Exchange Server: Neue Updates (Februar 2019)

Gerade wurden für alle unterstützen Exchange Server Versionen neue Updates veröffentlicht, welche auch die kritische Sicherheitslücke aus CVE-2018-8581 beheben. Die Updates sollten also möglichst zeitnah eingespielt werden, da für die genannte Lücke bereits seit längerem ein Exploit existiert.

Hier geht es direkt zum Download der Updates für Exchange 2010, 2013 und 2016:

Das CU1 für Exchange Server 2019 gibt es nicht zum öffentlichen Download, sondern nur via VLSC, Action Pack oder MyVisualStudio Download Center.

Hier gibt es weitere Informationen zu den Updates:

Aus dem Artikel geht auch hervor, dass nach der Installation des Updates das Passwort für den Computeraccount des Exchange Servers neu erstellt werden sollte:

After applying either the cumulative update or update rollup to a server, customers are advised to force a reset of the Exchange servers’ credentials stored in Active Directory. This can be accomplished using the Reset-ComputerMachinePassword cmdlet in PowerShell 5.1 or later. If PowerShell is not an option, netdom or Active Directory Users and Computers can also be used.

Des weiteren werden die Berechtigungen für Exchange Server im Active Directory geändert, bevor das Update installiert wird sollte also “setup /prepareAD” ausgeführt werden. Diesen Schritt erledigt das Setup allerdings auch automatisch. In größeren Active Directory Umgebungen, sollte der Befehl jedoch manuell ausgeführt und die Replikation des Active Directory abgewartet werden.

Außerdem ist der folgende Hinweis wichtig, wenn ein Update der Edge Rolle durchgeführt wird:

To avoid a setup failure, it is necessary to install the Visual C++ 2012 runtime before installing Cumulative Update 22 or Cumulative Update 12 on Edge role if not already present.

Da es durch CVE-2018-8581 zu Änderungen an der EWS API kommt, sollten alle Programme und Dienste, die auf EWS zugreifen sorgfältig getestet werden, es ist nicht auszuschließen, dass es zu Problemen mit Programmen anderer Hersteller kommen kann.

Exchange Server: Neue Updates (Februar 2019)

78 Kommentare zu “Exchange Server: Neue Updates (Februar 2019)”

  1. Moin zusammen,
    hat einer von euch heute bereits das CU 12 für Exchange 2016 installiert?

    Ist es eigentlich empfehlenswert erst das OS mit den monatlichen Patches zu versorgen oder ist die Reihenfolge egal?

    Danke und beste Grüße
    Bent

    1. Die Microsoft Exchange Leute schrieben mal, dass die die CUs immer auf aktuell gepatchten Systemen testen. Ich würde daher immer zuerst die aktuellen OS Updates installieren, so denn die Infos zum Exchange Update keine speziellen Handlungen notwendig machen.
      Der dadurch notwendige Neustart ist für die dann folgende Exchange Installation auch nie verkehrt.

  2. Hat schon mal jemand so ein Password Reset bei einem Exchange Server gemacht? Ich hatte schon 2 Fälle erlebt, wo der Exchange Server die Vertrauensstellung zur Domäne verloren hat, dass ist echt kein Spaß das wieder gerade zu biegen.

      1. Hallo Markus,
        mit welcher Variante hast Du den Password Reset durchgeführt?
        Ich habe die gleichen Befürchtungen wie Sebastian.

        1. Hallo Michael,

          Ich hab die Powershell Variante benutzt: Reset-ComputerMachinePassword

          Muss dazu sagen, ich selbst war überlegen ob ich das noch machen soll oder nicht, aber da es nachts war. hab ich es noch getan. So hätte ich bis heute morgen Zeit gehabt um evtl. Probleme zu reparieren…

          Ich auch keine große AD Umgebung (3 DCs, 1 Exchange mit ca 300 Postfächern, 1 Domäne), auf dem Exchange selbst läuft noch ESET.

    1. In einer DAG stelle ich mir das auch problematisch vor. Die schreiben auch nicht, ob der Server da besser im Maintenance Mode ist oder nicht.

      1. Hallo,

        wie lautet dann die Reset-ComputerMachinePassword Zeile?

