Rangkuman
Mulai pembaruan keamanan (SU) Januari 2023 untuk Microsoft Exchange Server, kami memperkenalkan fitur baru yang memungkinkan admin untuk mengonfigurasi penandatanganan beban serialisasi PowerShell berbasis sertifikat. Fitur ini harus diaktifkan secara manual oleh admin Server Exchange setelah SU diinstal di semua server berbasis Exchange. Artikel ini menyediakan langkah-langkah untuk mengaktifkan penandatanganan data serialisasi PowerShell berbasis sertifikat dalam Server Exchange.
Prasyarat
Prasyarat untuk mengaktifkan fitur ini:
-
Pastikan bahwa semua server berbasis Exchange di lingkungan Anda memiliki SU Januari 2023 atau SU yang lebih baru terinstal. Jika Anda mengaktifkan fitur ini sebelum Memperbarui semua server, kegagalan deserialisasi mungkin terjadi dan memicu masalah lainnya.
-
Pastikan sertifikat Server Exchange auth yang valid dikonfigurasi dan tersedia di semua server berbasis Exchange (kecuali server Transportasi Edge) sebelum dan sesudah Anda mengaktifkan penandatanganan sertifikat.
Anda bisa menjalankan skrip MonitorExchangeAuthCertificate.ps1 untuk memeriksa sertifikat auth yang valid di server exchange-bases di lingkungan Anda. Skrip juga memeriksa apakah sertifikat auth akan kedaluwarsa dalam waktu kurang dari 60 hari, dan itu bisa membantu Anda untuk memutar sertifikat. Untuk informasi selengkapnya tentang MonitorExchangeAuthCertificate.ps1, lihat Memantau Exchange AuthCertificate
Untuk memeriksa ketersediaan dan validitas sertifikat auth secara manual, lihat Ketersediaan dan Validitas Sertifikat Auth.
Kami sangat menyarankan agar Anda menggunakan skrip MonitorExchangeAuthCertificate.ps1 (atau membuat skrip baru, jika diperlukan). Ini karena skrip juga dapat memperpanjang sertifikat auth yang kedaluwarsa. Skrip menyertakan mode eksekusi manual (verifikasi ketersediaan sertifikat auth atau verifikasi dan ambil tindakan, jika diperlukan). Skrip juga menyertakan mode otomatisasi yang berfungsi menggunakan Penjadwal Tugas Windows.
Resolusi
Untuk server yang menjalankan Server Exchange 2019 atau Server Exchange 2016 (diperbarui ke SU Januari 2023 atau yang lebih baru)
-
Jalankan cmdlet berikut di Exchange Management Shell (EMS) di server yang menjalankan Server Exchange di lingkungan Anda: New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification" Cmdlet ini memungkinkan semua server yang menjalankan Server Exchange 2019, 2016, atau 2013 di lingkungan Anda untuk penandatanganan sertifikat beban serialisasi PowerShell. Anda tidak perlu menjalankan cmdlet di setiap server.
-
Refresh argumen VariantConfiguration dengan menjalankan cmdlet berikut:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
Untuk menerapkan pengaturan baru, mulai ulang layanan Penerbitan World Wide Web dan Layanan Aktivasi Proses Windows (WAS). Untuk melakukan ini, jalankan cmdlet berikut: Restart-Service -Name W3SVC, WAS -Force
Catatan: Mulai ulang layanan ini hanya pada server berbasis Server Exchange tempat cmdlet pengesampingan pengaturan dijalankan.
Untuk server yang menjalankan Server Exchange 2013
Jika Anda memiliki server yang menjalankan Microsoft Exchange Server 2013 di lingkungan Anda, Anda harus mengonfigurasi kunci registri di setiap server. Tentukan pengaturan berikut ini.
Kunci registri:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Nilai:EnableSerializationDataSigning
Jenis: String
Data: 1
Untuk membuat nilai registri pada server berbasis Server Exchange 2013, jalankan cmdlet berikut:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Untuk menerapkan pengaturan baru, mulai ulang layanan Penerbitan World Wide Web dan Layanan Aktivasi Proses Windows (WAS). Untuk melakukan ini, jalankan cmdlet berikut:
- Restart-Service -Name W3SVC, WAS -Force
Catatan: Mulai ulang layanan ini di semua server berbasis Server Exchange 2013 di lingkungan Anda yang membuat perubahan registri.
Masalah umum
-
Jika kemampuan untuk menandatangani data serialisasi diaktifkan, sertifikat auth yang kedaluwarsa mencegah cmdlet Get-ExchangeCertificate mengembalikan detail sertifikat.
-
Setelah Januari 2023 atau Pembaruan Keamanan Februari 2023 untuk Microsoft Exchange Server 2019, 2016, atau 2013 diinstal, dan Penandatanganan Sertifikat Beban Serialisasi PowerShell diaktifkan, Exchange Toolbox dan Penampil Antrean tidak dimulai. Untuk informasi selengkapnya, lihat Exchange Toolbox dan Queue Viewer gagal setelah Penandatanganan Sertifikat PowerShell Serialization Payload diaktifkan (KB5023352).
-
Jika kemampuan untuk menandatangani data serialisasi diaktifkan, cmdlet Get-ExchangeCertificate tidak mengembalikan nilai yang terlihat saat dijalankan di komputer yang menginstal Alat Manajemen Exchange tetapi tidak memiliki peran Server Exchange lain. Hal ini terjadi terlepas dari apakah sertifikat auth valid.
-
Beberapa skrip yang disertakan dengan Server Exchange (misalnya, RedistributeActiveDatabases.ps1) tidak berfungsi dengan benar jika kondisi berikut ini benar:
-
Fitur Penandatanganan Payload Serialisasi PowerShell diaktifkan.
-
Anda tidak menggunakan grup keamanan default yang disediakan oleh Exchange RBAC.
-
Pengguna yang menjalankan skrip bukanlah anggota grup peran Manajemen Organisasi.
-