Updates für Exchange 2016

Inhaltsverzeichnis
  1. Abhängigkeiten: .NET Framework und Powershell (WMF)
  2. Gemischte Versionen
  3. Schnellanleitung Update-Installation
  4. Exchange 2016/2019 Nov SUv2
  5. Nov 2024 SU
  6. Downloads
  7. April 2024 HU (Hotfix Update)
  8. March 2024 SU
  9. Nov 2023 Security Update
  10. Okt 2023 Security Update
  11. August 2023 Security Update v2
  12. August 2023 Security Update
  13. Jun 2023 Security Update
  14. März 2023 Security Update
  15. Feb 2023 Security Update
  16. Januar 2023 Security Updates
  17. 8. Nov 2022 Exchange Security Updates
  18. 11. Okt 2022 Security Updates
  19. 9. Aug 2022 Exchange Security Updates
  20. Mai 2022 Security Update
  21. April 2022 CU23
  22. 8. Mrz 2022 Sicherheitsupdate
  23. 11. Jan 2022 Sicherheitsupdate
  24. 9. Nov 2021 Sicherheitsupdate
  25. 12. Okt 2021 Sicherheitsupdate
  26. 28. Sep 2021 - CU22
  27. 13. Jul 21 SecurityUpdate
  28. 29. Jun 21 CU21
  29. 16. März 2021 CU20
  30. SecUpdate 2. März 2021
  31. 13. Okt 2020 CVE-2020-16969 Security Update
  32. 13. Okt 2020
  33. 15. Sep 2020 CU18
  34. 8 Sep 2020 SecUpdate CVE-2020-16875
  35. 12. Jun 2020 CU17
  36. 17. Mai 2020 CU16
  37. 11. Feb 2020 Security Update
  38. 17. Dez 2019 CU15
  39. 12. Nov 2019 Security Update
  40. Exchange 2016 CU14
  41. Exchange 2016 CU13
  42. Exchange 2016 CU12
  43. Exchange 2016 CU11/CU12 KB4487563
  44. Exchange Security Update Jan 2019
  45. KB4468741
  46. Exchange 2016 CU11
  47. Exchange 2016 CU10
  48. Exchange 2016 CU9
  49. Exchange 2016 CU8
  50. Exchange 2016 CU7
  51. Exchange 2016 CU5 Security Update
  52. Exchange 2016 CU6
  53. Exchange 2016 CU5
  54. Exchange 2016 CU4
  55. Exchange 2016 CU3
  56. Exchange 2013 CU13 Security Update MS16-106
  57. Exchange 2016 CU2
  58. Security Update MS16-079
  59. Exchange 2016 CU1
  60. Exchange 2016 Security Update MS16-010
  61. Exchange 2016 RTM
  62. Weitere Links

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
https://www.netatwork.de/unternehmen/karriere/

Exchange 2016 RTM wurde im Oktober 2015 "released" und seitdem gibt es kontinuierliche Updates. Eine Übersicht der Versionen:

 

Abhängigkeiten: .NET Framework und Powershell (WMF)

Achtung:
Die Windows Updates vom 10. Juni können Exchange außer Funktion setzen. Es gibt schon Updates für die Updates. Siehe auch
Issue with July Updates for Windows on an Exchange Server
https://blogs.technet.microsoft.com/exchange/2018/07/16/issue-with-july-updates-for-windows-on-an-exchange-server/
Advisory on July 2018 .NET Framework Updates
https://blogs.msdn.microsoft.com/dotnet/2018/07/20/advisory-on-july-2018-net-framework-updates/

Es gibt Abhängigkeiten von Exchange und dem .NET Framework. Für eine bestimmte Aktualisierung von .NET muss auch eine Mindestversion von Exchange installiert sein, Umgekehrt braucht auch Exchange natürlich eine Mindestversion des .NET-Framework.

Die zuverlässigste Quelle ist die Installationsmatrix von Microsoft auf https://technet.microsoft.com/en-us/library/ff728623 welche nach Exchange Version die Interoperabilität zu .NET und WMF aufführt.

.NET 4.7.1 ist mit CU8 kompatibel. Wer noch CU4 mit Net 4.2 oder 4.6.1 nutzt , kann nicht direkt aktualisieren, sondern muss über CU5 und NET 4.6.2 auf CU8. Net 4.7.1 wird mit dem geplanten Update im Juni 2018 Voraussetzung sein, damit sie schon mal vorplanen können.

.NET 4.7.0 wurde released aber initial weder mit Exchange noch Skype for Business kompatibel!
https://blogs.technet.microsoft.com/exchange/2017/06/13/net-framework-4-7-and-exchange-server/ Inklusive „Rollback“-Anleitung
http://www.expta.com/2017/05/do-not-install-net-framework-47-on.html

.Net 4.6.2 is included with Windows Server 2016. Customers deploying Exchange on Windows Server 2016 must use .Net 4.6.2 and Cumulative Update 3 or later. We plan to add support for .Net 4.6.2 on Windows Server 2012 or Windows Server 2012R2 in our December releases of Exchange Server 2016 and 2013. .Net 4.6.2 will be required for Exchange Server 2016 and 2013 on all supported operating systems in March 2017 Quelle: https://blogs.technet.microsoft.com/exchange/2016/09/20/released-september-2016-quarterly-exchange-updates/

Gemischte Versionen

Es lässt sich nicht vermeiden, dass mit mehreren Servern unterschiedliche Versionen in der Organisation aktiv sind. Sie sollten dennoch sicherstellen, dass alle Server aber auch Admin-Workstations mit installierten Exchange Management Tools auf dem aktuellen Stand sind, um "Effekte" zu vermeiden. Ich habe das mit dem Skript "DynQuota erlebt. Ein "Set-Mailbox" mit den Quota-Werten auf einem "Job-PC" mit CU4 hat funktioniert aber beim Get-Mailbox wurden die Quotas weiterhin als "unlimited" angezeigt. Erst nachdem auch dieser Job-PC auf das damals aktuelle CU5 aktualisiert wurde, hat auch ein Get-Mailbox die richtigen Daten geliefert. Das ist natürlich bitte, wenn das Skript die aktuell gesetzten Quotas mit der Mailboxgröße vergleichen will und der Get-Mailbox als Wert ein "Unlimited" liefert. Ich habe einige Zeit gebraucht zu erkennen, dass es nicht mein Code war, der hier fehlerhaft war.

Schnellanleitung Update-Installation

Damit das Update fehlerfrei durchläuft, sollten Sie folgendes Vorgehen nutzen:

  1. Prüfen Sie die Zertifikate
    Mit dem Nov2023 Update ist das OAUTH-Zertifikat kritisch und hat bei mir das Update mehrfach verhindert . Auch sonst sollten alle Zertifikat gültig sind.
  2. Installieren Sie zuerst Windows Updates ohne Exchange Updates
    Auch wenn Windows Updates die Exchange Updates mit anbietet, sollten Sie das Exchange Update erst später und getrennt installieren
  3. Machen Sie IMMER einen Neustart
    Das ist nicht nur aufgrund der Windows Updates vielleicht sowieso erforderlich, sondern startet insbesondere auch den WMI-Dienst neu. Zu oft hat mir diese Dienst das Update blockiert, weil Backup, Monitoring o.ä. noch Sitzungen offen hatten.
  4. Installieren sie das Exchange Update interaktiv als Admin
    Bitte nicht über Windows Update installieren, da Sie dann nicht den Fortschritt sehen und ggfls. Rückfragen oder Probleme nicht beantworten können. Sollte mal ein Schema Update dabei sein, dann funktioniert es auch nicht
  5. Starten Sie den Server neu
    Meist fordert Exchange das sogar an aber mir ist einfach wohler zu sehen, dass auch nach einem Neustart noch alles funktioniert.
  6. Starten Sie den Healthchecker.ps1
    Nutzen Sie das Tool von Microsoft, um die gängigen Fehler einer Server-Installation zu erkennen.

Viel Erfolg bei der Installation des Updates.

Exchange 2016/2019 Nov SUv2

Achtung: Auch das V2-Update hat noch einen Bug mit ICS-Dateien. In eine Config-Datei hat sich eine Zeitzone doppelt geschlichten und muss geändert werden.
Siehe auch Time zone exception occurs after installing Exchange Server November 2024 SU (Version 1 or Version 2)
https://support.microsoft.com/en-us/topic/time-zone-exception-occurs-after-installing-exchange-server-november-2024-su-version-1-or-version-2-851b3005-6d39-49a9-a6b5-5b4bb42a606f

Am 27. Nov 2024 hat Microsoft das Security Update Nov 2024 als "SUv2"  neu bereitgestellt. Es ursprünglich am 12. Nov 2024 veröffentlicht worden (KB5044062 ) aber hatte Probleme bei Transportregeln und DLP mit sich gebracht und wurde daher wenige Tage darauf zurückgezogen. Die aktuelle Version hat diese Probleme nicht mehr und sollte auf allen Servern installiert werden.

Exchange Server 2019 CU13 https://www.microsoft.com/download/details.aspx?familyID=56d90b73-4c0a-4cc6-a34e-768284aada1b
Exchange Server 2019 CU14 https://www.microsoft.com/download/details.aspx?id=106320
Exchange Server 2016 CU23 https://www.microsoft.com/download/details.aspx?familyID=e0299b1b-535a-44e0-8f57-ed2b9cc94e6f

Für Exchange 2013 und ältere als auch ältere CU-Versionen von Exchange 2016/2019 gibt es kein Update. Aktualisieren sie 2016/2019 erst auf ein aktuelles CU und installieren Sie dann das letzte SUv2. Das SUv2 wird im Dezember über Windows Update bereitgestellt.

Nov 2024 SU

Alle warten auf das Exchange 2019 CU15 zur Installation auf Windows Server 2025 aber dann bringt Microsoft doch noch mal ein kleines Security Update für Exchange 2016 CU23, Exchange 2019 CU13 und CU14 heraus. Wer noch eine ältere Version betreibt, muss erst ein aktuelles CU installieren und dann das letzte SU.

Das Nov SU wurde am 16. Nov zurückgezogen. Anscheinend hatte es einen Fehler, der Störungen bei Transportregeln verursacht.

Microsoft listet offiziell drei Änderungen:

  •  CVE-2024-49040 -Fix
    Über einen absichtlich falsch formatierten RFC 5322 P2 FROM-Header (Also im SMTP-Header) konnte ein Absender eine andere Adresse vorgeben und damit Phishing-Angriffe erleichtern. Eine Gefahr für den Server oder Outlook besteht wohl nicht und das Rating ist mit 7.5 moderat.
  •  Erweiterte AMSI-Funktionen
    Exchange erweitert die Nutzung von AMSI - AntiMalware Scan Interface, damit Scanner von Drittherstellern weitere Aktionen durchführen können. Diese Erweiterung ist aber per Default abgeschaltet, denn sie könnte eine höhere Systemlast verursachen und sie sollten als Administrator die Aktivierung überwachen,.
  • ECC-Zertifikate
    Diese besonderen Zertifikate waren auch vorher schon möglich aber erforderten ein "New-SettingsOverwrite". Mit dem SU wird die Funktion über REGEDIT gesteuert.

Zusätzlich gibt es aber noch jede Menge Links auf weitere Fehler, die gleich mit gefixt werden.

