Updates für Exchange 2016
Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
https://www.netatwork.de/unternehmen/karriere/
Exchange 2016 RTM wurde im Oktober 2015 "released" und seitdem gibt es kontinuierliche Updates. Eine Übersicht der Versionen:
Abhängigkeiten: .NET Framework und Powershell (WMF)
Achtung:
Die Windows Updates vom 10. Juni können Exchange außer Funktion setzen. Es gibt schon Updates für die Updates. Siehe auch
Issue with July Updates for Windows on an Exchange Server
https://blogs.technet.microsoft.com/exchange/2018/07/16/issue-with-july-updates-for-windows-on-an-exchange-server/
Advisory on July 2018 .NET Framework Updates
https://blogs.msdn.microsoft.com/dotnet/2018/07/20/advisory-on-july-2018-net-framework-updates/
Es gibt Abhängigkeiten von Exchange und dem .NET Framework. Für eine bestimmte Aktualisierung von .NET muss auch eine Mindestversion von Exchange installiert sein, Umgekehrt braucht auch Exchange natürlich eine Mindestversion des .NET-Framework.
Beachten Sie auch die Beschreibungen zu NET-Framework auf Updates und .NET Framework
Die zuverlässigste Quelle ist die Installationsmatrix von Microsoft auf https://technet.microsoft.com/en-us/library/ff728623 welche nach Exchange Version die Interoperabilität zu .NET und WMF aufführt.
.NET 4.7.1 ist mit CU8 kompatibel. Wer noch CU4 mit Net 4.2 oder 4.6.1 nutzt , kann nicht direkt aktualisieren, sondern muss über CU5 und NET 4.6.2 auf CU8. Net 4.7.1 wird mit dem geplanten Update im Juni 2018 Voraussetzung sein, damit sie schon mal vorplanen können.
.NET 4.7.0 wurde released aber initial weder mit Exchange noch Skype for Business kompatibel!
https://blogs.technet.microsoft.com/exchange/2017/06/13/net-framework-4-7-and-exchange-server/
Inklusive „Rollback“-Anleitung
http://www.expta.com/2017/05/do-not-install-net-framework-47-on.html
.Net 4.6.2 is included with Windows Server 2016. Customers deploying Exchange on Windows Server 2016 must use .Net 4.6.2 and Cumulative Update 3 or later. We plan to add support for .Net 4.6.2 on Windows Server 2012 or Windows Server 2012R2 in our December releases of Exchange Server 2016 and 2013. .Net 4.6.2 will be required for Exchange Server 2016 and 2013 on all supported operating systems in March 2017 Quelle: https://blogs.technet.microsoft.com/exchange/2016/09/20/released-september-2016-quarterly-exchange-updates/
- Upgrade Paths for CU’s & .NET
https://eightwone.com/2017/12/21/upgrade-paths-for-cus-net/
Gemischte Versionen
Es lässt sich nicht vermeiden, dass mit mehreren Servern unterschiedliche Versionen in der Organisation aktiv sind. Sie sollten dennoch sicherstellen, dass alle Server aber auch Admin-Workstations mit installierten Exchange Management Tools auf dem aktuellen Stand sind, um "Effekte" zu vermeiden. Ich habe das mit dem Skript "DynQuota erlebt. Ein "Set-Mailbox" mit den Quota-Werten auf einem "Job-PC" mit CU4 hat funktioniert aber beim Get-Mailbox wurden die Quotas weiterhin als "unlimited" angezeigt. Erst nachdem auch dieser Job-PC auf das damals aktuelle CU5 aktualisiert wurde, hat auch ein Get-Mailbox die richtigen Daten geliefert. Das ist natürlich bitte, wenn das Skript die aktuell gesetzten Quotas mit der Mailboxgröße vergleichen will und der Get-Mailbox als Wert ein "Unlimited" liefert. Ich habe einige Zeit gebraucht zu erkennen, dass es nicht mein Code war, der hier fehlerhaft war.
Schnellanleitung Update-Installation
Damit das Update fehlerfrei durchläuft, sollten Sie folgendes Vorgehen nutzen:
- Prüfen Sie die Zertifikate
Mit dem Nov2023 Update ist das OAUTH-Zertifikat kritisch und hat bei mir das Update mehrfach verhindert . Auch sonst sollten alle Zertifikat gültig sind. - Installieren Sie zuerst Windows Updates ohne Exchange
Updates
Auch wenn Windows Updates die Exchange Updates mit anbietet, sollten Sie das Exchange Update erst später und getrennt installieren - Machen Sie IMMER einen Neustart
Das ist nicht nur aufgrund der Windows Updates vielleicht sowieso erforderlich, sondern startet insbesondere auch den WMI-Dienst neu. Zu oft hat mir diese Dienst das Update blockiert, weil Backup, Monitoring o.ä. noch Sitzungen offen hatten. - Installieren sie das Exchange Update interaktiv als Admin
Bitte nicht über Windows Update installieren, da Sie dann nicht den Fortschritt sehen und ggfls. Rückfragen oder Probleme nicht beantworten können. Sollte mal ein Schema Update dabei sein, dann funktioniert es auch nicht - Starten Sie den Server neu
Meist fordert Exchange das sogar an aber mir ist einfach wohler zu sehen, dass auch nach einem Neustart noch alles funktioniert. - Starten Sie den Healthchecker.ps1
Nutzen Sie das Tool von Microsoft, um die gängigen Fehler einer Server-Installation zu erkennen.
Viel Erfolg bei der Installation des Updates.
Exchange 2016/2019 Nov SUv2
Achtung: Auch das V2-Update hat noch einen Bug mit ICS-Dateien. In eine Config-Datei hat sich eine Zeitzone doppelt geschlichten und muss geändert werden.
Siehe auch Time zone exception occurs after installing Exchange Server November 2024 SU (Version 1 or Version 2)
https://support.microsoft.com/en-us/topic/time-zone-exception-occurs-after-installing-exchange-server-november-2024-su-version-1-or-version-2-851b3005-6d39-49a9-a6b5-5b4bb42a606f
Am 27. Nov 2024 hat Microsoft das Security Update Nov 2024 als "SUv2" neu bereitgestellt. Es ursprünglich am 12. Nov 2024 veröffentlicht worden (KB5044062 ) aber hatte Probleme bei Transportregeln und DLP mit sich gebracht und wurde daher wenige Tage darauf zurückgezogen. Die aktuelle Version hat diese Probleme nicht mehr und sollte auf allen Servern installiert werden.
Exchange Server 2019 CU13 https://www.microsoft.com/download/details.aspx?familyID=56d90b73-4c0a-4cc6-a34e-768284aada1b
Exchange Server 2019 CU14
https://www.microsoft.com/download/details.aspx?id=106320
Exchange Server 2016 CU23
https://www.microsoft.com/download/details.aspx?familyID=e0299b1b-535a-44e0-8f57-ed2b9cc94e6f
Für Exchange 2013 und ältere als auch ältere CU-Versionen von Exchange 2016/2019 gibt es kein Update. Aktualisieren sie 2016/2019 erst auf ein aktuelles CU und installieren Sie dann das letzte SUv2. Das SUv2 wird im Dezember über Windows Update bereitgestellt.
- Re-release of November 2024 Exchange Server Security Update packages
https://techcommunity.microsoft.com/blog/exchange/re-release-of-november-2024-exchange-server-security-update-packages/4341892 - Released: November 2024 Exchange Server Security Updates
https://techcommunity.microsoft.com/blog/exchange/released-november-2024-exchange-server-security-updates/4293125 - Time zone exception occurs after installing Exchange Server November 2024 SU (Version 1 or Version 2)
https://support.microsoft.com/en-us/topic/time-zone-exception-occurs-after-installing-exchange-server-november-2024-su-version-1-or-version-2-851b3005-6d39-49a9-a6b5-5b4bb42a606f
Nov 2024 SU
Alle warten auf das Exchange 2019 CU15 zur Installation auf Windows Server 2025 aber dann bringt Microsoft doch noch mal ein kleines Security Update für Exchange 2016 CU23, Exchange 2019 CU13 und CU14 heraus. Wer noch eine ältere Version betreibt, muss erst ein aktuelles CU installieren und dann das letzte SU.
Das Nov SU wurde am 16. Nov zurückgezogen. Anscheinend hatte es einen Fehler, der Störungen bei Transportregeln verursacht.
Microsoft listet offiziell drei Änderungen:
- CVE-2024-49040 -Fix
Über einen absichtlich falsch formatierten RFC 5322 P2 FROM-Header (Also im SMTP-Header) konnte ein Absender eine andere Adresse vorgeben und damit Phishing-Angriffe erleichtern. Eine Gefahr für den Server oder Outlook besteht wohl nicht und das Rating ist mit 7.5 moderat. - Erweiterte AMSI-Funktionen
Exchange erweitert die Nutzung von AMSI - AntiMalware Scan Interface, damit Scanner von Drittherstellern weitere Aktionen durchführen können. Diese Erweiterung ist aber per Default abgeschaltet, denn sie könnte eine höhere Systemlast verursachen und sie sollten als Administrator die Aktivierung überwachen,. - ECC-Zertifikate
Diese besonderen Zertifikate waren auch vorher schon möglich aber erforderten ein "New-SettingsOverwrite". Mit dem SU wird die Funktion über REGEDIT gesteuert.
Zusätzlich gibt es aber noch jede Menge Links auf weitere Fehler, die gleich mit gefixt werden.
- Journal report decryption doesn’t decrypt attachment in
journal mailbox
https://support.microsoft.com/en-us/topic/journal-report-decryption-doesn-t-decrypt-attachment-in-journal-mailbox-cc0f8342-a1e4-4c13-9dde-2fcf0b23c7ce - Error after adding support for AES256-CBC–encrypted content
in August 2023 SU
https://support.microsoft.com/en-us/topic/error-after-adding-support-for-aes256-cbc-encrypted-content-in-august-2023-su-d238cb4c-0421-4c80-b3d6-993973b6575f - Exchange can’t decrypt IRM messages
https://support.microsoft.com/en-us/topic/exchange-can-t-decrypt-irm-messages-b17af1ae-70c5-4e7d-a96c-8cb78206bf81 - Server with PowerShell_ISE doesn’t serialize when connecting
to EMS
https://support.microsoft.com/en-us/topic/server-with-powershell-ise-doesn-t-serialize-when-connecting-to-ems-597650cf-6d34-4b3b-87b9-ca63d16118e4 - Email sent through Pickup folder displays admin version
https://support.microsoft.com/en-us/topic/email-sent-through-pickup-folder-displays-admin-version-068ae880-5bbf-43f0-a1fa-24a78f31635f - CSR created by Exchange are signed with outdated Encryption
algorithm
https://support.microsoft.com/en-us/topic/csrs-created-by-exchange-are-signed-with-outdated-encryption-algorithm-a3fd3fce-6637-4fc0-ba9d-a11235d8bd28 - OWA displays incorrect time zone for Amman
https://support.microsoft.com/en-us/topic/owa-displays-incorrect-time-zone-for-amman-066e76d5-2126-4b83-8ae7-7520490a8104 - Kazakhstan changes to single time zone in 2024
https://support.microsoft.com/en-us/topic/kazakhstan-changes-to-single-time-zone-in-2024-b60c4866-30ed-4c9b-bd39-7874bc23386e - Moderated messages are marked as expired after they are
approved or rejected
https://support.microsoft.com/en-us/topic/moderated-messages-are-marked-as-expired-after-they-are-approved-or-rejected-19104629-b1d0-4885-993f-fa8764a2f44b
Auch wenn Microsoft das CU15 für Exchange 2019 für "Ende 2024" angekündigt hat, sollten das kein Anlass sein, die Installation des SU zu verzögern.
Die Downloads wurden am 16. Nov von Microsoft deaktiviert. Wir warten auf ein Rerelease
- Released: November 2024 Exchange Server Security Updates
https://techcommunity.microsoft.com/blog/exchange/released-november-2024-exchange-server-security-updates/4293125 - Sicherheitsanfälligkeit in Microsoft Exchange Server
bezüglich Spoofing
https://msrc-microsoft-com.translate.goog/update-guide/vulnerability/CVE-2024-49040 - CVE-2024-49040: Mitigating a Critical Microsoft Exchange
Server Vulnerability
https://techcommunity.microsoft.com/discussions/exchange_general/cve-2024-49040-mitigating-a-critical-microsoft-exchange-server-vulnerability/4297113 - NIST CVE-2024-49040 Detail
https://nvd.nist.gov/vuln/detail/CVE-2024-49040 - Exchange Server: Neue Sicherheitsupdates verfügbar (November
2024)
https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-verfuegbar-november-2024/ - November 2024 Exchange Server Security Updates
https://www.alitajran.com/november-2024-exchange-server-security-updates/
Downloads
Administrative Templates (.admx) for Windows Server 2025 (Nov 24 release)
https://www.microsoft.com/en-us/download/details.aspx?id=106295
Group Policy Settings Reference Spreadsheet for Windows Server 2025 (Nov 24
release)
https://www.microsoft.com/en-us/download/details.aspx?id=106296
April 2024 HU (Hotfix Update)
Wenige Wochen nach dem letzten Größeren CU hat Microsoft für Exchange 2016CU23 und Exchange 2019 CU13/CU14 ein kleines Updates veröffentlicht:
- Hotfix update for Exchange Server 2019 and 2016: April 23,
2024 (KB5037224)
https://support.microsoft.com/en-us/topic/hotfix-update-for-exchange-server-2019-and-2016-april-23-2024-kb5037224-35eddea8-4828-4e38-b462-db89ea1100c9 - Released: April 2024 Exchange Server
Hotfix Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-april-2024-exchange-server-hotfix-updates/ba-p/4120536
Das Paket enthält keine weiteren Sicherheitsupdates, die nicht auch schon im März 2024 Update enthalten sind. Aber Microsoft korrigiert einige Bugs, die mit dem März 2024 SU noch nicht gefixt oder sogar erst aufgerissen wurden.
- Download domains not working after
installing the March 2024 SU
https://support.microsoft.com/topic/5037171 - "We can't open this document" error in
OWA after installing March 2024 SU
https://support.microsoft.com/topic/5037171 - Search error in Outlook cached mode
after installing March 2024 SU
https://support.microsoft.com/topic/5037277 - OwaDeepTestProbe and
EacBackEndLogonProbe fail after installing
March 2024 SU
https://support.microsoft.com/topic/5037172 - Edit permissions option in the ECP can't
be edited
https://support.microsoft.com/topic/5035497 - Outlook doesn't display unread envelope
icon after installing Microsoft Exchange
Server March 2024
https://support.microsoft.com/topic/5037438 - My Templates add-in isn't working after
installing Microsoft Exchange Server March
2024 SU
https://support.microsoft.com/topic/5038295
Published calendars might not work with a "This calendar isn't available" error after installing March 2024 SU
Offiziell gibt es noch ein bekanntes Problem, was auch mit dem April HU 2024 noch nicht korrigiert ist:
- Calendar printing in OWA might not work unless CTRL+P keyboard shortcut is used.
Das kommt dann im einem folgenden Updates.
Obwohl es nur ein "Hotfix Update" ist, bringt das April 2024 HU auch zwei neue Funktionen mit:
- ECC Zertifikate
Damit können Sie mit Exchange nun die Zertifikate mit "elliptic curve cryptography" verwenden. Diese stärkere Verschlüsselung/Hash-Funktionen haben einen höheren Schutzlevel und sind in einigen Umgebungen "empfohlen". Lesen Sie aber die Anleitung, denn Primär geht es um HTTP-Zugriffe. Für Edge-Server, ADFS, Federation Trust und OAUT müssen es weiter RSA-Zertifikate sein. - Hybrid Modern Auth für OWA/ECP
Schon länger konnten Sie den Zugriff auf einen OnPremises Exchange Server für ActiveSync und Outlook über AzureAD besser absichern. Mit diesem Updates können Sie nun auch die Anmeldung per OWA und am ECP von Basic/Formbased/NTLM/Kerberos auf OAUTH umstellen und damit z.B. MFA aus Azure verwenden.
