Summary: Microsoft raadt zijn gebruikers en klanten aan om de Exchange Server Cumulative Updates (CU's), Security Updates (SU's) en Hot Fixes (HF's) zo snel mogelijk te installeren om zich te beschermen tegen bekende bedreigingen en het risico van kwaadaardige aanvallen te vermijden. Het installeren of upgraden van Exchange Server naar nieuwere CU's vereist echter planning en voorbereiding om ervoor te zorgen dat uw gebruikers niet worden beïnvloed en de upgrade succesvol is. In dit artikel delen we de gedetailleerde instructies om Cumulative Updates toe te passen op Exchange Server 2013 en nieuwer. Je kunt deze instructies volgen om je Exchange Server veilig te upgraden naar de nieuwste Cumulative Update.
Software-updates zijn van cruciaal belang omdat ze nieuwe functies bieden, bugs repareren en kwetsbaarheden verhelpen die bedreigers kunnen misbruiken om ongeautoriseerde toegang te krijgen. Microsoft brengt maandelijks Security Updates (SU’s) uit en elk kwartaal Cumulatieve Updates (CU’s) voor ondersteunde Exchange Server-versies, zoals Exchange 2013, 2016 en 2019.
Cumulatieve updates bevatten alle hotfixes en beveiligingsupdates die zijn uitgebracht tussen de huidige en de laatste CU-release. Daarnaast brengen CU’s ook nieuwe functies en updates die de prestaties en betrouwbaarheid van de server kunnen verbeteren.
Bovendien biedt Microsoft beveiligingsupdates voor nieuwere builds (CU’s) en stopt het met de ondersteuning van oudere Exchange Server CU’s.
Het updaten van de Exchange Server naar de laatste Cumulative Update is dus essentieel om nieuwe beveiligingsupdates te blijven ontvangen en de Exchange-omgeving te beschermen tegen kwaadaardige aanvallen.
Hieronder hebben we het volledige proces uitgelegd van het downloaden en toepassen van de nieuwste Cumulatieve Updates die Microsoft heeft uitgebracht voor ondersteunde Exchange Server-versies met stapsgewijze instructies. Je kunt deze handleiding volgen om de Cumulative Updates toe te passen op Exchange Server 2013, 2016 en 2019.
Dingen die u in overweging moet nemen voordat u de Exchange Cumulatieve Update installeert
Houd rekening met het volgende voordat u begint met de installatie van de Cumulatieve Update voor Exchange Server:
- Als u een standalone Exchange Server gebruikt, stopt de mailstroom totdat u klaar bent met het toepassen van de cumulatieve updates. Het is dus belangrijk om de update te plannen, aangezien het enige tijd kan duren voordat deze is voltooid. Planning voorkomt ook problemen of gevallen van mislukte installatie die de server onbruikbaar kunnen maken.
- Na de upgrade kun je Cumulative Updates niet verwijderen omdat het verwijderen van CU de Exchange Server verwijdert.
- Aanpassingen aan Exchange Server, zoals Web.config-bestanden, worden overschreven en moeten opnieuw worden toegepast nadat de CU-upgrade is voltooid. Bewaar daarom alle aangepaste Exchange- en IIS-instellingen die u hebt gemaakt.
- Test de Cumulatieve update altijd in een testomgeving voordat je deze uitrolt naar de productieserver.
BELANGRIJKE OPMERKING: Maak een back-up voordat je de CU gaat installeren. Als de update om wat voor reden dan ook mislukt, kunt u uw back-up gebruiken om een nieuwe server te bouwen en de mailboxdatabases te herstellen. Als de back-up echter niet beschikbaar is, kunt u Exchange recovery software gebruiken, zoals Stellar Repair for Exchange, om mailboxen te herstellen van de mislukte Exchange Server en deze direct te exporteren naar de nieuwe live Exchange Server.
Stappen om cumulatieve updates te installeren in Exchange Server 2013, 2016 en 2019
Er zijn twee manieren om Cumulatieve Updates te installeren,
- Via grafische gebruikersinterface (GUI).
