Summary: Microsoft consiglia ai propri utenti e clienti di installare gli aggiornamenti cumulativi (CU), gli aggiornamenti di sicurezza (SU) e le correzioni rapide (HF) di Exchange Server il prima possibile per proteggersi dalle minacce note ed evitare il rischio di attacchi dannosi. Tuttavia, l'installazione o l'aggiornamento di Exchange Server a una CU più recente richiede pianificazione e preparazione per garantire che gli utenti non siano interessati e che l'aggiornamento vada a buon fine. In questo articolo abbiamo condiviso le istruzioni dettagliate per applicare gli aggiornamenti cumulativi a Exchange Server 2013 e successivi. Potete seguire queste istruzioni per aggiornare in modo sicuro il vostro Exchange Server all'ultimo aggiornamento cumulativo.
Gli aggiornamenti del software sono fondamentali in quanto apportano nuove funzionalità, correggono i bug e correggono le vulnerabilità che gli attori delle minacce possono sfruttare per ottenere un accesso non autorizzato. Microsoft rilascia aggiornamenti di sicurezza (SU) mensilmente e aggiornamenti cumulativi (CU) per le versioni di Exchange Server supportate, come Exchange 2013, 2016 e 2019, ogni trimestre.
Gli aggiornamenti cumulativi contengono tutti gli hotfix e gli aggiornamenti di sicurezza rilasciati tra la versione corrente e l’ultima CU. Inoltre, le CU apportano anche nuove funzionalità e aggiornamenti che possono migliorare le prestazioni e l’affidabilità del server.
Inoltre, Microsoft fornisce aggiornamenti di sicurezza per le build (CU) più recenti e smette di supportare le CU di Exchange Server più vecchie.
Pertanto, l’aggiornamento del server Exchange all’ultimo aggiornamento cumulativo è fondamentale per continuare a ricevere i nuovi aggiornamenti di sicurezza e proteggere l’ambiente Exchange da attacchi dannosi.
Di seguito abbiamo spiegato il processo completo di download e applicazione degli ultimi aggiornamenti cumulativi rilasciati da Microsoft per le versioni di Exchange Server supportate, con istruzioni passo dopo passo. È possibile seguire questa guida per applicare gli aggiornamenti cumulativi a Exchange Server 2013, 2016 e 2019.
Cose da considerare prima di installare l’aggiornamento cumulativo di Exchange
Prima di iniziare l’installazione dell’aggiornamento cumulativo di Exchange Server, considerare quanto segue:
- Se si esegue un server Exchange indipendente, il flusso di posta si interromperà fino al termine dell’applicazione degli aggiornamenti cumulativi. Pertanto, è fondamentale pianificare l’aggiornamento, poiché può richiedere del tempo per essere completato. La pianificazione eviterà anche problemi o casi di installazione non riuscita che possono rendere il server inutilizzabile.
- Dopo l’aggiornamento, non è possibile disinstallare gli Aggiornamenti cumulativi perché la disinstallazione di CU rimuoverà Exchange Server.
- Le personalizzazioni effettuate su Exchange Server, come i file Web.config, verranno sovrascritte e sarà necessario riapplicarle al termine dell’aggiornamento CU. Pertanto, salvare tutte le impostazioni personalizzate di Exchange e IIS effettuate.
- Testare sempre l’aggiornamento cumulativo in un ambiente di prova prima di distribuirlo sul server di produzione.
NOTA IMPORTANTE: Eseguire un backup prima di iniziare l’installazione della CU. Se l’aggiornamento non riesce per qualsiasi motivo, è possibile utilizzare il backup per creare un nuovo server e ripristinare i database delle caselle postali. Tuttavia, se il backup non è disponibile, è possibile utilizzare un software di ripristino di Exchange, come Stellar Repair for Exchange, per ripristinare le caselle postali dal server Exchange fallito ed esportarle direttamente sul nuovo server Exchange live.
Passaggi per installare l’aggiornamento cumulativo in Exchange Server 2013, 2016 e 2019
Esistono due modi per installare gli aggiornamenti cumulativi,
- Attraverso l’interfaccia grafica (GUI).
