[English]Microsoft hat zum 27. November die zurückgezogenen Sicherheitsupdates für Microsoft Exchange Server 2016- und 2019 erneut freigegeben. Beim ersten Release stellte sich heraus, dass die Transportregeln im Anschluss an die Update-Installation nicht mehr funktionieren. Nun glaubt Microsoft die Probleme behoben zu haben und stellt die November 2024-Sicherheitsupdates erneut bereit.
Anzeige
Die Erstversion der November 2024-Updates
Microsoft hatte zum 12. November 2024 Sicherheits-Updates (SU) für Exchange Server 2016 und 2019 veröffentlicht. Diese Updates sollen Schwachstellen, die durch Microsoft oder Sicherheitspartner in Exchange Server gefunden wurden, schließen. Zudem werden einige neue Funktionen wie Verbesserungen bei der Exchange Server AMSI-Integration oder Warnung vor Spoofing-E-Mails eingeführt. Ich hatte im Blog-Beitrag Microsoft Exchange Server Updates 12. November 2024 berichtet.
Transportregeln funktionieren nicht mehr
Hier im Blog gab es zum 14. November 2024 diesen Kommentar, der berichtete, dass die Transportregeln zum Kennzeichnen von Mails nach Installation der Sicherheitsupdates KB5044062 vom November 2024 nicht mehr funktionieren. Die Anwendung solcher Regeln zur Kennzeichnung von Mails ist hier an einem Beispiel erläutert.
Im Kommentarbereich des Blog-Beitrag Microsoft Exchange Server Updates 12. November 2024 bestätigen viele Administratoren, dass die Transportregeln nach Installation des Updates nicht mehr funktionieren. Auf reddit.com gibt es diesen Thread, der die gleichen Probleme mit nicht funktionierenden Transportregeln beklagt. Weiterhin weist auch dieser Kommentar zum Techcommunity-Beitrag Released: November 2024 Exchange Server Security Updates auf das Problem mit den kaputten Transportregeln hin.
Die Nov. 2024-Updates waren temporär ausgesetzt
Zum Nachmittag (MEZ) des 14. November 2024 gab es dann von Microsoft die Meldung im Techcommunity-Beitrag Released: November 2024 Exchange Server Security Updates, dass das Rollout der November 2024-Sicherheitsupdates gestoppt sei.
Anzeige
Der Download der SU-Pakete wurde temporär von den Microsoft-Servern entfernt und das Rollout auch über Windows Update gestoppt. Im Techcommunity-Beitrag wurde zwischenzeitlich ein "Know issues"-Eintrag ergänzt.
Re-Release der Nov. 2024-Security Updates
Ich bin gerade auf X über den nachfolgenden Tweet auf den Sachverhalt gestoßen, dass Microsoft die revidierte Fassung der Security Updates für November 2024 für Exchange Server 2016/2019 freigegeben hat.
Im Techcommunity-Artikel Re-release of November 2024 Exchange Server Security Update packages, heißt es, dass man das Problem mit den Transport-Regeln behoben habe. Der Techcommunity-Artikel gibt noch Hinweise, wie man vorgehen soll, falls die SUs vom November 2024 bereits installiert wurden oder noch fehlen. Frank Carius schreibt, dass das Sicherheits-Update im Dezember 2024 per Windows Update ausgerollt werde.
Ähnliche Artikel:
Microsoft Security Update Summary (12. November 2024)
Patchday: Windows 10/Server-Updates (12. November 2024)
Patchday: Windows 11/Server 2022-Updates (12. November 2024)
Patchday: Windows Server 2012 / R2 und Windows 7 (12. November 2024)
Microsoft Exchange Server Updates 12. November 2024
Exchange Server: November 2024-Sicherheitsupdates wegen Problemen gestoppt
Anzeige
Na, wer traut sich? Mutige vor. Ich warte mal lieber.
Ich frage mich ja immer wie so etwas passieren kann. Die Transportregeln sind ein zentraler Bestandteil von Exchange und schon als sehr wichtig einzustufen.