Hier die entsprechenden Links
- Elliptic Curve Cryptography certificates
support in Exchange Server
https://learn.microsoft.com/en-us/exchange/architecture/client-access/certificates?view=exchserver-2019#elliptic-curve-cryptography-certificates-support-in-exchange-server - Enable Hybrid Modern Authentication for
OWA and ECP
https://learn.microsoft.com/en-us/microsoft-365/enterprise/configure-exchange-server-for-hybrid-modern-authentication?view=o365-worldwide#enable-hybrid-modern-authentication-for-owa-and-ecp
March 2024 SU
Knapp einen Monat nach dem letzten CU für Exchange 2016 und 2019 gibt es ein kleines Sicherheitsupdate für die Exchange Server, die noch im Extended Support Lifecycle sind. Ursächlich ist wohl eine Exchange Lücke, die mit einem CVE-Score von 8.8/7.7 bewertet wurde.
- CVE-2024-26198 Microsoft Exchange Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
Wenn die Beschreibung stimmt, dann muss ein Angreifer aber einem Benutzer eine Datei/DLL unterschieben, die dieser auch aufrufen muss.
An unauthenticated attacker could exploit the vulnerability by placing a
specially crafted file onto an online directory or in a local network location
then convincing the user to open it. In a successful attack, this will then load
a malicious DLL which could lead to a remote code execution.
Quelle:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198
Leider ist das nur eine "weichgespülte" Aussage, denn sie beschreibt nicht, wie die DLL dann weiter vorgehen kann. Anscheinend reicht ein "Authenticated User" mit Zugriff auf einen Exchange Server und das muss ja gar nicht der böser rachsüchtige Mitarbeiter sein, sondern in vielen Firmen haben Angreifer schon abgephishte Zugangsdaten und warten nur auf eine passende Lücke. Mit der Veröffentlichung haben die Angreifer nun eine Vergleichsmöglichkeit und es wird wohl nicht lange dauern, bis erste Malware mit dieser Payload erscheint.
Daher sollten Sie, wie immer solche Updates auch zeitnah installieren.
- Twitter: Released: March 2024 Exchange Server Security Updates -
https://twitter.com/MSFTExchange/status/1767712392778076624 - Released: March 2024 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2024-exchange-server-security-updates/ba-p/4075348
Exchange Server 2019 CU13
SU5
Exchange Server 2019 CU14
SU1
Exchange Server 2016 CU23
SU12
Allerdings ist dies diesmal nicht ganz problemlos, das es schon zwei bekannte Bugs gibt, die durch das Update mit installiert werden. Hoffen, wir dass, es auch hier bald ein Update zum Update geben wird.
- OwaDeepTestProbe and EacBackEndLogonProbe fail after installing March 2024
SU
https://support.microsoft.com/en-us/topic/owadeeptestprobe-and-eacbackendlogonprobe-fail-after-installing-march-2024-su-653abc81-a6ac-426e-8e6f-75d339989766 - Download domains not working after installing the March 2024 SU
https://support.microsoft.com/en-us/topic/download-domains-not-working-after-installing-the-march-2024-su-1a67ace0-c38c-4da8-a04a-4e4a83f92b79 - Disable Download Domains in your organization The Download Domain feature is
c
https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-download-domains?view=exchserver-2019#disable-download-domains-in-your-organization - Neue Sicherheitsupdate für Exchange Server (März 2024)
https://www.frankysweb.de/neue-sicherheitsupdate-fuer-exchange-server-maerz-2024/ - Exchange Server Sicherheits-Updates (12. März 2024)
https://www.borncity.com/blog/2024/03/13/exchange-server-sicherheits-updates-12-mrz-2024/
Nov 2023 Security Update
Am 10. Nov 2023 hat Microsoft ein Security Update für Exchange Server 2019 CU12/CU13 und Exchange Server 2016 CU23 released. Offiziell wurden vier Sicherheitslücken geschlossen, die aktuell aktuell noch nicht ausgenutzt werden. Wir können aber davon ausgehen, dass verschiedene Personen schon die Updates untersuchen, um den Angriffsvektor zu finden und auszunutzen. Sie sollten also nicht allzu lange mit der Installation warten.
- KB5032147 Description of the security
update for Microsoft Exchange Server 2016:
November 14, 2023
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2016-november-14-2023-kb5032147-29a93b0b-3506-43c1-87d1-9e83401d1d82 - CVE-2023-36439 - Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36439 - CVE-2023-36050 - Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36050 - CVE-2023-36039 - Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36039 - CVE-2023-36035 - Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36035 - Released: November 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2023-exchange-server-security-updates/ba-p/3980209
Microsoft hat noch einen Fehler im Commandlet "Export-UMPrompt" korrigiert.
- InvalidResponseException when you try to
run Export-UMPrompt
https://support.microsoft.com/en-us/topic/invalidresponseexception-when-you-try-to-run-export-umprompt-943fddcb-1fee-4679-a4cd-a684b3f6bd39
Wichtiger ist aber eine Änderung, die eventuell Powershell-Skripte behindern könnte. Seit Jan 2023 hat Microsoft eine Funktion addiert, um "PowerShell Payload" zu signieren. Wenn ein Admin von einem entfernten PC z.B. ein "Get-Mailbox" macht, dann wir der Befehl nicht auf dem lokalen PC sondern vom Exchange Server ausgeführt. Die Ergebnisse werden aber nicht als "Textstrings" übertragen sondern als Objekte, die dazu "serialisiert" werden müssen.
Zitat: Serialization is the process of
converting the state of an object into a form (stream of
bytes) that can be persisted or transmitted to memory, a
database, or a file. PowerShell, for example, uses
serialization (and its counterpart deserialization) when
passing objects between sessions. To defend Exchange servers
against attacks on serialized data we’ve added
certificate-based signing of PowerShell serialization
payloads in the January 2023 SUs.
Quelle:Released: January 2023 Exchange Server Security
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808
Zur Signierung wird das Exchange Authentication Zertifikat genutzt, welches bei der Installation als SelfSigned-Zertifikat mit 5 Jahre Gültigkeit angelegt wird. Das Zertifikat ist für die gesamte Org, d.h. der erste Exchange Server ist maßgeblich und sie sollten prüfen, wann ihr Zertifikat abläuft und getauscht werden muss. Das geht schnell per PowerShell oder mit einem Microsoft PowerShell Script.
- PowerShell Serialization
- MonitorExchangeAuthCertificate.ps1
https://aka.ms/MonitorExchangeAuthCertificate
https://microsoft.github.io/CSS-Exchange/Admin/MonitorExchangeAuthCertificate/ - Auth Certificate Availability and
Validity.
https://learn.microsoft.com/Exchange/plan-and-deploy/integration-with-sharepoint-and-skype/maintain-oauth-certificate?view=exchserver-2019
[PS] C:\install\Exchange 2019>Get-ExchangeCertificate |where {$_.subject -eq "CN=Microsoft Exchange Server Auth Certificate"} | fl AccessRules : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule} CertificateDomains : {} HasPrivateKey : True IsSelfSigned : True Issuer : CN=Microsoft Exchange Server Auth Certificate NotAfter : 22.11.2024 17:39:45 NotBefore : 22.11.2019 17:39:45 PublicKeySize : 2048 RootCAType : None SerialNumber : 6223FAB84FC36223FAB84FC3445247AB Services : SMTP Status : Valid Subject : CN=Microsoft Exchange Server Auth Certificate Thumbprint : 8E6223FA0BB2B544ADBAFB84FC84FC3445247AB3
Diese Funktion war bislang "optional" aber wird mit dem Security Update November 2023 per Default aktiviert! Das System wird also sicherer aber könnte auch RemotePowerShell stören, wenn z.B.: ihr Exchange Auth-Zertifikate abgelaufen ist.
- Exchange OAuth
- Configure certificate signing of
PowerShell serialization payloads in
Exchange Server
https://learn.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-serialization-payload-sign?view=exchserver-2019#november-2023-su - Certificate signing of PowerShell
serialization payload in Exchange Server
https://support.microsoft.com/en-us/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1
Sie können das Update einfach über "Windows Updates" mit installieren, da es keine Schemaupdates o.ä. ausführt. Ich ziehe es aber dennoch vor, die Updates immer manuell herunter zu laden und interaktiv als Administrator zu installieren. So sehe ich besser den Fortschritt und eventuelle Fehler. Hier die Download Links
Security Update For Exchange Server
2019 CU13 SU4 (KB5032146)
https://www.microsoft.com/en-us/download/details.aspx?id=105713
Security Update For Exchange Server 2019 CU12 SU11
(KB5032146) (163MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105714
Security Update For Exchange Server 2016 CU23 SU11
(KB5032147) (159MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105715
Wenn mal was schief geht, hat Microsoft auch gleich beschrieben, wie Sie die Fehler weiter behandeln.
- Repair failed installations of Exchange
Cumulative and Security updates
https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues
Okt 2023 Security Update
Am 10 Okt 2023 hat Microsoft wieder Security Updates für Exchange 2016 und Exchange 2019 veröffentlicht. Exchange 2013 und früher bekommen leider keine Updates mehr und es könnte sein, dass bei diese älteren Versionen die Lücken weiter offen stehen. Etwas unschön ist, dass es wohl wirklich kritische Lücken sind und Microsoft zu einer sofortigen Installation rät
"our recommendation is to immediately install these updates
to protect your environment."
Quelle:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
- Sicherheitsanfälligkeit in Windows IIS-Server bezüglich
Rechteerweiterungen
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-36434
CVSS:3.1 9.8 / 8.5 - Released: October 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
Zudem korrigiert Microsoft noch zwei Fehler:
- Users in account forest can’t change expired password in OWA
in multi-forest Exchange deployments after installing Aug 2023
https://support.microsoft.com/en-us/topic/users-in-account-forest-can-t-change-expired-password-in-owa-in-multi-forest-exchange-deployments-after-installing-august-2023-su-b17c3579-0233-4d84-9245-755dd1092edb. - Extended Protection causes Outlook for Mac to fail to
download the OAB (we are releasing the new version of the
Extended Protection script)
https://microsoft.github.io/CSS-Exchange/Security/Extended-Protection/
Ich rate wie üblich dazu, die Updates nicht über Windows Uppate automatisch installieren zu lassen, sondern als Administrator herunter zu laden und als Administrator zu starten. Wer mehrere Server und insbesondere DAGs hat, sollte die Server nacheinander aktualisieren und in eine geplante Wartung nehmen, um die Anwender nicht zu stören.
Security Update For Exchange Server 2016 CU23 SU10
(KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105639
15.01.2507.034 159MB
Security Update For Exchange Server 2019 CU13 SU3
(KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105637
15.02.1258.027 163MB
Security Update For Exchange Server 2019 CU12 SU10
(KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105638
15.02.1118.039 163MB
Bitte lesen Sie den Blog-Artikel, wenn Sie mit dem vorherigen Update den Token Cache des IIS deaktiviert haben und nutzen sie den Health Checker nach dem Update, um die generelle Konfiguration auf jedem Server zu prüfen.
- Exchange Server Health Checker script.
https://aka.ms/ExchangeHealthChecker - Update the Exchange Server management tools only role (with
no running Exchange Server) to a newer Cumulative or Security
update
https://learn.microsoft.com/en-us/exchange/manage-hybrid-exchange-recipients-with-management-tools#update-the-exchange-server-management-tools-only-role-with-no-running-exchange-server-to-a-newer-cumulative-or-security-update - Why Exchange Server updates matter
https://techcommunity.microsoft.com/t5/exchange-team-blog/why-exchange-server-updates-matter/ba-p/2280770
August 2023 Security Update v2
Das am 9. Aug veröffentlichte Security Update für Exchange 2019/2016 funktionierte auf nicht englisch installierten Server nicht fehlerfrei und konnte Exchange lahmlegen. Microsoft hat den Fehler recht schnell gemeldet bekommen und manuelle Lösungswege beschrieben. Seit dem 16. Aug gibt es eine aktualisierte Version, die den Fehler nicht mehr hat.
Wichtig: Wenn Sie die
fehlerhafte Version schon installiert haben, dann reicht es nicht die neue
Version einfach drüber zu installieren. Je nach Fehlerbild müssen Sie bestimmte
Schritte vornehmen. Siehe dazu
https://techcommunity.microsoft.com/t5/exchange-team-blog/re-release-of-august-2023-exchange-server-security-update/ba-p/3900025
Die alten Downloadlinks wurden abgeschaltet und die neue Version unter folgenden Links veröffentlicht:
Security Update For Exchange Server 2019 CU13 SU2V2
(KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105534
Security Update For Exchange Server 2019 CU12 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105535
Security Update For Exchange Server 2016 CU23 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105536
August 2023 Security Update
Am 8.8. hat Microsoft auf ihrem Exchange Teams Blog schon das neue Security update für Exchange Server 2019 CU12/CU13 und 2016 CU23 beschrieben. Das war vielleicht etwas früh, denn die Binärdateien wurden erst einige Stunden später bereit gestellt und haben auf nicht englischsprachigen Servern nicht immer funktioniert. Sie müssen ggfls. manuell nacharbeiten, was aber alles gut beschrieben ist.
- Released: August 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2023-exchange-server-security-updates/ba-p/3892811 - KB5029388
http://support.microsoft.com/kb/5029388 - Exchange Server 2019 und 2016 August
2023 bei der Installation des
Sicherheitsupdates tritt bei nicht
englischen Betriebssystemen ein Fehler auf.
https://support.microsoft.com/de-de/topic/exchange-server-2019-und-2016-august-2023-bei-der-installation-des-sicherheitsupdates-tritt-bei-nicht-englischen-betriebssystemen-ein-fehler-auf-ef38d805-f645-4511-8cc5-cf967e5d5c75
Zuerst einmal die Liste der gestopften Lücken aus KB5029388 (http://support.microsoft.com/kb/5029388)
- CVE-2023-21709 | Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Rechteerweiterungen
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21709
Manuelle weitere Schritte erforderlich - CVE-2023-38185 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38185 - CVE-2023-35368 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35368 - CVE-2023-38182 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38182 - CVE-2023-35388 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-35388 - CVE-2023-38181 – Sicherheitsrisiko in
Microsoft Exchange Server bezüglich Spoofing
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-38181
Daneben wurden auch ein paar bekannte gewordene Probleme gefixt:
- DST-Einstellungen sind nach einem
Betriebssystemupdate ungenau
https://support.microsoft.com/de-de/topic/dst-einstellungen-sind-nach-einem-betriebssystemupdate-ungenau-ae475129-8a60-40e5-90a4-746e329213f9 - Microsoft Exchange-Replikationsdienst
reagiert wiederholt nicht mehr
https://support.microsoft.com/de-de/topic/microsoft-exchange-replikationsdienst-reagiert-wiederholt-nicht-mehr-76693748-d875-4e56-836d-a9ba76881244 - Chinesisch codierte Zeichen werden im
Exchange Admin Center nicht unterstützt.
https://support.microsoft.com/de-de/topic/chinesische-codierte-zeichen-werden-in-exchange-admin-center-nicht-unterst%C3%BCtzt-33754c22-4f12-4d36-8282-4060215809dc - Im Feld "Externe E-Mail-Adresse" wird
nicht der richtige Benutzernamen angezeigt.
https://support.microsoft.com/de-de/topic/das-feld-externe-e-mail-adresse-zeigt-nicht-den-richtigen-benutzernamen-an-8d52e12c-69d8-4609-9db7-e74ffa2bf1a7
Zudem gibt es eine neue unterstützte Cyphersuite, die aber erst aktiviert werden muss.
