Exchange Server SSU: Rein oder raus? - via Pixabay

Exchange Server SSU: Rein oder raus? - via Pixabay

Exchange Server SSU: Rein oder raus?

Das ist eine üble Geschichte, die mir beim letzten Exchange Server SSU so über den Weg gelaufen ist. Ich bin mir deshalb nicht sicher, ob man das haben muss. Es geht um das KB5007409, das so genannte Security Update November. Ich habe mich nämlich so ein bisschen in die Nesseln gesetzt. Und davon will ich euch mal eben erzählen. Einerseits warnt man nicht umsonst vor ungepatchten Exchange Servern. Andererseits kann es höllischen Ärger geben.

Was macht das neueste Exchange Server SSU?

Installationswege für das Exchange Server SSU - von Microsoft
Installationswege für das Exchange Server SSU – von Microsoft

Grob gesagt, dichtet es den Server ab. Nach all den Geschichten rund um Hafnium und Co. ist das sicherlich nicht die allerdümmste Idee. Ich glaube schon, dass Microsoft daraus gelernt hat. Allerdings müssen die Administratoren auch mitmachen. Denn es gibt so die Storys rund um ProxyShell, Squirrelwaffle und all das. Man kann schon sagen: Jetzt aktualisiert in Gottes Namen doch endlich eure Exchange Server. Was spricht dagegen?

Mit so einem Exchange Server SSU werden quasi Sicherheitsprobleme angegangen, die schneller zu beheben sind, als ein Cumulative Update veröffentlicht werden kann. Und da diese Security Updates immer sehr tief ins System eingreifen, steht bei jedem Exchange Server SSU dabei, dass man die mit einer Eingabeaufforderung mit dem eingebauten Admin installieren soll. So ist das auch beim aktuellen SSU.

Wir haben schon erlebt, dass sonst nach der Installation von so einem Security Patch irgendwas nicht mehr geht. Mal ist es die Suche, dann ist es OWA, dann mal die ECP oder die Anbindung von Mobilgeräten. Das liegt daran, weil irgendeine Datei nicht aktualisiert werden konnte. Deshalb rät Microsoft dazu: Ey, Dudes, macht eine Elevated Prompt auf und zirkelt darüber eure Updates rein. Das gilt nur bei einem Exchange Server SSU. Aber man kann das schon generell so machen.

Aber was wäre, wenn irgendwas schief geht?

Stellt euch mal vor, ihr habt nun alle Vorkehrungen getroffen und habt das Exchange Server SSU so installiert, wie es Microsoft gern hätte. Und dann habt ihr Weiterleitungen von OWA im Einsatz, über die die User von überall auf der Welt auf ihr Postfach zugreifen können. Und genau diese Weiterleitungen werden vom Update kaputt gerissen. Microsoft hatte sich nämlich stolz über dieses Update geäußert, und die Admins zerreißen das gerade in der Luft.

Leute, was denken die sich bei Microsoft eigentlich? Man muss es doch hinbekommen, ein Update sicher und funktionstüchtig zu machen. Oder ist das zu viel verlangt? Microsoft tönt dann auch noch rum, dass man doch dann keine Redirections nutzen soll und stattdessen direkt die OWA URL nutzen soll. Glückwunsch, ihr Helden! Das funktioniert ja auch. Aber wenn man OWA zwar nach außen präsentieren will, es aber abschirmen will, ergibt so eine Weiterleitung schon Sinn. Und deshalb wird das auch gemacht.

Na gut, was machst du denn dann? Ja, es gibt keinen Fehler, wenn ihr die direkte OWA URL nutzt. Aber das ist nicht euer Ansinnen. Wie ich gerade geschrieben habe, gibt es dafür säckeweise gute Gründe. Jawohl, es gibt den Exchange Emergency Mitigation Service, der neulich eingeführt wurde. Aber der fummelt ja auch an solchen Regeln herum. Es ist eine Krux. Dabei kann so viel schiefgehen. Im Moment ist es schwierig, das Alles zu überblicken.

Was sagt Microsoft dazu?

Wir hätten natürlich bei einem unserer Kunden das Experiment veranstalten können, das Exchange Server SSU wieder runter zu basteln. Aber dann hätte man darauf warten können, bis wieder das nächste Sicherheitsrisiko dazu kommt. Also was wäre dann die Alternative? Die ist uns nicht bekannt. Deshalb haben wir uns gedacht, dass wir Microsoft einfach mal eine Anfrage über den Zaun werfen. Wir wollen mal sehen, wie sich Microsoft dazu verhält und wie sie es lösen würden.

Nochmal: Es gibt gute Gründe für so ein Exchange Server SSU. Aber es gibt auch gute Gründe für die OWA Redirections. Beides scheint, sich derzeit auszuschließen. Und das ist doch nicht hinnehmbar, oder sehe ich das falsch? Vielleicht hat ja jemand, der den Artikel liest, irgendeinen Ansatz, wie man diesen gordischen Knoten löst. Und nein, die direkte OWA URL ist in dem Fall keine Lösung.

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Scroll to Top