• 欢迎访问小弟新的博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ交流群群
  • 本博客坚持更新微软UC产品的相关信息与项目上遇到的问题,欢迎大家关注并提出相关改进意见。
  • 本博客每周日更新博文,同时非常欢迎各位老铁投稿,或者加入QQ群进行相关交流 QQ交流群群

针对近期微软Exchange安全漏洞修复方法

Exchange Server 张超 4个月前 (08-20) 565次浏览 4个评论 扫描二维码
文章目录[隐藏]

近期网上闹的沸沸扬扬的《微软 Exchange Server 史上最严重的安全漏洞》已经有几天了,相信有很多朋友已经更新了 Exchange Server 的CU 版本并安装了修复补丁。

但还是有很多朋友私下问我,这个安全补丁我咋更新不上啊,这个安全补丁更新完成为什么我数据库索引都不正常了啊。

今天就简单给大家介绍下如何更新这个安全的补丁。

首先纠正一个网上传言的误区,很多网友朋友说禁用 UM 服务就能解决这次安全漏洞问题了,针对这一问题我专门问了产品组的朋友,产品组明确告诉我这一方法是不生效的,是无法解决问题的。要解决问题还是要更新对应的CU然后安装修复补丁。

说到这块相信会有朋友问我,那我的 Exchange Server CU升级到那个版本那?

其实这个问题我在上一篇帖子中《重磅!微软 Exchange server 产品被爆史上最严重安全漏洞,全系版本均中招!内附最新解决方案!》已经明确说了,需要将您的CU 版本更新到最新的 2 个版本,拿 Exchange Server 2010 举例,目前最新的版本是 Exchange Server 2010 SP3 CU23,那么我们的CU就至少要更新到 Exchange Server 2010 SP3 CU22,才可以更新对应的系统修改补丁。

接下来给大家简单介绍下如何升级CU 版本,并如何安装对应的系统补丁,安装后会遇到哪些问题。

Exchange Server 版本检查

前面我已经说了,首先要更新系统漏洞补丁最开始我们要做的就是更新到最新的 2 个版本的CU,那么在更新之前我们首先要知道我们现在的CU 版本是多少,最新的版本是多少。

检查现有环境的CU 版本我们可以使用如下命令查看内部小版本号,然后到 TechNet 上对照小版本号确认系统的CU 版本

Exchange Server 2016 检查CU 版本命令:

Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion

Exchange Server 2013 检查CU 版本命令:

Get-ExchangeServer | Format-List Name, Edition, AdminDisplayVersion

Exchange Server 2010 检查CU 版本命令:

Get-Command ExSetup | ForEach {$_.FileVersionInfo} 

最新累计更新下载与对照地址:https://technet.microsoft.com/en-us/library/hh135098(v=exchg.150).aspx

或者可以通过 ECP 检查系统版本
针对近期微软 Exchange 安全漏洞修复方法

Exchange Server CU 补丁安装

扩展架构

首先我们还需要进行域架构扩展(或者让安装程序自己扩展也行),如图所示:

扩展 Active Directory 架构:
Setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
准备 Active Directory:
Setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
准备 Active Directory 域:
Setup.exe /PrepareAllDomains /IAcceptExchangeServerLicenseTerms

针对近期微软 Exchange 安全漏洞修复方法

针对近期微软 Exchange 安全漏洞修复方法

针对近期微软 Exchange 安全漏洞修复方法

将服务器设置为维护状态

PS:在做这个之前建议提前看好是否缺少先决条件。

在 DAG 成员上执行任何类型的软件或硬件维护之前,应先将 DAG 成员置于维护模式中。这将从服务器移除所有活动数据库,并阻止活动数据库移动至该服务器。它还确保将服务器上可能存在的所有关键 DAG 支持功能(例如,主活动管理器 (PAM) 角色)都移动至其他服务器,并阻止这些功能移动回该服务器。具体而言,应执行以下任务:
1. 要启动腾空传输队列的过程,请运行

Set-ServerComponentState <ServerName> -Component HubTransport -State Draining -Requester Maintenance
  1. 要启动腾空传输队列的操作,则运行
Restart-Service MSExchangeTransport
  1. 若要启动腾空所有统一消息呼叫的过程,则运行
Set-ServerComponentState <ServerName> -Component UMCallRouter -State Draining -Requester Maintenance
  1. 要将本地队列中等待传递的邮件重定向到由目标参数指定的邮箱服务器,则运行
Redirect-Message -Server <ServerName> -Target <MailboxServerFQDN>
  1. 1 要暂停群集节点(这将防止节点作为及成为 PAM),则运行
Suspend-ClusterNode <ServerName>
  1. 2 要将 DAG 成员上当前托管的所有活动数据库都移动至其他 DAG 成员,则运行
Set-MailboxServer <ServerName> -DatabaseCopyActivationDisabledAndMoveNow $True
  1. 3 要防止服务器托管主动数据库副本,则运行
Set-MailboxServer <ServerName> -DatabaseCopyAutoActivationPolicy Blocked
  1. 4 要将服务器置于维护模式,则运行
Set-ServerComponentState <ServerName> -Component ServerWideOffline -State Inactive -Requester Maintenance
  1. 检查现有的数据库副本自动激活策略,以便在完成升级后可以将其返回到同一配置。
Get-MailboxServer E15MB1 | Select DatabaseCopyAutoActivationPolicy

