Összefoglalás
A Microsoft Exchange Server 2023. januári biztonsági frissítésétől kezdve bevezettünk egy új funkciót, amely lehetővé teszi a rendszergazdák számára a PowerShell-szerializálás hasznos adatainak tanúsítványalapú aláírását. Ezt a funkciót manuálisan kell engedélyeznie egy Exchange Server rendszergazdának, miután az su telepítve lett az összes Exchange-alapú kiszolgálón. Ez a cikk a PowerShell-szerializálási adatok tanúsítványalapú aláírásának Exchange Server való engedélyezésének lépéseit ismerteti.
Előfeltételek
A funkció engedélyezésének előfeltételei:
-
Győződjön meg arról, hogy a környezet összes Exchange-alapú kiszolgálójára telepítve van a 2023. januári SU vagy egy újabb su. Ha az összes kiszolgáló frissítése előtt engedélyezi ezt a funkciót, deszerializálási hibák léphetnek fel, és egyéb problémákat válthatnak ki.
-
Győződjön meg arról, hogy egy érvényes Exchange Server hitelesítési tanúsítvány van konfigurálva és elérhető az összes Exchange-alapú kiszolgálón (kivéve az Edge Átviteli kiszolgálókat) a tanúsítvány-aláírás engedélyezése előtt és után.
A MonitorExchangeAuthCertificate.ps1 szkript futtatásával ellenőrizheti, hogy van-e érvényes hitelesítési tanúsítvány a környezetben lévő Exchange-bases kiszolgálókon. A szkript azt is ellenőrzi, hogy a hitelesítési tanúsítvány 60 napnál rövidebb idő alatt lejár-e, és segíthet a tanúsítvány elforgatásában. A MonitorExchangeAuthCertificate.ps1kapcsolatos további információkért lásd: Az Exchange AuthCertificate monitorozása
A hitelesítési tanúsítványok rendelkezésre állásának és érvényességének manuális ellenőrzéséhez lásd: Tanúsítvány rendelkezésre állása és érvényessége.
Határozottan javasoljuk, hogy használja a MonitorExchangeAuthCertificate.ps1 szkriptet (vagy hozzon létre egy újat, ha szükséges). Ennek az az oka, hogy a szkript megújíthat egy lejárt hitelesítési tanúsítványt is. A szkript manuális végrehajtási módot tartalmaz (ellenőrizze a hitelesítési tanúsítvány rendelkezésre állását, vagy szükség esetén ellenőrizze és hajtsa végre a műveletet). A szkript egy automatizálási módot is tartalmaz, amely a Windows Feladatütemező használatával működik.
Megoldás
A 2019-Exchange Server vagy Exchange Server 2016-ot futtató kiszolgálók esetén (frissítve a 2023. januári SU-ra vagy újabb verzióra)
-
Futtassa a következő parancsmagot az Exchange Management Shellben (EMS) a környezetben Exchange Server futtató kiszolgálón:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Ez a parancsmag a környezetben Exchange Server 2019-ben, 2016-ban vagy 2013-ban futó összes kiszolgáló számára engedélyezi a PowerShell-szerializálás hasznos adatainak tanúsítvány-aláírását. Nem kell minden kiszolgálón futtatnia a parancsmagot. -
Frissítse a VariantConfiguration argumentumot a következő parancsmag futtatásával:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Az új beállítások alkalmazásához indítsa újra a World Wide Web Publishing szolgáltatást és a Windows Folyamataktiválási szolgáltatást (WAS). Ehhez futtassa a következő parancsmagot:
Restart-Service -Name W3SVC, WAS -ForceMegjegyzés: Indítsa újra ezeket a szolgáltatásokat csak azon a Exchange Server-alapú kiszolgálón, amelyen a beállítások felülbírálják a parancsmagot.
A Exchange Server 2013-at futtató kiszolgálók esetén
Ha Microsoft Exchange Server 2013-at futtató kiszolgálói vannak a környezetben, minden kiszolgálón konfigurálnia kell egy beállításkulcsot. Adja meg a következő beállításokat.
Beállításkulcs:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Érték:EnableSerializationDataSigning
Típus: Karakterlánc
Adatok: 1
Ha a beállításazonosítót egy Exchange Server 2013-alapú kiszolgálón szeretné létrehozni, futtassa a következő parancsmagot:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Az új beállítások alkalmazásához indítsa újra a World Wide Web Publishing szolgáltatást és a Windows Folyamataktiválási szolgáltatást (WAS). Ehhez futtassa a következő parancsmagot:
- Restart-Service -Name W3SVC, WAS -Force
Megjegyzés: Indítsa újra ezeket a szolgáltatásokat a környezetben lévő összes Exchange Server 2013-alapú kiszolgálón, amelyen a beállításjegyzék-módosítások történnek.
Ismert problémák
-
Ha engedélyezve van a szerializálási adatok aláírásának lehetősége, a lejárt hitelesítési tanúsítvány megakadályozza, hogy a Get-ExchangeCertificate parancsmag visszaadja a tanúsítvány részleteit.
-
A 2023. januári vagy a 2023. februári biztonsági frissítés telepítése után a 2019-Microsoft Exchange Server 2016-os vagy 2013-as verziójához, valamint a PowerShell-szerializálási hasznos adatok tanúsítvány-aláírásának engedélyezése után az Exchange Eszközkészlet és a Queue Viewer nem indul el. További információ: Az Exchange-eszközkészlet és a várólista-megjelenítő meghiúsul a PowerShell-szerializálás hasznos adatainak tanúsítvány-aláírása után (KB5023352).
-
Ha engedélyezve van a szerializálási adatok aláírásának lehetősége, a Get-ExchangeCertificate parancsmag nem ad vissza látható értéket, ha olyan számítógépen fut, amelyen telepítve vannak az Exchange Management Tools eszköz, de nincs más Exchange Server szerepköre. Ez attól függetlenül történik, hogy a hitelesítési tanúsítvány érvényes-e.
-
A Exchange Server részét képező szkriptek némelyike (például RedistributeActiveDatabases.ps1) nem működik megfelelően, ha a következő feltételek teljesülnek:
-
A PowerShell-szerializálás hasznos adatainak aláírása funkció engedélyezve van.
-
Nem az Exchange RBAC által biztosított alapértelmezett biztonsági csoportokat használja.
-
A szkriptet futtató felhasználó nem tagja a Szervezetkezelés szerepkörcsoportnak.
-