[English]Zum 13. Juli 2021 hat Microsoft Sicherheitsupdates für Exchange Server 2013, Exchange Server 2016 und Exchange Server 2019 veröffentlicht. Diese Juli-Updates sollen von externen Sicherheitspartnern gemeldete und durch die internen Prozesse von Microsoft gefundene Schwachstellen auf Exchange Server On-Premises-Installationen schließen. Bei einigen Systemen bewirkt die Installation der Sicherheitsupdates aber, dass das Exchange Control Panel (OWA) sowie die Outlook Web App (OWA) nicht mehr funktionieren. Microsoft hat das Ganze inzwischen bestätigt.
Sicherheitsupdates für Exchange Server (Juli 2021)
Ich hatte zeitnah über die freigegebenen Sicherheitsupdates für die On-Premises Server 2013, Exchange Server 2016 und Exchange Server 2019 im Blog-Beitrag Sicherheitsupdates für Exchange Server (Juli 2021) berichtet. Die CVEs sind auch in diesem Blog-Beitrag der Zero-Day-Initiative aufgeführt. Auf dieser Seite finden sich aber detailliertere Erläuterungen zu den jeweiligen Schwachstellen.
Eine zeitnahe Installation der Sicherheitsupdates wird empfohlen. Sofern die Sicherheitsupdates manuell installiert werden, ist dieser Vorgang aus einer mit administrativen Eingabeaufforderung heraus zu starten. Andernfalls treten Probleme während der Installation auf. Auch auf diesen Sachverhalt hatte ich im Beitrag hingewiesen.
Im Microsoft Techcommunity-Beitrag Released: July 2021 Exchange Server Security Update wird zudem darauf hingewiesen, dass ein Schema benötigt wird, damit alle Maßnahmen greifen. Stefan A. hat es in diesem Kommentar nochmals erwähnt. Auf reddit.com finden sich einige Diskussionen dazu. Im Beitrag sind auch einige Known Issues aufgeführt. Frank Carius hat in seinem Beitrag hier ebenfalls noch einige Hinweise zusammengestellt.
Es klemmt bei ECP und OWA
Bereit kurz nach Veröffentlichung des Blog-Beitrags meldeten sich Blog-Leser, die über Probleme bei der Installation berichteten. Blog-Leser McClane schrieb:
Bei meinem ersten Exchange (2019CU10) war im ECP Ordner die web.config leer nach dem Patch. Ich hab sie dann vom zweiten Server rübergezogen.
Und Blog-Leser Marcel hat nach dem Update Anmeldeprobleme festgestellt. Hier sein Kommentar zum Blog-Beitrag:
habe nach dem Update Anmeldeprobleme. Nach der Installation des Security Update For Exchange Server 2016 CU21 (KB5004779) auf einem Exchange Server in der DAG ergibt sich folgendes Fehlerbild:
Nach erfolgreicher Anmeldung wird man umgehend auf die OWA Anmeldseite zurückgeworfen.
Deaktiviere ich den Server am LB funktioniert OWA wie gewohnt!
Auch im Techcommunity-Beitrag werden Anmeldeprobleme bestätigt – Marcel hat seinen Kommentar dort auf Englisch eingestellt. Auf reddit.com weist jemand ebenfalls auf Probleme hin und in diesem reddit.com Thread gibt es es ebenfalls eine Diskussion zum Thema. Bei administrator.de gibt es in diesem Thread ebenfalls Diskussionen.
FB-Meldung zu Exchange Juli 2021-Update-Problemen (ECP/OWA)
Nachdem mit ein Blog-Leser auf Facebook noch die obige Meldung zu Exchange Juli 2021-Update-Problemen (ECP/OWA) gepostet hat, habe ich das Ganze mal in einem separaten Blog-Beitrag herausgezogen. Inzwischen hat Microsoft im Techcommunity-Beitrag Released: July 2021 Exchange Server Security Update einen Hinweis, dass es Probleme geben kann, veröffentlicht.
Abgelaufene Zertifikate als Ursache
Microsoft hat im Mai 2021 einen eigenen Beitrag Can’t sign in to Outlook on the web or EAC if Exchange Server OAuth certificate is expired veröffentlicht, der sich mit den Anmeldeproblemen befasst. Das Fehlerbild:
Wenn Sie versuchen, sich bei Outlook im Web oder dem EAC in Exchange Server anzumelden, friert der Webbrowser ein oder meldet, dass das Umleitungslimit erreicht wurde. Zusätzlich wird das Ereignis 1003 in der Ereignisanzeige protokolliert.