- Aktivieren der Unterstützung für
AES256-CBC-verschlüsselte Inhalte in
Exchange Server August 2023 SU
https://support.microsoft.com/de-de/topic/aktivieren-der-unterst%C3%BCtzung-f%C3%BCr-aes256-cbc-verschl%C3%BCsselte-inhalte-in-exchange-server-august-2023-su-add63652-ee17-4428-8928-ddc45339f99e
Die Updates gibt es über "Windows Update", den Windows Update Katalog oder als Download
Ich würde immer den Download aus dem Download-Center wählen und das Update manuell und interaktive als Administrator ausführen
Security Update For Exchange Server
2019 CU13 SU2 (KB5029388) 15.02.1258.023
https://www.microsoft.com/en-us/download/details.aspx?id=105524
Security Update For Exchange Server 2019 CU12 SU9
(KB5029388) 15.02.1118.036
https://www.microsoft.com/en-us/download/details.aspx?id=105525
Security Update For Exchange Server 2016 CU23 SU9
(KB5029388) 15.01.2507.031
https://www.microsoft.com/en-us/download/details.aspx?id=105526
Jun 2023 Security Update
Mit dem Security Update für Exchange 2019 CU12 und CU13 und für Exchange 2016 CU23 vom 13. Jun 2023 stopft Microsoft zwei CVE-Lücken und korrigiert nebenbei noch ein paar Fehler in Exchange.
- CVE-2023-28310 - Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28310 - CVE-2023-32031 - Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32031
Wie immer gibt es das Update nur für die noch supportete Exchange Versionen. Wer nicht das aktuelle cumulative Updates (CU) installiert hat, muss und sollte dies umgehend nachholen und dann die Updates installieren. Eine ausführliche Beschreibung hat Microsoft auf dem Exchange Teams Blog veröffentlicht:
- Released: June 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2023-exchange-server-security-updates/ba-p/3845326 - Description of the security update for Microsoft Exchange
Server 2016: June 13, 2023 (KB5025903)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2016-june-13-2023-kb5025903-856bb13a-940e-42d8-9bc5-ef8f5b880253 - Description of the security update for Microsoft Exchange
Server 2019: June 13, 2023 (KB5026261)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-june-13-2023-kb5026261-c4abbd97-5afe-4229-9ecf-a0b7c0002a5d
Security Update For Exchange Server 2016 CU23 SU8
(KB5025903) 15.1.2507.27
https://www.microsoft.com/en-us/download/details.aspx?id=105282
Security Update For Exchange Server 2019 CU13 SU1
(KB5026261) 15.2.1258.16
https://www.microsoft.com/en-us/download/details.aspx?id=105280
Security Update For Exchange Server 2019 CU12 SU8
(KB5026261) 15.2.1118.30
https://www.microsoft.com/en-us/download/details.aspx?id=105281
März 2023 Security Update
Am 14. März 2023 hat Microsoft das nächste Security Update für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 and CU12 veröffentlicht. Es wurde die Sicherheitslücke CVE-2023-21707 und fünf weitere Fehler korrigiert. Das Security Update ist ein Re-release und korrigiert Probleme, die das Feb 2023 Update bei den Webservices eingeführt hatte. Ein Angriff ist nur als authentifizierter Benutzer möglich, was aber sie nicht in Sicherheit wiegen sollte. Bitte installieren Sie die Updates zeitnah und nutzen Sie den Exchange HealthChecker, um die Installation danach zu verifizieren.
- CVE-2023-21707 - Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707 - Released: March 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2023-exchange-server-security-updates/ba-p/3764224 - KB5024296 Description of the security
update for Microsoft Exchange Server 2019,
2016, and 2013: March 14, 2023
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-14-2023-kb5024296-e13b0369-2102-4c95-bee2-456514630727 - You can’t access Toolbox on Exchange
after enabling
EnableSerializationDataSigning
https://support.microsoft.com/en-us/topic/you-can-t-access-toolbox-on-exchange-after-enabling-enableserializationdatasigning-134ad7c6-5223-4f91-93c7-4f506d35b331 - EEMS stops responding after TLS endpoint
certificate update
https://support.microsoft.com/en-us/topic/-eems-stops-responding-after-tls-endpoint-certificate-update-47810987-eb7f-4c6a-9ef8-1c26aa0772a6 - Get-App and GetAppManifests fail and
return an exception
https://support.microsoft.com/en-us/topic/get-app-and-getappmanifests-fail-and-return-an-exception-7fde3780-744c-4ba7-8ef2-d65c893393a2 - EWS does not respond and returns an
exception
https://support.microsoft.com/en-us/topic/ews-does-not-respond-and-returns-an-exception-cf01ce54-6871-44c2-b856-5138fd1b2bb8 - An exception is returned while opening a
template in the Exchange Toolbox
https://support.microsoft.com/en-us/topic/an-exception-is-returned-while-opening-a-template-in-the-exchange-toolbox-71758e21-48f5-486b-a2d0-a47eb5acddfa
Die Downloads finden Sie hier. Beachten Sie, dass Sie das passende CU vorab installiert haben müssen.
2019 CU11 SU11
https://www.microsoft.com/en-us/download/details.aspx?id=105090
2019 CU12 SU7
https://www.microsoft.com/en-us/download/details.aspx?id=105089
2016CU23 SU7
https://www.microsoft.com/en-us/download/details.aspx?id=105091
2013 CU23 SU21
https://www.microsoft.com/en-us/download/details.aspx?id=105092
Feb 2023 Security Update
Die Updates für Exchange im Februar 2023 korrigieren vier CVE-Lücken und einige Bugs, z.B. dass einige Dienste seit dem Jan 2023 SU Updates nicht mehr automatisch starten.
- Released: February 2023 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-february-2023-exchange-server-security-updates/ba-p/3741058 - KB5023038 Description of the security
update for Microsoft Exchange Server 2019,
2016, and 2013: February 14, 2023
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-february-14-2023-kb5023038-2e60d338-dda3-46ed-aed1-4a8bbee87d23
Download
Exchange Server 2016 CU23 SU6 152 MB 15.01.2507.021
https://www.microsoft.com/download/details.aspx?familyID=30d02c29-3f58-48b5-8dc6-6b54af690732
Hinweis: Der Support für Exchange 2013 läuft am 11. April aus.
Security Updates:
- CVE-2023-21707 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21707 - CVE-2023-21706 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21706 - CVE-2023-21710 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21710 - CVE-2023-21529 – Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21529
Bugfixes
- Export-UMPrompt fails with
InvalidResponseException
https://support.microsoft.com/en-us/topic/export-umprompt-fails-with-invalidresponseexception-af9fc20a-cd40-4154-a54c-cf47421e50b6 - Microsoft Exchange Transport service
stops and returns Event ID 17018
https://learn.microsoft.com/en-us/exchange/troubleshoot/mailflow/event-17018-msexchangetransport-service-stop - Some Exchange services do not start
automatically after installing January 2023
Security Update
https://support.microsoft.com/help/5023353 - Data source returns incorrect checkpoint
depth
https://support.microsoft.com/en-us/topic/data-source-returns-incorrect-checkpoint-depth-e08156dd-86d3-4d7a-890f-316c72a06ed9 - Serialization fails while tried
accessing Mailbox Searches in ECP
https://support.microsoft.com/en-us/topic/serialization-fails-when-accessing-mailbox-searches-in-ecp-8098a189-94cc-4160-bad2-8a3eefdff476 - Transport delivery service mishandles
iCAL events
https://support.microsoft.com/en-us/topic/transport-delivery-service-mishandles-ical-events-2e004d6b-18c9-4d9d-b57b-fcaba9b07d3b
Und auch diesmal gibt es wohl wieder ein Problem, was erst durch das Feb 2023 SU dazugekommen ist.
- EWS web application pool stops after the
February 2023 Security Update is installed
https://support.microsoft.com/en-us/topic/ews-web-application-pool-stops-after-the-february-2023-security-update-is-installed-f7ead47c-2303-4132-963e-b66548017340
Weitere Links
- Neue Sicherheitsupdates für Exchange
Server (Februar 2023)
https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-februar-2023/
Januar 2023 Security Updates
Am 10. Januar hat Microsoft per Bog-Artikel ein Sicherheitsupdate für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 und CU12 veröffentlicht.
Achten Sie darauf, dass der Support für Exchange 2013 im April 2023 endet und das Security Update nicht mehr Exchange 2016 CU22 (Sep 21) aktualisiert.
Die Sicherheitslücken werden wohl noch nicht öffentlich ausgenutzt aber sollten dennoch zeitnah durch die Installation abgesichert werden. Weiterhin wurden die ein oder anderen Bugs gefixt und eine zusätzliche Absicherung der Exchange PowerShell eingebaut aber noch nicht per Default aktiviert.
- Released: January 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 - CVE-2023-21745 - Microsoft Exchange Server Spoofing
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21745 - CVE-2023-21761 - Microsoft Exchange Server Information
Disclosure Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21761 - CVE-2023-21762 - Microsoft Exchange Server Spoofing
Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21762 - CVE-2023-21763 - Microsoft Exchange Server Elevation of
Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21763 - CVE-2023-21764 - Microsoft Exchange Server Elevation of
Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21764 - 5022193 Description of the security update for Microsoft
Exchange Server 2019: January 10, 2022 (KB5022193)
https://support.microsoft.com/help/5022193 - 5022143 Description of the security update for Microsoft
Exchange Server 2016: January 10, 2022 (KB5022143)
https://support.microsoft.com/help/5022143 - 5022188 Description of the security update for Microsoft
Exchange Server 2013: January 10, 2022 (KB5022188)
https://support.microsoft.com/help/5022188 - Ex2019Fix: Store Worker Process stops and returns "System.NullReferenceExceptions"
multiple times per day
https://support.microsoft.com/de-de/topic/store-worker-process-stops-and-returns-system-nullreferenceexceptions-multiple-times-per-day-9a874401-3635-497a-9b23-4ad55a328417 - Ex2019/2016/2013New: Certificate signing of PowerShell
serialization payload in Exchange Server
https://support.microsoft.com/de-de/topic/certificate-signing-of-powershell-serialization-payload-in-exchange-server-90fbf219-b0dd-4b2c-8a68-9d73b3309eb1 - Ex2016Fix:
Store Worker Process stops and returns "System.NullReferenceExceptions" multiple times per day
https://support.microsoft.com/de-de/topic/store-worker-process-stops-and-returns-system-nullreferenceexceptions-multiple-times-per-day-9a874401-3635-497a-9b23-4ad55a328417 - Ex2016/2013Fix:
Can't record or play in Exchange Unified Messaging
https://support.microsoft.com/help/5022100 - Ex2016Fix:
Exchange
https://support.microsoft.com/de-de/topic/exchange-application-log-is-flooded-with-event-id-6010-8115a084-bb7a-420c-b3ce-8e77332b2705 - Extended Protection enabled in Exchange Server (KB5017260)
https://support.microsoft.com/help/5017260 - Exchange Security Update Januar 2023 und
Windows Server 2012R2
https://granikos.eu/exchange-security-update-januar-2023-und-windows-server-2012r2/ - ProTip: Scheduled Task to Start Stopped Services in Exchange Server
https://blog.expta.com/2023/01/protip-scheduled-task-to-start-stopped.html
8. Nov 2022 Exchange Security Updates
Anfang Oktober wurde das erste mal der EEMS-Service genutzt, um eine Lücke temporär zu fixen. Am 8. Nov 2022 gibt es nun ein reguläres Security Update für Exchange 2013CU23, Exchange 2016CU22/CU23 und Exchange 2019CU11/CU12. Laut Beschreibung sichert das Updates die beiden Lücken CVE-2022-41040 und CVE-2022-41082 ab, so dass die Mitigation durch EEMS nicht mehr erforderlich ist.
Achtung: Mittlerweile gibt es einen Exploit, der die Lücke ausnutzt. Bitte umgehend Nov 2022 Security installieren, wenn noch nicht passiert
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/
Auch mit dem Nov 2022 Update ist Extended Protection zusätzlich zu konfigurieren. Siehe Kommentar: Lukas Sassl Microsoft Nov 10 2022 12:15 PM "@MicPluton it’s required to enable Extended Protection to address these vulnerabilities. Without Extended Protection turned on, the server is still vulnerable." https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045
-
Released: November 2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045 - Security Update Guide
https://msrc.microsoft.com/update-guide/ - CVE-2022-41040
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41040 - CVE-2022-41082
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-41082 - OWASSRF: CrowdStrike Identifies New
Exploit Method for Exchange Bypassing
ProxyNotShell Mitigations
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/ - Jetzt patchen! Attacken auf Exchange
Server im ProxyNotShell-Kontext gesichtet
https://www.heise.de/news/Jetzt-patchen-Attacken-auf-Exchange-Server-im-ProxyNotShell-Kontext-gesichtet-7434860.html
Download
Exchange Server 2013 CU23 (support
Ende in April
2023)
Exchange Server 2016 CU22 and CU23
Exchange Server 2019 CU11 and CU12
11. Okt 2022 Security Updates
Auch wenn es seit dem 28. Sep 2022 einen aktiven Thread zum Thema Exploits (Siehe Exchange-0-day-Exploit 2022) gibt, der über den EEMS - Exchange Emergency Mitigation Service abgesichert wird, veröffentlichte Microsoft am 11 Oktober ein reguläres Security Update für Exchange 2016 CU22/23 und Exchange 2019 CU11/12 zur Absicherung der folgenden sechs Lücken:
- CVE-2022-21979 - Microsoft Exchange
Information Disclosure Vulnerability (4.8)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21979 - CVE-2022-21980 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(8.0)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21980 - CVE-2022-24477 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(8.0)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24477 - CVE-2022-24516 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(8.0)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24516 - CVE-2022-30134 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
(6.5)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30134 - CVE-2022-34692 - Microsoft Exchange
Information Disclosure Vulnerability (5.3)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34692
Das Update ersetzt das vorherige Update vom August 2022. Sie müssen also immer nur das aktuelle CU und dann das passende SU nachinstallieren.
Obwohl die Updates als "Security Update" bezeichnet ist, werden zwei Bugs noch mit korrigiert:
- Can't finish the E-discovery process for
an On-Premises mailbox (KB5019807)
https://support.microsoft.com/en-us/topic/can-t-finish-the-e-discovery-process-for-an-On-Premises-mailbox-kb5019807-9c14c5a1-eadc-48e1-897c-dd54599ab904 - E-Discovery search fails in Exchange
Online (KB5019808)
https://support.microsoft.com/en-us/topic/e-discovery-search-fails-in-exchange-online-kb5019808-dadffa27-3094-40fd-82bd-34bde63df903
Laden Sie sich für die aktuell installierte Version das entsprechende Paket herunter (ca. 150MB)
Update für Ex2019CU12 - https://www.microsoft.com/download/details.aspx?familyID=7f879102-4572-41f1-b21a-d223d00cd813
Update für Ex2019CU11 - https://www.microsoft.com/download/details.aspx?familyID=39945af4-067e-4159-9d97-ba54bbbb8a28
Update für Ex2016CU23 - https://www.microsoft.com/download/details.aspx?familyID=3f0110e8-14c8-496a-bc2a-1a1675970eb1
Update für Ex2016CU22 - https://www.microsoft.com/download/details.aspx?familyID=bcd6d182-6e4e-4d95-a54f-bb74071f29d9
- Exchange Team Blog: Released: October
2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2022-exchange-server-security-updates/ba-p/3646263 - Description of the security update for
Microsoft Exchange Server 2019 and 2016:
October 11, 2022 (KB5019077)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-october-11-2022-kb5019077-b5ae8793-5e5c-4faa-972d-9228945973e5 - CSS-Exchange HealthChecker
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
9. Aug 2022 Exchange Security Updates
Anfang August 2022 wurden von Microsoft für Exchange 2013 CU23, 2016CU22/CU23 und 2019CU11/CU12 Updates veröffentlicht, um bekannte Sicherheitslöcher zu stopfen. Ältere CU-Stände werden nicht aktualisiert, d.h. sie sind gut beraten ihre Exchange Server auf einen unterstützten CU-Stand zu bringen und dann die Security Updates zu installieren. Wer schon auf der aktuellen Version sind, müssen Sie nach der Installation des Security Updates weder eine Schema-Erweiterung noch den Hybrid Configuration Wizard neu ausführen.