验证服务器是否准备好进行维护

要验证服务器是否准备好进行维护,则执行以下任务:
1. 要验证服务器是否已置入维护模式,则运行

Get-ServerComponentState <ServerName> | ft Component,State -Autosize
  1. 要验证服务器是否托管了任何主动数据库副本,则运行
Get-MailboxServer <ServerName> | ft DatabaseCopy* -Autosize
  1. 要验证是否已暂停节点,则运行
Get-ClusterNode <ServerName> | fl

最新累计更新安装

1、打开最新CU安装介质,并双击安装程序里“Setup.exe”
针对近期微软 Exchange 安全漏洞修复方法
2、根据实际需求选择是否联网检查更新
针对近期微软 Exchange 安全漏洞修复方法
3、正在自动复制安装文件
针对近期微软 Exchange 安全漏洞修复方法
4、系统自动检查到该操作是升级操作,直接点击“下一步”
针对近期微软 Exchange 安全漏洞修复方法
5、接受许可协议,并点击“下一步”
针对近期微软 Exchange 安全漏洞修复方法
6、先决条件检查完成(我这没做公网发布,我就没做*的发送连接器,所以会有警告)
针对近期微软 Exchange 安全漏洞修复方法
7、正在安装
针对近期微软 Exchange 安全漏洞修复方法
8、升级完成
针对近期微软 Exchange 安全漏洞修复方法
9、登录 ECP 或者使用命令检查 Exchange 版本是否已经更新
针对近期微软 Exchange 安全漏洞修复方法

取消维护状态

在维护完成且 DAG 成员准备好重新投入运行之后,可以通过执行以下任务使 DAG 成员脱离维护模式并将其重新投入生产:
1. 要指定服务器脱离维护模式,则运行

Set-ServerComponentState <ServerName> -Component ServerWideOffline -State Active -Requester Maintenance
  1. 若要允许服务器接受统一消息呼叫,则运行
Set-ServerComponentState <ServerName> -Component UMCallRouter -State Active -Requester Maintenance
  1. 要恢复群集中的节点,并启用服务器的完整群集功能,则运行
Resume-ClusterNode <ServerName>
  1. 要允许数据库在服务器上变为活动状态,则运行
Set-MailboxServer <ServerName> -DatabaseCopyActivationDisabledAndMoveNow $False
  1. 要删除对自动激活的阻止,则运行
Set-MailboxServer <ServerName> -DatabaseCopyAutoActivationPolicy Unrestricted
  1. 要启用传输队列,并允许服务器接受和处理邮件,则运行
Set-ServerComponentState <ServerName> -Component HubTransport -State Active -Requester Maintenance
  1. 要恢复传输活动,则运行
Restart-Service MSExchangeTransport

张超 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明针对近期微软 Exchange 安全漏洞修复方法
喜欢 (0)
[Juck.Zhang]
分享 (0)
关于作者:
版主目前就职国资委旗下子公司,微软MVP、高级微软实施工程师、微软技术爱好者、钻研者;具有多年丰富的项目实践经验。在公司主要负责微软活动目录、Exchange、Skyper for Biusees等产品的架构设计、实施、问题处理等工作。
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(4)个小伙伴在吐槽
  1. 目前经过测试,发现一个比较严重的问题,更新完成补丁后(Microsoft Exchange Search Host Controller)服务会被禁用,该服务禁用后数据库索引会失败,需要手动启动。
    张超2018-08-20 22:08 回复
  2. 如果是Exchange Server 2010的话,提前看一下SP版本,如果是SP3可以直接更新最新CU.如果是Sp3之前版本需要先更新SP补丁。Exchange Server 2013ml和2016不需要考虑SP问题,可以直接升级CU补丁。
    张超2018-08-20 23:45 回复
  3. 群主,请问有共存阶段吗?生产环境直接升级到CU10后,目前除了搜索服务被禁用后,其他方面正常吗?
    desit2018-08-21 10:49 回复
    • 您指的共存阶段是什么意思
      张超2018-08-26 12:06 回复