[English]Zum 10. Oktober 2023 hat Microsoft Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Bei einer Reihe Exchange Server-Systemen endet die Installation der Oktober 2023-Updates mit dem Fehler 0x80070534. Ursache scheint die fehlende Bereinigung der August 2023-Update-Misere zu sein. Weiterhin wollen einige Administratoren das IIS-Token-Cache-Modul wieder aktivieren. Hier einige Informationen zu diesen Themen.
Anzeige
Die August und Oktober 2023-Updates
Microsoft hat zum 10. Oktober Sicherheitsupdates für Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Ich hatte im Beitrag Exchange Server Sicherheitsupdates (10. Oktober 2023) über diese Updates berichtet.
Weiterhin möchte ich an dieser Stelle auf die August 2023-Updates hinweisen die zu einem Installationsdesaster und zurückgezogenen Patches führten (siehe Artikellinks am Beitragsende und den Beitrag Exchange Server August 2023-Update: Patches zurückgezogen; neue Version V2; Workaround erneut geändert).
Updates scheitern mit Fehler 0x80070534
Bei der Update-Installation der Oktober 2023-Updates scheitern aber einige Exchange Server-Installationen. Blog-Leser gmu beschreibt es in diesem Kommentar für Exchange Server 2019 CU13: Der Versuch, das Update KB5030877 automatisch zu installieren, scheiterte mit dem Fehler 0x80070643. Danach waren alle Microsoft Exchange-Dienste deaktiviert. Der Versuch einer manuellen Installation mit Download des KB (German) brach mit dem Fehler "ERROR: While installing the Exchange Server Update, error 1603 occurred." in der Console ab.
Der Fehlercode 0x80070534
Der Fehlercode 0x80070534 steht für "no mapping between account names and security IDs was done." (siehe auch), d.h. es scheitert an fehlenden Konten bzw. Security IDs. Es ist also irgend etwas auf den betreffenden Systemen, was nicht passt (denn der Fehler tritt nur auf einzelnen Systemen auf).
Anzeige
Folgen des August 2023-Desasters
Die obige Erklärung zur Fehlermeldung deutet bereits auf ein "Kontenproblem" hin. Im August 2023 gab es bei nicht englischen Exchange Server-Systemen das Problem, dass das Update wegen eines fehlenden Active Directory Kontos scheiterte (siehe Exchange Server August 2023-Update: Patches zurückgezogen; neue Version V2; Workaround erneut geändert). Microsoft hatte das August 2023-Update wegen der Probleme zurückgezogen und dann einen Workaround angeboten.
August 2023 Update V1 deinstallieren
In den Kommentaren der Blog-Leser gab es dann den Hinweis, dass das installierte August 2023 v1 SU sowie der dort vorzunehmende Workaround die Ursache sei. Zur Bereinigung des Exchange Server-Systems ist:
- das installierte August 2023 v1 SU zu deinstallieren und dann das System neu zu starten, dazu wird der manuell anzulegende AD User benötigt,
- dann ist der Workaround rückgängig zu machen, d.h. der manuell angelegte AD Account wieder zu entfernen,
- im Anschluss kann das August 2023 v2 SU installiert werden.
Der letzte Schritt ist nicht unbedingt erforderlich, da die SU ja kumulativ sind und das Oktober 2023 SU direkt an Schritt 2 installiert werden könnte. Die Schritte zum Zurücknehmen der August 2023 SU v1-Probleme sind in diesem Techcommunity-Artikel skizziert. Nach der Bereinigung des Systems sollte sich das Oktober 2023 SU installieren lassen – was von Betroffenen im Blog bestätigt wurde. Inzwischen hat Microsoft seinen Techcommunity-Artikel um folgende Einträge ergänzt.
- 10/12/23: Added a note that additional steps might be necessary to address password prompts in multi-forest deployments (issues resolved section)
- 10/11/23: Added a FAQ for setup error that can be encountered if August 2023 SUv1 was installed on Exchange running on non-English OS
- 10/11/23: Added a FAQ clarifying that re-enabling IIS Token Cache is not required but is optional
Im Artikel gibt es Hinweise auf bekannte Probleme und es finden sich Leserkommentare zu Problemen. In den Kommentaren zum Artikel Exchange Server Sicherheitsupdates (10. Oktober 2023) finden sich weitere Hinweise auf Probleme, wie nicht startende Dienste nach der Update-Installation. Auch bei Frank Zöchling gibt es entsprechende Kommentare zu diesem Artikel.
