Summary: Microsoft recomienda a sus usuarios y clientes que instalen las actualizaciones acumulativas (CU), las actualizaciones de seguridad (SU) y las correcciones urgentes (HF) de Exchange Server lo antes posible para protegerse de las amenazas conocidas y evitar el riesgo de ataques malintencionados. Sin embargo, la instalación o actualización de Exchange Server a una CU más reciente requiere planificación y preparación para garantizar que sus usuarios no se vean afectados y que la actualización se realice correctamente. En este artículo, hemos compartido las instrucciones detalladas para aplicar Actualizaciones acumulativas a Exchange Server 2013 y posteriores. Puede seguir estas instrucciones para actualizar de forma segura su Exchange Server a la última actualización acumulativa.
Las actualizaciones de software son fundamentales, ya que aportan nuevas funciones, corrigen errores y parchean vulnerabilidades que los actores de amenazas pueden aprovechar para obtener acceso no autorizado. Microsoft publica actualizaciones de seguridad (SU) mensuales y actualizaciones acumulativas (CU) trimestrales para las versiones compatibles de Exchange Server, como Exchange 2013, 2016 y 2019.
Las actualizaciones acumulativas contienen todas las revisiones y actualizaciones de seguridad publicadas entre la versión actual y la última versión de la CU. Además, las CU también aportan nuevas funciones y actualizaciones que pueden mejorar el rendimiento y la fiabilidad del servidor.
Además, Microsoft proporciona actualizaciones de seguridad para las nuevas compilaciones (CUs) y deja de dar soporte a las antiguas CUs de Exchange Server.
Por lo tanto, actualizar el servidor Exchange a la última actualización acumulativa es fundamental para seguir recibiendo nuevas actualizaciones de seguridad y proteger el entorno Exchange de ataques malintencionados.
A continuación hemos explicado el proceso completo de descarga y aplicación de las últimas Actualizaciones acumulativas publicadas por Microsoft para las versiones de Exchange Server compatibles con instrucciones paso a paso. Puede seguir esta guía para aplicar las actualizaciones acumulativas a Exchange Server 2013, 2016 y 2019.
Aspectos a tener en cuenta antes de instalar la actualización acumulativa de Exchange
Antes de empezar a instalar la actualización acumulativa de Exchange Server, tenga en cuenta lo siguiente:
- Si está ejecutando un Exchange Server independiente, el flujo de correo se detendrá hasta que termine de aplicar las Actualizaciones acumulativas. Por lo tanto, es fundamental planificar la actualización, ya que puede tardar un tiempo en finalizar. La planificación también evitará problemas o casos de instalación fallida que pueden inutilizar el servidor.
- Después de la actualización, no puede desinstalar Actualizaciones acumulativas, ya que la desinstalación de CU eliminará el servidor Exchange.
- Las personalizaciones realizadas en Exchange Server, como los archivos Web.config, se sobrescribirán y deberá volver a aplicarlas una vez finalizada la actualización de la CU. Por lo tanto, guarde todas las configuraciones personalizadas de Exchange e IIS que haya realizado.
- Pruebe siempre la actualización acumulativa en un entorno de prueba antes de implantarla en el servidor de producción.
NOTA IMPORTANTE: Haga una copia de seguridad antes de empezar a instalar la CU. Si la actualización falla por cualquier motivo, puede utilizar la copia de seguridad para crear un nuevo servidor y restaurar las bases de datos de buzones. Sin embargo, si la copia de seguridad no está disponible, puede utilizar un software de recuperación de Exchange, como Stellar Repair for Exchange, para recuperar los buzones de correo del Exchange Server que ha fallado y exportarlos al nuevo Exchange Server activo directamente.
Pasos para instalar la actualización acumulativa en Exchange Server 2013, 2016 y 2019
Hay dos formas de instalar las Actualizaciones acumulativas,
- A través de la interfaz gráfica de usuario (GUI).
- Uso del modo desatendido del símbolo del sistema.
A continuación se describen las dos formas de instalar las actualizaciones acumulativas en servidores Exchange independientes y DAG.
Paso 1: Descargar la actualización acumulativa
Antes de descargar la última CU para su Exchange Server, compruebe la versión actual utilizando el siguiente cmdlet de Exchange Management Shell,
Get-ExchangeServer | fl Nombre,Edición,AdminDisplayVersion
A continuación, visite la página de números de compilación y fechas de lanzamiento de Exchange Server para comprobar y descargar la última actualización acumulativa para su versión de Exchange Server. No descargue nunca actualizaciones de seguridad o acumulativas de sitios de terceros o no oficiales, ya que pueden contener malware.
Paso 2: Poner Exchange Server en modo de mantenimiento
Se recomienda poner Exchange Server en modo de mantenimiento antes de actualizarlo o mejorarlo. Puede utilizar los siguientes comandos de PowerShell en Exchange Management Shell (EMS) para poner Exchange Server 2013, 2016 o 2019 en modo de mantenimiento.
- Poner HubTransport en estado de vaciado,
Set-ServerComponentState -Identity "ServerName" -Component HubTransport -State Draining -Requester Maintenance- Si dispone de otro Exchange Server en la organización, redirija el mensaje en cola a ese servidor
Redirect-Message -Server ServerName -Target "ServerName-02.stellarinfo.com"- Si el servidor pertenece al grupo DAG, ejecute el siguiente comando; de lo contrario, pase a ServerWideOffline
Suspender-ClusterNode "NombreServidor-01"- A continuación, desactive la autoactivación de la copia de la base de datos y mueva la copia activa de la base de datos a otro miembro del DAG.