Auch wenn Microsoft das CU15 für Exchange 2019 für "Ende 2024" angekündigt hat, sollten das kein Anlass sein, die Installation des SU zu verzögern.

Die Downloads wurden am 16. Nov von Microsoft deaktiviert. Wir warten auf ein Rerelease

Downloads

 

Administrative Templates (.admx) for Windows Server 2025 (Nov 24 release)
https://www.microsoft.com/en-us/download/details.aspx?id=106295

Group Policy Settings Reference Spreadsheet for Windows Server 2025 (Nov 24 release)
https://www.microsoft.com/en-us/download/details.aspx?id=106296

April 2024 HU (Hotfix Update)

Wenige Wochen nach dem letzten Größeren CU hat Microsoft für Exchange 2016CU23 und Exchange 2019 CU13/CU14 ein kleines Updates veröffentlicht:

Das Paket enthält keine weiteren Sicherheitsupdates, die nicht auch schon im März 2024 Update enthalten sind. Aber Microsoft korrigiert einige Bugs, die mit dem März 2024 SU noch nicht gefixt oder sogar erst aufgerissen wurden.

Offiziell gibt es noch ein bekanntes Problem, was auch mit dem April HU 2024 noch nicht korrigiert ist:

  • Calendar printing in OWA might not work unless CTRL+P keyboard shortcut is used.

Das kommt dann im einem folgenden Updates.

Obwohl es nur ein "Hotfix Update" ist, bringt das April 2024 HU auch zwei neue Funktionen mit:

  • ECC Zertifikate
    Damit können Sie mit Exchange nun die Zertifikate mit "elliptic curve cryptography" verwenden. Diese stärkere Verschlüsselung/Hash-Funktionen haben einen höheren Schutzlevel und sind in einigen Umgebungen "empfohlen". Lesen Sie aber die Anleitung, denn Primär geht es um HTTP-Zugriffe. Für Edge-Server, ADFS, Federation Trust und OAUT müssen es weiter RSA-Zertifikate sein.
  • Hybrid Modern Auth für OWA/ECP
    Schon länger konnten Sie den Zugriff auf einen OnPremises Exchange Server für ActiveSync und Outlook über AzureAD besser absichern. Mit diesem Updates können Sie nun auch die Anmeldung per OWA und am ECP von Basic/Formbased/NTLM/Kerberos auf OAUTH umstellen und damit z.B. MFA aus Azure verwenden.

Hier die entsprechenden Links

March 2024 SU

Knapp einen Monat nach dem letzten CU für Exchange 2016 und 2019 gibt es ein kleines Sicherheitsupdate für die Exchange Server, die noch im Extended Support Lifecycle sind. Ursächlich ist wohl eine Exchange Lücke, die mit einem CVE-Score von 8.8/7.7 bewertet wurde.

Wenn die Beschreibung stimmt, dann muss ein Angreifer aber einem Benutzer eine Datei/DLL unterschieben, die dieser auch aufrufen muss.

An unauthenticated attacker could exploit the vulnerability by placing a specially crafted file onto an online directory or in a local network location then convincing the user to open it. In a successful attack, this will then load a malicious DLL which could lead to a remote code execution.
Quelle: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26198

Leider ist das nur eine "weichgespülte" Aussage, denn sie beschreibt nicht, wie die DLL dann weiter vorgehen kann. Anscheinend reicht ein "Authenticated User" mit Zugriff auf einen Exchange Server und das muss ja gar nicht der böser rachsüchtige Mitarbeiter sein, sondern in vielen Firmen haben Angreifer schon abgephishte Zugangsdaten und warten nur auf eine passende Lücke. Mit der Veröffentlichung haben die Angreifer nun eine Vergleichsmöglichkeit und es wird wohl nicht lange dauern, bis erste Malware mit dieser Payload erscheint.

Daher sollten Sie, wie immer solche Updates auch zeitnah installieren.

Exchange Server 2019 CU13 SU5
Exchange Server 2019 CU14 SU1
Exchange Server 2016 CU23 SU12

Allerdings ist dies diesmal nicht ganz problemlos, das es schon zwei bekannte Bugs gibt, die durch das Update mit installiert werden. Hoffen, wir dass, es auch hier bald ein Update zum Update geben wird.

Nov 2023 Security Update

Am 10. Nov 2023 hat Microsoft ein Security Update für Exchange Server 2019 CU12/CU13 und Exchange Server 2016 CU23 released. Offiziell wurden vier Sicherheitslücken geschlossen, die aktuell aktuell noch nicht ausgenutzt werden. Wir können aber davon ausgehen, dass verschiedene Personen schon die Updates untersuchen, um den Angriffsvektor zu finden und auszunutzen. Sie sollten also nicht allzu lange mit der Installation warten.

Microsoft hat noch einen Fehler im Commandlet "Export-UMPrompt" korrigiert.

Wichtiger ist aber eine Änderung, die eventuell Powershell-Skripte behindern könnte. Seit Jan 2023 hat Microsoft eine Funktion addiert, um "PowerShell Payload" zu signieren. Wenn ein Admin von einem entfernten PC z.B. ein "Get-Mailbox" macht, dann wir der Befehl nicht auf dem lokalen PC sondern vom Exchange Server ausgeführt. Die Ergebnisse werden aber nicht als "Textstrings" übertragen sondern als Objekte, die dazu "serialisiert" werden müssen.

Zitat: Serialization is the process of converting the state of an object into a form (stream of bytes) that can be persisted or transmitted to memory, a database, or a file. PowerShell, for example, uses serialization (and its counterpart deserialization) when passing objects between sessions. To defend Exchange servers against attacks on serialized data we’ve added certificate-based signing of PowerShell serialization payloads in the January 2023 SUs.
Quelle:Released: January 2023 Exchange Server Security Updates
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-january-2023-exchange-server-security-updates/ba-p/3711808 

Zur Signierung wird das Exchange Authentication Zertifikat genutzt, welches bei der Installation als SelfSigned-Zertifikat mit 5 Jahre Gültigkeit angelegt wird. Das Zertifikat ist für die gesamte Org, d.h. der erste Exchange Server ist maßgeblich und sie sollten prüfen, wann ihr Zertifikat abläuft und getauscht werden muss. Das geht schnell per PowerShell oder mit einem Microsoft PowerShell Script.

[PS] C:\install\Exchange 2019>Get-ExchangeCertificate |where {$_.subject -eq "CN=Microsoft Exchange Server Auth Certificate"} | fl

AccessRules        : {System.Security.AccessControl.CryptoKeyAccessRule, System.Security.AccessControl.CryptoKeyAccessRule,
                     System.Security.AccessControl.CryptoKeyAccessRule}
CertificateDomains : {}
HasPrivateKey      : True
IsSelfSigned       : True
Issuer             : CN=Microsoft Exchange Server Auth Certificate
NotAfter           : 22.11.2024 17:39:45
NotBefore          : 22.11.2019 17:39:45
PublicKeySize      : 2048
RootCAType         : None
SerialNumber       : 6223FAB84FC36223FAB84FC3445247AB
Services           : SMTP
Status             : Valid
Subject            : CN=Microsoft Exchange Server Auth Certificate
Thumbprint         : 8E6223FA0BB2B544ADBAFB84FC84FC3445247AB3

Diese Funktion war bislang "optional" aber wird mit dem Security Update November 2023 per Default aktiviert! Das System wird also sicherer aber könnte auch RemotePowerShell stören, wenn z.B.: ihr Exchange Auth-Zertifikate abgelaufen ist.

Sie können das Update einfach über "Windows Updates" mit installieren, da es keine Schemaupdates o.ä. ausführt. Ich ziehe es aber dennoch vor, die Updates immer manuell herunter zu laden und interaktiv als Administrator zu installieren. So sehe ich besser den Fortschritt und eventuelle Fehler. Hier die Download Links

Security Update For Exchange Server 2019 CU13 SU4 (KB5032146)
https://www.microsoft.com/en-us/download/details.aspx?id=105713
Security Update For Exchange Server 2019 CU12 SU11 (KB5032146) (163MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105714
Security Update For Exchange Server 2016 CU23 SU11 (KB5032147) (159MB)
https://www.microsoft.com/en-us/download/details.aspx?id=105715

Wenn mal was schief geht, hat Microsoft auch gleich beschrieben, wie Sie die Fehler weiter behandeln.

Okt 2023 Security Update

Am 10 Okt 2023 hat Microsoft wieder Security Updates für Exchange 2016 und Exchange 2019 veröffentlicht. Exchange 2013 und früher bekommen leider keine Updates mehr und es könnte sein, dass bei diese älteren Versionen die Lücken weiter offen stehen. Etwas unschön ist, dass es wohl wirklich kritische Lücken sind und Microsoft zu einer sofortigen Installation rät

"our recommendation is to immediately install these updates to protect your environment."
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647 

Zudem korrigiert Microsoft noch zwei Fehler:

Ich rate wie üblich dazu, die Updates nicht über Windows Uppate automatisch installieren zu lassen, sondern als Administrator herunter zu laden und als Administrator zu starten. Wer mehrere Server und insbesondere DAGs hat, sollte die Server nacheinander aktualisieren und in eine geplante Wartung nehmen, um die Anwender nicht zu stören.

Security Update For Exchange Server 2016 CU23 SU10 (KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105639
15.01.2507.034   159MB

Security Update For Exchange Server 2019 CU13 SU3 (KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105637
15.02.1258.027   163MB

Security Update For Exchange Server 2019 CU12 SU10 (KB5030877)
https://www.microsoft.com/en-us/download/details.aspx?id=105638
15.02.1118.039   163MB

Bitte lesen Sie den Blog-Artikel, wenn Sie mit dem vorherigen Update den Token Cache des IIS deaktiviert haben und nutzen sie den Health Checker nach dem Update, um die generelle Konfiguration auf jedem Server zu prüfen.

August 2023 Security Update v2

Das am 9. Aug veröffentlichte Security Update für Exchange 2019/2016 funktionierte auf nicht englisch installierten Server nicht fehlerfrei und konnte Exchange lahmlegen. Microsoft hat den Fehler recht schnell gemeldet bekommen und manuelle Lösungswege beschrieben. Seit dem 16. Aug gibt es eine aktualisierte Version, die den Fehler nicht mehr hat.

Wichtig: Wenn Sie die fehlerhafte Version schon installiert haben, dann reicht es nicht die neue Version einfach drüber zu installieren. Je nach Fehlerbild müssen Sie bestimmte Schritte vornehmen. Siehe dazu
https://techcommunity.microsoft.com/t5/exchange-team-blog/re-release-of-august-2023-exchange-server-security-update/ba-p/3900025

Die alten Downloadlinks wurden abgeschaltet und die neue Version unter folgenden Links veröffentlicht:

Security Update For Exchange Server 2019 CU13 SU2V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105534
Security Update For Exchange Server 2019 CU12 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105535
Security Update For Exchange Server 2016 CU23 SU9V2 (KB5030524)
https://www.microsoft.com/en-us/download/details.aspx?id=105536

August 2023 Security Update

Am 8.8. hat Microsoft auf ihrem Exchange Teams Blog schon das neue Security update für Exchange Server 2019 CU12/CU13 und 2016 CU23 beschrieben. Das war vielleicht etwas früh, denn die Binärdateien wurden erst einige Stunden später bereit gestellt und haben auf nicht englischsprachigen Servern nicht immer funktioniert. Sie müssen ggfls. manuell nacharbeiten, was aber alles gut beschrieben ist.