        Reset-ComputerMachinePassword (fuer den Exhange server)

        oder

        Reset-ComputerMachinePassword -Server „NameDesExchServers“ -Credential Domain\Admin

        Wenn ich Reset-ComputerMachinePassword eingebe ist damit der user Administrator bzw. default admin account gemeint oder sollte ich alles manuell eingeben?

        Danke

        Willy

  3. Schade, leider immer noch kein Support für Server 2019. Sowohl das Host-System, als auch der Domänencontroller. Oder hat jemand andere Infos?

  4. Moin,

    ich kann mir die Antwort zwar denken, aber ich frage dennoch vorher:
    Funktioniert nach dem Update und den Reset Popcon noch? Es werden zusätzliche Postfächer (leider) noch hierüber abgerufen. Popcon greift nicht auf die EWS-API zu…

    gr33tz

  5. Hi,
    Da bei den MS Systemanforderungen nur noch Exchange 2019 beschrieben wird und nichts mehr mit Exchange 2016 hab ich die Frage zur AD Gesamtstruktur
    Bei CU 10 und CU 11 hab ich noch Windows 2008R2 gefunden. Ist jetzt Windows2012R2 zwingend oder erst ab Exchange 2019 (bezogen auf CU12 bzw. CU 1)
    Gruß Ralf

  6. Ich frage mich gerade, ob der Exploit auch ausgenutzt werden kann, wenn der Exchange hinter einem Reverse Proxy steht? Hat das schon jemand evaluiert?

    Muss vor der Installation des Updates der gelöschte Regestry eintrag wiederhergestellt werden?

    1. mit dem Reg Eintrag würde mich auch Interessieren,
      Habe den Patch auf 2013 mit CU22 installiert.
      Bisher läuft alles, hab jedoch keine Drittanbieter Software drauf.

      Der Reg. Key ist aber nicht vorhanden

        1. ja tut es. danke:

          gleich am Anfang :)

          „>>Antwort von: Brent Alinger [MSFT]
          CU’s released today should remove this key, if present<<"

    2. Ich kann dir zumindest so viel sagen, dass wir den Regeintrag bisher nicht wieder gesetzt haben, das Update aber eingespielt ist. Weiß jetzt auch noch nicht so richtig, ob er jetzt wieder gesetzt werden soll/muss. Bisher konnten wir keine Probleme feststellen.

  7. Wir haben auch nur eine kleine Umgebeung mit zwei DC und zwei Echange 2016 mit einer DAG. Ehrlich gesagt habe ich auch etwas bammel davor den Passwort Reset durchzuführen. Zum anderen fehlt mir aktuell die Zeit das wieder hinzufummeln, wenn was schief geht.
    Es wäre schön, wenn hier mal kurz was über die Erfahrungen geschrieben werden könnte ob alle Problemlos verläuft.

    Danke Andreas

    1. Was soll denn da schiefgehen? Innerhalb von 30 tagen machen die Server das per Default auch automatisch. Also kann man das auch einfach manuell durchführen. Per Powershell gehts wahrscheinlich am schnellsten.

  8. Hallo,

    ich habe CU12 inkl. Reset-ComputerMachinePassword jetzt in 2 verschieden Exchange 2016 DAG’s installiert und habe bisher keinerlei Probleme. Vielleicht beruhigt das den ein oder anderen ;-).

    Beste Grüße,
    KalleAnka

  9. Hallo,

    ich hatte die Tage den Registry Workaround genutzt und den Wert DisableLoopbackCheck gelöscht. Jetzt habe ich das Update C12 durchgeführt und jetzt stellt sich mir die Frage ob der Eintrag DisableLoopbackCheck manuel hinzugefügt werden muss?

  10. Setzt jemand mit dem Exchange 2016 CU12 Tools von Exclaimer ein? Z. B. SignatureManager, ich nehme mal an dieser läuft dann noch?

  11. Hallo zusammen,

    es gab ja Berichte, dass Tools von CodeTwo wie Exchange Rules Pro nach dem Löschen des Registry Schlüssel „DisableLoopbackCheck“ nicht mehr funktioniert haben.
    Das neue CU12 für Exchange 2016 löscht den Regkey aber laut Technet Exchange Blog ja auch wieder.

    Hat das jemand schon testen können?

