Gestern wurde das CU13 für Exchange Server 2019 veröffentlicht. Das CU13 enthält alle bisherigen Sicherheitsupdates und bringt neue Features für Exchange Server 2019.
Hier kann das CU13 runtergeladen werden:
Das CU13 bringt endlich die Modern Authentication (OAuth 2.0) für On-Prem Exchange Server. Bisher war die Modern Authentication nur in Verbindung mit der Hybrid Konfiguration, also in Verbindung mit Office 365, nutzbar. Jetzt funktioniert es auch ohne Cloud Anbindung.
Ein weiteres wichtiges und sinnvolles Feature ist „Configuration Backup and restore“, bisher überschrieb die Installation des CUs mehrere Einstellungen, beispielsweise in der web.config oder in den XML-Dateien der Exchange Dienste. Das CU Setup legt nun Backups der Konfiguration an und wendet diese Einstellungen nach der Konfiguration auch wieder an. Welche Einstellungen dies genau betrifft, ist hier dokumentiert:
Exchange Server 2016 und Exchange 2013 bekommen keine CUs mehr. Exchange 20133 ist bereits „End-of-Support“ und Exchange 2016 befindet sich im Extended Support, erhält also nur noch Sicherheitsupdates, aber keine CUs mit neuen Features mehr. Hier einmal ein Überblick der derzeit unterstützen Exchange Versionen:
Source: Released: 2023 H1 Cumulative Update for Exchange Server
Einen Artikel zu Modern Authentication bereits ich vor und werde diesen in Kürze veröffentlichen.
Letzte Woche vorm Feiertag das CU-Update installiert – diese Woche bemerkt, dass die Performance der Outlook-Anbindung des Exchange-Servers seitdem grottig ist. Auf einmal benötigen Outlook-Clients im Online-Mode 2 Minuten+ zum starten, im Cached Mode geht das schnell aber die Suche ist extrem langsam. (Sowohl Outlook 2019, als auch 365)
Aktivieren/Deaktivieren der Exchange Extended Protection hat keinen Unterschied gemacht.
Deaktivieren von AMSI über Overwrite-Rule, bzw für MAPIoverHTTP und RPC in der web.config hat auch leider keinen Unterschied gemacht.
Ressourcen- und IOPS-Technisch besteht hier absolut kein Problem, weiß jemand woran es noch liegen könnte?
Beste Grüße
hallo welt
ist das CU13 wieder aus dem VLSC entfernt worden?
aktuell kann ich kein CU13 sehen, weder im ‚alten‘ noch im ’neuen‘ vlsc downloadcenter.
Das VLSC habe ich nicht kontrolliert, aber der öffentliche KB Link den Franky gepostet hat und der auch auf dem MS Blog steht funktioniert weiterhin. Das CU ist also nicht zurückgezogen worden. Im MS Blog ist auch immer noch ein Link zum VLSC vorhanden. Ich lade den auch immer über den allgemeinen Link, hat bisher problemlos geklappt.
vielen dank fuer diesen kommentar, es ist sicher gut gemeint gewesen. ich muss wohl weiter warten bis jemand die frage beantwortet. vielleicht habe ich auch die information verpasst, dass die CUs jetzt – wie frueher auch – nur im ms-donwloadcenter verfuegbar sind. zwischenzeitlich gab es die CUs ja ausschliesslich im VLSC! erinnert sich noch jemand daran? hat vielleicht sogar noch jemand die umstellungsmitteilung zum exklusiv-vlsc-download der CUs aufgehoben oder griffbereit warum es auf den VLSC-only-download umgestellt wurde?
OK, habe jetzt mal bei uns im M365 Admincenter unter Volumenlizenzen nachgesehen, dort werden mir auch nur die Downloads für CU10-12 angeboten. Keine Ahnung was MS da treibt. Spricht denn für dich was dagegen, den Download aus dem KB zu benutzen? Am Ende kommt ja die gleiche ISO bei raus und man spart sich sogar das anmelden am Portal.
vielen lieben dank fuer die antwort(bestaetigung)!
es spricht nichts dagegen, nur frage ich mich:
warum wird etwas offensichtlich falsches gepostet?
und ja, was treibt ms da? erst nur VLSC dann nicht mehr VLSC …
es stimmt mich ein wenig nachdenklich,
dass ich da der einzige sein soll dem das aufgefallen ist.
Ich hab grad nachgeschaut und bekomme CU10-CU13 im VLSC angeboten. War aber heute Vormittag noch nicht so.
Ich kann Norberts Aussage für den Downloadbereich des M365 Admincenters bestätigen, CU13 ist dort jetzt auch gelistet.
Auch ein Update von Exchange 2019 CU11 auf CU13 (unter Windows Server 2019) lief reibungslos.
Mal kurze Nachfrage – supports modern auth laut Beschreibung verstehe ich so das ja kann man aktivieren muss ich aber nicht (adfs ist ja nichts neues). Oder muss zwingend wenn meine Clients kein modern auth unterstützen dann die neue policy gebaut werden damit explizit sichergestellt ist das die keine default aktivierte modern auth erhalten?
https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019#create-organization-level-policy-to-block-modern-auth-by-default
Laut dem Blog Post und den Kommentaren darunter muss Modern Auth manuell aktiviert bzw. konfiguriert werden. Wir haben bei uns nur das Update installiert und unsere Outlooks unter Win 10 laufen noch ganz normal (die können ja kein Modern Auth)
Hat hier jemand einen KEMP Loadbalancer im Einsatz? Was muss man bei dem Dienst Exchange 2019 HTTPS Offload – API ändern? Hier spielt ja die Änderung mit dem Modern Auth mit rein oder? Weil Kemp sagt nach dem Update das dieser Dienst Offline ist?