- Utilizzo del prompt dei comandi in modalità non presidiata.
Di seguito sono illustrati entrambi i modi per installare gli aggiornamenti cumulativi sui server Exchange standalone e DAG.
Passo 1: Scaricare l’aggiornamento cumulativo
Prima di scaricare l’ultima CU per il vostro Exchange Server, verificate la versione corrente utilizzando il seguente cmdlet di Exchange Management Shell,
Get-ExchangeServer | fl Nome, Edizione, AdminDisplayVersion
Visitate quindi la pagina dei numeri di build e delle date di rilascio di Exchange Server per controllare e scaricare l’ultimo aggiornamento cumulativo per la vostra versione di Exchange Server. Non scaricate mai aggiornamenti di sicurezza o cumulativi da siti di terze parti o non ufficiali perché potrebbero contenere malware.
Passo 2: Mettere Exchange Server in modalità di manutenzione
Si consiglia di mettere Exchange Server in modalità di manutenzione prima di aggiornarlo o potenziarlo. È possibile utilizzare i seguenti comandi PowerShell in Exchange Management Shell (EMS) per mettere Exchange Server 2013, 2016 o 2019 in modalità di manutenzione.
- Imposta HubTransport sullo stato di scarico,
Set-ServerComponentState -Identity "ServerName" -Component HubTransport -State Draining -Requester Maintenance- Se nell’organizzazione è presente un altro Exchange Server, reindirizzare il messaggio in coda a tale server.
Redirect-Message -Server ServerName -Target "ServerName-02.stellarinfo.com"- Se il server appartiene al gruppo DAG, eseguire il seguente comando; altrimenti, passare a ServerWideOffline
Sospendere-ClusterNode "NomeServer-01"- Disattivare quindi l’attivazione automatica della copia del database e spostare la copia attiva del database in un altro membro del DAG.
Set-MailboxServer "NomeServer-01" -DatabaseCopyActivationDisabledAndMoveNow $true- Inoltre, bloccare la DatabaseCopyAutoActivationPolicy,
Set-MailboxServer "ServerName-01" -Politica di autoattivazione della copia del database Bloccata- Quindi mettete il server di Exchange in modalità di manutenzione utilizzando il seguente comando,
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Inactive -Richiedente Manutenzione- Per verificare che Exchange Server sia in modalità di manutenzione, eseguire il seguente comando,
Get-ServerComponentState "ServerName" | Seleziona componente, statoI componenti devono essere in stato di inattività.
- Riavviare il server.
Fase 3: Preparare l’aggiornamento cumulativo
Nella pagina di download, controllate la sezione dei requisiti di sistema per conoscere i pre-requisiti necessari per l’installazione.
Di solito è necessario installare quanto segue:
Passo 4: Installazione della funzione RSAT-ADDs
Prima di estendere lo schema di Active Directory, è necessario installare la funzione RSAT-ADD (Remote Tools Administration Pack) sul controller di dominio e su Exchange Server. A tal fine, aprire PowerShell come amministratore ed eseguire il seguente comando,
Installare la funzione RSAT-ADDSRiavviare il server.
Passo 5: preparare schema, AD e domini
Per preparare Schema, Active Directory e Domini, aprire il Prompt dei comandi come amministratore e navigare nella posizione ISO CU montata usando il comando CD. Ad esempio,
cd F:Eseguire quindi i seguenti comandi per preparare lo schema, l’AD e tutti i domini,
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareSchema
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAD
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAllDomains o /PrepareDomain
NOTA: A partire dalla CU di settembre 2021, è necessario utilizzare l’opzione /IAcceptExchangeLicenseterms_DiagnosticDataOFF o/IAcceptExchangeLicenseterms_DiagnosticData_ON per le installazioni non presidiate.
Riavviate il server tra un riavvio e l’altro per cancellare tutti i riavvii in corso.