Ich habe mal bei einem kleineren Open Source Projekt mitgewirkt und bevor wir da was released haben, hatten wir immer ein Zeitraum von einer Woche wo wir nur getestet haben. Man kannte ein paar User, ganz unterschiedliche Umgebungen, wir sind auf diese zugegangen und haben gemeinsam mit denen getestet und natürlich wir selbst auch in unseren Testumgebungen. Dadurch haben wir so manchen Bug noch vor Release gefixt. Klar ist auch mal was durchgerutscht, aber das war dann meistens in irgendwelchen Sonderkonstrukten die jetzt nicht die breite Masse treffen.
Transportregeln die einfach nicht mehr gehen ist aber schon ein richtiger Bock. Man sollte annehmen, dass Microsoft es besser machen sollte als ein kleines Open Source Projekt. Nutzen die ihre Software nicht selbst für M365? Wieso testen die da nicht sowas in einem kleinen Kreis?
Exchange oder eigentlich so ziemlich jedes Produkt bei Microsoft ist wie eine Rakete aus 2 Millionen Einzelteilen, alle vom günstigsten Anbieter (Programmierer) gebaut.
Da passiert das ständig, weil die Entwickler eigentlich nur da sind weil sie bezahlt werden. Die sind untereinander auch so anonym das man nicht mal sicher sagen kann, wer für eine Zeile Code verantwortlich ist.
Die Qualitätskontrolle wird im übrigen bei Microsoft "nur" bezahlt wenn sie "NICHTS" findet.(Tantieme) Nein das ist kein Witz!
Wenn man die interna von MS mal erlebt hat, wundert man sich das dieser Laden überhaupt irgendwas zustande bringt. Da ist so unendlich viel "Schall" und "Rauch" das man nur noch mit dem Kopf schütteln kann.
Wenn man dann bedenkt das der ganze Planet an den Produkten hängt kann man nur noch weglaufen wollen….
Gestern Abend ohne Probleme installiert auf Exch2016.
Gruß
Was die Qualitätssicherung der MS Updates betrifft, sind wir uns glaube alle einig – irgendwie hat man sich in den letzten Jahren aber auch schon daran gewöhnt und andere Hersteller bekleckern sich da auch nicht immer mit Ruhm. Was man nicht vergessen sollte: Exchange ist eines der komplexesten und variantenreichsten MS Produkte – ich würde fast mal behaupten, ab einer gewissen Größe ist keine Installation zu 100% wie die andere ;-) Ist hald jetzt immer so ein Zwischending zwischen möglichst schnellem Patchen wegen der Sicherheitslücken und ein paar Tage abwarten, um nicht alles kaputt zu machen…
Was mich eher ärgert: wann kommt den MS endlich mal mit einer vernünftigen Lösung bzgl. einer Exchange Hybrid Auflösung aus den Puschen? Dieses LES Ding ist ja eher so semi-cool und auf ewig einen EXC OnPrem Server nur für die Verwaltung der AD Mail Attribute zu betreiben, ist ebenfalls unbefriedigend…
Bei uns am Exchange2016 auch ohne Probleme installiert und auch das Sent Items Update mit Code Two läuft bei uns wieder ohne Fehler. Das war mit dem anderen Update auch ein Kollateralschaden.
Moin zusammen!
Wenn man die Reaktionen in diesem Blog (https://techcommunity.microsoft.com/blog/exchange/re-release-of-november-2024-exchange-server-security-update-packages/4341892) Ernst nehmen darf, sollte man mit dem Einspielen vom SU v2 wohl doch noch etwas vorsichtig sein.
Bei uns ist der angesprochene Fehler einmal nach der Installation aufgetaucht, danach bisher nicht mehr. Werde ich mal beobachten oder vielleicht ist das auch nur wieder so eine Sache, die bestimmte Konfigurationen betrifft. Who knows…
Sieht jemand in Microsofts Tabelle den Fall "Update wurde installiert und es gibt Probleme mit den Transportregeln"? :D
Anscheinend geht Microsoft davon aus, dass niemand das SUv1 installiert gelassen hat und die Probleme in Kauf genommen hat.
