Przejdź do głównej zawartości
Pomoc techniczna
Zaloguj się
Zaloguj się przy użyciu konta Microsoft
Zaloguj się lub utwórz konto.
Witaj,
Wybierz inne konto.
Masz wiele kont
Wybierz konto, za pomocą którego chcesz się zalogować.

Podsumowanie 

Począwszy od aktualizacji zabezpieczeń (SU) ze stycznia 2023 r. dla Microsoft Exchange Server wprowadziliśmy nową funkcję, która umożliwia administratorom skonfigurowanie na podstawie certyfikatów podpisywania ładunków serializacji programu PowerShell. Po zainstalowaniu SU na wszystkich serwerach opartych na programie Exchange ta funkcja musi zostać ręcznie włączona przez administratora Exchange Server. W tym artykule opisano kroki włączania podpisywania na podstawie certyfikatów danych serializacji programu PowerShell w Exchange Server.  

Wymagania wstępne 

Wymagania wstępne dotyczące włączenia tej funkcji: 

  • Upewnij się, że wszystkie serwery oparte na programie Exchange w środowisku mają zainstalowaną SU ze stycznia 2023 r. lub nowszą aktualizację SU. Jeśli włączysz tę funkcję przed zaktualizowaniem wszystkich serwerów, mogą wystąpić błędy deserializacji i wyzwól inne problemy. 

  • Przed włączeniem podpisywania certyfikatu i po włączeniu podpisywania certyfikatu upewnij się, że prawidłowy certyfikat uwierzytelniania Exchange Server jest skonfigurowany i dostępny na wszystkich serwerach opartych na programie Exchange (z wyjątkiem serwerów transportu granicznego).

Możesz uruchomić skrypt MonitorExchangeAuthCertificate.ps1 , aby sprawdzić prawidłowy certyfikat uwierzytelniania na serwerach programu Exchange w środowisku. Skrypt sprawdza również, czy certyfikat uwierzytelniania wygaśnie za mniej niż 60 dni, i może pomóc w obróceniu certyfikatu. Aby uzyskać więcej informacji na temat MonitorExchangeAuthCertificate.ps1, zobacz Monitorowanie programu Exchange AuthCertificate

Aby ręcznie sprawdzić dostępność i ważność certyfikatu uwierzytelniania, zobacz Dostępność i ważność certyfikatu uwierzytelniania.

Zdecydowanie zalecamy użycie skryptu MonitorExchangeAuthCertificate.ps1 (lub utworzenie nowego skryptu, jeśli jest to konieczne). Jest to spowodowane tym, że skrypt może również odnowić wygasły certyfikat uwierzytelniania. Skrypt zawiera tryb ręcznego wykonywania (sprawdź dostępność certyfikatu uwierzytelniania lub potwierdź i podejmij działanie, jeśli jest to konieczne). Skrypt zawiera również tryb automatyzacji, który działa przy użyciu Harmonogramu zadań systemu Windows. 

Rozwiązanie

W przypadku serwerów z systemem Exchange Server 2019 lub Exchange Server 2016 (zaktualizowano do wersji SU ze stycznia 2023 r. lub nowszej) 

  1. Uruchom następujące polecenie cmdlet w powłoce zarządzania serwerem Exchange (EMS) na serwerze z uruchomionym Exchange Server w środowisku:

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    To polecenie cmdlet umożliwia wszystkim serwerom z systemem Exchange Server 2019, 2016 lub 2013 w środowisku podpisywanie certyfikatu ładunku serializacji programu PowerShell. Nie musisz uruchamiać polecenia cmdlet na każdym serwerze.

  2. Odśwież argument variantConfiguration , uruchamiając następujące polecenie cmdlet:
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Aby zastosować nowe ustawienia, uruchom ponownie usługę publikowania w sieci World Wide Web i usługę aktywacji procesu systemu Windows (WAS). W tym celu uruchom następujące polecenie cmdlet:

    Restart-Service -Name W3SVC, WAS -Force 

    Uwaga: Uruchom ponownie te usługi tylko na serwerze opartym na Exchange Server, na którym jest uruchamiane polecenie cmdlet zastępowania ustawień. 

