Počátkem března vyšla velmi důležitá záplata na zranitelnost Microsoft Exchange Serverů 2010 – 2019. Z hlediska závažnosti této bezpečnostní chyby je nezbytné aplikovat tuto opravu na Exchange servery co možná nejdříve. O tom jsem psal již v mém příspěvku Upozornění na kritický patch pro Microsoft Exchange 2010 – 2019.
Protože vás však v průběhu patchování může potkat několik záludností, tak vám zde raději popíšu postup, jak Microsoft Exchange Server zaktualizovat.
V následujícím postupu popíšu jako příklad průběh aktualizace Microsoft Exchange Serveru 2013 se SP 1.
Potřebné KB pro opravu této zranitelnosti jsou zde:
- Exchange Server 2019 Cumulative Update 2 (KB4488401), VLSC Download
- Exchange Server 2016 Cumulative Update 13 (KB4488406), Download, UM Lang Packs
- Exchange Server 2013 Cumulative Update 23 (KB4489622), Download, UM Lang Packs
Nejprve je zapotřebí si stáhnout nejnovější kumulativní update, který je nutné aplikovat.
V mém případě si tedy stáhnu kumulativní update (CU 23). Tento update si poté rozbalím do dočasného adresáře (třeba C::\Temp\CU23) na doménovém řadiči, protože instalace CU23 vyžaduje rozšíření schématu Active Directory.
Postup patchování má celkem 5 kroků:
1. Rozšíření schématu Active Directory
Než začneme rozšiřovat schéma Active Directory, tak bude zapotřebí několik příprav:
- účet, který budeme používat pro rozšíření schématu musí být členem skupiny zabezpečení Schema Admins a Enterprise Admins.
- Doménové řadiče nesmí být ve stavu, kdy čekají na instalaci aktualizací nebo čekají na restart po instalované aktualizaci. Toto si systém naštěstí hlídá, takže vás nepustí dále. Ale zbytečně se nebudete zdržovat čekáním na nutnost restartů doménových řadičů a poté doběhnutí replik mezi doménovými řadiči.
To, že systém čeká na restart po instalaci můžete zkontrolovat i v registrech na cestě HKLM\System\CurrentControlSet\Control\Session Manager.
Pokud se tam vyskytuje klíč PendingFileRenameOperations, tak to znamená, že je zapotřebí tento server restartovat. Jinak vás rozšíření schématu nepustí dál a napíše vám tuto hlášku:
Níže vypsaná informace zase znamená, že je zapotřebí počkat než doběhne replikace dat mezi doménovými řadiči.
Tuto záležitost můžeme urychlit manuálním spouštěním replikace mezi doménovými řadiči.
Pokud již doménový řadič nečeká na další restarty a repliky jsou v pořádku, tak můžeme začít prvním krokem, což je rozšíření schématu Active Directory. Nejprve přejdeme do složky z CU23 a poté spustíme příkaz pro rozšíření schématu:
cd C:\Temp\CU23 .\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareSchema
Nyní by mělo již vše projít bez problémů
2. Příprava Active Directory
Dalším krokem je spuštění dalšího příkazu, který bude připravvat kontejnery, objekty a jiné položky v Active Directory pro ukládání informací. OrganizationName je jméno organizace, které jste zadávali při instalaci Exchange Serveru. Pokud byste to již nevěděli, tak je možné tuto informaci získat pomocí PowerShell příkazu. Více zde. DC01 je pouze ukázkový název doménového řadiče.
Get-OrganizationConfig -DomainController DC01
Toto jméno se nemusí shodovat se jménem domény, proto je lepší si tuto informaci vyhledat. Ovšem v příapdě, že máte pouze jednu doménu, tak tento atribut není nutné vyplňovat.
.\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAD /OrganizationName:"IT firma"Je možné, že tento příkaz skončí chybou, kdy vám vypíše informaci, že nebylo možné dohledat nějaké atributy a nahradit. Pokud se to stane, tak zřejmě nemáte Skupiny zabezpečení v originálním umístění, jak tomu bylo po instalaci Microsoft Exchange. Toto napravíte tak, že tyto skupiny nebo celou Organizační jednotku (OU) vrátíte zpátky. Ve výchozím umístění jsou tyto OU přímo v rootu doménového stromu.
Po vrácení OU na své místo by již tento příkaz měl vše provést úspěšně.
3. Příprava domén Active Directory
V tomto kroku se připraví všechny domény, které jsou v rámci forestu.
.\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareDomain nebo konkrétní domény .\Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareDomain:engineering.corp.contoso.com
V tento okamžik máme z hlediska přípravy Active Directory vše připravené a můžeme se pustit do aktualizace Microsoft Exchange Serveru.
Pokud byste rádi se rádi dozvěděli více detailních informací k přípravě Active Directory a domén pro Exchnage server, tak je možné pročíst si tento článek, který je na stránkách Microsoftu.