- Released: August 2022 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-august-2022-exchange-server-security-updates/ba-p/3593862 - Description of the security update for
Microsoft Exchange Server 2019 and 2016:
August 9, 2022 (KB5015322)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-august-9-2022-kb5015322-86c06afb-97df-4d8f-af88-818419db8481 - CVE-2022-21979 - Microsoft Exchange
Information Disclosure Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21979 - CVE-2022-21980 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21980 - CVE-2022-24477 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24477 - CVE-2022-24516 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24516 - CVE-2022-30134 - Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-30134 - CVE-2022-34692 - Microsoft Exchange
Information Disclosure Vulnerability (nicht
Ex2013)
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34692
Damit einige Schutzfunktionen aber auf Exchange Servern funktionieren, müssen Sie "Extended Protection" manuell aktivieren.
- Extended Protection enabled in Exchange
Server (KB5017260)
https://support.microsoft.com/help/5017260
Nebenbei korrigiert das Update noch zwei Fehler:
- Start-DatabaseAvailabilityGroup fails
with BlockedDeserializeTypeException
(KB5017261)
https://support.microsoft.com/help/5017261 - E-Discovery search fails in Exchange
Online (KB5017430)
https://support.microsoft.com/help/5017430
Mai 2022 Security Update
Für Exchange 2016/2019 gibt es zwar nur noch im Frühjahr und Herbst ein größere Update aber Sicherheitslücken werden weiter monatlich geschlossen. Im Mail 2022 wurden Updates für Exchange 2013/2016/2019 released, welches folgende Lücke absichert:
- CVE-2022-21978 Microsoft Exchange Server
Elevation of Privilege Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21978 - Released: May 2022 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-may-2022-exchange-server-security-updates/ba-p/3301831
Mit einem Rating von 8.2 scheint sie hoch, aber der Angreifer muss schon auf dem Server selbst mit entsprechenden Berechtigungen angemeldet sein, um über die Lücke sich mehr Berechtigungen zu beschaffen. Das Update korrigiert aber noch ein paar andere kleinere Probleme:
- Exchange Service Host service fails after installing March 2022 security update (KB5013118)
- New-DatabaseAvailabilityGroupNetwork and Set-DatabaseAvailabilityGroupNetwork fail with error 0xe0434352 (Update: the -Subnets parameter is still not fixed)
- The UM Voicemail greetings function stops working and returns error 0xe0434352.
- Unable to send mails through EAS and Get-EmailAddressPolicy fails with Microsoft.Exchange.Diagnostics.BlockedDeserializeTypeException after installing Security Update KB5008631 for Exchange 2019
Laut Blog-Artikel müssen Sie nach der Installation manuell ein Schema-Updates durchführen, da ein Security Update generell nicht macht. Details dazu finden Sie im BlogPost von Microsoft.
April 2022 CU23
Das Exchange 2016/2019 Update am 20. April 2022 beinhaltet nicht nur jede Menge Korrekturen sondern auch strukturelle Änderungen, die ich auf der Seite Ex2016/2019 20. April 2022 Update getrennt beschrieben haben. Hier beschränkte ich mich daher auf die Links zum Download und der Updates. Das Updates ist, wie schon bekannt, immer eine Vollinstallation als gepackte ISO-Datei. Sie können diese sowohl für das Update als auch für die Neuinstallation nutzen. Sie sollten es auch vermeiden, eine alte Version zu installieren und dann nachträglich zu aktualisieren.
KB5011155 Cumulative Update 23 for
Exchange Server 2016 (6,6 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=104132
Language Pack
https://www.microsoft.com/en-us/download/details.aspx?id=104130
- Ex2016/2019 20. April 2022 Update
- Cumulative Update 23 for Exchange Server 2016 (KB5011155)
https://support.microsoft.com/en-us/topic/cumulative-update-23-for-exchange-server-2016-kb5011155-98183ada-e4cd-465f-b201-69d40fb74678 - Changes in Exchange Server PowerShell cmdlets and Exchange Admin Center for
UNC path inputs (KB5014278)
https://support.microsoft.com/en-us/topic/changes-in-exchange-server-powershell-cmdlets-and-exchange-admin-center-for-unc-path-inputs-kb5014278-36af1640-4389-4ff1-b805-d1d63715a0dd - Released: 2022 H1 Cumulative Updates for Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-2022-h1-cumulative-updates-for-exchange-server/ba-p/3285026 -
Updates for Exchange Server
https://docs.microsoft.com/en-us/exchange/new-features/updates?view=exchserver-2019
Die Liste der korrigierten Probleme ist diesmal durchaus beachtlich:
- 5012757 "Migration user... can't be found" error when using Start-MigrationUser after batch migration fails
- 5012758 Start-MailboxAssistant is not available in Exchange Server 2019
- 5012760 You can't access OWA or ECP after installing the July 2021 security update
- 5012761 External attendees see “Send the Response Now” although no response was requested in Exchange Server
- 5012762 PST creation is unexpectedly triggered again during multiple mailbox export
- 5012765 Email stuck in queue starting from "2022/1/1 00:01:00 UTC+0" on all Exchange On-Premises servers
- 5012766 Transport Services fail repeatedly because of * Accepted Domain
- 5012768 Start-MigrationUser and Stop-MigrationUser are unavailable for On-Premises Exchange Server 2019 and 2016
- 5012770 No response from public folder for users migrating to Microsoft Exchange 2019
- 5012772 Items are skipped at the start of a new search page request
- 5012773 OWAMailboxPolicy is bypassed and high resolution profile images can be uploaded
- 5012774 Can't change default path for Trace log data in Exchange Server 2019 and 2016
- 5012775 No additional global catalog column in the address book service logs
- 5012776 Exchange Server 2019 help link in OWA redirects users to online help for Exchange Server 2016
- 5012777 Can’t find forwarded messages that contain attachments in Exchange Server 2019
- 5012778 Exchange Server stops responding when processing PDF files with set transport rule
- 5012779 Invalid new auth certificate for servers that are not on UTC time zone
- 5012780 Disable-Mailbox does not remove LegacyExchangeDN attribute from On-Premises Exchange 2019
- 5012781 Exchange Server 2019 and 2016 DLP doesn’t detect Chinese resident ID card numbers
- 5012782 MS ExchangeDiagnostic Service causes errors during service startup and initialization in Microsoft Exchange 2019
- 5012783 Can't restore data of a mailbox when LegacyDN is empty in the database
- 5012784 Exchange 2016 CU21 and Exchange 2019 CU10 cannot save "Custom Attributes" changes in EAC
- 5012785 Read Only Domain Controllers (RODCs) in other domains do not get desired permissions
- 5012786 Forwarded meeting appointments are blocked or considered spam
- 5012787 Download domains created per CVE-2021-1730 don’t support ADFS authentication in OWA
- 5012789 Can't use Copy Search Results after eDiscovery & Hold search
- 5012791 MailboxAuditLog doesn't work in localized (non-English) environments
- 5012829 Group metrics generation fails in multidomain environment
8. Mrz 2022 Sicherheitsupdate
In Exchange 2013, 2016 und 2019 wurden zwei weitere Sicherheitslöcher gefunden und gefixt. Sie haben zwar nicht das Potential von Hafnium aber erlauben, dass authentifizierte Benutzer mehr Rechte erhalten, als sie haben sollten. Da wir nie sicher sein können, dass nicht doch ein Angreifer per Phishing schon im Besitz von gültigen Anmeldedaten sind, sollten Sie die Updates zügig installieren.
Beachten Sie auch immer die Release Notes, denn einige der Fehler haben mich erwischt, z.B. Dienste wurden nicht mehr von disabled auf Autostart gestellt. Bei einer DAG war es der "HostControllerService" für den Suchindex. Denken Sie auch daran, das MSP als Administrator zu starten.
- Released: March 2022 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2022-exchange-server-security-updates/ba-p/3247586 - Description of the security update for
Microsoft Exchange Server 2019 and 2016:
March 8, 2022 (KB5012698)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-and-2016-march-8-2022-kb5012698-440c5421-dc0e-448f-93ef-4e686c18f7c3 - CVE-2022-23277 | Microsoft Exchange
Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23277 - CVE-2022-24463 | Microsoft Exchange
Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24463
Security Update For Exchange Server
2016 CU21 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=104000
Security Update For Exchange Server 2016 CU22 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=103999
11. Jan 2022 Sicherheitsupdate
Einen Monat später als erwartet, hat Microsoft am 11. Jan 2022 für Exchange 2013, 2016 und 2019 Sicherheitsupdates veröffentlicht, die allesamt kritische "Remote Code Execution"-Lücken fixen, die aber wohl nicht anonym aus dem Internet ausnutzbar sind. Dennoch sollten Sie zügig agieren, denn Angreifer können schon intern auf solche Lücken warten, um an mehr Berechtigungen zu gelangen.
- CVE-2022-21846 | Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21846 - CVE-2022-21855 | Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21855 - CVE-2022-21969 | Microsoft Exchange Server Remote Code
Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21969
Passend dazu gibt es von Microsoft einen KB-Artikel zu den Updates und einen Blog-Post
- Released: January 2022 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2022-exchange-server-security-updates/ba-p/3050699 - Description of the security update for Microsoft Exchange
Server 2019, 2016, and 2013: January 11, 2022 (KB5008631)
https://support.microsoft.com/de-de/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-january-11-2022-kb5008631-2ee4d1f3-8341-4a4d-86be-4b73bc944f1b
Auf beiden Artikel sind die Link zu den Downloadquellen enthalten. Das Updates müssen sie nur auf Servern installieren aber nicht auf Systemen, auf denen "nur" die Exchange AdminTools installiert sind. Auch der HCW muss nicht erneut ausgeführt werden. Allerdings "fixen" diese Updates nicht die Probleme des Exchange Y2K22 Bug. Der MalwareScanner kann auch mit den Security Updates weiterhin nichts mit Patternversionen 220101xxxx anfangen.
Es häufen sich Berichte, dass die Securityupdates nach dem Update die Exchange Webdienste (OWA/ECP/EWS) nicht mehr gehen, auf Windows 2012R2 ReFS-Volumes nicht gemountet werden oder DCs durchbooten. Wobei ich die beiden letzten Fälle eher auf die zeitgleich veröffentlichten Windows Updates schieben würde.
9. Nov 2021 Sicherheitsupdate
Am 9. Nov wurde wieder ein Update für Exchange 2016 CU21/22, Exchange 2019 CU10/11 und Exchange 2013 CU23 . Ältere Versionen von Exchange oder Updates-Stände bleiben ungepatched. Sie sollten also zusehen, dass Sie schnellstens auf diesen Level kommen und dann das Update installieren.
Die Lücke wird mit einem CVE-Score von 8.8 bewertet und daher nur "Important" und nicht "critical". Dennoch empfiehlt Microsoft die sofortige Installation.
We are aware of limited targeted attacks in the wild using one of vulnerabilities (CVE-2021-42321), which is a post-authentication vulnerability in Exchange 2016 and 2019. Our recommendation is to install these updates immediately to protect your environment.
Quelle:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169
Die Lücke CVE-2021-42321 kann nur nach erfolgreicher Authentifizierung ausgenutzt werden. Aber wer kann heute schon sicher sein, dass Angreifer nicht schon mit Benutzerdaten warten?
Am 24. Nov wurde ein POC für den Exploit öffentlich. Wer nun noch nicht gepatched hat, ist ein Ziel für Angreifer.
Exploit released for Microsoft Exchange RCE bug, patch now
https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/
- Released: November 2021 Exchange Server Security
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169 - Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 9, 2021 (KB5007409)
https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-november-9-2021-kb5007409-7e1f235a-d41b-4a76-bcc4-3db90cd161e7 - CVE-2021-41349 | Microsoft Exchange Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-41349 - CVE-2021-42305 | Microsoft Exchange Server Spoofing Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42305 - CVE-2021-42321 Microsoft Exchange Server Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42321 - Security Update Severity Rating System
https://www.microsoft.com/en-us/msrc/security-update-severity-rating-system
Wenn Sie das Update nicht über Windows Updates installieren, dann achten Sie bei der manuellen Installation auf die Ausführung als Administrator.
Download Exchange Server 2016 Cumulative Update 22 Security Update 2 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=688b79c6-7e43-4332-848d-47e88f60818c
Download Exchange Server 2016 Cumulative Update 21 Security Update 3 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=de4b96e0-8d0e-4830-8354-7ed2128e6f82
12. Okt 2021 Sicherheitsupdate
Das vorherige Sicherheitsupdate war grade mal 14 Tage draußen, als Microsoft schon wieder ein Update für die offiziell unterstützen CU-Versionen von Exchange 2013-2019 nachschiebt. Sie sehen schon, dass sie auch beim CU-Stand nicht zu lange zurückliegen sollten.
- Released: October 2021 Exchange Server
Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2021-exchange-server-security-updates/ba-p/2838287 - 5007012 Hinweise zum Sicherheitsupdate
für Microsoft Exchange Server 2019 und 2016:
12. Oktober 2021 (KB5007012)
https://support.microsoft.com/de-de/topic/hinweise-zum-sicherheitsupdate-f%C3%BCr-microsoft-exchange-server-2019-und-2016-12-oktober-2021-kb5007012-de43d01b-d54f-4b40-91d1-93525a29437c - CVE-2021-26427 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Remotecodeausführung
https://msrc.microsoft.com/update-guide/de-de/vulnerability/CVE-2021-26427 - CVE-2021-34453 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Denial-of-Service
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2021-34453 - CVE-2021-41348 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Rechteerweiterungen
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2021-41348 - CVE-2021-41350 | Sicherheitsanfälligkeit
in Microsoft Exchange Server bezüglich
Spoofing
https://portal.msrc.microsoft.com/de-de/security-guidance/advisory/CVE-2021-41350
Sicherheitsupdate 1 für Exchange Server 2016 kumulatives Update 22 herunterladen
(KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=2a8da394-c405-4cc7-aa58-e96aa19acd4f
Sicherheitsupdate 2 für Exchange Server 2016 kumulatives Update 21
herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=ffea3a31-7286-4932-867a-a38952c1efee
Achtung bei der manuellen Installation. Starten Sie die MSP immer als Administrator (UAC beachten), sonst ist die Installation nicht fehlerfrei.
28. Sep 2021 - CU22
Das CU22 Update ist nicht nur ein kleines Bugfix, sondern bringt zwei größere Änderungen mit:
- Diagnosedaten
Microsoft bittet bei der Installation um die Angabe, ob Exchange verschiedene "Diagnosedaten" an Microsoft senden darf. Damit will Microsoft auch in Zukunft vielleicht besser auf Vorfälle wie Hafnium gerüstet sein, indem Sie einen Überblick über die On-Premises-Server im Feld haben.
Sie können die Zustimmung natürlich auch verweigern. - EESM und URLRewrite
Die Installation des CU22 erfordert vorab die Installation des "IIS URLRewrite" Tools. In Verbindung mit dem Dienst EEMS - Exchange Emergency Mitigation Service kann Microsoft damit sehr schnell Angriffe per HTTP auf dem Server blockieren.