W przypadku serwerów z systemem Exchange Server 2013

Jeśli masz serwery z systemem Microsoft Exchange Server 2013 w środowisku, musisz skonfigurować klucz rejestru na każdym serwerze. Określ następujące ustawienia.

Klucz rejestru: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Wartość:EnableSerializationDataSigning 

Typu: Ciąg 

Dane: 1

Aby utworzyć wartość rejestru na serwerze opartym na Exchange Server 2013, uruchom następujące polecenie cmdlet:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Aby zastosować nowe ustawienia, uruchom ponownie usługę publikowania w sieci World Wide Web i usługę aktywacji procesu systemu Windows (WAS). W tym celu uruchom następujące polecenie cmdlet:  

  • Restart-Service -Name W3SVC, WAS -Force 

Uwaga: Uruchom ponownie te usługi na wszystkich serwerach opartych na Exchange Server 2013 w środowisku, w których wprowadzono zmiany w rejestrze. 

Znane problemy

  • Jeśli możliwość podpisywania danych serializacji jest włączona, wygasły certyfikat uwierzytelniania uniemożliwia zwrócenie szczegółów certyfikatu przez polecenie cmdlet Get-ExchangeCertificate .

  • Po zainstalowaniu aktualizacji zabezpieczeń ze stycznia 2023 r. lub lutego 2023 r. dla Microsoft Exchange Server 2019, 2016 lub 2013 r. włączona jest funkcja podpisywania certyfikatu ładowności serializacji programu PowerShell, nie uruchamia się zestaw narzędzi programu Exchange i przeglądarka kolejek. Aby uzyskać więcej informacji, zobacz Zestaw narzędzi programu Exchange i Przeglądarka kolejek kończy się niepowodzeniem po włączeniu podpisywania certyfikatu ładowności serializacji programu PowerShell (KB5023352).

  • Jeśli możliwość podpisywania danych serializacji jest włączona, polecenie cmdlet Get-ExchangeCertificate nie zwraca widocznej wartości po uruchomieniu na komputerze z zainstalowanym narzędziem zarządzania programu Exchange, ale nie ma innej roli Exchange Server. Dzieje się tak niezależnie od tego, czy certyfikat uwierzytelniania jest prawidłowy.

  • Niektóre skrypty dołączone do Exchange Server (na przykład RedistributeActiveDatabases.ps1) nie działają poprawnie, jeśli spełnione są następujące warunki:

    • Funkcja ładowania serializacji programu PowerShell jest włączona.

    • Nie używasz domyślnych grup zabezpieczeń udostępnianych przez exchange RBAC.

    • Użytkownik, który uruchamia skrypt, nie jest członkiem grupy ról Zarządzanie organizacją.

Facebook LinkedIn Adres e-mail
ZASUBSKRYBUJ KANAŁY INFORMACYJNE RSS

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Odkryj Społeczność

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Korzyści z subskrypcji platformy Microsoft 365

Szkolenia dotyczące platformy Microsoft 365

Rozwiązania dotyczące zabezpieczeń firmy Microsoft

Centrum ułatwień dostępu

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.

Zapytaj społeczność firmy Microsoft

Społeczność techniczna firmy Microsoft

Niejawny program testów systemu Windows

Microsoft 365 Insiders

Czy te informacje były pomocne?

Jaka jest jakość języka?
Co wpłynęło na Twoje wrażenia?
Jeśli naciśniesz pozycję „Wyślij”, Twoja opinia zostanie użyta do ulepszania produktów i usług firmy Microsoft. Twój administrator IT będzie mógł gromadzić te dane. Oświadczenie o ochronie prywatności.

Dziękujemy za opinię!

×