Resumo
A partir da SU (atualização de segurança) de janeiro de 2023 para Microsoft Exchange Server, apresentamos um novo recurso que permite que os administradores configurem a assinatura baseada em certificado de cargas de serialização do PowerShell. Esse recurso precisa ser habilitado manualmente por um administrador Exchange Server após o SU instalado em todos os servidores baseados em Exchange. Este artigo fornece as etapas para habilitar a assinatura baseada em certificado de dados de serialização do PowerShell em Exchange Server.
Pré-requisitos
Pré-requisitos para habilitar esse recurso:
-
Verifique se todos os servidores baseados em Exchange em seu ambiente têm o SU de janeiro de 2023 ou um SU posterior instalado. Se você habilitar esse recurso antes de atualizar todos os servidores, falhas de desserialização poderão ocorrer e disparar outros problemas.
-
Verifique se um certificado de autenticação de Exchange Server válido está configurado e disponível em todos os servidores baseados em Exchange (exceto servidores do Edge Transport) antes e depois de habilitar a assinatura do certificado.
Você pode executar o script MonitorExchangeAuthCertificate.ps1 para marcar para obter um certificado de auth válido em servidores exchange-bases em seu ambiente. O script também verifica se o certificado de autenticação expirará em menos de 60 dias e pode ajudá-lo a girar o certificado. Para obter mais informações sobre MonitorExchangeAuthCertificate.ps1, confira Monitorar o Exchange AuthCertificate
Para marcar manualmente a disponibilidade e a validade do certificado de autenticação, consulte Disponibilidade e validade do certificado de autenticação.
Recomendamos fortemente que você use o script MonitorExchangeAuthCertificate.ps1 (ou crie um novo, se necessário). Isso ocorre porque o script também pode renovar um certificado de auth expirado. O script inclui um modo de execução manual (verifique a disponibilidade do certificado de autenticação ou verifique e tome medidas, se necessário). O script também inclui um modo de automação que funciona usando o Agendador de Tarefas do Windows.
Resolução
Para servidores que executam Exchange Server 2019 ou Exchange Server 2016 (atualizado para o SU de janeiro de 2023 ou posterior)
-
Execute o seguinte cmdlet no EMS (Exchange Management Shell) em um servidor que está executando Exchange Server em seu ambiente:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Esse cmdlet habilita todos os servidores que estão executando Exchange Server 2019, 2016 ou 2013 em seu ambiente para assinatura de certificado do conteúdo de serialização do PowerShell. Você não precisa executar o cmdlet em cada servidor. -
Atualize o argumento VariantConfiguration executando o seguinte cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Para aplicar as novas configurações, reinicie o serviço World Wide Web Publishing e o WAS (Serviço de Ativação de Processo do Windows). Para fazer isso, execute o seguinte cmdlet:
Restart-Service -Name W3SVC, WAS -ForceObservação: Reinicie esses serviços apenas no servidor baseado em Exchange Server no qual as configurações substituem o cmdlet é executado.
Para servidores que executam Exchange Server 2013
Se você tiver servidores que estão executando Microsoft Exchange Server 2013 em seu ambiente, deverá configurar uma chave de registro em cada servidor. Especifique as seguintes configurações.
Chave do Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Valor:EnableSerializationDataSigning
Tipo: SQL do Azure
Dados: 1
Para criar o valor do registro em um servidor baseado em Exchange Server 2013, execute o seguinte cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Para aplicar as novas configurações, reinicie o serviço World Wide Web Publishing e o WAS (Serviço de Ativação de Processo do Windows). Para fazer isso, execute o seguinte cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Observação: Reinicie esses serviços em todos os servidores baseados em Exchange Server 2013 em seu ambiente no qual as alterações de registro são feitas.
Problemas conhecidos
-
Se a capacidade de assinar dados de serialização estiver habilitada, um certificado de autenticação expirado impedirá que o cmdlet Get-ExchangeCertificate retorne os detalhes do certificado.
-
Depois que a atualização de segurança de janeiro de 2023 ou fevereiro de 2023 para Microsoft Exchange Server 2019, 2016 ou 2013 for instalada, e a Assinatura de Certificado da Carga de Serialização do PowerShell estiver habilitada, a Caixa de Ferramentas do Exchange e o Visualizador de Filas não são iniciados. Para obter mais informações, confira Caixa de Ferramentas do Exchange e Visualizador de Filas falha depois que a assinatura de certificado do PowerShell Serialization Payload estiver habilitada (KB5023352).
-
Se a capacidade de assinar dados de serialização estiver habilitada, o cmdlet Get-ExchangeCertificate não retornará um valor visível quando é executado em um computador que tem as Ferramentas de Gerenciamento do Exchange instaladas, mas não tem outra função Exchange Server. Isso ocorre independentemente de o certificado de auth ser válido.
-
Alguns dos scripts incluídos com Exchange Server (por exemplo, RedistributeActiveDatabases.ps1) não funcionam corretamente se as seguintes condições forem verdadeiras:
-
O recurso assinatura do PowerShell Serialization Payload está habilitado.
-
Você não usa os grupos de segurança padrão fornecidos pelo RBAC do Exchange.
-
O usuário que executa o script não é membro do grupo de funções gerenciamento de organização.
-
