Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

Résumé 

À compter de la mise à jour de sécurité (SU) de janvier 2023 pour Microsoft Exchange Server, nous avons introduit une nouvelle fonctionnalité qui permet aux administrateurs de configurer la signature basée sur les certificats des charges utiles de sérialisation PowerShell. Cette fonctionnalité doit être activée manuellement par un administrateur Exchange Server après l’installation de l’unité de su sur tous les serveurs Exchange. Cet article décrit les étapes permettant d’activer la signature basée sur un certificat des données de sérialisation PowerShell dans Exchange Server.  

Conditions préalables 

Prérequis pour activer cette fonctionnalité : 

  • Assurez-vous que la su de janvier 2023 ou une unité de su ultérieure est installée sur tous les serveurs Exchange de votre environnement. Si vous activez cette fonctionnalité avant de mettre à jour tous les serveurs, des échecs de désérialisation peuvent se produire et déclencher d’autres problèmes. 

  • Assurez-vous qu’un certificat d’authentification Exchange Server valide est configuré et disponible sur tous les serveurs Exchange (à l’exception des serveurs de transport Edge) avant et après l’activation de la signature du certificat.

Vous pouvez exécuter le script MonitorExchangeAuthCertificate.ps1 pour case activée d’un certificat d’authentification valide sur des serveurs De base Exchange dans votre environnement. Le script vérifie également si le certificat d’authentification expire dans moins de 60 jours et peut vous aider à faire pivoter le certificat. Pour plus d’informations sur MonitorExchangeAuthCertificate.ps1, consultez Surveiller l’authentification Exchange.

Pour case activée manuellement la disponibilité et la validité des certificats d’authentification, consultez Disponibilité et validité des certificats d’authentification.

Nous vous recommandons vivement d’utiliser le script MonitorExchangeAuthCertificate.ps1 (ou d’en créer un nouveau, si nécessaire). Cela est dû au fait que le script peut également renouveler un certificat d’authentification expiré. Le script inclut un mode d’exécution manuelle (vérifiez la disponibilité du certificat d’authentification ou vérifiez et prenez des mesures, si nécessaire). Le script inclut également un mode d’automatisation qui fonctionne à l’aide du planificateur de tâches Windows. 

Résolution

Pour les serveurs exécutant Exchange Server 2019 ou Exchange Server 2016 (mise à jour vers l’unité de service de janvier 2023 ou ultérieure) 

  1. Exécutez l’applet de commande suivante dans Exchange Management Shell (EMS) sur un serveur qui exécute Exchange Server dans votre environnement :

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    Cette applet de commande active tous les serveurs qui exécutent Exchange Server 2019, 2016 ou 2013 dans votre environnement pour la signature de certificat de charge utile de sérialisation PowerShell. Vous n’avez pas besoin d’exécuter l’applet de commande sur chaque serveur.

  2. Actualisez l’argument VariantConfiguration en exécutant l’applet de commande suivante :
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Pour appliquer les nouveaux paramètres, redémarrez le service de publication World Wide Web et le service WAS (Windows Process Activation Service). Pour ce faire, exécutez l’applet de commande suivante :

    Restart-Service -Name W3SVC, WAS -Force 

    Remarque : Redémarrez ces services uniquement sur le serveur Exchange Server sur lequel l’applet de commande de remplacement des paramètres est exécutée. 

Pour les serveurs exécutant Exchange Server 2013

Si vous avez des serveurs qui exécutent Microsoft Exchange Server 2013 dans votre environnement, vous devez configurer une clé de Registre sur chaque serveur. Spécifiez les paramètres suivants.

Clé de Registre : 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Valeur:EnableSerializationDataSigning 

Type: Chaîne 

Données : 1

Pour créer la valeur de Registre sur un serveur Exchange Server 2013, exécutez l’applet de commande suivante :

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Pour appliquer les nouveaux paramètres, redémarrez le service de publication World Wide Web et le service WAS (Windows Process Activation Service). Pour ce faire, exécutez l’applet de commande suivante :  

  • Restart-Service -Name W3SVC, WAS -Force 

Remarque : Redémarrez ces services sur tous les serveurs Exchange Server 2013 de votre environnement sur lesquels des modifications de Registre sont apportées. 

Problèmes connus

  • Si la possibilité de signer des données de sérialisation est activée, un certificat d’authentification expiré empêche l’applet de commande Get-ExchangeCertificate de retourner les détails du certificat.

  • Après l’installation de la mise à jour de sécurité de janvier 2023 ou de février 2023 pour Microsoft Exchange Server 2019, 2016 ou 2013 et l’activation de la charge utile de signature de certificat de sérialisation PowerShell, la boîte à outils Exchange et la visionneuse de file d’attente ne démarrent pas. Pour plus d’informations, consultez La boîte à outils Exchange et la visionneuse de files d’attente échouent après l’activation de la signature de certificat de la charge utile de sérialisation PowerShell (KB5023352).

  • Si la possibilité de signer des données de sérialisation est activée, l’applet de commande Get-ExchangeCertificate ne retourne pas de valeur visible lorsqu’elle est exécutée sur un ordinateur sur lequel les outils de gestion Exchange sont installés, mais qui n’a pas d’autre rôle Exchange Server. Cela se produit que le certificat d’authentification soit valide ou non.

  • Certains des scripts inclus dans Exchange Server (par exemple, RedistributeActiveDatabases.ps1) ne fonctionnent pas correctement si les conditions suivantes sont remplies :

    • La fonctionnalité Signature de la charge utile de sérialisation PowerShell est activée.

    • Vous n’utilisez pas les groupes de sécurité par défaut fournis par le RBAC Exchange.

    • L’utilisateur qui exécute le script n’est pas membre du groupe de rôles Gestion de l’organisation.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×