Сводка
Начиная с обновления системы безопасности (SU) за январь 2023 г. для Microsoft Exchange Server, мы представили новую функцию, которая позволяет администраторам настраивать подписывание полезных данных сериализации PowerShell на основе сертификатов. Эта функция должна быть включена администратором Exchange Server вручную после установки su на всех серверах Exchange. В этой статье описаны действия по включению подписывания данных сериализации PowerShell на основе сертификатов в Exchange Server.
Предварительные требования
Необходимые условия для включения этой функции:
-
Убедитесь, что на всех серверах на основе Exchange в вашей среде установлен su за январь 2023 г. или более поздняя версия su. Если включить эту функцию перед обновлением всех серверов, могут возникнуть сбои десериализации и вызвать другие проблемы.
-
Убедитесь, что действительный сертификат проверки подлинности Exchange Server настроен и доступен на всех серверах Exchange (кроме пограничных транспортных серверов) до и после включения подписи сертификата.
Скрипт MonitorExchangeAuthCertificate.ps1 можно запустить, чтобы проверка для действительного сертификата проверки подлинности на серверах Exchange-баз в вашей среде. Скрипт также проверяет, истечет ли срок действия сертификата проверки подлинности менее чем через 60 дней, и он может помочь вам сменить сертификат. Дополнительные сведения о MonitorExchangeAuthCertificate.ps1см. в разделе Мониторинг проверки подлинности Exchange.
Сведения о том, как вручную проверка доступность и действительность сертификатов проверки подлинности, см. в статье Доступность и действительность сертификатов проверки подлинности.
Настоятельно рекомендуется использовать скрипт MonitorExchangeAuthCertificate.ps1 (или создать новый, если это необходимо). Это связано с тем, что скрипт также может обновить сертификат проверки подлинности с истекшим сроком действия. Скрипт включает режим выполнения вручную (проверьте доступность сертификата проверки подлинности или проверьте и выполните действия, если это необходимо). Скрипт также включает режим автоматизации, который работает с помощью планировщика задач Windows.
"Разрешение"
Для серверов под управлением Exchange Server 2019 или Exchange Server 2016 г. (обновлено до января 2023 г. su или более поздней версии)
-
Выполните следующий командлет в командной консоли Exchange (EMS) на сервере, на котором выполняется Exchange Server в вашей среде: New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification" Этот командлет позволяет всем серверам, работающим Exchange Server 2019, 2016 или 2013 в вашей среде, для подписывания сертификатов полезных данных сериализации PowerShell. Вам не нужно запускать командлет на каждом сервере.
-
Обновите аргумент VariantConfiguration , выполнив следующий командлет:Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
Чтобы применить новые параметры, перезапустите службу публикации в Интернете и службу активации процессов Windows (WAS). Для этого выполните следующий командлет: Restart-Service -Name W3SVC, WAS -Force
Примечание: Перезапустите эти службы только на сервере на основе Exchange Server, на котором выполняется командлет переопределения параметров.
Для серверов под управлением Exchange Server 2013 г.
Если у вас есть серверы под управлением Microsoft Exchange Server 2013 в вашей среде, необходимо настроить раздел реестра на каждом сервере. Укажите следующие параметры.
Раздел реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Значение:EnableSerializationDataSigning
Тип: Строка
Данные: 1
Чтобы создать значение реестра на сервере на основе Exchange Server 2013, выполните следующий командлет:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Чтобы применить новые параметры, перезапустите службу публикации в Интернете и службу активации процессов Windows (WAS). Для этого выполните следующий командлет:
- Restart-Service -Name W3SVC, WAS -Force
Примечание: Перезапустите эти службы на всех серверах Exchange Server 2013 в вашей среде, на которых внесены изменения в реестр.
Известные проблемы
-
Если включена возможность подписи данных сериализации, сертификат проверки подлинности с истекшим сроком действия не позволяет командлету Get-ExchangeCertificate возвращать сведения о сертификате.
-
После установки обновления для системы безопасности за январь 2023 г. или за февраль 2023 г. для Microsoft Exchange Server 2019 г., 2016 г. или 2013 г. и включения полезных данных сериализации PowerShell для подписи сертификатов панель элементов Exchange и средство просмотра очередей не запускается. Дополнительные сведения см. в разделе Exchange Toolbox and Queue Viewer после включения подписи сертификата полезных данных сериализации PowerShell (KB5023352).
-
Если включена возможность подписи данных сериализации, командлет Get-ExchangeCertificate не возвращает видимое значение при выполнении на компьютере с установленными средствами управления Exchange, но не имеет другой роли Exchange Server. Это происходит независимо от того, действителен ли сертификат проверки подлинности.
-
Некоторые скрипты, включенные в Exchange Server (например, RedistributeActiveDatabases.ps1), работают неправильно, если выполняются следующие условия:
-
Функция подписывания полезных данных сериализации PowerShell включена.
-
Вы не используете группы безопасности по умолчанию, предоставляемые Exchange RBAC.
-
Пользователь, который запускает скрипт, не является членом группы ролей Управление организацией.
-