Fase 6: Installazione degli aggiornamenti cumulativi tramite installazione non presidiata o GUI
Dopo aver installato i prerequisiti sul server, montare l’immagine ISO dell’aggiornamento cumulativo scaricata.
È possibile installare l’aggiornamento cumulativo utilizzando il Prompt dei comandi o lanciando direttamente il file Setup.exe dalla posizione di montaggio.
Per eseguire l’installazione in modalità non presidiata tramite Prompt dei comandi, aprire un prompt dei comandi elevato ed eseguire il seguente comando,
cd F:\Setup.exe /Mode:Upgrade /IAcceptExchangeServerLicenseTermsPasso 7: Rimuovere il server dalla modalità di manutenzione
Una volta terminata l’installazione, riavviare il server e verificare la versione corrente con il seguente comando in EMS,
Get-ExchangeServer | Fl
Una volta verificato, rimuovere il server dalla modalità di manutenzione utilizzando il seguente comando in Exchange Management Shell:
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Active -Requester MaintenanceSet-ServerComponentState NomeServer -Componente HubTransport -Stato Attivo -Richiedente ManutenzioneSul server membro del DAG, è necessario eseguire i seguenti comandi per rimuovere la modalità di manutenzione,
Resume-ClusterNode -Name ServerNameSet-MailboxServer NomeServer -DatabaseCopyAutoActivationPolicy UnrestrictedSet-MailboxServer Servername -DatabaseCopyActivationDisabledAndMoveNow $falseSet-ServerComponentState "ServerName" -Component ServerWideOffline -State Active -Requester MaintenanceSet-ServerComponentState NomeServer -Componente HubTransport -Stato Attivo -Richiedente ManutenzionePer verificare che il server membro del DAG sia uscito dalla modalità di manutenzione,
Ottenere-ClusterNode "NomeServer"Passo 8: Installare gli aggiornamenti di sicurezza in sospeso (SU)
Dopo aver aggiornato il server Exchange agli ultimi aggiornamenti cumulativi, controllare gli aggiornamenti di sicurezza in sospeso. È possibile eseguire lo script healthChecker.ps1 sul server per individuare le vulnerabilità e quindi applicare le SU per correggerle.
Per installare gli aggiornamenti di sicurezza, navigare nella cartella in cui sono stati scaricati gli aggiornamenti di sicurezza (file .msp) ed eseguire il seguente comando nella finestra elevata del Prompt dei comandi,
.\Updatename.mspSeguire la procedura guidata per completare l’installazione e riavviare.
AGGIORNAMENTO IMPORTANTE: a partire da maggio 2023, Microsoft rilascerà gli aggiornamenti di sicurezza e le correzioni rapide come file eseguibili autoestraenti. Pertanto, è possibile installare direttamente gli SU e gli HF di maggio 2023 o successivi come amministratori o con privilegi di amministrazione come qualsiasi altro programma.
Conclusione
Microsoft consiglia ai clienti di Exchange di installare gli aggiornamenti più recenti, siano essi aggiornamenti di sicurezza (SU) o aggiornamenti cumulativi (CU), non appena arrivano per proteggere l’organizzazione da minacce note e attacchi dannosi. Gli attacchi a Exchange Server senza patch spesso aumentano subito dopo il rilascio delle patch o degli aggiornamenti da parte di Microsoft, aumentando le possibilità di compromissione dell’organizzazione. Per prevenire i rischi, installate gli aggiornamenti il prima possibile.
Tuttavia, se il server è compromesso o il database è danneggiato in seguito a un attacco malevolo o a un guasto del server, creare un nuovo server e ripristinare le caselle postali dal backup. Non utilizzare mai il server compromesso, anche se è possibile ripararlo.
Se il backup non è disponibile, utilizzare un software di recupero del server Exchange, come Stellar Repair for Exchange, per recuperare le caselle postali dal server Exchange compromesso e salvarle come PST. È anche possibile esportare le caselle di posta estratte dal database Exchange danneggiato o corrotto direttamente sul nuovo Live Exchange Server o sul tenant Microsoft 365 in pochi clic.
