Achtung: Nächstes Exchange CU aktiviert Extended Protection

Microsoft hat angekündigt, dass das nächste Exchange CU die Extended Protection (EP) für Exchange Server 2019 als Standardeinstellung aktivieren wird. Extended Protection wurde für Exchange 2016 und Exchange 2019 im August 2022 eingeführt und war bisher manuell zu aktivieren. Wer bisher die Extended Protection noch nicht aktiviert hat, muss aber ggf. mit der Installation des CU14 für Exchange 2019 aufpassen.

Für Exchange 2019 wird das CU14 die Extended Protection aktivieren. Wenn es mehrere Exchange Server und Loadbalancer oder Web Application Firewalls gibt, muss auf all dieses Komponenten das gleiche Zertifikat verwendet werden. Es reicht nicht aus, wenn das Zertifikat die gleichen Namen enthält, sondern es muss das identische Zertifikat auf allen Exchange Servern, Loadbalancern und WAFs verwendet werden, andernfalls wird Outlook keine Verbindung mit Exchange herstellen können.

Wenn Extended Protection nicht genutzt werden soll, muss es nach der Installation für Exchange 2019 manuell deaktiviert werden. Das Script zum Aktivieren und Deaktivieren von Extended Protection findet sich hier:

Es gibt noch weitere Fälle in denen Extended Protection nicht verwendet werden kann:

  • In der Exchange Organisation gibt es noch Exchange 2013 Server mit Öffentlichen Ordnern
  • Extended Protection funktioniert nicht auf Servern welche für Moderne Hybrid Konfiguration genutzt werden
  • SSL Offloading wird nicht unterstützt (SSL Briding nur mit identischen Zertifikat)

Am Besten wird Extended Protection vor der Installation von CU14 für Exchange 2019 getestet und aktiviert, die Fehlersuche wird möglicherweise sonst aufwändig. Microsoft gibt in dem oben verlinkten Artikel auch noch ein paar kleine Tipps zur Umsetzung:

Achtung: Nächstes Exchange CU aktiviert Extended Protection
Quelle: Exchange Team Blog

Exchange 2016 ist von dieser Änderung nicht betroffen, denn es wird kein neues CU mehr für Exchange 2016 geben. Für Exchange 2016 (und Exchange 2019) wurde nun aber HSTS offiziell unterstützt, darüber schreibe ich aber in einem separaten Artikel.

15 Gedanken zu „Achtung: Nächstes Exchange CU aktiviert Extended Protection“

  1. Hallo,

    wir haben CU14 am Sonntag installiert und haben seit dem das Phänomen, dass wir einen Login Promt Loop von Outlook bekommen.
    Wenn ich von außerhalb – ohne VPN – starte, dann läuft alles normal.

    Starte ich das VPN dann auch von außen.

    Jemand eine Idee?

    Als Autharten sind NTML und Nego aktiv.

    Antworten
  2. If you do want to opt-out, you’ll need to use the command-line version of Setup (to be documented at the later time). The GUI version opts-in automatically. If you use unattended Setup or scripts to deploy CUs today, you will need to modify them to add the new Setup parameter, only in case you want to opt out.

    –> https://techcommunity.microsoft.com/t5/exchange-team-blog/coming-soon-enabling-extended-protection-on-exchange-server-by/ba-p/3911849

    Antworten
  3. Funktioniert bei Euch OWA und ECP noch im Firefox mit integrierter Windows-Authentifizierung (via network.automatic-ntlm-auth.trusted-uris) wenn extended protection aktiviert ist? Bei uns nur noch in Chrome und Edge…

    Antworten
  4. Ich habe hier (einzelner EX2016, kein Hybrid) Extended Protection schon seit mehreren Monaten aktiviert, bisher keinerlei Probleme damit.

    Ob es aktiviert ist, zeigt einem der Health Checker.

    Antworten
  5. Ja, schön das die es immer noch nicht hinbekommen haben Modern Hybrid gescheit zu integrieren.
    Was sollen diese Leute nun machen? Gar nicht installieren? Wieder deaktivieren nach der Installation? Geht dann überhaupt noch was?

    Microsoft weiß nicht mehr was sie tun, weder On-Prem oder in der Cloud.

    Antworten
  6. Hallo!

    Betrifft mich nicht direkt, da noch auf EX2016, aber gleichwohl:
    Ich muss gestehen, das ich EP bislang noch nicht aktiviert habe, weil ich mir unsicher bin, ob das bei mir funktionieren wird.
    IST-Zustand: Ein eiziger EX2016-Server, kein Loadbalancer, Outlook-Anywhere wird bislang nicht genutzt, OWA und Autodiscover werden über die WAF einer Sophos-UTM veröffentlicht, auf dem EX-SRV und der UTM ist das selbe Zertifikat (Wildcard, falls das wichtig ist) installiert. EX ist in einer Hybrid-Stellung (Classic-Full), es gibt allerdings keine Postfächer in der Cloud, wir benötigen die Hybrid-Stellung „nur“ für die Kalender in MS-Teams.

    EP aktivieren?

    DANKE!

    Antworten
    • Wir haben einen Exchange 2019 (Kein Hybrid) mit einer Sophos UTM als WAF, keine Probleme mit EP. Einziger Stolperstein war, dass sich das LE-Zertifikat an der UTM einmal erneuert hatte nachdem das Scheduled Task auf dem Exchange für den Zertifikats-Import lief und somit ein Mismatch bestand. Das Scheduled Task läuft jetzt um 4 Uhr morgens, 1-2 Stunden nach der LE-Erneuerung an der UTM.

      Ich würde es mal an einem Samstag testen, im Worst Case kannst du die EP wieder deaktivieren per:
      .\ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestoreIISAppConfig“
      .\ExchangeExtendedProtectionManagement.ps1 -RollbackType „RestrictTypeEWSBackend“

      Antworten
    • Quote: „Wenn Extended Protection nicht genutzt werden soll, muss es nach der Installation für Exchange 2019 manuell deaktiviert werden. Das Script zum Aktivieren und Deaktivieren von Extended Protection findet sich hier: …“

      Ich hoffe das beantwortet deine Frage. :)

      Antworten

Schreibe einen Kommentar