Applies ToExchange Server 2019 Exchange Server 2016 Exchange Server 2013

Kopsavilkums 

Sākot ar 2023. gada janvāra drošības atjauninājumu (SU) Microsoft Exchange Server esam ieviesuši jaunu līdzekli, kas administratoriem ļauj konfigurēt uz sertifikātu balstītas PowerShell seriālizācijas lietderīgās slodzes pierakstīšanos. Pēc SU instalēšanas visos Exchange serveros Exchange Server šis līdzeklis ir jāiespējo manuāli. Šajā rakstā ir sniegtas darbības, kas jāveic, lai iespējotu sertifikātam balstītu PowerShell serializācijas datu pierakstīšanos Exchange Server.  

Priekšnosacījumi 

Priekšnosacījumi šī līdzekļa iespējošanai: 

  • Pārliecinieties, vai visos Exchange serveros jūsu vidē ir instalētas 2023. gada janvāra SU vai jaunāka SU versija. Ja iespējojat šo līdzekli pirms visu serveru atjaunināšanas, var rasties deseriacializācijas kļūmes un izraisīt citas problēmas. 

  • Pirms un pēc sertifikāta parakstīšanas Exchange Server pārliecinieties, vai derīgs autorizācijas sertifikāts ir konfigurēts un pieejams visos Exchange serveros (izņemot malas transporta serveros).

Varat izpildīt šo MonitorExchangeAuthCertificate.ps1 , lai pārbaudītu derīgu autentifikācijas sertifikātu jūsu vidē Exchange bāzes serveros. Skripts pārbauda arī to, vai autentifikācijas sertifikāta derīgums beigsies mazāk nekā 60 dienu laikā, un tas var palīdzēt pagriezt sertifikātu. Papildinformāciju par produktu MonitorExchangeAuthCertificate.ps1skatiet rakstā Exchange AuthCertificate pārraudzība

Lai manuāli pārbaudītu autentifikācijas sertifikāta pieejamību un derīgumu, skatiet rakstu Auth sertifikāta pieejamība un derīgums.

Stingri iesakām izmantot šo MonitorExchangeAuthCertificate.ps1 (vai izveidot jaunu skriptu, ja nepieciešams). Tas ir tāpēc, ka skripts var arī atjaunot derīgums auth sertifikātu. Skripts ietver manuālu izpildes režīmu (apstipriniet autentifikācijas sertifikāta pieejamību vai verificiet un rīkoties, ja tas ir nepieciešams). Skripts ietver arī automatizācijas režīmu, kas darbojas, izmantojot Windows uzdevumu plānotāju. 

Risinājums

Serveriem, kuros darbojas Exchange Server 2019 vai Exchange Server 2016 (atjaunināts uz 2023. gada janvāra SU vai jaunāku versiju) 

  1. Izpildiet šo cmdlet Exchange pārvaldības čaulā (EMS) serverī, kurā darbojas Exchange Server jūsu vidē: New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification" Šī cmdlet iespējo visus serverus, kuros darbojas Exchange Server 2019, 2016 vai 2013 jūsu vidē, sertifikāta parakstīšanai PowerShell sērijas noslodzi. Cmdlet nav jāpalaiž katrā serverī.

  2. Atsvaidziniet argumentu VariantConfiguration , palaižot šo cmdlet komandu:   Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Lai lietotu jaunos iestatījumus, restartējiet interneta publicēšanas pakalpojumu un Windows procesu aktivizācijas pakalpojumu (WAS). Lai to izdarītu, izpildiet šādu cmdlet komandu: Restart-Service -Name W3SVC, WAS -Force 

    Piezīme.: Restartējiet šos pakalpojumus tikai Exchange Server serverī, kurā tiek palaista iestatījumu ignorēšana cmdlet. 

Serveriem, kuros darbojas Exchange Server 2013

Ja jūsu vidē darbojas serveri Microsoft Exchange Server 2013, jums jākonfigurē reģistra atslēga katrā serverī. Norādiet tālāk norādītos iestatījumus.

Reģistra atslēga: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Vērtība:EnableSerializationDataSigning 

Tips: Virkne 

Dati: 1

Lai izveidotu reģistra vērtību serverī, Exchange Server 2013, palaidiet šādu cmdlet:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Lai lietotu jaunos iestatījumus, restartējiet interneta publicēšanas pakalpojumu un Windows procesu aktivizācijas pakalpojumu (WAS). Lai to izdarītu, palaidiet šādu cmdlet:  

  • Restart-Service -Name W3SVC, WAS -Force 

Piezīme.: Restartējiet šos pakalpojumus visos Exchange Server 2013 serveros savā vidē, kurā tiek veiktas reģistra izmaiņas. 

Zināmās problēmas

  • Ja ir iespējota iespēja parakstīt serializācijas datus, beidzas autorizācijas sertifikāta derīgums, cmdlet Get-ExchangeCertificate neļauj atgriezt detalizētu informāciju par sertifikātu.

  • Pēc 2023. gada janvāra vai 2023. gada februāra drošības atjauninājuma programmatūrai Microsoft Exchange Server 2019, 2016 vai 2013 ir instalēta un ir iespējota PowerShell serializācijas apmaksas slodzes parakstīšana sertifikāts, Exchange rīklodziņa un rindas skatītājs netiek startēts. Papildinformāciju skatiet rakstā Exchange rīklodziņš un rindas skatītājs neizdodas pēc PowerShell seriālizācijas sertifikāta parakstīšanas iespējošanas (KB5023352).

  • Ja ir iespējota iespēja parakstīt serializācijas datus, cmdlet Get-ExchangeCertificate neatgriež redzamu vērtību, ja tā tiek palaista datorā, kurā ir instalēta Exchange Pārvaldības rīki, bet tai nav citu Exchange Server lomas. Tas notiek neatkarīgi no tā, vai autentifikācijas sertifikāts ir derīgs.

  • Daži no programmā Exchange Server iekļautajiem skriptiem (piemēram, RedistributeActiveDatabases.ps1) nedarbojas pareizi, ja ir spēkā šādi nosacījumi:

    • PowerShell serializācijas lietderīgās slodzes līdzeklis parakstīšanai ir iespējots.

    • Neizmantojiet noklusējuma drošības grupas, ko nodrošina Exchange RBAC.

    • Lietotājs, kurš izpilda skriptu, nav organizācijas pārvaldības lomu grupas dalībnieks.

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki