Hallo Leser,
der ein oder andere hat es sicherlich schon mitbekommen, Microsoft hat Exchange Server 2019 CU14 veröffentlicht:
- Exchange Server 2019 Cumulative Update 14 (KB5035606), VLSC Download, Download
Updates für ältere Versionen gibt es nicht mehr!
Achtung Extended Protection
Wie Microsoft bereits angekündigt hat wird im Standard Extended Protection aktiviert, eine Technologie welche bereits seit Windows Server 2008 R2 existiert. Hier eine übersetzte Beschreibung:
Der erweiterte Schutz verbessert die vorhandene Windows-Authentifizierung-Funktionalität, um Authentifizierungsrelais- oder „Man in the Middle“-Angriffe zu minimieren. Diese Entschärfung wird durch die Verwendung von Sicherheitsinformationen erreicht, die über zwei Sicherheitsmechanismen implementiert werden:
- Kanalbindungsinformationen, die über ein Kanalbindungstoken (CBT) angegeben werden, das hauptsächlich für SSL-Verbindungen verwendet wird.
- Dienstbindungsinformationen, die über einen Dienstprinzipalnamen (Service Principle Name, SPN) angegeben werden, der in erster Linie für Verbindungen ohne SSL verwendet wird, oder wenn eine Verbindung über ein Szenario hergestellt wird, das SSL-Auslagerungen ermöglicht, z. B. einen Proxyserver oder einen Lastenausgleich.
Das <extendedProtection> Element kann eine Auflistung von <spn> Elementen enthalten, von denen jedes einen eindeutigen SPN für die Dienstbindungsinformationen enthält. Jeder SPN stellt einen eindeutigen Endpunkt im Verbindungspfad dar, bei dem es sich um einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) oder einen NetBIOS-Namen des Zielservers oder einen Proxyserver handeln kann. Wenn beispielsweise ein Client über einen Proxyserver eine Verbindung mit einem Zielserver herstellt, muss die SPN-Auflistung auf dem Zielserver den SPN für den Proxyserver enthalten. Jedem SPN in der Auflistung muss „HTTP“ vorangestellt werden, sodass der resultierende SPN für „www.contoso.com“ „HTTP/www.contoso.com“ lautet.
Es muss also darauf geachtet werden wie der Austausch zwischen Client und Server abläuft und wie wir mit aktivierter EP das System unterbrechungsfrei betreiben.
- SSL Offloading ist nicht unterstützt!
- SSL Bridging wird nur mit identischem Zertifikat auf Loadbalancer und Exchange Unterstützt
- ADFS Anmeldung via Claim-Based-Auth wird ohne Einschränkung weiterhin unterstützt. –> Siehe hier ADFS 4.0 mit Exchange 2016 – Konfigurationsübersicht – Andi’s iT Blog (asichel.de)
Pre-Check
Führt in jedem Fall das HealthChecker Script von Microsoft aus –> Hier:
Extended Protection is not configured
Wie ihr sehen könnt ist auf meinem System die Konfiguration unterstützt. Mein System ist Exchaneg Server 2019 auf Windows Server 2022, keine weiteren Exchange Server in der Organisation vorhanden.
Prüft bitte ob EP bei euch unterstützt wird, das kann anhand der folgenden Tabelle geschehen:
| Exchange-Version | CU installiert | SU installiert | Hosten von PF-Postfächern | Wird EP unterstützt? |
|---|---|---|---|---|
| Exchange 2013 | CU23 | August 2022 (oder höher) | Nein | Ja |
| Exchange 2016 | CU22 | August 2022 (oder höher) | Keine Hierarchiepostfächer | Ja |
| Exchange 2016 | CU23 (2022 H1) oder höher | August 2022 (oder höher) | Beliebig | Ja |
| Exchange 2019 | CU11 | August 2022 (oder höher) | Keine Hierarchiepostfächer | Ja |
| Exchange 2019 | CU12 (2022 H1) oder höher | August 2022 (oder höher) | Beliebig | Ja |
| Jede andere Version | Jedes andere CU | Alle anderen SU | Any | Nein |
Installation – Standard
Wird der Exchange Server 2019 Cu14 neu installiert oder mittels GUI auf CU14 upgedated, wird EP im Standard mit aktiviert.
