適用於:
2019 訂閱版本
概觀
請 務必持續將內部部署 Exchange Server 更新為支援的狀態。 您的內部部署環境應該 一律 準備好進行緊急安全性更新 (這適用於 Exchange、Windows,以及您使用內部部署) 的任何其他產品。 隨著威脅環境的快速演進,讓您的環境保持在最新狀態的重要性不應過低。
讓您的 Exchange Server 保持在最新狀態。 我們想要繼續協助您保護環境的安全,這表示您的 Exchange 伺服器必須是最新狀態。 這是 連續的程式。
Exchange Server 更新類型和發行排程
Microsoft可能會針對 Exchange Server 發行三種類型的更新:
| 更新類型 | 發行頻率 | Exchange 需求 | 包含 |
|---|---|---|---|
| 累計更新 (CU) | 一年兩次 (沒有特定日期) 。 | Exchange 必須支援 主要支援。 | 累積。 包含所有先前發行之更新的修正。 |
| 安全性更新 (SU) | 必要時。 通常在「修補星期二」Microsoft發行 - 除非緊急發行) ,否則每個月的第二個星期二 (。 | Exchange 至少必須支援 外延支援。 只有在 Exchange 處於外延支援) 或最後兩個 CU (Exchange 處於主要支援) 時,才會針對最後一個 CU 發行 (。 | 累積。 包含套用至的 CU 發行後的所有安全性更新。 |
| Hotfix 更新 (胡) | 只有在需要比 CU 版本更快的功能更新時才發行。 | Exchange 必須支援 主要支援。 | 此功能更新僅適用於其發行的 CU。 |
更新最佳做法
此程式假設您的 Exchange Server 仍然受到支援:
- 安裝最新的 CU。 使用 Exchange 更新小幫手 來選擇您目前的 CU 和目標 CU,以取得特定的指示。 如需其他資訊,請參閱將 Exchange 升級至最新的累積更新。
- 清查您的 Exchange Server,以使用 Exchange Server 健全狀況檢查程式腳本來判斷需要哪些更新。 執行此腳本會告訴您是否有任何 Exchange Server 在更新時落後 () 的 SU、SU 或手動動作。
- 在發行時安裝安全性更新 (SU) 。
- 安裝 SU 之後,請重新執行健全狀況檢查程式,以查看是否需要任何進一步的動作。 有時需要額外的動作。
- 如果您在安裝 Exchange Server 期間或之後遇到錯誤,請執行 SetupAssist 腳本。 如果更新之後無法正常運作,請參閱 修復 Exchange 累積和安全性更新的失敗安裝。
問與答
我們已備妥一組問題和答案,其中涵蓋我們最常聽到的 Exchange 更新。
我們幾個月前更新了 Exchange Server! 目前如何「不支援」它們?
如需主要支援 (請參閱 產品生命週期) 的 Exchange 版本,Microsoft支援 (發行) 兩個最新 RU 的相關安全性修正。 有時最新的兩個 RU 稱為「N」和 N-1」。 例如,如果最新發行的 CU 是 CU12 (『N』) ,且伺服器版本 Exchange Server 2019 年,則目前Microsoft支援兩個 Exchange Server 2019 CU,N 和 N-1 (CU12 和 CU11) 。 當 CU13 發行時,「支援的 CU 視窗」會滑向新發行的 CU13 (,而過去是 N-1 支援的 CU CU 11 會變成不支援的) 。
為什麼Microsoft發行更新如此頻繁?
