Summary: Microsoft recommande à ses utilisateurs et clients d'installer les mises à jour cumulatives (CU), les mises à jour de sécurité (SU) et les correctifs (HF) d'Exchange Server dès que possible afin de se prémunir contre les menaces connues et d'éviter les risques d'attaques malveillantes. Cependant, l'installation ou la mise à niveau d'Exchange Server vers des CU plus récentes nécessite une planification et une préparation afin de s'assurer que vos utilisateurs ne sont pas affectés et que la mise à niveau est réussie. Dans cet article, nous avons partagé les instructions détaillées pour appliquer les mises à jour cumulatives à Exchange Server 2013 et aux versions ultérieures. Vous pouvez suivre ces instructions pour mettre à niveau en toute sécurité votre serveur Exchange vers la dernière mise à jour cumulative.
Les mises à jour logicielles sont essentielles car elles apportent de nouvelles fonctionnalités, corrigent les bogues et les vulnérabilités que les acteurs de la menace peuvent exploiter pour obtenir un accès non autorisé. Microsoft publie des mises à jour de sécurité (SU) tous les mois et des mises à jour cumulatives (CU) pour les versions d’Exchange Server prises en charge, telles qu’Exchange 2013, 2016 et 2019, tous les trimestres.
Les mises à jour cumulatives contiennent tous les correctifs et les mises à jour de sécurité publiés entre la version actuelle et la dernière version des CU. En outre, les CU apportent également de nouvelles fonctionnalités et des mises à jour susceptibles d’améliorer les performances et la fiabilité du serveur.
En outre, Microsoft fournit des mises à jour de sécurité pour les nouvelles versions (CU) et cesse de prendre en charge les anciennes CU d’Exchange Server.
Il est donc essentiel de mettre à jour le serveur Exchange avec la dernière mise à jour cumulative pour continuer à recevoir les nouvelles mises à jour de sécurité et protéger l’environnement Exchange contre les attaques malveillantes.
Nous avons expliqué ci-dessous le processus complet de téléchargement et d’application des dernières mises à jour cumulatives publiées par Microsoft pour les versions d’Exchange Server prises en charge, avec des instructions étape par étape. Vous pouvez suivre ce guide pour appliquer les mises à jour cumulatives à Exchange Server 2013, 2016 et 2019.
Éléments à prendre en compte avant d’installer la mise à jour cumulative d’Exchange
Avant de commencer l’installation de la mise à jour cumulative d’Exchange Server, tenez compte des points suivants :
- Si vous utilisez un serveur Exchange autonome, le flux de courrier s’arrêtera jusqu’à ce que vous ayez fini d’appliquer les mises à jour cumulatives. Il est donc essentiel de planifier la mise à jour, car elle peut prendre du temps. La planification permet également d’éviter les problèmes ou les échecs d’installation qui peuvent rendre le serveur inutilisable.
- Après la mise à niveau, vous ne pouvez pas désinstaller les Cumulative Updates car la désinstallation de CU supprimera le serveur Exchange.
- Les personnalisations apportées à Exchange Server, telles que les fichiers Web.config, seront écrasées et vous devrez les appliquer à nouveau une fois la mise à niveau de l’unité centrale terminée. Par conséquent, sauvegardez tous les paramètres personnalisés d’Exchange et d’IIS que vous avez définis.
- Testez toujours la mise à jour cumulative dans un environnement de test avant de la déployer sur le serveur de production.
REMARQUE IMPORTANTE : une sauvegarde avant de commencer l’installation de l’UC. Si la mise à jour échoue pour une raison quelconque, vous pouvez utiliser votre sauvegarde pour construire un nouveau serveur et restaurer les bases de données des boîtes aux lettres. Toutefois, si la sauvegarde n’est pas disponible, vous pouvez utiliser un logiciel de récupération Exchange, tel que Stellar Repair for Exchange, pour récupérer les boîtes aux lettres du serveur Exchange défaillant et les exporter directement vers le nouveau serveur Exchange.
Étapes pour installer la mise à jour cumulative dans Exchange Server 2013, 2016 et 2019
Il existe deux façons d’installer les mises à jour cumulatives,
- Par le biais d’une interface utilisateur graphique (GUI).