    Danke Euch und viele Grüße!
    Andreas

    1. Hi Andreas,

      hier eine Entwarnung meinerseits. Wir benutzen die Tools auch, aber es gab schon beim entfernen des Reg-Keys letztens keinerlei Probleme. Auch nach dem Update lief alles ganz normal weiter. Habe anschließend noch auf die aktuelle Version umgestellt(2.12.0.0). Funktioniert tadellos. Ich schätze bei dem anderen User liegt ein anderes Problem vor(nur eine Vermutung). Bei uns hatte es wie gesagt keinerlei Auswirkung auf die Tools.

      Gruß und schönes Wochenende
      Carsten

  12. Hallo zusammen,
    bei mir kam noch die Meldung die VC++ 2013 Runtime zu installieren.
    Danach gings ohne Probleme weiter.

    Danke an alle für die vielen Infos, Super Seite !!

  13. Hallo,

    ich kann leider das CU nicht installieren, da ich – so glaube ich – ein zu aktuelles .net habe.
    Lt. Registry ist es die Version 4.7.02558
    Hat hier jmd Erfahrungen?
    Vielen Dank.

  14. Hallo,

    hat das Update schon jemand unter Exchange 2010 installiert?
    Ich habe hier die Konstellation von zwei Exchange 2010 SP3 Systemen (Betriebssystem 2008 R2 aktuell gepatched) mit 15 Domain-Controllern.

    Das Update würde ich gerne auf beiden Exchange Servern versetzt installieren – Problem?
    Gruß

    1. Ich habe das Update auf einem 2011 Small Business Server mit Exchange 2010 versucht über Windows Update zu installieren. Das schlug fehl und es waren danach alle Dienste deaktiviert. Nach dem aktivieren der Dienste war kein Autodiscover mehr möglich.
      Also das Update geladen, dann das c– 2013 runtime installiert und das Update manuell eingespielt. Alle Dienste auf manuell oder automatisch wie vor dem Update. Server Neustart.
      Autodiscover und der die Synchronisation mit Outlook funktioniert.

      OWA bringt nur eine weiße Seite ohne Anmeldebildschirm, ich bin noch am gucken woran das liegt. Die Hilfen die ich bisher im Internet gefunden habe bringen bisher nix.

      1. Hallo Sven,
        ich habe das Update auf einem Windows Server 2008 R2 Std. eingespielt, OWA funktionert bei mir ebenfalls nicht mehr.
        Habe bereits verschiedene Ansätze versucht, bsp. das OWA Virtual Directory gelöscht und neu erstellt, die applicationHost.config unter C:\Windows\System32\inetsrv\config aus einem Backup wiederhergestellt…leider alles ohne Erfolg.
        Zudem bekommen die Anwender permanent Passwort-Prompts angezeigt.

        Outlook funktioniert zumindest weiterhin, aber auch der Mailabruf über die Smartphones ist gestört.

        Hast du dein Problem zwischenzeitlich lösen können? Mir gehen leider langsam die Ideen aus.

        1. Hallo Dominik,
          leider habe ich bis heute zware eine ganze Menge probiert, kann aber nach wie vor keine Lösung für das OWA Problem anbieten. Falls es doch noch jemand hinbekommt, wäre auch ich für die Lösung des Problems dankbar.
          Beim Mailabruf via Handy wurde mir bis jetzt noch kein Problem gemeldet.

  15. Nach dem CU 12 Update beim EX2016 habe ich auf einmal im Outlook einen AntiSpam Ordner.
    Laut Exchange ECP sind die Filter Deaktiviert, sowie über die PowerShell.
    Die Sophos ist auch Aktuell auf 9.6

  16. Hallo, ich habe seit dem Update (Exchange 2013 CU22 auf Server 2012) folgende Einträge im Eventlog, die sich stündlich wiederholen:
    LSA (LsaSrv), ID: 6037
    „Das Programm w3wp.exe mit der zugewiesenen Prozess-ID 11452 konnte sich mit dem Zielnamen HTTP/autodiscover.XXX.de nicht lokal authentifizieren. Der verwendete Zielname ist ungültig. Ein Zielname muss sich auf einen der lokalen Computernamen beziehen, z. B. den DNS-Hostnamen.

