Kokkuvõte
Alates 2023. aasta jaanuari Microsoft Exchange Server turbevärskendusest (SU) võtsime kasutusele uue funktsiooni, mis võimaldab administraatoritel konfigureerida PowerShelli serialiseerimise lastide serdipõhist allkirjastamist. Exchange Server administraator peab selle funktsiooni käsitsi lubama, kui SU on installitud kõigisse Exchange'i põhistesse serveritesse. Sellest artiklist leiate juhised PowerShelli serialiseerimisandmete serdipõhise allkirjastamise lubamiseks Exchange Server.
Eeldused
Selle funktsiooni lubamise eeltingimused:
-
Veenduge, et kõigis teie keskkonna Exchange'i-põhistes serverites oleks installitud 2023. aasta jaanuari su või uuem SU. Kui lubate selle funktsiooni enne kõigi serverite värskendamist, võivad ilmneda sariseerimistõrked ja käivitada muud probleemid.
-
Enne ja pärast serdi allkirjastamise lubamist veenduge, et kehtiv Exchange Server autentimissert oleks konfigureeritud ja saadaval kõigis Exchange'i-põhistes serverites (v.a Edge'i transpordiserverites).
Saate käitada MonitorExchangeAuthCertificate.ps1 skripti, et kontrollida teie keskkonna Exchange'i alusserverites kehtivat autentimisserti. Skript kontrollib ka seda, kas autentimissert aegub vähem kui 60 päeva pärast ja aitab teil serti pöörata. Lisateavet MonitorExchangeAuthCertificate.ps1kohta leiate teemast Exchange AuthCertificate'i jälgimine.
Autentimisserdi saadavuse ja kehtivuse käsitsi kontrollimiseks vaadake teemat Auth-serdi saadavus ja kehtivus.
Soovitame tungivalt kasutada MonitorExchangeAuthCertificate.ps1 skripti (või luua vajadusel uue skripti). Seda seetõttu, et skript saab uuendada ka aegunud autentimisserti. Skript sisaldab käsitsi käivitamise režiimi (kontrollige autentimisserdi kättesaadavust või kontrollige, kas see on vajalik, ja tehke vajalikud toimingud). Skript sisaldab ka automatiseerimisrežiimi, mis töötab Windowsi toiminguajasti abil.
Lahendus
Serverites, kus töötab Exchange Server 2019 või Exchange Server 2016 (värskendatud 2023. aasta jaanuari su-le või uuemale versioonile)
-
Käivitage järgmine cmdlet-käsk Exchange Management Shellis (EMS) serveris, kus töötab teie keskkonnas Exchange Server:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
See cmdlet-käsk lubab PowerShelli serialiseerimise lasti serdi allkirjastamiseks kõik serverid, kus töötab Exchange Server 2019, 2016 või 2013. Cmdlet-käske ei pea igas serveris käitama. -
Värskendage argumenti VariantConfiguration , käivitades järgmise cmdlet-käsu:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Uute sätete rakendamiseks taaskäivitage veebis avaldamise teenus ja Windowsi protsesside aktiveerimise teenus (WAS). Selleks käivitage järgmine cmdlet-käsk:
Restart-Service -Name W3SVC, WAS -ForceMärkus.: Taaskäivitage need teenused ainult Exchange Server-põhises serveris, kus sätete alistamise cmdlet-käsk käivitatakse.
Serverid, kus töötab Exchange Server 2013
Kui teie keskkonnas on serverid, kus töötab Microsoft Exchange Server 2013, peate igas serveris konfigureerima registrivõtme. Määrake järgmised sätted.
Registrivõti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Väärtus:EnableSerializationDataSigning
Tüüp: String
Andmed: 1
Exchange Server 2013-põhises serveris registriväärtuse loomiseks käivitage järgmine cmdlet-käsk:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Uute sätete rakendamiseks taaskäivitage veebis avaldamise teenus ja Windowsi protsesside aktiveerimise teenus (WAS). Selleks käivitage järgmine cmdlet-käsk:
- Restart-Service -Name W3SVC, WAS -Force
Märkus.: Taaskäivitage need teenused kõigis teie keskkonna Exchange Server 2013-põhistes serverites, kus registrit muudetakse.
Teadaolevad probleemid
-
Kui serialiseerimisandmete allkirjastamine on lubatud, takistab aegunud autentimise sert cmdlet-käsu Get-ExchangeCertificate tagastamast serdi üksikasju.
-
Kui Microsoft Exchange Server 2019, 2016 või 2013 jaoks on installitud 2023. aasta jaanuari või veebruari 2023 turbevärskendus ja PowerShelli serialiseerimise lasti serdi allkirjastamine on lubatud, siis Exchange'i tööriistakast ja järjekorravaatur ei käivitu. Lisateavet leiate teemast Exchange'i tööriistakast ja järjekorravaatur nurjub pärast Seda, kui PowerShelli serialiseerimise lasti serdi allkirjastamine on lubatud (KB5023352).
-
Kui serialiseerimisandmete allkirjastamine on lubatud, ei tagasta cmdlet-käsk Get-ExchangeCertificate nähtavat väärtust, kui see töötab arvutis, kuhu on installitud Exchange'i haldusriistad, kuid millel pole muud rolli Exchange Server. See juhtub sõltumata sellest, kas autentimissert on kehtiv.
-
Mõned Exchange Server kaasatud skriptid (nt RedistributeActiveDatabases.ps1) ei tööta õigesti, kui täidetud on järgmised tingimused:
-
PowerShelli serialiseerimise lastifunktsiooni allkirjastamine on lubatud.
-
Te ei kasuta Exchange'i RBAC-i pakutavaid vaiketurberühmi.
-
Skripti käitav kasutaja pole organisatsioonihalduse rollirühma liige.
-
