Exchange Server Cumulative Updates – September 2021

Die Exchange Produktgruppe hat neue kumulative Updates für Exchange Server 2016 und 2019 veröffentlicht.

Die CUs für Exchange Server 2016 und 2019 bringen zusätzliche Anforderungen an die Konfiguration mit sich.  Mit den aktuellen CUs wird der Exchange Emergency Mitigation Service (EEMS) für Exchange Server mit Postfachrolle eingeführt. Das IIS URL Rewriter-Modul ist hierzu eine Voraussetzung für die Installation des Updates. Nutzen Sie das Exchange Server Health Checker Skript, um Ihre Exchange Umgebung zu prüfen.

Die Aktualisierungen können hier heruntergeladen werden.

• Exchange Server 2016 CU22
  • Unified Messaging Language Packs
• Exchange Server 2019 CU11 

Das IIS URLRewriter Modul kann hier heruntergeladen werden:

• IIS Downloads – URL Rewrite
  • Automatische Installation
  • Manuelle Installation

Installiere Sie ebenfalls das aktuelle Update for Universal C Runtime in Windows, wenn Sie Exchange Server 2016 auf Windows Server 2012 R2 nutzen.

• Download Update for Universal C Runtime

Kein IAcceptExchangeServerLicenseTerms mehr

Das allseits geliebte IAcceptExchangeServerLicenseTerms ist Geschichte. Aber freuen wir uns nicht zu früh. Dieser Schalter für das Akzeptieren der Exchange Server Lizenzbedingungen wurde ersetzt durch die beiden folgenden Schalter:

• /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
• /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Mit Hilfe dieser beiden Optionen legen Sie fest, ob die EEMS Diagnose- und Telemtriedaten an Microsoft übermittelt werden sollen oder nicht.

Für die Installation oder Aktualisierung eines Exchange Server mit Edge Transport Rolle bleibt es weiterhin bei /IAcceptExchangeServerLicenseTerms. 
Korrektur 29. September 2021: Der finale Build erfordert auch auf der Edge Server Transport Rolle die neuen Kommandozeilenschalter.

Der neuen Schalter für das Akzeptieren der Lizenzbedingungen ist ebenfalls notwendig, wenn Sie die Schema- , Active Directory- oder Domain-Erweiterungen separt einspielen.

.\Setup.EXE /PrepareSchema /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.\Setup.EXE /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF.\Setup.EXE /PrepareAllDomains /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Der neue Kommandozeilenschalter wir ebenfalls für die Deinstallation von Exchange Server benötigt.

.\Setup.EXE /Mode:Uninstall /IAcceptExchangeServerLicenseTerms_DiagnosticData_OFF

URL Rewrite für Exchange Server?

Warum ist das IIS URL Rewrite-Modul auf einmal eine Installationsvoraussetzung für Exchange Server mit Postfachrolle? 

Mit den aktuellen kumulativen Updates wird Exchange Server um eine zusätzliche Schutzfunktion erweitert, um den Zugriffschutz weiter zu erhöhen. Exchange Server lädt automatisch Informationen zur Konfiguraton herunter und wendet diese an.

Der Exchange Emergency Mitigation Service nutzt das URL Rewrite Modul dazu, um in der Exchange Backend Website eine Filterregel zu erstellen.

Mitigations ein- oder ausschalten

Ob Sie die automatische Konfiguration zum Schutz verwendenden möchten, legen Sie mit Hilfe der Organisations- und Servereinstellungen fest. Die konfigurierten Mitigations werden stündlich überprüft und angewandt.

# Aktivierung von Exchange Mitigations auf OrganisationsebeneSet-OrganizationConfig -MitigationsEnabled:$true# Deaktivierung von Exchange Mitigations auf OrganisationsebenSet-OrganizationConfig -MitigationsEnabled:$false# Aktivierung von Exchange Mitigations auf ServerebeneSet-ExchangeServer -Identity EX02 -MitigationsEnabled:$true# Deaktivierung von Exchange Mitigations auf ServerebeneSet-ExchangeServer -Identity EX02 -MitigationsEnabled:$false

Die Änderungen dieser Einstellungen sind Bestandteil der Admin-AuditLog-Protokollierung.

Das Cmdlet Get-ExchangeServer liefert Ihnen Informationen über den aktuellen Stand der Mitigations.

# Abfrage der Mitigation für alle Exchange ServerGet-ExchangeServer | FL Name,Mitigations*Name               : EX02MitigationsEnabled : TrueMitigationsApplied : {M0.1, PING0}MitigationsBlocked :

Der Server-Parameter MitigationBlocked erlaubt die Konfiguration von Ausnahmen, die für einen bestimmten Server nicht angewandt werden sollen.

# Mitigation M0.1 als Maßnahme auf Server MS02 nicht anwendenSet-ExchangeServer -Identity MS02 -MitigationsBlocked @("M0.1")

Im Verzeichnis der Exchange-Skripte finden Sie ein PowerShell-Skript, um die Liste der verfügbaren Mitigations abzufragen.

cd $exscripts.\Get-Mitigations.ps1Server      : MX02Version     : Version 15.1 (Build 2375.6)ID          : M0.1Type        : UrlRewriteDescription : Block requests where http-cookie matches specific malicious pattern.Status      : AppliedServer      : MX02Version     : Version 15.1 (Build 2375.6)ID          : PING0Type        :Description : Mitigation invalid for this exchange version.Status      : Applied

Telemetriedaten

Die Konfiguration zur Übertragung von Telemetriedaten des MItigation Service erfolgt auf Serverebene.

# Deaktivierung der Übertragung von TelemetriedatenSet-ExchangeServer -Identity EX02 -DataCollectionEnabled:$false# Aktivierung der Übertragung von TelemetriedatenSet-ExchangeServer -Identity testms02 -DataCollectionEnabled:$true

Die Protokolldateien des Mitigation Service finden Sie im Verzeichnis MitigationService.

C:\Program Files\Microsoft\Exchange Server\V15\Logging\MitigationService

Links

• New security feature in September 2021 Cumulative Update for Exchange Server
• Released: September 2021 Quarterly Exchange Updates
• Exchange Server HealthChecker Script
• Exchange Emergency Mitigation (EM) Service
• Diagnostic Data collected for Exchange Server

Viel Spaß mit Exchange Server!0