    Wählen Sie einen anderen Zielnamen.“

    Desweiteren funktioniert das Update der emails mit CI-Solution MailPolicy nach anhängen der Signatur nicht mehr. Die Update Routine bekommt einen 401 Fehler

    1. Hey!
      Hast Du dazu schon eine Lösung gefunden? Bei mir, bei einem frisch installierten Server 2016 mit Exchange 2016 CU12 in einer neuen Domäne erscheint auch diese Meldung im Eventlog.
      Ebenso ist total komisch, dass ich (trotz funktionierender und richtiger Autodiscover!) lokal auf dem Exchange kein Outlook konfigurieren kann. Es kommt immer wieder die Passwortabfrage, selbst bei manuellem eintippen des richtigen Passworts schluckt er es nicht. Getestet mit Outlook 2010 und 2019 Professional Plus jeweils.
      Danke im Voraus,
      LG Dennis

    2. Hat schon einer von Euch eine Lösung für die 401 nicht autorisiert Problematik gefunden? (insb. im Zusammenhang mit dem Update von Emails bezüglich Signaturen)

        1. Ja das hilft. Hab ich vorhin auf einem Exchange 2013 CU22 auch gefunden. BackConnectionHostNames auf auf den jeweiligen Wert (kann man bei Signature Manager sogar manuell einstellen, welchen Servernamen er ansprechen soll). Interessanterweise ist das auf einem Exchange 2016 CU12 unter Windows 2016 nicht notwendig. Da funktioniert das einfach.

        2. Hi Thomas,
          ja besten Dank, der Link hat mir sehr geholfen. Bedauerlich, dass der Hersteller Exclaimer diese Information nicht in seiner KB führt.
          Schönes WE.

  17. Beim CU11 gab es außer dem Löschen des Registry Keys noch den Workaround „Disable EWS push/pull subscriptions“
    Das wurde mit dem Befehl:
    New-ThrottlingPolicy -Name NoEWSSubscription -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0
    Restart-WebAppPool -Name MSExchangeServicesAppPool
    eingestellt. Damit gibt bei uns kein Mac-Klient mehr. Das mussten wird dann wieder rückgängig machen.

    Funktionieren im CU12 die Mac-Klienten ohne Probleme?
    Wir haben in unserer Umgebung leider sehr viele davon.

  18. Exchange 2010 SP3 UR26 installiert. Nach dem nachträglichen Computerkonto-Reset (per Powershell) ging OWA nicht mehr. Lösung: Exchange-Server aus Domäne raus und wieder rein, Reboot. Dann ging alles wieder.
    ABER!!!
    Nun funktioniert OWA bei abgelaufenen Benutzer-Kennwörtern nicht mehr. Die Benutzer bekommen nur eine Fehlermeldung, dass Benutzername oder Kennwort falsch ist und kommen nicht weiter. ChangeExpiredPasswordEnabled ist noch auf 1 in der Registry. In der Sicherheitsereignisanzeige kommt auch ein Event, dass das Kennwort des angegebenen Kontos abgelaufen sei.

    Hat jemand ähnliche Erfahrungen gemacht und evtl. auch eine Lösung dafür?

    1. Guten Morgen Denis,

      ich habe aktuell das gleiche Problem. Gestern Exchange 2010 SP3 UR26 installiert.
      Heute morgen melden sich diverse Kollegen, dass Outlook nach Benutzername und Kennwort verlangt.

      Testweise habe ich versucht, OWA im Browser aufzurufen. Ohne Erfolg, die Seite lässt sich gar nicht erst aufrufen.

      Das Computerkonto habe ich allerdings bisher nicht zurück gesetzt. Auch habe ich noch nicht versucht, den Server aus der Domäne zu nehmen und neu hinzu zu fügen.

      Hat jemand ähnliche Probleme und ggf. eine Lösung? Im laufenden Betrieb den Exchange aus der Domäne zu nehmen, davor scheue ich mich ein wenig..abgesehen von den Passwort-Prompts kann zumindest aktuell jeder auf sein Postfach zugreifen.

        1. Hallo Robert,

          leider nein. Meine „Lösung“ war es, die VHD von Laufwerk C: unseres Exchange Servers aus dem letzten Veeam-Backup zu restoren.
          Da die Exchange-DB, LOGs etc. auf einer eigenen VHD liegen, lief der Server anschließend klaglos wieder.

          Allerdings steht das Update natürlich immer noch zur Installation an.