So ging es mir auch. Aber für mich klingt es so, als ob man das Update trotz Problemen mit den Transportregeln installieren darf, ohne eine Deinstallation des vorherigen Updates – zumindest wäre das ja der gleiche Effekt, sobald es per Windows Update verfügbar ist.
Wobei ich nach dem Kommentaren darunter jetzt lieber nochmal etwas abwarte…
hihi… immer schön, aus der Ferne die Probleme anderer zu betrachten. Für alle, die es Leid sind:
https://modoboa.org/
https://iredmail.org/
meinetwegen auch das eher schlichte, mehr auf Privatanwender fokussierte:
https://mailinabox.email/
Das wirkt auch der zunehmenden Zentralisierung entgegen, wenn Email sich auf immer weniger Bigtech-Anbieter konzentriert.
Im Techcommunity Artikel fehlen ein paar Cases in der Tabelle:
Nämliche die Fälle, Sie haben SUv1 installiert:
-) und haben Probleme
-) und haben Transportregeln
**Kopfschüttelnd**
Mal den angesprochenen Fehler im Forum direkt verlinkt:
https://support.microsoft.com/en-us/topic/time-zone-exception-occurs-after-installing-exchange-server-november-2024-su-version-1-or-version-2-851b3005-6d39-49a9-a6b5-5b4bb42a606f
Danke!
Auf dem WSUS ist noch nichts aufgetaucht. Soll das so sein?
Bei uns auch nicht. Hängt vermutlich damit zusammen, dass Microsoft die breite Verteilung wegen Thanksgiving verzögert hat.
Im oben verlinkten Techcommunity-Artikel steht Folgendes:
"Please note that we have delayed the release of the Nov 2024 SUv2 to Microsoft / Windows Update until December to prevent servers from automatically installing the Nov 2024 SUv2 over the US Thanksgiving holiday."
Danke, das könnte eine Erklärung sein.
Ernstgemeinte Frage, warum wollen so viele Leute immer noch die Exchange Updates über WSUS/Windows Update installieren? So oft, wie das in der Vergangenheit schon Probleme gemacht hat (nachzulesen in diversesten Foren und Blogs, die sich mit Exchange beschäftigen), sollte man das echt nicht benutzen.
Exchange Updates sollte man immer manuell herunterladen und dann über einen Elevated Prompt installieren, da gibt's die wenigsten Probleme mit. Zudem hat man dann auch wirklich die Kontrolle und kann notfalls sofort eingreifen, wenn doch was schief geht.
Ernstgemeinte Antwort: In Foren und Blogs kann man die Großwetterlage gut beobachten, um zu entscheiden, ob man einige Tage die Finger stillhält und dann installiert, oder ob ein Update so fehlerhaft ist, dass es eh früher oder später zurückgezogen wird. Irgendwelche individuellen Installationsprobleme Einzelner sind nett zu wissen, aber mehr auch nicht.
Unsere eigenen Erfahrungen mit den Exchange-Updates über WSUS sind seit Jahren durchweg positiv, wenn man sie nicht gleich am Patchday reinlaufen lässt. Das lief faktisch IMMER problemlos, zumal man ja ein wenig um das Update herum skripten kann, um gewisse Parameter zu prüfen und zu fixen. Davon abgesehen bedeutet WSUS ja nicht zwangsläufig, dass das ohne Beobachtung abläuft. Wüsste nicht, warum man da nicht auch sofort eingreifen könnte, wenn es nötig ist.
Hi zusammen,
hab da SUv2-Update in unserer Testumgebung deployt, Server 2022 mit Exchange 2019. Bisher keine Probleme. Auch der Timezone-Bug ist hier nicht aufgetreten. Werde das ganze dann demnächst in der Live-Umgebung deployen, lasse die Testumgebung aber noch übers Wochenende laufen und schaue dann Montag nochmal, bisher ist aber alles okay. Edit: SUv1 habe ich vorher nicht installiert.
Sieht zwar alles gut aus, aber ich trau mich noch immer nicht das Update in die Produktivumgebung auszurollen. Hat das schon jemand gemacht? Also SUv2 ausgerollt ohne vorher SUv1 installiert zu haben?
V2 + Workaround installiert ohne vorherige V1. passt soweit hier.