Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR:
2016 2019 Subscription Edition
Übersicht
Es ist sehr wichtig, Ihre lokalen Exchange-Server auf einen unterstützten Zustand zu aktualisieren. Ihre lokalen Umgebungen sollten immer bereit sein, ein Notfallsicherheitsupdate zu verwenden (dies gilt für Exchange, Windows und alle anderen produkte, die Sie lokal verwenden). Da sich die Bedrohungslandschaft schnell weiterentwickelt, sollte die Wichtigkeit, Ihre Umgebung auf dem neuesten Stand zu halten, nicht unterschätzt werden.
Halten Sie Ihre Exchange-Server auf dem neuesten Stand. Wir möchten Ihnen weiterhin dabei helfen, Ihre Umgebung zu schützen. Dies bedeutet, dass Ihre Exchange-Server auf dem neuesten Stand sein müssen. Dies ist ein kontinuierlicher Prozess.
Exchange Server Updatetypen und Releasezeitplan
Es gibt drei Arten von Updates, die Microsoft möglicherweise für Exchange Server veröffentlicht:
| Aktualisierungstyp | Häufigkeit der Veröffentlichung | Exchange-Anforderung | Enthält |
|---|---|---|---|
| Kumulatives Update (Cumulative Update, CU) | Zweimal im Jahr (keine bestimmten Termine). | Exchange muss im allgemeinen Support stehen. | Kumulativ. Enthält Korrekturen aus allen zuvor veröffentlichten Updates. |
| Sicherheitsupdate (SU) | Bei Bedarf. Veröffentlicht in der Regel am "Patch-Dienstag" von Microsoft – dem zweiten Dienstag jedes Monats (es sei denn, die Notfallversion). | Exchange muss mindestens erweiterten Support erhalten. Veröffentlicht nur für die letzte CU (wenn Exchange erweitert unterstützt wird) oder für die letzten beiden CUs (wenn Exchange sich im allgemeinen Support befindet). | Kumulativ. Enthält alle Sicherheitsupdates seit der Veröffentlichung des CU, für das es gilt. |
| Hotfixupdate (HU) | Wird nur veröffentlicht, wenn Featureupdates schneller benötigt werden als CU-Releases. | Exchange muss im allgemeinen Support stehen. | Das Featureupdate gilt nur für das CU, für das es veröffentlicht wurde. |
Aktualisieren bewährter Methoden
Bei diesem Prozess wird davon ausgegangen, dass Ihre Exchange Server weiterhin unterstützt wird:
- Installieren Sie das neueste CU. Verwenden Sie den Exchange-Update-Assistenten , um Ihr aktuelles CU und Ihr Ziel-CU auszuwählen, um bestimmte Anweisungen zu erhalten. Weitere Informationen finden Sie unter Upgraden von Exchange auf das neueste kumulative Update.
- Inventarisieren Sie Ihre Exchange-Server mithilfe des Skripts für die Exchange Server-Integritätsprüfung, um zu ermitteln, welche Updates erforderlich sind. Wenn Sie dieses Skript ausführen, erfahren Sie, ob einer Ihrer Exchange-Server bei Updates (CUs, SUs oder manuellen Aktionen) im Rückstand ist.
- Installieren Sie das Sicherheitsupdate (SU), sobald sie veröffentlicht werden.
- Führen Sie die Integritätsprüfung erneut aus, nachdem Sie eine SU installiert haben, um festzustellen, ob weitere Aktionen erforderlich sind. Manchmal sind zusätzliche Aktionen erforderlich.
- Wenn während oder nach der Installation von Exchange Server Fehler auftreten, führen Sie das Skript SetupAssist aus. Wenn etwas nach Updates nicht ordnungsgemäß funktioniert, lesen Sie Reparieren fehlerhafter Installationen von kumulativen Exchange- und Sicherheitsupdates.
F&A
Wir haben eine Reihe von Fragen und Antworten vorbereitet, die das behandeln, was wir am häufigsten über Exchange-Updates hören.
Wir haben meine Exchange-Server vor einigen Monaten aktualisiert! Wie kommt es, dass sie heute nicht unterstützt werden?
