Sažetak
Počevši od sigurnosnog ažuriranja iz siječnja 2023. (SU) za Microsoft Exchange Server, uveli smo novu značajku koja administratorima omogućuje konfiguriranje potpisivanja na temelju certifikata za korisnih opterećenja za serijalizaciju ljuske PowerShell. Tu značajku mora ručno omogućiti administrator sustava Exchange Server nakon instalacije su-a na svim poslužiteljima utemeljenima na sustavu Exchange. U ovom su članku navedeni koraci za omogućivanje potpisivanja podataka o serijalizaciji ljuske PowerShell na temelju certifikata u Exchange Server.
Preduvjeti
Preduvjeti za omogućivanje ove značajke:
-
Provjerite jesu li svi poslužitelji utemeljeni na sustavu Exchange u vašem okruženju instalirani su za siječanj 2023. ili noviji SU. Ako omogućite tu značajku prije ažuriranja svih poslužitelja, može doći do pogrešaka deserijalizacije i pokrenuti druge probleme.
-
Provjerite je li valjani Exchange Server certifikat provjere autentičnosti konfiguriran i dostupan na svim poslužiteljima utemeljenima na sustavu Exchange (osim na poslužiteljima za prijenos preglednika Edge) prije i nakon omogućivanja potpisivanja certifikata.
Možete pokrenuti skriptu MonitorExchangeAuthCertificate.ps1 da biste provjerili ima li valjanog certifikata za provjeru autentičnosti na poslužiteljima sustava Exchange-bases u vašem okruženju. Skripta provjerava i hoće li certifikat provjere autentičnosti isteći za manje od 60 dana i može vam pomoći da zakrenete certifikat. Dodatne informacije o MonitorExchangeAuthCertificate.ps1potražite u članku Praćenje provjere autentičnosti sustava Exchange
Da biste ručno provjerili dostupnost i valjanost certifikata za provjeru valjanosti, pročitajte članak Dostupnost i valjanost certifikata provjere autentičnosti.
Preporučujemo da koristite skriptu MonitorExchangeAuthCertificate.ps1 (ili stvorite novu, ako je to potrebno). To je zato što skripta može obnoviti i istekli certifikat provjere autentičnosti. Skripta sadrži način ručnog izvršavanja (provjerite dostupnost certifikata provjere autentičnosti ili provjerite i po potrebi učinite nešto). Skripta obuhvaća i način automatizacije koji funkcionira pomoću planera zadataka sustava Windows.
Rješenje
Za poslužitelje Exchange Server 2019. ili Exchange Server 2016. (ažurirano na su za siječanj 2023. ili novije)
-
Pokrenite sljedeći cmdlet u komponenti Exchange Management Shell (EMS) na poslužitelju sa sustavom Exchange Server u vašem okruženju:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Ovaj cmdlet omogućuje svim poslužiteljima koji koriste Exchange Server 2019, 2016 ili 2013 u vašem okruženju za potpisivanje certifikata o korisnim podacima za serijalizaciju ljuske PowerShell. Ne morate pokrenuti cmdlet na svakom poslužitelju. -
Osvježite argument VariantConfiguration pokretanjem sljedećeg cmdleta:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Da biste primijenili nove postavke, ponovno pokrenite servis World Wide Web Publishing i servis za aktivaciju procesa sustava Windows (WAS). Da biste to učinili, pokrenite sljedeći cmdlet:
Restart-Service -Name W3SVC, WAS -ForceNapomena: Ponovno pokrenite te servise na Exchange Server poslužitelju na kojem se pokreće cmdlet nadjačavanja postavki.
Za poslužitelje sa sustavom Exchange Server 2013
Ako imate poslužitelje sa sustavom Microsoft Exchange Server 2013 u okruženju, morate konfigurirati ključ registra na svakom poslužitelju. Navedite sljedeće postavke.
Ključ registra:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Vrijednost:EnableSerializationDataSigning
Vrsta: Niz
Podaci: 1
Da biste stvorili vrijednost registra na poslužitelju Exchange Server 2013, pokrenite sljedeći cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Da biste primijenili nove postavke, ponovno pokrenite servis World Wide Web Publishing i servis za aktivaciju procesa sustava Windows (WAS). Da biste to učinili, pokrenite sljedeći cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Napomena: Ponovno pokrenite te servise na Exchange Server poslužiteljima utemeljenima na sustavu 2013 u okruženju na kojima se unose promjene registra.
Poznati problemi
-
Ako je omogućena mogućnost potpisivanja podataka o serijalizaciji, istekli certifikat provjere autentičnosti sprječava cmdlet Get-ExchangeCertificate da vrati pojedinosti certifikata.
-
Nakon instalacije sigurnosnog ažuriranja za Microsoft Exchange Server 2019, 2016 ili 2013 iz veljače 2023. ili 2013. i omogućeno je potpisivanje certifikata za payload serijalizacije ljuske PowerShell, ne pokreće se preglednik alata sustava Exchange i preglednik reda čekanja. Dodatne informacije potražite u članku Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payload is enabled (KB5023352).
-
Ako je omogućena mogućnost potpisivanja podataka o serijalizaciji, cmdlet Get-ExchangeCertificate ne vraća vidljivu vrijednost kada se pokrene na računalu na kojem su instalirani alati za upravljanje sustava Exchange, ali nema drugu Exchange Server ulogu. To se događa bez obzira na to je li certifikat provjere autentičnosti valjan.
-
Neke skripte obuhvaćene programom Exchange Server (primjerice, RedistributeActiveDatabases.ps1) ne funkcioniraju ispravno ako su ispunjeni sljedeći uvjeti:
-
Omogućeno je potpisivanje značajke Payload za serijalizaciju ljuske PowerShell.
-
Ne koristite zadane sigurnosne grupe koje nudi Exchange RBAC.
-
Korisnik koji pokreće skriptu nije član grupe uloga upravljanja tvrtkom ili ustanovom.
-