Vorzeitiges CU1, CU12, CU22 für Exchange 2019 / 2016 / 2013 wegen Security, Rollup für Version 2010

Dieses Berechtigungs­modell erlaubt es Exchange-Admins beispiels­weise, Benutzer­konten einzurichten und diese für den Empfang von E-Mails zu konfigurieren. Bei Split Permissions gibt es eine striktere Trennung zwischen den Aufgaben eines AD- und Exchange-Administrators.

Nachdem das mit den Updates adressierte Rechte­problem nur bei Shared Permissions existiert, wäre der Wechsel auf das Modell mit getrennten Berechtigungen ebenfalls eine Option. Dafür gibt es Microsoft zufolge aber keine Veranlassung, beide Varianten werden weiterhin unterstützt.

Geringere AD-Berechtigungen für Exchange

Die kumulativen Updates für Exchange 2013 bis 2019 passen die Berechtigungen im AD an, wenn man das CU-Setup mit dem Parameter /PrepareAD aufruft. Setzt man mehrere Versionen des Messaging-Systems parallel ein, dann nutzt man für diesen Zweck nur das Setup der höchsten Produkt­version.

In Forests mit mehreren Domänen muss man danach das Setup für jede weitere Domain mit dem Schalter /PrepareDomain ausführen. Beim ersten Aufruf mit /PrepareAD führt die Routine automatisch /PrepareDomain aus.

Rollup 26 für Exchange 2010 SP3

Anwender von Exchange 2010 müssen dagegen die im KB4490059 beschriebene Prozedur manuell durch­laufen. Das gleichzeitig mit den CUs veröffentlichte Rollup behebt nur das zweite Problem, nämlich das mit den Exchange Web Services (EWS) Push-Benach­richtigungen.

Wenn diese zum Client gesendet werden, dann enthielten sie bisher die NTLM-Information, mit der eine Anmeldung im Namen des Servers möglich wäre, auf dem Exchange läuft. Sie wurde benutzt, um eine authen­tifizierte Antwort des Clients zu ermöglichen. Microsoft stuft das Problem als kritisch ein.

Angeblich kein Verlust an Funktionen

Das daher erforderliche Einspielen des jeweiligen kumulativen Updates bzw. des Rollup 26 für Exchange 2010 soll aber zu keinen funktionalen Einschränkungen führen. Microsoft hat dazu gängige Clients wie Outlook Mac, Skype for Business oder native Mail-Apps für iOS gestestet.

Das Exchange-Blog empfiehlt, nach dem Anwenden des kumulativen Updates das Passwort für die Exchange-Server sicherheits­halber zurück­zusetzen. Diesem Zweck dient das PowerShell-Cmdlet Reset-ComputerMachinePassword.

Neues Cmdlet für Exchange 2019

Das CU1 für Exchange 2019 enthält zudem ein neues Cmdlet, mit dem sich ältere Authenti­fizierungs­verfahren wir NTLM pro Benutzer deaktivieren lassen. Damit erhält Exchange 2019 Funktionen, wie sie in Office 365 bereits existieren. Eine entsprechende Dokumentation dazu soll es in Kürze geben.

Vor der Installation ist darauf zu achten, dass die Visual C++ 2012 Runtime vor der Ausführung von CU12 bzw. CU22 auf der Edge-Rolle vorhanden ist. Außerdem sollte auf dem jeweiligen Server die Execuction Policy für PowerShell auf Unristricted gesetzt werden.

Verfügbakeit

Mit Exchange 2019 ging Microsoft dazu über, das kumulative Update nur mehr über das Volume Licensing Server Center (VLSC) und MSDN zur Verfügung zu stellen. Alle anderen Updates sind über folgende Seiten zu beziehen:

• Exchange 2016 Cumulative Update 12 (KB4471392), UM Lang Packs
• Exchange 2013 Cumulative Update 22 (KB4345836), UM Lang Packs
• Exchange 2010 SP3 Update Rollup 26 (KB4487052)