[English]Zum 8. März 2022 hat Microsoft verschiedene kumulative Updates für Microsoft Exchange Server 2013, 2016 und 2019 veröffentlicht. Bei einigen Systemen kommt es aber zu Problemen wie ein nicht mehr funktionierendes Exchange Control Panel (ECP). Bei einigen Systemen stürzt der "Microsoft Exchange Service Host" regelmäßig ab. Für diesen Absturz gibt es aber eine Lösung.
Anzeige
Ich hatte ja im Blog-Beitrag Sicherheitsupdates für Exchange Server (8. März 2022) über diese Sicherheitsupdates für Microsoft Exchange Server 2013, 2016 und 2019 berichtet. Die gute Nachricht vorab: Der vom Januar 2022 bekannte DAG-Bug (siehe hier):
Modifying DAG network settings or customizing voicemail greetings might fail with error 0xe0434352 after January SUs are installed. At this time, we do not have a workaround for the voicemail related error.
ist laut diesem Kommentar (und dem Folgekommentar) behoben.
ECP funktioniert nicht mehr
Ein Administrator hat sich in diesem Kommentar bei Microsoft gemeldet und berichtet, dass auf mehreren Testrechnern das Exchange Control Panel (ECP) nach der Installation auf Exchange Server 2013 und 2016 nicht mehr funktioniere. Es wird nachfolgender Runtime-Fehler gemeldet.
Anzeige
Für dieses Problem wurde ein Ticket erstellt – eine Lösung liegt mir noch nicht vor.
Microsoft Exchange Service Host stürzt ab
Blog-Leser Holger hat sich in diesem Kommentar zum Blog-Beitrag Sicherheitsupdates für Exchange Server (8. März 2022) gemeldet und berichtet von einem fetten Problem:
Exchange 2016 CU 22 auf Windows Server 2012 R2 – nach Update crasht "Microsoft Exchange Service Host" fortwährend in unserer Umgebung :-( – auf 6 Servern verifiziert – nach Deinstallation ist wieder alles in Ordnung.
Im Windows Application event log werden dann zyklisch Event ID 4999-Einträge geschrieben. Die Ursache sind abgelaufene – oder bald ablaufende Zertifikate auf dem betroffenen Exchange Server. Es gibt weitere Nutzer, die diesen Fehler bei Microsoft zum Exchange-Beitrag berichten. Ein Microsoft-Mitarbeiter hat dann den Tipp gegeben, abgelaufene oder bald ablaufende Zertifikate zu löschen.
Please do the following action, it should resolve the issue:
- Replace any expired certificate on the system
- Renew any certificate that expires in <= 30 days
Blog-Leser Holger bestätigt in diesem Kommentar, dass das Löschen veralteter Zertifikate das Problem mit dem Microsoft Exchange Service Host-Absturz behoben habe. Dort hat Holger auch ein PowerShell-Script gepostet, welches die alten Zertifikate sucht und entfernt.
Dienst "Microsoft Exchange Search Host Controller" deaktiviert
Auf Facebook ist mir in einer privaten Nachricht noch die folgende Information zugegangen:
Hallo! Ist Ihnen etwas bekannt das nach dem aktuellen Exchange 2016 Update die Outlook Suche nicht mehr funktioniert?
Kurze Zeit später hat sich der Betroffene nochmals gemeldet und schrieb:
Das Update hat den Dienst "Microsoft Exchange Search Host Controller" deaktiviert und ich habs überlesen.
Also den Dienst wieder starten und hoffen, dass alles wieder läuft und keine Abstürze vorkommen.
Anzeige
Wir haben das Problem, dass wir die Installation gar nicht durchführen können. Im Verbose Log kommt immer folgende Fehlermeldung auf einem Exchange Server 2016 CU22:
CAQuietExec: Fehler: Die Manifestdatei "C:\Program Files\Microsoft\Exchange Server\V15\FIP-FS\Data\Engines\amd64\MSClassification\bin\1102170001\McePerfCtr.man" kann nicht ge"ffnet werden. Zurckgegebener Fehlercode: 2.
Disable-Antimalwarescanning.ps1 wurde bereits versucht ohne Erfolg.
Die o.g. Datei existiert tatsächlich nicht. Auch der Ordner MSClassification schon nicht.
Hi,
der Ordner und auch die Datei sind bei meinem 2016 CU22 vorhanden.
Das kommt ja vom Performance Monitor, evtl. den mal prüfen ob da alles OK ist.
Bezüglich ECP:
– Konfig anpassen, so dass der Fehler sichtbar wird (temporär) oder von lokal aus ECP öffnen.
1)
https://docs.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/exchange-security-update-issues#http-500-errors-in-owa-or-ecp
2)
https://docs.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/owa-stops-working-after-update
Hallo td123,
versuch doch mal, falls aktiviert, die Leistungsüberwachung (Performance Monitor) zu deaktivieren?!
Oder die Leistungsindikatoren mit lodctr /r neu zu erstellen.
Hallo td123,
versuch doch mal die Leistungsüberwachung (Performance Monitor) zu deaktiveren oder die Leistungsindikatoren mit lodctr /r neu zu erstellen.