Wie ist denn dein Virtual Service konfiguriert? Ich hab’s bisher mit kemp noch nicht im Einsatz, mangels falscher Clients.
Mein Problem hat nix mit dem OAuth zu tun. KEMP Loader bekommt auf der API Schnittstelle aus irgendeinem Grund ein 403 ?
Moin Frank,
würde mich auch über einen Artikel zur Modern Auth Freuen.
Hänge aktuell bei „New-AuthServer -Type ADFS -Name MyADFSServer -AuthMetadataUrl https:///FederationMetadata/2007-06/FederationMetadata.xml“ fest.
Die Fehlermeldung lautet: „Das Metadatendokument für die Authentifizierung kann nicht analysiert werden.“ ich tippe fast auf einen Bug seitens Microsoft.
Lg
Yannick
Da ist ein / zuviel.
Hallo Yannick,
habe genau das gleiche Problem wie Du (Umgebung mit Exchange 2016 und Exchange 2019).
Hast Du dafür inzwischen eine Lösung gefunden ?
Greetings,
Tobias
Habe soeben 2 Windows Server 2019 mit Exchange 2019 CU12 auf CU13 aktualisiert, lief ohne Probleme durch! :)
Greetings,
Holger
Die Installation auf einem aktuellem Windows Server 2019 war problemlos, es funktioniert alles was wir brauchen noch.
Hello,
Danke für die Info zum CU13. Bei uns, nur ein Server in VM, ging in den ersten Minuten out of office nicht… hat sich dann aber nach ca. 5min. gefangen. Die ersten Mails waren auch verdächtig lange im Postausgang… muss ich beobachten (hatten wir früher schon mal als die Ausnahmen im Defender noch nicht drin waren). Installation problemlos…
Gruß Thomas
Hello Frank,
heißt das, das ich das CU13 nur installieren sollte, wenn ich ein ADFS habe? Kann ich nur mit ADFS das CU13 installieren, da ich sonst keine modern Auth machen kann? Was passiert, wenn ich keine ADFS habe, aber eine Hybrid Umgebung, weil ich gerade migriere? Da ich noch Outlook 2013 Clients habe, ändert sich hier was? Wird ab CU 13 kein Basic mehr unterstützt?
Danke im Voraus für eine Antwort
Nein, Modern Auth gibt’s zusätzlich, aber nur für aktuelles Outlook auf Windows 11 22H2. Das muss auch separat konfiguriert werden, dass ist nicht per default an. Steht in diesem Artikel beschrieben: https://aka.ms/Exchange2019ModernAuth
Somit sollte mit dem CU13 alles laufen wie bisher, sofern deine Clients supported sind. Outlook 2013 ist laut der Matrix kompatibel, wenn das letzte SP drin ist. https://learn.microsoft.com/de-de/exchange/plan-and-deploy/supportability-matrix?view=exchserver-2019
hm …. aber laut Quelle:
To enable Modern auth in an on-premises Exchange environment, Active Directory Federation Services (ADFS) on Windows Server 2019 or later is required.
The Windows client must be Windows 11 22H2 or later and it must have the March 14, 2023 update installed.
Ja, und? Da steht, dass modern auth eben ADFS benötigt. Wenn man kein ADFS hat, kann man eben kein modern auth konfigurieren.
Modern Auth ohne ADFS gibt es schon länger. Setze ich seit 1 Jahr ein.
https://learn.microsoft.com/de-de/microsoft-365/enterprise/configure-exchange-server-for-hybrid-modern-authentication?view=o365-worldwide
Aber nicht für die Verbindung Outlook / On-Prem Exchange. Das ist erst mit CU13 rausgekommen und benötigt zwingend einen ADFS. (Und Outlook auf Win 11 22H2, was mMn ziemlicher Schwachsinn seitens MS ist.) Deine Anleitung ist wie der Name schon sagt für die Hybrid-Connection.
Beschwert sich bei Euch der HealthCheck auch, dass keine SUs mehr installiert sind obwohl es für CU13 keine gibt bzw. noch keine erforderlich sind?
Nach einem Tag gibt es bereits eine weitere Version vom Healthchecker: 23.05.04.2151 , da ist das korrigiert.
Naja soviele werden sich sicherlich jetzt keine zusätzliche adfs Struktur aufbauen. ;) insofern wird man auch mal abwarten bis die Anzahl der Clients etwas größer wird. Outlook auf Windows 11 22h2 schränkt das doch stark ein.
Wie sieht es mit Apple iOS devices aus?
Soll später kommen. Aktuell wie geschrieben, nur Outlook auf Windows 11 22H2.
Nachdem nächste Woche erst Patches released werden, lass ich mal etwas Wasser die Donau runterlaufen.
Ein Artikel zur Modern Authentication wäre wirklich interessant!
Hi Christop,
für Modern-Auth sind etliche Voraussetzungen Notwendig für WAP und ADFS. Wie das geht liest du hier:
https://asichel.de/2017/06/14/adfs-4-0-mit-exchange-2016-konfigurationsuebersicht/
Hallo Frank – vielen Dank für die Info. Wie immer top aktuell.
Interessant ist „ Das CU13 bringt endlich die Modern Authentication (OAuth 2.0) für On-Prem Exchange Server.“ könntest du hierzu vielleicht bitte einen Artikel verfassen. Das klingt Verdammt interessant.
Es gibt einen Artikel dazu: https://learn.microsoft.com/en-us/Exchange/plan-and-deploy/post-installation-tasks/enable-modern-auth-in-exchange-server-on-premises?view=exchserver-2019
Was genau fehlt Dir da?