软件更新是至关重要的,因为它们带来了新的功能、修复bug和补丁漏洞,威胁行为者可能利用这些漏洞获得未经授权的访问。
微软每个月发布安全更新(SUs),每个季度发布支持的Exchange Server版本(如Exchange 2013、2016和2019)的累积更新(CUs)。
累积更新包含当前和上次CU版本之间发布的所有修复程序和安全更新。此外,cu还带来了可能提高服务器性能和可靠性的新特性和更新。
此外,微软为较新的构建(CUs)提供安全更新,并停止支持较旧的Exchange Server构建。
因此,将Exchange Server更新为最新的累积更新对于继续接收新的安全更新和保护Exchange环境免受恶意攻击至关重要。
但是,您需要准备Exchange Server并计划更新,因为它可能需要时间来完成。另外,如果您正在运行独立的Exchange Server,邮件流将停止,直到您完成应用累积更新。规划对于避免可能导致服务器不可用的问题或安装失败实例也很重要。
本文解释了下载和应用Microsoft针对受支持的Exchange Server版本发布的最新累积更新的完整过程,并提供了逐步说明。您可以按照本指南将累积更新应用到Exchange Server 2013、2016和2019。
在Exchange 2013、2016和2019中安装累积更新的步骤
有两种安装累积更新的方法,
- 通过图形用户界面(GUI)
- 使用命令提示符无人值守模式
下面我们讨论了使用无人值守模式在独立和DAG Exchange服务器上安装累积更新的步骤。但在开始安装Exchange Server的累积更新之前,请记住以下内容:
- 升级后,您不能卸载累积更新,因为卸载CU将删除Exchange Server。
- 对Exchange Server进行的自定义,例如. config文件将被覆盖,并要求您在升级后重新应用它们。因此,请保存您所做的所有定制Exchange和IIS设置。
- 在将累积更新部署到生产服务器之前,始终在测试环境中测试累积更新。
重要提示:在开始安装CU之前,请先进行备份。如果由于任何原因导致更新失败,您可以使用备份构建新服务器并恢复邮箱数据库。但是,如果备份不可用,则可以使用Exchange恢复软件,例如Exchange恒星维修,以从故障的Exchange Server中恢复邮箱,并将它们直接导出到新的活动的Exchange Server。
步骤1:下载累积更新
在为您的Exchange Server下载最新的CU之前,请使用以下Exchange Management Shell cmdlet检查当前版本,
Get-ExchangeServer | fl Name,Edition,AdminDisplayVersion
然后参观Exchange Server版本号和发布日期页以查看及下载Exchange服务器版本的最新累积更新。不要从第三方或非官方网站下载任何安全或累积更新,因为它们可能包含恶意软件。
步骤2:准备累积更新
在下载页面中,查看系统需求部分,了解安装所需的先决条件。
通常,您需要将. net框架更新到所支持的版本。
在服务器上安装先决条件后,挂载下载的“累积更新”ISO映像。
步骤3:将Exchange Server置于维护模式
建议在更新或升级Exchange Server之前将Exchange Server设置为维护模式。您可以在Exchange Management Shell (EMS)中使用以下PowerShell命令将Exchange Server 2013、2016或2019置于维护模式。
- 集HubTransport排水状态,
Set-ServerComponentState -Identity "ServerName" -Component HubTransport -State drain - request维护
- 如果组织中有另一个Exchange Server,则将排队的消息重定向到该服务器
重定向消息-Server ServerName -Target "ServerName-02.stellarinfo.com"
- 如果服务器属于DAG组,执行如下命令;否则,跳过ServerWideOffline
Suspend-ClusterNode“ServerName-01”
- 然后禁用数据库副本自动激活,并将数据库的活动副本移动到另一个DAG成员。
Set-MailboxServer "ServerName-01" -DatabaseCopyActivationDisabledAndMoveNow $true
- 同时,阻止DatabaseCopyAutoActivationPolicy,
Set-MailboxServer "ServerName-01" -DatabaseCopyAutoActivationPolicy阻塞
- 然后使用以下命令将Exchange Server切换到维护模式,
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Inactive -请求器维护
- 要验证Exchange Server是否处于维护模式,请运行以下命令,
Get-ServerComponentState "ServerName " |选择组件,状态
组件必须处于非活动状态。
截图!
