Microsoft 已发布关键安全更新,以修补在 Exchange 2016 (CU22) 和 2019 (CU10、 CU11、 CU21) 中发现的远程执行代码漏洞 CVE-2021-42321。2021 年 11 月版安全更新可用于以下 Exchange Server 内部版本。
Exchange Server 2013 CU23
Exchange Server 2016 CU21和CU22
Exchange Server 2019 CU10和CU11
此漏洞会影响本地 Exchange 服务器,包括混合 Exchange。如果您的组织在较早的 CU 上运行,我们建议您立即升级到最新的 CU 以修补服务器并继续接收最新的安全更新。
但是,某些升级到 Exchange Server 2016 CU22 并安装了为 CU22 发布的安全修补程序的用户报告了失败的安装问题。在这种情况下,您无法回滚到以前的版本,如果问题未修复,则需要设置新服务器。
在此博客中,我们讨论了在 Exchange Server 2016 上正确安装 CU22 和 2021 年 11 月安全更新的步骤,并避免了可能导致服务器无法使用的安装后问题或失败的更新方案。
安装 Exchange 2016 服务器更新的步骤
若要在 Exchange Server 2016 上安装累积更新 22 (CU22) 和 2021 年 11 月安全更新,请按照下列步骤操作,
步骤 1:下载 Exchange Server CU22 内部版本
您可以从 RTM 或 CU1 内部版本直接升级到 CU22。但在下载 CU22 内部版本之前,请通过在 Exchange 命令行管理程序中运行以下命令来检查当前的 CU
Get-ExchangeServer |fl Name,Edition,AdminDisplayVersion
然后访问以下页以下载 Exchange Server 2016 CU22 更新并装载下载的 ISO。
https://docs.microsoft.com/en-us/exchange/new-features/build-numbers-and-release-dates?view=exchserver-2019
步骤 2:准备服务器以进行升级
若要正确安装 Exchange Server CU22 并防止在升级后出现问题,请安装先决条件并准备服务器以进行 CU22 升级。
安装 .NET 4.8 框架
在 Exchange Server 2016 上下载并安装.NET 4.8 框架。
安装 IIS URL 重写模块 2.1
从 2021 年 9 月开始,Exchange Server 2016 CU22 需要 Microsoft Exchange 紧急缓解服务的 IIS URL 重写模块。在 Exchange Server 2016 上下载并安装IIS URL 重写模块 v2.1。安装 IIS URL 重写模块后重新启动服务器。
安装部署如下:
执行 Active Directory Schema 更改和更新,对于整个 Active Directory 林只需执行一次,无需在每台服务器升级时重复操作。
更新服务器,依次在每台服务器:
将服务器置于维护模式
安装更新
执行测试
退出维护模式
执行更新后任务:
重新平衡 DAG
恢复自定义设置
执行环境健康检查
注: 如果正试环境或者DAG集群的话,建议在非生产时间维护,因为这个长程比较长。
准备架构
要准备架构,请以管理员身份打开命令提示符,然后使用"cd"命令导航装载位置。例如,cd F:
然后运行以下命令来准备架构,
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareSchema
准备活动目录
若要为 CU22 升级准备 Active Directory,请在提升的命令提示符窗口中运行以下命令,
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAD
如果些步报错,注意全局编录 有没有选上可参看KB:
https://docs.microsoft.com/zh-cn/Exchange/plan-and-deploy/prepare-ad-and-domains?view=exchserver-2016
准备所有域
要准备所有域,请以管理员身份在命令提示符下运行以下命令,
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAllDomains
重新启动服务器。
步骤 3:将 Exchange 服务器置于维护模式
若要将 Exchange Server 2016 置于 CU22 升级的维护模式,请以管理员身份在 Exchange 命令行管理程序中运行以下命令,
Set-ServerComponentState -Identity "ServerName" -Component HubTransport -State Draining -Requester Maintenance
该命令将 HubTransport 组件设置为耗尽状态。
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Inactive -Requester Maintenance
该命令将服务器置于维护模式。要验证服务器是否处于维护模式,请运行以下命令:
Get-ServerComponentState “Mail-x” | Select Component, State
步骤 4:安装 Exchange Server 2016 CU22
现在,您已准备好安装 Exchange Server 2016 并将其升级到 CU22 内部版本。您可以从装载位置以管理员启动Setup.exe以使用图形用户界面 (GUI) 进行升级。
这步要经过慢长的过程,慢慢等着就行。
您还可以使用提升的命令提示符窗口,使用以下命令在无人参与模式下安装 CU22,
<MountDriveLetter>\setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
例如
F:\ setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
安装完成后,使用以下命令将服务器从维护模式中删除,
Set-ServerComponentState "ServerName" –Component ServerWideOffline –State Active –Requester Maintenance
在 EMS 中运行以下命令以验证服务器是否已退出维护模式,
Get-ServerComponentState
Get-ServerComponentState “Mail-1” | Select Component, State
然后重新启动服务器并安装 2021 年 11 月安全更新。
步骤 5:将 2021 年 11 月安全更新安装到 CU22
下载针对 Exchange Server 2016 CU22内部版本发布的 2021 年 11 月安全更新,并按照以下步骤进行安装。
以管理员身份打开命令提示符,然后使用"cd"命令导航到下载安全更新的位置。例如
cd C:\Users\Administrator\Downloads
然后运行以下命令以开始安装安全更新,
.\UpdateFileName.msp
单击"打开",然后按照向导安装安全更新。
步骤 6:运行运行状况检查器脚本
HealthChecker.ps1 是一个 PowerShell 脚本,可帮助您识别服务器上的问题和漏洞。它通过提供详细信息,帮助您检查服务器的运行状况,并针对新威胁修补服务器。若要运行 HealthChecker.ps1 脚本,请下载 PowerShell 脚本,然后按照下列步骤操作:
https://microsoft.github.io/CSS-Exchange/Diagnostics/HealthChecker/
以管理员身份打开命令提示符运行以下命令,
.\HealthChecker.ps1 –BuildHtmlServersReport
这将在脚本所在的同一位置创建 HTML 报表。打开 HTML 报告以检查服务器的运行状况。修复问题并修补漏洞(如果发现)。
结论
在安装 Exchange Server 安全和累积更新之前,请检查知识库页面上列出的先决条件和已知问题。此外,在测试 Exchange Server 计算机上安装内部版本。它将帮助您在将问题部署到生产服务器之前识别和修复问题。
但是,如果更新失败,则可能导致服务器无法使用,并需要设置新的 Exchange Server。这可能会导致停机时间延长,尤其是在没有备份的情况下。在这种情况下,您可以依靠 Exchange 恢复软件,从出现故障的服务器中恢复邮箱,并将其直接导出到新设置的 Exchange Server。如果您在更新或恢复出现故障的 Exchange Server 方面有任何疑问或需要更多帮助,请在下面发表评论。