Für Versionen von Exchange, die sich innerhalb des allgemeinen Supports befinden (siehe Produktlebenszyklus), unterstützt Microsoft die beiden neuesten CUs (veröffentlicht relevante Sicherheitskorrekturen für). Manchmal werden die letzten beiden CUs als "N und N-1" bezeichnet. Wenn das neueste veröffentlichte CU CU12 ('N') ist und die Serverversion Exchange Server 2019 ist, unterstützt Microsoft derzeit zwei Exchange Server 2019-CUs, N und N-1 (CU12 und CU11). Wenn CU13 freigegeben wird, wird das "unterstützte CU-Fenster" in Richtung des neu veröffentlichten CU13 gleiten (und was früher das N-1 unterstützte CU war, CU11, wird nicht mehr unterstützt).
Warum veröffentlicht Microsoft so oft Updates?
Es ist gut, dass Updates veröffentlicht werden, wenn Probleme gefunden werden. Microsoft (und andere Softwarehersteller) veröffentlichen Updates nur, wenn sie benötigt werden. CUs enthalten in der Regel Lösungen für Featureprobleme, die uns von unseren Kunden gemeldet wurden (und Sicherheitsupdates von früheren SUs enthalten können) und werden zweimal pro Jahr (in H1 und H2) veröffentlicht. SUs werden nur veröffentlicht, wenn tatsächliche Sicherheitsprobleme gefunden und behoben werden, und werden in der Regel an einem "Patch-Dienstag" veröffentlicht. Sehen wir uns ein Beispiel dafür an, wie ein typischer Releaseflow für zwei von uns freigegebene CUs und zwei SUs aussehen könnte:
- In einem bestimmten Monat (sagen wir märz) können wir CU4 veröffentlichen; CU4 ist kumulativ und enthält Fixes und Updates von früher.
- Einen Monat später veröffentlichen wir CU4 SU1, ein Sicherheitsupdate für CU4.
- Im Juli veröffentlichen wir dann CU4 SU2, ein zusätzliches Sicherheitsupdate für CU4. CU4 SU2 enthält auch Updates, die in CU4 SU1 veröffentlicht wurden.
- Im September veröffentlichen wir CU5, das alle bis dahin veröffentlichten Updates enthält.
Unsere Exchange-Server funktionieren wie erwartet. Warum aktualisieren Sie sie?
Wenn Sie Exchange Server auf dem neuesten Stand halten, können Sie sicherstellen, dass es ohne größere Funktionsunterbrechungen funktioniert, und trägt dazu bei, dass Ihre Unternehmensdaten sicherer sind. Wenn Sie Zeit in Exchange Server Wartung investieren (gemäß Ihrem geplanten Zeitplan), profitieren Sie langfristig von einem gut ausgeführten System, wobei Code so geschützt wie möglich vor Sicherheitsrisiken ist.
Wie können wir Exchange Server aktualisieren, wenn die neuesten unterstützten Exchange Server CUs nicht unterstützt werden (hier den Namen der Drittanbieteranwendung einfügen) unterstützt?
Arbeiten Sie mit Ihrem Drittanbieter zusammen, um seine Software rechtzeitig auf aktuelle Weise zu bringen. Beachten Sie, dass Ihre Exchange-Umgebung viele wertvolle Unternehmensverzeichnis- und Messaginginformationen enthält. Ihre Priorität sollte es sein, Ihre Umgebung so sicher wie möglich zu halten.
Wie können wir auf dem neuesten Stand bleiben, wenn wir ein 24x7-Unternehmen sind und keine Zeit haben, unsere Server zur Wartung herunterzunehmen?
Viele Kunden benötigen Exchange Server, um 24 x 7 zu arbeiten. Tatsächlich ist unser Updateprozess für diese unternehmen mit hoher Nachfrage konzipiert. Sie sollten Datenbankverfügbarkeitsgruppen (DAGs) verwenden und die zu aktualisierenden Server in den Wartungsmodus versetzen, um einen ordnungsgemäßen und unterbrechungsfreien Updateprozess für Ihre Benutzer zu ermöglichen. Weitere Informationen finden Sie unter Ausführen von Wartungen für DAG-Member .
Wenn wir uns im Hybridmodus befinden und unsere lokalen Exchange Server nicht aktiv verwenden, müssen wir dann immer noch auf dem neuesten Stand bleiben?