Hallo,
als Lösung (wie hier im Blog verlinkt: https://www.borncity.com/blog/2021/07/17/exchange-sicherheitsupdates-von-juli-2021-zerschieen-ecp-und-owa/) konnten wir folgende vorgehensweise bei 2 Kundensystemen erfolgreich anwenden:
Unter Workaround beschrieben:
https://support.microsoft.com/en-us/topic/you-can-t-access-owa-or-ecp-after-you-install-exchange-server-2016-cu6-88b3fe67-5f97-a8a2-8ed8-70034ff15761
[Der "New-ExchangeCertificate"-Befehl war nicht notwendig – es konnte der Fingerprint des vorhandenen Zertifikats verwendet werden)
Vielleicht hilft es dem einen oder anderen. BTW: von 16 Exchange On Premise Systemen (2013/2016/2019) waren nur 2 2013 Installationen betroffen – bei allen anderen konnten die Updates problemlos eingespielt werden.
Gruß
Markus
Unser Domain Wildcard Zertifikat läuft am 06.04.2022 aus und wir bekommen EventLogs, dass dieses Zertifikat bald abläuft.
Diese Meldungen hatten wir schon vor der Installation des aktuellen SU vom Dienstag.
Bis jetzt läuft aber unser Server nachdem wir am Dienstag das neue SU eingespielt haben (Exchange 2016 CU 22).
Die anderen Zertifikate, die Exchange selbst beim Setup erstellt, sind noch lange gültig.
Wir haben nun über evtl. Probleme mit auslaufenden Zertifikaten im Exchange-Blog erfahren:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2022-exchange-server-security-updates/ba-p/3247586
Müssen wir jetzt bald mit einem Crash unseres Servers rechnen, oder haben wir noch ein paar Tage Zeit, uns ein neues Zertifikat zu besorgen?
Wenn wir dann das neue Zertifikat installieren (Austausch des alten Zertifikats), müssen wir diesmal dann was spezielles berücksichtigen?
Könnten wir dadurch vielleicht diesen Crash triggern, von dem viele im Exchange Blog berichten? Sollten wir auf einen Fix von MS warten (dieser müsste dann aber vor dem 06. April kommen)?
Habt ihr irgendwelche Tipps für mich?
Inzwischen bin ich 'wagemutig' ;-) selbst tätig gewesen. Nachdem unser Server ja schon vor dem Update Warnmeldung hinsichtlich Zertifikat-Ablauf am 06.04. ins Eventlog geschrieben hatte und nach dem Update wir keine(!!) Probleme -wie unter https://techcommunity.microsoft.com/t5/exchange-team-blog/released-march-2022-exchange-server-security-updates/ba-p/3247586 beschrieben- hatten, entschloss ich mich gestern, um einen evtl. Absturz zuvor zu kommen, das Zertifikat auszutauschen. Hat funktioniert, Warnmeldung ist weg, Server weiterhin stabil.
Hallo,
Exchange 2013,
was passiert wenn ein abgelaufenes exchange delegation federation zertifikat vorhanden ist ohne das eine aktive Hybird Vertrauensstellung vorhanden ist. das Zertifikat lässt lich leider nicht verlängern, löschen…
gibt es hier probleme oder lösungansätze bevor man das neueste Update einspielt und exchange dann abschießt :-(
Mfg
Markus
Hallo zusammen.
Das Update ist auf einem Server2012r2 mit Exchange 2013 fehlgeschlagen. Nach einem Neustart waren alle Dienste deaktiviert. Nach mehrmaligen Anläufen konnte ich das Update dann installieren. Dazu musst ich den Sophos Virenscanner komplett deinstallieren. Leider war seitdem kein Zugriff mehr via OWA und ECP möglich. Es wurde nur eine weiße Seite angezeigt. Eine Deinstallation des Updates half auch nicht weiter. Es scheint das der Zertifikat Dienst bzw. das OAuth Zert defekt ist. Leider konnte ich kein neues erstellen. Ein "Get-ExchangeCertificate" in der ExchangeManagment Shell gab folgenden Fehler zurück: Fehler beim Exchange-Zertifikatvorgang mit Ausnahme auf Server "EXCHANGE". Die Fehlermeldung lautet: Unknown error (0xe0434352).
Lösung:
Der „IIS Verwaltungsdienst" wurde durch das Update deaktiviert.
1. Den Dienst aktivieren und starten.
2. OAuth Cert neu erstellen: https://docs.microsoft.com/de-de/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired
3. Danach war ein Zugriff auf ECP wieder möglich. Die OWA lieferte Fehler 500.
4. Owa reparieren durch ausführen von .\UpdateCas.ps1 und .\UpdateConfigFiles.ps1.
5. Unglaublich viel Zeit verschwendet :-(
Hi Andre,
hattest du vor dem Update irgendwelche abgelaufenen Zertifikate noch vorhanden, oder nahe am Ablaufdatum?
Hallo Markus, nein. Ein Zertifikat läuft in 62 Tage ab. Alle anderen weit in der Zukunft (2024-2025). Ich hatte auch nie die beschriebenen Zertifikat-Host-Warnungen.
Windows Server 2012R2 ist bei Exchange 2016 CU2 oder neuer seitens Microsoft nicht freigegeben.
Hi an alle,
ich wollte gerade das Update auf unserem Backup Exchange einspielen und jetzt steht er seit über einer Stunde im Bootscreen "Windows wird vorbereitet, schalten sie den Computer nicht aus"
Ich schau mit das jetzt noch 1-2 std an und dann muss ich wohl das Backup einspielen…
Jedes mal muss mal zittern beim Exchange Update, danke Microsoft!
nachtrag… nach ca. 3 std hat es dann funktioniert… also immer (nicht wie ich) Ruhe bewahren…