重新启动服务器。
步骤4:安装rsat - added Feature
在扩展Active Directory架构之前,必须在域控制器和Exchange服务器上安装RSAT-ADD特性。为此,以管理员身份打开PowerShell并运行以下命令,
安装windows功能RSAT-ADDS
截图!
重新启动服务器。
步骤5:准备架构、AD和域
要准备架构、活动目录和域,以管理员身份打开命令提示符,并使用CD命令导航挂载的CU ISO位置。例如,
cd F:
然后运行以下命令准备架构、AD和所有域,
\ setup / IAcceptExchangeServerLicenseTerms_DiagnosticDataOff / PrepareSchema
\ setup / IAcceptExchangeServerLicenseTerms_DiagnosticDataOff / PrepareAD
\Setup.exe / iacceptexchangeserverlicenseterms_diagnostics dataoff /PrepareAllDomains或/PrepareDomain
注意:从2021年9月开始,你需要使用/ IAcceptExchangeLicenseterms_DiagnosticDataOFF或/ IAcceptExchangeLicenseterms_DiagnosticData_ON无人值守安装。
在此期间重新启动服务器以清除任何挂起的重新启动。
步骤6:通过无人值守设置或GUI安装累积更新
您可以使用命令提示符安装累积更新,或者直接从挂载位置启动Setup.exe文件。
要通过命令提示符在无人值守模式下运行安装,请打开提升命令提示符并执行以下命令,
cd安装位置= " "
/ IAcceptExchangeServerLicenseTerms \ setup /模式:升级
步骤7:从维护模式中移除服务器
安装完成后,重新启动服务器,然后在EMS中使用以下命令检查当前版本:
Get-ExchangeServer | Fl
验证之后,在Exchange Management Shell中使用以下命令将服务器从维护模式中移除:
Set-ServerComponentState " ServerName " -Component ServerWideOffline -State活动请求维护
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
在DAG成员服务器上,需要执行以下命令退出维护模式。
Resume-ClusterNode - name ServerName
Set-MailboxServer ServerName -DatabaseCopyAutoActivationPolicy无限制
Set-MailboxServer Servername -DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState " ServerName " -Component ServerWideOffline -State活动请求维护
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
要验证DAG成员服务器已脱离维护模式,
Get-ClusterNode“ServerName”
步骤8:安装暂挂的安全更新(SUs)
现在您已经将Exchange服务器更新到最新的累积更新,请检查任何挂起的安全更新。您可以运行healthChecker.ps1脚本,查找漏洞,然后应用SUs修补漏洞。
要安装安全更新,请导航到下载安全更新的文件夹(。msp文件),并在提升的命令提示符窗口中运行以下命令,
。\ Updatename.msp
按照向导完成安装,然后重新启动。
结论
微软建议其Exchange客户安装最新的更新——无论是安全更新(SUs)还是累积更新(CUs)——以保护组织免受更新的威胁和恶意攻击。对未打补丁的Exchange Server的攻击通常在微软发布补丁或更新后立即增加,从而增加了您的组织受到攻击的机会。为避免风险,请尽快安装更新。
但是,如果在恶意攻击后服务器被破坏或数据库被破坏,请创建一个新的服务器并从备份中恢复邮箱。永远不要使用被破坏的服务器,即使你可以修复它。如果备份不可用,请使用Exchange恢复软件(如Stellar Repair for Exchange)从受损的Exchange服务器恢复邮箱并将其保存为pst。还可以单击几下,将从损坏或损坏的Exchange数据库中提取的邮箱直接导出到新的Live Exchange Server或Office 365。
