Rezime
Počevši od bezbednosne ispravke iz januara 2023. za Microsoft Exchange Server, uveli smo novu funkciju koja administratorima omogućava da konfiguriše potpisivanje PowerShell serijalizacija zasnovano na certifikatima. Ovu funkciju mora ručno da omogući Exchange server nakon instalacije SU-a na svim serverima zasnovanim na sistemu Exchange. Ovaj članak pruža korake za omogućavanje powerShell serijalizacije podataka zasnovanih na certifikatima u programu Exchange server.
Preduslovi
Preduslovi za omogućavanje ove funkcije:
-
Uverite se da svi serveri zasnovani na sistemu Exchange u okruženju imaju instaliran su sufiks iz januara 2023. ili noviji SU. Ako omogućite ovu funkciju pre nego što ažurirate sve servere, može doći do otkazivanja deserijalizacije i aktivirati druge probleme.
-
Uverite se da je važeći Exchange server potvrde identiteta konfigurisan i dostupan na svim serverima zasnovanim na sistemu Exchange (osim na Edge serverima za prenos) pre i posle omogućavanja potpisivanja certifikata.
Možete da pokrenete MonitorExchangeAuthCertificate.ps1 skripte da biste proverili da li postoje važeći certifikati potvrde identiteta na serverima zasnovanim na sistemu Exchange u okruženju. Skripta takođe proverava da li će certifikat potvrde identiteta isteći za manje od 60 dana i može vam pomoći da rotirate certifikat. Dodatne informacije o MonitorExchangeAuthCertificate.ps1potražite u članku Nadgledanje exchange AuthCertificate
Da biste ručno proverili dostupnost i valjanost certifikata potvrde identiteta, pogledajte članak Dostupnost i valjanost certifikata potvrde identiteta.
Preporučujemo da koristite MonitorExchangeAuthCertificate.ps1 skriptu (ili da napravite novu, ako je to neophodno). To je zato što skripta može i da obnovi certifikat istekle potvrde identiteta. Skripta uključuje režim ručnog izvršavanja (proverite da li je certifikat potvrde identiteta dostupan ili potvrdite i izvršite radnju ako je to neophodno). Skripta uključuje i režim automatizacije koji funkcioniše pomoću Windows planra zadataka.
Rezoluciju
Za servere koji Exchange server 2019 ili Exchange server 2016 (ažurirano su sum verzija iz januara 2023. ili novija verzija)
-
Pokrenite sledeću cmdlet komandu u programu Exchange Management Shell (EMS) na serveru koji radi pod operativnim sistemom Exchange server u vašem okruženju:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Ova cmdlet komanda omogućava svim serverima koji rade pod operativnim sistemom Exchange server 2019, 2016 ili 2013 u okruženju za potpisivanje certifikata za powerShell serijalizaciju korisnog opterećenja. Ne morate da pokrenete cmdlet komandu na svakom serveru. -
Osvežite argument VariantConfiguration tako što ćete pokrenuti sledeću cmdlet komandu:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Da biste primenili nove postavke, ponovo pokrenite uslugu World Wide Web Publishing i Uslugu aktivacije Windows procesa (WAS). Da biste to uradili, pokrenite sledeću cmdlet komandu:
Restart-Service -Name W3SVC, WAS -ForceNapomena: Ponovo pokrenite ove usluge samo Exchange server serveru zasnovanom na kome je pokrenuta cmdlet komanda zamene postavki.
Za servere koji rade Exchange server 2013
Ako imate servere koji rade pod operativnim sistemom Microsoft Exchange Server 2013 u okruženju, morate konfigurisati ključ registratora na svakom serveru. Navedite sledeće postavke.
Ključ registratora:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Vrednost:EnableSerializationDataSigning
Tip: Niske
Podaci: 1
Da biste kreirali vrednost registratora na serveru Exchange server 2013, pokrenite sledeću cmdlet komandu:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Da biste primenili nove postavke, ponovo pokrenite uslugu World Wide Web Publishing i Uslugu aktivacije Windows procesa (WAS). Da biste to uradili, pokrenite sledeću cmdlet komandu:
- Restart-Service -Name W3SVC, WAS -Force
Napomena: Ponovo pokrenite ove usluge na Exchange server serverima zasnovanim na sistemu 2013 u okruženju na kojima se unose promene registratora.
Poznati problemi
-
Ako je omogućena mogućnost potpisivanja podataka o serijalizaciji, certifikat istekle potvrde identiteta sprečava Get-ExchangeCertificate cmdlet komandu da vrati detalje certifikata.
-
Kada se instalira bezbednosna ispravka iz januara 2023. ili februara 2023. za Microsoft Exchange Server 2019, 2016 ili 2013, a omogućena je opcija Potpisivanje certifikata za PowerShell Serijalizaciju Payload, exchange Toolbox i Queue Viewer se ne pokreću. Više informacija potražite u članku Exchange okvir sa alatkama i prikazivač reda čekanja ne uspeva kada je omogućeno potpisivanje certifikata za PowerShell serijalizaciju korisnog opterećenja (KB5023352).
-
Ako je omogućena mogućnost potpisivanja podataka o serijalizaciji, cmdlet komanda Get-ExchangeCertificate ne vraća vidljivu vrednost kada se pokrene na računaru na kom su instalirane Exchange alatke za upravljanje, ali nema Exchange server ulogu. To se dešava bez obzira na to da li je certifikat potvrde veucije važeći.
-
Neke od skripti koje su uključene u Exchange server (na primer RedistributeActiveDatabases.ps1) ne rade ispravno ako su ispunjeni sledeći uslovi:
-
Funkcija potpisivanja PowerShell serijalizovanja korisnog učitavanja je omogućena.
-
Ne koristite podrazumevane bezbednosne grupe koje obezbeđuje Exchange RBAC.
-
Korisnik koji pokreće skriptu nije član grupe uloga "Upravljanje organizacijom".
-