Povzetek
Od varnostne posodobitve (SU) iz januarja 2023 za Microsoft Exchange Server smo uvedli novo funkcijo, ki skrbnikom omogoča konfiguracijo podpisovanja koristnih obremenitev lupine PowerShell s potrdilom. To funkcijo mora ročno omogočiti skrbnik storitve Exchange Server ko je SU nameščen v vseh strežnikih, ki uporabljajo Exchange. V tem članku so navodila za omogočanje podpisovanja podatkov serializacije ogrodja PowerShell s potrdilom v Exchange Server.
Predpogoji
Predpogoji za omogočanje te funkcije:
-
Prepričajte se, da so v vseh strežnikih, ki uporabljajo Exchange, v vašem okolju nameščena posodobitev SU iz januarja 2023 ali novejša posodobitev SU. Če omogočite to funkcijo, preden posodobite vse strežnike, lahko pride do napak deserializacije in sprožijo druge težave.
-
Preden omogočite podpisovanje potrdila Exchange Server preverite, ali je veljavno potrdilo o pristnosti konfigurirano in na voljo v vseh strežnikih, ki uporabljajo Exchange (razen v strežnikih Edge Transport).
Zaženete lahko skript MonitorExchangeAuthCertificate.ps1 , da preverite, ali so v strežnikih z osnovami za Exchange v vašem okolju veljavno potrdilo o pristnosti. Skript tudi preveri, ali bo potrdilo o pristnosti poteklo v manj kot 60 dneh, potrdilo pa lahko tudi zavrtite. Če želite več informacij o MonitorExchangeAuthCertificate.ps1, glejte Nadzor strežnika Exchange AuthCertificate.
Če želite ročno preveriti razpoložljivost in veljavnost potrdila o pristnosti, glejte Razpoložljivost in veljavnost potrdila Auth.
Toplo priporočamo, da uporabite skript MonitorExchangeAuthCertificate.ps1 (ali ustvarite novega, če je to potrebno). Skript lahko namreč podaljša tudi poteklo potrdilo o pristnosti. Skript vključuje način ročnega izvajanja (po potrebi preverite razpoložljivost potrdila o pristnosti ali preverite in ukrepajte). Skript vključuje tudi način avtomatizacije, ki deluje z razporejevalnikom opravil sistema Windows.
Rešitev
Za strežnike, v Exchange Server 2019 ali Exchange Server 2016 (posodobljeno na januar 2023 SU ali novejšo različico)
-
V ukazni lupini za upravljanje Exchangea (EMS) zaženite ta ukaz »cmdlet« v strežniku, ki Exchange Server v vašem okolju:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Ta ukaz »cmdlet« vsem strežnikom, v katerih se izvaja Exchange Server 2019, 2016 ali 2013 v vašem okolju, omogoča podpisovanje potrdila o koristni obremenitvi s serializacijo lupine PowerShell. Ukaza »cmdlet« vam ni treba zagnati v vsakem strežniku. -
Osvežite argument VariantConfiguration tako, da zaženete ta ukaz »cmdletGet-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh
-
Če želite uporabiti nove nastavitve, znova zaženite storitev objavljanja v svetovnem spletu in storitev za aktiviranje procesov sistema Windows (WAS). To naredite tako, da zaženete ta ukaz »cmdlet«:
Restart-Service -Name W3SVC, WAS -ForceOpomba: Znova zaženite te storitve le v Exchange Server, ki temelji na strežniku, v katerem se izvaja preglasitev nastavitev »cmdlet«.
Za strežnike, v Exchange Server 2013
Če imate strežnike, ki se Microsoft Exchange Server 2013 v vašem okolju, morate konfigurirati registrski ključ v vsakem strežniku. Določite te nastavitve.
Registrski ključ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Vrednost:EnableSerializationDataSigning
Vrsta: Niz
Podatki: 1
Če želite ustvariti vrednost registra v strežniku Exchange Server 2013, zaženite ta ukaz »cmdlet«:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Če želite uporabiti nove nastavitve, znova zaženite storitev objavljanja v svetovnem spletu in storitev za aktiviranje procesov sistema Windows (WAS). To naredite tako, da zaženete ta ukaz »cmdlet«:
- Restart-Service -Name W3SVC, WAS -Force
Opomba: Znova zaženite te storitve v Exchange Server strežnikih sistema 2013 v okolju, v katerih so narejene spremembe registra.
Znane težave
-
Če je omogočena možnost podpisa podatkov za serializacijo, poteklo potrdilo o pristnosti ukazu »cmdlet« Get-ExchangeCertificate preprečuje vrnitev podrobnosti potrdila.
-
Po namestitvi varnostne posodobitve iz januarja 2023 ali februarja 2023 za Microsoft Exchange Server 2019, 2016 ali 2013 in podpisovanje potrdila za koristno obremenitev lupine PowerShell je omogočeno, se komplet orodij za Exchange in pregledovalnik čakalne vrste ne zažene. Če želite več informacij, glejte Komplet orodij za Exchange in Pregledovalnik čakalne vrste ne uspeta, ko je omogočena podpisovanje potrdila za koristno obremenitev lupine PowerShell (KB5023352).
-
Če je omogočena možnost podpisa podatkov serializacije, ukaz »cmdlet« Get-ExchangeCertificate ne vrne vidne vrednosti, če se zažene v računalniku, v katerem so nameščena orodja za upravljanje Exchangea, vendar nima druge Exchange Server vloge. Do te težave pride ne glede na to, ali je potrdilo o pristnosti veljavno.
-
Nekateri skripti, ki so vključeni v Exchange Server (na primer RedistributeActiveDatabases.ps1) ne delujejo pravilno, če so izpolnjeni ti pogoji:
-
Omogočena je funkcija podpisovanja koristne vsebine za serializacijo ogrodja PowerShell.
-
Ne uporabljate privzetih varnostnih skupin, ki jih zagotavlja Exchange RBAC.
-
Uporabnik, ki zažene skript, ni član skupine vlog za upravljanje organizacije.
-
