The updates for Windows Server which were released on February 19, 2019 after the regular patchday are also important for Exchange Server running on Windows Server 2016. Specifically, it is about a problem that has existed since September 2018:
KB4457127 causes problems on DCs in connection with Exchange
KB4457127 causes problems with the Exchange address lists after installation on domain controllers, so it was previously advisable not to install the corresponding update on DCs:
The KB4487006 from 19.02.2019 now fixes this problem, here is an excerpt from the list of fixed problems:
Addresses an issue that may cause Microsoft Outlook to display the error, "The operation failed" when viewing the Microsoft Exchange Address Book. This issue occurs after installing KB4457127 on Active Directory domain controllers that utilize Microsoft Exchange. The error appears on Microsoft Outlook clients that use locales other than EN-US.
February 19, 2019-KB4487006 (OS Build 14393.2828)
Furthermore, KB4487006 allows limiting HTTP/2 settings frames that clients can send to the IIS web server. Attackers who exploit this vulnerability could drive up the CPU load on the IIS servers (and thus also Exchange servers) and thus overload the server to such an extent that it becomes unusable (DDoS).
However, KB4487006 does not fix the vulnerability in connection with HTTP/2 Settings Frames, but only offers the possibility to restrict the scenario by means of appropriate limits:
Define thresholds on the number of HTTP/2 Settings parameters exchanged over a connection
As no limits are set in the default setting and it is therefore still possible to drive the CPU load on Exchange servers to 100%, the question naturally arises as to which limits make sense here.
I can't answer this question at the moment either, as I don't have any relevant information.
I have used the following values for the sake of testing:
I took these values from the following Reddit thread (but these are guesses):
Microsoft publishes security alert on IIS bug that causes 100% CPU usage spikes
As soon as I have more information, I will update this article.
Hi Frank,
wir haben dieses Problem auf Windows Server 2019 (DCs und Exchange) mit Exchange 2019 CU8. Wir sind uns jetzt nicht sicher, ob es die Windows Server Updates im März waren (KB5000822 haben wir auf DCs, RDS Server und Exchange wieder deinstalliert, weil Sie vor allem auf der RDS Farm zu Dauerabstürzen geführt haben). Oder die Security Updates wegen dem aktuellen Hafnium Exchange Hack bzw. Update auf CU8 mit Schema und AD Update. Fehler ist erst hinterher aufgefallen. Der Fehler tritt im Outlook 2019 Online Modus auf, wenn man auf die GAL klickt und bei „Alle Benutzer“ und „Alle Gruppen“. „Alle Räume“ funktioniert. Outlook Clients im Cache Modus greifen ja aufs OAB zu, da kommt der Fehler nur bei „Alle Benutzer“ und „Alle Gruppen“. Im OWA zeigt er hier immer „Ihre Anforderung kann gerade nicht abgeschlossen werden. Versuchen Sie es später nochmal“. Auch neu angelegte Adresslisten haben den gleichen Fehler. GAL und Adresslisten können fehlerfrei geupdatet werden. OAB kann manuell runtergeladen werden am Outlook Client. Geht alles. Nur Zugriff auf GAL und Alle Benutzer/Gruppen geht gar nicht.
Folgende Updates haben wir bisher nicht ausgerollt, wegen der Probleme die gemeldet wurden zu den Updates:
KB5000822 – Server 2019
KB5000802 – Win 10
KB5000808 – Win 10
KB5000908 – Win 10
KB4589212 – Win 10
KB4589211 – Win 10
Wir warten hier den nächsten Patch Day ab, ob Updates ersetzt werden oder neue dazu kommen, die die neuen Fehler beheben.
Wir haben zudem OAuth zu M365 eingerichtet, um On-Prem Kalender in MS Teams nutzen zu können, aber keinen vollen Hybrid! Wir syncen unser AD mit dem AD Connect Tool.
Man kann im OWA unter „Alle Benutzer“ und „Alle Gruppen“ suchen und bekommt auch Ergebnisse. Gleiches gilt für die GAL in OWA.
In Outlook zeigt er bei „Alle Benutzer“ dann den letzten Benutzer in der Liste an, wo der Nachname mit „Z“ anfängt. Bei „Alle Gruppen“ zeigt er einen Teams Kanal an. Hierbei spielt es keine Rolle, was man in die Suche eingibt. Es kommen immer diese beiden Ergebnisse. Auch das etwas merkwürdig.
Ich habe aktuell keine Idee mehr, was es sein könnte oder in welche Richtung es geht. Alles was man bei Google findet bezieht sich auf diesen Patch bei Windows Server 2016 auf DCs. Da wir nur 2019er im Einsatz haben, ist das bei uns nicht der Fehler.
Exchange 2019 CU9 werden wir dann Anfang April installieren. Die noch offenen KBs denke ich Ende kommender Woche, wenn keine weiteren negativ Meldungen kommen, dass die Patches immer noch Probleme verursachen.
Hoffe, du hast noch eine Idee, woran es liegen könnte. Fehler in OWA tritt auch auf, wenn man OWA über localhost direkt auf dem Exchange öffnet (um Firewall, DNS etc. als Fehlerquelle weitestgehend auszuschließen).
Grüße, Christian
Hi Frank,
bist du mit den von dir angegebenen Werten gut gefahren. (Wir haben ein DAG Cluster mit zwei Knoten.)
Gibt es schon neuere Erfahrungswerte, Empfehlungen oder Hinweise zu Drittanbieter Software welche hier schon häufiger auffällig waren?
Gruß
Armin
Hi Frank,
kann es sein, dass deine HTTP/2 Werte vertauscht sind? Nach meinem Kenntnisstand sollte der MaxSettingsPerMinute-Wert höher sein als der MaxSettingsPerFrame-Wert. Bei deinen Werte (aus dem Reddit-Artikel) wäre es dann
MaxSettingsPerMinute = 3500
MaxSettingsPerFrame = 7
Grüße
Mac
Kann von dem Patch nur abraten. Danach startet bei mir WMSVC nichtmehr mit dem Fehler ISWMSVC_STARTUP_UNABLE_TO_ACTIVATE_HWC
Danke für die Klarstellung!
Hi!
Kommt denn KB4487006 über den WSUS (früher oder später) oder MUSS Ich das Paket manuell downloaden und installieren (das ich so oder so im Anschluss an die Installation wg der Registry-Einträge noch tätig werden muss, ist mir klar)?
Und BTW:
Bei der (erfolglosen) Suche nach einer Antwort auf die o.g. Frage bin ich auf der KB-Seite zu dem o.g. Patch auf folgenden Text gestoßen:
https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006
Windows Server 2016 Standard edition, Nano Server installation option and Windows Server 2016 Datacenter edition, Nano Server installation option reached end of service on October 9, 2018. These editions will no longer receive monthly security and quality updates that contain protection from the latest security threats. To continue receiving security and quality updates, Microsoft recommends updating to the latest version of Windows 10.
Ich war bislang der Meinung, dass die erste Ausgabe von Server 2016 LTSC ist und daher noch eine ganze Zeitlang mit Updates versorgt wird. Nun bin ich doch etwas unsicher…
Vielen Dank im Voraus!
TJ
das bezieht sich auf die Nano Server installation Option, siehe auch: https://support.microsoft.com/en-us/lifecycle/search?alpha=Windows%20Server%202016%20Standard