Exchange Server Sicherheitsupdates Juli 2021

Mitglied: Dani
Moin,

Microsoft hat Sicherheitsupdates für Sicherheitslücken in den folgenden Produkten veröffentlicht:

  • Exchange Server 2013
  • Exchange Server 2016
  • Exchange Server 2019

Diese Updates sind für die folgenden spezifischen Builds von Exchange Server verfügbar:

  • Exchange Server 2013 CU23
  • Exchange Server 2016 CU20 and CU21
  • Exchange Server 2019 CU9 and CU10

Die Sicherheitsupdates für Exchange Server vom Juli 2021 beheben Schwachstellen, die von Sicherheitspartnern gemeldet und durch die internen Prozesse von Microsoft gefunden wurden. Obwohl uns keine aktiven Exploits in freier Wildbahn bekannt sind, lautet unsere Empfehlung, diese Updates sofort zu installieren, um Ihre Umgebung zu schützen.

Diese Schwachstellen betreffen Microsoft Exchange Server vor Ort, einschließlich Servern, die von Kunden im Exchange Hybrid-Modus verwendet werden. Exchange Online-Kunden sind bereits geschützt und müssen keine Maßnahmen ergreifen.

Weitere Details zu bestimmten CVEs findet ihr im Security Update Guide (Filter auf Exchange Server unter Produktfamilie).

Mehr lesen

Gruß,
Dani

Content-Key: 995034424

Url: https://administrator.de/contentid/995034424

Ausgedruckt am: 24.07.2021 um 13:07 Uhr

Mitglied: Coreknabe
Coreknabe 13.07.2021 aktualisiert um 23:30:25 Uhr
Goto Top
Moin Dani,

nach Installation der Juli-Updates funktioniert OWA auf unserem Exchange 2013 CU23 nicht mehr:


OWA-Anmeldeseite lässt sich aufrufen, nach Anmeldung erscheint "Interner Fehler"

Noch jemand mit diesem Problem?

Gruß
Mitglied: Dani
Dani 13.07.2021 um 23:34:31 Uhr
Goto Top
Moin @Coreknabe,
hast du dich vorher vergewissert, dass auf dem Exchange Server 2013 das CU23 installiert ist? Das wird als Voraussetzung angegeben.

OWA-Anmeldeseite lässt sich aufrufen, nach Anmeldung erscheint "Interner Fehler"
Fehler 500? Funktioniert das ECP?

Unabhängig von den Fragen ist das Problem wohl nicht ganz neu...
https://www.blog.edbtopst.org/ecp-and-owa-login-fails-with-error-500-in- ...
https://social.technet.microsoft.com/Forums/exchange/de-DE/2f64d305-e9e2 ...
https://exchange-server-guide.blogspot.com/2018/10/exchange-server-http- ...


Gruß,
Dani
Mitglied: Coreknabe
Coreknabe 13.07.2021 um 23:41:58 Uhr
Goto Top
Ups, auch noch wach :-) face-smile

Ja, CU23 ist installiert, hatte ich erst im Thread nicht erwähnt, sorry.

Erste Reaktion: Security Update KB5004778 wieder deinstallieren, ohne Gewissheit, dass es daran liegt. Uninstall läuft jetzt aber schon bestimmt 10 Minuten und ich mag das nicht abbrechen...

Dein letzter Link lässt sich nicht aufrufen.
Mitglied: Coreknabe
Coreknabe 13.07.2021 um 23:59:53 Uhr
Goto Top
Update: ECP funktionierte auch nicht mehr, Fehler 500...

Vermutung korrekt, nach Deinstallation und Neustart funktioniert OWA wieder.

Nächste Vermutung: In der Fehlermeldung motzt das System häufiger über Zertifikatgeschichten, z.B.:


Wahrscheinlich Schnarchnasenalarm. Nachdem ich das Update deinstalliert und mich wieder in ECP eingewählt habe, habe ich gesehen, dass das Exchange Server Auth Certificate seit einigen Tagen abgelaufen war. Ich denke mal, dass das mit dem Update geprüft wird (was vorher nicht der Fall war). Das Zertifikat habe ich jetzt verlängert und teste morgen Abend noch einmal, ob sich das Update jetzt einspielen lässt. Das bisschen Schlaf möchte ich jetzt nicht mehr riskieren :-) face-smile

Danke Dir für Deine schnelle Antwort, Dani!
Mitglied: nachgefragt
nachgefragt 14.07.2021 aktualisiert um 08:10:28 Uhr
Goto Top
Moin,
wurde die Nacht eingespielt und läuft:
✔️ Windows Server 2016 Datacenter
= Build 10.0.14393S.4470 (gestern Nacht kam KB5004238 Build 10.0.14393S.4530 raus, noch nicht installiert)
✔️ Exchange 2016 (von CU20 auf CU21)

Die Exchange 2016 Updates sind mittlerweile Routine und laufen i.d.R. sauber durch, wenn ich an früher denke... ach lassen wir's ;-) face-wink

PS: OWA funktioniert auch nach CU21 einwandfrei.
Mitglied: Buddy117
Buddy117 14.07.2021 um 13:51:57 Uhr
Goto Top
Servus,

@Coreknabe

Kann den Fehler bestätigen! Habe ich auf ein paar Server mittlerweile. EX 13, 16 und 19...

