Exchange 2016: Install cumulative updates (CU)

by

I have now received several emails with questions about the Exchange 2016 update process. There are also always various questions in the comments to articles that refer to updates. So here is a short how-to on how to install Exchange updates.

What is a Cumulative Update for Exchange?

Updates for Exchange are published as Cumulative Updates (CU), i.e. all updates up to the time of publication of the CU are included in the update package. This is always the complete ISO for Exchange. Existing Exchange installations can be updated with the CU, as can new installations. Exceptions to this rule are security updates which are published as required. The next regular CU will then contain the previously published security updates, if there have been any.

As a CU always includes the complete installation files, it is not necessary to install CUs in a sequential manner. For example, if the Exchange organization runs with CU2, it is not necessary to install CU3, CU4 and then CU5. CU3 can be updated directly after CU5.

Sequence

For a larger Exchange organization, the Exchange 2016 servers are updated in the following order:

  • Exchange Server providing services on the Internet (Internet-facing), internal and external URLs are configured
  • if available: Exchange Server providing services in the local network (non-Internet-facing), only internal URLs are configured
  • if available: Exchange Transport Server

Plan update

Depending on the Exchange environment, a few things need to be planned or taken into account.

  • Active Directory schema update required?
  • Maintenance window / Exit strategy
  • Known problems
  • Reports from other users

Many of the Exchange CUs require an update of the AD schema. In larger environments, the schema update of the Active Directory should be carried out independently of the installation of the CU. The actual CU should only be installed once all domain controllers have been replicated, which can take some time in environments with multiple domains and multiple sites.

In environments with only one Exchange server, a corresponding maintenance window must be scheduled. During the time in which the CU is installed, no connection to the respective Exchange server is possible (SMTP, as well as Outlook and ActiveSync). You should also think about an exit strategy, how long you can search for a solution in the event of a problem and what to do if no solution is found (how do I get back to the last functional status?).

In a highly available environment, the different versions of the Exchange servers are supported, but the aim should be to have all Exchange servers at the same patch level.

As a rule, known problems are also published for the CUs. Knowing these problems in advance can save a lot of trouble, and you should also check the reports of other users to see whether any problems have occurred.

Preparations

  • Before installing updates for Exchange, the preparations should be completed:
  • Download the CU
  • If the schema update was carried out in advance: Check replication of DCs and schema version
  • Check backups (Exchange and Active Directory)
  • Backup of special settings (changes in the registry for Exchange services, login templates, etc.)
  • Verification of the certificates

As the CUs contain all Exchange installation files, CUs are relatively large and take time to download depending on the bandwidth. If you only have a limited maintenance window, you don't have to waste unnecessary time on the download.

Since Exchange CUs can also contain updates for the Active Directory schema, but do not necessarily have to, it is important that backups are available for Exchange and also for the Active Directory. If something should go wrong, you don't just want to have an 8-week-old backup to hand.

Special settings for Exchange, i.e. changes in the IIS web.config, changes to the OWA login mask or settings in the registry may be overwritten by the update process. If such changes are made, they should therefore be documented and saved beforehand.

Expired certificates can cause the update process to stop. The certificates should therefore be checked beforehand.

Before installation

If the CU requires a schema update, it should be installed separately from the CU in environments with multiple domains or domain controllers. Although the Exchange Setup also updates the schema during the installation, this can lead to problems in larger environments. The schema can be updated as follows:

setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
setup.exe /PrepareDomain /IAcceptExchangeServerLicenseTerms

The last command only needs to be executed if there are several Active Directory domains; if there is only one domain in which Exchange is installed, it is sufficient to execute the first and second command. If there are several AD domains, the last command must be executed in all domains that contain mailboxes or Exchange servers.

After the schema has been updated, the Active Directory replication must be waited for or carried out manually.

Before starting the installation, all third-party software services (backup tools, spam filters installed on Exchange servers, VIRENSCANNER) should be stopped. In many cases, virus scanners cause problems during the update or sometimes significantly prolong the update process, so be sure to disable them for the duration of the update and do not forget Windows Defender. Windows Defender can be deactivated with the following command:

Set-MpPreference -DisableRealtimeMonitoring $true

If the server has yet to be restarted, this must be carried out before the update, otherwise the setup will not start the update process.

As various PowerShell scripts are executed during the update, the PowerShell Execution Policy must be set to "Unrestricted":

Get-ExecutionPolicy
Set-ExecutionPolicy Unrestricted

The first command displays the current execution policy, the second command changes the execution policy to "Unrestricted". After successful installation, the original value can be set again.

Furthermore, the UM language packages must be uninstalled before installing a CU if UM language packages have been installed. After installation, the appropriate UM language packages for the CU can be reinstalled.

Installation

If there is only one Exchange Server, then in my opinion the update can now be started simply by double-clicking on setup.exe from the ISO.

In high-availability environments, it is a little more complex. First, the server that is to be updated is removed from the load balancing pool or deactivated so that the load balancer no longer sends connections to the Exchange server. Then the transport service is put into maintenance mode and mails from the queue are redirected to a remaining server:

Set-ServerComponentState FWEX1 -Component HubTransport -State Draining -Requester Maintenance
Redirect-Message -Server FWEX1 -Target FWEX2.frankysweb.local

If the server is a member of a DAG, maintenance mode can now also be activated and active databases can be moved to another server:

Suspend-ClusterNode -Name FWEX1
Set-MailboxServer FWEX1 -DatabaseCopyActivationDisabledAndMoveNow $true
Set-MailboxServer FWEX1 -DatabaseCopyAutoActivationPolicy Blocked

Now you can check whether there are no more active databases on the Exchange Server:

Get-MailboxDatabaseCopyStatus -Server FWEX1 | Where {$_.Status -eq "Mounted"}

If no more databases are displayed, the server can be switched offline:

Set-ServerComponentState FWEX1 -Component ServerWideOffline -State InActive -Requester Maintenance

As the server is now in maintenance mode, the update can now be started either by double-clicking on setup.exe or directly via the shell:

setup /m:upgrade /IAcceptExchangeServerLicenseTerms

Once the update is running, it's time for coffee. CU5 for Exchange 2016 took 90 minutes on my rather weak test Exchange with 12 GB RAM and 2 CPUs. However, you can always plan for half an hour.

