דלג לתוכן הראשי
תמיכה
היכנס
היכנס דרך Microsoft
היכנס או צור חשבון.
שלום,
בחר חשבון אחר.
יש לך חשבונות מרובים
בחר את החשבון שברצונך להיכנס באמצעותו.

סיכום 

החל מעדכון האבטחה של ינואר 2023 (SU) עבור Microsoft Exchange Server, הצגנו תכונה חדשה המאפשרת למנהלי מערכת לקבוע תצורה של עומסי מנה של עריכה בסידרה המבוססת על אישורים של PowerShell. יש להפוך תכונה זו לזמינה באופן ידני על-ידי מנהל מערכת Exchange Server לאחר ש- SU הותקן בכל השרתים המבוססים על Exchange. מאמר זה מספק את השלבים להסתימה מבוססת אישור של נתוני עריכה בסידרה של PowerShell ב- Exchange Server.  

דרישות מוקדמות 

דרישות מוקדמות כדי להפוך תכונה זו לזמינה: 

  • ודא שכל השרתים המבוססים על Exchange בסביבה שלך הותקנה SU בינואר 2023 או SU מאוחר יותר. אם אתה מפעיל תכונה זו לפני עדכון כל השרתים, כשלים של ביטול עריכה בסידרה עלולים להתרחש ומפעילים בעיות אחרות. 

  • ודא שתצורת אישור אימות Exchange Server חוקי נקבעה וזמינה בכל השרתים המבוססים על Exchange (למעט שרתי Edge Transport) לפני ואחרי הפיכת חתימת האישור לזמינה.

באפשרותך להפעיל את MonitorExchangeAuthCertificate.ps1 Script חוקי כדי לבדוק אם יש אישור אימות חוקי בשרתי בסיס Exchange בסביבה שלך. קובץ ה- Script גם בודק אם תוקפו של אישור האימות יפוג תוך פחות מ- 60 יום, והוא יכול לעזור לך לסובב את האישור. לקבלת מידע נוסף אודות MonitorExchangeAuthCertificate.ps1, ראה ניטור אימות Exchange

כדי לבדוק באופן ידני את הזמינות והתוקף של אישור האימות, ראה זמינות וחוקית של אישור אימות.

מומלץ מאוד להשתמש בקובץ ה MonitorExchangeAuthCertificate.ps1 Script החדש (או ליצור קובץ חדש, במידת הצורך). זאת משום שקובץ ה- Script יכול גם לחדש אישור אימות שפג תוקפו. קובץ ה- Script כולל מצב ביצוע ידני (אמת את זמינות אישור האימות או אמת ובצע פעולה, במידת הצורך). קובץ ה- Script כולל גם מצב אוטומציה שעובד באמצעות מתזמן המשימות של Windows. 

פתרון

עבור שרתים שבהם Exchange Server 2019 או Exchange Server 2016 (מעודכן ל- SU של ינואר 2023 ואילך) 

  1. הפעל את ה- cmdlet הבא במעטפת ניהול Exchange (EMS) בשרת Exchange Server בסביבה שלך:

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    cmdlet זה הופך לזמין את כל השרתים שבהם פועל Exchange Server 2019, 2016 או 2013 בסביבה שלך לחתימה על אישור של תוכן מנה של עריכה בסידרה של PowerShell. אין צורך להפעיל את ה- cmdlet בכל שרת.

  2. רענן את הארגומנט VariantConfiguration על-ידי הפעלת ה- cmdlet הבא:
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. כדי להחיל את ההגדרות החדשות, הפעל מחדש את שירות הפרסום באינטרנט ואת שירות הפעלת התהליך של Windows (היה). לשם כך, הפעל את ה- cmdlet הבא:

    Restart-Service -Name W3SVC, WAS -Force 

    הערה: הפעל מחדש שירותים אלה רק Exchange Server מבוסס ה- cmdlet של עקיפת ההגדרות. 

עבור שרתים שבהם פועל Exchange Server 2013

אם יש לך שרתים שבהם פועל Microsoft Exchange Server 2013 בסביבה שלך, עליך לקבוע תצורה של מפתח רישום בכל שרת. ציין את ההגדרות הבאות.

מפתח רישום: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

ערך:EnableSerializationDataSigning 

סוג: מחרוזת 

נתונים: 1

כדי ליצור את ערך הרישום בשרת מבוסס Exchange Server 2013, הפעל את ה- cmdlet הבא:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

כדי להחיל את ההגדרות החדשות, הפעל מחדש את שירות הפרסום באינטרנט ואת שירות הפעלת התהליך של Windows (היה). לשם כך, הפעל את ה- cmdlet הבא:  

  • Restart-Service -Name W3SVC, WAS -Force 

הערה: הפעל מחדש שירותים אלה בכל Exchange Server מבוססי 2013 בסביבה שלך שבהם בוצעו שינויי רישום. 

בעיות ידועות

  • אם היכולת לחתום על נתוני עריכה בסידרה זמינה, אישור אימות שפג תוקפו מונע מה- cmdlet Get-ExchangeCertificate להחזיר פרטי אישור.

  • לאחר התקנת עדכון האבטחה של ינואר 2023 או פברואר 2023 עבור Microsoft Exchange Server 2019, 2016 או 2013, וחתימה על אישור של תוכן מנה של עריכה בסידרה של PowerShell זמינה, ארגז הכלים של Exchange ומציג התורים אינם מופעלים. לקבלת מידע נוסף, ראה תיבת הכלים של Exchange ומציג התורים נכשלים לאחר שחתימה על אישור של תוכן מנה של עריכה בסידרה של PowerShell זמינה (KB5023352).

  • אם היכולת לחתום על נתוני עריכה בסידרה זמינה, ה- cmdlet Get-ExchangeCertificate אינו מחזיר ערך גלוי כאשר הוא מופעל במחשב שבו מותקנים כלי הניהול של Exchange, אך אין לו תפקיד Exchange Server אחר. מצב זה מתרחש גם אם אישור האימות חוקי.

  • חלק מקובץ ה- Script הכלולים ב- Exchange Server (לדוגמה, RedistributeActiveDatabases.ps1) אינם פועלים כראוי אם התנאים הבאים מתקיימים:

    • התכונה 'חתימה על תוכן מנה של עריכה בסידרה של PowerShell' זמינה.

    • אינך משתמש בקבוצות האבטחה המוגדרות כברירת מחדל המסופקות על-ידי Exchange RBAC.

    • המשתמש שמפעיל את קובץ ה- Script אינו חבר בקבוצת התפקידים 'ניהול ארגון'.

Facebook LinkedIn דואר אלקטרוני
הרשמה כמנוי להזנות RSS

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

לגלות קהילה

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

הטבות מינוי Microsoft 365

הדרכת Microsoft 365

אבטחת Microsoft

מרכז הנגישות

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.

שאל את Microsoft Community

Microsoft Tech Community

משתתפי Windows Insider

משתתפי Insider של Microsoft 365

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלך?
בלחיצה על 'שלח', אתה מאפשר למשוב שלך לשפר מוצרים ושירותים של Microsoft. מנהל ה-IT שלך יוכל לאסוף נתונים אלה. הצהרת הפרטיות.

תודה על המשוב!

×