Das Modul müssen Sie manuell von https://www.iis.net/downloads/microsoft/url-rewrite herunterladen und vorab installieren. Die Installation kann etwas knifflig sein, da der Download nur ein "Web Platform Installer" ist, der seinerseits dann aus dem Internet das eigentliche Modul nachlädt.
Nach den Vorarbeiten ist die Installation dann wieder wie bei allen anderen CUs davor. Eventuell müssen Sie aber noch die VC Runtime installieren, wenn dies nicht schon durch CU21 oder früher passiert ist.:
Cumulative Update 22 for Exchange Server 2016 (KB5005333)
https://www.microsoft.com/en-us/download/details.aspx?id=103478
-
Cumulative Update 22 for Exchange Server 2016 (KB5005333)
https://support.microsoft.com/en-us/topic/cumulative-update-22-for-exchange-server-2016-kb5005333-ceb154d8-7116-43a5-83c1-205af7c43764 -
Released: September 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-september-2021-quarterly-exchange-updates/ba-p/2779883
Diese Seite sollten Sie immer vorab lesen und auch die Links zu bekannten Problemen - Diagnostic Data collected for Exchange Server
https://aka.ms/ExchangeDiagnosticData
https://docs.microsoft.com/en-us/exchange/diagnostic-data-exchange-server?view=exchserver-2019 - Cannot log in to OWA or ECP after July 2021 SU for Exchange Server 2019, 2016, and 2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae
Probleme mit Loadbalancern - Cannot log in to OWA or ECP after July 2021 SU for Exchange Server 2019, 2016, and 2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae
Probleme mit dem Exchange Server authorization certificate. - EEMS - Exchange Emergency Mitigation Service
- Neue Exchange Server Updates (September 2021
https://www.frankysweb.de/neue-exchange-server-updates-september-2021/
13. Jul 21 SecurityUpdate
Siehe dazu die gesonderte Seite Patchday Jul 2021.
- Cannot log in to OWA or ECP after July
2021 SU for Exchange Server 2019, 2016, and
2013 (KB 5005341)
https://support.microsoft.com/en-us/topic/cannot-log-in-to-owa-or-ecp-after-july-2021-su-for-exchange-server-2019-2016-and-2013-kb-5005341-476948d6-e124-4a60-bcc7-b0d5341e24ae
29. Jun 21 CU21
Mit etwas mehr als 14 Tagen Verzögerung, die aber angekündigt waren, hat Microsoft CU Updates für Exchange 2019 und 2016 released. Für Exchange 2013/2010 gibt es keine Updates mehr und kritische Security Updates habe ich in Ex201CU10 und EX2016CU21 nicht gefunden. Allerdings hat Microsoft Exchange befähigt, die AMSI-Schnittstelle für Malware-Erkennungen zu nutzen. Die Schnittstelle ist aber nur mit Windows Server 2016 oder höher verfügbar. Wer also noch Exchange 2016 auf Windows 2012R2 betreibt, kann davon nicht profitieren. Exchange legt damit eingehende HTTP-Request über diese Schnittstelle dem installierten Windows Defender oder einer anderen 3rd Party Lösung vor.
Cumulative Update 21 for Exchange Server 2016 (KB5003611)
Server
https://www.microsoft.com/en-us/download/details.aspx?id=103242
UM LangPack
https://www.microsoft.com/en-us/download/details.aspx?id=103243
-
Cumulative Update 21 for Exchange Server 2016 (KB5003611)
https://support.microsoft.com/en-us/topic/cumulative-update-21-for-exchange-server-2016-kb5003611-b7ba1656-abba-4a0b-9be9-dac45095d969 - Released: June 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2021-quarterly-exchange-updates/ba-p/2459826 - News About the June 2021 Cumulative Update for Exchange Server
https://techcommunity.microsoft.com/t5/exchange-team-blog/news-about-the-june-2021-cumulative-update-for-exchange-server/ba-p/2437578 - Antimalware Scan Interface (AMSI)
https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal
16. März 2021 CU20
Das nächste Update nach dem Hafnium: Exploit löst wieder einige Bugs und Probleme aber enthält vor allem alle Sicherheitsupdates und erspart ihnen das Update nach dem Update.
Cumulative Update 20 for Exchange Server 2016 (KB4602569)
Server:
http://www.microsoft.com/download/details.aspx?familyID=64a4da8c-89f0-49ba-b122-c0e53ef095c5
UM:
https://www.microsoft.com/en-us/download/details.aspx?id=102897
- Released: March 2021 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-quarterly-exchange-updates/ba-p/2205283 - Cumulative Update 20 for Exchange Server 2016
https://support.microsoft.com/en-us/topic/cumulative-update-20-for-exchange-server-2016-98964463-f7df-4131-6b8c-4f46dafc748e - 5001183 Attachment is treated as bad zip file on Edge Transport server in Exchange Server 2019 and 2016
- 5001184 EAC has no option to select the correct tenant for an Office 365 mailbox in Exchange Server 2019 and 2016
- 5001185 EAC has no option to select an archive domain for cloud-based archive in Exchange Server 2019 and 2016
- 5001186 Encoding of special characters isn't preserved which causes missing text in Outlook in Exchange Server 2019 and 2016
- 5001188 Incorrect MRM properties stamped on mail item delivery when sending to multiple mailboxes on the same database in Exchange Server 2019 and 2016
- 5001189 Mailbox Audit log searches and Outlook both tied to MaxHitsForFullTextIndexSearches in Exchange Server 2019 and 2016
- 5001190 MonitoringGroup can't control the placement of CAS monitoring mailboxes in Exchange Server 2019 and 2016
- 5001192 Microsoft Teams fails to show calendar due to Autodiscover v2 isn't site aware in Exchange Server 2019 and 2016
- 5001193 New health mailboxes for databases are created every time Exchange Health Manager service is restarted
- 5001194 RFC certificate timestamp validation in Exchange Server 2019 and 2016
- 5001195 UPN specified when creating mailbox is overwritten automatically causing login failures in Exchange Server 2019 and 2016
- 4583558 PDF preview function in OWA leads to download action unexpectedly
SecUpdate 2. März 2021
Am 2. März hat Microsoft gleich mehrere Exploits in Exchange gemeldet, die auch aktiv ausgenutzt werden und daher die möglichst sofortige Installation der bereitgestellten Updates empfohlen. Microsoft hat die Korrekturen u.a. per Windows Update für Exchange 2010-2019 bereitgestellt. Details finden Sie auf:
- KB5000871 https://support.microsoft.com/en-us/topic/description-of-the-security-update-for-microsoft-exchange-server-2019-2016-and-2013-march-2-2021-kb5000871-9800a6bb-0a21-4ee7-b9da-fa85b3e1d23b
- Released: March 2021 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-exchange-server-security-updates/ba-p/2175901 - HAFNIUM targeting Exchange Servers with 0-day exploits
https://www.microsoft.com/security/blog/2021/03/02/hafnium-targeting-exchange-servers/ - MSRCBlog
https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server - CVE-Links
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27078
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-27065
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26858
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26857
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26855
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26854
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-26412
13. Okt 2020 CVE-2020-16969 Security Update
Quasi wenige Stunden vor Auslaufen des Exchange 2013 Supports hat Microsoft noch ein Security Update ausgeliefert. Die Schwachstelle betrifft auch Exchange 2016 (Patch gibt es nur für CU17/18) und Exchange 2019 (Patch für CU6/CU7). Für Exchange 2010 und früher gibt es keine Updates mehr aber sie könnten genauso betroffen sein.
- CVE-2020-16969 | Microsoft Exchange Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-16969
Auf der Seite sind auch die DownloadLinks - Exchange Server: Neue Sicherheitsupdates (Oktober 2020)
https://www.frankysweb.de/exchange-server-neue-sicherheitsupdates-oktober-2020/amp/ - OCTOBER SECURITY UPDATE FOR EXCHANGE 2013, 2016 AND 2019
https://jaapwesselius.com/tag/cve-2020-16969/
13. Okt 2020
Am 13. Okt 2020 läuft der "Standard Support" für Exchange 2016 nach 5 Jahren seit Release aus und wechselt in den Extended Support. Für Sie bedeutet dies, dass es keine weiteren "Feature"-Updates gibt sondern nur noch Security-Updates zu erwarten sind. Das ist natürlich noch kein Grund gleich zu Exchange 2019 oder Exchange Online zu migrieren. Ich erwarte auch, dass das ein oder andere Update nach dem 13. Okt 2020 auch noch neue Funktionen für den Hybrid-Mode enthalten wird. Noch brauchen wir ja offiziell einen lokalen Exchange Server zum Provisioning der Benutzer.
15. Sep 2020 CU18
- Cumulative Update 18 for Exchange Server
2016
https://support.microsoft.com/de-de/help/4571788/cumulative-update-18-for-exchange-server-2016
Exchange 2016 CU18 6,6GB
https://www.microsoft.com/en-us/download/details.aspx?id=102114
Möglicherweise gibt es einen Bug, dass per OWA eine SharedMailbox nicht mehr geöffnet werden kann
- Exchange 2016: after installation of CU 18
attachments from shared mailbox can't be
opened in OWA
https://docs.microsoft.com/en-us/answers/questions/112628/exchange-2016-after-installation-of-cu-18-attachme.html - Exchange Server: Neues CU verfügbar (September 2020)
https://www.frankysweb.de/exchange-server-neues-cu-verfuegbar-september-2020/
8 Sep 2020 SecUpdate CVE-2020-16875
Wenige Tage vor dem CU18 Update hat Microsoft schon mal einen Security Fix für Exchange 2016 CU16 und CU17 released.
Info: Das Update ist in CU18 enthalten
- CVE-2020-16875
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16875 - Exchange Server: Remote Code Execution-Schwachstelle
CVE-2020-16875
https://www.borncity.com/blog/2020/09/16/exchange-server-remote-code-execution-schwachstelle-cve-2020-16875/ - SRC-2020-0019 : Microsoft Exchange
Server DlpUtils AddTenantDlpPolicy Remote
Code Execution Vulnerability
https://srcincite.io/advisories/src-2020-0019/
12. Jun 2020 CU17
Diesmal hat es grade mal 2 Monate gedauert, bis es ein weiteres CU gegeben hat.
- Released: June 2020 Quarterly Exchange Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-june-2020-quarterly-exchange-updates/ba-p/1458993 - KB4556414 https://support.microsoft.com/en-us/help/4556414/cumulative-update-17-for-exchange-server-2016
Download
https://www.microsoft.com/en-us/download/details.aspx?id=101448
UM
https://www.microsoft.com/en-us/download/details.aspx?id=101449
17. Mai 2020 CU16
Für Exchange 2016 hat Microsoft im Blog-Artikel gar keine Updates besonders aufgeführt. Nur zwei Bugs Für Exchange 2019 werden explizit gelistet. Wenn Sie aber das Readme lesen, dann finden Sie insgesamt 15 Einträge:
- Cumulative Update 16 for Exchange Server
2016
https://support.microsoft.com/en-us/help/4537678/cumulative-update-16-for-exchange-server-2016
Natürlich enthält das Update auch das Security Update zu CVE-2020-0692 vom Februar. Das CU13 ist hinsichtlich der Schema-Erweiterung mit CU2 identisch.
Download
Servier:
http://www.microsoft.com/download/details.aspx?familyID=6f83a0e2-a1a3-4d46-882b-68de870db3f3
6,6 GB
UM Lang Packs:
http://www.microsoft.com/download/details.aspx?familyID=900c5433-f7f5-4563-983b-057079cf05a0
- Released: March 2020 Quarterly Exchange
Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2020-quarterly-exchange-updates/ba-p/1231563
11. Feb 2020 Security Update
Zwei Sicherheitslücken haben Microsoft am 11. Feb dazu gebracht für alle Exchange Version 2010 bis 2019 und für verschiedenen CUs/RUs entsprechende Sicherheitsupdates zu veröffentlichen. Die Fehler sind:
- CVE-2020-0692 | Microsoft Exchange
Server Elevation of Privilege Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0692
Über eine Lücke in EWS könnte ein Angreifer eine "Impersonation"-Attacke starten und auf Inhalte von anderen Postfächern zugreifen. Exchange 2010 ist aber nicht betroffen - CVE-2020-0688 | Microsoft Exchange
Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2020-0688 - 4536987 Description of the security
update for Microsoft Exchange Server 2019
and 2016: February 11, 2020
https://support.microsoft.com/en-us/help/4536987/security-update-for-exchange-server-2019-and-2016
Beide Lücken wurden am 11. Feb noch nicht öffentlich bekannt und auch nicht ausgenutzt. Sie sind als "1 - Exploitation More Likely" eingestuft. Angreifer werden aber sicher nun die Änderungen im Code analysieren um die Schwachstelle zu finden. Sie sollten daher zeitnah die Updates einspielen. Nutzen Sie den Download für die bei ihnen installierte Version:
Microsoft Exchange Server 2010
Service Pack 3 Update Rollup 30
https://www.microsoft.com/download/details.aspx?familyid=4d072d3e-153e-4a5a-859e-ad054fe24107
Microsoft Exchange Server 2013 Cumulative Update 23
https://www.microsoft.com/download/details.aspx?familyid=ddba43d0-f66d-410d-a421-bb26e45d64b7
Microsoft Exchange Server 2016 Cumulative Update 14
https://www.microsoft.com/download/details.aspx?familyid=5ae7346b-f59c-415d-b576-e50f6b493a23
Microsoft Exchange Server 2016 Cumulative Update 15
https://www.microsoft.com/download/details.aspx?familyid=a4bd9a4e-56f4-42c2-b0d7-fffe52c5dbe5
Microsoft Exchange Server 2019 Cumulative Update 3
https://www.microsoft.com/download/details.aspx?familyid=dec0d147-8b43-4fee-94cb-ed43ed1226ad
Microsoft Exchange Server 2019 Cumulative Update 4
https://www.microsoft.com/download/details.aspx?familyid=6f5e2305-f1dc-4ce9-97c5-4d6fc1b87a24
Es gibt keine Updates für ältere Versionen. Microsoft supportet nur das aktuelle und das vorherige CU.
17. Dez 2019 CU15
Für Exchange 2016 und Exchange 2019 wurde im Dez 2019 noch ein neues CU veröffentlicht. Exchange 2013 geht diesmal leer aus.
Exchange 2016 CU 15
https://www.microsoft.com/en-us/download/details.aspx?id=100780
Die Bugliste enthält nur einige kleinere aber doch störenden Probleme.
-
Cumulative Update 15 for Exchange Server 2016
https://support.microsoft.com/en-us/help/4522150/cumulative-update-15-for-exchange-server-2016 - 4515256 “The function cannot be performed…” error when you send a message that’s open for a long time in Exchange Server 2016
- 4528693 Get-CalendarDiagnosticLog is proxied for queries within the same forest in Exchange Server 2016
- 4523519 Set-SendConnector doesn't work for Exchange Server in hybrid scenarios with Edge Server installed
- 4528690 Can’t move or delete folder in Outlook online mode if the destination has a folder with the same name in Exchange Server 2016
- 4528687 NotificationClient logs aren't purged and consume lots of disk in Exchange Server 2016
- 4528689 Outlook on the web shows MailTip when recipients equal the large audience size in Exchange Server 2016
- 4528688 Only one recipient shows when saving draft by using Exchange ActiveSync version 16.0 in Exchange Server 2016
- 4528695 Event ID 4009 when using SubjectOrBodyMatchesPatterns on Edge server in Exchange Server 2016
- 4528694 Can't open .ics file in Outlook on the web in Exchange Server 2016
- 4528692 "A parameter was specified that isn't valid” error when creating transport rule in Exchange Server 2016
- 4515257 Hash mismatch is reported for Exchange DLLs in the bin directory of Exchange Server 2016
- 4528696 Exchange PowerShell cmdlets take longer time to run in Exchange Server 2016
- 4532747 Address list separation not working for a user without a mailbox in Exchange Server 2016
- 4523171 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019
12. Nov 2019 Security Update
Am 12. Nov hat Microsoft für alle noch im Support stehenden Exchange Versionen ein Sicherheits-Update veröffentlicht, welches Sie zügig installieren sollten.
- Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019
https://support.microsoft.com/en-us/help/4523171/security-update-for-exchange-server-2019-2016-and-2013 - CVE-2019-1373 | Microsoft Exchange Remote Code Execution Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-1373
Ein Angreifer kann aufgrund einer nicht abgesicherten Verarbeitung von per PowerShell übergebenen Daten beliebigen Code unter dem angemeldeten Benutzer ausführen. Allerdings muss der Angreifer dazu per PowerShell auf den Exchange Server zugreifen können, was eigentlich nur für Administratoren aus dem internen Netzwerk möglich sein sollte. Dennoch sollten Sie nicht lange warten. Hier der Download-Link:
Security Update For Exchange Server
2016 CU13 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100484
Security Update For Exchange Server 2016 CU14 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100483
Exchange 2016 CU14
Quasi auf den Tage genau kommt am 18. Sep das nächste Quartal-Updates heraus. Neben Korrekturen und Fehlerbehebungen ist hier auch das Security Update enthalten, welches Sie bei CU12 und CU13 noch manuell nachinstallieren mussten.
- Cumulative Update 14 for Exchange Server
2016
https://support.microsoft.com/en-us/help/4514140/cumulative-update-14-for-exchange-server-2016
CU14
https://www.microsoft.com/en-us/download/details.aspx?id=100302
UM Language Pack
https://www.microsoft.com/en-us/download/details.aspx?id=100301
Die Liste der Updates enthält viele Korrekturen, die auch im Exchange 2019 CU3 enthalten sind.
- 4515255 “X-InnerException: Microsoft.Mapi.MapiExceptionRpcServerTooBusy” error when you try to use a mailbox in Exchange Server 2016
- 4515254 Event 1009 frequently occurs in application logs for lagged database copies in Exchange Server 2016
- 4502159 Adding or removing mailbox permission in EAC doesn’t address the msExchDelegateListLink attribute in Exchange Server 2016
- 4515276 Room mailbox accepts a meeting as “Free” if a booking delegate is set in Exchange Server 2016
- 4515275 Enable Get/Restore-RecoverableItems to work with Purges folder in Exchange Server 2016
- 4515274 AutodiscoverV2 request returns REST API endpoint not AutoDiscoverV1 endpoint in Exchange Server 2016
- 4515269 SentToMemberOf shows every recipient type not distribution groups when creating transport rule in Exchange Server 2016
- 4515272 Message is blocked in “SMTP Delivery to Mailbox” queue if exchange server is added in groups of a child domain in Exchange Server 2016
- 4515271 Can’t convert a migrated remote user mailbox to shared in Exchange Server 2016
- 4515270 SubmissionQueueLengthMonitor shows “System.ArgumentException: Transition timeout…” in Exchange Server 2016
- 4515267 NDR occurs when you resend message from alternate journaling mailbox to journaling mailbox in Exchange Server 2016
- 4515265 Removing In-Place Hold doesn't work for mailboxes in different domains in Exchange Server 2016
- 4515264 FindPeople request from Skype for Business on Mac fails with "Invalid Shape Specification" in Exchange Server 2016
- 4515263 Hide the "Validate-MailFlowThroughFrontDoor" command for Exchange Server 2016
- 4515262 Enable Remove-MobileDevice to delete mobile devices after migrating to Office 365 from Exchange Server 2016
- 4515261 Can’t copy eDiscovery search results for mailboxes with Exchange online archives in Office 365 in Exchange Server 2016
- 4515273 Mailbox auditing fails when you use SHA1Managed in Exchange Server 2016
- 4515266 Infinite loop in Recurrence.GetNumberOfYearsBetween() with the Japanese calendar in Exchange Server 2016
- 4520319 S/MIME signed reply draft behaves like the first message in conversation in Exchange Server 2016
- 4515832 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 10, 2019
Exchange 2016 CU13
Am 18 Juni hat Microsoft das CU13 für Exchange 2016 released.
Cumulative Update 13 for Exchange Server 2016 (KB4488406)
https://www.microsoft.com/en-us/download/details.aspx?id=58395
- Cumulative Update 13 for Exchange Server
2016
https://support.microsoft.com/en-us/help/4488406/cumulative-update-13-for-exchange-server-2016 - Exchange 2016 CU13 Released
https://blogs.technet.microsoft.com/rmilne/2019/06/18/exchange-2016-cu13-released/
Wichtig:
Es gibt ein Security Update, welches sie installieren sollten, wenn Sie nicht gleich CU14 installieren:
https://support.microsoft.com/en-us/help/4515832/security-update-for-exchange-server-2019-and-2016
NET 4.7.2 ist Voraussetzung und NET 4.8 ist unterstützt.
Einige Updates und Korrekturen finden Sie im Zeitgleich veröffentlichen Echange 2019 CU2
- 4502154 Providing information to administrators when auto forward limit is reached in Exchange Server 2016
- 4502155 "The primary SMTP address must be specified when referencing a mailbox" error when using impersonation in Exchange Server 2016
- 4502156 Audit logs aren’t updated when "-WhatIf" is used as $false in the command in Exchange Server 2016
- 4502157 The Find command not returning the HasAttachments element in Exchange Server 2016
- 4502158 SyncFolderItems contains duplicated ReadFlagChange items in Exchange Server 2016
- 4502131 "TLS negotiation failed with error UnknownCredentials" error after updating TLSCertificateName on Office 365 send connector in Exchange Server 2016 hybrid environment
- 4502132 Can’t reply to old emails after migration even though old legacyExchangeDN is set to migrated mailbox in Exchange Server 2016
- 4502136 The response of FETCH (BODYSTRUCTURE) command of IMAP violates RFC 3501 in Exchange Server 2016
- 4502140 Can’t preview an eDiscovery search when there are multiple domains in Exchange Server 2016
- 4502141 Appointment that’s created by responding to an email message doesn’t show in any of Outlook calendar views in Exchange Server 2016
- 4502133 Can't use Outlook on the web to reply a partner email through mutual TLS in Exchange Server 2016
- 4488396 Can't search any results in manually added shared mailbox in Outlook in Exchange Server 2016
- 4488078 Public folder contact lists don't show contact's profile picture in Outlook on the web in Exchange Server 2016
- 4499503 Heavy organizational forms traffic due to materialized restriction when organization forms library has more than 500 items in Exchange Server 2016
- 4503027 Description of the security update for Microsoft Exchange Server 2019 and 2016: June 11, 2019
Exchange 2016 CU12
Aufgrund einer Lücke in EWS und erweiterten Rechten ist das CU12 sehr zeitnah nachgeliefert worden Siehe dazu die gesonderte Seite.
Achtung: Kein Fix ohne Bug. am 19. Feb
kam nach dem Patchday ein wichtiges Updates raus, welches
Sie auf Windows 2016 installieren sollten
February 19, 2019—KB4487006 (OS Build 14393.2828)
https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006
Es löst ein Problem mit der Anzeige des Addresbuchs und fixt
ein HTTP/2 Problem. Siehe "Define thresholds on the number
of HTTP/2 Settings parameters exchanged over a connection "
https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange
Wichtig:
Es gibt ein Security Update, welches sie installieren sollten, wenn Sie nicht gleich CU14 installieren:
https://support.microsoft.com/en-us/help/4515832/security-update-for-exchange-server-2019-and-2016
Exchange 2016 CU11/CU12 KB4487563
Mitte April hat Microsoft ein weiteres Security Update für Exchange 2010 bis 2019 veröffentlicht.
- Description of the
security update for
Microsoft Exchange
Server 2019, 2016, and
2013: April 9, 2019
https://support.microsoft.com/en-us/help/4487563/description-of-the-security-update-for-microsoft-exchange-server - CVE-2019-0817:
Microsoft Exchange
Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0817 - CVE-2019-0858:
Microsoft Exchange
Spoofing Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0858 - Neue
Sicherheitsupdates für
Exchange Server (Alle
Versionen)
https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-alle-versionen/
Security Update
For Exchange Server 2016
CU12
https://www.microsoft.com/de-DE/download/details.aspx?id=58195
CU11
https://www.microsoft.com/de-DE/download/details.aspx?id=58197
Exchange Security Update Jan 2019
Laut Beschreibung reicht eine entsprechend formatierte Mail, dass Exchange den Code als System User ausführt. Zwar ist der Fehler noch nicht veröffentlich und es gibt am 11.jan auch noch keine Angriffe aber wir können sicher sein, dass die bösen Jungs nun die Änderungen im Patch untersuchen um die Lücke auszunutzen. Betroffen ist Exchange 2016 und 2019 und es gibt nur für die folgenden Versionen ein entsprechendes Update
- Microsoft Exchange Server 2019 RTM
- Microsoft Exchange Server 2016 Cumulative Update 10
- Microsoft Exchange Server 2016 Cumulative Update 11
Spätestens jetzt sollten Sie wirklich erkennen, wie wichtig ein halbwegs aktueller Patchstand ist, um so kleine Security Updates zeitnah installieren zu können.
Security Update For Exchange Server
2016 CU10 (KB4471389
https://www.microsoft.com/en-us/download/details.aspx?id=57757
Security Update For Exchange Server 2016 CU11 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57758
Security Update For Exchange Server 2019 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57756
- Description of the security update for
Microsoft Exchange Server 2019, 2016, and
2013: January 8, 2019
https://support.microsoft.com/en-us/help/4471389/description-of-the-security-update-for-microsoft-exchange-server-2019 - CVE-2019-0586 | Microsoft Exchange
Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0586 - MITRE CVE-2019-0586
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-0586 - Sicherheitsupdate für Exchange Server
2016 / 2019 (Januar 2019)
https://www.frankysweb.de/sicherheitsupdate-fuer-exchange-server-2016-2019-januar-2019/
Im Schatten dieses Updates wird noch eine weitere Lücke gestopft, bei der per PowerShell ein Zugriff auf Kalender möglich ist. Dieses Problem betrifft zusätzlich noch
- Microsoft Exchange Server 2013 Cumulative Update 21
- Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 25
Die Beschreibung finden Sie hier
- 4468742 Security Update Information Disclosure Important
- CVE-2019-0588 | Microsoft Exchange
Information Disclosure Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0588
KB4468741
Am 11 Dezember hat Microsoft ein Security Update für die beiden letzten CU Stände (CU10 und CU11) released. Interessanterweise ist der Download uaf den 29. November terminiert. Das Update ist also schon 2 Wochen lang fertig gewesen, ehe es auch in einem KB-Artikel beschrieben wurde.
Exchange 2016 CU10
https://www.microsoft.com/en-us/download/details.aspx?id=57603
302MB
Exchange 2016 CU 11
https://www.microsoft.com/en-us/download/details.aspx?id=57604
132MB
- Description of the security update for the tampering vulnerability in Microsoft Exchange Server 2016: December 11, 2018
https://support.microsoft.com/en-us/help/4468741/security-update-for-the-exchange-tampering-vulnerability - Microsoft Common Vulnerabilities and
Exposures CVE-2018-8604
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8604 - Exchange 2016: Neues Sicherheitsupdate
für CU10 und CU11
https://www.frankysweb.de/exchange-2016-neues-sicherheitsupdate-fuer-cu10-und-cu11/
Exchange 2016 CU11
Microsoft hält seinen 3-Monats-Zyklus ziemlich genau ein. Am 4. Okt 2018 wurde as CU11 für Exchange 2016 released. Es ist wieder eine "Vollversion", d.h. direkt zur Installation geeignet ohne das eine frühere Version installiert sein muss. Natürlich ist damit auch ein Update einer bestehenden Installation möglich.
Das ist das erste Mal, dass es keine Updates für Exchange 2013 oder 2010 zum gleichen Zeitpunkt gibt. Diese beiden Produktesind im "Extended Support" und es gibt keine Feature Updates mehr sondern maximal Security updates.
Beachten Sie dazu bitte:
- NE 4.7.1 erforderlich. NET 4.7.2 unterstützt
Diese Version benötigt NET 4.71. Ein Update von früheren Versionen muss nach einem bestimmten Schema erfolgen. Siehe dazu auch Updates und .NET Framework. Sie können im dem Zuge aber auch gleich auf NET 4.7.2 gehen. Dies wird später für ein späteres CU (ca Juni 2019) Voraussetzung sein. - Änderungen der RBAC-Rollen erfordern Admin
Das "Setup /PrepareAD" muss mit administrativen Rechten gestartet werden, um die Einträge in der RBAC-Konfiguration vornehmen zu können. - Kein Schema Update
Das CU11 nutzt das gleiche Schema wie CU10. Wenn Sie aber von einem älteren CU aktualisieren, könnte ein privilegiertes Konto erforderlich sein - VisualC++ Runtime 2012 erforderlich
Alle Exchange Rollen (Mailbox, Edge, Management) benötigen diese Runtime - VisualC++ Runtime 2013 erforderlich
Die Mailbox-Rolle benötigt zusätzlich diese Runtime
Cumulative Update 11 for Exchange Server 2016 (KB4134118)
https://www.microsoft.com/en-us/download/details.aspx?id=57388
Exchange Server 2016 CU11 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=57383
- Cumulative Update 11 for Exchange Server 2016
https://support.microsoft.com/en-us/help/4134118/cumulative-update-11-for-exchange-server-2016 - Released: October 2018 Quarterly Exchange Updates
https://blogs.technet.microsoft.com/exchange/2018/10/16/released-october-2018-quarterly-exchange-updates/
Eine Liste aller Updates erspare ich ihnen. Die hat Microsoft schon ausreichend dokumentiert.
