Certificat d'authentification Exchange Server Monitor Exchange

Janvier 2023offert dans Mise à jour de sécurité du serveur Exchange avec (SU) "Signature du certificat de la charge utile de sérialisation PowerShell" fonctionnalité ajoutée. Microsoft a annoncé que les administrateurs doivent activer Serialization Payload lors de la première installation. Cette exigence est basée sur la fonctionnalité Serialization Payload. Certificat d'authentificationC'est parce qu'il en a besoin. S'il y a un problème avec AuthCertification dans Exchange Server, le système peut rencontrer divers problèmes.

Provenant précédemment du certificat d'authentification OWA ve ECP Nous avons mentionné le certificat d'authentification du serveur Exchange dans l'article sur le problème d'accès.

Microsoft, Certificat d'authentification du serveur Exchange résoudre ses problèmes GitHub Il a publié un scénario sur sa page. Ce script doit être exécuté avant d'activer la charge utile de sérialisation. S'il n'y a pas de problème de certificat d'authentification dans votre environnement, ce script n'est pas nécessaire.

Conditions requises pour le script de certificat d'authentification du serveur Exchange

Ce script ne peut être exécuté que sur des serveurs exécutant le rôle de boîte aux lettres d'Exchange Server et à partir d'une invite de commande Exchange Management Shell (EMS) élevée. Pour utiliser le script, vous devez être membre du groupe de rôles approprié.

Comment utiliser le script de certificat d'authentification du serveur Exchange

Si vous faites confiance au certificat, vous pouvez le vérifier avec ce script. Vous n'avez pas besoin d'utiliser de paramètres supplémentaires pour le processus de vérification. Le script inclut toutes les opérations dans le répertoire d'installation d'Exchange Server. Logging\AuthCertificateMonitoring sous dossier .txt enregistre au format.

.\MonitorExchangeAuthCertificate.ps1

Une fois le script exécuté, le chemin où il a enregistré le fichier journal est affiché. Lors de mes enquêtes dans mon propre environnement, j'ai confirmé que tous les certificats d'authentification sont corrects et fonctionnent.

La commande suivante peut être utilisée pour renouveler le certificat d'authentification actif sur Exchange Server. Cette commande actualise les pools WebApp en les redémarrant également :

.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true

Si la réponse est « Y » lors de la première exécution de la commande, le script démarrera sans surveillance. Il est recommandé de redémarrer les pools WebApp lorsque le certificat d'authentification actif est modifié. Il n'est pas recommandé de remplacer le certificat SMTP local par le certificat d'authentification nouvellement créé.

Il est recommandé de recycler le pool WebApp lorsque le certificat d'authentification actif est modifié. Vous devez répondre par « Y ».

Il n'est pas recommandé de remplacer le certificat de transfert local par le certificat d'authentification nouvellement créé. Vous devez répondre par « N ».

Ce script s'exécute en mode renouvellement sans interaction de l'utilisateur et effectue le renouvellement requis du certificat d'authentification. En mode sans assistance, le certificat SMTP interne est temporairement remplacé par le nouveau certificat d'authentification, puis rétabli à l'ancien certificat. Le script redémarre également les services et les pools WebApp tels que MSExchangeServiceHost, MSExchangeOWAAppPool et MSExchangeECPAppPool lorsque le certificat d'authentification principal est modifié.

Non: Si le script ne trouve pas de certificat de transfert interne préconfiguré sur la machine sur laquelle il est exécuté, il crée un nouveau certificat de transfert interne.
.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true -Confirm:$false

La commande suivante est exécutée en mode d'actualisation sans interaction de l'utilisateur. Ce mode ne prend en compte les serveurs Exchange que lorsqu'ils sont accessibles et effectue l'action d'actualisation si nécessaire :

.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true -IgnoreUnreachableServers $true -Confirm:$false

Ce script s'exécute en mode d'actualisation sans interaction de l'utilisateur, et l'action d'actualisation est effectuée même lorsque la configuration Exchange Hybrid est détectée :

Non: Une fois le certificat d'authentification actif remplacé, vous devez réexécuter l'assistant de configuration hybride (HCW). Ceci est important pour garantir sa compatibilité avec le certificat renouvelé.

.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true -IgnoreHybridConfig $true -Confirm:$false

Paramètres du script du certificat d'authentification du serveur Exchange

paramètretarif
ValidateAndRenewAuthCertificateCe paramètre facultatif active le mode d'authentification et de renouvellement qui effectuera les actions nécessaires pour remplacer un certificat d'authentification invalide/expiré ou si le certificat d'authentification actuel expire dans < 60 jours ou si le certificat configuré comme prochain certificat d'authentification expire dans < 120 jours. Configure un nouveau prochain certificat d'authentification.
Ignorer les serveurs inaccessiblesCe paramètre facultatif peut être utilisé pour ignorer si certains serveurs Exchange de l'organisation sont inaccessibles. Si ce paramètre est utilisé, le script vérifie uniquement les serveurs accessibles et effectue des actions de renouvellement du certificat d'authentification en fonction du résultat. Le paramètre peut être combiné avec le paramètre et peut également être utilisé avec le paramètre pour configurer le script à exécuter via la tâche planifiée.IgnoreHybridConfigConfigureScriptToRunViaScheduledTask
IgnorerHybridConfigCe paramètre facultatif vous permet d'effectuer explicitement des actions de renouvellement du certificat d'authentification (si nécessaire) même si la configuration hybride Exchange est détectée. Vous devez exécuter HCW une fois que le certificat d'authentification renouvelé est devenu le certificat utilisé. Le paramètre peut être combiné avec le paramètre et peut également être utilisé avec le paramètre pour configurer le script à exécuter via la tâche planifiée.IgnoreUnreachableServersConfigureScriptToRunViaScheduledTask
PrepareADForAutomationOnlyCe paramètre facultatif peut être utilisé dans les scénarios d’autorisation fractionnée AD. Il vous permet de créer un compte AD qui peut ensuite être utilisé pour exécuter automatiquement le script de surveillance des certificats d'authentification Exchange via le Planificateur de tâches.
ADAccountDomainCe paramètre facultatif vous permet de spécifier le domaine qui sera utilisé pour créer le compte AD qui sera ensuite utilisé par le script pour l'automatisation. Le paramètre peut être combiné avec le paramètre.PrepareADForAutomationOnly
ConfigureScriptToRunViaScheduledTaskCe paramètre facultatif peut être utilisé pour configurer automatiquement les exigences pour AD (compte utilisateur), Exchange (activer le compte par e-mail, masquer le compte du carnet d'adresses, créer un nouveau groupe de rôles avec des autorisations limitées) et enfin créer la tâche planifiée sur l'ordinateur sur lequel le script est exécuté (il doit s'agir d'un serveur Exchange exécutant le rôle de boîte aux lettres).
AutomationAccountCredentialCe paramètre facultatif peut être utilisé pour fournir un utilisateur différent dans le contexte duquel le script est exécuté via la tâche planifiée.
Mot de PasseParamètre permettant de fournir un mot de passe au script, requis dans certains scénarios.
ExportAuthCertificatesAsPfxCe paramètre facultatif peut être utilisé pour exporter tous les certificats d'authentification présents sur le système sous forme de fichier .pfx protégé par mot de passe.
ScriptUpdateOnlyCe paramètre facultatif vous permet de simplement mettre à jour le script sans effectuer d'autres actions.
Ignorer la vérification de la versionCe paramètre facultatif peut être utilisé pour contourner la fonctionnalité AutoUpdate afin de télécharger la dernière version du script.

Commenter