Rezumat
Începând cu actualizarea de securitate din ianuarie 2023 (SU) pentru Microsoft Exchange Server, am introdus o caracteristică nouă care permite administratorilor să configureze semnarea bazată pe certificate a sarcinilor de serializare PowerShell. Această caracteristică trebuie să fie activată manual de un administrator Exchange Server după instalarea SU pe toate serverele bazate pe Exchange. Acest articol furnizează pașii pentru a activa semnarea pe bază de certificat a datelor de serializare PowerShell în Exchange Server.
Cerințe preliminare
Cerințe preliminare pentru a activa această caracteristică:
-
Asigurați-vă că toate serverele bazate pe Exchange din mediul dvs. au su ianuarie 2023 sau un SU mai recent instalat. Dacă activați această caracteristică înainte de a actualiza toate serverele, pot apărea erori de deserializare și pot declanșa alte probleme.
-
Asigurați-vă că este configurat un certificat de autentificare Exchange Server valid și disponibil pe toate serverele bazate pe Exchange (cu excepția serverelor de transport Edge) înainte și după ce activați semnarea certificatelor.
Puteți rula scriptul de MonitorExchangeAuthCertificate.ps1 pentru a căuta un certificat de autentificare valid pe serverele de baze Exchange din mediul dvs. De asemenea, scriptul verifică dacă certificatul de autentificare va expira în mai puțin de 60 de zile și vă poate ajuta să rotiți certificatul. Pentru mai multe informații despre MonitorExchangeAuthCertificate.ps1, consultați Monitor Exchange AuthCertificate
Pentru a verifica manual disponibilitatea și validitatea certificatelor de autentificare, consultați Disponibilitatea și validitatea certificatelor auth.
Vă recomandăm ferm să utilizați scriptul MonitorExchangeAuthCertificate.ps1 (sau să creați unul nou, dacă este necesar). Acest lucru se întâmplă deoarece scriptul poate reînnoi și un certificat de autentificare expirat. Scriptul include un mod de executare manuală (verificați disponibilitatea certificatului de autentificare sau verificați și acționați, dacă este necesar). Scriptul include și un mod de automatizare care funcționează utilizând Programatorul de activități Windows.
Rezolvarea
Pentru serverele care rulează Exchange Server 2019 sau Exchange Server 2016 (actualizate la su ianuarie 2023 sau la o versiune mai recentă)
-
Rulați următorul cmdlet în Componenta de administrare Exchange (EMS) pe un server care rulează Exchange Server în mediul dvs.: New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification" Acest cmdlet activează toate serverele care rulează Exchange Server 2019, 2016 sau 2013 în mediul dvs. pentru semnarea certificatelor pentru sarcina serializării PowerShell. Nu trebuie să rulați cmdletul pe fiecare server.
-
Reîmprospătați argumentul VariantConfiguration rulând următorul cmdlet: Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
Pentru a aplica setările noi, reporniți serviciul De publicare World Wide Web și Serviciul de activare a proceselor Windows (WAS). Pentru a face acest lucru, rulați următorul cmdlet: Restart-Service -Name W3SVC, WAS -Force
Notă: Reporniți aceste servicii doar pe serverul bazat pe Exchange Server pe care rulează cmdletul de înlocuire a setărilor.
Pentru serverele care rulează Exchange Server 2013
Dacă aveți servere care rulează Microsoft Exchange Server 2013 în mediul dvs., trebuie să configurați o cheie de registry pe fiecare server. Specificați următoarele setări.
Cheie de registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Valoarea:EnableSerializationDataSigning
Tip: Şir
Date: 1
Pentru a crea valoarea de registry pe un server Exchange Server 2013, rulați următorul cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Pentru a aplica setările noi, reporniți serviciul De publicare World Wide Web și Serviciul de activare a proceselor Windows (WAS). Pentru a face acest lucru, rulați următorul cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Notă: Reporniți aceste servicii pe toate serverele Exchange Server 2013 din mediul dvs. pe care se efectuează modificări de registry.
Probleme cunoscute
-
Dacă este activată capacitatea de a semna date de serializare, un certificat de autentificare expirat împiedică cmdletul Get-ExchangeCertificate să returneze detaliile certificatului.
-
După ce s-a instalat actualizarea de securitate din ianuarie 2023 sau actualizarea de securitate din februarie 2023 pentru Microsoft Exchange Server 2019, 2016 sau 2013 și este activată semnarea certificatului pentru sarcina serializării PowerShell, caseta de instrumente Exchange și Vizualizatorul de cozi nu pornește. Pentru mai multe informații, consultați Caseta de instrumente Exchange și Vizualizatorul coadă nu reușește după ce s-a activat sarcina serializării PowerShell (KB5023352).
-
Dacă este activată capacitatea de a semna date de serializare, cmdletul Get-ExchangeCertificate nu returnează o valoare vizibilă atunci când rulează pe un computer care are instalate Instrumentele de gestionare Exchange, dar nu are niciun alt rol de Exchange Server. Acest lucru se întâmplă indiferent dacă certificatul de autentificare este valid.
-
Unele dintre scripturile incluse în Exchange Server (de exemplu, RedistributeActiveDatabases.ps1) nu funcționează corect dacă sunt adevărate următoarele condiții:
-
Caracteristica Încărcare serializare PowerShell este activată.
-
Nu utilizați grupurile de securitate implicite furnizate de Exchange RBAC.
-
Utilizatorul care rulează scriptul nu este membru al grupului de roluri Gestionare organizație.
-