Zuerst einmal die Liste der gestopften Lücken aus KB5029388 (http://support.microsoft.com/kb/5029388)

Daneben wurden auch ein paar bekannte gewordene Probleme gefixt:

Zudem gibt es eine neue unterstützte Cyphersuite, die aber erst aktiviert werden muss.

Die Updates gibt es über "Windows Update", den Windows Update Katalog oder als Download

Ich würde immer den Download aus dem Download-Center wählen und das Update manuell und interaktive als Administrator ausführen

Security Update For Exchange Server 2019 CU13 SU2 (KB5029388) 15.02.1258.023
https://www.microsoft.com/en-us/download/details.aspx?id=105524
Security Update For Exchange Server 2019 CU12 SU9 (KB5029388) 15.02.1118.036
https://www.microsoft.com/en-us/download/details.aspx?id=105525
Security Update For Exchange Server 2016 CU23 SU9 (KB5029388) 15.01.2507.031
https://www.microsoft.com/en-us/download/details.aspx?id=105526

Jun 2023 Security Update

Mit dem Security Update für Exchange 2019 CU12 und CU13 und für Exchange 2016 CU23 vom 13. Jun 2023 stopft Microsoft zwei CVE-Lücken und korrigiert nebenbei noch ein paar Fehler in Exchange.

Wie immer gibt es das Update nur für die noch supportete Exchange Versionen. Wer nicht das aktuelle cumulative Updates (CU) installiert hat, muss und sollte dies umgehend nachholen und dann die Updates installieren. Eine ausführliche Beschreibung hat Microsoft auf dem Exchange Teams Blog veröffentlicht:

Security Update For Exchange Server 2016 CU23 SU8 (KB5025903) 15.1.2507.27
https://www.microsoft.com/en-us/download/details.aspx?id=105282
Security Update For Exchange Server 2019 CU13 SU1 (KB5026261) 15.2.1258.16
https://www.microsoft.com/en-us/download/details.aspx?id=105280
Security Update For Exchange Server 2019 CU12 SU8 (KB5026261) 15.2.1118.30
https://www.microsoft.com/en-us/download/details.aspx?id=105281

März 2023 Security Update

Am 14. März 2023 hat Microsoft das nächste Security Update für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 and CU12 veröffentlicht. Es wurde die Sicherheitslücke CVE-2023-21707 und fünf weitere Fehler korrigiert. Das Security Update ist ein Re-release und korrigiert Probleme, die das Feb 2023 Update bei den Webservices eingeführt hatte. Ein Angriff ist nur als authentifizierter Benutzer möglich, was aber sie nicht in Sicherheit wiegen sollte. Bitte installieren Sie die Updates zeitnah und nutzen Sie den Exchange HealthChecker, um die Installation danach zu verifizieren.

Die Downloads finden Sie hier. Beachten Sie, dass Sie das passende CU vorab installiert haben müssen.

2019 CU11 SU11 https://www.microsoft.com/en-us/download/details.aspx?id=105090
2019 CU12 SU7 https://www.microsoft.com/en-us/download/details.aspx?id=105089
2016CU23 SU7 https://www.microsoft.com/en-us/download/details.aspx?id=105091
2013 CU23 SU21 https://www.microsoft.com/en-us/download/details.aspx?id=105092

Feb 2023 Security Update

Die Updates für Exchange im Februar 2023 korrigieren vier CVE-Lücken und einige Bugs, z.B. dass einige Dienste seit dem Jan 2023 SU Updates nicht mehr automatisch starten.

Download
Exchange Server 2016 CU23 SU6 152 MB 15.01.2507.021
https://www.microsoft.com/download/details.aspx?familyID=30d02c29-3f58-48b5-8dc6-6b54af690732

Hinweis: Der Support für Exchange 2013 läuft am 11. April aus.

Security Updates:

Bugfixes

Und auch diesmal gibt es wohl wieder ein Problem, was erst durch das Feb 2023 SU dazugekommen ist.

Weitere Links

Januar 2023 Security Updates

Am 10. Januar hat Microsoft per Bog-Artikel ein Sicherheitsupdate für Exchange Server 2013 CU23, Exchange Server 2016 CU23, Exchange Server 2019 CU11 und CU12 veröffentlicht.

Achten Sie darauf, dass der Support für Exchange 2013 im April 2023 endet und das Security Update nicht mehr Exchange 2016 CU22 (Sep 21) aktualisiert.

Die Sicherheitslücken werden wohl noch nicht öffentlich ausgenutzt aber sollten dennoch zeitnah durch die Installation abgesichert werden. Weiterhin wurden die ein oder anderen Bugs gefixt und eine zusätzliche Absicherung der Exchange PowerShell eingebaut aber noch nicht per Default aktiviert.

8. Nov 2022 Exchange Security Updates

Anfang Oktober wurde das erste mal der EEMS-Service genutzt, um eine Lücke temporär zu fixen. Am 8. Nov 2022 gibt es nun ein reguläres Security Update für Exchange 2013CU23, Exchange 2016CU22/CU23 und Exchange 2019CU11/CU12. Laut Beschreibung sichert das Updates die beiden Lücken CVE-2022-41040 und CVE-2022-41082 ab, so dass die Mitigation durch EEMS nicht mehr erforderlich ist.

Achtung: Mittlerweile gibt es einen Exploit, der die Lücke ausnutzt. Bitte umgehend Nov 2022 Security installieren, wenn noch nicht passiert
https://www.crowdstrike.com/blog/owassrf-exploit-analysis-and-recommendations/

Auch mit dem Nov 2022 Update ist Extended Protection zusätzlich zu konfigurieren. Siehe Kommentar: Lukas Sassl Microsoft ‎Nov 10 2022 12:15 PM "@MicPluton it’s required to enable Extended Protection to address these vulnerabilities. Without Extended Protection turned on, the server is still vulnerable." https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2022-exchange-server-security-updates/ba-p/3669045

Download
Exchange Server 2013 CU23 (support Ende in April 2023)
Exchange Server 2016 CU22 and CU23
Exchange Server 2019 CU11 and CU12

11. Okt 2022 Security Updates

Auch wenn es seit dem 28. Sep 2022 einen aktiven Thread zum Thema Exploits (Siehe Exchange-0-day-Exploit 2022) gibt, der über den EEMS - Exchange Emergency Mitigation Service abgesichert wird, veröffentlichte Microsoft am 11 Oktober ein reguläres Security Update für Exchange 2016 CU22/23 und Exchange 2019 CU11/12 zur Absicherung der folgenden sechs Lücken:

Das Update ersetzt das vorherige Update vom August 2022. Sie müssen also immer nur das aktuelle CU und dann das passende SU nachinstallieren.

Obwohl die Updates als "Security Update" bezeichnet ist, werden zwei Bugs noch mit korrigiert:

Laden Sie sich für die aktuell installierte Version das entsprechende Paket herunter (ca. 150MB)

Update für Ex2019CU12 - https://www.microsoft.com/download/details.aspx?familyID=7f879102-4572-41f1-b21a-d223d00cd813
Update für Ex2019CU11 - https://www.microsoft.com/download/details.aspx?familyID=39945af4-067e-4159-9d97-ba54bbbb8a28
Update für Ex2016CU23 - https://www.microsoft.com/download/details.aspx?familyID=3f0110e8-14c8-496a-bc2a-1a1675970eb1
Update für Ex2016CU22 - https://www.microsoft.com/download/details.aspx?familyID=bcd6d182-6e4e-4d95-a54f-bb74071f29d9

9. Aug 2022 Exchange Security Updates

Anfang August 2022 wurden von Microsoft für Exchange 2013 CU23, 2016CU22/CU23 und 2019CU11/CU12 Updates veröffentlicht, um bekannte Sicherheitslöcher zu stopfen. Ältere CU-Stände werden nicht aktualisiert, d.h. sie sind gut beraten ihre Exchange Server auf einen unterstützten CU-Stand zu bringen und dann die Security Updates zu installieren. Wer schon auf der aktuellen Version sind, müssen Sie nach der Installation des Security Updates weder eine Schema-Erweiterung noch den Hybrid Configuration Wizard neu ausführen.

Damit einige Schutzfunktionen aber auf Exchange Servern funktionieren, müssen Sie "Extended Protection" manuell aktivieren.

Nebenbei korrigiert das Update noch zwei Fehler:

  • Start-DatabaseAvailabilityGroup fails with BlockedDeserializeTypeException (KB5017261)
    https://support.microsoft.com/help/5017261
  • E-Discovery search fails in Exchange Online (KB5017430)
    https://support.microsoft.com/help/5017430

Mai 2022 Security Update

Für Exchange 2016/2019 gibt es zwar nur noch im Frühjahr und Herbst ein größere Update aber Sicherheitslücken werden weiter monatlich geschlossen. Im Mail 2022 wurden Updates für Exchange 2013/2016/2019 released, welches folgende Lücke absichert:

Mit einem Rating von 8.2 scheint sie hoch, aber der Angreifer muss schon auf dem Server selbst mit entsprechenden Berechtigungen angemeldet sein, um über die Lücke sich mehr Berechtigungen zu beschaffen. Das Update korrigiert aber noch ein paar andere kleinere Probleme:

  • Exchange Service Host service fails after installing March 2022 security update (KB5013118)
  • New-DatabaseAvailabilityGroupNetwork and Set-DatabaseAvailabilityGroupNetwork fail with error 0xe0434352 (Update: the -Subnets parameter is still not fixed)
  • The UM Voicemail greetings function stops working and returns error 0xe0434352.
  • Unable to send mails through EAS and Get-EmailAddressPolicy fails with Microsoft.Exchange.Diagnostics.BlockedDeserializeTypeException after installing Security Update KB5008631 for Exchange 2019

Laut Blog-Artikel müssen Sie nach der Installation manuell ein Schema-Updates durchführen, da ein Security Update generell nicht macht. Details dazu finden Sie im BlogPost von Microsoft.

April 2022 CU23

Das Exchange 2016/2019 Update am 20. April 2022 beinhaltet nicht nur jede Menge Korrekturen sondern auch strukturelle Änderungen, die ich auf der Seite Ex2016/2019 20. April 2022 Update getrennt beschrieben haben. Hier beschränkte ich mich daher auf die Links zum Download und der Updates. Das Updates ist, wie schon bekannt, immer eine Vollinstallation als gepackte ISO-Datei. Sie können diese sowohl für das Update als auch für die Neuinstallation nutzen. Sie sollten es auch vermeiden, eine alte Version zu installieren und dann nachträglich zu aktualisieren.