Exchange 2016 CU10
Nach drei Monaten, genau am 12. Jun 2018 hat Microsoft das CU10 für Exchange 2016 zusammen mit Updates für Exchange 2013 und 2010 released:
Exchange 2016 CU10 Download (ca 5,6 GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=57068
UM Lang Pack
https://www.microsoft.com/download/details.aspx?id=57067
Visual C++ Redistributable Packages
for Visual Studio 2013
https://www.microsoft.com/en-us/download/details.aspx?id=40784
Für die Installation erforderliche Voraussetzungen, genauso wie NET 4.7.1
Die Änderungen hat Microsoft in einem KB-Artikel und Blog-Beitrag dokumentiert:
- Cumulative Update 10 for Exchange Server 2016
https://support.microsoft.com/en-us/help/4099852/cumulative-update-10-for-exchange-server-2016 - Released: June 2018 Quarterly Exchange Updates
https://blogs.technet.microsoft.com/exchange/2018/06/19/released-june-2018-quarterly-exchange-updates/
Aus meiner Sicht sind folgende Punkte besonders erwähnenswert:
- NET 4.7.1 Framework erforderlich
https://support.microsoft.com/kb/4033342
Die meisten werden das Update vermutlich schon mit CU9 bereits installiert haben. Nun ist es verpflichtend. Sie müssen also vorher NET 4.7.1 installieren. Das bedeutet aber, dass Sie offiziell vorher auch zumindest CU8 oder CU9 installieren müssen, ehe Sie auf NET 4.7.1 installieren dürfen. Siehe auch Exchange Updates und .NET Service Pack. - VC++ 2013 Runtime
https://www.microsoft.com/download/details.aspx?id=40784
Folgende Updates sind enthalten:
- 4056609 Event ID 4999 and mailbox transport delivery service won't start with Exchange Server 2016 CU7 installed
- 4133605 Cmdlets to create or modify a remote shared mailbox in an On-Premises Exchange environment
- 4133620 "HTTP 500 due to ADReferralException" error when a User tries to view detail properties of mailboxes in a child domain in Exchange Server
- 4095974 "System.InvalidOperationException" occurs when the "Enable-MailPublicFolder" cmdlet is run against a public folder in Exchange Server
- 4095973 Set-ServerComponentState cmdlet does not honor the write scope defined in the RBAC management scope in Exchange Server
- 4095993 HTTP 500 error when an administrator tries to manage regional settings in ECP on Windows Server 2016
- 4294209 Cannot clear the “Maximum message size” check box for Send messages or Receive messages in EAC in Exchange Server 2016
- 4294208 "TooManyObjectsOpenedException" error when you run the "Get-PublicFolderMailboxDiagnostics" cmdlet in Exchange Server
- 4294212 Cannot send VBScript-created messages in the Outlook 2016 client
- 4294211 Cannot run “Set-CalendarProcessing” cmdlets after you apply CU8 or CU9 for Exchange Server 2016
- 4294210 Cannot edit an email attachment in OWA in an Exchange Server 2016 environment
- 4294204 Changing "IsOutOfService" to "False" in an earlier Exchange Server version does not immediately update in a later Exchange Server environment
- 4092041 Description of the security update for Microsoft Exchange Server 2013 and 2016: May 8, 2018
Exchange 2016 CU9
Dieses Update wurde am 15. März 2018 released. In CU8 wurde ein Fehler festgestellt, bei dem Frei/Belegt-Zeiten zwischen einem Benutzer auf Exchange On-Premises und einem Benutzer in Exchange Online nicht aufgelöst werden können, wenn der Cloud-Benutzer kein Archiv hat. Der dazu erforderliche Fix ist in CU9 mit anderen Updates enthalten. Auch können nun Anwender wieder die Sprache von Exchange UM per OWA ändern, wenn Sie in einer Child-Domäne sind. Und nun ist auch TLS 1.2 unterstützt.
Kumulatives Update 9 für Exchange
Server 2016 (KB405522 5,6 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=56718
UM Lang Packs
https://www.microsoft.com/downloads/details.aspx?FamilyID=31e9c217-4206-463b-8fd0-d6345ba22152
CU9 unterstützt NET 4.7.1 und 4.6.2. Erst CU10 wird NET 4.7.1 erzwingen. Sie können aber jetzt schon NET 4.7.1 installieren.
- Kumulative Update 9 für Exchange Server
2016
https://support.microsoft.com/de-de/help/4055222/cumulative-update-9-for-exchange-server-2016
https://support.microsoft.com/en-us/help/4055222/cumulative-update-9-for-exchange-server-2016
Dieser KB-Artikel verlinkt auf alle Updates - Released: March 2018 Quarterly Exchange
Updates
https://blogs.technet.microsoft.com/exchange/2018/03/20/released-march-2018-quarterly-exchange-updates/ - Hybrid free/busy lookups fail between Exchange
Server 2016 CU8 and O365
https://support.microsoft.com/en-au/help/4058297/hybridfblooksupfailsbetweenexchange2016cu8serverando365
Exchange 2016 CU8
Drei Monate nach dem CU7 und pünktlich vor Weihnachten hat Microsoft mit CU8 ein Update bereit gestellt. Mit 5,6 GB ist es wieder eine "Vollversion" mit allen Sprachen. Aber auch hier sind die UM-Sprachen wieder getrennt zu installieren
Cumulative Update 8 for Exchange Server 2016 (KB4035145)
http://www.microsoft.com/en-us/download/details.aspx?id=56363
Exchange Server 2016 CU8 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=56365
Es gibt wichtige Änderungen, die im Exchange Team Blog beschrieben sind. So werden TLS-Einstellungen bei einem Update nicht mehr auf die Standardwerte gesetzt. Lang erwartet wurde der Support für NET 4.7.1 (aber nicht 4.7.0 !). Zudem wurden ein paar Fehler mit IRM-Mails, OWA-Terminanfragen und Offline-Einstellungen in OWA korrigiert. Allerdings ist auch das Security Update vom 12. Dezember enthalten.
Hinweis zu .NET Framework
Sollten Sie noch auf CU4 sein (Was seit CU7 aber schon unsupportet ist, dann müssen Sie erst auf CU5 aktualisieren um dann .NET Framework auf 4.6.2 einspielen zu können. Wohl dem der noch CU5 als Installationsquelle vorgehalten hat denn der Download bei Microsoft ist nicht mehr vorhanden.
Erst dann können sie auf CU8 gehen und danach NET 4.7.1 installieren. Bei einer Neuinstallation von Exchange sollten Sie gleich mit NET 4.7.1 starten.
- Hybrid free/busy lookups fail between Exchange
Server 2016 CU8 and O365
https://support.microsoft.com/en-au/help/4058297/hybridfblooksupfailsbetweenexchange2016cu8serverando365 - Released: December 2017 Quarterly Exchange Updates
https://blogs.technet.microsoft.com/exchange/2017/12/19/released-december-2017-quarterly-exchange-updates/ - Cumulative Update 8 for Exchange Server
2016
https://support.microsoft.com/en-us/help/4035145/cumulative-update-8-for-exchange-server-2016 - 4056329 Can't access EWS from Outlook/OWA add-ins via makeEwsRequestAsync in Exchange Server 2016 and Exchange Server 2013
- 4054516 "Your request can't" error when accessing an archive mailbox via OWA in Exchange Server 2016
- 4055953 The recipient scope setting doesn't work for sibling domains in Exchange Server 2016
- 4055435 No MAPI network interface is found after you install Exchange Server 2016 CU7
- 4056609 Event ID 4999 and mailbox transport delivery service does not start after you install Exchange Server 2016 CU7
- 4045655 Description of the security update for Microsoft Exchange: December 12, 2017
- 4057248 Many Watson reports for StoragePermanentException in Exchange Server 2016
- Exchange 2013: Stolperstein beim Update einer alten Version auf das aktuelle CU
https://www.frankysweb.de/exchange-2013-stolperstein-beim-update-einer-alten-version-auf-das-aktuelle-cu/ - Upgrade Paths for CU’s & .NET
https://eightwone.com/2017/12/21/upgrade-paths-for-cus-net/
Exchange 2016 CU7
Drei Monate nach dem CU6 wird CU7 released. Es bringt immer noch nicht den NET 4.7.0 Support. Stattdessen wird man wohl später gleich auf NET 4.7.1 gehen.
Bitte installieren sie NICHT .NET Framework 4.7 oder neuer. Es ist nicht mit CU7 freigegeben.
Achtung: CU7 enthält wieder ein Schema Updates. Die erste Installation muss mit erweiterten Rechten erfolgen.
Wenn Sie auf einem Management-System nur die Exchange Powershell installieren, dann vergisst CU7 die Datei microsoft.exchange.managedlexruntime.mppgruntime.dll zu installieren. Diese wird aber von diversen
Exchange CMDLets benötigt. Es wird zwar beim Aufruf dann ein Fehler generiert aber nicht alle Skripte fangen so etwas ab.
Get-CASMailbox : Cannot bind parameter 'Filter' to the
target. Exception setting "Filter": "Could not load file or
assembly 'Microsoft.Exchange.ManagedLexRuntime.MPPGRuntime,
Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35'
or one of it\ s dependencies. The system cannot find the
file specified."
Lösung: Kopieren Sie die Datei einfach von einem Exchange Server in das gleichnamige Verzeichnis C:\Programs\Microsoft\Exchange\V15\Bin. Auf dem Exchange Server selbst tritt der Fehler nicht auf
CU7 prüft diesmal aber auch, ob der Windows 2008R2 Forest Funktional Level gesetzt ist. Es gibt noch zwei bekannte Fehler, die erst in einem späteren CU gefixt werden
- Online Archive Folders created in O365 will not appear in the Outlook on the Web UI
- Information protected e-Mails may show hyperlinks which are not fully translated to a supported, local language
Ich denke diese Einschränkungen sind zwar nervig, wenn Sie betroffen sind aber müssen toleriert werden.
Download
http://www.microsoft.com/downloads/details.aspx?FamilyID=e0125452-a610-447c-a932-8f44c6c813eb
(5,7GB)
UM Lang Packs
http://www.microsoft.com/downloads/details.aspx?FamilyID=6c11f427-c900-4284-a1d7-19998a43ebd3
- KB4018115 Cumulative Update 18 for Exchange Server 2013
https://support.microsoft.com/en-us/help/4022631/cumulative-update-18-for-exchange-server-2013 - KB4018115 Cumulative Update 7 for Exchange
Server 2016
https://support.microsoft.com/kb/4018115
https://support.microsoft.com/en-us/help/4018115/cumulative-update-7-for-exchange-server-2016 -
KB 4040754 "Update
UseDatabaseQuotaDefaults to false" error
occurs when you change settings of User
mailbox in Exchange Server 2016
https://support.microsoft.com/help/4040754 - KB 4040121 You receive a corrupted
attachment if email is sent from Outlook
that connects to Exchange Server in cache
mode
https://support.microsoft.com/en-us/help/4040121 - Exchange 2016 Active Directory schema
changes
https://technet.microsoft.com/en-us/library/bb738144(v=exchg.160).aspx
CU7 enthält wieder ein paar Änderungen. Planen sie beim Update des ersten Servers den Schema-Admin mit ein. - How To Compare Exchange Schema Changes
https://blogs.technet.microsoft.com/rmilne/2017/10/03/how-to-compare-exchange-schema-changes/ - Exchange 2016 CU7 Released
https://blogs.technet.microsoft.com/rmilne/2017/09/19/exchange-2016-cu7-released/ - Enable-mailbox fails after installing a
new CU
https://juanjosemartinezmoreno.wordpress.com/2015/03/02/enable-mailbox-fails-after-upgrading-to-cu7/
Exchange 2016 CU5 Security Update
Am 6. Juli 2017 hat Microsoft ein Security Update für CU5 released, um eine Lücke in OWA zu schließen. Das Update dürfte in CU6 schon enthalten sein. Sie können also überlegen, ob sie gleich CU6 installieren.
Security Update for Exchange Server 2016 CU5 (KB4018588) (ca. 112 MB)
https://www.microsoft.com/de-de/download/details.aspx?id=55588
Weitere Links:
- KB4018588 Hinweise zum Sicherheitsupdate für Microsoft Exchange: Dienstag, 11. Juli 2017
- 20170711 Informationen zur Bereitstellung von Sicherheitsupdates: Dienstag, 11. Juli 2017
https://support.microsoft.com/de-de/help/20170711/security-update-deployment-information-july-11-2017 - CVE-2017-8559 | Microsoft Exchange Cross-Site Scripting
Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8559 - CVE-2017-8560 | Microsoft Exchange Cross-Site Scripting
Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8560 - CVE-2017-8521 | Scripting Engine Memory Corruption Vulnerability
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8521
Exchange 2016 CU6
Ende Jun 2017 hat Microsoft zusammen mit einem Update für Exchange 2013 ein weiteres CU veröffentlicht. Für Exchange 2010 und älter gibt es aber keine Updates mehr. Wie üblich ist auch dies eine "Vollinstallation". Sie sollten also keine vorherige Version installieren, sondern direkt mit dieser Version einsteigen. Achten Sie darauf, dass auch die Voraussetzungen, z.B. das passende .NET Framework, erfüllt sind. Beachten Sie beim Update von CU4 und früher den Zwischenschritt durch den Wechsel des .NET Frameworks.
Noch kein Support für NET 4.7 !
Kumulatives Update 6 für Exchange Server 2016 (KB4012108) (5,5GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=55520
Folgende Neuerungen sind enthalten:
- TLS 1.2 Support
- Original Folder Item Recovery
Endlich kann man Objekte, die man aus dem Dumpster wieder holt, an den alten Ordner zurückholen.
https://blogs.technet.microsoft.com/exchange/2017/06/13/announcing-original-folder-item-recovery/ - Sent Items Behaviour Control
https://blogs.technet.microsoft.com/exchange/2017/03/28/sent-items-behavior-control-comes-to-exchange-online-User-mailboxes/ - Exchange 2016 CU6: Gesendete Elemente bei
freigegebenen Postfächern
https://www.frankysweb.de/exchange-2016-cu6-gesendete-elemente-bei-freigegebenen-postfaechern/ - Exchange 2016 CU6 Released
https://blogs.technet.microsoft.com/rmilne/2017/06/27/exchange-2016-cu6-released/ - KB4019534 Error when a mailbox name includes an
umlaut in Exchange Server 2016 Cumulative Update 5
https://support.microsoft.com/en-us/help/4019534/error-when-a-mailbox-name-includes-an-umlaut-in-exchange-server-2016
Solution: Install CU6 - This release includes support for Windows time zone updates released through June 27, 2017.
- KB4024658 FIX: The EAS web.config file is not updated on the CAFE server during a build-to-build upgrade
- KB4024654 POP/IMAP clients can't log on with NTLM when Alias and SamAccountName are different in Exchange Server 2016
- KB4024653 Active Monitoring probes fail when you use a new accepted domain as the default domain in Exchange Server 2016
- KB4024652 Repeated IMAP SEARCH BODY requests may not return newly delivered messages in Exchange Server
- KB4024651 The "MessageRetrievalMimeFormat" setting isn't honored for plain text-only email messages in IMAP in Exchange Server
- KB4024650 Emoji is displayed as question marks in iOS clients in an Exchange Server environment
- KB4024649 The Read or Unread flag isn't synchronized correctly after you turn off an ActiveSync device overnight in Exchange Server
- KB4024648 FIX: A new contact created in OWA may be merged into an existing contact on Exchange Server 2016
Exchange 2016 CU5
Achtung:
Exchange 2016 CU5 generiert die Mailadresse
falsch, wenn Umlaute enthalten sind. Geben Sie bei Enable-Mailbox
o.ä. einfach die gewünschte Mailadresse mit an
oder installieren Sie CU6
https://support.microsoft.com/en-us/help/4019534/error-when-a-mailbox-name-includes-an-umlaut-in-exchange-server-2016
Achtung
Prüfen Sie auch die Kompatibilität mit Drittprodukten. Anscheinend haben einige Backup-Produkte mit CU5 Probleme beim Single Item Restore
Achtung: Veeam 9.5 U1 und Exchange 2016 CU5 Probleme
https://www.frankysweb.de/achtung-veeam-9-5-u1-und-exchange-2016-cu5-probleme/
After installing CU5 for Exchange 2016, Backup Exec 16 will not show GRT items during restore
http://www.veritas.com/docs/000126392
Kroll Ontrack PowerControls for Exchange cannot open
database on Exchange 2016 CU5
https://support.unitrends.com/UnitrendsBackup/s/article/000005563
Microsoft hat mit dem CU4 schon angekündigt, dass das .NET Framework 4.6.2 mit CU4 unterstützt und mit CU5 eine Voraussetzung sein wird. Das bringt nur erstmals die Besonderheit mit sich, dass ein Update von CU3 oder früher auf CU5 oder später nicht direkt möglich ist, da dazwischen das .NET Framework aktualisiert werden muss. Daher gibt es folgende Vorgehensweise:
- Update Exchange 2016 auf CU4
- Update .NET Framework auf 4.6.2
- Update Exchange 2016 auf CU5 oder neuer
Einzig bei einer Neuinstallation von Exchange 2016 sollten Sie direkt NET 4.6.2 installieren und dann mit der CU5 Quelle starten. Wenn wie schon gewohnt ist das CU immer eine Vollinstallation. Entsprechend umfangreich ist der Download (5,4GB ISO) und auch die UM Sprachpakete sind wieder aktualisiert worden:
Cumulative Update 5 for Exchange Server 2016 (KB4012106)
https://www.microsoft.com/en-us/download/details.aspx?id=54930
Exchange Server 2016 CU5 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=54932
Auch für CU5 hat Microsoft eine Liste der Fehler veröffentlicht:
- 4015665 SyncDelivery logging folders and files are created in wrong location in Exchange Server 2016
- 4015664 A category name that has different case-sensitivity than an existing name is not created in Exchange Server 2016
- 4015663 “The message content has become corrupted” exception when email contains a UUE-encoded attachment in Exchange Server 2016
- 4015662 Deleted inline picture is displayed as attachment after you switch the message to plain text in Exchange Server 2016
- 4015213 Email is still sent to Inbox when the sender is deleted from the Trusted Contacts list in Exchange Server 2016
- 4013606 Search fails on Exchange Server 2016 or Exchange Server 2013
- 4012994 PostalAddressIndex element isn’t returning the correct value in Exchange Server 2016
Microsoft hat aber auch zwei Fehler aufgeführt, die erst in CU6 gefixt werden sollen.
