บทสรุป
เริ่มต้นในการอัปเดตความปลอดภัย (SU) ประจําเดือนมกราคม 2023 สําหรับ Microsoft Exchange Server เราได้แนะนําฟีเจอร์ใหม่ที่ช่วยให้ผู้ดูแลระบบสามารถกําหนดค่าการเซ็นชื่อตามใบรับรองของปริมาณข้อมูลการทําให้เป็นอนุกรมของ PowerShell ฟีเจอร์นี้ต้องเปิดใช้งานด้วยตนเองโดยผู้ดูแลระบบ Exchange Server หลังจากติดตั้ง SU บนเซิร์ฟเวอร์ที่ใช้ Exchange ทั้งหมด บทความนี้มีขั้นตอนในการเปิดใช้งานการเซ็นชื่อตามใบรับรองของข้อมูลการทําให้เป็นอนุกรม PowerShell ใน Exchange Server
ข้อกำหนดเบื้องต้น
ข้อกําหนดเบื้องต้นเพื่อเปิดใช้งานคุณลักษณะนี้:
-
ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ที่ใช้ Exchange ทั้งหมดในสภาพแวดล้อมของคุณมี SU เดือนมกราคม 2023 หรือ SU ติดตั้งไว้ในภายหลัง ถ้าคุณเปิดใช้งานคุณลักษณะนี้ก่อนที่คุณจะอัปเดตเซิร์ฟเวอร์ทั้งหมด อาจเกิดความล้มเหลวในการดีซีเรียลไลซ์และทริกเกอร์ปัญหาอื่นๆ
-
ตรวจสอบให้แน่ใจว่าได้กําหนดค่าใบรับรอง Exchange Server การรับรองความถูกต้องและพร้อมใช้งานบนเซิร์ฟเวอร์ที่ใช้ Exchange ทั้งหมด (ยกเว้นเซิร์ฟเวอร์ Edge Transport) ก่อนและหลังจากที่คุณเปิดใช้งานการเซ็นชื่อใบรับรอง
คุณสามารถเรียกใช้สคริปต์ MonitorExchangeAuthCertificate.ps1 เพื่อตรวจสอบใบรับรองการรับรองความถูกต้องที่ถูกต้องบนเซิร์ฟเวอร์ Exchange พื้นฐานในสภาพแวดล้อมของคุณ สคริปต์ยังตรวจสอบว่าใบรับรองการรับรองความถูกต้องจะหมดอายุภายในไม่ถึง 60 วันหรือไม่ และสามารถช่วยคุณหมุนใบรับรองได้ สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ MonitorExchangeAuthCertificate.ps1ให้ดูที่ การตรวจสอบการตรวจสอบ Exchange AuthCertificate
เมื่อต้องการตรวจสอบความพร้อมใช้งานและความถูกต้องของใบรับรองการรับรองความถูกต้องด้วยตนเอง โปรดดู ความพร้อมใช้งานและความถูกต้องของใบรับรองการรับรองความถูกต้อง
เราขอแนะนําให้คุณใช้สคริปต์ MonitorExchangeAuthCertificate.ps1 (หรือสร้างสคริปต์ใหม่ หากจําเป็น) ทั้งนี้เนื่องจากสคริปต์สามารถต่ออายุใบรับรองการรับรองความถูกต้องที่หมดอายุได้ สคริปต์มีโหมดการดําเนินการด้วยตนเอง (ตรวจสอบความพร้อมใช้งานของใบรับรองการรับรองความถูกต้อง หรือตรวจสอบและดําเนินการ หากจําเป็น) สคริปต์ยังรวมโหมดการทํางานอัตโนมัติที่ทํางานโดยใช้ Windows Task Scheduler ด้วย
การแก้ไขปัญหา
สําหรับเซิร์ฟเวอร์ที่ใช้ Exchange Server 2019 หรือ Exchange Server 2016 (อัปเดตเป็น SU เดือนมกราคม 2023 หรือใหม่กว่า)
-
เรียกใช้ cmdlet ต่อไปนี้ใน Exchange Management Shell (EMS) บนเซิร์ฟเวอร์ที่กําลังทํางาน Exchange Server ในสภาพแวดล้อมของคุณ:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
cmdlet นี้เปิดใช้งานเซิร์ฟเวอร์ทั้งหมดที่กําลังเรียกใช้ Exchange Server 2019, 2016 หรือ 2013 ในสภาพแวดล้อมของคุณสําหรับการเซ็นชื่อใบรับรองของส่วนข้อมูลการอนุกรมของ PowerShell คุณไม่จําเป็นต้องเรียกใช้ cmdlet ในทุกเซิร์ฟเวอร์ -
