Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Riassunto 

A partire dall'aggiornamento della sicurezza di gennaio 2023 per Microsoft Exchange Server, è stata introdotta una nuova funzionalità che consente agli amministratori di configurare la firma basata su certificato dei payload di serializzazione di PowerShell. Questa caratteristica deve essere abilitata manualmente da un amministratore Exchange Server dopo l'installazione dell'aggiornamento su rete in tutti i server basati su Exchange. Questo articolo illustra la procedura per abilitare la firma basata su certificato dei dati di serializzazione di PowerShell in Exchange Server.  

Prerequisiti 

Prerequisiti per abilitare questa funzionalità: 

  • Verificare che in tutti i server basati su Exchange nell'ambiente sia installato l'aggiornamento del sistema operativo di gennaio 2023 o un aggiornamento dello stato su successivo. Se si abilita questa funzionalità prima di aggiornare tutti i server, potrebbero verificarsi errori di deserializzazione e attivare altri problemi. 

  • Verificare che un certificato di autenticazione Exchange Server valido sia configurato e disponibile in tutti i server basati su Exchange (tranne i server Trasporto Edge) prima e dopo l'abilitazione della firma del certificato.

È possibile eseguire lo script MonitorExchangeAuthCertificate.ps1 per verificare la presenza di un certificato di autenticazione valido nei server basati su Exchange nell'ambiente. Lo script controlla anche se il certificato di autenticazione scadrà tra meno di 60 giorni e può essere utile per ruotare il certificato. Per altre informazioni su MonitorExchangeAuthCertificate.ps1, vedere Monitorare Exchange AuthCertificate

Per verificare manualmente la disponibilità e la validità del certificato di autenticazione, vedere Disponibilità e validità del certificato di autenticazione.

È consigliabile usare lo script MonitorExchangeAuthCertificate.ps1 o crearne uno nuovo, se necessario. Questo perché lo script può anche rinnovare un certificato di autenticazione scaduto. Lo script include una modalità di esecuzione manuale (verificare la disponibilità del certificato di autenticazione o verificare e intervenire, se necessario). Lo script include anche una modalità di automazione che funziona con Utilità di pianificazione di Windows. 

Risoluzione

Per i server in cui è in esecuzione Exchange Server 2019 o Exchange Server 2016 (aggiornato al mese di gennaio 2023 SU o versione successiva) 

  1. Eseguire il cmdlet seguente in Exchange Management Shell (EMS) in un server che esegue Exchange Server nell'ambiente:

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    Questo cmdlet abilita tutti i server che eseguono Exchange Server 2019, 2016 o 2013 nell'ambiente per la firma del certificato del payload di serializzazione di PowerShell. Non è necessario eseguire il cmdlet in ogni server.

  2. Aggiornare l'argomento VariantConfiguration eseguendo il cmdlet seguente:
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Per applicare le nuove impostazioni, riavviare il servizio Pubblicazione sul Web e il servizio di attivazione del processo di Windows (WAS). A questo scopo, eseguire il cmdlet seguente:

    Restart-Service -Name W3SVC, WAS -Force 

    Nota: Riavviare questi servizi solo nel server basato su Exchange Server in cui viene eseguito il cmdlet di override delle impostazioni. 

Per i server che eseguono Exchange Server 2013

Se nell'ambiente sono presenti server che eseguono Microsoft Exchange Server 2013, è necessario configurare una chiave del Registro di sistema in ogni server. Specificare le impostazioni seguenti.

Chiave del Registro di sistema: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Valore:EnableSerializationDataSigning 

Digitare: Stringa 

Dati: 1

Per creare il valore del Registro di sistema in un server basato su Exchange Server 2013, eseguire il cmdlet seguente:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Per applicare le nuove impostazioni, riavviare il servizio Pubblicazione sul Web e il servizio di attivazione del processo di Windows (WAS). A questo scopo, eseguire il cmdlet seguente:  

  • Restart-Service -Name W3SVC, WAS -Force 

Nota: Riavviare questi servizi in tutti i server basati su Exchange Server 2013 nell'ambiente in cui vengono apportate modifiche al Registro di sistema. 

Problemi noti

  • Se è abilitata la firma dei dati di serializzazione, un certificato di autenticazione scaduto impedisce al cmdlet Get-ExchangeCertificate di restituire dettagli sul certificato.

  • Dopo l'installazione dell'aggiornamento della sicurezza di gennaio 2023 o di febbraio 2023 per Microsoft Exchange Server 2019, 2016 o 2013 e l'abilitazione della firma del payload di serializzazione di PowerShell, la casella degli strumenti di Exchange e il visualizzatore code non vengono avviati. Per ulteriori informazioni, vedere La casella degli strumenti di Exchange e il Visualizzatore code non riescono dopo l'abilitazione della firma del certificato del payload di serializzazione di PowerShell (KB5023352).For more information, see Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payload is enabled (KB5023352).

  • Se è abilitata la firma dei dati di serializzazione, il cmdlet Get-ExchangeCertificate non restituisce un valore visibile quando viene eseguito in un computer in cui sono installati gli strumenti di gestione di Exchange, ma non ha altri ruoli di Exchange Server. Ciò si verifica indipendentemente dal fatto che il certificato di autenticazione sia valido.

  • Alcuni degli script inclusi in Exchange Server(ad esempio, RedistributeActiveDatabases.ps1) non funzionano correttamente se si verificano le condizioni seguenti:

    • La funzionalità firma del payload di serializzazione di PowerShell è abilitata.

    • Non si usano i gruppi di sicurezza predefiniti forniti dal RBAC di Exchange.You don't use the default security groups that are provided by Exchange RBAC.

    • L'utente che esegue lo script non è membro del gruppo di ruoli Gestione organizzazione.

Facebook LinkedIn Posta elettronica
SOTTOSCRIVI FEED RSS

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×