- Opdrachtprompt zonder toezicht gebruiken.
Hieronder hebben we beide manieren besproken om de Cumulative Updates te installeren op standalone en DAG Exchange Servers.
Stap 1: De cumulatieve update downloaden
Voordat je de nieuwste CU voor je Exchange Server downloadt, moet je de huidige versie controleren met het volgende cmdlet van Exchange Management Shell,
Get-ExchangeServer | fl Naam, Editie, AdminDisplayVersie
Ga vervolgens naar de pagina met buildnummers en releasedata voor Exchange Server om de nieuwste cumulatieve updates voor uw Exchange Server-versie te controleren en te downloaden. Download nooit beveiligingsupdates of cumulatieve updates van externe of onofficiële sites omdat deze malware kunnen bevatten.
Stap 2: Zet Exchange Server in onderhoudsmodus
Het wordt aanbevolen om Exchange Server in onderhoudsmodus te zetten voordat u deze bijwerkt of upgradet. Je kunt de volgende PowerShell-opdrachten in Exchange Management Shell (EMS) gebruiken om je Exchange Server 2013, 2016 of 2019 in onderhoudsmodus te zetten.
- Stel HubTransport in op leegloopstatus,
Set-ServerComponentState -Identity “ServerName” -Component HubTransport -State Draining -Requester Maintenance
- Als u een andere Exchange Server in de organisatie hebt, stuurt u het bericht in de wachtrij door naar die server
Redirect-Message -Server ServerName -Target “ServerName-02.stellarinfo.com”.
- Als de server tot de DAG-groep behoort, voert u de volgende opdracht uit; anders gaat u naar ServerWideOffline
Opschorten-ClusterNode “ServerNaam-01”.
- Schakel vervolgens de automatische activering van databasekopieën uit en verplaats de actieve kopie van de database naar een ander DAG-lid.
Set-MailboxServer “ServerName-01”. -DatabaseCopyActivationDisabledAndMoveNow $true
- Blokkeer ook het DatabaseCopyAutoActivationPolicy,
Set-MailboxServer “ServerName-01”. -DatabaseCopyAutoActivationPolicy Geblokkeerd
- Zet de Exchange Server vervolgens in onderhoudsmodus met de volgende opdracht,
Set-ServerComponentState “ServerName” -Component ServerWideOffline -State Inactive -Requester Maintenance
- Voer de volgende opdracht uit om te controleren of Exchange Server in onderhoudsmodus staat,
Get-ServerComponentState “Servernaam” | Selecteer component, status
De componenten moeten inactief zijn.
Start de server opnieuw op.
Stap 3: Voorbereiden op cumulatieve bijwerking
Controleer op de downloadpagina het gedeelte met systeemvereisten voor informatie over de vereisten die je moet installeren.
Meestal moet je het volgende installeren:
Stap 4: RSAT-ADD’s installeren
Voordat u het Active Directory Schema uitbreidt, moet u de RSAT-ADD-functie (Remote Tools Administration Pack) installeren op de domeincontroller en Exchange Server. Open hiervoor PowerShell als beheerder en voer de volgende opdracht uit,
Vensterfunctie RSAT-ADDS installeren
Start de server opnieuw op.
Stap 5: Schema, AD en domeinen voorbereiden
Om het schema, de Active Directory en de domeinen voor te bereiden, opent u Command Prompt als beheerder en navigeert u naar de locatie van de gemounte CU ISO met de opdracht CD. Bijvoorbeeld,
cd F:
Voer vervolgens de volgende opdrachten uit om het schema, de AD en alle domeinen voor te bereiden,
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareSchema
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAD
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAllDomains of /PrepareDomain
OPMERKING: Vanaf september 2021 CU moet je de /IAcceptExchangeLicenseterms_DiagnosticDataOFF of/IAcceptExchangeLicenseterms_DiagnosticData_ON gebruiken voor installaties zonder toezicht.
Herstart de server tussendoor om alle hangende herstarts te wissen.
