Özet
Microsoft Exchange Server için Ocak 2023 güvenlik güncelleştirmesinde (SU) başlayarak, yöneticilerin PowerShell serileştirme yüklerinin sertifika tabanlı imzasını yapılandırmalarına olanak tanıyan yeni bir özellik kullanıma sunuldu. Bu özelliğin, SU tüm Exchange tabanlı sunuculara yüklendikten sonra bir Exchange Server yöneticisi tarafından el ile etkinleştirilmesi gerekir. Bu makalede, Exchange Server'de PowerShell serileştirme verilerinin sertifika tabanlı imzasını etkinleştirme adımları sağlanır.
Ön Koşullar
Bu özelliği etkinleştirmek için önkoşullar:
-
Ortamınızdaki tüm Exchange tabanlı sunucularda Ocak 2023 SU veya sonraki bir SU yüklü olduğundan emin olun. Tüm sunucuları güncelleştirmeden önce bu özelliği etkinleştirirseniz seri durumdan çıkarma hataları oluşabilir ve diğer sorunları tetikleyebilir.
-
Sertifika imzalamayı etkinleştirmeden önce ve etkinleştirdikten sonra geçerli bir Exchange Server kimlik doğrulama sertifikasının yapılandırıldığından ve tüm Exchange tabanlı sunucularda (Edge Aktarım sunucuları dışında) kullanılabilir olduğundan emin olun.
ortamınızdaki Exchange tabanlı sunucularda geçerli bir kimlik doğrulama sertifikası olup olmadığını denetlemek için MonitorExchangeAuthCertificate.ps1 betiğini çalıştırabilirsiniz. Betik ayrıca kimlik doğrulama sertifikasının süresinin 60 günden kısa bir süre içinde dolup dolmayacağını denetler ve sertifikayı döndürmenize yardımcı olabilir. MonitorExchangeAuthCertificate.ps1hakkında daha fazla bilgi için bkz. Exchange AuthCertificate'i izleme
Kimlik doğrulama sertifikası kullanılabilirliğini ve geçerliliğini el ile denetlemek için bkz. Kimlik Doğrulama Sertifikası Kullanılabilirliği ve Geçerlilik.
MonitorExchangeAuthCertificate.ps1 betiğini kullanmanızı (veya gerekirse yeni bir betik oluşturmanızı) kesinlikle öneririz. Bunun nedeni, betiğin süresi dolan bir kimlik doğrulama sertifikasını da yenileyebileceğindendir. Betik el ile yürütme modu içerir (kimlik doğrulama sertifikasının kullanılabilirliğini doğrulayın veya gerekirse doğrulayın ve işlem yapın). Betik ayrıca Windows Görev Zamanlayıcı'yı kullanarak çalışan bir otomasyon modu içerir.
Çözüm
Exchange Server 2019 veya Exchange Server 2016 çalıştıran sunucular için (Ocak 2023 SU veya sonraki bir sürüme güncelleştirildi)
-
Ortamınızda Exchange Server çalıştıran bir sunucuda Exchange Yönetim Kabuğu'nda (EMS) aşağıdaki cmdlet'i çalıştırın:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Bu cmdlet, PowerShell serileştirme yükünü sertifika imzalamak için ortamınızda Exchange Server 2019, 2016 veya 2013 çalıştıran tüm sunucuları etkinleştirir. Cmdlet'i her sunucuda çalıştırmanız gerekmez. -
Aşağıdaki cmdlet'i çalıştırarak VariantConfiguration bağımsız değişkenini yenileyin:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Yeni ayarları uygulamak için World Wide Web Yayımlama hizmetini ve Windows İşlem Etkinleştirme Hizmeti'ni (WAS) yeniden başlatın. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
Restart-Service -Name W3SVC, WAS -ForceNot: Bu hizmetleri yalnızca ayarları geçersiz kılma cmdlet'inin çalıştırıldığı Exchange Server tabanlı sunucuda yeniden başlatın.
Exchange Server 2013 çalıştıran sunucular için
Ortamınızda Microsoft Exchange Server 2013 çalıştıran sunucularınız varsa, her sunucuda bir kayıt defteri anahtarı yapılandırmanız gerekir. Aşağıdaki ayarları belirtin.
Kayıt defteri anahtarı:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Değer:EnableSerializationDataSigning
Türü: Dize
Veri: 1
Exchange Server 2013 tabanlı bir sunucuda kayıt defteri değeri oluşturmak için aşağıdaki cmdlet'i çalıştırın:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Yeni ayarları uygulamak için World Wide Web Yayımlama hizmetini ve Windows İşlem Etkinleştirme Hizmeti'ni (WAS) yeniden başlatın. Bunu yapmak için aşağıdaki cmdlet'i çalıştırın:
- Restart-Service -Name W3SVC, WAS -Force
Not: Bu hizmetleri, kayıt defteri değişikliklerinin yapıldığı ortamınızdaki tüm Exchange Server 2013 tabanlı sunucularda yeniden başlatın.
Bilinen sorunlar
-
Serileştirme verilerini imzalama özelliği etkinse, süresi dolmuş bir kimlik doğrulama sertifikası Get-ExchangeCertificate cmdlet'inin sertifika ayrıntılarını döndürmesini engeller.
-
Ocak 2023 veya Microsoft Exchange Server 2019, 2016 veya 2013 için Şubat 2023 Güvenlik Güncelleştirmesi yüklendikten ve PowerShell Serileştirme Yükünün Sertifika İmzalama özelliği etkinleştirildikten sonra Exchange Araç Kutusu ve Kuyruk Görüntüleyicisi başlatılmaz. Daha fazla bilgi için bkz. PowerShell Serileştirme Yükünün Sertifika İmzalama özelliği etkinleştirildikten sonra Exchange Araç Kutusu ve Kuyruk Görüntüleyicisi başarısız oluyor (KB5023352).
-
Serileştirme verilerini imzalama özelliği etkinleştirilirse, Exchange Yönetim Araçları'nın yüklü olduğu ancak başka Exchange Server rolü olmayan bir bilgisayarda çalıştırıldığında Get-ExchangeCertificate cmdlet'i görünür bir değer döndürmez. Bu, kimlik doğrulama sertifikasının geçerli olup olmamasına bakılmaksızın gerçekleşir.
-
Exchange Server (örneğin, RedistributeActiveDatabases.ps1) ile birlikte gelen betiklerden bazıları, aşağıdaki koşullar doğruysa düzgün çalışmaz:
-
PowerShell Serileştirme Yükü İmzalama özelliği etkindir.
-
Exchange RBAC tarafından sağlanan varsayılan güvenlik gruplarını kullanmazsınız.
-
Betiği çalıştıran kullanıcı Kuruluş Yönetimi rol grubunun üyesi değildir.
-
