Exchange-Update legt Deutsche Server lahm

Nach dem Update am 8. August hat Microsoft bereits am 15. August eine neue Version seines Sicherheitupdates veröffentlicht. Wichtig – das Update alleine reicht nicht aus, um die Sicherheitslücke zu schließen.

Dazu hat Microsoft einen Workaround veröffentlicht. Den finden Sie hier.

Außerdem hat Microsoft eine Tabelle erstellt, in dem verschiedene Szenarien nachverfolgt werden können – hier entlang!

Vertrauen ist gut – Kontrolle ist besser. In diesem Fall ist Kontrolle eher Pflicht! Denn nur zu oft werden uns im Alltag Push-Nachrichten angezeigt „jetzt auf die neueste Version updaten“. Und nur zu oft klicken wir wie selbstverständlich drauf, ohne zu wissen, was eigentlich alles passieren kann.

So jetzt geschehen mit dem aktuellen Sicherheits-Update von Microsoft für Exchange. Das Update ist zum Schrecken derer, die es automatisch installiert haben, nicht mit den deutschen Exchange Servern 2016 und 2019 kompatibel. Ergebnis: „Server Down“-Meldungen im Überfluss.

Warum das neuste SU nicht mit deutschen Servern kompatibel ist, konnte Microsoft nicht sagen. Die Log-Files der Betroffenen würden aber darauf hinweisen, dass das neuste SU ältere SU’s nicht erkennt.

Mittlerweile hat Microsoft aber einen Workaround veröffentlicht, wie das Update rückgängig gemacht werden kann:

1. If you’ve already tried to install the SU, reset the service state before you run Setup again. You can do this by running the following PowerShell script in an elevated PowerShell window:
   1. Change to the following directory: \Exchange Server\V15\Bin.
   2. Enter .\ServiceControl.ps1 AfterPatch, and then press Enter.
   3. Restart the computer.
2. In Active Directory (AD), create an account that has the specific name that’s provided in this step. To do this, run the following command:New-ADUser -Name „Network Service“ -SurName „Network“ -GivenName „Service“ -DisplayName „Network Service“ -Description „Dummy user to work around the Exchange August SU issue“ -UserPrincipalName „Network Service@$((Get-ADForest).RootDomain)„
3. Wait for AD replication (up to 15 minutes), and then restart the Exchange Server SU installation. Setup should now run successfully.
4. After the installation finishes, run the following commands:$acl = Get-Acl -Path „HKLM:\SOFTWARE\Microsoft\MSIPC\Server“
   $rule = New-Object System.Security.AccessControl.RegistryAccessRule((New-Object System.Security.Principal.SecurityIdentifier(„S-1-5-20“)), 983103, 3, 0, 0
   $acl.SetAccessRule($rule)
   Set-Acl -Path „HKLM:\SOFTWARE\Microsoft\MSIPC\Server“ -AclObject $acl
5. Restart the Exchange server to complete the installation.
6. After all Exchange servers are updated, you can safely delete the AD account that was created in step 2.

Das aktuelle Beispiel ist nur eins von vielen, bei denen ein Update ein System zum Erliegen bringt. Vom Verlust der Kontakte bei einem Update vom Smartphone, bis hin zum völligen Stillstand der Geschäftsprozesse, kann alles passieren.

Aus diesem Grund plädieren wir immer für ein externes Patch-Management. Hier wird vorab in einer sicheren Umgebung getestet, was das Update mit der Firmen-Umgebung anstellt. Funktioniert alles, wird das Update automatisch auf alle Systeme ausgerollt. Funktioniert nicht alles, können viel Geld, Aufwand und Nerven gespart werden, da das Update nicht ausgerollt wird.

Sollten Sie Interesse an einem Patch Management haben, dann melden Sie sich gerne bei uns.