Die Updates für Windows Server welche am 19.02.2019 nach dem regulärem Patchday veröffentlicht wurden, sind auch wichtig für Exchange Server welche auf Windows Server 2016 laufen. Ganz konkret geht es um ein Problem das seit dem September 2018 besteht:
KB4457127 sorgt für Probleme auf DCs in Verbindung mit Exchange
Das KB4457127 verursacht nach der Installation auf Domain Controllern Probleme mit den Exchange Adresslisten, daher war es bisher ratsam das entsprechende Update nicht auf DCs zu installieren:
Das KB4487006 vom 19.02.2019 behebt dieses Problem nun, hier ein Auszug aus der Liste der behobenen Probleme:
Addresses an issue that may cause Microsoft Outlook to display the error, „The operation failed“ when viewing the Microsoft Exchange Address Book. This issue occurs after installing KB4457127 on Active Directory domain controllers that utilize Microsoft Exchange. The error appears on Microsoft Outlook clients that use locales other than EN-US.
February 19, 2019—KB4487006 (OS Build 14393.2828)
Des weiteren ermöglicht das KB4487006 das Limitieren von HTTP/2 Settings-Frames welche Clients an den IIS-Webserver schicken können. Angreifer die diese Schwachstelle ausnutzen, könnten die CPU-Last auf den IIS-Servern (und somit auch Exchange Servern) in die höhe treiben und damit den Server so stark auslasten, dass er unbenutzbar wird (DDoS).
Das KB4487006 behebt allerdings nicht die Schwachstelle in Verbindung mit HTTP/2 Settings Frames, sondern bietet nur die Möglichkeit das Szenario mittels entsprechender Limits einzuschränken:
Define thresholds on the number of HTTP/2 Settings parameters exchanged over a connection
Da in der Standardeinstellung keine Limits gesetzt sind und somit weiterhin die Möglichkeit besteht, die CPU-Last auf Exchange Servern auf 100% zu treiben, stellt sich natürlich die Frage welche Limits hier sinnvoll sind.
Aktuell kann ich diese Frage ebenfalls nicht beantworten, bisher liegen mir keine entsprechenden Informationen vor.
Ich habe test halber einmal die folgenden Werte benutzt:
Diese Werte habe ich dem folgenden Reddit Thread entnommen (es handelt sich hier aber um Vermutungen):
Microsoft publishes security alert on IIS bug that causes 100% CPU usage spikes
Sobald ich hier mehr Informationen habe, aktualisiere ich diesen Artikel.
Hi Frank,
wir haben dieses Problem auf Windows Server 2019 (DCs und Exchange) mit Exchange 2019 CU8. Wir sind uns jetzt nicht sicher, ob es die Windows Server Updates im März waren (KB5000822 haben wir auf DCs, RDS Server und Exchange wieder deinstalliert, weil Sie vor allem auf der RDS Farm zu Dauerabstürzen geführt haben). Oder die Security Updates wegen dem aktuellen Hafnium Exchange Hack bzw. Update auf CU8 mit Schema und AD Update. Fehler ist erst hinterher aufgefallen. Der Fehler tritt im Outlook 2019 Online Modus auf, wenn man auf die GAL klickt und bei „Alle Benutzer“ und „Alle Gruppen“. „Alle Räume“ funktioniert. Outlook Clients im Cache Modus greifen ja aufs OAB zu, da kommt der Fehler nur bei „Alle Benutzer“ und „Alle Gruppen“. Im OWA zeigt er hier immer „Ihre Anforderung kann gerade nicht abgeschlossen werden. Versuchen Sie es später nochmal“. Auch neu angelegte Adresslisten haben den gleichen Fehler. GAL und Adresslisten können fehlerfrei geupdatet werden. OAB kann manuell runtergeladen werden am Outlook Client. Geht alles. Nur Zugriff auf GAL und Alle Benutzer/Gruppen geht gar nicht.
