Exchange Server Ocak 2023 SU ile birlikte Certificate Signing of PowerShell Serialization Payload özelliği ile gelmişti.
Microsoft Serialization Payload’ı ilk seferde yöneticilerin aktifleştirmesi gerektiğini duyurmuştu, aslında bunun sebebi Serialization Payload özelliği AuthCertificate ihtiyacı duymasından kaynaklanmaktadır. Eğer Exchange Server‘da AuthCertification’da sorun bulunuyorsa Exchange Server sorunlar yaşayabilmektedir.
Microsoft Auth Certificate için bir github sayfasında bir script yayınladı, kendi ortamımızda Serialization Payload etkinleştirmesi yapmadan önce ilgili scripti çalıştırmam gerekiyor. Sizin ortamınızda Auth Certificate sorunu bulunmuyorsa Scripte ihtiyaç duymamaktasınız.
MonitorExchangeAuthCertificate – Microsoft – CSS-Exchange
Gereksinimler
Komut dosyasını çalıştırmak için, rol grubunun bir üyesi olmanız gerekir. Komut dosyası, Posta Kutusu rolünü çalıştıran bir Exchange Server’da yükseltilmiş bir Exchange Management Shell (EMS) komut isteminden çalıştırılmalıdır.
Exchange Server AuthCertificate Scripti Nasıl Kullanılır
Eğer ortamınızda sertifikaya güveniyorsanız bu script ile doğrulama işlemi yapabilirsiniz, doğrulama işlemi için herhangi bir parametre kullanmanız gerekmiyor.
Not: Script yapılan her işlemi Exchange Server kurulum dizini içerisinde Logging\AuthCertificateMonitoring altında .txt olarak kaydetmektedir.
.\MonitorExchangeAuthCertificate.ps1
Script çalıştıktan sonra Log dosyasını kaydettiği yolu size göstermektedir, kendi ortamımda bulunan sunucuları incelediğim zaman tüm Auth Sertifikalarımın doğru ve çalışıyor olduğunun teyidini yaptım.
Aşağıdaki komut, kullanıcı ile etkileşim yürütmeden yenileme işlemi yapar. Ortam üzerinde gerekli Auth Certificate yenileme işlemini gerçekleştirir. Bu işlem WebApp Pool’leri Recycle yapmaktadır.
.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $trueKomut ilk çalıştığı zaman “Y” olarak cevap verirseniz Script katılımsız olarak çalışmaya başlayacaktır.
Etkin Kimlik Doğrulama Sertifikası değiştirildiğinde WebApp Pool geri dönüştürülmesi önerilir. ‘Y’ ile yanıt vermelisiniz.
İç aktarım sertifikasının yeni oluşturulan Kimlik Doğrulama Sertifikası ile değiştirilmesi önerilmez. ‘N’ ile yanıt vermelisiniz.
Aşağıdaki komut dosyasını kullanıcı etkileşimi olmadan yenileme modunda yürütür. Gerekli Kimlik Doğrulama Sertifikası yenileme işlemi gerçekleştirilir. Katılımsız modda, iç SMTP sertifikası yeni Kimlik Doğrulama Sertifikası ile değiştirilir ve ardından öncekine geri ayarlanır. Komut dosyası ayrıca, birincil Kimlik Doğrulama Sertifikası değiştirildiğinde hizmeti ve WebApp Havuzlarını yeniden başlatır.MSExchangeServiceHostMSExchangeOWAAppPoolMSExchangeECPAppPool
NOT: Önceden yapılandırılmış olan, komut dosyasının çalıştırıldığı makinede bulunamamışsa, komut dosyası yeni bir iç aktarım sertifikası oluşturur.
.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true -Confirm:$falseAşağıdaki sözdizimi, komut dosyasını kullanıcı etkileşimi olmadan yenileme modunda çalıştırır. Exchange sunucularını yalnızca erişilebilir olduklarında dikkate alırız ve gerekirse yenileme eylemini gerçekleştirilir.
.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true -IgnoreUnreachableServers $true -Confirm:$falseAşağıdaki komut dosyasını kullanıcı etkileşimi olmadan yenileme modunda yürütmektedir. Yenileme eylemi, Exchange Hybrid yapılandırması algılandığında bile gerçekleştirilir.
NOT: Etkin Kimlik Doğrulama Sertifikası değiştirildikten sonra Hybrid Yapılandırma Sihirbazı’nı (HCW) yeniden çalıştırmanız gerekir.
