Exchange Extended Protection aktivieren

Rss

Das kommende kumulative Update 14 für Exchange Server 2019 wird aller Voraussicht nach die sog. Extended Protection für HTTPS-Zugriffe zwangsweise aktivieren. Da die automatische Aktivierung während der CU-Installation nicht ohne Risiko ist, möchte ich mich MVP Jeff Guillet anschließen und empfehle die Aktivierung der Extended Protection vor der Installation des kumulativen Updates.

Ziel der Extended Protection ist die Unterbindung eines Authentifizierungs-Relays, um Man-in-the-Middle-Angriffe zu unterbinden. Diese Funktion steht bereits seit Exchange Server 2013 CU23, Exchange Server 2016 CU22 oder Exchange Server 2019 CU11 mit Security Update August 2022 unterstützt. Da die Aktivierung einige Voraussetzungen bzw. Einschränkungen mit sich bringt, wurde die Funktion eher zögerlich in Betrieb genommen.

Die Voraussetzungen für Extended Protection sind:

  • SSL-Offloading muss auf allen Exchange-Servern deaktiviert werden
  • Clients sollten NTLMv2 anstelle von NTLMv1 verwenden
    • Empfehlung: Konfiguration von NTMLv2 per Active Directory Gruppenrichtlinie
    • Wenn NTLMv1 für Clients verwendet wird, führt die Aktivierung der Extended Protection zu einer zusätzlichen Kennwortaufforderungen auf der Client-Seite, ohne dass eine Möglichkeit besteht, sich erfolgreich gegenüber dem Exchange Server zu authentifizieren
  • TLS-Konfigurationen müssen auf allen Exchange-Servern innerhalb der Organisation einheitlich sein
    • Empfehlung: Einheitliche TLS-Konfiguration der Exchange Sevrer per Active Directory Gruppenrichtlinie für TLS 1.2 (Client und Server) und für .NET Framework
    • Für eine manuelle Konfiguration unterstützt das Skript: Set-TLS12.ps1
  • Software von Drittanbietern, die auf Ihrem Exchange-Server läuft, muss mit Extended Protection kompatibel sein
    • Stelle sicher, dass alle Produkte von Drittanbietern, die in der Exchange Server-Umgebung ausgeführt werden, getestet werden, um sicherzustellen, dass sie ordnungsgemäß funktionieren, wenn Extended Protection aktiviert ist
  • Extended Protection funktioniert nicht mit Hybrid-Servern, die eine Modern Hybrid-Konfiguration verwenden.
  • Die Extended Protection kann nicht auf Exchange Server 2013-Servern mit öffentlichen Ordnern in einer Koexistenzumgebung aktiviert werden
  • Die Extended Protection Schutz kann nicht auf Exchange Server 2016 CU22 oder Exchange Server 2019 CU11 oder älter aktiviert werden, die eine öffentliche Ordnerhierarchie hosten.

Wenn diese Voraussetzungen bei der Installation des kommenden kumulativen Updates nicht erfüllt sind, wird es nach der Installation und der automatischen Aktivierung zu Zugriffsproblemen kommen. Daher ist es zielführender, die Extended Protection vor der Installation des CU kontrolliert zu aktivieren, um bei eventuellen Problemen die Konfiguration nachzusteuern.

Die Aktivierung bzw. Deaktivierung der Extended Protection erfolgt mit Hilfe eines PowerShell-Skriptes aus dem CSS-Repository: ExchangeExtendedProtectionManagement.ps1

Links

Viel Spaß mit Exchange Server.

Kurz-URL | Short URL: https://granikos.eu/go/DpUz
Neue Suche
aka.ms/ehlo
Logo des Exchange Summit 2026, der am 24. & 25. Februar 2025 in Würzburg stattfindet. MIt Anmelde-URL: exchange-summit.de
Cover Microsoft Exchange Server Handbuch für Administratoren - 2. Auflage
Infografik für die ENow Mailscape 365 Überwachungssoftware

Kommentar verfassen

Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Inhalt entsperren
Mehr Informationen

Entdecke mehr von Granikos GmbH & Co. KG

Jetzt abonnieren, um weiterzulesen und auf das gesamte Archiv zuzugreifen.

Weiterlesen