รีเฟรชอาร์กิวเมนต์ VariantConfiguration โดยการเรียกใช้ cmdlet ต่อไปนี้:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
เมื่อต้องการนําการตั้งค่าใหม่ไปใช้ ให้เริ่มการทํางานของ World Wide Web Publishing Service และบริการการเปิดใช้งานกระบวนการของ Windows (WAS) ใหม่ เมื่อต้องการทําเช่นนี้ ให้เรียกใช้ cmdlet ต่อไปนี้:
Restart-Service -Name W3SVC, WAS -Forceหมายเหตุ: เริ่มการทํางานของบริการเหล่านี้ใหม่บนเซิร์ฟเวอร์ Exchange Server ที่การตั้งค่าแทนที่ cmdlet ถูกเรียกใช้
สําหรับเซิร์ฟเวอร์ที่ใช้ Exchange Server 2013
ถ้าคุณมีเซิร์ฟเวอร์ที่กําลังเรียกใช้ Microsoft Exchange Server 2013 ในสภาพแวดล้อมของคุณ คุณต้องกําหนดค่ารีจิสทรีคีย์ในแต่ละเซิร์ฟเวอร์ ระบุการตั้งค่าต่อไปนี้
รีจิสทรีคีย์:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
ค่า:EnableSerializationDataSigning
ชนิด: สาย อักขระ
ข้อมูล: 1
เมื่อต้องการสร้างค่ารีจิสทรีบนเซิร์ฟเวอร์ที่ใช้ Exchange Server 2013 ให้เรียกใช้ cmdlet ต่อไปนี้:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
เมื่อต้องการนําการตั้งค่าใหม่ไปใช้ ให้เริ่มการทํางานของ World Wide Web Publishing Service และบริการการเปิดใช้งานกระบวนการของ Windows (WAS) ใหม่ เมื่อต้องการทําเช่นนี้ ให้เรียกใช้ cmdlet ต่อไปนี้:
- Restart-Service -Name W3SVC, WAS -Force
หมายเหตุ: เริ่มบริการเหล่านี้ใหม่บนเซิร์ฟเวอร์ทั้งหมดที่ใช้ Exchange Server 2013 ในสภาพแวดล้อมของคุณที่มีการเปลี่ยนแปลงรีจิสทรี
ปัญหาที่ทราบแล้ว
-
ถ้าเปิดใช้งานความสามารถในการเซ็นชื่อข้อมูลแบบอนุกรม ใบรับรองการรับรองความถูกต้องที่หมดอายุจะป้องกันไม่ให้ cmdlet Get-ExchangeCertificate ส่งคืนรายละเอียดใบรับรอง
-
หลังจากติดตั้งการอัปเดตความปลอดภัยประจําเดือนมกราคม 2023 หรือกุมภาพันธ์ 2023 สําหรับ Microsoft Exchange Server 2019, 2016 หรือ 2013 และเปิดใช้งานการเซ็นชื่อใบรับรองของส่วนข้อมูลการอนุกรมของ PowerShell กล่องเครื่องมือ Exchange และตัวแสดงคิวจะไม่เริ่มทํางาน สําหรับข้อมูลเพิ่มเติม โปรดดูกล่องเครื่องมือ Exchange และตัวแสดงคิวล้มเหลวหลังจากเปิดใช้งานการรับรองความถูกต้องของส่วนข้อมูลการทําให้เป็นอนุกรมของ PowerShell (KB5023352)
-
ถ้าเปิดใช้งานความสามารถในการเซ็นชื่อข้อมูลแบบอนุกรม cmdlet Get-ExchangeCertificate จะไม่ส่งกลับค่าที่มองเห็นได้เมื่อทํางานบนคอมพิวเตอร์ที่มีการติดตั้งเครื่องมือการจัดการ Exchange แต่ไม่มีบทบาท Exchange Server อื่นๆ ปัญหานี้เกิดขึ้นโดยไม่คํานึงว่าใบรับรองการรับรองความถูกต้องถูกต้องหรือไม่
-
สคริปต์บางสคริปต์ที่รวมอยู่กับ Exchange Server (ตัวอย่างเช่น RedistributeActiveDatabases.ps1) ไม่ทํางานอย่างถูกต้องหากเงื่อนไขต่อไปนี้เป็นจริง:
-
เปิดใช้งานฟีเจอร์การเซ็นชื่อใน PowerShell Serialization Payload
-
คุณไม่ได้ใช้กลุ่มความปลอดภัยเริ่มต้นที่ให้บริการโดย Exchange RBAC
-
ผู้ใช้ที่เรียกใช้สคริปต์ไม่ได้เป็นสมาชิกของกลุ่มบทบาทการจัดการองค์กร
-