Tóm tắt
Bắt đầu từ bản cập nhật bảo mật (SU) tháng 1 năm 2023 cho Microsoft Exchange Server, chúng tôi đã giới thiệu một tính năng mới cho phép người quản trị cấu hình việc ký chứng chỉ của tải trọng tuần tự hóa PowerShell dựa trên chứng chỉ. Tính năng này phải được bật theo cách thủ công bởi người quản Exchange Server sau khi cài đặt SU trên tất cả các máy chủ dựa trên Exchange. Bài viết này cung cấp các bước để cho phép ký dữ liệu sê-ri PowerShell dựa trên chứng chỉ Exchange Server.
Điều kiện tiên quyết
Điều kiện tiên quyết để bật tính năng này:
-
Hãy đảm bảo rằng tất cả các máy chủ dựa trên Exchange trong môi trường của bạn đều cài đặt SU tháng 1 năm 2023 hoặc SU mới hơn. Nếu bạn bật tính năng này trước khi cập nhật tất cả các máy chủ, lỗi deserialization có thể xảy ra và kích hoạt các vấn đề khác.
-
Đảm bảo rằng chứng chỉ xác thực xác thực Exchange Server hợp lệ được đặt cấu hình và sẵn dùng trên tất cả các máy chủ dựa trên Exchange (ngoại trừ máy chủ Edge Transport) trước và sau khi bạn bật ký chứng chỉ.
Bạn có thể chạy tập lệnh MonitorExchangeAuthCertificate.ps1 kiểm tra chứng chỉ xác thực hợp lệ trên máy chủ Exchange cơ sở trong môi trường của bạn. Tập lệnh cũng kiểm tra xem chứng chỉ xác thực sẽ hết hạn trong vòng chưa đến 60 ngày và nó có thể giúp bạn xoay chứng chỉ. Để biết thêm thông tin về MonitorExchangeAuthCertificate.ps1, hãy xem Màn hình Exchange AuthCertificate
Để kiểm tra tính khả dụng và tính hợp lệ của chứng chỉ xác thực theo cách thủ công, hãy xem xác thực tính sẵn dùng và hiệu lực của chứng chỉ xác thực.
Chúng tôi khuyên bạn nên sử dụng MonitorExchangeAuthCertificate.ps1 lệnh mới (hoặc tạo một tập lệnh mới, nếu cần thiết). Điều này là do tập lệnh cũng có thể gia hạn chứng chỉ xác thực đã hết hạn. Tập lệnh bao gồm chế độ thực thi thủ công (xác minh tính khả dụng của chứng chỉ xác thực hoặc xác minh và thực hiện hành động, nếu cần thiết). Tập lệnh cũng bao gồm chế độ tự động hóa hoạt động bằng cách sử dụng Bộ lập lịch Nhiệm vụ Windows.
Giải pháp
Đối với các máy chủ Exchange Server 2019 hoặc Exchange Server 2016 (đã cập nhật lên SU tháng 1 năm 2023 trở lên)
-
Chạy lệnh ghép ngắn sau đây trong Exchange Management Shell (EMS) trên máy chủ đang chạy Exchange Server môi trường của bạn:
New-SettingOverride -Name "EnableSigningVerification" -Component Data -Section EnableSerializationDataSigning -Parameters @("Enabled=true") -Reason "Enabling Signing Verification"
Lệnh ghép ngắn này cho phép tất cả các máy chủ đang chạy Exchange Server 2019, 2016 hoặc 2013 trong môi trường của bạn để ký chứng chỉ tải trọng tuần tự hóa PowerShell. Bạn không phải chạy lệnh ghép ngắn trên mọi máy chủ. -
Làm mới đối số VariantConfiguration bằng cách chạy lệnh ghép ngắn sau:
Get-ExchangeDiagnosticInfo -Process Microsoft.Exchange.Directory.TopologyService -Component VariantConfiguration -Argument Refresh -
Để áp dụng cài đặt mới, hãy khởi động lại dịch vụ Phát hành Web Toàn cầu và Dịch vụ Kích hoạt Quy trình Windows (WAS). Để thực hiện điều này, hãy chạy lệnh ghép ngắn sau:
Restart-Service -Name W3SVC, WAS -ForceLưu ý: Khởi động lại các dịch vụ này trên Exchange Server chủ dựa trên nền tảng điện toán mà cài đặt ghi đè lên lệnh ghép ngắn đang chạy.
Đối với các máy chủ Exchange Server 2013
Nếu bạn có máy chủ đang chạy Microsoft Exchange Server 2013 trong môi trường của mình, bạn phải cấu hình khóa đăng ký trên từng máy chủ. Xác định các cài đặt sau đây.
Khóa đăng ký:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics
Giá trị:EnableSerializationDataSigning
Nhập: Chuỗi
Dữ liệu: 1
Để tạo giá trị sổ đăng ký trên một Exchange Server chủ dựa trên nền tảng 2013, hãy chạy lệnh ghép ngắn sau đây:
- New-ItemProperty -Path HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Diagnostics -Name "EnableSerializationDataSigning" -Value 1 -Type String
Để áp dụng cài đặt mới, hãy khởi động lại dịch vụ Phát hành Web Toàn cầu và Dịch vụ Kích hoạt Quy trình Windows (WAS). Để thực hiện điều này, hãy chạy lệnh ghép ngắn sau:
- Restart-Service -Name W3SVC, WAS -Force
Lưu ý: Khởi động lại các dịch vụ này trên Exchange Server máy chủ dựa trên 2013 trong môi trường của bạn nơi thực hiện thay đổi sổ đăng ký.
Sự cố đã biết
-
Nếu khả năng ký dữ liệu tuần tự hóa được bật, chứng chỉ xác thực đã hết hạn sẽ ngăn chặn lệnh ghép ngắn Get-ExchangeCertificate trả về chi tiết chứng chỉ.
-
Sau khi cài đặt Bản cập nhật Bảo mật tháng 1 năm 2023 hoặc Tháng Hai 2023 cho Microsoft Exchange Server 2019, 2016 hoặc 2013 và Đã bật Ký Chứng chỉ của Tải trọng Sê-ri hóa PowerShell, Hộp công cụ Exchange và Trình xem Hàng đợi không khởi động. Để biết thêm thông tin, hãy xem Hộp công cụ Exchange và Trình xem Hàng đợi bị lỗi sau khi Đã bật Ký Chứng chỉ của Tải trọng Sê-ri hóa PowerShell (KB5023352).
-
Nếu khả năng ký dữ liệu tuần tự được bật, lệnh ghép ngắn Get-ExchangeCertificate sẽ không trả về giá trị hiển thị khi chạy trên máy tính có cài đặt Công cụ Quản lý Exchange nhưng không có vai trò Exchange Server khác. Điều này xảy ra bất kể chứng chỉ xác thực có hợp lệ hay không.
-
Một số tập lệnh được bao gồm trong Exchange Server (ví dụ, RedistributeActiveDatabases.ps1) không làm việc chính xác nếu các điều kiện sau đây là đúng:
-
Tính năng Ký Tải trọng Sê-ri hóa PowerShell đã được bật.
-
Bạn không sử dụng nhóm bảo mật mặc định do Exchange RBAC cung cấp.
-
Người dùng chạy tập lệnh không phải là thành viên của nhóm vai trò Quản lý Tổ chức.
-