After installation

Once the CU has been installed, virus scanners and other services can be restarted. The PowerShell Execution Policy can also be set to the default value "Restricted" (Windows Server 2016) or "RemoteSigned" (Windows Server 2012 R2) again. Windows Defender can also be switched on again:

Set-MpPreference -DisableRealtimeMonitoring $false

In high-availability environments, maintenance mode must of course be switched off again:

Set-ServerComponentState FWEX1 -Component ServerWideOffline -State Active -Requester Maintenance
Resume-ClusterNode -Name FWEX1
Set-MailboxServer FWEX1 -DatabaseCopyAutoActivationPolicy Unrestricted
Set-MailboxServer FWEX1 -DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState FWEX1 -Component HubTransport -State Active -Requester Maintenance

Special settings such as registry values, web.config or adjustments to the OWA login template must be checked after installation. The functional tests are now also due, which essentially involve the following checks / tests:

  • Check event display for errors / problems
  • Check whether all Exchange services are started
  • Check the status of the databases and the index
  • Test Outlook / ActiveSync / OWA connection
  • E-mail transmission (send / receive)
  • if required: Reinstall UM language packs for the installed CU

In larger environments:

  • Check the status of the DAG
  • Distribute mailbox databases according to the activation preference (happens automatically with Exchange 2016 from CU2)
  • Add server to the load balancing pool again

Tip

Create an update cookbook. At the next CU, you can document all the necessary commands that are executed before and after the installation. All services and programs that were stopped can also be documented in the cookbook, as well as any problems that occurred. For example, if there are programs that need to be restarted after the Exchange services were unavailable, these should also be documented. For future updates, the documentation can then simply be consulted and all the necessary steps can be carried out quickly and according to standard. This also results in significantly fewer problems.

Update 3/27/2017: Added information on disabling Windows Defender and checking databases.

Update 28.03.2017: Note on uninstalling the UM language packs added

73 thoughts on “Exchange 2016: Kumulative Updates (CU) installieren”

  1. Hallo Frank,

    kannst du bitte die ersten drei Befehle wie folgt anpassen?

    setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
    setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF
    setup.exe /PrepareDomain /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

    Exchange 16 (und vermutlich 19) benötigt die Diagnosticsache bei den Lizenzbestimmungen.

    Vielen Dank.

    Reply

    • Hi – habe ich auch gerade festgestellt.
      Also bei CU9 funktioniert es (nur?) OHNE die Erweiterung „_DiagnosticDataOFF“
      Bei CU23 funktioniert es aber nur so wie Du hier geschrieben hast.
      K.A. wann das geändert wurde…

      Reply

  2. Wie sieht es den Lizenz technisch aus ?
    Mein Server wurde via Lizenzkey aktiviert. Wenn ich jetzt die neuste CU raufspiele brauch ich diesen dann nochmal oder einen neuen ?
    (Wurde ungerne nochmal so viel Geld ausgeben :). )

    Reply

  3. Hallo Community,

    ich habe heute unseren einzigen Exchange 2016 CU17 auf das aktuellste CU19 nach der bekannten Anleitung Versucht zu aktualisieren. Leider hat die Installation bei ca 30% mit dem Hinweis „The Installation cannot continue. Log on as administrator or contact your system administrator“ abgebrochen. Danach ging nichts mehr. Ich bin als Administrator eingeloggt und trotzdem die Meldung. Bei erneutem Ausführen brach nun die Installation nach der Prüfung mit dem Hinweis auf einen ausstehenden Neustart ab. Server habe ich danach 2x Neu gestartet und trotzdem der Hinweis keine Rechte… Erst nach dem ich über die Shell mit ausführen als Administrator und dort den Befehl .\setup /m:upgrade /IAcceptExchangeServerLicenseTerms ausgeführt habe, lief das Update Problemlos und ohne weitere Fehler durch…. Danach noch einmal ein Neustart und alles Funktionierte wieder so wie gewohnt….
    Kurz darauf kam schon das Security Update von MS und dieser lief auch Problemlos durch mit anschließendem Neustart können jetzt wieder alle User mit Ihrem Outlook sich Verbinden und Emails senden und erhalten….

    Reply

  4. Hallo Community,

    ich hänge leider an einem geerbten Projekt :(

    Ich habe eine abgeschlossene Migration von SBS11 vor mir die zu Windows Server 2019 und Exchange 2016 durchgeführt wurde.

    Nun habe ich versucht das Commulative Update 11 auf die Version 19 nach zu ziehen. dies schlägt aber bei der Voraussetzung wegen dem Infra Feature fehl. Dieses ist dem Anschein nach nicht mehr in der Server Version 19 enthalten. Kennt hier jemand ne möglichkeit wie ich diese Prüfung umgehen kann ?

    Ich komm hier derzeit nicht weiter und plane nun von CU 12, langsam zu CU 19 upzugraden. wenn dies überhaupt machbar ist.

