Samenvatting
Vanaf de beveiligingsupdate van januari 2023 (SU) voor Microsoft Exchange Server hebben we een nieuwe functie geïntroduceerd waarmee beheerders ondertekening op basis van certificaten van PowerShell-serialisatiepayloads kunnen configureren. Deze functie moet handmatig worden ingeschakeld door een Exchange Server-beheerder nadat de SU is geïnstalleerd op alle Exchange-servers. Dit artikel bevat de stappen voor het inschakelen van ondertekening op basis van certificaten van PowerShell-serialisatiegegevens in Exchange Server.
Vereisten
Vereisten voor het inschakelen van deze functie:
-
Zorg ervoor dat op alle Exchange-servers in uw omgeving de SU van januari 2023 of een latere SU is geïnstalleerd. Als u deze functie inschakelt voordat u alle servers bijwerkt, kunnen deserialisatiefouten optreden en andere problemen veroorzaken.
-
Zorg ervoor dat een geldig Exchange Server verificatiecertificaat is geconfigureerd en beschikbaar is op alle Exchange-servers (behalve Edge Transport-servers) voor en nadat u certificaatondertekening hebt ingeschakeld.
U kunt het MonitorExchangeAuthCertificate.ps1 -script uitvoeren om te controleren op een geldig verificatiecertificaat op Exchange-bases-servers in uw omgeving. Het script controleert ook of het verificatiecertificaat over minder dan 60 dagen verloopt en het kan u helpen het certificaat te roteren. Zie Exchange AuthCertificate bewaken voor meer informatie over MonitorExchangeAuthCertificate.ps1
Als u de beschikbaarheid en geldigheid van verificatiecertificaten handmatig wilt controleren, raadpleegt u Beschikbaarheid en geldigheid van verificatiecertificaat.
We raden u ten zeerste aan om het MonitorExchangeAuthCertificate.ps1 -script te gebruiken (of een nieuw script te maken, indien nodig). Dit komt doordat het script ook een verlopen verificatiecertificaat kan vernieuwen. Het script bevat een modus voor handmatige uitvoering (controleer de beschikbaarheid van het verificatiecertificaat of controleer en onderneem indien nodig actie). Het script bevat ook een automatiseringsmodus die werkt met behulp van Windows Task Scheduler.
Oplossing
Voor servers met Exchange Server 2019 of Exchange Server 2016 (bijgewerkt naar de SU van januari 2023 of hoger)
-
Voer de volgende cmdlet uit in Exchange Management Shell (EMS) op een server waarop Exchange Server in uw omgeving wordt uitgevoerd:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Met deze cmdlet kunt u alle servers met Exchange Server 2019, 2016 of 2013 in uw omgeving inschakelen voor certificaatondertekening van PowerShell-serialisatiepayload. U hoeft de cmdlet niet op elke server uit te voeren. -
Vernieuw het argument VariantConfiguration door de volgende cmdlet uit te voeren:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Als u de nieuwe instellingen wilt toepassen, start u de World Wide Web Publishing-service en de Windows Process Activation Service (WAS) opnieuw. Voer hiervoor de volgende cmdlet uit:
Restart-Service -Name W3SVC, WAS -ForceOpmerking: Start deze services alleen opnieuw op de server op basis van Exchange Server waarop de cmdlet voor het overschrijven van instellingen wordt uitgevoerd.
Voor servers met Exchange Server 2013
Als u servers hebt waarop Microsoft Exchange Server 2013 wordt uitgevoerd in uw omgeving, moet u op elke server een registersleutel configureren. Geef de volgende instellingen op.
Registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Waarde:EnableSerializationDataSigning
Type: Tekenreeks
Gegevens: 1
Voer de volgende cmdlet uit om de registerwaarde te maken op een server op basis van Exchange Server 2013:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Als u de nieuwe instellingen wilt toepassen, start u de World Wide Web Publishing-service en de Windows Process Activation Service (WAS) opnieuw. Voer hiervoor de volgende cmdlet uit:
- Restart-Service -Name W3SVC, WAS -Force
Opmerking: Start deze services opnieuw op alle op Exchange Server 2013 gebaseerde servers in uw omgeving waarop registerwijzigingen worden aangebracht.
Bekende problemen
-
Als de mogelijkheid om serialisatiegegevens te ondertekenen is ingeschakeld, voorkomt een verlopen verificatiecertificaat dat de cmdlet Get-ExchangeCertificate certificaatgegevens retourneert.
-
Nadat de beveiligingsupdate van januari 2023 of februari 2023 voor Microsoft Exchange Server 2019, 2016 of 2013 is geïnstalleerd en de certificaatondertekening van powershell-serialisatiepayload is ingeschakeld, worden de Exchange Toolbox en Queue Viewer niet gestart. Zie Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payload is ingeschakeld (KB5023352) voor meer informatie.
-
Als de mogelijkheid om serialisatiegegevens te ondertekenen is ingeschakeld, retourneert de cmdlet Get-ExchangeCertificate geen zichtbare waarde wanneer deze wordt uitgevoerd op een computer waarop de Exchange Management Tools is geïnstalleerd, maar geen andere Exchange Server rol heeft. Dit gebeurt ongeacht of het verificatiecertificaat geldig is.
-
Sommige scripts die deel uitmaken van Exchange Server (bijvoorbeeld RedistributeActiveDatabases.ps1) werken niet correct als aan de volgende voorwaarden wordt voldaan:
-
De functie Ondertekening van PowerShell-serialisatielading is ingeschakeld.
-
U gebruikt niet de standaardbeveiligingsgroepen die worden geleverd door Exchange RBAC.
-
De gebruiker die het script uitvoert, is geen lid van de rollengroep Organisatiebeheer.
-
