Sammanfattning
Från och med säkerhetsuppdateringen i januari 2023 (SU) för Microsoft Exchange Server introducerade vi en ny funktion som gör det möjligt för administratörer att konfigurera certifikatbaserad signering av PowerShell-serialiseringslaster. Den här funktionen måste aktiveras manuellt av en Exchange Server-administratör efter att SU installerats på alla Exchange-baserade servrar. I den här artikeln beskrivs hur du aktiverar certifikatbaserad signering av PowerShell-serialiseringsdata i Exchange Server.
Krav
Förutsättningar för att aktivera den här funktionen:
-
Kontrollera att alla Exchange-baserade servrar i din miljö har SU för januari 2023 eller en senare SU installerad. Om du aktiverar den här funktionen innan du uppdaterar alla servrar kan avserialiseringsfel uppstå och utlösa andra problem.
-
Kontrollera att ett giltigt Exchange Server autentiseringscertifikat är konfigurerat och tillgängligt på alla Exchange-baserade servrar (utom Edge Transport-servrar) före och efter att du aktiverat certifikatsignering.
Du kan köra skriptet MonitorExchangeAuthCertificate.ps1 för att söka efter ett giltigt autentiseringscertifikat på Exchange-basservrar i din miljö. Skriptet kontrollerar också om autentiseringscertifikatet upphör att gälla om mindre än 60 dagar, och det kan hjälpa dig att rotera certifikatet. Mer information om MonitorExchangeAuthCertificate.ps1finns i Övervaka Exchange AuthCertificate
Om du vill kontrollera tillgängligheten och giltigheten för autentiseringscertifikatet manuellt läser du Auth Certificate Availability and Validity.
Vi rekommenderar starkt att du använder skriptet MonitorExchangeAuthCertificate.ps1 (eller skapar ett nytt, om det behövs). Det beror på att skriptet också kan förnya ett utgånget autentiseringscertifikat. Skriptet innehåller ett manuellt körningsläge (verifiera tillgängligheten för autentiseringscertifikatet eller verifiera och vidta åtgärder om det behövs). Skriptet innehåller också ett automatiseringsläge som fungerar med Windows Schemaläggaren.
Lösning
För servrar som kör Exchange Server 2019 eller Exchange Server 2016 (uppdaterad till JANUARI 2023 SU eller senare)
-
Kör följande cmdlet i Exchange Management Shell (EMS) på en server som kör Exchange Server i din miljö:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Den här cmdleten aktiverar alla servrar som kör Exchange Server 2019, 2016 eller 2013 i din miljö för certifikatsignering av PowerShell-serialiserings nyttolast. Du behöver inte köra cmdleten på alla servrar. -
Uppdatera argumentet VariantConfiguration genom att köra följande cmdlet:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Om du vill använda de nya inställningarna startar du om Tjänsten World Wide Web Publishing och Windows Process Activation Service (WAS). Det gör du genom att köra följande cmdlet:
Restart-Service -Name W3SVC, WAS -ForceObs!: Starta om dessa tjänster endast på den Exchange Server-baserade server där inställningarna åsidosätter cmdlet körs.
För servrar som kör Exchange Server 2013
Om du har servrar som kör Microsoft Exchange Server 2013 i miljön måste du konfigurera en registernyckel på varje server. Ange följande inställningar.
Registernyckel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Värde:EnableSerializationDataSigning
Typ: String
Data: 1
Om du vill skapa registervärdet på en Exchange Server 2013-baserad server kör du följande cmdlet:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Om du vill använda de nya inställningarna startar du om Tjänsten World Wide Web Publishing och Windows Process Activation Service (WAS). Det gör du genom att köra följande cmdlet:
- Restart-Service -Name W3SVC, WAS -Force
Obs!: Starta om de här tjänsterna på alla Exchange Server 2013-baserade servrar i din miljö där registerändringar görs.
Kända problem
-
Om möjligheten att signera serialiseringsdata är aktiverad förhindrar ett utgånget autentiseringscertifikat cmdleten Get-ExchangeCertificate från att returnera certifikatinformation.
-
Efter januari 2023 eller säkerhetsuppdateringen i februari 2023 för Microsoft Exchange Server 2019, 2016 eller 2013 har installerats och certifikatsigneringen av PowerShell Serialization Payload är aktiverad startar inte Exchange Toolbox och Queue Viewer. Mer information finns i Exchange Toolbox and Queue Viewer fails after Certificate Signing of PowerShell Serialization Payload is enabled (KB5023352).
-
Om möjligheten att signera serialiseringsdata är aktiverad returnerar cmdleten Get-ExchangeCertificate inte ett synligt värde när den körs på en dator som har Exchange Management Tools installerat men inte har någon annan Exchange Server roll. Detta inträffar oavsett om autentiseringscertifikatet är giltigt.
-
Vissa skript som ingår i Exchange Server (till exempel RedistributeActiveDatabases.ps1) fungerar inte korrekt om följande villkor uppfylls:
-
Funktionen Signering av PowerShell Serialization Payload är aktiverad.
-
Du använder inte standardsäkerhetsgrupperna som tillhandahålls av Exchange RBAC.
-
Användaren som kör skriptet är inte medlem i rollgruppen Organisationshantering.
-