Logga in med Microsoft
Logga in eller skapa ett konto.
Hej,
Välj ett annat konto.
Du har flera konton
Välj det konto som du vill logga in med.

Sammanfattning 

Från och med säkerhetsuppdateringen i januari 2023 (SU) för Microsoft Exchange Server introducerade vi en ny funktion som gör det möjligt för administratörer att konfigurera certifikatbaserad signering av PowerShell-serialiseringslaster. Den här funktionen måste aktiveras manuellt av en Exchange Server-administratör efter att SU installerats på alla Exchange-baserade servrar. I den här artikeln beskrivs hur du aktiverar certifikatbaserad signering av PowerShell-serialiseringsdata i Exchange Server.  

Krav 

Förutsättningar för att aktivera den här funktionen: 

  • Kontrollera att alla Exchange-baserade servrar i din miljö har SU för januari 2023 eller en senare SU installerad. Om du aktiverar den här funktionen innan du uppdaterar alla servrar kan avserialiseringsfel uppstå och utlösa andra problem. 

  • Kontrollera att ett giltigt Exchange Server autentiseringscertifikat är konfigurerat och tillgängligt på alla Exchange-baserade servrar (utom Edge Transport-servrar) före och efter att du aktiverat certifikatsignering.

Du kan köra skriptet MonitorExchangeAuthCertificate.ps1 för att söka efter ett giltigt autentiseringscertifikat på Exchange-basservrar i din miljö. Skriptet kontrollerar också om autentiseringscertifikatet upphör att gälla om mindre än 60 dagar, och det kan hjälpa dig att rotera certifikatet. Mer information om MonitorExchangeAuthCertificate.ps1finns i Övervaka Exchange AuthCertificate

Om du vill kontrollera tillgängligheten och giltigheten för autentiseringscertifikatet manuellt läser du Auth Certificate Availability and Validity.

Vi rekommenderar starkt att du använder skriptet MonitorExchangeAuthCertificate.ps1 (eller skapar ett nytt, om det behövs). Det beror på att skriptet också kan förnya ett utgånget autentiseringscertifikat. Skriptet innehåller ett manuellt körningsläge (verifiera tillgängligheten för autentiseringscertifikatet eller verifiera och vidta åtgärder om det behövs). Skriptet innehåller också ett automatiseringsläge som fungerar med Windows Schemaläggaren. 

Lösning

För servrar som kör Exchange Server 2019 eller Exchange Server 2016 (uppdaterad till JANUARI 2023 SU eller senare) 

  1. Kör följande cmdlet i Exchange Management Shell (EMS) på en server som kör Exchange Server i din miljö:

    New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"

    Den här cmdleten aktiverar alla servrar som kör Exchange Server 2019, 2016 eller 2013 i din miljö för certifikatsignering av PowerShell-serialiserings nyttolast. Du behöver inte köra cmdleten på alla servrar.

  2. Uppdatera argumentet VariantConfiguration genom att köra följande cmdlet:
      
    Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh 

  3. Om du vill använda de nya inställningarna startar du om Tjänsten World Wide Web Publishing och Windows Process Activation Service (WAS). Det gör du genom att köra följande cmdlet:

    Restart-Service -Name W3SVC, WAS -Force 

    Obs!: Starta om dessa tjänster endast på den Exchange Server-baserade server där inställningarna åsidosätter cmdlet körs. 

För servrar som kör Exchange Server 2013

Om du har servrar som kör Microsoft Exchange Server 2013 i miljön måste du konfigurera en registernyckel på varje server. Ange följande inställningar.

Registernyckel: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics 

Värde:EnableSerializationDataSigning 

Typ: String 

Data: 1

Om du vill skapa registervärdet på en Exchange Server 2013-baserad server kör du följande cmdlet:

  • New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String

Om du vill använda de nya inställningarna startar du om Tjänsten World Wide Web Publishing och Windows Process Activation Service (WAS). Det gör du genom att köra följande cmdlet:  

  • Restart-Service -Name W3SVC, WAS -Force 

Obs!: Starta om de här tjänsterna på alla Exchange Server 2013-baserade servrar i din miljö där registerändringar görs. 

Kända problem

  • Om möjligheten att signera serialiseringsdata är aktiverad förhindrar ett utgånget autentiseringscertifikat cmdleten Get-ExchangeCertificate från att returnera certifikatinformation.

  • Efter januari 2023 eller säkerhetsuppdateringen i februari 2023 för Microsoft Exchange Server 2019, 2016 eller 2013 har installerats och certifikatsigneringen av PowerShell Serialization Payload är aktiverad startar inte Exchange Toolbox och Queue Viewer. Mer information finns i Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payload is enabled (KB5023352).

  • Om möjligheten att signera serialiseringsdata är aktiverad returnerar cmdleten Get-ExchangeCertificate inte ett synligt värde när den körs på en dator som har Exchange Management Tools installerat men inte har någon annan Exchange Server roll. Detta inträffar oavsett om autentiseringscertifikatet är giltigt.

  • Vissa skript som ingår i Exchange Server (till exempel RedistributeActiveDatabases.ps1) fungerar inte korrekt om följande villkor uppfylls:

    • Funktionen Signering av PowerShell Serialization Payload är aktiverad.

    • Du använder inte standardsäkerhetsgrupperna som tillhandahålls av Exchange RBAC.

    • Användaren som kör skriptet är inte medlem i rollgruppen Organisationshantering.

Facebook LinkedIn E-post
PRENUMERERA PÅ RSS-FEEDS

Behöver du mer hjälp?

Vill du ha fler alternativ?

Upptäck Community

Utforska prenumerationsförmåner, bläddra bland utbildningskurser, lär dig hur du skyddar din enhet med mera.

Fördelar med en Microsoft 365-prenumeration

Utbildning för Microsoft 365

Microsoft-säkerhet

Hjälpmedelscenter

Communities hjälper dig att ställa och svara på frågor, ge feedback och få råd från experter med rika kunskaper.

Fråga Microsoft-communityn

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med språkkvaliteten?
Vad påverkade din upplevelse?
Genom att trycka på skicka, kommer din feedback att användas för att förbättra Microsofts produkter och tjänster. IT-administratören kan samla in denna data. Sekretesspolicy.

Tack för din feedback!

×