    Über antworten Freue ich mich. (Auch wenn es ein älterer Schinken ist) :)

    Reply

  5. Hallo,

    zweiter versuch mit Fehlermeldung…

    ich bin heute in zwei Fehler gelaufen.

    1. Immer wieder die Meldungen, dass Unified Messaging-Sprachpakete außer dem Sprachpaket für US-Englisch stören.
    Abhilfe bringt:
    .\Setup.exe /RemoveUmLanguagePack:DE-DE
    ggf. noch
    .\Setup.exe /RemoveUmLanguagePack:EN-GB

    2. Setup brach in der Powershell immer wieder ab mit Fehlermeldung:
    –[DateTime] [1] [ERROR] konnte nicht C:\Program c:\Programme\Microsoft\Exchange Server\VersionNumberPaket „\bin\Setup\ServerRoles\UnifiedMessaging\MSSpeech_SR_TELE.ca-ES.msi“ geöffnet werden. Dieses Installationspaket konnte nicht geöffnet werden. Stellen Sie sicher, dass das Paket vorhanden ist und darauf zugreifen oder wenden Sie sich an den Anwendungshersteller, um sicherzustellen, dass dies ein gültiges Windows Installer-Paket. Fehlercode ist 1619.–
    Abhilfe laut https://support.microsoft.com/de-de/help/4131142
    .\setup /m:upgrade /IAcceptExchangeServerLicenseTerms

    Es wäre schön, wenn die Befehle oben in der Anleitung ergänzt/korrigiert werden könnten:
    .\Setup.exe /RemoveUmLanguagePack:DE-DE #Sprachpaket deinstallieren
    .\Setup.exe /RemoveUmLanguagePack:EN-GB #Sprachpaket deinstallieren
    .\setup /m:upgrade /IAcceptExchangeServerLicenseTerms #Setup korrekt starten

    LG Heiko

    Reply

  6. Hallo,

    ich bin heute in zwei Fehler gelaufen.

    1. Immer wieder die Meldungen, dass Unified Messaging-Sprachpakete außer dem Sprachpaket für US-Englisch stören.
    Abhilfe bringt:
    .\Setup.exe /RemoveUmLanguagePack:DE-DE
    ggf. noch
    .\Setup.exe /RemoveUmLanguagePack:EN-GB

    2. Setup brach in der Powershell immer wieder ab mit Fehlermeldung:
    <>
    Abhilfe laut https://support.microsoft.com/de-de/help/4131142
    .\setup /m:upgrade /IAcceptExchangeServerLicenseTerms

    Es wäre schön, wenn die Befehle oben in der Anleitung ergänzt/korrigiert werden könnten:
    .\Setup.exe /RemoveUmLanguagePack:DE-DE #Sprachpaket deinstallieren
    .\Setup.exe /RemoveUmLanguagePack:EN-GB #Sprachpaket deinstallieren
    .\setup /m:upgrade /IAcceptExchangeServerLicenseTerms #Setup korrekt starten

    LG Heiko

    Reply

  8. Update Exchange cu11 auf cu18
    Fehler Schritt 13 von 18 Postfachrolle / Postfachdienst
    Schema und AD ohne Fehler erweitert!
    Hat jemand eine Lösung für folgende Fehler:

    Der folgende Fehler wurde generiert, als „$error.Clear();
    if (($RoleIsDatacenter -ne $true) -and ($RoleIsDatacenterDedicated -ne $true))
    {
    if (test-ExchangeServersWriteAccess -DomainController $RoleDomainController -ErrorAction SilentlyContinue)
    {
    $sysMbx = $null;
    $name = „SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}“;
    $dispname = „Microsoft Exchange“;
    $mbxs = @( get-mailbox -arbitration -Filter {name -eq $name} -IgnoreDefaultScope -resultSize 1 );
    if ( $mbxs.length -eq 0)
    {
    $dbs = @(get-MailboxDatabase -Server:$RoleFqdnOrName -DomainController $RoleDomainController);
    if ($dbs.Length -ne 0)
    {
    $arbUsers = @(get-user -Filter {name -eq $name} -IgnoreDefaultScope -ResultSize 1);
    if ($arbUsers.Length -ne 0)
    {
    $sysMbx = enable-mailbox -Arbitration -identity $arbUsers[0] -DisplayName $dispname -database $dbs[0].Identity;
    }
    }
    }
    else
    {
    if ($mbxs[0].DisplayName -ne $dispname )
    {
    set-mailbox -Arbitration -identity $mbxs[0] -DisplayName $dispname -Force;
    }
    $sysMbx = $mbxs[0];
    }

    # Set the Organization Capabilities needed for this mailbox
    if ($sysMbx -ne $null)
    {
    Write-ExchangeSetupLog -Info („Setting mailbox properties.“);
    set-mailbox -Arbitration -identity $sysMbx -UMDataStorage:$true -Force;

    # No RetentionPolicy assigned to E-Discovery arbitration mailbox currently, we need to set it here.
    # This can be remove after BUG(O15#2555914) is fixed.
    if ($sysMbx.RetentionPolicy -eq $null )
    {
    $arbitrationRetentionPolicy = @(Get-RetentionPolicy -DomainController $RoleDomainController | where {$_.Name -eq ‚ArbitrationMailbox‘});
    set-mailbox -Arbitration -identity $sysMbx -RetentionPolicy $arbitrationRetentionPolicy[0].Identity -Force;
    }
    }
    else
    {
    Write-ExchangeSetupLog -Info („Cannot find E-discovery arbitration mailbox with name=$name.“);
    }
    }
    else
    {
    write-exchangesetuplog -info „Skipping creating Discovery Arbitration Mailbox because of insufficient permission.“
    }
    }
    “ ausgeführt wurde: „Microsoft.Exchange.Data.DataValidationException: ‚Database‘ ist für ‚UserMailbox‘ verbindlich.“.