          Mein Plan ist, zuerst die Windows-Patches einzuspielen, dann die .net Framework Updates und dann, manuell, das Update Rollup…mal schauen was bei heraus kommt :-)

      1. Hallo zusammen,
        wir hatten bei einigen Servern ähnliche Probleme. Nach dem Rollup waren die Bindungseinstellungen im IIS an Port 443 nicht mehr in Ordnung. Manche hatten das falsche und manche hatten gar kein Zertifikat mehr an dem Port.
        Ich habe die Einstellungen korrigiert und voila – alles funktioniert, wie es soll.

  19. 1. Exchange 2013 CU 22 erfolgreich durchgeführt
    2. Mit CU22 wird ja bekanntlich der Regkey DisableLoopbackCheck entfernt.
    -> dem ist auch so

    Wenn man nun – DIREKT auf dem Exchange 2013 – folgendes ausführt ->erscheint für AutoDiscover ein Failure:
    Test-OutlookWebServices -identity:XXX -MailboxCredential (Get-Credential)

    Das Verbose-Log meldet für diesen Fall Error 401:
    Error : System.Net.WebException: Die zugrunde liegende Verbindung wurde geschlossen: Für den geschützten
    SSL/TLS-Kanal konnte keine Vertrauensstellung hergestellt werden.. —>
    System.Security.Authentication.AuthenticationException: Das Remotezertifikat ist laut
    Validierungsverfahren ungültig.

    Erstellt man dann – DIREKT auf dem Exchange 2013 – jedoch den Regkey BackConnectionHostNames
    (siehe https://support.microsoft.com/en-us/help/896861/you-receive-error-401-1-when-you-browse-a-web-site-that-uses-integrate)
    und führt wiederum folgendes – DIREKT auf dem Exchange 2013 – aus:
    Test-OutlookWebServices -identity:XXX -MailboxCredential (Get-Credential)
    AutoDiscover -> Success

    Das Problem ist NUR wenn man es DIREKT auf dem EX2013 prüft.
    In der Tat scheint es nach CU22 mit dem Zugriff ein Problem zu geben, wenn (und nur dann!) der Zugriff direkt vom Exchange aus auf sich selbst erfolgt

    Hat das bereits jemand geprüft und ggf. eine Lösung?

  20. Auf unseren Ek16 Server (DAG) bin ich wie folgt vorgegangen:
    1. Server in Wartungsmodus versetzen
    2. Windows Updates einspielen
    3. Neustart
    4. .Net 4.7.2 installiert
    5. Neustart
    6. Windows Updates suchen
    7. CU12 Update durchführen
    8. Neustart
    9. System prüfen (Logs, Dienste, Virtuelle Verzeichnisse [get-virdirinfo.ps1], Zertifikatsbindung etc.)
    10. „Reset-ComputerMachinePassword“ durchgeführt -> 10 min gewartet
    11. Neustart
    12. System prüfen (Logs, Dienste, Virtuelle Verzeichnisse [get-virdirinfo.ps1], Zertifikatsbindung etc.)
    13. Im AD schauen ob sich das Computerkonto geändert hat (Zeitstempel)
    14. Aufruf der OWA Webseite von diesem Server direkt (https://x.x.x.x/owa) und Anmeldung testen
    15. Wartungsmodus beenden und DB wieder auf die richtigen Server schwenken (RedistributeActiveDatabases.ps1)
    16. Server wieder im Loadbalancer freigeben
    17. Kontrolle im Monitoringsystem (nagios, op5, icinga etc.) ob alles IO ist

    ########
    Kopfschmerzen bereiten mir aber die (hier) aufgezeigten Meldungen/Fehler beim Update Ek10 Rollup 26:
    – OWA nicht verfügbar
    – Anmeldefenster in Outlook
    – etc.

    1. Hi Paul,
      kannst Du mir mal bitte sagen mittels welchem Befehl Du „Im AD schauen ob sich das Computerkonto geändert hat (Zeitstempel)“ ausgeführt hast. Danke.

      1. Einfach vom Computerobjekt im AD den Reiter „Objekt“ aufrufen und dort sollte bei „Geändert am:“ ein neuer Zeitstempel stehen.

  21. Ich habe gestern das CU12 auf einem Exchange 2016 installiert. (Vorher lief CU10). Hat ca 1 Stunde gedauert, danach ein Neustart und alles hat scheinbar funktioniert.