最好在發現問題時發行更新。 Microsoft (和其他軟體發行者只有在需要時) 版本更新。 TU 通常包含客戶 (向我們回報的功能問題解決方法,而且可以包含先前 SU) 的安全性更新,並在 H1 和 H2) 中每年發行兩次 (。 只有在找到並修正實際的安全性問題時,才會發行 SU,而且通常會在「修補程式星期二」發行。 讓我們舉一個範例,說明我們可能發行的兩個 SU 和兩個 SU 的一般發行流程看起來像這樣:
- 在特定月份 (假設 3 月) ,我們可能會發行 CU4;CU4 是累積的,且會包含先前的修正和更新。
- 一個月後,我們發行 CU4 SU1,這是 CU4 的安全性更新。
- 然後在 7 月發行 CU4 SU2,這是 CU4 的額外安全性更新。 CU4 SU2 也包含 CU4 SU1 中發行的更新。
- 我們將於 9 月發行 CU5,其中包含到該點為止發行的所有更新。
我們的 Exchange Server 如預期般運作,為什麼要更新它們?
保持 Exchange Server 狀態可讓您確保它能持續運作,而不會大幅中斷功能,並有助於確保公司數據更安全。 根據規劃的排程將時間投入 Exchange Server 維護 () 可讓您長期受益於執行良好的系統,並盡可能保護程式碼免於弱點。
(在此插入第三方應用程式名稱,) 不支援最新支援的 Exchange Server PU 時,如何更新 Exchange Server?
請與第三方廠商合作,及時將其軟體帶入最新狀態。 請考慮您的 Exchange 環境包含許多重要的公司目錄和傳訊資訊。 您的優先順序應該是盡可能保護您的環境。
當我們是 24x7 企業且沒有時間關閉伺服器進行維護時,如何保持最新狀態?
許多客戶需要 Exchange Server 才能運作 24x7。 事實上,我們的更新程式是針對這些高需求企業所設計。 您應該使用資料庫可用性群組 (DAG) ,並將您要更新的伺服器置於維護模式中,為使用者啟用正常且非干擾性的更新程式。 如需詳細資訊,請參閱 在DAG成員上執行維護 。
如果我們處於混合模式,但未主動使用內部部署 Exchange Server,我們是否仍需要保持最新狀態?
即使您只使用內部部署 Exchange Server 來管理 Exchange 相關物件,您還是需要讓伺服器保持最新狀態。 安裝 Hybrid Configuration Wizard (HCW) 更新之後,不需要重新執行 。
我們已查看最新的安全性更新版本,以及 CVE (常見弱點和暴露) 嚴重性不高;為什麼要更新?
Microsoft建議您套用所有可用的安全性更新,因為可能難以瞭解在一個月內揭露的較低嚴重性弱點,如何與一個月後所揭露和修正的弱點互動。 攻擊只會在遠端目標計算機上觸發特定的低影響功能,而不會觸發任何其他功能,導致 CVE 的評分降低一個月。 例如,在下一個月,可能會發現該功能的重要問題,但可能只會在本機觸發,而且需要大量用戶互動。 這本身可能也不會有很高的評分。 但是,如果您的軟體在更新中落後,這兩個問題可能會結合成攻擊鏈結,進而在關鍵層級評分。
我們針對最近的安全性弱點套用了緩和措施。 為什麼我們應該針對這些相同的弱點安裝 (稍後發行的) 更新?
風險降低是一種暫時的保護形式,應該在實際的程式代碼修正釋出之前使用。 因為防護功能無法解決程式代碼中出現的實際弱點,所以它們可以 (,有時也會讓攻擊仍然易受攻擊之系統的威脅執行者略過) 。 Microsoft建議在任何弱點可用時立即安裝程式代碼修正程序代碼。 風險降低不應視為易受攻擊程式碼的長期解決方案。
我們發現很難更新,因為 Active Directory (AD) 架構延伸模組和 Exchange 安裝需要不同的小組採取動作。
如果不同的小組需要執行個別動作來準備安裝 Exchange 累積 匯報 (,因為這些可能需要 AD 架構擴充功能) -建議您在發行需要它們的新 RU 時要求架構變更。 即使您不需要更新為最新的 CU (,因為仍然在支援存留期內的 Exchange 版本支援最後兩個 CU) - Active Directory 架構會是最新狀態,這表示如果您發現需要安裝最新的 CU,AD 架構將會更新。 我們一年發行兩次 SU,並非全部都需要 AD 架構更新。 您可以在 2016 年 Exchange Server 在這裡追蹤此專案,Exchange Server 2019 年在這裡追蹤。
我們在伺服器上安裝了先前的 CU,然後套用了可用的 SU。 我們已將伺服器更新為最新的 CU 可用。 我們是否也需要針對最新的 CU 套用已發行的 SU?