    Fehler:
    Der folgende Fehler wurde generiert, als „$error.Clear();
    if (($RoleIsDatacenter -ne $true) -and ($RoleIsDatacenterDedicated -ne $true))
    {
    if (test-ExchangeServersWriteAccess -DomainController $RoleDomainController -ErrorAction SilentlyContinue)
    {
    $sysMbx = $null;
    $name = „SystemMailbox{e0dc1c29-89c3-4034-b678-e6c29d823ed9}“;
    $dispname = „Microsoft Exchange“;
    $mbxs = @( get-mailbox -arbitration -Filter {name -eq $name} -IgnoreDefaultScope -resultSize 1 );
    if ( $mbxs.length -eq 0)
    {
    $dbs = @(get-MailboxDatabase -Server:$RoleFqdnOrName -DomainController $RoleDomainController);
    if ($dbs.Length -ne 0)
    {
    $arbUsers = @(get-user -Filter {name -eq $name} -IgnoreDefaultScope -ResultSize 1);
    if ($arbUsers.Length -ne 0)
    {
    $sysMbx = enable-mailbox -Arbitration -identity $arbUsers[0] -DisplayName $dispname -database $dbs[0].Identity;
    }
    }
    }
    else
    {
    if ($mbxs[0].DisplayName -ne $dispname )
    {
    set-mailbox -Arbitration -identity $mbxs[0] -DisplayName $dispname -Force;
    }
    $sysMbx = $mbxs[0];
    }

    # Set the Organization Capabilities needed for this mailbox
    if ($sysMbx -ne $null)
    {
    Write-ExchangeSetupLog -Info („Setting mailbox properties.“);
    set-mailbox -Arbitration -identity $sysMbx -UMDataStorage:$true -Force;

    # No RetentionPolicy assigned to E-Discovery arbitration mailbox currently, we need to set it here.
    # This can be remove after BUG(O15#2555914) is fixed.
    if ($sysMbx.RetentionPolicy -eq $null )
    {
    $arbitrationRetentionPolicy = @(Get-RetentionPolicy -DomainController $RoleDomainController | where {$_.Name -eq ‚ArbitrationMailbox‘});
    set-mailbox -Arbitration -identity $sysMbx -RetentionPolicy $arbitrationRetentionPolicy[0].Identity -Force;
    }
    }
    else
    {
    Write-ExchangeSetupLog -Info („Cannot find E-discovery arbitration mailbox with name=$name.“);
    }
    }
    else
    {
    write-exchangesetuplog -info „Skipping creating Discovery Arbitration Mailbox because of insufficient permission.“
    }
    }
    “ ausgeführt wurde: „Microsoft.Exchange.Data.DataValidationException: ‚Database‘ ist für ‚UserMailbox‘ verbindlich.
    bei Microsoft.Exchange.Configuration.Tasks.Task.ThrowError(Exception exception, ErrorCategory errorCategory, Object target, String helpUrl)
    bei Microsoft.Exchange.Configuration.Tasks.Task.WriteError(Exception exception, ErrorCategory category, Object target, Boolean reThrow)
    bei Microsoft.Exchange.Configuration.Tasks.DataAccessTask`1.Validate(TDataObject dataObject)
    bei Microsoft.Exchange.Configuration.Tasks.SetTaskBase`1.InternalValidate()
    bei Microsoft.Exchange.Configuration.Tasks.SetRecipientObjectTask`3.InternalValidate()
    bei Microsoft.Exchange.Management.Common.SetMailEnabledRecipientObjectTask`3.InternalValidate()
    bei Microsoft.Exchange.Management.RecipientTasks.SetUserBase`3.InternalValidate()
    bei Microsoft.Exchange.Management.RecipientTasks.SetMailboxBase`3.InternalValidate()
    bei Microsoft.Exchange.Management.RecipientTasks.SetMailbox.InternalValidate()
    bei Microsoft.Exchange.Configuration.Tasks.Task.b__91_1()
    bei Microsoft.Exchange.Configuration.Tasks.Task.InvokeRetryableFunc(String funcName, Action func, Boolean terminatePipelineIfFailed)“.

    Reply

  9. Hab das schon mehrfach erfolgreich gemacht aber Exchnage 2016 CU17 macht Probleme:
    —-
    Fehler:
    Setup kann das Upgrade nicht fortsetzen, da „De.Group.Msx.Backend.DatabaseScan.Svc (10244), GDVSService64 (25116), powershell (13284)“ offene Dateien aufweist.
    — Server sind komplett rebootete und ich haben bisher noch nicht die Ursache gefunden. Ich wüsste niht welche Scrips dass ein könnten. Evt. funkt PRTG dazwischen.
    Hat jemand ne Idee?

    Reply

    • OK – bin weiter: das erste war die ID IQ.Suite von GBS und das zweite GDATA.
      Jetzt noch ich auf der Suche nach „powershell (13284)“ das offene Dateien ausweist.
      Und das war die Exchangeshell

      Reply

  10. Hallo,

    auch von mir vielen Dank für den Beitrag, der echt geholfen hat.
    Erfolgreich von CU „ganz alt“ auf CU16 aktualisiert.
    Ich hatte noch die Besonderheit den Dienst gpsvc über psexec – cmd vor der Installation zu stoppen, da es nur dem Systemkonto erlaubt war und die erste Installation dabei abbrach.
    Nun ist alles gut.