KB5011155 Cumulative Update 23 for Exchange Server 2016 (6,6 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=104132
Language Pack https://www.microsoft.com/en-us/download/details.aspx?id=104130

Die Liste der korrigierten Probleme ist diesmal durchaus beachtlich:

  • 5012757 "Migration user... can't be found" error when using Start-MigrationUser after batch migration fails
  • 5012758 Start-MailboxAssistant is not available in Exchange Server 2019
  • 5012760 You can't access OWA or ECP after installing the July 2021 security update
  • 5012761 External attendees see “Send the Response Now” although no response was requested in Exchange Server
  • 5012762 PST creation is unexpectedly triggered again during multiple mailbox export
  • 5012765 Email stuck in queue starting from "2022/1/1 00:01:00 UTC+0" on all Exchange On-Premises servers
  • 5012766 Transport Services fail repeatedly because of * Accepted Domain
  • 5012768 Start-MigrationUser and Stop-MigrationUser are unavailable for On-Premises Exchange Server 2019 and 2016
  • 5012770 No response from public folder for users migrating to Microsoft Exchange 2019
  • 5012772 Items are skipped at the start of a new search page request
  • 5012773 OWAMailboxPolicy is bypassed and high resolution profile images can be uploaded
  • 5012774 Can't change default path for Trace log data in Exchange Server 2019 and 2016
  • 5012775 No additional global catalog column in the address book service logs
  • 5012776 Exchange Server 2019 help link in OWA redirects users to online help for Exchange Server 2016
  • 5012777 Can’t find forwarded messages that contain attachments in Exchange Server 2019
  • 5012778 Exchange Server stops responding when processing PDF files with set transport rule
  • 5012779 Invalid new auth certificate for servers that are not on UTC time zone
  • 5012780 Disable-Mailbox does not remove LegacyExchangeDN attribute from On-Premises Exchange 2019
  • 5012781 Exchange Server 2019 and 2016 DLP doesn’t detect Chinese resident ID card numbers
  • 5012782 MS ExchangeDiagnostic Service causes errors during service startup and initialization in Microsoft Exchange 2019
  • 5012783 Can't restore data of a mailbox when LegacyDN is empty in the database
  • 5012784 Exchange 2016 CU21 and Exchange 2019 CU10 cannot save "Custom Attributes" changes in EAC
  • 5012785 Read Only Domain Controllers (RODCs) in other domains do not get desired permissions
  • 5012786 Forwarded meeting appointments are blocked or considered spam
  • 5012787 Download domains created per CVE-2021-1730 don’t support ADFS authentication in OWA
  • 5012789 Can't use Copy Search Results after eDiscovery & Hold search
  • 5012791 MailboxAuditLog doesn't work in localized (non-English) environments
  • 5012829 Group metrics generation fails in multidomain environment

8. Mrz 2022 Sicherheitsupdate

In Exchange 2013, 2016 und 2019 wurden zwei weitere Sicherheitslöcher gefunden und gefixt. Sie haben zwar nicht das Potential von Hafnium aber erlauben, dass authentifizierte Benutzer mehr Rechte erhalten, als sie haben sollten. Da wir nie sicher sein können, dass nicht doch ein Angreifer per Phishing schon im Besitz von gültigen Anmeldedaten sind, sollten Sie die Updates zügig installieren.

Beachten Sie auch immer die Release Notes, denn einige der Fehler haben mich erwischt, z.B. Dienste wurden nicht mehr von disabled auf Autostart gestellt. Bei einer DAG war es der "HostControllerService" für den Suchindex. Denken Sie auch daran, das MSP als Administrator zu starten.

Security Update For Exchange Server 2016 CU21 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=104000
Security Update For Exchange Server 2016 CU22 (KB5012698)
https://www.microsoft.com/en-us/download/details.aspx?id=103999

11. Jan 2022 Sicherheitsupdate

Einen Monat später als erwartet, hat Microsoft am 11. Jan 2022 für Exchange 2013, 2016 und 2019 Sicherheitsupdates veröffentlicht, die allesamt kritische "Remote Code Execution"-Lücken fixen, die aber wohl nicht anonym aus dem Internet ausnutzbar sind. Dennoch sollten Sie zügig agieren, denn Angreifer können schon intern auf solche Lücken warten, um an mehr Berechtigungen zu gelangen.

Passend dazu gibt es von Microsoft einen KB-Artikel zu den Updates und einen Blog-Post

Auf beiden Artikel sind die Link zu den Downloadquellen enthalten. Das Updates müssen sie nur auf Servern installieren aber nicht auf Systemen, auf denen "nur" die Exchange AdminTools installiert sind. Auch der HCW muss nicht erneut ausgeführt werden. Allerdings "fixen" diese Updates nicht die Probleme des Exchange Y2K22 Bug. Der MalwareScanner kann auch mit den Security Updates weiterhin nichts mit Patternversionen 220101xxxx anfangen.

Es häufen sich Berichte, dass die Securityupdates nach dem Update die Exchange Webdienste (OWA/ECP/EWS) nicht mehr gehen, auf Windows 2012R2 ReFS-Volumes nicht gemountet werden oder DCs durchbooten. Wobei ich die beiden letzten Fälle eher auf die zeitgleich veröffentlichten Windows Updates schieben würde.

9. Nov 2021 Sicherheitsupdate

Am 9. Nov wurde wieder ein Update für Exchange 2016 CU21/22, Exchange 2019 CU10/11 und Exchange 2013 CU23 . Ältere Versionen von Exchange oder Updates-Stände bleiben ungepatched. Sie sollten also zusehen, dass Sie schnellstens auf diesen Level kommen und dann das Update installieren.

Die Lücke wird mit einem CVE-Score von 8.8 bewertet und daher nur "Important" und nicht "critical". Dennoch empfiehlt Microsoft die sofortige Installation.

We are aware of limited targeted attacks in the wild using one of vulnerabilities (CVE-2021-42321), which is a post-authentication vulnerability in Exchange 2016 and 2019. Our recommendation is to install these updates immediately to protect your environment.
Quelle: https://techcommunity.microsoft.com/t5/exchange-team-blog/released-november-2021-exchange-server-security-updates/ba-p/2933169

Die Lücke CVE-2021-42321 kann nur nach erfolgreicher Authentifizierung ausgenutzt werden. Aber wer kann heute schon sicher sein, dass Angreifer nicht schon mit Benutzerdaten warten?

Am 24. Nov wurde ein POC für den Exploit öffentlich. Wer nun noch nicht gepatched hat, ist ein Ziel für Angreifer.
Exploit released for Microsoft Exchange RCE bug, patch now
https://www.bleepingcomputer.com/news/security/exploit-released-for-microsoft-exchange-rce-bug-patch-now/

Wenn Sie das Update nicht über Windows Updates installieren, dann achten Sie bei der manuellen Installation auf die Ausführung als Administrator.

Download Exchange Server 2016 Cumulative Update 22 Security Update 2 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=688b79c6-7e43-4332-848d-47e88f60818c
Download Exchange Server 2016 Cumulative Update 21 Security Update 3 (KB5007409)
https://www.microsoft.com/download/details.aspx?familyid=de4b96e0-8d0e-4830-8354-7ed2128e6f82

12. Okt 2021 Sicherheitsupdate

Das vorherige Sicherheitsupdate war grade mal 14 Tage draußen, als Microsoft schon wieder ein Update für die offiziell unterstützen CU-Versionen von Exchange 2013-2019 nachschiebt. Sie sehen schon, dass sie auch beim CU-Stand nicht zu lange zurückliegen sollten.

Sicherheitsupdate 1 für Exchange Server 2016 kumulatives Update 22 herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=2a8da394-c405-4cc7-aa58-e96aa19acd4f

 Sicherheitsupdate 2 für Exchange Server 2016 kumulatives Update 21 herunterladen (KB5007012)
https://www.microsoft.com/de-de/download/details.aspx?familyid=ffea3a31-7286-4932-867a-a38952c1efee

Achtung bei der manuellen Installation. Starten Sie die MSP immer als Administrator (UAC beachten), sonst ist die Installation nicht fehlerfrei.

28. Sep 2021 - CU22

Das CU22 Update ist nicht nur ein kleines Bugfix, sondern bringt zwei größere Änderungen mit:

  • Diagnosedaten
    Microsoft bittet bei der Installation um die Angabe, ob Exchange verschiedene "Diagnosedaten" an Microsoft senden darf. Damit will Microsoft auch in Zukunft vielleicht besser auf Vorfälle wie Hafnium gerüstet sein, indem Sie einen Überblick über die On-Premises-Server im Feld haben.

    Sie können die Zustimmung natürlich auch verweigern.
  • EESM und URLRewrite
    Die Installation des CU22 erfordert vorab die Installation des "IIS URLRewrite" Tools. In Verbindung mit dem Dienst EEMS - Exchange Emergency Mitigation Service kann Microsoft damit sehr schnell Angriffe per HTTP auf dem Server blockieren.

    Das Modul müssen Sie manuell von https://www.iis.net/downloads/microsoft/url-rewrite  herunterladen und vorab installieren. Die Installation kann etwas knifflig sein, da der Download nur ein "Web Platform Installer" ist, der seinerseits dann aus dem Internet das eigentliche Modul nachlädt.

Nach den Vorarbeiten ist die Installation dann wieder wie bei allen anderen CUs davor. Eventuell müssen Sie aber noch die VC Runtime installieren, wenn dies nicht schon durch CU21 oder früher passiert ist.:

Cumulative Update 22 for Exchange Server 2016 (KB5005333)
https://www.microsoft.com/en-us/download/details.aspx?id=103478

13. Jul 21 SecurityUpdate

Siehe dazu die gesonderte Seite Patchday Jul 2021.

29. Jun 21 CU21

Mit etwas mehr als 14 Tagen Verzögerung, die aber angekündigt waren, hat Microsoft CU Updates für Exchange 2019 und 2016 released. Für Exchange 2013/2010 gibt es keine Updates mehr und kritische Security Updates habe ich in Ex201CU10 und EX2016CU21 nicht gefunden. Allerdings hat Microsoft Exchange befähigt, die AMSI-Schnittstelle für Malware-Erkennungen zu nutzen. Die Schnittstelle ist aber nur mit Windows Server 2016 oder höher verfügbar. Wer also noch Exchange 2016 auf Windows 2012R2 betreibt, kann davon nicht profitieren. Exchange legt damit eingehende HTTP-Request über diese Schnittstelle dem installierten Windows Defender oder einer anderen 3rd Party Lösung vor.

Cumulative Update 21 for Exchange Server 2016 (KB5003611)
Server https://www.microsoft.com/en-us/download/details.aspx?id=103242
UM LangPack https://www.microsoft.com/en-us/download/details.aspx?id=103243

16. März 2021 CU20

Das nächste Update nach dem Hafnium: Exploit löst wieder einige Bugs und Probleme aber enthält vor allem alle Sicherheitsupdates und erspart ihnen das Update nach dem Update.