Es macht zur Zeit so einen Spaß...

Tobi
Mitglied: Snuffchen
Snuffchen 14.07.2021 um 14:05:39 Uhr
Goto Top
Hier auch gerade bei einem Exchange 2016 passiert, mal schauen ob das wirklich an dem ausgelaufenen Zertifikat liegt wie @Coreknabe vermutet
Mitglied: Snuffchen
Snuffchen 14.07.2021 um 14:45:43 Uhr
Goto Top
Deinstalliere jetzt auch erstmal das KB5004779 für CU20. Die Frage ist, probiere ich es danach heute Nacht mal direkt mit CU21 oder wird das auch wieder in einem nicht funktionierenden OWA/ECP enden?!
Mitglied: Inf1d3l
Inf1d3l 14.07.2021 um 14:53:49 Uhr
Goto Top
Mitglied: Buddy117
Buddy117 14.07.2021 um 14:57:42 Uhr
Goto Top
@Inf1d3l

Was willst du uns damit sagen? Ist ein anderes Thema oder gibt es einen Zusammenhang mit dem hier genannten Fehler?
Mitglied: Snuffchen
Snuffchen 14.07.2021 um 19:38:03 Uhr
Goto Top
Nachdem ich KB5004779 manuell deinstalliert hatte, hat mir Windows Update den dummerweise direkt wieder installiert. Also hab ich danach dann das aktuelle CU21 für Exchange 2016 installiert und danach hat alles wieder einwandfrei funktioniert.
Mitglied: Coreknabe
Coreknabe 14.07.2021 um 20:37:17 Uhr
Goto Top
Getestet, Zertifikate sind gültig. Nach Installation von KB5004778 funktionieren OWA und ECP wieder nicht.

Irgendjemand eine Idee? Wenn das häufiger auftreten würde, müsste sich doch etwas im Netz finden lassen?
Mitglied: preysa
preysa 14.07.2021 aktualisiert um 20:48:41 Uhr
Goto Top
Ich bin gerade über diese Hilfeseite gestolpert. Soll bei manchen geholfen haben.

https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/ca ...
Mitglied: nachgefragt
nachgefragt 14.07.2021 um 20:47:52 Uhr
Goto Top
Bei mir gab es kein Problem bezüglich OWA, hatte mich gerade nochmal aus dem Home Office verbunden.
Ins Blaue geraten:

Mitglied: Dani
Dani 14.07.2021 aktualisiert um 21:00:04 Uhr
Goto Top
@Coreknabe
Ups, auch noch wach
Ja, hatte heute Nacht Kinderdienst.

Irgendjemand eine Idee? Wenn das häufiger auftreten würde, müsste sich doch etwas im Netz finden lassen?
Hast du meine Links angeschaut und studiert? Das beschrieben Fehlerbild dürfte über einstimmen.


Gruß,
Dani
Mitglied: nachgefragt
nachgefragt 14.07.2021 um 21:30:31 Uhr
Goto Top
✔️ Windows Server 2016 Build 10.0.14393S.4530
✔️ Exchange 2016 (von CU20 auf CU21)
✔️ OWA
... dann mal gute Nacht ✌️
Mitglied: Coreknabe
Coreknabe 14.07.2021 um 21:49:24 Uhr
Goto Top
@Dani
Jupp, habe ich mir angesehen, mich aber bisher nicht getraut, das umzusetzen. Das beschreibt ja auch eher ein allgemeines Fehlerbild (Error 500)

@preysa
Ich denke, das ist der richtige Weg, danke Dir. Ich hatte das Zertifikat über die EAC erneuert, scheinbar ist aber der Weg über die Powershell nötig. Danke MS, dass Ihr das dann so "anbietet", es gab keine Fehlermeldung, das Zertifikat wurde als verlängert angezeigt.

Jetzt ist die Deinstallation von KB5004778 fehlgeschlagen, Exchange ist Matsch. Danke auch dafür: Deinstallation failed prematurely... Neuinstallation von KB5004778 endet ebenfalls vorzeitig. Also Veeam anschmeißen und die C-Partition zurücksichern. Herrje...
Mitglied: nachgefragt
nachgefragt 14.07.2021 um 21:54:31 Uhr
Goto Top
Zitat von @Coreknabe:
Also Veeam anschmeißen und die C-Partition zurücksichern. Herrje...
Reparatur-Installation geht auch nicht?
Also von der ISO nochmal die Setup.exe starten?

Sollte dann so aussehen, ich drück die Daumen!
asdfasdf
Mitglied: Coreknabe
Coreknabe 14.07.2021 um 23:03:39 Uhr
Goto Top
@nachgefragt
Vielen Dank für Deine guten Wünsche! :-) face-smile

Reparatur-Installation wäre vielleicht ne Möglichkeit gewesen, aber da weiß man ja auch nicht, was da evtl. noch an Restmüll bleibt. Und mit Veeam ist das zum Glück schnell und zuverlässig erledigt mit der Rücksicherung. Gefühlt hat mir diese Software schon unzählige Male den Popo gerettet...