Auch wenn Sie nur Exchange Server lokal verwenden, um Exchange-bezogene Objekte zu verwalten, müssen Sie den Server auf dem neuesten Stand halten. Die Hybrid Configuration Wizard (HCW) muss nach der Installation von Updates nicht erneut ausgeführt werden.
Wir haben uns die neuesten Sicherheitsupdate-Releases angesehen, und der Schweregrad common vulnerabilities and Exposures (CVE) war nicht hoch. Warum aktualisieren?
Microsoft empfiehlt, dass Sie alle verfügbaren Sicherheitsupdates anwenden, da es schwierig sein kann zu verstehen, wie sicherheitsrelevante Sicherheitsrisiken mit einem niedrigeren Schweregrad, die in einem Monat offengelegt und behoben wurden, mit Sicherheitsrisiken interagieren können, die einen Monat später offengelegt und behoben wurden. Ein Angriff kann nur bestimmte Low-Impact-Funktionen auf einem Remotezielcomputer und nichts anderes auslösen, was dazu führt, dass die Bewertung für cve einen Monat niedrig ist. Beispielsweise konnte im folgenden Monat ein wichtiges Problem mit dieser Funktionalität erkannt werden, das jedoch nur lokal ausgelöst wird und eine erhebliche Benutzerinteraktion erfordert. Das allein könnte auch nicht hoch bewertet werden. Wenn Ihre Software jedoch in Updates zurückbleibt, können diese beiden Probleme zu einer Angriffskette kombiniert werden, wodurch eine Bewertung auf kritischen Ebenen erfolgt.
Wir haben Entschärfungen für ein kürzlich aufgetretenes Sicherheitsrisiko angewendet. Warum sollten (später veröffentlichte) Updates für dieselben Sicherheitsrisiken installiert werden?
Entschärfungen sind eine vorübergehende Form des Schutzes, die bis zur Veröffentlichung des tatsächlichen Codefixes verwendet werden sollte. Da Entschärfungen die tatsächliche Sicherheitslücke im Code nicht beheben, können sie (und manchmal auch) von Bedrohungsakteuren umgangen werden, die weiterhin anfällige Systeme angreifen. Microsoft empfiehlt, die Codekorrektur für jedes Sicherheitsrisiko zu installieren, sobald sie verfügbar ist. Entschärfungen sollten nicht als langfristige Lösung für anfälligen Code betrachtet werden.
Die Aktualisierung ist schwierig, da Active Directory-Schemaerweiterungen (AD) und Exchange-Installationen unterschiedliche Teams benötigen, um Maßnahmen zu ergreifen.
In Fällen, in denen verschiedene Teams separate Aktionen ausführen müssen, um sich auf die Installation von Exchange Cumulative Updates vorzubereiten (da diese möglicherweise eine AD-Schemaerweiterung erfordern), empfehlen wir Ihnen, Schemaänderungen anzufordern, wenn wir neue CUs veröffentlichen, die diese erfordern. Auch wenn Sie nicht auf das neueste CU aktualisieren müssen (da die letzten beiden CUs für Exchange-Versionen unterstützt werden, die sich noch innerhalb der Supportlaufzeit befinden) – die Tatsache, dass das Active Directory-Schema auf dem neuesten Stand ist, bedeutet, dass das AD-Schema bereits aktualisiert wird, wenn Sie feststellen, dass Sie das neueste CU installieren müssen. Wir veröffentlichen CUs zweimal im Jahr, und nicht alle erfordern AD-Schemaupdates. Sie können dies hier für Exchange Server 2016 und hier für Exchange Server 2019 nachverfolgen.
Wir haben ein vorheriges CU auf unserem Server installiert und dann verfügbare SUs angewendet. Wir haben unseren Server auf die neueste verfügbare CU aktualisiert. Müssen wir die bereits veröffentlichte SU auch für das neueste CU anwenden?
Nachdem ein neues CU auf dem Server installiert wurde, müssen Sie immer die neuesten für dieses CU verfügbaren SUs installieren. Lassen Sie uns ein hypothetisches Exchange Server 2019-Szenario dieses Szenarios durchgehen:
- Im Mai haben Sie CU9 (das neueste verfügbare CU) und alle verfügbaren SUs für CU9 installiert.
- Im Juni haben wir CU10 für Exchange Server 2019 veröffentlicht.
