). Esto se debe a que el script también puede renovar un certificado de autenticación expirado. El script incluye un modo de ejecución manual (compruebe la disponibilidad del certificado de autenticación o compruebe y tome medidas, si es necesario). El script también incluye un modo de automatización que funciona con el Programador de tareas de Windows. 

Solución

Para servidores que ejecutan Exchange Server 2019 o Exchange Server 2016 (actualizado al SU de enero de 2023 o posterior) 

  1. Ejecute el siguiente cmdlet en el Shell de administración de Exchange (EMS) en un servidor que ejecute Exchange Server en su entorno:

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    Este cmdlet habilita todos los servidores que ejecutan Exchange Server 2019, 2016 o 2013 en su entorno para la firma de certificados de la carga de serialización de PowerShell. No es necesario ejecutar el cmdlet en cada servidor.

  2. Actualice el argumento VariantConfiguration ejecutando el siguiente cmdlet:
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Para aplicar la nueva configuración, reinicie el servicio de publicación World Wide Web y el Servicio de activación de procesos de Windows (WAS). Para ello, ejecute el siguiente cmdlet:

    Restart-Service -Name W3SVC, WAS -Force 

    Nota: Reinicie estos servicios solo en el servidor basado en Exchange Server en el que se ejecuta el cmdlet settings override. 

Para servidores que ejecutan Exchange Server 2013

Si tiene servidores que ejecutan Microsoft Exchange Server 2013 en su entorno, debe configurar una clave del Registro en cada servidor. Especifique la siguiente configuración.

Clave del Registro: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Valor:EnableSerializationDataSigning 

Tipo: Cadena 

Datos: 1

Para crear el valor del Registro en un servidor basado en Exchange Server 2013, ejecute el siguiente cmdlet:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Para aplicar la nueva configuración, reinicie el servicio de publicación World Wide Web y el Servicio de activación de procesos de Windows (WAS). Para ello, ejecute el siguiente cmdlet:  

  • Restart-Service -Name W3SVC, WAS -Force 

Nota: Reinicie estos servicios en todos los servidores basados en Exchange Server 2013 de su entorno en los que se realizan cambios en el registro. 

Problemas conocidos

  • Si la capacidad para firmar datos de serialización está habilitada, un certificado de autenticación expirado impide que el cmdlet Get-ExchangeCertificate devuelva detalles del certificado.

  • Después de la actualización de seguridad de enero de 2023 o febrero de 2023 para Microsoft Exchange Server 2019, 2016 o 2013 está instalada, y la firma de certificado de carga de serialización de PowerShell está habilitada, el Cuadro de herramientas de Exchange y el Visor de la cola no se inician. Para obtener más información, vea Error en el Visor de cola y cuadro de herramientas de Exchange después de habilitar la firma de certificados de la carga de serialización de PowerShell (KB5023352).

  • Si la capacidad para firmar datos de serialización está habilitada, el cmdlet Get-ExchangeCertificate no devuelve un valor visible cuando se ejecuta en un equipo que tiene instaladas las Herramientas de administración de Exchange pero no tiene ningún otro rol de Exchange Server. Esto ocurre independientemente de si el certificado de autenticación es válido.

  • Algunos de los scripts que se incluyen con Exchange Server (por ejemplo, RedistributeActiveDatabases.ps1) no funcionan correctamente si se cumplen las condiciones siguientes:

    • La característica Firma de carga de serialización de PowerShell está habilitada.

    • No usa los grupos de seguridad predeterminados proporcionados por RBAC de Exchange.

    • El usuario que ejecuta el script no es miembro del grupo de roles de administración de la organización.

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Descubrir Comunidad

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción a Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad

Las comunidades le ayudan a formular y responder preguntas, enviar comentarios y leer a expertos con conocimientos extensos.

Pregunte en Microsoft Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

¿Le ha sido útil esta información?

¿Cuál es tu grado de satisfacción con la calidad del lenguaje?
¿Qué ha afectado a su experiencia?
Si presiona Enviar, sus comentarios se usarán para mejorar los productos y servicios de Microsoft. El administrador de TI podrá recopilar estos datos. Declaración de privacidad.

¡Gracias por sus comentarios!

×