IIS Token Cache aktivieren
Mit dem August 2023 SU wurde der IIS Token Cache aus Sicherheitsgründen deaktiviert. Inzwischen hat Microsoft die betreffende Schwachstelle geschlossen. Wer den IIS Token Cache benötigt, kann diesen wieder aktivieren. Microsoft hat dazu etwas in der FAQ in diesem Techcommunity-Artikel angesprochen. Auch in diesem Leserkommentar hier im Blog wird auf das Thema abgestellt.
Ähnliche Artikel:
Exchange Server Sicherheitsupdates (10. Oktober 2023)
Microsoft Security Update Summary (8. August 2023)
Desaster Exchange August 2023-Sicherheitsupdate – nicht installieren!
Workaround für Exchange August 2023 Sicherheits-Update Installationsprobleme
Exchange Server August 2023-Update: Patches zurückgezogen; neue Version V2; Workaround erneut geändert
Anzeige
Nach dem Oktober Update meldet der aktuelle Health Checker außerdem:
Extended Protection Enabled (Any VDir): True
Default Web Site/OAB – Current Value: 'Require' Expected Value: 'Allow'
The current Extended Protection settings may cause issues with some clients types on this protocol.
It is recommended to set the EP setting to the recommended value if you are having issues with that protocol.
More Information: https://aka.ms/ExchangeEPDoc
Lässt man die aktuelle Version des Skripts nochmal laufen, dann ist die Meldung weg:
https://aka.ms/ExchangeEPScript
Wie in den Kommentaren unter nachfolgendem Link zu lesen, hat Microsoft offenbar seine Empfehlung zu den Einstellungen angepasst:
https://techcommunity.microsoft.com/t5/exchange-team-blog/released-october-2023-exchange-server-security-updates/ba-p/3950647
Einfach das aktuelle ExtendetProtection Script nochmal drüberlaufen lassen. Steht doch alles im Exchange Team Blog. https://techcommunity.microsoft.com/t5/exchange-team-blog/bg-p/Exchange
Stand doch im Exchange Team Blog, das das Problem Update wieder entfernt werden muss. sonst lassen sich ohne den Dummy User keine nachfolgenden Updates mehr einspielen.
Ich weiß, ich hatte im August hierzu schon Kommentare hinterlassen:
https://www.borncity.com/blog/2023/08/15/exchange-server-august-2023-update-patches-zurckgezogen-workaround-erneut-gendert/#comment-154943
Sicher, dass es nur daran liegt, dass manche das kaputte V1 nicht deinstalliert haben?
Ich mag das irgendwie nicht glauben, dass man im August es schafft, das Update via Workaround zu installieren, aber danach das Thema nicht mehr verfolgt.
Der Re-Release V2 war ja nur eine Woche danach und da war das ja alles beschrieben, dass das V1 wieder deinstalliert werden muss, da man die Abhängigkeit sonst ein „Leben lang" hat.
https://techcommunity.microsoft.com/t5/exchange-team-blog/re-release-of-august-2023-exchange-server-security-update/ba-p/3900025
Vermag ich echt irgendwie nicht zu glauben, dass es so viele gibt, die die Hinweise vom V2 nicht gelesen haben.
Vllt. gibt es noch andere Gründe warum es bei manchen auf Fehler läuft.
Wir haben damals „glücklicherweise" das V1 gar nicht erst probiert und sind direkt auf das V2.
Ich hatte das V1 installiert und dann einen Restore es EX gemacht. Anschließend den US Account angelegt und V1 nochmals installiert. Soweit Ok. Dann kam V2. Also V1 deinstalliert und den Account nach dem reboot wieder aus der AD entfernt. Anschließend V2 installiert. Beim mit hat das SU Oktober auf diesem EX 2019 keine Probleme bereitet.
Sagt mal – immer noch nicht bei Exchange Online – ätsch :-) Strafe muß sein.
Doch sind bei Exchange online aber es wir ja sowieso ein Hybrid EX benötigt – zumindest bisher ..
Haben wir mittlerweile erfolgreich bei 3 Kunden "demigriert" – es braucht nur noch eine Management VM mit der Exchange Console für das Powershell Managment. MS selbst stellt da auch ein paar Anleitungen zur Verfügung.
Was für ein Gewürge…
Und es gibt tatsächlich Leute, für sich das freiwillig antun…