- Im Juli haben wir SUs veröffentlicht, die sowohl für CU9 als auch für CU10 gelten.
- Im Juli haben Sie die Su-Instanz von Juli auf Ihrem Exchange 2019 CU9-Server installiert.
- Im August haben Sie CU10 (das neueste verfügbare CU im Juli) installiert.
- Sie müssen jetzt die neueste SU anwenden, die für Exchange Server 2019 CU10 verfügbar ist.
Im letzten Monat haben wir eine SU für das aktuelle CU installiert. In diesem Monat ist eine neue SU für dasselbe CU verfügbar. Müssen wir die SU des letzten Monats deinstallieren, bevor wir eine neuere version für dasselbe CU installieren?
Nein, die Deinstallation der SU des letzten Monats ist nicht erforderlich. Installieren Sie die SU dieses Monats, sobald sie verfügbar ist. Neuere SU enthält auch die SUs-Sicherheitskorrekturen des letzten Monats.
SUs sind immer CU-spezifisch. Anders ausgedrückt: Die Installation eines späteren CU erfordert, dass alle für dieses CU verfügbaren SU ebenfalls installiert werden, unabhängig davon, ob die SU für das neueste und vorherige CU am selben Tag veröffentlicht wurden. Wenn es SUs für das CU gibt, auf dem Ihr Server ausgeführt wird, sollten Sie es installieren. SUs werden in der Regel bei der nächsten nachfolgenden CU-Version in das CU eingerollt.
Wir haben einige SUs übersprungen und möchten Exchange vollständig auf den neuesten Stand bringen. Müssen alle SUs installiert werden, um auf den neuesten Stand zu kommen?
Da SUs kumulativ sind, "seit dem CU, auf das sie anwendbar sind", müssen Sie nur die neueste SU installieren. Dadurch erhalten Sie alle Sicherheitsfixes, die seit der Veröffentlichung des CU veröffentlicht wurden.
Hat Microsoft geändert, wie oft Exchange-CUs veröffentlicht werden?
Ja, ab dem kumulativen Updates 2022 H1 sind wir zu einem Releaserhythmus von zwei CUs pro Jahr übergegangen– Veröffentlichungen in H1 und H2 jedes Kalenderjahres mit allgemeinen Zielveröffentlichungsterminen von März und September. Unsere Veröffentlichungstermine hängen jedoch von der Qualität ab, sodass wir Updates möglicherweise im April oder Oktober oder in einem anderen Monat veröffentlichen, je nachdem, was wir liefern. Mit diesen Änderungen des Dienstmodells bedeutet die Aktuelle Version immer noch, dass das neueste CU oder das unmittelbar vorangestellte Cu (N oder N-1) ausgeführt wird, aber das "Währungsfenster" wird jetzt von 6 Monaten auf ein Jahr verlängert.
Müssen wir SUs auf allen Exchange-Servern in unserem organization installieren? Was ist mit "Nur-Verwaltungstools"-Computern?
Es wird empfohlen, sicherheitsrelevante Updates nur auf allen Exchange-Servern und -Servern oder Arbeitsstationen zu installieren, auf denen nur Exchange-Verwaltungstools ausgeführt werden. Dadurch wird sichergestellt, dass keine Inkompatibilität zwischen Verwaltungstoolsclients und -servern besteht. Wenn Sie versuchen, die Exchange-Verwaltungstools in der Umgebung ohne ausgeführte Exchange-Server zu aktualisieren, lesen Sie hier.
Wir haben aktuelle CU- und SU-Releases installiert und sind vollständig auf dem neuesten Stand. Gibt es noch etwas, was wir tun sollten?
Abhängig von der jeweiligen Umgebung erfordert die Behebung bestimmter Sicherheitsrisiken möglicherweise zusätzliche Aktionen, die vom Exchange-Administrator ausgeführt werden müssen. Führen Sie das Skript Exchange Server Health Checker aus, um sicherzustellen, dass Sie alle erforderlichen Aktionen ausgeführt haben, nachdem die relevanten sicherheitsrelevanten Updates installiert wurden. Stellen Sie sicher, dass Sie das Windows-Betriebssystem aktualisieren, unter dem Exchange Server ausgeführt wird, da Sicherheitsrisiken im Betriebssystem auch als Teil der Angriffskette verwendet werden können.