Folgende Updates haben wir bisher nicht ausgerollt, wegen der Probleme die gemeldet wurden zu den Updates:
KB5000822 – Server 2019
KB5000802 – Win 10
KB5000808 – Win 10
KB5000908 – Win 10
KB4589212 – Win 10
KB4589211 – Win 10
Wir warten hier den nächsten Patch Day ab, ob Updates ersetzt werden oder neue dazu kommen, die die neuen Fehler beheben.
Wir haben zudem OAuth zu M365 eingerichtet, um On-Prem Kalender in MS Teams nutzen zu können, aber keinen vollen Hybrid! Wir syncen unser AD mit dem AD Connect Tool.
Man kann im OWA unter „Alle Benutzer“ und „Alle Gruppen“ suchen und bekommt auch Ergebnisse. Gleiches gilt für die GAL in OWA.
In Outlook zeigt er bei „Alle Benutzer“ dann den letzten Benutzer in der Liste an, wo der Nachname mit „Z“ anfängt. Bei „Alle Gruppen“ zeigt er einen Teams Kanal an. Hierbei spielt es keine Rolle, was man in die Suche eingibt. Es kommen immer diese beiden Ergebnisse. Auch das etwas merkwürdig.
Ich habe aktuell keine Idee mehr, was es sein könnte oder in welche Richtung es geht. Alles was man bei Google findet bezieht sich auf diesen Patch bei Windows Server 2016 auf DCs. Da wir nur 2019er im Einsatz haben, ist das bei uns nicht der Fehler.
Exchange 2019 CU9 werden wir dann Anfang April installieren. Die noch offenen KBs denke ich Ende kommender Woche, wenn keine weiteren negativ Meldungen kommen, dass die Patches immer noch Probleme verursachen.
Hoffe, du hast noch eine Idee, woran es liegen könnte. Fehler in OWA tritt auch auf, wenn man OWA über localhost direkt auf dem Exchange öffnet (um Firewall, DNS etc. als Fehlerquelle weitestgehend auszuschließen).
Grüße, Christian
Hi Frank,
bist du mit den von dir angegebenen Werten gut gefahren. (Wir haben ein DAG Cluster mit zwei Knoten.)
Gibt es schon neuere Erfahrungswerte, Empfehlungen oder Hinweise zu Drittanbieter Software welche hier schon häufiger auffällig waren?
Gruß
Armin
Hi Frank,
kann es sein, dass deine HTTP/2 Werte vertauscht sind? Nach meinem Kenntnisstand sollte der MaxSettingsPerMinute-Wert höher sein als der MaxSettingsPerFrame-Wert. Bei deinen Werte (aus dem Reddit-Artikel) wäre es dann
MaxSettingsPerMinute = 3500
MaxSettingsPerFrame = 7
Grüße
Mac
Kann von dem Patch nur abraten. Danach startet bei mir WMSVC nichtmehr mit dem Fehler ISWMSVC_STARTUP_UNABLE_TO_ACTIVATE_HWC
Danke für die Klarstellung!
Hi!
Kommt denn KB4487006 über den WSUS (früher oder später) oder MUSS Ich das Paket manuell downloaden und installieren (das ich so oder so im Anschluss an die Installation wg der Registry-Einträge noch tätig werden muss, ist mir klar)?
Und BTW:
Bei der (erfolglosen) Suche nach einer Antwort auf die o.g. Frage bin ich auf der KB-Seite zu dem o.g. Patch auf folgenden Text gestoßen:
https://support.microsoft.com/en-us/help/4487006/windows-10-update-kb4487006
Windows Server 2016 Standard edition, Nano Server installation option and Windows Server 2016 Datacenter edition, Nano Server installation option reached end of service on October 9, 2018. These editions will no longer receive monthly security and quality updates that contain protection from the latest security threats. To continue receiving security and quality updates, Microsoft recommends updating to the latest version of Windows 10.
Ich war bislang der Meinung, dass die erste Ausgabe von Server 2016 LTSC ist und daher noch eine ganze Zeitlang mit Updates versorgt wird. Nun bin ich doch etwas unsicher…
Vielen Dank im Voraus!
TJ
das bezieht sich auf die Nano Server installation Option, siehe auch: https://support.microsoft.com/en-us/lifecycle/search?alpha=Windows%20Server%202016%20Standard