Oppsummering
Fra og med sikkerhetsoppdateringen for Microsoft Exchange Server i januar 2023 innførte vi en ny funksjon som gjør det mulig for administratorer å konfigurere sertifikatbasert signering av PowerShell-serialiseringsnyttelaster. Denne funksjonen må aktiveres manuelt av en Exchange Server-administrator etter at SU er installert på alle Exchange-baserte servere. Denne artikkelen inneholder fremgangsmåten for å aktivere sertifikatbasert signering av PowerShell-serialiseringsdata i Exchange Server.
Forutsetninger
Forutsetninger for å aktivere denne funksjonen:
-
Kontroller at alle Exchange-baserte servere i miljøet har su-en fra januar 2023 eller en nyere SU installert. Hvis du aktiverer denne funksjonen før du oppdaterer alle servere, kan det oppstå deserialiseringsfeil og utløse andre problemer.
-
Kontroller at et gyldig godkjenningssertifikat for Exchange Server er konfigurert og tilgjengelig på alle Exchange-baserte servere (unntatt Edge Transport-servere) før og etter at du har aktivert sertifikatsignering.
Du kan kjøre MonitorExchangeAuthCertificate.ps1 -skriptet for å se etter et gyldig godkjenningssertifikat på Exchange-basisservere i miljøet ditt. Skriptet kontrollerer også om godkjenningssertifikatet utløper om mindre enn 60 dager, og det kan hjelpe deg med å rotere sertifikatet. Hvis du vil ha mer informasjon om MonitorExchangeAuthCertificate.ps1, kan du se Overvåke Exchange AuthCertificate
Hvis du vil kontrollere godkjenningssertifikattilgjengelighet og gyldighet manuelt, kan du se Tilgjengelighet og gyldighet for godkjenningssertifikat.
Vi anbefaler på det sterkeste at du bruker skriptet MonitorExchangeAuthCertificate.ps1 (eller oppretter et nytt hvis det er nødvendig). Dette er fordi skriptet også kan fornye et utløpt godkjenningssertifikat. Skriptet inneholder en manuell utføringsmodus (kontroller tilgjengeligheten til godkjenningssertifikatet, eller bekreft og utfør handling hvis det er nødvendig). Skriptet inneholder også en automatiseringsmodus som fungerer ved hjelp av Windows Oppgaveplanlegging.
Løsning
For servere som kjører Exchange Server 2019 eller Exchange Server 2016 (oppdatert til SU for januar 2023 eller nyere)
-
Kjør følgende cmdlet i Exchange Management Shell (EMS) på en server som kjører Exchange Server i miljøet:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Denne cmdleten aktiverer alle servere som kjører Exchange Server 2019, 2016 eller 2013 i miljøet for sertifikatsignering av PowerShell-serialiseringsnyttelast. Du trenger ikke å kjøre cmdleten på hver server. -
Oppdater argumentet VariantConfiguration ved å kjøre følgende cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Hvis du vil bruke de nye innstillingene, starter du webpubliseringstjenesten og Windows Process Activation Service (WAS) på nytt. Hvis du vil gjøre dette, kjører du følgende cmdlet:
Restart-Service -Name W3SVC, WAS -ForceObs!: Start disse tjenestene på nytt bare på den Exchange Server-baserte serveren der innstillingene overstyrer cmdleten som kjøres.
For servere som kjører Exchange Server 2013
Hvis du har servere som kjører Microsoft Exchange Server 2013 i miljøet, må du konfigurere en registernøkkel på hver server. Angi følgende innstillinger.
Registernøkkel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Verdi:EnableSerializationDataSigning
Type: Streng
Data: 1
Hvis du vil opprette registerverdien på en Exchange Server 2013-basert server, kjører du følgende cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Hvis du vil bruke de nye innstillingene, starter du webpubliseringstjenesten og Windows Process Activation Service (WAS) på nytt. Hvis du vil gjøre dette, kjører du følgende cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Obs!: Start disse tjenestene på nytt på alle Exchange Server 2013-baserte serverne i miljøet der registerendringer gjøres.
Kjente problemer
-
Hvis muligheten til å signere serialiseringsdata er aktivert, forhindrer et utløpt godkjenningssertifikat at Get-ExchangeCertificate-cmdleten returnerer sertifikatdetaljer.
-
Etter at sikkerhetsoppdateringen for Microsoft Exchange Server 2019, 2013 eller februar 2023 er installert for Microsoft Exchange Server 2019, 2016 eller 2013, og nyttelasten for sertifikatsignering av PowerShell-serialisering er aktivert, starter ikke Exchange-verktøykassen og køvisningsprogrammet. Hvis du vil ha mer informasjon, kan du se Exchange-verktøykassen og køvisningsprogrammet mislykkes etter at sertifikatsignering av nyttelast for PowerShell-serialisering er aktivert (KB5023352).
-
Hvis muligheten til å signere serialiseringsdata er aktivert, returnerer ikke Get-ExchangeCertificate-cmdleten en synlig verdi når den kjøres på en datamaskin som har Exchange Management Tools installert, men ikke har noen annen Exchange Server rolle. Dette skjer uavhengig av om godkjenningssertifikatet er gyldig.
-
Noen av skriptene som følger med Exchange Server (for eksempel RedistributeActiveDatabases.ps1), fungerer ikke som de skal hvis følgende betingelser er oppfylt:
-
Funksjonen For signering av PowerShell Serialization Payload er aktivert.
-
Du bruker ikke standard sikkerhetsgrupper som leveres av Exchange RBAC.
-
Brukeren som kjører skriptet, er ikke medlem av rollegruppen organisasjonsadministrasjon.
-