- Geburtstagskalender kann man in Outlook on the Web (OWA) nicht aktivieren
- Public Folder Hierarchy wird bei einem
Failover der Datenbank auf einen anderen
Server pausiert, bis man den "Exchange
Service Host" auf dem neuen Server
durchstartet.
Der Blog- Artikel geht auch noch mal auf diverse Dinge ein
- Exchange 2016 CU5 Released
https://blogs.technet.microsoft.com/rmilne/2017/03/23/exchange-2016-cu5-released/
Insbesondere beschreibt er ein paar Hinweise für die Installation.
Beachten Sie dazu auch meine Checkliste auf Ex2016 Update Checkliste
Exchange 2016 CU4
Während es für Exchange 2007 und 2010 am 12. Dez nur noch Zeitzonen-Updates gab, ist bei Exchange 2013 und erst recht bei Exchange 2016 die Entwicklung noch voll aktiv. Die wesentlichen Änderungen sind:
- Windows 2016 Support
Dazu ist aber die Installation von KB3206632 erforderlich. Das Setup prüft diese Voraussetzung. - Support für NET 4.6.2
Auf der sicheren Seite sind sie, wenn Sie das Exchange Update zuerst installieren und dann .NET aktualisieren. Hinweis: Die Updates im März 2017 werden 4.6.2 sogar voraussetzen. - Media Foundation statt Desktop Experience
Bislang hat das Exchange Setup das komplette Desktop Experience Feature benötigt, was mehr Patche nach sich gezogen hat. Seit diesem Update reichen die Windows Media Foundation und Desktop Experience kann deinstalliert werden. Das Setup deinstalliert dies aber nicht. Hier müssen Sie manuell aktiv werden und "Desktop Experience" deinstallieren.
- Bugfix bei Öffentlichen Ordnern
Ein Fehler in dem vorherigen CU führte dazu, dass nicht alle Inhalte in öffentlichen Ordner korrekt indexiert wurden (Siehe KB3202691). Dies ist nun wieder behoben. Allerdings müssen Sie die Public Folder Postfächer dazu einmal in eine andere Datenbank verschieben.
Die Tatsache, dass diese Liste de wichtigen Änderungen sowohl für Exchange 2013 als auch 2016 gilt, zeigt wie nahe die beiden Produkte noch miteinander verwoben und versandt sind.
Exchange 2016 CU14
https://www.microsoft.com/en-us/download/details.aspx?id=54450
UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=54455
- Released: December 2016 Quarterly Exchange Updates
https://blogs.technet.microsoft.com/exchange/2016/12/13/released-december-2016-quarterly-exchange-updates/ - 3177106 Cumulative Update 4 for Exchange Server 2016
- KB 3202691 Public folders indexing doesn't work
correctly after you apply latest cumulative updates for
Exchange Server
KB 3201358 Set-Mailbox and New-Mailbox cmdlets prevent the use of the -Office parameter in Exchange Server 2016
KB 3202998 FIX: MSExchangeOWAAppPool application pool consumes memory when it recycles and is marked as unresponsive by Health Manager
KB 3208840 Messages for the health mailboxes are stuck in queue on Exchange Server 2016
KB 3186620 Mailbox search from Exchange Management Shell fails with invalid sort value in Exchange Server 2016
KB 3199270 You can't restore items to original folders from Recoverable Items folder in Exchange Server 2016
KB 3199353 You can't select the receive connector role when you create a new receive connector in Exchange Server 2016
KB 3193138 Update to apply MessageCopyForSentAsEnabled to any type of mailbox in Exchange Server 2016
KB 3201350 IMAP "unread" read notifications aren’t suppressed in Exchange Server 2016
KB 3209036 FIX: "Logs will not be generated until the problem is corrected" is logged in an Exchange Server 2016 environment
KB 3212580 Editing virtual directory URLs by using EAC clears all forms of authentication in Exchange Server 2016
Exchange 2016 CU3
Gerade mal 8 Tage nach dem Release eines Security Updates hat Microsoft das nächste CU veröffentlicht, welches alle anderen vorhergehenden Updates ersetzt. Passend dazu gibt es einen Blog-Artikel, der auf die Neuerungen hinweist:
- Released: September 2016 Quarterly
Exchange Updates
https://blogs.technet.microsoft.com/exchange/2016/09/20/released-september-2016-quarterly-exchange-updates/
Exchange Server 2016 Cumulative
Update 3 (5,7 GB )
http://www.microsoft.com/downloads/details.aspx?FamilyID=fe1096f8-6143-4a77-8307-38894dac3187
UM Language Pack
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a585913-91a5-41b4-9f3d-70bee8f9d5c1
Die Änderungen hat Microsoft sowohl im Blog-Artikel als auch im folgenden KB-Artikel umfangreich beschrieben, so dass ich mich auf die wichtigsten Punkte beschränke.
Achtung: Das CU3 enthält Änderungen am Schema und erfordert entsprechenden Berechtigungen.
- KB3152589 Cumulative Update 3 for Exchange Server 2016
- Windows 2016 Support mit NET 4.6.2 (Nicht auf Windows 2012R2 !. DAs kommt erst mit CU4 im Dezember 2016)
-
Copy from Local
Wird eine Datenbank in einer DAG neu kopiert, dann nutzt er nicht mehr die aktive sondern kopiert die Daten von einer passiven Kopie. - KB 3154387 The DFS health set is listed as "Unhealthy" in an Exchange Server 2016 environment
- KB 3175080 Cannot log on to OWA when FIPS is enabled in an Exchange Server 2016 environment
- KB 3176377 Links to access Exchange items in SharePoint eDiscovery search result fail with an HTTP error 500 in Exchange Server
- KB 3161916 Data loss may occur during public folder migration to Exchange 2013, Exchange 2016, or Exchange Online
- KB 3176540 OWA error reporting responds with a HTTP error 500 in OwaSerializationException
- KB 3190887 Upgrading Exchange Server causes the server to go offline unexpectedly
- KB 3191075 You can't install Cumulative Update 2 for Exchange Server 2016 on a Russian version operating system
Exchange 2013 CU13 Security Update MS16-106
Die Sicherheitslücken in MS16-016 haben wohl Microsoft dazu gebracht, für alle aktuell noch gepflegten Exchange Versionen (2007,2010,2013 und 2016) ein Update außer der Reihe zu veröffentlichen. Es werden nur die Komponenten mit dem Update gefixt. Der Download ist also weit kleiner als eine Vollinstallation eines CU
Security Update For Exchange Server 2016 CU2 (KB3184736
https://www.microsoft.com/en-US/download/details.aspx?id=53676
- MS16-016
http://technet.microsoft.com/en-us/security/Bulletin/MS16-108 - https://www.frankysweb.de/kritisches-sicherheitsupdate-fr-alle-exchange-server-versionen-ms16-108/
Exchange 2016 CU2
Viel Abstand war nun nicht zwischen dem Security Update und dem knapp eine Woche später folgendem CU2, welches eine Vollinstallation ist. Aber so kann es passieren, wenn die normale Entwicklungspfade kurzfristig von einem Sicherheitsupdate eingeholt werden. Das CU2 enthält auch das MS16-079 Security Update.
Download (6 GB ISO) Server
https://www.microsoft.com/en-us/download/details.aspx?id=52968
Exchange Server 2016 CU2 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=52964
Achtung:
Exchange 2016CU2 bringt eine Schema-Erweiterung mit. Führen
Sie als Enterprise Admin vorher ein "Setup /PrepareSchema"
und ein "Setup /PrepareAD" für RBAC-Aktualisierung durch,
wenn die Exchange Administratoren keine Berechtigungen dazu
haben.
Mit Exchange 2016 CU2 ist es erlaubt, dass schon das .NET
Framework 4.5.2 vorab installiert ist.
Die Installation von .NET Framework 4.6.2 ist noch nicht
freigegeben.
Die Liste der Updates ist aber relativ kurz. Ich vermute, dass viele Entwicklerressourcen in die Office 365 Entwicklung gegangen sind und nur bislang eher wenig Änderungen für lokale Installationen anstanden. Einige Dinge sind aber schon relevant
- Unterstützung für .NET 4.6.1
Beachten Sie aber erforderliche Hotfixes- Windows Server 2008/2008R2 – KB3146716
- Windows Server 2012 – KB3146714
- Windows Server 2012R2 – KB3146715
- SHA-2 Support für selbst erstellte Zertifikate
- Ein Bug bei der Migration von
öffentlichen Ordnern wurde gefixt
KB3161916 Data loss may occur during public folder migration to Exchange 2013, Exchange 2016, or Exchange Online - Released: June 2016 Quarterly Exchange
Updates
https://blogs.technet.microsoft.com/exchange/2016/06/21/released-june-2016-quarterly-exchange-updates/ - 3135742 Cumulative Update 2 for Exchange 2016
- 3171162 You cannot search emails in Outlook or Outlook Web App in an Exchange Server 2016 Cumulative Update 1 environment
- 3164346 Cannot connect to a mailbox when MAPI over HTTP protocol is used in an On-Premises Exchange Server 2016 installation
- 3162968 "Failed to load script" error when you log on to OWA and select a language
- MAPI Virtual Directory Bug in Exchange
2016 CU2
http://www.expta.com/2016/06/mapi-virtual-directory-bug-in-exchange.html
Security Update MS16-079
Eine Lücke im zugekauften Module "OutSideIn" von Oracle sorgt für eine Update-Welle für Exchange 2007 bis 2016 mit unterschiedlichen Patchständen.
Aktuell über Windows Update oder Update Catalog
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3150501
Die CAB-Datei können Sie entpacken und erhalten
dann das MSP-File
- Microsoft Security Bulletin MS16-079 -
Important
https://technet.microsoft.com/library/security/MS16-079 - 3160339 MS16-079: Security Update for Microsoft Exchange: June 14, 2016
- 3150501 MS16-079: Description of the security Update for Exchange Server 2016 and Exchange Server 2013: June 14, 2016
Exchange 2016 CU1
Laut dem Team-Blog zum den Dezember Updates für Exchange E2013, E2010 und E2007 kommt das nächste geplante Update für Exchange 2016 im nächsten Quartal. Am 15. März 2015 ist es dann soweit gewesen.
- Released: March 2016 Quarterly Exchange
Updates
http://blogs.technet.com/b/exchange/archive/2016/03/15/released-march-2016-quarterly-exchange-updates.aspx
Achtung: Lesen Sie dem BLOG Artikel
Auf Windows 2012 kann ein .NET Update die Installation
extrem verzögern.
Dieses Update ist noch nicht mit .NET 4.6.1 kompatibel
Diese Update enthält ein Schema Update und RBAC Update, die
ggfls. vorab ausgeführt werden sollten
Die Powershell Execution Policy muss auf unrestricted
stehen.
Achtung: Edge Server und Empfänger Filter
Eventuell funktioniert der Empfängerfilter nach Installation
von CU1 nicht meht
Quelle: Release Notes
https://technet.microsoft.com/en-us/library/jj150489(v=exchg.160).aspx
KB3134844
Cumulative Update 1 for Exchange Server 2016
Download
http://www.microsoft.com/downloads/details.aspx?FamilyID=f3e560e7-fbb0-41ef-b3ee-05b083d4e3a3
6 GB !
UM Lang Packs
http://www.microsoft.com/downloads/details.aspx?FamilyID=0a9a1f0f-1ddc-4ab7-a9f7-2092673294c4
Die Liste der Bugfixes ist für Exchange 2016 überschaubar:
- KB 3139730 Edge Transport service crashes when you view the properties of a poison message in Exchange Server 2016
- KB 3135689 A custom SAP ODI URI is removed by ActiveSync from an email message in an Exchange Server environment
- KB 3135688 Preserves the web.config file for Outlook Web App when you apply a cumulative Update in Exchange Server 2016
- KB 3135601 Cyrillic characters are displayed as question marks when you run the "Export-PublicFolderStatistics.ps1" script in an Exchange Server 2016 environment
- KB 3124242 Mailbox quota is not validated during migration to Exchange Server 2013 or Exchange Server 2016
Das CU1 war keine echte Überraschung. Im Artikel zu "Exchange Management Shell and Mailbox Anchoring" ( http://blogs.technet.com/b/exchange/archive/2015/12/15/exchange-management-shell-and-mailbox-anchoring.asp) wurde auf Exchange 2016 CU1 schon verwiesen:
Starting with Exchange Server 2013 CU11 and Exchange Server
2016 CU1, the Exchange Management Shell (EMS) session will
also be using mailbox anchoring. If the aforementioned
environment has all servers upgraded to Exchange 2013 CU11
and Exchange 2016 CU1 the behavior of Exchange Management
Shell changes. Now when a User logs on to the Exchange
Server and open up EMS, the session will be proxied to the
server where the User’s mailbox is located.
Quelle: Exchange Management Shell and Mailbox Anchoring" (
http://blogs.technet.com/b/exchange/archive/2015/12/15/exchange-management-shell-and-mailbox-anchoring.aspx
Man könnte auch vermuten, dass all die Updates und Fixes für Exchange 2013 schon in Exchange 2016 RTM enthalten waren und nun einfach nachgeliefert werden. Kann könnte man erst recht sagen, dass Exchange 2016 schon ein Update erhalten hat. Aber halt, es ist ja es nur Version 15.1 statt 15.0 und keine Version 16.0.
Exchange 2016 Security Update MS16-010
Ehe das Exchange 2016 CU1 released wurde, musste Microsoft erst einmal ein Security Update für verschiedene Exchange 2013 Versionen (Siehe E2013 Updates) und Exchange 2016 RTM nachschieben
Security Update für Exchange Server
2016 CU0 (KB3124557) ca. 28MB
https://www.microsoft.com/en-US/download/details.aspx?id=50422
- 3124557 MS16-010: Security Update in Microsoft Exchange Server to address spoofing: January 12, 2016
- Security Update in Microsoft Exchange
Server to Address Spoofing (3124557)
https://technet.microsoft.com/library/security/MS16-010
Exchange 2016 RTM
Siehe MSXFAQ.DE:E2016 News
Weitere Links
Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
https://www.netatwork.de/unternehmen/karriere/
- Service Pack
- 2938053 Third-party transport agents cannot be loaded correctly in Exchange Server 2013
-
Exchange 2016 Active Directory
schema changes
https://technet.microsoft.com/en-us/library/bb738144(v=exchg.160).aspx - High Availability Changes in
Exchange Server 2013 Cumulative Update 1
http://blogs.technet.com/b/scottschnoll/archive/2013/04/02/high-availability-changes-in-exchange-server-2013-cumulative-update-1.aspx - Released: December 2015 Quarterly Exchange Updates
http://blogs.technet.com/b/exchange/archive/2015/12/15/released-december-2015-quarterly-exchange-updates.aspx