Yhteenveto
Tammikuun 2023 Microsoft Exchange Server suojauspäivityksestä alkaen otimme käyttöön uuden ominaisuuden, jonka avulla järjestelmänvalvojat voivat määrittää PowerShellin sarjoituksen latausten varmennepohjaisen allekirjoituksen. Exchange Server järjestelmänvalvojan on otettava tämä ominaisuus käyttöön manuaalisesti sen jälkeen, kun su on asennettu kaikkiin Exchange-pohjaisiin palvelimiin. Tässä artikkelissa on ohjeet PowerShellin sarjoittamistietojen varmennepohjaisen allekirjoittamisen käyttöönottoon Exchange Server.
Edellytykset
Tämän ominaisuuden käyttöönoton edellytykset:
-
Varmista, että kaikissa ympäristön Exchange-pohjaisissa palvelimissa on asennettuna tammikuun 2023 SU tai uudempi su. Jos otat tämän ominaisuuden käyttöön ennen kaikkien palvelinten päivittämistä, voi ilmetä virheenpoistovirheitä ja aiheuttaa muita ongelmia.
-
Varmista, että kelvollinen Exchange Server varmenne on määritetty ja käytettävissä kaikissa Exchange-pohjaisissa palvelimissa (edge transport -palvelimia lukuun ottamatta) ennen varmenteen allekirjoittamisen käyttöönottoa ja sen jälkeen.
Voit tarkistaa kelvollisen todennusvarmenteen ympäristösi Exchange-bases-palvelimista suorittamalla MonitorExchangeAuthCertificate.ps1 -komentosarjan. Komentosarja tarkistaa myös, vanheneeko varmenne alle 60 päivän kuluttua, ja auttaa sinua kiertämään varmennetta. Lisätietoja MonitorExchangeAuthCertificate.ps1on artikkelissa Exchange AuthCertificate -valvonta
Lisätietoja varmenteen saatavuuden ja voimassaolon tarkistamisesta manuaalisesti on ohjeaiheessa Varmenteen saatavuus ja voimassaolo.
On erittäin suositeltavaa, että käytät MonitorExchangeAuthCertificate.ps1 komentosarjaa (tai luot tarvittaessa uuden). Tämä johtuu siitä, että komentosarja voi myös uusia vanhentuneen varmenteen. Komentosarja sisältää manuaalisen suoritustilan (tarkista varmenteen saatavuus tai tarkista ja ryhdy tarvittaessa toimenpiteisiin). Komentosarja sisältää myös automaatiotilan, joka toimii Windowsin tehtävien ajoituksen avulla.
Ratkaisu
Exchange Server 2019- tai Exchange Server 2016 (päivitetty tammikuun 2023 su-versioon tai uudempään versioon)
-
Suorita seuraava cmdlet-komento Exchange Management Shellissä (EMS) ympäristössäsi Exchange Server palvelimessa:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Tämän cmdlet-komennon avulla kaikki palvelimet, joissa on käytössä Exchange Server 2019, 2016 tai 2013 ympäristössäsi, voivat allekirjoittaa PowerShellin sarjoituksen hyötykuorman varmenteen. Sinun ei tarvitse suorittaa cmdlet-komentoa jokaisessa palvelimessa. -
Päivitä VariantConfiguration-argumentti suorittamalla seuraava cmdlet-komento:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Voit ottaa uudet asetukset käyttöön käynnistämällä World Wide Web -julkaisupalvelun ja Windowsin prosessin aktivointipalvelun (WAS). Voit tehdä tämän suorittamalla seuraavan cmdlet-komennon:
Restart-Service -Name W3SVC, WAS -ForceHuomautus: Käynnistä nämä palvelut uudelleen vain Exchange Server-pohjaisessa palvelimessa, jossa asetukset ohittavat cmdlet-komennon.
Exchange Server 2013 -palvelimet
Jos ympäristössäsi on palvelimia, joissa on Microsoft Exchange Server 2013, sinun on määritettävä rekisteriavain kullekin palvelimelle. Määritä seuraavat asetukset.
Rekisteriavaimen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Arvo:EnableSerializationDataSigning
Tyyppi: Merkkijono
Tiedot: 1
Jos haluat luoda rekisteriarvon Exchange Server 2013 -pohjaisessa palvelimessa, suorita seuraava cmdlet-komento:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Voit ottaa uudet asetukset käyttöön käynnistämällä World Wide Web -julkaisupalvelun ja Windowsin prosessin aktivointipalvelun (WAS). Voit tehdä tämän suorittamalla seuraavan cmdlet-komennon:
- Restart-Service -Name W3SVC, WAS -Force
Huomautus: Käynnistä nämä palvelut uudelleen kaikissa Exchange Server 2013-pohjaisissa palvelimissa ympäristössäsi, jossa tehdään rekisterimuutoksia.
Tunnetut ongelmat
-
Jos mahdollisuus allekirjoittaa sarjoituksen tietoja on käytössä, vanhentunut todennusvarmenne estää Get-ExchangeCertificate-cmdlet-komentoa palauttamasta varmenteen tietoja.
-
Kun tammikuun 2023 tai helmikuun 2023 suojauspäivityksen Microsoft Exchange Server 2019, 2016 tai 2013 on asennettu ja PowerShellin sarjoituksen maksulatauksen varmenteen allekirjoitus on käytössä, Exchange-työkaluryhmä ja jonon katseluohjelma eivät käynnisty. Lisätietoja on artikkelissa Exchange-työkaluryhmä ja Jonon katseluohjelma epäonnistuu, kun PowerShellin sarjoituksen latauksen varmenteen allekirjoitus on otettu käyttöön (KB5023352).
-
Jos mahdollisuus allekirjoittaa sarjoituksen tietoja on käytössä, Get-ExchangeCertificate-cmdlet-komento ei palauta näkyvää arvoa, kun se suoritetaan tietokoneessa, johon on asennettu Exchange-hallintatyökalut, mutta jolla ei ole muuta Exchange Server roolia. Näin tapahtuu riippumatta siitä, onko varmenne kelvollinen.
-
Jotkin komentosarjat, jotka sisältyvät Exchange Server (esimerkiksi RedistributeActiveDatabases.ps1), eivät toimi oikein, jos seuraavat ehdot täyttyvät:
-
PowerShellin sarjoituksen lataustoiminnon allekirjoitus on käytössä.
-
Et käytä Exchange RBAC:n tarjoamia oletussuojausryhmiä.
-
Käyttäjä, joka suorittaa komentosarjan, ei kuulu Organisaation hallinta -rooliryhmään.
-
