Microsoft hat neue Sicherheitsupdates für Exchange Server 2016 und 2019 veröffentlicht. Die Updates beheben die folgenden Schwachstellen, welche alle als „Important“ markiert sind:
Hier geht es direkt zum Download der Updates:
Mit den November Sicherheitsupdates wird das Feature „Certificate signing of PowerShell serialization payload“ in der Standardeinstellung aktiviert. Vor der Installation des November Updates wird empfohlen, dass ExchangeServerAuth Zertifikat zu prüfen. Microsoft stellt dazu ein kleines Script bereit:
MonitorExchangeAuthCertificate.ps1
Falls das Zertifikat abgelaufen ist, hilft dieser Artikel weiter:
Besser diese Anleitung verwenden, dann werden auch die IIS Bindungen korrigiert:
https://www.alitajran.com/renew-microsoft-exchange-certificate/
Hallo zusammen,
bei uns sind zwei Exchangeserver (2016 & 2019) als eigenständige Mailboxserver im Einsatz. Durch Zufall ist aufgefallen, dass nach der problemlosen Installation des SU, der Befehl Search-Mailbox keine Pipe-Eingaben von Get-Mailbox mehr annimmt. Es kommt zu einem Fehler der besagt, dass Search-Mailbox keine Pipe-Eingaben unterstützt. Das SU wurde zuerst auf dem 2019er installiert und zwei Tage später auf dem 2016er. Vor der Installation des SU auf dem 2016er hat der Befehl noch die Pipe-Eingaben angenommen. Im Netz war letzte Woche noch nichts dazu zu finden.
Bekanntes verhalten, siehe: https://learn.microsoft.com/en-us/exchange/plan-and-deploy/post-installation-tasks/security-best-practices/exchange-serialization-payload-sign?view=exchserver-2019#january-2023-su-to-october-2023-su
Es kann zudem sein, dass bestimmte Befehle / Scripts nur noch funktionieren, wenn diese auf einem Mbx Server direkt in einer Admin Shell gestartet werden..
2x Exchange mit DAG ohne Probleme
Guten Morgen,
Exchange 2016 CU23 SU8 auf Server 2016, SU11 manuell runtergeladen, AV Lösung deaktiviert, Windows Update zuerst drüber gebügelt und dann den SU11, alles ohne Probleme.
Mein Erlebnis (Exchange 2019 (DE) auf Server 2019 Standard (De)
Hab erst den Fehler gemacht, dass das Update via Windows Update bezogen wurde.
Habe den Dienst gestoppt, das Update hatte aber schon gestartet. Dienste waren beendet
Neustart. Update ordentlich via elevated CMD gestartet… lief durch
Neustart
Es ging dann leider „nichts“. Dann noch Windows Updates. neustart
Leider immer noch nichts. w3svc Dienst wurde angemeckert usw…
Im Endeffekt waren es die Dienste, die teils nicht gestartet waren bzw. auch deaktiviert, was sie vorher nicht waren.
Das Script von Ali hat mir dann geholfen, weil ich nicht auswendig wusste, welche Dienste alles fehlen.
Aber ansonsten läuft es dennoch, wie es aussieht.
Exchange 2016 CU23 auf Server2012R2 Problemlos upgedatet.
ECP und OWA laufen einwandfrei
Alle Dienste starten ebenfalls.
Summa Summarum: alles grün!
Hat sich zum glück geklärt, bei dem Update hatte der Server nur die Bindung zum HTTPS Zertifikat verloren. Jetzt läuft alles wieder.
Hallo, ich habe gestern Abend auch das Update KB5032197 eingespielt. Leider geht bei mir nun der Zugriff auf Exchange, auch auf die Console nicht mehr. Hast Du noch einen Tipp?
Leider nach heute Nacht nach Update
2023-11 Servicing Stack Update für Windows Server 2016 für x64-basierte Systeme (KB5032391)
2023-11 Cumulative Update for Windows Server 2016 for x64-based Systems (KB5032197)
ist die Webseite nicht mehr erreichbar und leider kommen wir auch nicht mehr auf die Konsole.
In der Ereignis Anzeige steht
Bei der Verwendung der SSL-Konfiguration für den Endpunkt 0.0.0.0:444 ist ein Fehler aufgetreten. Der Fehlerstatuscode ist in den zurückgegebenen Daten enthalten.
Fehlermeldung in der Exchnage Konsole lautet:
AUSFÜHRLICH: Verbindung mit EEBIMAIL16.ee-bi.euscher.de wird hergestellt.
New-PSSession : [eebimail16.ee-bi.euscher.de] Beim Verbinden mit dem Remoteserver „eebimail16.ee-bi.euscher.de“ ist
folgender Fehler aufgetreten: Weitere Informationen finden Sie im Hilfethema „about_Remote_Troubleshooting“.
In Zeile:1 Zeichen:1
+ New-PSSession -ConnectionURI „$connectionUri“ -ConfigurationName Micr …
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : OpenError: (System.Manageme….RemoteRunspace:RemoteRunspace) [New-PSSession], PSRemotin
gTransportException
+ FullyQualifiedErrorId : -2144108477,PSSessionOpenFailed
Hoffe es kann jemand helfen.
DANKE
Vielleicht die Zertifikatsbindung aus dem Backend raus geflogen?
Kann über IIS wieder eingestellt werden und dann IIS reset
Viele Grüße aus Bielefeld nach Bielefeld ;)
Server 2016 / Exchange 2016 CU23
Manuelle Installation des Updates, danach alles OK. Dann wurde das Update nach einem Neustart wohl trotzdem nochmal über WSUS installiert (warum auch immer) und jetzt fehlt der Exchange Transport Dienst. Bin gerade dabei das Update zu deinstallieren, aber das wird wohl auf einen Restore der VM und Import der DB hinauslaufen.
Wider erwarten ist der MX nach der Deinstallation wieder in einem lauffähigen Zustand. Wenigstens etwas ^^
Nach Aktualisierung des Microsoft Exchange Server Auth Certificates hat das Update geklappt.
Hi Martin,
war das Zertifikat abgelaufen?
Ich würde meines gerne erneuern. Das ist zwar nicht abgelaufen aber KeySize passt nicht
und ich hätte gerne nen komplett grünen HealthCheck.
Nur bin ich mir nicht sicher wie ich das korrekt machen muss…
VG
Gero
Exchange 2019 auf Server 2022. Lief problemlos durch :)
Diverse Exchange Server 2016 CU23 /2019 CU13 ohne Probleme gepatcht.
Keine Probleme auf deutschem EX2016 CU23 auf Windows Server 2016.
Lief hier auf 5 x 2019 (inklusive DAG) problemlos durch. Hab nur noch nicht getestet, ob der queueviewer jetzt auch noch funktioniert.
Exchange 2019 CU13 – keine Probleme bei der Installation
Kein DAG aber normaler EX2016 CU23. Das Feature war bereits aktiviert bei uns.
Installation lief anstandslos durch. Bisher keine Probleme finden können.
Gruß
Hatten bislang noch nicht das Feature aktiviert, daher die frage jemand in einer DAG Exchange 2019 erfolgreich aktiv?
Zertifikate sind nicht abgelaufen.