    Es kam jedoch keine Aufforderung oder Hinweis zu dem angeblich notwendigen „Reset-ComputerMachinePassword“.
    Ich weiß auch nicht was genau das für ein Passwort ist. Ich habe die Installation als Domäne Admin ausgeführt. Es gibt für den Server aber auch ein lokales Admin-Konto.

    Heute ist einem Kollegen aufgefallen, dass im Terminplanungsassistenten die Verfügbarkeiten der anderen Teilnehmer nicht angezeigt werden. In der Zeitleiste der anderen Teilnehmer ist ein durchgehender gestrichelter Balken mit dem Hinweis:
    Keine Information.
    Es konnten keine Frei/Gebucht-Daten abgerufen werden.
    Ihr Serverstandort konnte nicht ermittelt werden.
    Wenden Sie sich an Ihren Administrator.

    Muss ich eigeninitiativ dieses „ComputerMachinePassword“ anpassen/ändern?
    Oder woran kann dieses Problem liegen?

    1. Es sind generell seit dem CU12 Update keine Zugriffe mehr auf Kalender von anderen Personen möglich. Es liegt also nicht explizit am Terminplanungsassistent!

      1. Wie kommst du auf die Aussage? Ich kann hier auf anderer Leute Kalender zugreifen, so wie vor dem CU12 auch. Wenn ich vorher keine Rechte hatte, hab ich jetzt natürlich auch keine.

        1. Ich meine natürlich Kalender, auf die ich vorher Leserechte hatte. VOr dem CU12 Update konnte ich noch von einigen Kollegen die Kalender einsehen, jetzt nicht mehr.

          Evtl hängt es ja mit dem ComputerMachinePassword zusammen?

          Ich will es nicht im laufenden Betrieb ändern, da ich in einigen Kommentare gelesen habge dass dadurch weitaus größere Probleme auftreten können.

        2. Was habt ihr denn alle mit dem Computerkennwort? Das ändert sich per Default sowieso alle 30 Tage automatisch! Wenn man das einmal manuell macht (was ja nur eine Empfehlung aus dem EHLO Blog ist), dann geht da nichts kaputt. Und selbst wenn ist das ja nicht so, dass man es nicht gefixt bekommt.

    2. PowerShell als Administrator aufrufen und das CMD-Let „Reset-ComputerMachinePassword“ aufrufen.
      Es wird hier das Verschlüsselungskennwort zwischen dem Server und den DC`s geändert.

      Ich habe den Server im Vorfeld in den Wartungsmodus versetzt und dann „Reset-ComputerMachinePassword“ ausgeführt. Im Anschluss einen Neustart vom Server sowie den Wartungsmodus nach der Prüfung vom System wieder beendet. Siehe mein Beitrag von „20. Februar 2019 um 07:54“

      1. Wir haben im Moment nur einen Exchange Server (OS: Windows Server 2016) und deswegen auch keine DAG. Einen „Wartungsmodus“ kenne ich (deswegen?) nicht.

        Ich bin so vorgagenen:
        1. Windows Updates installiert.
        (Net 4.7.2 war bereits installiert, habe es extra kontrolliert)
        2. Neustart
        3. CU12 Update installiert mit der Setup.exe GUI (Dauer: ca 60 Minuten)
        4. Server Neustart (der Setup-Assistent hat das am Ende empfohlen)
        5. Outlook Test, Emails ausgehend/eingehend: OK
        6. OWA Test: OK
        7. Monitoringtool alles ok (Check_MK) (da sind diverse Einträge mit denen ich nichts anfangen kann aber es ist alles OK)

        Im Moment kann ich den Server nicht neustarten da wir leider nur diesen einen Exchange Server haben :-(
        Ich muss erst ein neues Zeitfenster für den Exchange Server planen wenn ein Neusrat für diese Passwortänderung notwendig ist.
        (Wir wollen aber bald mit Hilfe eines Dienstleisters einen zweiten Server mit DAG anschaffen.)

    3. Ich vermute jetzt dass ein Problem mit dem Exchange Web Service (EWS) besteht. Es hat nichts mit dem Computermachinepassword zu tun. In der OWA kann ich auf die Kalender zugreifen, dort spielt sich ja auch alles in der vom Exchange bereitgestellten Weboberfläche ab.
      In Outlook (2010 und 2013 und 2019 im Einsatz) werden die Kalender vermutlich über EWS heruntergeladen?