- Utilisation du mode sans surveillance de l’invite de commande.
Nous avons abordé ci-dessous les deux façons d’installer les mises à jour cumulatives sur les serveurs Exchange autonomes et DAG.
Étape 1 : Télécharger la mise à jour cumulative
Avant de télécharger le dernier CU pour votre serveur Exchange, vérifiez la version actuelle à l’aide du cmdlet Exchange Management Shell suivant,
Get-ExchangeServer | fl Name,Edition,AdminDisplayVersion
Ensuite, visitez la page des numéros de build et des dates de publication d’Exchange Server pour vérifier et télécharger la dernière mise à jour cumulative pour votre version d’Exchange Server. Ne téléchargez jamais de mises à jour de sécurité ou de mises à jour cumulatives à partir de sites tiers ou non officiels, car elles peuvent contenir des logiciels malveillants.
Étape 2 : Mettre le serveur Exchange en mode maintenance
Il est recommandé de mettre Exchange Server en mode maintenance avant de le mettre à jour ou de le mettre à niveau. Vous pouvez utiliser les commandes PowerShell suivantes dans Exchange Management Shell (EMS) pour mettre votre Exchange Server 2013, 2016 ou 2019 en mode maintenance.
- Mettre HubTransport à l’état de vidange,
Set-ServerComponentState -Identity "ServerName" -Component HubTransport -State Draining -Requester Maintenance
- Si vous disposez d’un autre serveur Exchange dans l’organisation, redirigez le message en file d’attente vers ce serveur.
Redirect-Message -Server ServerName -Target "ServerName-02.stellarinfo.com"
- Si le serveur appartient au groupe DAG, exécutez la commande suivante ; sinon, passez à ServerWideOffline
Suspendre le nœud de grappe "ServerName-01"
- Désactivez ensuite l’activation automatique de la copie de la base de données et déplacez la copie active de la base de données vers un autre membre du DAG.
Set-MailboxServer "ServerName-01" -DatabaseCopyActivationDisabledAndMoveNow -DatabaseCopyActivationDisabledAndMoveNow $true
- Bloquez également la politique DatabaseCopyAutoActivationPolicy,
Set-MailboxServer "ServerName-01" -DatabaseCopyAutoActivationPolicy Blocked -DatabaseCopyAutoActivationPolicy Bloqué
- Ensuite, mettez le serveur Exchange en mode maintenance à l’aide de la commande suivante,
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Inactive -Requester Maintenance
- Pour vérifier que le serveur Exchange est en mode maintenance, exécutez la commande suivante,
Get-ServerComponentState "ServerName" | Select Component, State
Les composants doivent être inactifs.
- Redémarrer le serveur.
Étape 3 : Préparation de la mise à jour cumulative
Sur la page de téléchargement, consultez la section relative à la configuration requise pour connaître les prérequis nécessaires à l’installation.
En général, vous devez installer les éléments suivants :
Étape 4 : Installation de la fonctionnalité RSAT-ADDs
Avant d’étendre le schéma Active Directory, vous devez installer la fonctionnalité RSAT-ADD (Remote Tools Administration Pack) sur le contrôleur de domaine et le serveur Exchange. Pour ce faire, ouvrez PowerShell en tant qu’administrateur et exécutez la commande suivante,
Dispositif d'installation de fenêtres RSAT-ADDS
Redémarrer le serveur.
Étape 5 : Préparer le schéma, l’AD et les domaines
Pour préparer le schéma, l’Active Directory et les domaines, ouvrez l’Invite de commande en tant qu’administrateur et naviguez jusqu’à l’emplacement de l’ISO CU montée à l’aide de la commande CD. Par exemple,
cd F :
Exécutez ensuite les commandes suivantes pour préparer le schéma, l'AD et tous les domaines,\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareSchema
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAD
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAllDomains or /PrepareDomain
REMARQUE : À partir de l’UC de septembre 2021, vous devez utiliser l’option /IAcceptExchangeLicenseterms_DiagnosticDataOFF ou/IAcceptExchangeLicenseterms_DiagnosticData_ON pour les installations sans surveillance.