    Also vielen Dank und beste Grüße

    Reply

  11. Guten Morgen,
    super Anleitung. Vielen Dank dafür.
    Aktuell planen wir die Installation von Exchange 2016 CU13
    Ist es gefahrlos möglich von CU11 auf CU13 upzudaten?
    Vielen Dank und Grüße

    Reply

    • Hi Timo,

      jedes CU ist eine komplette Exchange Installation. Von daher – Ja es ist gefahrlos möglich.
      Bedenke die Exit-Strategie falls widererwarten etwas schief geht
      Gruß, Chris

      Reply

  13. Hallo Frank,
    erstmal wieder vielen Dank für den Artikel, wie immer sehr übersichtlich und hilfreich. Jetzt meine Frage: Exchange-Server haben ja die Neigung, nach einem Neustart ewig zu brauchen, bis sie wieder da sind; ich habe eben CU12 installiert, das sah folgendermaßen aus: Windows-Updates -> Neustart. Runtimes und .NET471 -> Neustart. Excahnge CU12 -> Neustart. Gibt es eine Möglichkeit, diese Neustart-Orgie gefahrlos auf einen Neustart „einzudampfen“ oder besteht da keine Chance?
    Viele Grüße,
    Michael

    Reply

    • Hi Michael,
      die Upgrade-Routine des CU sagt dir, ob ein Neustart aussteht in Folge von Updates und man kann das Upgrade nicht durchführen bis dieser durchgeführt wurde. Von daher eher weniger die Chance.
      Gruß, Chris

      Reply

  14. Hallo zusammen,

    wir hängen mit unseren CUs auf unserem 2016 Exchange Server leider hinterher. Hat evtl. noch jemand das CU5 zufällig in der Schublade liegen? Der Microsoft Support reagiert nicht auf meine Nachfragen…

    Wir haben das Problem, dass unsere MA beim Starten von Outlook, außerhalb des Firmennetzes, nach dem Benutzerdaten gefragt werden und ich vermute das Problem liegt zwischen dem Exchange Server CU Stand und der lokalen Office 2016/O365 Installation.
    Kann mir hier jemand weiterhelfen?

    Gruß Björn

    Reply
  15. Pingback: HowTo: Install Exchange 2016 CU11 on Server 2016 - Frankys Web

  16. Update von der shell (CU5 -> CU9)
    setup /m:upgrade /IAcceptExchangeServerLicenseTerms
    hat überhaupt nicht geklappt – es kamen unmengen Fehlermeldungen – Scripte nicht gefunden…

    Setup per Doppelklick vom Explorer ging dann ohne Probleme.
    Als dann das Update dem Ende zuging und die Dienste wieder gestartet wurden, ist das Update schiefgegangen, weil die Dienste nicht gestartet werden konnten. Dienste waren alle deaktiviert und das Update kam damit dann nicht zurecht.
    Per powershell dann alle Exchange Dienste auf Automatisch gesetzt und das Update ist dann durchgelaufen.

    Reply

  17. Hallo Frank,

    Vorab danke für diese ausführliche Beschreibung zur Vorgehensweise eines CU Updates. TOP!

    Versuche mich als Anfänger in meiner LAB Umgebung meinen Exchange Server 2016 auf das aktuelle CU zu heben.
    Leider bekomme ich immer folgende Fehlermeldung beim PS Befehl „setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms“ :

    # O15# 2844081 – Create PartnerApplication „Exchange Online“ in DC and On-Premise

    vermute dieser Abschnitt beschreibt den Fehler genauer:

    „Microsoft.Exchange.Data.Directory.ADObjectAlreadyExistsException: Fehler bei Active Directory-Vorgang mit
    dc.xy.com. Das Objekt ‚CN=Exchange Online-ApplicationAccount,CN=Users,DC=xy,DC=com‘ ist bereits vorhanden. —>
    System.DirectoryServices.Protocols.DirectoryOperationException: Das Objekt ist vorhanden.

    Mein LAB besteht aus einem DC und einem Exchange Server. Wobei der DC sich mit Azure AD synchronisiert.

    Bin für jede Unterstützung dankbar.
    Gruss, Markus

    Reply
  18. Pingback: Exchange Server: New updates (October 2018) - Frankys Web

  19. Hallöchen!
    Wir haben hier einen neu aufgesetzten Windows Server 2016 Standard, auf welchem wir eine Neuinstallation von Exchange 2016 Standard CU10 machen wollen. Leider bekommen wir immer den Fehler:

    Für die Active Directory-Gesamtstruktur-Funktionsebene in der Organisation muss ein Upgrade auf Windows Server 2008 R2 oder höher durchgeführt werden.

    DC ist ein Server 2016. Funktionsebene ist 2008 R2. In diesem Netz war bisher noch kein Exchange Server installiert. Ansonsten ist das Netz klein und unkompliziert. Keine weitere Domäne oder sonstwas…. hat jemand eine Idee?

