Ti, co spravují Exchange server 2013, tak už určitě aplikovali novou bezpečnostní záplatu KB5004778. Jaké však bylo překvapení když po restartu služeb a nebo i celého serveru nebylo možné použít webové konsole ECP a OWA.
Instalace aktualizace je dostupná pomocí Windows Update nebo je možné si ji stáhnout jako samostatnou aktualizaci.
V našem případě použijeme samostatně spustitelnou aktualizaci. Po stažení a spuštění aktualizace. Projdeme si klasického průvodce instalací.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image.png)
Odsouhlasíme licenční podmínky a pokračujeme dále.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-1.png)
Poté se spustí instalace
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-2.png)
Pokud nejsou dostupné všechny soubory, které se mají aktualizovat, tak lze pokračovat tlačítkem Ignore.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-3.png)
Instalace aktualizace se dokončí.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-4.png)
Aktualizaci dokončíme tlačítkem Finish.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-5.png)
Protože nebylo možné nahradit všechny soubory během instalace, tak je zapotřebí restartovat celý server.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-6.png)
Na první pohled to vypadá, že je ECP k dispozici a tak se pokusíme přihlásit do administrace.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-7-1024x576.png)
Při přihlášení nás ovšem čeká velmi nemilé překvapení. Z této chybové hlášky nebudete moc rozumní.
Server Error in ‚/owa‘ Application.
ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-8-1024x576.png)
Jak vyřešit tento problém?
Spustíme si Exchange Management Shell (PowerShell pro Exchange Server)
- vložíme následující kód, kterým si vygenerujeme nový Microsoft Exchange Server Auth Certificate. Parametr -DomainName „TreyResearch.net“ nahradíme doménou, kde je instalován náš Exchange server.
New-ExchangeCertificate -KeySize 2048 -PrivateKeyExportable $true -SubjectName "cn=Microsoft Exchange Server Auth Certificate" -FriendlyName "Microsoft Exchange Server Auth Certificate" -DomainName "TreyResearch.net"
2. Nyní si zkopírujeme Thumbprint, který vložíme do dalšího příkazu.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-15.png)
Set-AuthConfig -NewCertificateThumbprint 089E8FCA04E42854B580DA0E12FDFBBECCB64E59 -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate
3. Jako poslední krok provedeme restart obou aplikačních poolů.
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool
Zde je přehledná ukázka všech příkazů krok za krokem.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-9.png)
V případě, že se bude stále zobrazovat chyba (viz výše), tak je zapotřebí chvilku počkat, než se změny projeví. Tato doba je závislá na velikosti a složitosti infrastruktury. Může trvat třeba i několik hodin.
Nyní je již možné se opět přihlásit do ECP i OWA.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-10-1024x576.png)
V rámci Administrace Exchanage Serveru ještě provedeme malý úklid. Smažeme starý autentizační certifikát již nemá smysl dále udržovat na serveru.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-11-1024x576.png)
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-17.png)
Protože se oba certifikáty jmenují stejně, tak vybereme jeden z nich a podíváme se na detaily. Tam je možné si zobrazit Thumbprint certifikátu.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-12.png)
Poté stačí pouze vybrat ikonu Delete a potvrdit zprávu tlačítkem ok.
![](https://www.jaroslavnedbal.cz/wp-content/uploads/2021/08/image-13.png)
Nyní máme opět aktualizovaný plně funkční Exchnage Server.
Aktualizace proběhne správně i když provedete nejprve vygenerování nového certifikátu a poté spustíte instalaci bezpečnostní aktualizace.
Postupoval lze i v obráceném sledu, což znamená nejprve vytvořit nový authentizační certifikát a poté aplikovat bezpečnostní záplatu.
1 comment so far