Redémarrez le serveur dans l’intervalle pour effacer les redémarrages en attente.
Étape 6 : Installer les mises à jour cumulatives via l’installation sans surveillance ou l’interface graphique
Après avoir installé les prérequis sur votre serveur, montez l’image ISO de la mise à jour cumulative téléchargée.
Vous pouvez installer la mise à jour cumulative à l’aide de l’invite de commande ou lancer directement le fichier Setup.exe à partir de l’emplacement de montage.
Pour exécuter l’installation en mode sans surveillance via l’invite de commande, ouvrez une invite de commande surélevée et exécutez la commande suivante,
cd F :\Setup.exe /Mode:Upgrade /IAcceptExchangeServerLicenseTerms
Étape 7 : Retirer le serveur du mode maintenance
Une fois l’installation terminée, redémarrez le serveur et vérifiez la version actuelle à l’aide de la commande suivante dans EMS,
Get-ExchangeServer | Fl
Une fois vérifié, retirez le serveur du mode maintenance en utilisant la commande suivante dans Exchange Management Shell :
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Active -Requester Maintenance
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
Sur le serveur membre du DAG, vous devez exécuter les commandes suivantes pour supprimer le mode maintenance,
Reprendre un nœud de grappe -Nom du serveur
Set-MailboxServer ServerName -DatabaseCopyAutoActivationPolicy Unrestricted
Set-MailboxServer Servername -DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Active -Requester Maintenance
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
Pour vérifier que le serveur membre du DAG n’est plus en mode maintenance,
Get-ClusterNode "ServerName" (nom du serveur)
Étape 8 : Installer les mises à jour de sécurité en attente (SU)
Une fois que vous avez mis à jour votre serveur Exchange avec les dernières mises à jour cumulatives, vérifiez les éventuelles mises à jour de sécurité en attente. Vous pouvez exécuter le script healthChecker.ps1 sur votre serveur pour trouver les vulnérabilités, puis appliquer les SU pour les corriger.
Pour installer les mises à jour de sécurité, naviguez jusqu’au dossier dans lequel les mises à jour de sécurité sont téléchargées (fichiers .msp) et exécutez la commande suivante dans la fenêtre élevée de l’Invite de commande,
.\NMise à jour.msp
Suivez l’assistant pour terminer l’installation, puis redémarrez.
MISE À JOUR IMPORTANTE : À partir de mai 2023, Microsoft publiera les mises à jour de sécurité et les correctifs sous forme de fichiers exécutables auto-extractibles. Ainsi, il est possible d’installer directement les SU et HF de mai 2023 ou ultérieures en tant qu’administrateur ou avec des privilèges d’administrateur, comme n’importe quel autre programme.
Conclusion
Microsoft recommande à ses clients Exchange d’installer les dernières mises à jour – qu’il s’agisse de mises à jour de sécurité (SU) ou de mises à jour cumulatives (CU) – dès qu’elles arrivent afin de protéger l’organisation contre les menaces connues et les attaques malveillantes. Les attaques contre les serveurs Exchange non corrigés augmentent souvent immédiatement après la publication des correctifs ou des mises à jour par Microsoft, ce qui accroît les risques de compromission de votre organisation. Pour prévenir les risques, installez les mises à jour dès que possible.
Toutefois, si le serveur est compromis ou si la base de données est endommagée à la suite d’une attaque malveillante ou d’une panne de serveur, créez un nouveau serveur et restaurez les boîtes aux lettres à partir de la sauvegarde. N’utilisez jamais le serveur compromis, même si vous pouvez le réparer.
Si la sauvegarde n’est pas disponible, utilisez un logiciel de récupération de serveur Exchange, tel que Stellar Repair for Exchange, pour récupérer les boîtes aux lettres de votre serveur Exchange compromis et les enregistrer sous forme de PST. Vous pouvez également exporter les boîtes aux lettres extraites de la base de données Exchange corrompue ou endommagée directement vers votre nouveau serveur Live Exchange ou votre locataire Microsoft 365 en quelques clics.