    Reply

    • Hallo Rudolf,
      die Active Directory-Gesamtstruktur-Funktionsebene muss ebenfalls mindestens Server 2008 R2 sein, du hast wahrscheinlich nur das Domänen Funktionslevel geprüft.
      Gruß,
      Frank

      Reply

  20. Hallo zusammen,

    wir sind aktuell auf CU4 bei unserem Exchange Server 2016, wenn ich es richtig verstanden habe muss ich erst auf CU5 wegen der .net Abhängigkeit – leider ist das CU5 nirgends zu finden – wie kommt man hier weiter?
    Danke und Gruß
    Steffan

    Reply

  22. Frank,
    vielen lieben Dank für die sehr schöne Anleitung.
    Ich kann bestätigen, dass ich soeben erfolgreich einen CU2 direkt auf eine CU9 geupdated habe. Auf dem CU2 lief bereits Net2.7.1!
    BG Stephen

    Reply

  23. Hey zusammen,

    erst einmal vielen Dank! Mit dieser Anleitung hat das Update von CU6 auf CU9 soweit reibungslos geklappt. Wir haben seit dem Update nur ein kosmetisches Problem, welches an anderer Stelle schwerwiegende Folgen hat. Wir betreiben ein Active Directory mit einer Root-Domäne und einer Sub-Domäne in der dann alle User, Server etc. sind. Wird ein öffentlicher Ordner Email-Aktiviert, wird das dazugehörige Objekt im AD in die OU „Microsoft Exchange System Objects“ abgelegt. Seit dem Update macht das unsere Exchange DAG jedoch nicht mehr in der Sub-Domain wie zuvor, sondern in der Root-Domain, was zur Folge hat, dass z.B. unser Mailserver Email-Aktivierte öffentliche Ordner in seinem Such-Suffix der Subdomain nicht mehr findet.

    Also unsere Frage: Weiß jemand, wie wir unseren Exchange-Servern wieder klar machen, dass sie die Exchange-Objecte im AD nicht in der Root- sondern in der Sub-Domäne anlegen sollen?

    Beste Grüße,

    Sebastian

    Reply

  25. Hallo und guten Abend,

    ich habe eine Frage…die ich schon einmal bei der Installation von Exchange 2013 hatte. Ich weiß nur nicht mehr wie ich den Fehler behoben hatte.

    Und zwar kann ich finde ich in der „Zertifikatsregistrierung“ nur ein Zertifkatstyp den ich registrieren könnte. Alle anderen erstellten kann ich mir zwar anzeigen lassen…aber sie mangels Berechtigung nicht auswählen. Ich bin als Dömänadmin angemeldet und habe dementsprechend auch im Vorfeld auch Vollzugriff gestattet.

    Was kann ich da tun?
    Danke und Liebe Grüße
    Gysbert

    Reply

    • Hallo Gysbert,
      du kannst der Gruppe „Exchanage Trusted Subsystem“ die Rechte „Lesen“ und „Registrieren“ für die Zertifikatsvorlage geben. Alternativ muss das Computer Konto des Exchange Servers diese Rechte haben.

      Gruß,
      Frank

      Reply

  26. Hallo,

    Ich habe heute versucht ein Update von Exchange CU5 auf CU9 zu machen. Lief auch fehlerfrei laut Setup durch. Nun startet allerdings Exchange nicht mehr. Fast alle dienste stehen auf „wird gestartet“ und der Information Store auf „wird beendet“. hab bereits mal ne Weile gewartet und auch 2x neu gestartet ohne Effekt.
    Hat jemand das Problem schon mal gehabt und kann helfen?
    Fehlermeldungen aus der Ereignisanzeige kann ich gern nachliefern. Aber vielleicht ist es ja ein generelles Problem.

    Vielen Dank für Hilfe!

    Reply

  27. Kurze Rückmeldung: Umsetzung CU2 direkt zu CU8 gemäß Anleitung von Frank hat in der Teststellung und danach auch im Produktivsystem geklappt. (Installationszeit mit Neustarts und anschliessender Prüfung der Logs ca. 1-2h)

    Reply

  28. Sagen wir es mal so, wir sammeln gerade fleißig CUs (u.a. CU4) in unserer Firma und könnten MS Download Center 2.0 spielen ;)

    Reply

    • Vielen Dank Sebastian, für das Angebot des MSDC 2.0, das ich auch gern annehme.

      Ich will noch vorher den direkten Weg, den Franky beschreibt, in einer Teststellung probieren.
      Wenn der fehlschlägt, würde ich gern als letze Möglichkeit bei dir/euch downloaden.

      Trotzdem vielen Dank im voraus für das Super Angebot :)

      Reply

  30. Hallo Frank,

    erstmal vielen Dank das es Dich und deine Seite gibt. Seit Jahren bist du eine zuverlässige Quelle die ich vor Installationen oder Migrationen anzapfe. Vielen Dank dafür.

    Jetzt zu meinem Problem:
    Ich habe hier eine Exchange 2016 CU2 Installation die ich nach CU8 bringen möchte. Soweit ich mich belesen habe, sollte ich zuerst den Zwischenschritt mit CU4 machen, um dann anschließend auf CU8 zu aktualisieren (wegen der .NET Version).
    Jetzt suche ich schon seit zwei Tagen nach einem alternativen Download zu Exchange 2016 CU4, da das CU4 bei MS nicht mehr zur Verfügung steht, kann aber keinen finden.

    Vielleicht kannst du oder einer der Mitlesenden mir helfen?

    Gruß Jens

    Reply

  31. Hallo Frank,

    jetzt habe ich ein anderes Problem :(
    Message:Auf allen Exchange 2013-Servern in der Organisation muss Exchange 2013, kumulatives Update 10 oder höher, installiert sein. Die folgenden Server erfüllen diese Anforderung nicht: EXGA01.]

    Hier ist Exchange 2013 CU6 installiert

    Wahrscheinlich wird mir das helfen:
    https://www.frankysweb.de/exchange-2013-stolperstein-beim-update-einer-alten-version-auf-das-aktuelle-cu/

    Wenn ich kurz zusammenfasse:
    Ich schiebe den EXGA01 auf CU19 hoch. Installieren den EXGA02 mit Exchange 2016 und schalte die in DAG. Danach kann ich das EXGA01 von CU19 auf Exchange 2016 updaten.

