Microsoft heeft de 2024H1 cumulative update for Exchange Server 2019 (Exchange Server 2019 CU14) uitgebracht. Deze release update pakt onder andere CVE-2024-21410 aan.
Daarnaast zal de installatie Extended Protection inschakelen wanneer dat nog niet het geval was, daarbij wordt niet gecontroleerd of dit al was geconfigureerd. Het is dus raadzaam om vooraf de HealthChecker uit te voeren en te controleren of je de Extended Protection nog dient in te stellen.
Bij het draaien van de healthchecker op mijn lab omgeving stond een aanbevolen keepalivetime nog niet ingesteld.
$regPath = "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" $regName = "KeepAliveTime" $regValue = "0x001b7740" # This is the hexadecimal value corresponding to dword:001b7740 # Set registry value New-ItemProperty -Path $regPath -Name $regName -Value $regValue -PropertyType DWORD -Force
De installatie vereist Microsoft .NET Framework 4.8 én mogelijk meldt je healthchecker dat er een nieuwe versie van Visual C++ Redistributable geïnstalleerd dient te worden. Hou dus rekening met een extra herstart.
Indien je een omgeving hebt met meerdere Exchange servers, begin dan met de servers die niet rechtstreeks vanaf het internet benaderd worden en voer deze als laatste uit op de de “edge transport” servers.
Deze CU bevat geen Schema update maar wel een AD update. Het uitvoeren van setup.exe /preparead is dus noodzakelijk. Wil je Extended Protection nog niet toepassen gebruik dan de commandline switches /donotenableep of /donotenableepfeews
Mount de gedownloade ISO als disk en start de setup.exe met de preparead optie.
Setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
De volgende stap is het uitvoeren van de update van Exchange Server zelf. Draai deze vanaf een elevated dos-prompt en sluit powershell af anders krijg je “Setup can’t continue with the upgrade because the powershellexit has open files. Close the process, and then restart Setup.“
Setup.EXE /Mode:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataOn
Bij een Modern Hybrid Agent setup met een Exchange server on premise en mailboxen in Exchange Online gebruik je dus de /donotenableepfeews switch! Gebruik het onderstaande om te achterhalen of je omgeving modern of classic hybrid is.
Get-HybridConfiguration | fl
In een classic hybrid omgeving zie je:
Features : {FreeBusy, MoveMailbox, Mailtips, MessageTracking, OwaRedirection, OnlineArchive, SecureMai
l, Photos}
Bij een modem hybrid omgeving heb je géén MessageTracking!
Setup.EXE /Mode:Upgrade /IAcceptExchangeServerLicenseTerms_DiagnosticDataOn /DoNotEnableEP_FEEWS
Setup zal je melden dat Extended Protection is aangezet en de update succesvol is doorgevoerd. Afrondend voer je nogmaals de healthchecker.ps1 uit om te controleren of er nog iets aandacht vereist.
Uitzonderingen EP:
Scenario that does not support EP | Action to take |
SSL Offloading for Outlook Anywhere | SSL Offloading for Outlook Anywhere must be disabled. If Extended Protection is enabled via Exchange Server CU14, the installer will take care of disabling SSL Offloading for Outlook Anywhere. |
SSL Offloading on Load Balancer | SSL Offloading is not supported. Use SSL bridging instead with the same SSL certificate as on Exchange Server IIS front end. |
Public folders hosted on Exchange Server 2013, 2016 CU22 (or older) or 2019 CU11 (or older) | Move all Public folders to currently supported versions, decommission Exchange Server 2013 which is out of support. Check this table for your Public Folder scenario. |
Modern Hybrid agent is used to publish Exchange Server to the internet in hybrid scenario | Identify the Exchange Servers which are published via Modern Hybrid agent, by following the steps outlined in this section of documentation. On these servers, run Exchange Server CU14 setup in unattended mode and use the /DoNotEnableEP_FEEWS switch to not enable Extended Protection on the EWS front end virtual directory. |