Installation ohne EP
Wenn Extended Protection beim Update nicht standardmäßig aktiviert werden soll muss das Setup (wie ich es immer empfehle) über die CMD als Administrator gestartet werden:
setup.exe /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /DoNotEnableEP
Installation ohne EP auf EWS (Modern-Hybrid-Umgebungen)
Wenn Exchange Server mittels Hybrid-Agent eine Bereitstellung mit Exchange Online konfiguriert hat, darf EP auf dem Frontend Directoty für EWS nicht aktiviert werden. Hier muss demnach zwingend der folgende Setup Parameter mitgegeben werden:
setup.exe /m:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /DoNotEnableEP_FEEWS
Microsoft empfiehlt einen Dedizierten Exchange Server für diesen Zweck bereitzustellen.
Entscheidungshilfe
Microsoft gibt eine kleine Entscheidungshilfe mit um auf das neue CU vorbereitet zu sein:
Und hier nochmal als Tabelle:
| Scenario that does not support EP | Action to take |
| SSL Offloading for Outlook Anywhere | SSL Offloading for Outlook Anywhere must be disabled. If Extended Protection is enabled via Exchange Server CU14, the installer will take care of disabling SSL Offloading for Outlook Anywhere. |
| SSL Offloading on Load Balancer | SSL Offloading is not supported. Use SSL bridging instead with the same SSL certificate as on Exchange Server IIS front end. |
| Public folders hosted on Exchange Server 2013, 2016 CU22 (or older) or 2019 CU11 (or older) | Move all Public folders to currently supported versions, decommission Exchange Server 2013 which is out of support. Check this table for your Public Folder scenario. |
| Modern Hybrid agent is used to publish Exchange Server to the internet in hybrid scenario |
Identify the Exchange Servers which are published via Modern Hybrid agent, by following the steps outlined in this section of documentation. On these servers, run Exchange Server CU14 setup in unattended mode and use the /DoNotEnableEP_FEEWS switch to not enable Extended Protection on the EWS front end virtual directory. Our recommendation for securing the server published by the modern agent can be found here. |
Fehler die durch CU14 behoben werden:
- 5035439 BlockModernAuth does not respond in AuthenticationPolicy
- 5035442 Exchange Mitigation Service does not log incremental updates
- 5035443 Read receipts are returned if ActiveSyncSuppressReadReceipt is „True“ in Exchange Server 2019
- 5035444 System.argumentnullexception when you try to run an eDiscovery search
- 5035446 OAB shadow distribution fails if legacy authorization is blocked
- 5035448 MCDB fails and leads to lagged copy activation
- 5035450 Exchange 2019 setup installs a outdated JQuery library
- 5035452 Usernames are not displayed in Event ID 23 and 258
- 5035453 Issues in Exchange or Teams when you try to delegate information
- 5035455 MSExchangeIS stops responding and returns „System.NullReferenceExceptions“ multiple times per day
- 5035456 „Deserialization blocked at location HaRpcError“ error and Exchange replication stops responding
- 5035493 FIP-FS Proxy Customizations are disabled after a CU or an SU update
- 5035494 Modern attachment doesn’t work when web proxy is used in Exchange Server 2019
- 5035495 OWA displays junk operations even if junk mail reporting is disabled
- 5035497 Edit permissions option in the ECP can’t be edited
- 5035542 Remote equipment and room mailboxes can now be managed through EAC
- 5035616 Logon events failure after updating Windows Server
- 5035617 Transport rules aren’t applied to multipart or alternative messages
- 5035689 „High %Time in GC“ and EWS doesn’t respond
Nach der Installation
Wenn die Installation erfolgreich war prüft bitte mit dem HealtChecker euer Setup.
Happy Updating
Andi
Hinterlasse einen Kommentar