    Bin ich auf dem richtigen Weg?

    Reply

    • Hallo Eugen,
      ich glaube du hast dich etwas verlaufen, du kannst nicht Exchange 2013 und Exchange 2016 in einer DAG „mischen“. Ebenfalls kannst du keinen Exchange 2013 Server auf Exchange 2016 aktualisieren. Ich würde dir wärmstens empfehlen, die Migration in einer Testumgebung nachzustellen. SO einfach wie du dies dir scheinbar vorstellst, wird es nicht werden.
      Gruß, Frank

      Reply

  32. Hallo Frank,
    ok danke für den Tipp.

    Ich habe an einem Standort AD mit EX2013 am laufen
    Jetzt habe ich am zweiten Standort ein AD aufgesetzt und versuche EX2016 zu installieren.
    Um danach das ganze als DAG laufen zu lassen und am ersten Standort auf EX2016 zu aktualisieren.

    Und da kommen diese Fehler raus.

    Reply

  33. Ich komme einfach nicht weiter :(
    bekomme bei der /PrepareSchema /IAcceptExchangeServerLicenseTerms folgende Fehler:

    Das Active Directory-Schema ist nicht aktuell, und dieses Benutzerkonto ist kein Mitglied der Gruppe ‚Schema-Admins‘
    und/oder ‚Organisations-Admins‘.
    ( Aber der User mit dem ich das mache, hat diese Rechte)

    Problem beim Überprüfen des Status von Active Directory: Es wurden keine Exchange-Objekte auf Organisationsebene
    erstellt. Diese Objekte können nicht während der Installation erstellt werden, weil sich der lokale Computer nicht in
    derselben Domäne und nicht im selben Standort wie der Schemamaster befindet. Führen Sie Setup mit dem Parameter
    ‚/prepareAD‘ auf einem Computer in der Domäne ‚XXXX‘ und im Standort ‚XXXX‘ aus, und warten Sie auf den Abschluss
    der Replikation.

    Die Gesamtstrukturfunktionsebene der aktuellen Active Directory-Gesamtstruktur ist nicht der einheitliche Modus von
    Windows Server 2003 oder höher. Wenn Sie Exchange Server 2016 installieren möchten, muss die
    Gesamtstrukturfunktionsebene mindestens den einheitlichen Modus von Windows Server 2003 aufweisen.

    Verbindung zum AD steht, die Gesamtstrukturebene ist 2008 R2

    Reply

    • Hallo Eugen,
      schau mal auf diesen Teil der Fehlermeldung:
      „weil sich der lokale Computer nicht in derselben Domäne und nicht im selben Standort wie der Schemamaster befindet. Führen Sie Setup mit dem Parameter
      ‚/prepareAD‘ auf einem Computer in der Domäne ‚XXXX‘ und im Standort ‚XXXX‘ aus, und warten Sie auf den Abschluss der Replikation.“

      Der Befehl „netdom query fsmo“ liefert dir die Inhaber der FSMO Rollen. Exchange setzt einen schreibbaren DC am eigenen AD-Standort voraus. Unter dem folgenden Link findest du alle Voraussetzungen hinsichtlich Exchange 2016 und AD:
      https://technet.microsoft.com/de-de/library/bb123715(v=exchg.160).aspx
      Gruß,
      Frank
      PS: Ich denke du führst hier eine Erstinstallation durch und kein Update, oder?

      Reply

  34. Meinst du ein Upgrade von 2013 nach 2016? dann auf keinen Fall das hat mit dem kumulativen nichts zu tun, dafür hat Franky ein eigenes How To.

    Ein Cu Update beim 2013 geht im Prinzip genauso wie beim 2016.

    Reply

  36. Moin, nur mal eben ein kurzes „Danke“ von einem AD’ler, der via Google hier gelandet ist, weil er Infos zur separaten Ausführung des Schema-Updates gesucht und gefunden hat. :-)

    Reply

  37. Hallo,
    Frank, danke für die super Anleitung.
    Hat alles prima funktioniert. In ca. 2 Std war meine Firma wieder „Online“. Dachte ich zumindest…
    Leider dieser CU7 blockiert jetzt den Versand von Terminen und zwar „nach Außen“.
    User die sich nicht in der Domäne befinden bekommen eine Email mit dem Anhang:
    „not supported calendar message.ics“
    Kann mir jemand Helfen?
    Danke im Voraus.
    Andreas

    Reply

  38. Hallo,

    das ist das 3te cu was ich installiert habe und der Server benötigte immer etwa 3h. Gut, die Hardware ist 5 Jahre alt aber nach MS absolut OK.

    Danke für den Blog, er hat mir oft geholfen!

    Frank

    Reply

  39. Hi,
    ich hatte die Installation vom CU6 per cmd gestartet und dieses ist fehlgeschlagen.

    Ich muss zugeben, ich habe auch nicht richtig die erste Zeile gelesen, dort stand:
    „Microsoft Exchange Server 2016 Cumulative Update 4 Unattended Setup“ und nicht „Microsoft Exchange Server 2016 Cumulative Update 6 Unattended Setup“

    Das Problem war, ich habe das Image gemountet und dann die Installation so gestartet:
    PS E:\> setup /m:upgrade /IAcceptExchangeServerLicenseTerms

    Dieses schlägt dann fehl, das Script muss so gestartet werden:
    PS E:\> .\setup /m:upgrade /IAcceptExchangeServerLicenseTerms
    ! Wichtig ist das .\ vor dem setup

    @Frank, evtl. kannst du das noch oben einfügen.

