Was macht so ein Entwickler von einem Exchange SU eigentlich beruflich? Genau das könnte man fragen, wenn man so sieht, was auf der Exchange-Front los ist. Es ist nicht das erste Mal, dass etwas mit den Security Updates von Exchange schief geht. Nur ist es beim März-Update eine ganze Ecke subtiler. Und wir können ketzerisch behaupten: Die Updates sind eine ziemlich ausgefuchste Arbeitsbeschaffungsmaßnahme für den Support von Microsoft. Ja, so ist es nicht. Aber man könnte so etwas denken.
Exchange SU: Was soll das überhaupt?
Exchange Server sind stets beliebte Angriffsziele. Deshalb sind sie auch neuralgische Schlüsselelemente, wenn Angreifer in ein Unternehmen eindringen wollen. Es vergeht ja kaum eine Woche, in der nicht erzählt wird, welche Gefahren wieder auf die Server einprasseln. Damit diese gemildert werden können, gibt es die Security Updates für Exchange Server, die Exchange SU. Die kommen immer gesondert zu den Cumulative Updates, also den CU, um die Ecke.
Jetzt war es Mitte März wieder so weit, dass Microsoft so ein Exchange SU durch die Gegend geballert hatte. Und ich meine wirklich „geballert“. Da gibt es den Exchange Emergency Mitigation Service, der immer wieder nach Updates schreit. Da gibt es Troubleshooter, die Administratoren mehr oder weniger penetrant darüber aufklären, dass es wieder so ein Update gibt. Und so weiter und so fort. Und plötzlich ist dann so ein weiteres Exchange SU verfügbar.
Was dann passiert, ist doch eigentlich immer klar: Das Update wird über Windows Update angeboten. OK, dann können wir das ja gleich mal auf die Exchange Server kloppen. Microsoft schreibt eigentlich immer in den Artikeln: Leute, wenn das schief geht, installiert es lieber manuell über eine CMD, die ihr als Administrator startet. Ich frage mich dann immer, warum dann diese Art von Updates überhaupt über Windows Update und dergleichen angeboten werden. Richtig schlüssig ist das ja dann nicht.
Fehler trotz aller Vorsichtsmaßnahmen
Mitte März kam das Update mit der Nummer KB5012698. Wie in allen möglichen Artikeln steht auch hier, dass mögliche Probleme durch die Installation über Windows Update nicht auftreten, aber man das Ding dennoch auch manuell installieren sollte. Ich empfehle eigentlich grundsätzlich, so ein Exchange SU herunterzuladen, dann eine CMD als Administrator zu starten und dann das Update über sie zu starten. Die Erfahrungen der letzten Monate haben gezeigt, dass das weniger Probleme bringt.
Dennoch kann es dann trotzdem passieren, dass nach der Installation irgendwas nicht mehr geht. Und das sind ganz komische Verhaltensmuster. Da ist mal das Offline-Adressbuch nicht mehr verfügbar oder Outlook On The Web startet nicht mehr oder sonstwas. Ja, damit werden zwar vielleicht die Risiken minimiert, weshalb es dieses Exchange SU gibt. Aber wenn die Server dadurch allesamt nicht mehr korrekt funktionieren, ist das am Ende ja auch bloß ziemlich großer Mist.
Ganz zentral scheint wohl der „World Wide Web Publishing Service“ – der W3SVC – davon betroffen zu sein. Der könnte in einem undefinierten Zustand landen, wenn das Exchange SU installiert wurde. Und das hindert die Internet Information Services an der korrekten Funktion. Da viele Dinge bei Exchange mit dem IIS zusammenhängen, ist das schon eine sehr kritische Nummer. Beim IIS denken wir ja sofort an diese Fehlfunktion durch so ein Update, oder etwa nicht?
Die Lösung ist wohl, das Update wieder zu deinstallieren und den Dienst neu zu starten. Danach soll man ihn erstmal anhalten, das Update installieren und nach einem Serverneustart den Dienst wieder starten. Echt jetzt? Das muss doch besser gehen. Administratoren haben doch nicht die Zeit für diese Spiele. Wenn sie so ein Exchange SU installieren, muss danach der Server ja wieder funktionieren. Sonst werden sie die Updates nicht installieren. Welche Konsequenzen das hat, können wir ja ahnen.