Cumulative Update 20 for Exchange Server 2016 (KB4602569)
Server: http://www.microsoft.com/download/details.aspx?familyID=64a4da8c-89f0-49ba-b122-c0e53ef095c5
UM: https://www.microsoft.com/en-us/download/details.aspx?id=102897 

  • Released: March 2021 Quarterly Exchange Updates
    https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2021-quarterly-exchange-updates/ba-p/2205283
  • Cumulative Update 20 for Exchange Server 2016
    https://support.microsoft.com/en-us/topic/cumulative-update-20-for-exchange-server-2016-98964463-f7df-4131-6b8c-4f46dafc748e
  • 5001183 Attachment is treated as bad zip file on Edge Transport server in Exchange Server 2019 and 2016
  • 5001184 EAC has no option to select the correct tenant for an Office 365 mailbox in Exchange Server 2019 and 2016
  • 5001185 EAC has no option to select an archive domain for cloud-based archive in Exchange Server 2019 and 2016
  • 5001186 Encoding of special characters isn't preserved which causes missing text in Outlook in Exchange Server 2019 and 2016
  • 5001188 Incorrect MRM properties stamped on mail item delivery when sending to multiple mailboxes on the same database in Exchange Server 2019 and 2016
  • 5001189 Mailbox Audit log searches and Outlook both tied to MaxHitsForFullTextIndexSearches in Exchange Server 2019 and 2016
  • 5001190 MonitoringGroup can't control the placement of CAS monitoring mailboxes in Exchange Server 2019 and 2016
  • 5001192 Microsoft Teams fails to show calendar due to Autodiscover v2 isn't site aware in Exchange Server 2019 and 2016
  • 5001193 New health mailboxes for databases are created every time Exchange Health Manager service is restarted
  • 5001194 RFC certificate timestamp validation in Exchange Server 2019 and 2016
  • 5001195 UPN specified when creating mailbox is overwritten automatically causing login failures in Exchange Server 2019 and 2016
  • 4583558 PDF preview function in OWA leads to download action unexpectedly

SecUpdate 2. März 2021

Am 2. März hat Microsoft gleich mehrere Exploits in Exchange gemeldet, die auch aktiv ausgenutzt werden und daher die möglichst sofortige Installation der bereitgestellten Updates empfohlen. Microsoft hat die Korrekturen u.a. per Windows Update für Exchange 2010-2019 bereitgestellt. Details finden Sie auf:

13. Okt 2020 CVE-2020-16969 Security Update

Quasi wenige Stunden vor Auslaufen des Exchange 2013 Supports hat Microsoft noch ein Security Update ausgeliefert. Die Schwachstelle betrifft auch Exchange 2016 (Patch gibt es nur für CU17/18) und Exchange 2019 (Patch für CU6/CU7). Für Exchange 2010 und früher gibt es keine Updates mehr aber sie könnten genauso betroffen sein.

13. Okt 2020

Am 13. Okt 2020 läuft der "Standard Support" für Exchange 2016 nach 5 Jahren seit Release aus und wechselt in den Extended Support. Für Sie bedeutet dies, dass es keine weiteren "Feature"-Updates gibt sondern nur noch Security-Updates zu erwarten sind. Das ist natürlich noch kein Grund gleich zu Exchange 2019 oder Exchange Online zu migrieren. Ich erwarte auch, dass das ein oder andere Update nach dem 13. Okt 2020 auch noch neue Funktionen für den Hybrid-Mode enthalten wird. Noch brauchen wir ja offiziell einen lokalen Exchange Server zum Provisioning der Benutzer.

15. Sep 2020 CU18

Exchange 2016 CU18 6,6GB
https://www.microsoft.com/en-us/download/details.aspx?id=102114

Möglicherweise gibt es einen Bug, dass per OWA eine SharedMailbox nicht mehr geöffnet werden kann

8 Sep 2020 SecUpdate CVE-2020-16875

Wenige Tage vor dem CU18 Update hat Microsoft schon mal einen Security Fix für Exchange 2016 CU16 und CU17 released.

Info: Das Update ist in CU18 enthalten

12. Jun 2020 CU17

Diesmal hat es grade mal 2 Monate gedauert, bis es ein weiteres CU gegeben hat.

Download https://www.microsoft.com/en-us/download/details.aspx?id=101448
UM https://www.microsoft.com/en-us/download/details.aspx?id=101449

17. Mai 2020 CU16

Für Exchange 2016 hat Microsoft im Blog-Artikel gar keine Updates besonders aufgeführt. Nur zwei Bugs Für Exchange 2019 werden explizit gelistet. Wenn Sie aber das Readme lesen, dann finden Sie insgesamt 15 Einträge:

Natürlich enthält das Update auch das Security Update zu CVE-2020-0692 vom Februar. Das CU13 ist hinsichtlich der Schema-Erweiterung mit CU2 identisch.

Download
Servier: http://www.microsoft.com/download/details.aspx?familyID=6f83a0e2-a1a3-4d46-882b-68de870db3f3 6,6 GB
UM Lang Packs: http://www.microsoft.com/download/details.aspx?familyID=900c5433-f7f5-4563-983b-057079cf05a0

11. Feb 2020 Security Update

Zwei Sicherheitslücken haben Microsoft am 11. Feb dazu gebracht für alle Exchange Version 2010 bis 2019 und für verschiedenen CUs/RUs entsprechende Sicherheitsupdates zu veröffentlichen. Die Fehler sind:

Beide Lücken wurden am 11. Feb noch nicht öffentlich bekannt und auch nicht ausgenutzt. Sie sind als "1 - Exploitation More Likely" eingestuft. Angreifer werden aber sicher nun die Änderungen im Code analysieren um die Schwachstelle zu finden. Sie sollten daher zeitnah die Updates einspielen. Nutzen Sie den Download für die bei ihnen installierte Version:

Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 30
https://www.microsoft.com/download/details.aspx?familyid=4d072d3e-153e-4a5a-859e-ad054fe24107
Microsoft Exchange Server 2013 Cumulative Update 23
https://www.microsoft.com/download/details.aspx?familyid=ddba43d0-f66d-410d-a421-bb26e45d64b7
Microsoft Exchange Server 2016 Cumulative Update 14
https://www.microsoft.com/download/details.aspx?familyid=5ae7346b-f59c-415d-b576-e50f6b493a23
Microsoft Exchange Server 2016 Cumulative Update 15
https://www.microsoft.com/download/details.aspx?familyid=a4bd9a4e-56f4-42c2-b0d7-fffe52c5dbe5
Microsoft Exchange Server 2019 Cumulative Update 3
https://www.microsoft.com/download/details.aspx?familyid=dec0d147-8b43-4fee-94cb-ed43ed1226ad
Microsoft Exchange Server 2019 Cumulative Update 4
https://www.microsoft.com/download/details.aspx?familyid=6f5e2305-f1dc-4ce9-97c5-4d6fc1b87a24

Es gibt keine Updates für ältere Versionen. Microsoft supportet nur das aktuelle und das vorherige CU.

17. Dez 2019 CU15

Für Exchange 2016 und Exchange 2019 wurde im Dez 2019 noch ein neues CU veröffentlicht. Exchange 2013 geht diesmal leer aus.

Exchange 2016 CU 15
https://www.microsoft.com/en-us/download/details.aspx?id=100780

Die Bugliste enthält nur einige kleinere aber doch störenden Probleme.

  • Cumulative Update 15 for Exchange Server 2016
    https://support.microsoft.com/en-us/help/4522150/cumulative-update-15-for-exchange-server-2016
  • 4515256 “The function cannot be performed…” error when you send a message that’s open for a long time in Exchange Server 2016
  • 4528693 Get-CalendarDiagnosticLog is proxied for queries within the same forest in Exchange Server 2016
  • 4523519 Set-SendConnector doesn't work for Exchange Server in hybrid scenarios with Edge Server installed
  • 4528690 Can’t move or delete folder in Outlook online mode if the destination has a folder with the same name in Exchange Server 2016
  • 4528687 NotificationClient logs aren't purged and consume lots of disk in Exchange Server 2016
  • 4528689 Outlook on the web shows MailTip when recipients equal the large audience size in Exchange Server 2016
  • 4528688 Only one recipient shows when saving draft by using Exchange ActiveSync version 16.0 in Exchange Server 2016
  • 4528695 Event ID 4009 when using SubjectOrBodyMatchesPatterns on Edge server in Exchange Server 2016
  • 4528694 Can't open .ics file in Outlook on the web in Exchange Server 2016
  • 4528692 "A parameter was specified that isn't valid” error when creating transport rule in Exchange Server 2016
  • 4515257 Hash mismatch is reported for Exchange DLLs in the bin directory of Exchange Server 2016
  • 4528696 Exchange PowerShell cmdlets take longer time to run in Exchange Server 2016
  • 4532747 Address list separation not working for a user without a mailbox in Exchange Server 2016
  • 4523171 Description of the security update for Microsoft Exchange Server 2019, 2016, and 2013: November 12, 2019

12. Nov 2019 Security Update

Am 12. Nov hat Microsoft für alle noch im Support stehenden Exchange Versionen ein Sicherheits-Update veröffentlicht, welches Sie zügig installieren sollten.

Ein Angreifer kann aufgrund einer nicht abgesicherten Verarbeitung von per PowerShell übergebenen Daten beliebigen Code unter dem angemeldeten Benutzer ausführen. Allerdings muss der Angreifer dazu per PowerShell auf den Exchange Server zugreifen können, was eigentlich nur für Administratoren aus dem internen Netzwerk möglich sein sollte. Dennoch sollten Sie nicht lange warten. Hier der Download-Link:

Security Update For Exchange Server 2016 CU13 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100484
Security Update For Exchange Server 2016 CU14 (KB4523171)
https://www.microsoft.com/en-us/download/details.aspx?id=100483

Exchange 2016 CU14

Quasi auf den Tage genau kommt am 18. Sep das nächste Quartal-Updates heraus. Neben Korrekturen und Fehlerbehebungen ist hier auch das Security Update enthalten, welches Sie bei CU12 und CU13 noch manuell nachinstallieren mussten.

CU14 https://www.microsoft.com/en-us/download/details.aspx?id=100302
UM Language Pack https://www.microsoft.com/en-us/download/details.aspx?id=100301

Die Liste der Updates enthält viele Korrekturen, die auch im Exchange 2019 CU3 enthalten sind.

  • 4515255 “X-InnerException: Microsoft.Mapi.MapiExceptionRpcServerTooBusy” error when you try to use a mailbox in Exchange Server 2016
  • 4515254 Event 1009 frequently occurs in application logs for lagged database copies in Exchange Server 2016
  • 4502159 Adding or removing mailbox permission in EAC doesn’t address the msExchDelegateListLink attribute in Exchange Server 2016
  • 4515276 Room mailbox accepts a meeting as “Free” if a booking delegate is set in Exchange Server 2016
  • 4515275 Enable Get/Restore-RecoverableItems to work with Purges folder in Exchange Server 2016
  • 4515274 AutodiscoverV2 request returns REST API endpoint not AutoDiscoverV1 endpoint in Exchange Server 2016
  • 4515269 SentToMemberOf shows every recipient type not distribution groups when creating transport rule in Exchange Server 2016
  • 4515272 Message is blocked in “SMTP Delivery to Mailbox” queue if exchange server is added in groups of a child domain in Exchange Server 2016
  • 4515271 Can’t convert a migrated remote user mailbox to shared in Exchange Server 2016
  • 4515270 SubmissionQueueLengthMonitor shows “System.ArgumentException: Transition timeout…” in Exchange Server 2016
  • 4515267 NDR occurs when you resend message from alternate journaling mailbox to journaling mailbox in Exchange Server 2016
  • 4515265 Removing In-Place Hold doesn't work for mailboxes in different domains in Exchange Server 2016
  • 4515264 FindPeople request from Skype for Business on Mac fails with "Invalid Shape Specification" in Exchange Server 2016
  • 4515263 Hide the "Validate-MailFlowThroughFrontDoor" command for Exchange Server 2016
  • 4515262 Enable Remove-MobileDevice to delete mobile devices after migrating to Office 365 from Exchange Server 2016
  • 4515261 Can’t copy eDiscovery search results for mailboxes with Exchange online archives in Office 365 in Exchange Server 2016
  • 4515273 Mailbox auditing fails when you use SHA1Managed in Exchange Server 2016
  • 4515266 Infinite loop in Recurrence.GetNumberOfYearsBetween() with the Japanese calendar in Exchange Server 2016
  • 4520319 S/MIME signed reply draft behaves like the first message in conversation in Exchange Server 2016
  • 4515832 Description of the security update for Microsoft Exchange Server 2019 and 2016: September 10, 2019

Exchange 2016 CU13

Am 18 Juni hat Microsoft das CU13 für Exchange 2016 released.

