Am 10. Januar, Patchday für diesen Monat, hat die Exchange Produktgruppe ein neues und wichtiges Sicherheitsupdate für Exchange Server 2013, 2016 und 2019 veröffentlicht.
Die folgende Grafik und der Link zum Blogartikel der Produktgruppe dienen der Referenz, sind aber nicht das eigentliche Thema dieses Artikels.
Exchange Server 2016 & Windows Server 2012R2
Die Installation des Sicherheitsupdates für Exchange Server 2016 auf einem Windows Server 2012R2 hält eine besondere Überraschung parat.
Nach der erfolgreichen Installation und einem Neustart des Servers starten die Exchange Dienste nicht und müssen manuell gestartet werden. Der Auslöser des Dilemmas ist ein Fehler beim ersten Start des Active Directory Topology Dienstes.
Auf den Systemen, die ich bisher gesehen habe, läuft dieser Dienst nach einer kurzen Zeit, da die Recovery-Einstellungen des Dienstes einen automatischen Neustart des Dienstes durchführen. Zu diesem Zeitpunkt sind jedoch alle anderen Exchange Server Dienste bereits in einen Startfehler gelaufen.
Die einfachste Variante, um die Kernkomponenten erst einmal wieder in Betrieb zu nehmen und sich um das Problem zu kümmern, ist der folgende PowerSHell-Einzeiler in einer administrativen PowerShell-Session
Get-Service MSExch* | Start-ServiceMit dieser Variante werden jedoch auch Dienste gestartet, für die ein manueller Start konfiguriert ist. Eine Alternative ist der folgende Befehl, um alle Dienste zu starten, deren Startart Automatisch ist, aber nicht laufen.
gwmi win32_service | Where-Object {$_.StartMode -eq 'Auto' -and $_.State -eq 'Stopped'} | Start-ServiceMVP Kollge Jeff Guillet hat hierzu einen Blogartikel veröffentlicht und zeigt, wie für dieses Problem einen Scheduled Task konfiguriert, der bei jedem System-Neustart nicht laufende Dienste startet.
Das Problem der nicht startenden Dienste ist leidlich und deutet meiner Meinung nach auf fehlende Tests und eine schlech funktionierende Qualitätssicherung bei der Entwicklung der Sicherheitsupdates. Ich halte der Produktgruppe durchaus zugute, dass sie nicht alle Exchange Server Implementierungsvarianten testen können. Das geschilderte Problem tritt jedoch nicht erst in komplexen Umgebungen auf, sondern bereits bei einer einfachen Einzelserver Installation.
Windows Server 2012R2 ist bis zum 10. Oktober 2023 ein unterstütztes Betriebssystem. Daher kann es auch keine Ausrede für einen nicht durchgeführten Test mit Exchange Server 2016 geben.
Die Zeit bis zum Ende des Supportzeitraumes von Exchange Server 2016 am 14. Oktober 2025 bleibt auf jeden Fall spannend. Mal sehen, welche Überraschungen zukünftige Sicherheitsupdates für uns bereithalten.
Links
Viel Spaß mit Exchange Server.
