Microsoft hat angekündigt, dass das nächste Exchange CU die Extended Protection (EP) für Exchange Server 2019 als Standardeinstellung aktivieren wird. Extended Protection wurde für Exchange 2016 und Exchange 2019 im August 2022 eingeführt und war bisher manuell zu aktivieren. Wer bisher die Extended Protection noch nicht aktiviert hat, muss aber ggf. mit der Installation des CU14 für Exchange 2019 aufpassen.
Für Exchange 2019 wird das CU14 die Extended Protection aktivieren. Wenn es mehrere Exchange Server und Loadbalancer oder Web Application Firewalls gibt, muss auf all dieses Komponenten das gleiche Zertifikat verwendet werden. Es reicht nicht aus, wenn das Zertifikat die gleichen Namen enthält, sondern es muss das identische Zertifikat auf allen Exchange Servern, Loadbalancern und WAFs verwendet werden, andernfalls wird Outlook keine Verbindung mit Exchange herstellen können.
Wenn Extended Protection nicht genutzt werden soll, muss es nach der Installation für Exchange 2019 manuell deaktiviert werden. Das Script zum Aktivieren und Deaktivieren von Extended Protection findet sich hier:
Es gibt noch weitere Fälle in denen Extended Protection nicht verwendet werden kann:
- In der Exchange Organisation gibt es noch Exchange 2013 Server mit Öffentlichen Ordnern
- Extended Protection funktioniert nicht auf Servern welche für Moderne Hybrid Konfiguration genutzt werden
- SSL Offloading wird nicht unterstützt (SSL Briding nur mit identischen Zertifikat)
Am Besten wird Extended Protection vor der Installation von CU14 für Exchange 2019 getestet und aktiviert, die Fehlersuche wird möglicherweise sonst aufwändig. Microsoft gibt in dem oben verlinkten Artikel auch noch ein paar kleine Tipps zur Umsetzung:
Exchange 2016 ist von dieser Änderung nicht betroffen, denn es wird kein neues CU mehr für Exchange 2016 geben. Für Exchange 2016 (und Exchange 2019) wurde nun aber HSTS offiziell unterstützt, darüber schreibe ich aber in einem separaten Artikel.