Cumulative Update 13 for Exchange Server 2016 (KB4488406)
https://www.microsoft.com/en-us/download/details.aspx?id=58395

Wichtig:
Es gibt ein Security Update, welches sie installieren sollten, wenn Sie nicht gleich CU14 installieren:
https://support.microsoft.com/en-us/help/4515832/security-update-for-exchange-server-2019-and-2016

NET 4.7.2 ist Voraussetzung und NET 4.8 ist unterstützt.

Einige Updates und Korrekturen finden Sie im Zeitgleich veröffentlichen Echange 2019 CU2

  • 4502154 Providing information to administrators when auto forward limit is reached in Exchange Server 2016
  • 4502155 "The primary SMTP address must be specified when referencing a mailbox" error when using impersonation in Exchange Server 2016
  • 4502156 Audit logs aren’t updated when "-WhatIf" is used as $false in the command in Exchange Server 2016
  • 4502157 The Find command not returning the HasAttachments element in Exchange Server 2016
  • 4502158 SyncFolderItems contains duplicated ReadFlagChange items in Exchange Server 2016
  • 4502131 "TLS negotiation failed with error UnknownCredentials" error after updating TLSCertificateName on Office 365 send connector in Exchange Server 2016 hybrid environment
  • 4502132 Can’t reply to old emails after migration even though old legacyExchangeDN is set to migrated mailbox in Exchange Server 2016
  • 4502136 The response of FETCH (BODYSTRUCTURE) command of IMAP violates RFC 3501 in Exchange Server 2016
  • 4502140 Can’t preview an eDiscovery search when there are multiple domains in Exchange Server 2016
  • 4502141 Appointment that’s created by responding to an email message doesn’t show in any of Outlook calendar views in Exchange Server 2016
  • 4502133 Can't use Outlook on the web to reply a partner email through mutual TLS in Exchange Server 2016
  • 4488396 Can't search any results in manually added shared mailbox in Outlook in Exchange Server 2016
  • 4488078 Public folder contact lists don't show contact's profile picture in Outlook on the web in Exchange Server 2016
  • 4499503 Heavy organizational forms traffic due to materialized restriction when organization forms library has more than 500 items in Exchange Server 2016
  • 4503027 Description of the security update for Microsoft Exchange Server 2019 and 2016: June 11, 2019

Exchange 2016 CU12

Aufgrund einer Lücke in EWS und erweiterten Rechten ist das CU12 sehr zeitnah nachgeliefert worden Siehe dazu die gesonderte Seite.

Achtung: Kein Fix ohne Bug. am 19. Feb kam nach dem Patchday ein wichtiges Updates raus, welches Sie auf Windows 2016 installieren sollten
February 19, 2019—KB4487006 (OS Build 14393.2828) https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006 
Es löst ein Problem mit der Anzeige des Addresbuchs und fixt ein HTTP/2 Problem. Siehe "Define thresholds on the number of HTTP/2 Settings parameters exchanged over a connection " https://support.microsoft.com/en-us/help/4491420/define-thresholds-on-the-number-of-http-2-settings-parameters-exchange

Wichtig:
Es gibt ein Security Update, welches sie installieren sollten, wenn Sie nicht gleich CU14 installieren:
https://support.microsoft.com/en-us/help/4515832/security-update-for-exchange-server-2019-and-2016

Exchange 2016 CU11/CU12 KB4487563

Mitte April hat Microsoft ein weiteres Security Update für Exchange 2010 bis 2019 veröffentlicht.

Security Update For Exchange Server 2016
CU12 https://www.microsoft.com/de-DE/download/details.aspx?id=58195
CU11 https://www.microsoft.com/de-DE/download/details.aspx?id=58197

Exchange Security Update Jan 2019

Laut Beschreibung reicht eine entsprechend formatierte Mail, dass Exchange den Code als System User ausführt. Zwar ist der Fehler noch nicht veröffentlich und es gibt am 11.jan auch noch keine Angriffe aber wir können sicher sein, dass die bösen Jungs nun die Änderungen im Patch untersuchen um die Lücke auszunutzen. Betroffen ist Exchange 2016 und 2019 und es gibt nur für die folgenden Versionen ein entsprechendes Update

  • Microsoft Exchange Server 2019 RTM
  • Microsoft Exchange Server 2016 Cumulative Update 10
  • Microsoft Exchange Server 2016 Cumulative Update 11

Spätestens jetzt sollten Sie wirklich erkennen, wie wichtig ein halbwegs aktueller Patchstand ist, um so kleine Security Updates zeitnah installieren zu können.

Security Update For Exchange Server 2016 CU10 (KB4471389
https://www.microsoft.com/en-us/download/details.aspx?id=57757
Security Update For Exchange Server 2016 CU11 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57758
Security Update For Exchange Server 2019 (KB4471389)
https://www.microsoft.com/en-us/download/details.aspx?id=57756

Im Schatten dieses Updates wird noch eine weitere Lücke gestopft, bei der per PowerShell ein Zugriff auf Kalender möglich ist. Dieses Problem betrifft zusätzlich noch

  • Microsoft Exchange Server 2013 Cumulative Update 21
  • Microsoft Exchange Server 2010 Service Pack 3 Update Rollup 25

Die Beschreibung finden Sie hier

KB4468741

Am 11 Dezember hat Microsoft ein Security Update für die beiden letzten CU Stände (CU10 und CU11) released. Interessanterweise ist der Download uaf den 29. November terminiert. Das Update ist also schon 2 Wochen lang fertig gewesen, ehe es auch in einem KB-Artikel beschrieben wurde.

Exchange 2016 CU10 https://www.microsoft.com/en-us/download/details.aspx?id=57603 302MB
Exchange 2016 CU 11 https://www.microsoft.com/en-us/download/details.aspx?id=57604 132MB

Exchange 2016 CU11

Microsoft hält seinen 3-Monats-Zyklus ziemlich genau ein. Am 4. Okt 2018 wurde as CU11 für Exchange 2016 released. Es ist wieder eine "Vollversion", d.h. direkt zur Installation geeignet ohne das eine frühere Version installiert sein muss. Natürlich ist damit auch ein Update einer bestehenden Installation möglich.

Das ist das erste Mal, dass es keine Updates für Exchange 2013 oder 2010 zum gleichen Zeitpunkt gibt. Diese beiden Produktesind im "Extended Support" und es gibt keine Feature Updates mehr sondern maximal Security updates.

Beachten Sie dazu bitte:

  • NE 4.7.1 erforderlich. NET 4.7.2 unterstützt
    Diese Version benötigt NET 4.71. Ein Update von früheren Versionen muss nach einem bestimmten Schema erfolgen. Siehe dazu auch Updates und .NET Framework. Sie können im dem Zuge aber auch gleich auf NET 4.7.2 gehen. Dies wird später für ein späteres CU (ca Juni 2019) Voraussetzung sein.
  • Änderungen der RBAC-Rollen erfordern Admin
    Das "Setup /PrepareAD" muss mit administrativen Rechten gestartet werden, um die Einträge in der RBAC-Konfiguration vornehmen zu können.
  • Kein Schema Update
    Das CU11 nutzt das gleiche Schema wie CU10. Wenn Sie aber von einem älteren CU aktualisieren, könnte ein privilegiertes Konto erforderlich sein
  • VisualC++ Runtime 2012 erforderlich
    Alle Exchange Rollen (Mailbox, Edge, Management) benötigen diese Runtime
  • VisualC++ Runtime 2013 erforderlich
    Die Mailbox-Rolle benötigt zusätzlich diese Runtime

Cumulative Update 11 for Exchange Server 2016 (KB4134118)
https://www.microsoft.com/en-us/download/details.aspx?id=57388
Exchange Server 2016 CU11 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=57383

Exchange 2016 CU10

Nach drei Monaten, genau am 12. Jun 2018 hat Microsoft das CU10 für Exchange 2016 zusammen mit Updates für Exchange 2013 und 2010 released:

Exchange 2016 CU10 Download (ca 5,6 GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=57068
UM Lang Pack https://www.microsoft.com/download/details.aspx?id=57067

Visual C++ Redistributable Packages for Visual Studio 2013
https://www.microsoft.com/en-us/download/details.aspx?id=40784
Für die Installation erforderliche Voraussetzungen, genauso wie NET 4.7.1

Die Änderungen hat Microsoft in einem KB-Artikel und Blog-Beitrag dokumentiert:

Aus meiner Sicht sind folgende Punkte besonders erwähnenswert:

Folgende Updates sind enthalten:

  • 4056609 Event ID 4999 and mailbox transport delivery service won't start with Exchange Server 2016 CU7 installed
  • 4133605 Cmdlets to create or modify a remote shared mailbox in an On-Premises Exchange environment
  • 4133620 "HTTP 500 due to ADReferralException" error when a User tries to view detail properties of mailboxes in a child domain in Exchange Server
  • 4095974 "System.InvalidOperationException" occurs when the "Enable-MailPublicFolder" cmdlet is run against a public folder in Exchange Server
  • 4095973 Set-ServerComponentState cmdlet does not honor the write scope defined in the RBAC management scope in Exchange Server
  • 4095993 HTTP 500 error when an administrator tries to manage regional settings in ECP on Windows Server 2016
  • 4294209 Cannot clear the “Maximum message size” check box for Send messages or Receive messages in EAC in Exchange Server 2016
  • 4294208 "TooManyObjectsOpenedException" error when you run the "Get-PublicFolderMailboxDiagnostics" cmdlet in Exchange Server
  • 4294212 Cannot send VBScript-created messages in the Outlook 2016 client
  • 4294211 Cannot run “Set-CalendarProcessing” cmdlets after you apply CU8 or CU9 for Exchange Server 2016
  • 4294210 Cannot edit an email attachment in OWA in an Exchange Server 2016 environment
  • 4294204 Changing "IsOutOfService" to "False" in an earlier Exchange Server version does not immediately update in a later Exchange Server environment
  • 4092041 Description of the security update for Microsoft Exchange Server 2013 and 2016: May 8, 2018

Exchange 2016 CU9

Dieses Update wurde am 15. März 2018 released. In CU8 wurde ein Fehler festgestellt, bei dem Frei/Belegt-Zeiten zwischen einem Benutzer auf Exchange On-Premises und einem Benutzer in Exchange Online nicht aufgelöst werden können, wenn der Cloud-Benutzer kein Archiv hat. Der dazu erforderliche Fix ist in CU9 mit anderen Updates enthalten. Auch können nun Anwender wieder die Sprache von Exchange UM per OWA ändern, wenn Sie in einer Child-Domäne sind. Und nun ist auch TLS 1.2 unterstützt.

