Nach einem Jahr Pause gibt es nun wieder ein kumulatives Update für Exchange Server 2019 und nur für Exchange Server 2019. Denn Exchange Server 2016 befindet sich in der erweiterten Supportphase und erhält keine weitere kumulativen Updates und Exchange Server 2013 hat am 14. April 2023 das finale Supportende erreicht. Es lohnt sich also auf Exchange Server 2019 zu aktualisieren.
Mit dem kumulativen Update 2023 H1 (CU13) kommen zwei wichtige Neuerungen für Exchange Server 2019:
- Moderne Authentifizierung für Outlook für Desktop (Win32) für reine On-Premises Exchange Organisationen
Die Nutzung der modernen OAuth-Authentifizierung war bisher nur als Hybrid Modern Authentication (HMA) nutzbar und erforderte zwingend eine hybride Exchange Organisation. Mit diesem kumulativen Update wird nun die Implementierung der modernen Authentifizierung mit ADFS als Secure Token Service (STS) unterstützt.
Ziel dieser Unterstützung ist die Deaktivierung unsicherer Authentifizierungsverfahren, wie NTLM oder Kerberos beim Zugriff auf Exchange Server 2019.
Ähnlich Exchange Online beinhaltet Exchange Server 2019 CU13 Authentifizierungsrichtlinien (AuthPolicy), um ausgewählte Authentifizierungsmethoden zu blockieren. Diese Art der Blockierung ist einer Zugriffskontrolle des Client-Zugriffsprotkolls, z.B. POP3 oder IMAP4, per CASMailbox-Cmdlet vorzuziehen. Die Einstellungen per CASMailbox greifen immer erst nach bereits erfolgter Authentifizierung. - Sicherung individueller Exchange Einstellungen in Konfigurationsdateien (Preservation)
Die Installation eines neuen kumulativen Updates hat in der Vergangenheit individuelle Konfigurationen in config-Dateien, wie z.B. der OWA web.config, überschrieben. Manuelle Änderungen mussten nach einer CU-Installation immer wieder nachgezogen werden.
Die Setup-Routine des kumulativen Updates sichert ausgewählte Konfigurationen und versucht diese nach Abschluss der Installation wieder einzuspielen. Insgesamt werden mehr als siebzig Parameter in unterschiedlichen Konfigurationsdateien berücksichtigt.
Moderne Authentifizierung mit ADFS
Die Nutzung der modernen Authentifizierung (MA) mit Exchange Server 2019 und ADFS hat einige Betriebseinschränkungen.
- Als Outlook-Client ist im ersten Release nur Outlook für Windows (Win32) unterstützt und erfordert den Insider Channel für Outlook
- DIe Unterstützung für Outlook Mac, macOS & iOS Mail App und Android Mail App kommt später
- Das Windows Client-Betriebssystem muss Windows 11 22H2 sein und das März 2023 Update (KB5023706) muss installiert sein
- Die ADFS Farm muss Windows Server 2019 oder neuer sein
Die Aktivierung und der Rollout der modernen Authentifizierung können graduell durchgeführt werden. Somit kann MA mit ausgewählten Anwendern getestet werden, bevor ein unternehmensweiter Rollout durchgeführt wird.
Welche Voraussetzungen hat die Nutzung dieser Funktion an deine Exchange Organisation?