      Ich habe bevor es das CU12 gab als workaround dieses Advisory befolgt:
      https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV190007
      GEnauer gesagt so:
      Create an organization-scoped policy that blocks all EWS subscriptions:

      `New-ThrottlingPolicy -Name NoEwsSubscriptions -ThrottlingPolicyScope Organization -EwsMaxSubscriptions 0`

      Da gab es noch keine Probleme! Erst Seitdem das CU12 installiert ist können die Kalender in Outlook nicht mehr vom Exchange Server heruntergeladen werden.

      Ich habe diese Einstellung eben wieder rückgängig gemacht mit dem Befehl:
      Remove-ThrottlingPolicy -Identity NoEwsSubscriptions
      Und den Exchange Server neu gestartet. Leider ändert sich nichts.

      Ich kenne mich nicht gut mit EWS aus, als ich von dem workaround gehört habe war das quasi mein erster Berührungspunkt. Ich weiß das EWS als Schnittstelle zwischen Exchange und anderen Applikationen wie auch zB Thunderbird fungiert. Ich habe es eigentlich so verstanden dass Outlook aber nicht auf EWS angeweisen ist. Zumindet für den Kalenderzugriff aber vermutlich schon.
      Das CU12 soll doch auch einige Sicherheitslücken behoben haben die mit EWS zusammenhingen. Dazu gab es auch vom BSI eine Meldung. Es muss irgendwie zumindest indirekt mit dem CU12 und den behobenen Sicherheitslücken zusammenhängen. Es ist sehr zäh aber ich komme langsam weiter.

  22. Hallo zusammen, Exchange 2013 CU 22 auf 2012R2 erfolgreich installiert.

    1 Exchange und 2 DCs, 1 Domäne .local zusätzlich Exclaimer Signature Manager Exchange Edition 2.2.10 im Einsatz

    Als Info: Exchange 2013 CU 22 wird dann allerdings unter Programme/Funktionen als CU 20 angezeigt. In der EMS ist es richtig: AdminDisplayVersion : Version 15.0 (Build 1473.3)

  23. Habe unser Exchange 2016 erfolgreich mit CU12 eingespielt.
    Wir sind aktuell noch in einer Koexistenz mit Exchange 2010 Servern und alle von Extern eingehenden Mails gehen vom Mailproxy über die Ek16 Server und dann zu den Postfächern auf die Ek10 Server (Rollup 25).

    Hier hatten wir ein Problem das die Warteschlange auf einem (dem letzten) aktualisierten Exchange Server 2016 sich füllte und die E-Mails nicht an die Exchange Server 2010 los wurde.

    „SMTP-Relay zur Postfachzustellungsgruppe“ LED=451 4.4.395 Target Host responded with error. -> xxxxxx

    Lösung bei uns:
    Auf den Hub-Transport Servern (auch die CAS Rolle liegt bei uns da drauf) den Transportdienst neugestartet sowie einmal „iisreset“.

    Jetzt wurden die E-Mails vom EK16 zu den EK10 übertragen.

  24. Hallo zusammen,
    wird bei dem „Cumulative Update 22 for Exchange Server 2013“, der Schlüssel “DisableLoopbackCheck” entfernt?
    Wenn ja, gibt es bei uns das Problem, dass die Software „Mailstore“ die Mails aus dem Exchange Mailjournal nicht mehr archiviert.
    Test war der Beitrag „Active Directory und Exchange Server über EWS API angreifbar“, nach dem ich den Schlüssel wieder aktiviert hatte lief wieder alles.

    Grüße Mike

  25. Hi, bekomme bei einer 2 Server DAG mit 2x EX2016 folgendes Ergebnis:
    Erster Knoten ohne Probleme von CU11 auf CU12 aktualisiert.
    Beim 2. Knoten bricht Setup nach erfolgreichen Prüfen der Voraussetzungen mit diesem Fehler ab:
    Processing component ‚Language Pack Uninstall Configuration‘ (Configuring the server.).
    Finished executing component tasks.
    Ending processing remove-InstalledLanguages
    Setup will run the task ‚uninstall-msipackage‘
    Setup launched task ‚uninstall-msipackage -logfile ‚C:\ExchangeSetupLogs\ExchangeSetup.msilog‘ -ProductCode ‚cd981244-e9b8-405a-9026-6aeb9dcef1f1‘ -PropertyValues ‚BYPASS_CONFIGURED_CHECK=1 DEFAULTLANGUAGENAME=ENU“
    Beginning processing uninstall-msipackage
    Removing MSI package with code ‚cd981244-e9b8-405a-9026-6aeb9dcef1f1‘.
    [ERROR] Couldn’t remove product with code cd981244-e9b8-405a-9026-6aeb9dcef1f1. The installation source for this product is not available. Verify that the source exists and that you can access it. Error code is 1612