Kumulatives Update 9 für Exchange Server 2016 (KB405522  5,6 GB)
https://www.microsoft.com/en-us/download/details.aspx?id=56718
UM Lang Packs https://www.microsoft.com/downloads/details.aspx?FamilyID=31e9c217-4206-463b-8fd0-d6345ba22152

CU9 unterstützt NET 4.7.1 und 4.6.2. Erst CU10 wird NET 4.7.1 erzwingen. Sie können aber jetzt schon NET 4.7.1 installieren.

Exchange 2016 CU8

Drei Monate nach dem CU7 und pünktlich vor Weihnachten hat Microsoft mit CU8 ein Update bereit gestellt. Mit 5,6 GB ist es wieder eine "Vollversion" mit allen Sprachen. Aber auch hier sind die UM-Sprachen wieder getrennt zu installieren

Cumulative Update 8 for Exchange Server 2016 (KB4035145)
http://www.microsoft.com/en-us/download/details.aspx?id=56363
Exchange Server 2016 CU8 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=56365

Es gibt wichtige Änderungen, die im Exchange Team Blog beschrieben sind. So werden TLS-Einstellungen bei einem Update nicht mehr auf die Standardwerte gesetzt. Lang erwartet wurde der Support für NET 4.7.1 (aber nicht 4.7.0 !). Zudem wurden ein paar Fehler mit IRM-Mails, OWA-Terminanfragen und Offline-Einstellungen in OWA korrigiert. Allerdings ist auch das Security Update vom 12. Dezember enthalten.

Hinweis zu .NET Framework
Sollten Sie noch auf CU4 sein (Was seit CU7 aber schon unsupportet ist, dann müssen Sie erst auf CU5 aktualisieren um dann .NET Framework auf 4.6.2 einspielen zu können. Wohl dem der noch CU5 als Installationsquelle vorgehalten hat denn der Download bei Microsoft ist nicht mehr vorhanden. Erst dann können sie auf CU8 gehen und danach NET 4.7.1 installieren. Bei einer Neuinstallation von Exchange sollten Sie gleich mit NET 4.7.1 starten.

Exchange 2016 CU7

Drei Monate nach dem CU6 wird CU7 released. Es bringt immer noch nicht den NET 4.7.0 Support. Stattdessen wird man wohl später gleich auf NET 4.7.1 gehen.

Bitte installieren sie NICHT .NET Framework 4.7 oder neuer. Es ist nicht mit CU7 freigegeben.

Achtung: CU7 enthält wieder ein Schema Updates. Die erste Installation muss mit erweiterten Rechten erfolgen.

Wenn Sie auf einem Management-System nur die Exchange Powershell installieren, dann vergisst CU7 die Datei microsoft.exchange.managedlexruntime.mppgruntime.dll zu installieren. Diese wird aber von diversen Exchange CMDLets benötigt. Es wird zwar beim Aufruf dann ein Fehler generiert aber nicht alle Skripte fangen so etwas ab.

Get-CASMailbox : Cannot bind parameter 'Filter' to the target. Exception setting "Filter": "Could not load file or assembly 'Microsoft.Exchange.ManagedLexRuntime.MPPGRuntime, Version=15.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35' or one of it\ s dependencies. The system cannot find the file specified."

Lösung: Kopieren Sie die Datei einfach von einem Exchange Server in das gleichnamige Verzeichnis C:\Programs\Microsoft\Exchange\V15\Bin. Auf dem Exchange Server selbst tritt der Fehler nicht auf

CU7 prüft diesmal aber auch, ob der Windows 2008R2 Forest Funktional Level gesetzt ist. Es gibt noch zwei bekannte Fehler, die erst in einem späteren CU gefixt werden

  • Online Archive Folders created in O365 will not appear in the Outlook on the Web UI
  • Information protected e-Mails may show hyperlinks which are not fully translated to a supported, local language

Ich denke diese Einschränkungen sind zwar nervig, wenn Sie betroffen sind aber müssen toleriert werden.

Download http://www.microsoft.com/downloads/details.aspx?FamilyID=e0125452-a610-447c-a932-8f44c6c813eb  (5,7GB)
UM Lang Packs http://www.microsoft.com/downloads/details.aspx?FamilyID=6c11f427-c900-4284-a1d7-19998a43ebd3

Exchange 2016 CU5 Security Update

Am 6. Juli 2017 hat Microsoft ein Security Update für CU5 released, um eine Lücke in OWA zu schließen. Das Update dürfte in CU6 schon enthalten sein. Sie können also überlegen, ob sie gleich CU6 installieren.

Security Update for Exchange Server 2016 CU5 (KB4018588) (ca. 112 MB)
https://www.microsoft.com/de-de/download/details.aspx?id=55588

Weitere Links:

Exchange 2016 CU6

Ende Jun 2017 hat Microsoft zusammen mit einem Update für Exchange 2013 ein weiteres CU veröffentlicht. Für Exchange 2010 und älter gibt es aber keine Updates mehr. Wie üblich ist auch dies eine "Vollinstallation". Sie sollten also keine vorherige Version installieren, sondern direkt mit dieser Version einsteigen. Achten Sie darauf, dass auch die Voraussetzungen, z.B. das passende .NET Framework, erfüllt sind. Beachten Sie beim Update von CU4 und früher den Zwischenschritt durch den Wechsel des .NET Frameworks.

Noch kein Support für NET 4.7 !

Kumulatives Update 6 für Exchange Server 2016 (KB4012108) (5,5GB)
https://www.microsoft.com/de-DE/download/details.aspx?id=55520

Folgende Neuerungen sind enthalten:

Exchange 2016 CU5

Achtung:
Exchange 2016 CU5 generiert die Mailadresse falsch, wenn Umlaute enthalten sind. Geben Sie bei Enable-Mailbox o.ä. einfach die gewünschte Mailadresse mit an oder installieren Sie CU6
https://support.microsoft.com/en-us/help/4019534/error-when-a-mailbox-name-includes-an-umlaut-in-exchange-server-2016

Achtung
Prüfen Sie auch die Kompatibilität mit Drittprodukten. Anscheinend haben einige Backup-Produkte mit CU5 Probleme beim Single Item Restore
Achtung: Veeam 9.5 U1 und Exchange 2016 CU5 Probleme
https://www.frankysweb.de/achtung-veeam-9-5-u1-und-exchange-2016-cu5-probleme/
After installing CU5 for Exchange 2016, Backup Exec 16 will not show GRT items during restore
http://www.veritas.com/docs/000126392
Kroll Ontrack PowerControls for Exchange cannot open database on Exchange 2016 CU5
https://support.unitrends.com/UnitrendsBackup/s/article/000005563

Microsoft hat mit dem CU4 schon angekündigt, dass das .NET Framework 4.6.2 mit CU4 unterstützt und mit CU5 eine Voraussetzung sein wird. Das bringt nur erstmals die Besonderheit mit sich, dass ein Update von CU3 oder früher auf CU5 oder später nicht direkt möglich ist, da dazwischen das .NET Framework aktualisiert werden muss. Daher gibt es folgende Vorgehensweise:

  1. Update Exchange 2016 auf CU4
  2. Update .NET Framework auf 4.6.2
  3. Update Exchange 2016 auf CU5 oder neuer

Einzig bei einer Neuinstallation von Exchange 2016 sollten Sie direkt NET 4.6.2 installieren und dann mit der CU5 Quelle starten. Wenn wie schon gewohnt ist das CU immer eine Vollinstallation. Entsprechend umfangreich ist der Download (5,4GB ISO) und auch die UM Sprachpakete sind wieder aktualisiert worden:

Cumulative Update 5 for Exchange Server 2016 (KB4012106)
https://www.microsoft.com/en-us/download/details.aspx?id=54930
Exchange Server 2016 CU5 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=54932

Auch für CU5 hat Microsoft eine Liste der Fehler veröffentlicht:

  • 4015665 SyncDelivery logging folders and files are created in wrong location in Exchange Server 2016
  • 4015664 A category name that has different case-sensitivity than an existing name is not created in Exchange Server 2016
  • 4015663 “The message content has become corrupted” exception when email contains a UUE-encoded attachment in Exchange Server 2016
  • 4015662 Deleted inline picture is displayed as attachment after you switch the message to plain text in Exchange Server 2016
  • 4015213 Email is still sent to Inbox when the sender is deleted from the Trusted Contacts list in Exchange Server 2016
  • 4013606 Search fails on Exchange Server 2016 or Exchange Server 2013
  • 4012994 PostalAddressIndex element isn’t returning the correct value in Exchange Server 2016

Microsoft hat aber auch zwei Fehler aufgeführt, die erst in CU6 gefixt werden sollen.

  • Geburtstagskalender kann man in Outlook on the Web (OWA) nicht aktivieren
  • Public Folder Hierarchy wird bei einem Failover der Datenbank auf einen anderen Server pausiert, bis man den "Exchange Service Host" auf dem neuen Server durchstartet.

Der Blog- Artikel geht auch noch mal auf diverse Dinge ein

Insbesondere beschreibt er ein paar Hinweise für die Installation.

Exchange 2016 CU4

Während es für Exchange 2007 und 2010 am 12. Dez nur noch Zeitzonen-Updates gab, ist bei Exchange 2013 und erst recht bei Exchange 2016 die Entwicklung noch voll aktiv. Die wesentlichen Änderungen sind:

  • Windows 2016 Support
    Dazu ist aber die Installation von KB3206632 erforderlich. Das Setup prüft diese Voraussetzung.
  • Support für NET 4.6.2
    Auf der sicheren Seite sind sie, wenn Sie das Exchange Update zuerst installieren und dann .NET aktualisieren. Hinweis: Die Updates im März 2017 werden 4.6.2 sogar voraussetzen.
  • Media Foundation statt Desktop Experience
    Bislang hat das Exchange Setup das komplette Desktop Experience Feature benötigt, was mehr Patche nach sich gezogen hat. Seit diesem Update reichen die Windows Media Foundation und Desktop Experience kann deinstalliert werden. Das Setup deinstalliert dies aber nicht. Hier müssen Sie manuell aktiv werden und "Desktop Experience" deinstallieren.
  • Bugfix bei Öffentlichen Ordnern
    Ein Fehler in dem vorherigen CU führte dazu, dass nicht alle Inhalte in öffentlichen Ordner korrekt indexiert wurden (Siehe KB3202691). Dies ist nun wieder behoben. Allerdings müssen Sie die Public Folder Postfächer dazu einmal in eine andere Datenbank verschieben.

Die Tatsache, dass diese Liste de wichtigen Änderungen sowohl für Exchange 2013 als auch 2016 gilt, zeigt wie nahe die beiden Produkte noch miteinander verwoben und versandt sind.