    Grüße
    Tobias

    Reply

  42. @Manuel
    Weiß nicht ob sich das Thema schon erledigt hat. Aber mit
    Get-mailbox | set-mailbox -UseDatabaseQuotaDefaults:$False
    bekommst du es weg

    Reply

  43. Moin Frank,
    danke für die super Anleitung.

    Allerdings hätte ich noch eine Frage bzgl. der Installation der Microsoft Updates in einer Exchange 2016 DAG unter Windows 2016 Server.
    – Können bzw. sollten diese mittels des CAU (Cluster Aware Update) installiert werden?
    – Hast Du hierfür eine Anleitung bzw. Tipps?
    Danke und viele Grüße
    Thomas

    Reply

    • Hallo Thomas,

      klare Antwort NEIN! Da die Clusterdienste zwar installiert sind aber nicht im vollem Umfang. Es gibt ein Script um einen DAG Knoten in Maintenance zu versetzen danach ganz normal windowsupdates installieren reboot und per Script wieder aus dem Maintenance Mode holen. Einfach mal Googeln weiß nicht ob frank hier externe Links erlaubt :)

      Gruß

      Reply

  44. Sorry, die Warnung kommt, wenn ich beim Benutzer das Postfach bearbeite und eine neue / zusätzliche E-Mail-Adresse hinzufüge

    Reply

  45. Moin Frank,
    habe CU5 frisch installiert und beim Anlegen von Postfächern bekomme ich die Warnung „Aktualisieren Sie „UseDatabaseQuotaDefaults“ auf „false“, damit Postfachkontingente gültig werden.“ Hast Du eine Idee?
    Danke und Grüße

    Reply

  47. Hi Frank,

    zur Info, in Umgebungen mit Veeam sollten die Leute warten bis 9.5 U2 draußen ist. Da seit CU5 kein Single Item Restore mehr möglich ist. Veeam ist der Fehler bekannt und wird mit U2 behoben. Microsoft hat, laut Veeam Support, am internen Datenbankformat etwas geändert was den Fehler hervorruft.

    Reply

    • Hi,
      stimmt, habe es gerade einmal ausprobiert mit Exchange 2016 CU5 und Veeam 9.5 U1 funktioniert bei mir auch der Single Item Restore nicht mehr. Im „Veeam Explorer for Exchange“ kann ich die Datenbank nicht mehr laden, daher ist auch via Veeam kein Export in eine PST mehr möglich. Hast du dieses Verhalten auch? Vielen Dank für den Hinweis, werde da gleich mal einen kurzen Artikel zu schreiben.
      Gruß, Frank

      Reply

  48. Moin Franky,
    um den Guide perfekt zu machen könntest du noch den Einzeiler einfügen womit man überprüfen kann ob es noch eingebundene Datenbanken gibt:
    Get-MailboxDatabaseCopyStatus -Server EX2016-1 | Where {$_.Status -eq „Mounted“}

    Ich nutze seit geraumer Zeit bereits das Script aus der Technet. Macht das patchen noch einfacher und funktioniert auch für EX2016:
    https://gallery.technet.microsoft.com/office/Exchange-Server-2013-ff6c942f

    Gruß
    Christian

    Reply

  49. Was ist denn aus den UM Sprachfiles geworden? Müssen diese vor einem Update weiterhin deinstalliert werden? Oder gibt’s das so nicht mehr?

    Reply

    • Hi Ulrich,
      danke für den Hinweis und Schande auf meint Haupt! Die UM-Sprachpakete müssen vor der Installation des CUs deinstalliert werden und die passende Version nach dem CU wieder installiert werden (wenn sie benötigt werden). Ich habe den Artikel entsprechend angepasst!
      Gruß, Frank

      Reply

    • Super Anleitung, besonders was die DAG Update Installation betrifft! Danke.
      Trotzdem hat es bei uns leider nicht geklappt. Wir scheinen eine „unsupportete“ Umgebung zu haben und scheitern (bisher) an der Abfrage des OS. Wir haben einen Exchange Server 2016 (dzt. CU11) auf einem Windows Server 2019 (Version 1809) in einer Hyper-V Umgebung laufen, was augenscheinlich nicht supportet zu sein scheint. Ich komme jedenfalls bisher nicht über die Abfrage der Windows Version weiter. Gibt es da eine Möglichkeit z. B. Setup mit einem Parameter zu starten, dass die OS Abfrage nicht ausgeführt wird?
      Das Problem ist nämlich, dass für die aktuelle Bedrohung kein Patch für das CU 11 zur Verfügung steht und somit ein Update auf CU19 zwingend scheint.
      Wenn möglich bitte um Hilfe

      Reply

      • Hi Bernhard, möglicherweise haut es auch wegen der .Net Framework Version nicht hin. Wir haben gerade auf einem Server von zweien den Sprung von Ex 2016 (auf einem Win 2016) CU 14 auf CU 19 gemacht. Wenn mich nicht alles täuscht, kann man ab der CU 14 .Net 4.8 installieren und ohne Schemaupgrade auf die CU 19 springen. Da bei euch die Installation von 2016 CU11 auf dem Server 2019 geklappt hat, vermute ich einen Fehler in den Voraussetzungen für die CUs.

        Reply

      • Moin Bernhard,
        wir haben auch versucht Exchange 2016 CU18 auf Windows Server 2019 zu installieren. Das hat auch nicht geklappt. Ich rate davon ab, dann lieber ein Lizenz Downgrade auf Windows Server 2016 und den Exchange in einer supporteten Umgebung betreiben.

        Reply

Leave a Comment