    Dabei poppt ein Auswahlfenster hoch, wo er mich nach der relevanten .MSI fragt, welche ich so nicht liefern kann, da ich nicht weiß, welche er denn sucht.
    Mir würde an der Stelle schon helfen, welches Produkt/Languagepack sich hinter der GUID „cd981244-e9b8-405a-9026-6aeb9dcef1f1“ versteckt.

    Wenn jemand einen Hinweis darauf hat, dann vielen Dank.

    Gruß,
    Ralf

    1. ich antworte mir selbst, bald höre ich Stimmen…*Angst*

      ich hab den betroffenen Knoten nun per /recovery neu installiert.
      die Produkt ID „cd981244-e9b8-405a-9026-6aeb9dcef1f1“ meint den Exchange Server selbst, kein Language Pack oder ähnliches. Der Zeitaufwand für die Suche nach einer anderen Lösung steht in keiner vernünftigen Relation zum Aufwand einer sauberen Neuinstallation.

      Gruß und schönes WE,
      Ralf

  26. Zitat „Da es durch CVE-2018-8581 zu Änderungen an der EWS API kommt, sollten alle Programme und Dienste, die auf EWS zugreifen sorgfältig getestet werden, es ist nicht auszuschließen, dass es zu Problemen mit Programmen anderer Hersteller kommen kann.“

    jep, bei uns funktioniert jetzt die Out of Office -Meldung sowie die Benachrichtigung bei Raumbuchungen nicht mehr :-(
    Ex2010
    super geil…

  27. Hallo zusammen!

    Ich habe bei einem Kunden einen Exchange 2016 RTM (also noch GAR KEIN CU installiert!).
    Ist es möglich das aktuellste CU12 direkt zu installieren, oder sollte man lieber Zwischenschritte mit anderen CUs machen? Wenn ja, welche wären das?

    Danke im Voraus für die Antwort!

    LG Dennis

  28. Hallo allerseits,

    beim Start des CU12 auf einem EX2016 mit CU11 kann auf dem ersten Installationsfenster „Serverrollen hinzufügen“ (Optionen entsprechend markiert und ausgegraut) nur der Haken bei „…Komponenten automatisch installieren…“ gesetzt oder entfernt werden, „Zurück“ und vor allem „Weiter“ sind ohne Funktion. Das Setup kann dann nur noch über „X“ beendet werden.
    Keinerlei erkennbare Aktivität der „SetupUI.exe“ im Taskman etc.
    Framework 4.7.2 ist installiert, ebenso die Visual C++ 2012 runtime. Bin ich zu ungeduldig und man muss and dieser Stelle länger als ca. 5 Min. warten? Kennt jemand dieses Verhalten?

    Grüße,
    Rainer

  29. Hallo Zusammen

    Haben aktuell einen neuen Exchange 2019 mit CU1 im Einsatz. Auf diesem aber massive Probleme mit dem EWS. Das äussert sich auf Mac’s mit dem Apple Mail Client. Das andocken vom Mailkonto dauert bis zu 10min, Mails werden nur verzögert versendet und empfangen. Wir haben auf der gleichen Infrastruktur einen Exchange 2013 Server am laufen (der soll abgelöst werden). Hier gibt es kein Problem mit dem andocken von Mailkonto. Veröffentlicht sind beide über einen Sophos UTM (WAF), mit den gleichen Einstellungen.

    Hat noch jemand anderes ähnliche Probleme oder einen Tipp?

  30. Guten Morgen,
    ich würde gerne EX16 von CU11 auf CU13 gehen. Muss in diesem Fall auch „Reset-ComputerMachinePassword“ durchgeführt werden?

    Danke und Gruß
    Jens

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.