Set-MailboxServer "NombreServidor-01" -DatabaseCopyActivationDisabledAndMoveNow $true- Además, bloquea la DatabaseCopyAutoActivationPolicy,
Set-MailboxServer "NombreServidor-01" -DatabaseCopyAutoActivationPolicy Bloqueado- A continuación, ponga el Exchange Server en modo de mantenimiento mediante el siguiente comando,
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Inactive -Requester Maintenance- Para verificar que Exchange Server está en modo de mantenimiento, ejecute el siguiente comando,
Get-ServerComponentState "NombreServidor" | Select Component, StateLos componentes deben estar en estado inactivo.
- Reinicia el servidor.
Paso 3: Preparar la actualización acumulativa
En la página de descargas, consulta la sección de requisitos del sistema para conocer los requisitos previos que necesitas para instalar.
Por lo general, es necesario instalar lo siguiente:
Paso 4: Instalar la función RSAT-ADDs
Antes de ampliar el esquema de Active Directory, debe instalar la función RSAT-ADD (Remote Tools Administration Pack) en el controlador de dominio y en Exchange Server. Para ello, abra PowerShell como administrador y ejecute el siguiente comando,
Install-windows feature RSAT-ADDSReinicia el servidor.
Paso 5: Preparar esquema, AD y dominios
Para preparar el esquema, Active Directory y los dominios, abra Símbolo del sistema como administrador y navegue hasta la ubicación de la ISO de CU montada utilizando el comando CD. Por ejemplo
cd F:A continuación, ejecute los siguientes comandos para preparar el esquema, el AD y todos los dominios,
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareSchema
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAD
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAllDomains o /PrepareDomain
NOTA: A partir de la CU de septiembre de 2021, deberá utilizar /IAcceptExchangeLicenseterms_DiagnosticDataOFF o /IAcceptExchangeLicenseterms_DiagnosticData_ON para las instalaciones desatendidas.
Reinicie el servidor entre medias para borrar cualquier reinicio pendiente.
Paso 6: Instalar actualizaciones acumulativas mediante la instalación desatendida o la GUI
Una vez instalados los requisitos previos en el servidor, monte la imagen ISO de la actualización acumulativa descargada.
Puede instalar la Actualización acumulativa mediante el símbolo del sistema o ejecutar directamente el archivo Setup.exe desde la ubicación de montaje.
Para ejecutar la instalación en modo desatendido a través del símbolo del sistema, abra un símbolo del sistema elevado y ejecute el siguiente comando,
cd F:\Setup.exe /Modo:Actualizar /IAcceptExchangeServerLicenseTermsPaso 7: Retirar el servidor del modo de mantenimiento
Una vez finalizada la instalación, reinicie el servidor y compruebe la versión actual mediante el siguiente comando en EMS,
Get-ExchangeServer | Fl
Una vez verificado, retire el servidor del modo de mantenimiento utilizando el siguiente comando en Exchange Management Shell:
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Active -Requester MaintenanceSet-ServerComponentState ServerName -Component HubTransport -State Active -Requester MaintenanceEn el servidor miembro del DAG, debe ejecutar los siguientes comandos para eliminar el modo de mantenimiento,
Reanudar-ClusterNode -NombreNombreServidorSet-MailboxServer ServerName -DatabaseCopyAutoActivationPolicy UnrestrictedSet-MailboxServer Servername -DatabaseCopyActivationDisabledAndMoveNow $falseSet-ServerComponentState "ServerName" -Component ServerWideOffline -State Active -Requester MaintenanceSet-ServerComponentState ServerName -Component HubTransport -State Active -Requester MaintenancePara verificar que el servidor miembro del DAG está fuera del modo de mantenimiento,
Get-ClusterNode "NombreServidor"Paso 8: Instalar actualizaciones de seguridad pendientes (SU)
Una vez que haya actualizado su Exchange Server a las últimas actualizaciones acumulativas, compruebe si hay actualizaciones de seguridad pendientes. Puede ejecutar el script healthChecker.ps1 en su servidor para encontrar las vulnerabilidades y, a continuación, aplicar las SU para parchearlas.
Para instalar las actualizaciones de seguridad, vaya a la carpeta en la que se descargan las actualizaciones de seguridad (archivos .msp) y ejecute el siguiente comando en la ventana elevada del símbolo del sistema,
.\Updatename.mspSiga las instrucciones del asistente para completar la instalación y reinicie.
ACTUALIZACIÓN IMPORTANTE: A partir de mayo de 2023, Microsoft publicará las Actualizaciones de Seguridad y Hot Fixes como archivos ejecutables autoextraíbles. Así, se pueden instalar directamente las SUs y HFs de mayo de 2023 o posteriores como administradores o con privilegios de administrador como cualquier otro programa.
Conclusión
Microsoft recomienda a sus clientes de Exchange que instalen las últimas actualizaciones -ya sean actualizaciones de seguridad (SU) o actualizaciones acumulativas (CU)- a medida que vayan llegando para proteger a la organización de amenazas conocidas y ataques maliciosos. Los ataques a Exchange Server sin parches suelen aumentar inmediatamente después de que Microsoft publique los parches o actualizaciones, lo que incrementa las posibilidades de que su organización se vea comprometida. Para prevenir los riesgos, instale las actualizaciones lo antes posible.
Sin embargo, si el servidor está en peligro o la base de datos está dañada tras un ataque malicioso o un fallo del servidor, cree un nuevo servidor y restaure los buzones a partir de la copia de seguridad. Nunca utilices el servidor comprometido, aunque puedas arreglarlo.
Si la copia de seguridad no está disponible, utilice el software de recuperación de servidores Exchange, como Stellar Repair for Exchange, para recuperar los buzones de correo de su Exchange Server comprometido y guardarlos como PST. También puede exportar los buzones de correo extraídos de la base de datos de Exchange corrupta o dañada directamente a su nuevo Live Exchange Server o Microsoft 365 tenant en unos pocos clics.