.\MonitorExchangeAuthCertificate.ps1 -ValidateAndRenewAuthCertificate $true -IgnoreHybridConfig $true -Confirm:$falseParametre
| Parametre | Tarif |
|---|---|
| ValidateAndRenewAuthCertificate | Bu isteğe bağlı parametre, geçersiz/süresi dolmuş bir Kimlik Doğrulama Sertifikasının yerini almak için gerekli eylemleri gerçekleştirecek doğrulama ve yenileme modunu etkinleştirir veya geçerli Kimlik Doğrulama Sertifikasının süresi 60 günden < içinde dolarsa veya bir sonraki Kimlik Doğrulama Sertifikası olarak yapılandırılan sertifikanın süresi < 120 gün içinde dolarsa yeni bir sonraki Kimlik Doğrulama Sertifikası yapılandırır. |
| IgnoreUnreachableServers | Bu isteğe bağlı parametre, kuruluş içindeki Exchange sunucularından bazılarına erişilememesi durumunda yoksaymak için kullanılabilir. Bu parametre kullanılırsa, komut dosyası yalnızca erişilebilen sunucuları doğrular ve sonuca göre Kimlik Doğrulama Sertifikası yenileme eylemleri gerçekleştirir. Parametre, parametreyle birleştirilebilir ve komut dosyasını zamanlanmış görev aracılığıyla çalışacak şekilde yapılandırmak için parametreyle birlikte de kullanılabilir.IgnoreHybridConfigConfigureScriptToRunViaScheduledTask |
| IgnoreHybridConfig | Bu isteğe bağlı parametre, Exchange karma yapılandırması algılanmış olsa bile Kimlik Doğrulama Sertifikası yenileme eylemlerini (gerekirse) açıkça gerçekleştirmenize olanak tanır. Yenilenen Kimlik Doğrulama Sertifikası kullanımda olan Sertifika haline geldikten sonra HCW’yi çalıştırmanız gerekir. Parametre, parametreyle birleştirilebilir ve komut dosyasını zamanlanmış görev aracılığıyla çalışacak şekilde yapılandırmak için parametreyle birlikte de kullanılabilir.IgnoreUnreachableServersConfigureScriptToRunViaScheduledTask |
| PrepareADForAutomationOnly | Bu isteğe bağlı parametre, AD Bölünmüş İzin senaryolarında kullanılabilir. Daha sonra Görev Zamanlayıcı aracılığıyla Exchange Kimlik Doğrulama Sertifikası İzleme komut dosyasını otomatik olarak çalıştırmak için kullanılabilecek AD hesabı oluşturmanıza olanak tanır. |
| ADAccountDomain | Bu isteğe bağlı parametre, daha sonra komut dosyası tarafından otomasyon için kullanılan AD hesabını oluşturmak için kullanılacak etki alanını belirtmenize olanak tanır. Parametre, parametre ile birleştirilebilir.PrepareADForAutomationOnly |
| ConfigureScriptToRunViaScheduledTask | Bu isteğe bağlı parametre, AD (kullanıcı hesabı), Exchange (e-postayla hesabı etkinleştirme, hesabı adres defterinden gizleme, sınırlı izinlere sahip yeni bir rol grubu oluşturma) gereksinimlerini otomatik olarak hazırlamak için kullanılabilir ve son olarak komut dosyasının yürütüldüğü bilgisayarda zamanlanmış görevi oluşturur (posta kutusu rolünü çalıştıran bir Exchange sunucusu olmalıdır). |
| AutomationAccountCredential | Bu isteğe bağlı parametre, bağlamı altında komut dosyasının zamanlanmış görev aracılığıyla yürütüldüğü farklı bir kullanıcı sağlamak için kullanılabilir. |
| Password | Bazı senaryolarda gerekli olan komut dosyasına bir parola sağlamak için parametre. |
| ExportAuthCertificatesAsPfx | Bu isteğe bağlı parametre, sistemde bulunan tüm Kimlik Doğrulama Sertifikalarını parola korumalı .pfx dosyası olarak dışa aktarmak için kullanılabilir. |
| ScriptUpdateOnly | Bu isteğe bağlı parametre, başka herhangi bir eylem gerçekleştirmeden yalnızca komut dosyasını güncelleştirmenize olanak tanır. |
| SkipVersionCheck | Bu isteğe bağlı parametre, komut dosyasının en son sürümünü indirmek üzere Otomatik Güncelleştirme özelliğini atlamak için kullanılabilir. |