Stap 6: Cumulatieve updates installeren via Unattended Setup of GUI
Nadat je de vereisten op je server hebt geïnstalleerd, koppel je de gedownloade ISO-image van de Cumulatieve Update.
Je kunt Cumulative Update installeren met de opdrachtprompt of het bestand Setup.exe rechtstreeks starten vanaf de koppellocatie.
Om de installatie in onbeheerde modus uit te voeren via de opdrachtprompt, open je een verhoogde opdrachtprompt en voer je de volgende opdracht uit,
cd F:
\Setup.exe /Mode:Upgrade /IAcceptExchangeServerLicenseTerms
Stap 7: Server uit de onderhoudsmodus halen
Zodra de installatie is voltooid, herstart u de server en controleert u de huidige versie met het volgende commando in EMS,
Get-ExchangeServer | Fl
Zodra dit is geverifieerd, verwijdert u de server uit de onderhoudsmodus met de volgende opdracht in Exchange Management Shell:
Set-ServerComponentState “ServerName” -Component ServerWideOffline -State Active -Requester Maintenance
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
Op de DAG-lid-server moet je de volgende commando’s uitvoeren om de onderhoudsmodus te verwijderen,
Hervat-ClusterNode -Naam ServerNaam
Set-MailboxServer ServerName -DatabaseCopyAutoActivationPolicy Onbeperkt
Set-MailboxServer Servername -DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState “ServerName” -Component ServerWideOffline -State Active -Requester Maintenance
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
Om te controleren of de DAG-lidserver uit de onderhoudsmodus is,
Get-ClusterNode “ServerNaam”
Stap 8: In afwachting van beveiligingsupdates (SU’s) installeren
Zodra je je Exchange Server hebt bijgewerkt naar de laatste Cumulative Updates, controleer dan of er beveiligingsupdates in behandeling zijn. Je kunt healthChecker.ps1 script uitvoeren op je server om de kwetsbaarheden te vinden en vervolgens de SU’s toe te passen om deze te patchen.
Om beveiligingsupdates te installeren, navigeert u naar de map waarin beveiligingsupdates zijn gedownload (.msp-bestanden) en voert u de volgende opdracht uit in het verhoogde opdrachtpromptvenster,
.Updatename.msp
Volg de wizard om de installatie te voltooien en start opnieuw op.
BELANGRIJKE UPDATE: Vanaf mei 2023 zal Microsoft de Security Updates en Hot Fixes uitbrengen als zelfuitpakkende, automatisch uit te voeren uitvoerbare bestanden. Men kan de SU’s en HF’s van mei 2023 of later dus rechtstreeks installeren als beheerder of met beheerdersrechten zoals elk ander programma.
Conclusie
Microsoft raadt Exchange-klanten aan de nieuwste updates te installeren – of het nu gaat om Security Updates (SU’s) of Cumulative Updates (CU’s) – zodra ze beschikbaar zijn om de organisatie te beschermen tegen bekende bedreigingen en kwaadaardige aanvallen. Aanvallen op ongepatchte Exchange Server nemen vaak toe direct nadat Microsoft de patches of updates uitbrengt, waardoor de kans toeneemt dat uw organisatie wordt gecompromitteerd. Installeer de updates zo snel mogelijk om risico’s te voorkomen.
Als de server echter gecompromitteerd is of de database is beschadigd na een kwaadaardige aanval of serverstoring, maak dan een nieuwe server aan en herstel de mailboxen vanaf de back-up. Gebruik nooit de gecompromitteerde server, zelfs niet als u hem kunt repareren. Als de back-up niet beschikbaar is, gebruik dan Exchange server recovery software, zoals Stellar Repair for Exchange, om mailboxen van uw gecompromitteerde Exchange Server te herstellen en op te slaan als PST’s. U kunt ook de geëxtraheerde mailboxen van corrupte of beschadigde Exchange-database rechtstreeks exporteren naar uw nieuwe Live Exchange Server of Office 365-tenant in een paar klikken.