| Exchange Organisation | Moderne Authentifizierung nutzbar? | Anmerkungen |
|---|---|---|
| Es ist eine rein lokale Exchange Organisation, in der nur Exchange Server 2019 Systeme betrieben werden | Ja | |
| Es ist eine rein lokale Exchange Organisation, in der Exchange Server 2019, Exchange Server 2016 und Exchange Server 2013 Systeme betrieben werden | Nein | Exchange Server 2013 wird nicht mehr unterstützt -> Upgrade auf Exchange Server 2019 empfohlen |
| Es ist eine rein lokale Exchange Organisation, in der Exchange Server 2019 und Exchange Server 2016 Systeme betrieben werden | Ja | Es muss sichergestellt werden, dass nur Exchange Server 2019 Systeme als Front-End-Server (aka Client Access Server) genutzt werden |
| Es ist eine hybride Exchange Organisation, in der bereits Hybrid Modern Authentication (HMA) verwendet wird | Nein | Hybrid Modern Authentication in Kombination mit Azure AD ist die bessere Lösung |
| Es ist eine hybride Exchange Organisation, in der Hybrid Modern Authentication (HMA) nicht verwendet wird | Nein | Zur Nutzung der modernen Authentifizierung sollte Hybrid Modern Authentication eingeführt werden |
Die Konfiguration von MA mit ADFS und Outlook für Windows ist komplex. Sie erfordert nicht nur die korrekte Konfiguration von ADFS, sondern auch die Anpassung der Systemregistrierung für die Outlook Clients.
Aktuelle Informationen findest du hier: Enabling Modern Auth in Exchange On-Premises
Zurückspielen von Konfigurationen (Preservation)
Das Setup von Exchange Server protokolliert alle Aktionen einer Installation in der ExchangeSetup.log-Datei die du im Standardverzeichnis C:\ExchangeSetupLogs\ findest. Hierzu gehören auch eventuell notwendige Anpassungen der Konfigurationsdateien.
Beim Zurückspielen der Konfigurationen kann es aus ganz unterschiedlichen Gründen zu Fehlern kommen. Sollte das Setup nicht in der Lage sein, Anpassungen zurückzuspielen, wird dir dies am Ende des Installationsprozesses mit folgender Meldung angezeigt:
“Exchange setup couldn’t preserve some of the configurations during upgrade.”
Wichtig ist das Wort some, also einige.
In solch einem Fall hilft dir die ExchangeSetup.log-Datei weiter, um die betroffene(n) Datei(en) zu finden. Fehler können während des Lesens einer Konfiguration, als auch beim Schreiben einer Konfiguration auftreten. Du kannst folgende Fehlereinträge in der Protokolldatei finden:
- Exception encountered during reading config file: <configFileName>. Skipping preservation.
- Exception encountered during saving <Preservation cmdlet name> changes to: <configFileName>.
- Exception encountered during schema validation of config file: <configFileName>. Skipping preservation.
- <Preservation cmdlet name> failed for: <configFileName>
Die vom Setup gesicherten Konfiguration findest du im Verzeichnis V15/Config. Für die Installation werder Unterverzeichnisse im Schema v_<ExchangeVersion>_<TimeStamp> angelegt.
Sollte die Preservation-Funktion von Exchange Server 2019 CU13 in deiner Umgebung zu Problemen führen, so kannst du die Funktion über die Systemregistrierung deaktivieren. Erstelle hierzu in folgendem Pfad einen REG_SZ-Eintrag mit dem Namen DisablePreservation und dem Wert 1.
HKLM:\SOFTWARE\Microsoft\ExchangeServer\v15\Setup
Mit diesem Wert führt das Setup des kumulativen Updates keine Sicherung und Wiederherstellung der Konfigurationen durch.
Weitere Informationen zu dieser neuen Funktion findest du hier: Exchange Server Custom Configuration Preservation
Hinweis
Der Blogartikel der Produktgruppe verweist auf alle erforderlichen Schritte und wird, auf Basis von Kundenfeedback, laufend aktuell gehalten.
Im Labor- und Semi-Produktivbetrieb konnte ich keine negativen Auswirkungen durch die Installation feststellen. Da jede Exchange Server Umgebung anders ist, empfehle ich trotzdem die Installation in einer Testumgebung, bevor das kumulative Update in der produktiven Exchange Organisation ausgerollt wird.
Die aktuell unterstützten Exchange Server Versionen sind:
- Exchange Server 2019 CU13 (verpflichtend für hybride Exchange Organisationen)
- Exchange Server 2019 CU12
- Exchange Server 2016 CU23
Links
- Released: 2023 H1 Cumulative Update for Exchange Server
- Enabling Modern Auth in Exchange On-Premises
- Exchange Server Custom Configuration Preservation
Viel Spaß mit Exchange Server 2019.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