在伺服器上安裝新的 CU 之後,您一律需要安裝該 CU 可用的最新 SU。 讓我們逐步解說下列的假設 Exchange Server 2019 案例:
- 在 5 月,您已安裝 CU9 (最新的可用 CU) 以及 CU9 的所有可用 SU
- 我們在 2019 年 6 月發行了 #D3C92F5A5AB6A43FB974C2E2943607410 CU10
- 我們在 7 月發行了同時適用於 CU9 和 CU10 的 SU
- 在 7 月,您已將 7 月 SU 安裝到 Exchange 2019 CU9 伺服器
- 在 8 月,您已在 7 月安裝 CU10 (最新的可用 CU)
- 您現在必須套用 2019 CU10 Exchange Server 提供的最新 SU
我們上個月已針對目前的 CU 安裝 SU。 這個月,新的 SU 適用於相同的 CU。 在為相同的 CU 安裝較新的 SU 之前,是否需要卸載上個月的 SU?
否,不需要卸載上個月的 SU。 當這個月份的 SU 可供使用時,請安裝它。 較新的 SU 也包含上個月的 SU 安全性修正。
SU 一律為 CU 特定。 換句話說, 安裝更新的 CU 時,無論最新和先前 CU 的 SU 是否在同一天發行,也都需要安裝該 CU 可用的任何 SU。 如果您的伺服器正在執行 CU 有 SU,您應該安裝它。 SU 通常會在後續的 CU 版本中「匯入 CU」。
我們略過一些 SU,並想要讓 Exchange 完全更新為最新的 SU。 我們需要安裝所有 SU 才能取得最新版本嗎?
因為 SU 是累積的「因為其適用的 CU」,所以您只需要安裝最新的 SU。 這可為您提供 CU 發行后所發行的所有安全性修正。
是否Microsoft變更 Exchange RU 的發行頻率?
是,從 2022 H1 累積 匯報 開始,我們已移至每年兩個 RU 的發行頻率 - 在每個日曆年度的 H1 和 H2 中發行,一般目標發行日期為 3 月和 9 月。 但是我們的發行日期是以質量為導向,因此我們可能會在 4 月或 10 月或其他月份發行更新,視我們提供的內容而定。 隨著這些服務模型的變更,目前仍表示執行最新的 CU 或緊接在 N 或 N-1) 之前 (的 CU,但 「貨幣視窗」現在已從 6 個月延長至 1 年。
我們需要在組織內的所有 Exchange Server 上安裝 SU 嗎? 「僅限管理工具」機器呢?
我們的建議是在所有執行 Exchange Management Tools 的 Exchange Server 和伺服器或工作站上安裝安全性 匯報,以確保管理工具用戶端與伺服器之間沒有不相容性。 如果您嘗試在沒有執行 Exchange 伺服器的環境中更新 Exchange 管理工具,請 參閱此資訊。
我們已安裝目前的 CU 和 SU 版本,且已完全處於最新狀態。 我們是否應該執行其他動作?
視特定環境而定,解決某些弱點可能需要Exchange系統管理員執行額外的動作。 若要確定您已在安裝相關的安全性 匯報 之後執行所有必要的動作,請執行 Exchange Server 健全狀況檢查程式腳本。 請確定您已更新 Exchange Server 執行所在的 Windows作系統,因為作系統中的弱點也可用來作為攻擊鏈結的一部分。