Zhrnutie
Od aktualizácie zabezpečenia z januára 2023 (SU) pre Microsoft Exchange Server sme zaviedli novú funkciu, ktorá umožňuje správcom konfigurovať podpisovanie údajovej časti serializácie prostredia PowerShell na základe certifikátu. Túto funkciu musí manuálne povoliť správca Exchange Server po inštalácii SU na všetkých serveroch na serveri Exchange. Tento článok obsahuje kroky na povolenie podpisovania údajov serializácie prostredia PowerShell na základe certifikátu v Exchange Server.
Požiadavky
Požiadavky na povolenie tejto funkcie:
-
Uistite sa, že všetky servery na serveri Exchange vo vašom prostredí majú nainštalovanú SU z januára 2023 alebo novšiu SU. Ak túto funkciu povolíte pred aktualizáciou všetkých serverov, môžu sa vyskytnúť zlyhania deserializácie a spustiť ďalšie problémy.
-
Uistite sa, že platný certifikát overenia Exchange Server je nakonfigurovaný a dostupný na všetkých serveroch na serveri Exchange (okrem serverov Edge Transport) pred a po povolení podpisovania certifikátu.
Môžete spustiť skript MonitorExchangeAuthCertificate.ps1 na kontrolu platného certifikátu overenia na serveroch so základmi Exchange vo vašom prostredí. Skript tiež skontroluje, či platnosť overeného certifikátu uplynie o menej ako 60 dní, a môže vám pomôcť otočiť certifikát. Ďalšie informácie o MonitorExchangeAuthCertificate.ps1nájdete v téme Monitor Exchange AuthCertificate
Ak chcete manuálne skontrolovať dostupnosť a platnosť overenia certifikátu, pozrite si tému Dostupnosť a platnosť certifikátu overenia.
Dôrazne odporúčame použiť MonitorExchangeAuthCertificate.ps1 skript (alebo vytvoriť nový, ak je to potrebné). Dôvodom je, že skript môže tiež obnoviť certifikát overenia s uplynutou platnosťou. Skript obsahuje manuálny režim spustenia (overte dostupnosť overeného certifikátu alebo overte a vykonajte akciu, ak je to potrebné). Skript obsahuje aj automatizačný režim, ktorý funguje pomocou Plánovača úloh systému Windows.
Riešenie
Pre servery spustené Exchange Server 2019 alebo Exchange Server 2016 (aktualizované na SU z januára 2023 alebo novšiu verziu)
-
Spustite nasledujúcu rutinu typu cmdlet v prostredí Exchange Management Shell (EMS) na serveri, ktorý je spustený Exchange Server vo vašom prostredí:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Táto rutina typu cmdlet umožňuje všetkým serverom, ktoré sú spustené Exchange Server 2019, 2016 alebo 2013 vo vašom prostredí na podpísanie certifikátu údajovej časti serializácie prostredia PowerShell. Rutinu typu cmdlet nemusíte spúšťať na každom serveri. -
Obnovte argument VariantConfiguration spustením nasledujúcej rutiny typu cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Ak chcete použiť nové nastavenia, reštartujte službu World Wide Web Publishing a službu aktivácie procesov systému Windows (WAS). Ak to chcete urobiť, spustite nasledujúcu rutinu typu cmdlet:
Restart-Service -Name W3SVC, WAS -ForcePoznámka: Reštartujte tieto služby len na serveri založenom na Exchange Server, na ktorom je spustená rutina typu cmdlet prepísania nastavení.
Pre servery spustené Exchange Server 2013
Ak máte vo svojom prostredí servery, ktoré sú spustené Microsoft Exchange Server 2013, musíte nakonfigurovať kľúč databázy Registry na každom serveri. Zadajte nasledujúce nastavenia.
Kľúč databázy Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Hodnota:EnableSerializationDataSigning
Typ: Reťazec
Údaje: 1
Ak chcete vytvoriť hodnotu databázy Registry na serveri založenom na Exchange Server 2013, spustite nasledujúcu rutinu typu cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Ak chcete použiť nové nastavenia, reštartujte službu World Wide Web Publishing a službu aktivácie procesov systému Windows (WAS). Ak to chcete urobiť, spustite nasledujúcu rutinu typu cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Poznámka: Reštartujte tieto služby na všetkých serveroch založených na Exchange Server 2013 vo vašom prostredí, v ktorom sa vykonávajú zmeny databázy Registry.
Známe problémy
-
Ak je povolená možnosť podpísať údaje serializácie, certifikát overenia s uplynutou platnosťou zabráni rutine typu cmdlet Get-ExchangeCertificate v vrátení podrobností certifikátu.
-
Po nainštalovaní aktualizácie zabezpečenia z januára 2023 alebo februára 2023 pre Microsoft Exchange Server 2019, 2016 alebo 2013 a zapnutí podpisovania certifikátov údajovej časti Serializácia prostredia PowerShell sa nespustí. Ďalšie informácie nájdete v téme Nástroje pre Exchange a Zobrazovač frontov po zapnutí podpisu certifikátu údajovej časti Serializácia prostredia PowerShell (KB5023352).
-
Ak je povolená možnosť podpísať údaje serializácie, rutina typu cmdlet Get-ExchangeCertificate nevráti viditeľnú hodnotu, keď je spustená v počítači s nainštalovanými nástrojmi na správu exchangeu, ale nemá inú Exchange Server rolu. Stáva sa to bez ohľadu na to, či je certifikát overenia platný.
-
Niektoré skripty, ktoré sú súčasťou Exchange Server (napríklad RedistributeActiveDatabases.ps1), nefungujú správne, ak sú splnené nasledujúce podmienky:
-
Funkcia údajovej časti Serializácia prostredia PowerShell je povolená.
-
Nepoužívate predvolené skupiny zabezpečenia, ktoré poskytuje Exchange RBAC.
-
Používateľ, ktorý spúšťa skript, nie je členom skupiny rolí Správa organizácie.
-