Ansonsten habe ich mal den Link von @preysa durchgearbeitet und jetzt hoffentlich ein korrektes Zertifikat erstellt. Mal sehen, wann ich mich das nächste Mal traue, das Update zu installieren...
Mitglied: Abramelin
Abramelin 14.07.2021 um 23:37:21 Uhr
Goto Top
Hi,
Hab echt bange gehabt nachdem was ihr alle gepostet habt.
Muss aber sagen das bei mir mal das patchen reibungslos funktionierte.
hab nur vorher mal den TM Scan Mail mal komplett deaktiviert!
Gruß
Abramelin
Mitglied: Buddy117
Buddy117 15.07.2021 um 06:52:17 Uhr
Goto Top
Guten Morgen,

also Fehler konnte bei allen Server gelöst werden. Es waren die OAuth Zertifikate.
Mit dieser Anleitung wurde der Fehler behoben:
https://support.microsoft.com/en-us/topic/you-can-t-access-owa-or-ecp-af ...

Wichtig! Ich habe die Server nach dem Erstellen der Zertifikate neu gestartet und über Nacht laufen lassen. Heute früh dann die Updates installiert und alles hat funktioniert. Geduld ist dort wieder eine Tugend und sehr wichtig!

Tobi
Mitglied: Drohnald
Drohnald 15.07.2021 um 19:37:10 Uhr
Goto Top
Hallo zusammen,
kann die Lösung von Buffy117 bestätigen und vor allem die Geduld!
Auch wenn in einigen Foren geschrieben wird, dass ein Neustart geholfen hat, in meinem Fall war das ebenfalls nicht so. Selbst nach 2 Stunden kam der Fehler, inzwischen sind fast 5 vergangen und OWA / ECP läuft wieder.
Exchange 2016 CU 20.
Mitglied: Coreknabe
Coreknabe 19.07.2021 um 10:13:27 Uhr
Goto Top
Moin,

auch bei uns funktioniert jetzt alles, nachdem ich den Link von @preysa abgearbeitet habe. Fazit: Über die EAC geht es nicht, auch wenn es so aussieht :-) face-smile Server nach Erneuerung des Zertifikats über Nacht laufen lassen, Update einspielen, alles gut.

Achtung: Ihr beschreibt hier teils unterschiedliche Fehlerbilder (s. Event-IDs). Nur weil ich das Problem habe, dass OWA und ECP nicht mehr funktionieren und Fehler 500 beim Aufruf geschmissen wird, muss das nicht immer dieselbe Ursache haben...

Danke für alle Eure Antworten und die Hilfe!

Gruß
Mitglied: Remotedesktopverbindung
Remotedesktopverbindung 21.07.2021 um 16:14:41 Uhr
Goto Top
Zitat von @preysa:

Ich bin gerade über diese Hilfeseite gestolpert. Soll bei manchen geholfen haben.

https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/ca ...

Hat bei uns definitiv geholfen, man muss nur beachten das man die Anleitung richtig verwendet, ist ein bisschen schlecht von Microsoft geschrieben.

Bei
Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
muss man auch den Thumbprint der vom ersten Befehl im Artikel generiert wird verwenden.

Nach ner Stunde sollte dann wieder Zugriff auf ECP und OWA möglich sein, wenn man denn den Zertifikatsfehler davor hatte.
Mitglied: Coreknabe
Coreknabe 22.07.2021 um 12:39:15 Uhr
Goto Top
Hat bei uns definitiv geholfen, man muss nur beachten das man die Anleitung richtig verwendet, ist ein bisschen schlecht von Microsoft geschrieben.

Bei
Set-AuthConfig -NewCertificateThumbprint <ThumbprintFromStep1> -NewCertificateEffectiveDate (Get-Date)
muss man auch den Thumbprint der vom ersten Befehl im Artikel generiert wird verwenden.

Captain Obvious! :-) face-smile
Das finde ich jetzt eher selbsterklärend, ein wenig mitdenken darf man schon...
Mitglied: Remotedesktopverbindung
Remotedesktopverbindung 22.07.2021 um 14:14:39 Uhr
Goto Top
Naja, ich find's nur komisch wenn man in der selben Anleitung "Change the value of the DomainName parameter in the example (contoso.com) to the SMTP domain that's used in your organization." schreiben kann, aber dann die nächsten Befehle einfach so hinschmeißt ohne weitere Erklärung.

Aber viel kann man ja von diesen Artikeln nicht erwarten 😀
Heiß diskutierte Beiträge
general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 13 StundenFrageBenchmarks31 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...

question
Abschlussprojekt - FiSi gelöst VerbranntesHuhnVor 1 TagFrageWeiterbildung6 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem Abschlussprojekt (max. 35 Stunden) - Abgabe des Antrags - Stichtag 02.08.2021. Ich weiß jedoch nicht ...