4. Instalace kumulativního update 23 na Microsoft Exchange Server 2013
Přihlásíme se na Microsoft Exchange Server.
Spuštěním kumulativního update z adresáře umístěného přímo na serveru Microsoft Exchange Serveru se můžete setkat s touto chybou. Soubor na dané cestě existuje a oprávnění je v pořádku, takže se zřejmě jedná o chybu uvnitř průvodce.
Proto doporučuji namapovat adresář s touto instalaci třeba ze serveru DC01, kde jsme tuto složku použili pro přípravu Active Directory.
net use X: \\DC01\C$\Temp\CU23
Z mapovaného svazku spustíme X:\Setup.exe, který spustí průvodce instalací kumulativního update 23. Před instalací zkontroluje veškeré prerekvizity (podmínky), které je nutné splnit, než se instalace bude moci provést. Proběhnou následující testy?
- zda server nečeká na restart po instalaci aktualizace
- zda je na serveru nainstalován .NET Framework 4.7.2 a vyšší
- zda jsou k dispozici runtime knihovny Visual C++ 2013
Pokud něco schází, tak vám to průvodce napíše vč. odkazu pro stažení doplňku nebo k informacím, jak daný požadavek řešit. Mohou se zde i zobrazit upozornění, která je dobré zvážit, ale pro pokračování aktualizace nejsou překážkou.
Pokud je vše v pořádku, tak při kontrole Prerequisites je napsáno 100% a můžeme pokračovat tlačítkem Install. Pak už proběhne instalace kumulativního updatu 23. Tato část je celkem časové náročná, takže je možné si zatím udělat třeba kávu nebo čaj.
Při pokračování instalace po chybě se může stát, že se nebudou zobrazovat obrázky ve formuláři. Každopádně to není žádný problém a instalaci kumulativního updatu to nijak nenaruší.
Po úspěšném dokončení instalace je doporučen restart serveru.
V administraci Microsoft Exchnage serveru je nyní napsána verze
5. Instalace poslední bezpečnostní záplaty na Microsoft Exchange Server 2013 CU23
Po úspěšné instalaci přecházíme k poslednímu bodu a to je instalace bezpečnostní záplaty na CU23, která vyšla 2. 3. 2021. Tato aktualizace by se vám měla automaticky vyhledat i za pomocí Windows Update. Každopádně níže vám nechávám odkaz, abyste ji nemuseli hledat.
Security Update For Exchange Server 2013 CU23 (KB5000871)
Před instalací bezpečností záplaty doporučuji ještě otevřít IIS na poštovním serveru a zkopírovat obsah níže zobrazeného pole do textového souboru. Po aktualizaci totiž bude obsah této položky přepsán na dynamické cesty a může se vám hodit pro kontrolu změn.
Obsah položky BinSearchFolders je:
C:\Program Files\Microsoft\Exchange Server\V15\bin;C:\Program Files\Microsoft\Exchange Server\V15\bin\CmdletExtensionAgents;C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\Owa\bin
Nyní můžeme spustit bezpečnostní aktualizaci. Protože v průběhu instalace této záplaty dojde k zastavení a po instalaci opět spouštění všech Exchange služeb, tak i tato instalace chvilku trvá. Nicméně průběh je standardní jako při instalaci jakékoliv bezpečnostní záplaty.
Po dokončení instalace Security updatu bude vyžadován restart serveru.
Pokud po restartu nebude možné otevřít správu Exchange Serveru (ECP) a zobrazí se vám tato chyba, tak je zapotřebí zkontrolovat proměnné ve atributu BinSearchFolders v rámci IIS u webu ECP.
Důvodem je změna této cesty na cestu dynamickou (nastavenou v rámci proměnné).
%ExchangeInstallDir%bin;%ExchangeInstallDir%bin\CmdletExtensionAgents;%ExchangeInstallDir%ClientAccess\Owa\bin
Tuto proměnnou si můžete zkontrolovat přímo ve vlastnostech systému. Stačí kliknout na jméno serveru. Otevře se okno vlastnosti systému. V záložce Advanced vybereme tlačítko Environment Variables. Tam je jednou z položek právě řádka ExchangeInstallPath, která musí mít korektní cestu. V našem případě: C:\Program Files\Microsoft\Exchange Server\V15\
Cestu si můžeme zobrazit i v příkazovém řádku. Příkazem: echo %ExchangeInstallPath% se nám vypíše cesta C:\Program Files\Microsoft\Exchange Server\V15\, která je pod touto proměnnou nastavena.
Pokud jste došli až sem, tak vám gratuluji. Máte zabezpečený Microsoft Exchange Server 2013 na nejvyšší možnou úroveň.
V případě ostatních Microsoft Exchange serverů je postup obdobný.
Pokud byste měli v průběhu aktualizace nějaký problém nebo máte další zkušenosti, které by mohli ostatním pomoci, tak určitě napište.
Leave a Reply