Зведення
Починаючи з оновлення системи безпеки за січень 2023 р. (SU) для Microsoft Exchange Server, ми ввели нову функцію, яка дає змогу адміністраторам настроювати підписування сертифікатів корисних завантажень серіалізації PowerShell. Цю функцію повинен активувати адміністратор Exchange Server вручну після інсталяції SU на всіх серверах на основі Exchange. У цій статті описано кроки, які дають змогу активувати підписування за сертифікатом даних серіалізації PowerShell у Exchange Server.
Обов’язкові вимоги
Обов'язкові умови для ввімкнення цієї функції:
-
Переконайтеся, що на всіх серверах на базі Exchange у вашому середовищі інстальовано су-су за січень 2023 р. або пізнішої версії. Якщо ввімкнути цю функцію, перш ніж оновлювати всі сервери, можуть виникнути помилки десеріалізації та викликати інші проблеми.
-
Переконайтеся, що припустимий сертифікат автентифікації Exchange Server настроєно та доступний на всіх серверах на основі Exchange (крім серверів межового транспорту) до та після ввімкнення підпису сертифіката.
Ви можете запустити сценарій MonitorExchangeAuthCertificate.ps1 , щоб перевірити наявність дійсного сертифіката автентифікації на серверах exchange-bases у вашому середовищі. Сценарій також перевіряє, чи термін дії сертифіката автентифікації завершиться менш ніж через 60 днів, і допомагає повернути сертифікат. Докладні відомості про MonitorExchangeAuthCertificate.ps1див. в статті Моніторинг автентифікації ExchangeCertificate
Відомості про те, як перевірити доступність і дійсність сертифіката автентифікації вручну, див. в статті Доступність сертифіката автентифікації та Дійсність.
Ми наполегливо рекомендуємо використовувати сценарій MonitorExchangeAuthCertificate.ps1 (або за потреби створити новий). Це відбувається тому, що сценарій також може поновити сертифікат автентифікації, термін дії якого завершився. Сценарій включає в себе режим ручного виконання (перевірте доступність сертифіката автентифікації або перевірте та вжийте дії, якщо це необхідно). Сценарій також містить режим автоматизації, який працює за допомогою планувальника завдань Windows.
Вирішення
Для серверів, на які запущено Exchange Server 2019 або Exchange Server 2016 р. (оновлено до СУ за січень 2023 р. або пізнішої версії)
-
Запустіть наведений нижче командлет в оболонці керування Exchange (EMS) на сервері, на якому запущено Exchange Server у своєму середовищі:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Цей командлет дає змогу всім серверам, на яких запущено Exchange Server 2019, 2016 або 2013 у вашому середовищі, підписувати сертифікат із завантаженням серіалізації PowerShell. Командлет не потрібно запускати на кожному сервері. -
Оновіть аргумент VariantConfiguration , запустивши такий командлет:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Щоб застосувати нові параметри, перезапустіть службу публікацій в Інтернеті та службу активації процесів Windows (WAS). Для цього запустіть такий командлет:
Restart-Service -Name W3SVC, WAS -ForceПримітка.: Перезапустіть ці служби лише на Exchange Server сервері, на якому виконуються параметри, які перевизначають командлет.
Для серверів під керуванням Exchange Server 2013
Якщо у вас є сервери, які працюють Microsoft Exchange Server 2013 у вашому середовищі, потрібно настроїти розділ реєстру на кожному сервері. Укажіть наведені нижче параметри.
Реєстру:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Значення:Увімкнути створення даних проserialization
Тип: Рядок
Дані: 1
Щоб створити значення реєстру на сервері на основі Exchange Server 2013, запустіть такий командлет:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Щоб застосувати нові параметри, перезапустіть службу публікацій в Інтернеті та службу активації процесів Windows (WAS). Для цього виконайте такий командлет:
- Restart-Service -Name W3SVC, WAS -Force
Примітка.: Перезапустіть ці служби на всіх серверах на базі Exchange Server 2013 року у своєму середовищі, на яких внесено зміни до реєстру.
Відомі проблеми
-
Якщо активовано можливість підписування даних серіалізації, сертифікат автентифікації, термін дії якого минув, не дає командлету Get-ExchangeCertificate повернути відомості про сертифікат.
-
Після інсталяції оновлення системи безпеки за січень 2023 р. або за лютий 2023 р. для Microsoft Exchange Server 2019, 2016 або 2013 р., а також увімкнуто підписування сертифіката пакета серіалізації PowerShell, засіб перегляду засобів і черг Exchange не запускається. Докладні відомості див. в статті Exchange Toolbox and Queue Viewer fails after certificate signing of PowerShell Serialization Payload is enabled (KB5023352).
-
Якщо ввімкнуто можливість підписувати дані серіалізації, командлет Get-ExchangeCertificate не повертає видиме значення, якщо його запущено на комп'ютері, на якому інстальовано засоби керування Exchange, але не має іншої ролі Exchange Server. Це відбувається незалежно від того, чи дійсний сертифікат автентифікації.
-
Деякі сценарії, які входять до складу Exchange Server (наприклад, RedistributeActiveDatabases.ps1), працюють неправильно, якщо виконуються такі умови:
-
Активовано функцію підписування payload серіалізації PowerShell.
-
Ви не використовуєте стандартні групи безпеки, які надаються Exchange RBAC.
-
Користувач, який виконує сценарій, не входить до групи ролей керування організацією.
-