Exchange 2016 CU14
https://www.microsoft.com/en-us/download/details.aspx?id=54450
UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=54455

  • Released: December 2016 Quarterly Exchange Updates
    https://blogs.technet.microsoft.com/exchange/2016/12/13/released-december-2016-quarterly-exchange-updates/
  • 3177106 Cumulative Update 4 for Exchange Server 2016
  • KB 3202691 Public folders indexing doesn't work correctly after you apply latest cumulative updates for Exchange Server
    KB 3201358 Set-Mailbox and New-Mailbox cmdlets prevent the use of the -Office parameter in Exchange Server 2016
    KB 3202998 FIX: MSExchangeOWAAppPool application pool consumes memory when it recycles and is marked as unresponsive by Health Manager
    KB 3208840 Messages for the health mailboxes are stuck in queue on Exchange Server 2016
    KB 3186620 Mailbox search from Exchange Management Shell fails with invalid sort value in Exchange Server 2016
    KB 3199270 You can't restore items to original folders from Recoverable Items folder in Exchange Server 2016
    KB 3199353 You can't select the receive connector role when you create a new receive connector in Exchange Server 2016
    KB 3193138 Update to apply MessageCopyForSentAsEnabled to any type of mailbox in Exchange Server 2016
    KB 3201350 IMAP "unread" read notifications aren’t suppressed in Exchange Server 2016
    KB 3209036 FIX: "Logs will not be generated until the problem is corrected" is logged in an Exchange Server 2016 environment
    KB 3212580 Editing virtual directory URLs by using EAC clears all forms of authentication in Exchange Server 2016

Exchange 2016 CU3

Gerade mal 8 Tage nach dem Release eines Security Updates hat Microsoft das nächste CU veröffentlicht, welches alle anderen vorhergehenden Updates ersetzt. Passend dazu gibt es einen Blog-Artikel, der auf die Neuerungen hinweist:

Exchange Server 2016 Cumulative Update 3 (5,7 GB )
http://www.microsoft.com/downloads/details.aspx?FamilyID=fe1096f8-6143-4a77-8307-38894dac3187
UM Language Pack http://www.microsoft.com/downloads/details.aspx?FamilyID=0a585913-91a5-41b4-9f3d-70bee8f9d5c1

Die Änderungen hat Microsoft sowohl im Blog-Artikel als auch im folgenden KB-Artikel umfangreich beschrieben, so dass ich mich auf die wichtigsten Punkte beschränke.

Achtung: Das CU3 enthält Änderungen am Schema und erfordert entsprechenden Berechtigungen.

  • KB3152589 Cumulative Update 3 for Exchange Server 2016
  • Windows 2016 Support mit NET 4.6.2  (Nicht auf Windows 2012R2 !. DAs kommt erst mit CU4 im Dezember 2016)
  • Copy from Local
    Wird eine Datenbank in einer DAG neu kopiert, dann nutzt er nicht mehr die aktive sondern kopiert die Daten von einer passiven Kopie.
  • KB 3154387 The DFS health set is listed as "Unhealthy" in an Exchange Server 2016 environment
  • KB 3175080 Cannot log on to OWA when FIPS is enabled in an Exchange Server 2016 environment
  • KB 3176377 Links to access Exchange items in SharePoint eDiscovery search result fail with an HTTP error 500 in Exchange Server
  • KB 3161916 Data loss may occur during public folder migration to Exchange 2013, Exchange 2016, or Exchange Online
  • KB 3176540 OWA error reporting responds with a HTTP error 500 in OwaSerializationException
  • KB 3190887 Upgrading Exchange Server causes the server to go offline unexpectedly
  • KB 3191075 You can't install Cumulative Update 2 for Exchange Server 2016 on a Russian version operating system

Exchange 2013 CU13 Security Update MS16-106

Die Sicherheitslücken in MS16-016 haben wohl Microsoft dazu gebracht, für alle aktuell noch gepflegten Exchange Versionen (2007,2010,2013 und 2016) ein Update außer der Reihe zu veröffentlichen. Es werden nur die Komponenten mit dem Update gefixt. Der Download ist also weit kleiner als eine Vollinstallation eines CU

Security Update For Exchange Server 2016 CU2 (KB3184736
https://www.microsoft.com/en-US/download/details.aspx?id=53676

Exchange 2016 CU2

Viel Abstand war nun nicht zwischen dem Security Update und dem knapp eine Woche später folgendem CU2, welches eine Vollinstallation ist. Aber so kann es passieren, wenn die normale Entwicklungspfade kurzfristig von einem Sicherheitsupdate eingeholt werden. Das CU2 enthält auch das MS16-079 Security Update.

Download (6 GB ISO) Server
https://www.microsoft.com/en-us/download/details.aspx?id=52968
Exchange Server 2016 CU2 UM Language Packs
https://www.microsoft.com/en-us/download/details.aspx?id=52964

Achtung:
Exchange 2016CU2 bringt eine Schema-Erweiterung mit. Führen Sie als Enterprise Admin vorher ein "Setup /PrepareSchema" und ein "Setup /PrepareAD" für RBAC-Aktualisierung durch, wenn die Exchange Administratoren keine Berechtigungen dazu haben.

Mit Exchange 2016 CU2 ist es erlaubt, dass schon das .NET Framework 4.5.2 vorab installiert ist.
Die Installation von .NET Framework 4.6.2 ist noch nicht freigegeben.

Die Liste der Updates ist aber relativ kurz. Ich vermute, dass viele Entwicklerressourcen in die Office 365 Entwicklung gegangen sind und nur bislang eher wenig Änderungen für lokale Installationen anstanden. Einige Dinge sind aber schon relevant

  • Unterstützung für .NET 4.6.1
    Beachten Sie aber erforderliche Hotfixes
    • Windows Server 2008/2008R2 – KB3146716
    • Windows Server 2012 – KB3146714
    • Windows Server 2012R2 – KB3146715
  • SHA-2 Support für selbst erstellte Zertifikate
  • Ein Bug bei der Migration von öffentlichen Ordnern wurde gefixt
    KB3161916 Data loss may occur during public folder migration to Exchange 2013, Exchange 2016, or Exchange Online
  • Released: June 2016 Quarterly Exchange Updates
    https://blogs.technet.microsoft.com/exchange/2016/06/21/released-june-2016-quarterly-exchange-updates/
  • 3135742 Cumulative Update 2 for Exchange 2016
  • 3171162 You cannot search emails in Outlook or Outlook Web App in an Exchange Server 2016 Cumulative Update 1 environment
  • 3164346 Cannot connect to a mailbox when MAPI over HTTP protocol is used in an On-Premises Exchange Server 2016 installation
  • 3162968 "Failed to load script" error when you log on to OWA and select a language
  • MAPI Virtual Directory Bug in Exchange 2016 CU2
    http://www.expta.com/2016/06/mapi-virtual-directory-bug-in-exchange.html

Security Update MS16-079

Eine Lücke im zugekauften Module "OutSideIn" von Oracle sorgt für eine Update-Welle für Exchange 2007 bis 2016 mit unterschiedlichen Patchständen.

Aktuell über Windows Update oder Update Catalog
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3150501
Die CAB-Datei können Sie entpacken und erhalten dann das MSP-File

  • Microsoft Security Bulletin MS16-079 - Important
    https://technet.microsoft.com/library/security/MS16-079
  • 3160339 MS16-079: Security Update for Microsoft Exchange: June 14, 2016 
  • 3150501 MS16-079: Description of the security Update for Exchange Server 2016 and Exchange Server 2013: June 14, 2016

Exchange 2016 CU1

Laut dem Team-Blog zum den Dezember Updates für Exchange E2013, E2010 und E2007 kommt das nächste geplante Update für Exchange 2016 im nächsten Quartal. Am 15. März 2015 ist es dann soweit gewesen.

Achtung: Lesen Sie dem BLOG Artikel
Auf Windows 2012 kann ein .NET Update die Installation extrem verzögern.
Dieses Update ist noch nicht mit .NET 4.6.1 kompatibel
Diese Update enthält ein Schema Update und RBAC Update, die ggfls. vorab ausgeführt werden sollten
Die Powershell Execution Policy muss auf unrestricted stehen.

Achtung: Edge Server und Empfänger Filter
Eventuell funktioniert der Empfängerfilter nach Installation von CU1 nicht meht
Quelle: Release Notes https://technet.microsoft.com/en-us/library/jj150489(v=exchg.160).aspx

KB3134844 Cumulative Update 1 for Exchange Server 2016
Download http://www.microsoft.com/downloads/details.aspx?FamilyID=f3e560e7-fbb0-41ef-b3ee-05b083d4e3a3 6 GB !
UM Lang Packs http://www.microsoft.com/downloads/details.aspx?FamilyID=0a9a1f0f-1ddc-4ab7-a9f7-2092673294c4

Die Liste der Bugfixes ist für Exchange 2016 überschaubar:

  • KB 3139730 Edge Transport service crashes when you view the properties of a poison message in Exchange Server 2016
  • KB 3135689 A custom SAP ODI URI is removed by ActiveSync from an email message in an Exchange Server environment
  • KB 3135688 Preserves the web.config file for Outlook Web App when you apply a cumulative Update in Exchange Server 2016
  • KB 3135601 Cyrillic characters are displayed as question marks when you run the "Export-PublicFolderStatistics.ps1" script in an Exchange Server 2016 environment
  • KB 3124242 Mailbox quota is not validated during migration to Exchange Server 2013 or Exchange Server 2016

Das CU1 war keine echte Überraschung. Im Artikel zu "Exchange Management Shell and Mailbox Anchoring" ( http://blogs.technet.com/b/exchange/archive/2015/12/15/exchange-management-shell-and-mailbox-anchoring.asp) wurde auf Exchange 2016 CU1 schon verwiesen:

Starting with Exchange Server 2013 CU11 and Exchange Server 2016 CU1, the Exchange Management Shell (EMS) session will also be using mailbox anchoring. If the aforementioned environment has all servers upgraded to Exchange 2013 CU11 and Exchange 2016 CU1 the behavior of Exchange Management Shell changes. Now when a User logs on to the Exchange Server and open up EMS, the session will be proxied to the server where the User’s mailbox is located.
Quelle: Exchange Management Shell and Mailbox Anchoring" ( http://blogs.technet.com/b/exchange/archive/2015/12/15/exchange-management-shell-and-mailbox-anchoring.aspx

Man könnte auch vermuten, dass all die Updates und  Fixes für Exchange 2013 schon in Exchange 2016 RTM enthalten waren und nun einfach nachgeliefert werden. Kann könnte man erst recht sagen, dass Exchange 2016 schon ein Update erhalten hat. Aber halt, es ist ja es nur Version 15.1 statt 15.0 und keine Version 16.0.

Exchange 2016 Security Update MS16-010

Ehe das Exchange 2016 CU1 released wurde, musste Microsoft erst einmal ein Security Update für verschiedene Exchange 2013 Versionen (Siehe E2013 Updates) und Exchange 2016 RTM nachschieben

Security Update für Exchange Server 2016 CU0 (KB3124557) ca. 28MB
https://www.microsoft.com/en-US/download/details.aspx?id=50422

Exchange 2016 RTM

Siehe MSXFAQ.DE:E2016 News

Weitere Links

Microsoft Consultant Exchange & Skype for Business (m/w)
Kommen Sie zu Net at Work. Wir haben spannende Projekte bei innovativen Kunden. Unser Team arbeitet kollegial und kooperativ – ständiger Austausch und Weiterbildung sind bei uns Standard.
https://www.netatwork.de/unternehmen/karriere/