Es gibt dort den Hinweis, ein neues OAuth-Zertifikat zu erzeugen. Auf reddit gibt es ebenfalls diesen Hinweis, wie vorzugehen ist. Und bei Microsoft sind in den Q&A-Bereichen die Einträge EX2019-CU10 OWA/ECP not working after July Security Update und EX2019-CU10 OWA/ECP not working after July Security Update vom Juli 2021 zum Thema zu finden.
Wichtig: Es kann nach dem Erzeugen des neuen OAuth-Zertifikats bis zu 2,5 Stunden dauern, bis dies wirksam wird. Einfach im Hinterkopf behalten, falls sich nach der Neuerstellung nicht sofort was tut.
Ähnliche Artikel:
Kumulative Exchange Updates Juni 2021 veröffentlicht
Epsilon Red Ransomware zielt auf ungepatchte Exchange Server
Microsoft 365-Bug: Mails aus Exchange Online und Outlook landen im Spam-Ordner
Microsoft Exchange Admin-Portal wegen ausgelaufenem Zertifikat blockiert
PoC für den von der NSA entdeckten Microsoft Exchange-Bug öffentlich
Exchange Update-Fehler und -Infos (13. April 2021)
Exchange-Probleme mit ECP/OWA-Suche nach Sicherheitsupdate (März 2021)
Exchange Server Security Update KB5001779 (13. April 2021)
Vorwarnung: 0-Day-Schwachstellen, ist das nächste Exchange-Drama im Anrollen?
Exchange 2016/2019: Outlook-Probleme durch AMSI-Integration
Kumulative Exchange Updates Juni 2021 veröffentlicht
Sicherheitsupdates für Exchange Server (Juli 2021)
Werter Günter Born,
ich habe za. 40 Installationen draußen. Exchange 2016 und 2019 und ein par 2013 alle Standard. Wenn man nach dem Update OWA oder ECP aufrufen will, kommt der Fehler:
ASSERT: HMACProvider.GetCertificates:protectionCertificates.Length<1
Das Problem tritt bei Server 2013 CU23, 2016 CU20 u. 21 sowie bei 2019 CU 9 und 10 auf.
Im Zuge der Installation des Updates wird überall offensichtlich das bestehende Zertifikat "Microsoft Exchange Server Auth Certificate" zerstört, oder gelöscht, oder wie auch immer. Zuvor war es bei allen Servern vorhanden und gültig.
Bei allen Servern führte folgende Vorgehensweise zum Erfolg:
ACHTUNG – ACHTUNG – ACHTUNG – ACHTUNG – ACHTUNG
Dieser Vorgang kann Stunden dauern!!! Man muss warten können, aber es lohnt sich!
https://support.microsoft.com/en-us/topic/you-can-t-access-owa-or-ecp-after-you-install-exchange-server-2016-cu6-88b3fe67-5f97-a8a2-8ed8-70034ff15761
Hoffe das hilft einigen weiter.
LG Tom
Kann ich bei Exchange 2013 CU23 und dem 778er KB bestätigen. Der MS Eintrag hilft wirklich. Man muss aber kein neues Zertifikat erzeugen. Unser eins läuft erst 2024 ab. Also habe ich per Powershell dem Exchange nochmal das vorhandene Zertifikat „untergejubelt“ und danach war OWA und ECP wieder da. Dauerte keine Minute bei mir. Wenn das vorhandene Zertifikat aber abgelaufen ist, würde ich so vorgehen, wie MS schreibt und ein neues erstellen, zuweisen und das alte mit dem letzten Befehl löschen. Bei meiner Installation habe ich den letzten Befehl zum „Aufräumen“ auch weggelassen.
Als Tipp: Wenn die Powershell etwas von 48h schreibt (ich meine verstanden zu haben, dass MS hier meint, dass das Zertifikat nicht länger als 48h noch läuft, sicher bin ich mir nicht) einfach mit JA bestätigen und es durch die PS einpflegen lassen.
An einem Exchange 2016 CU21 hatte ich den Fehler nicht. Beide Male habe ich den Security Patch via WSUS und dem normalen Windows Update installiert.
Wie hast Du das nochmal ‚untergejubelt‘ ?
Set-AuthConfig -NewCertificateThumbprint -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate >> habe ich weggelassen
Den Thumbprint zum vorhandenen, gültigen Zertifikat findest Du unter ausführen > mmc > Snapin laden > Zertifikate > dieser Computer > weiter, weiter, weiter > dann müsstest Du da das OAuth Zertifikat sehen > Rechtsklick > 1. Eintrag und in den Eigenschaften findest Du die ellenlange Nummer
Hilft das?
Punkt 1 bis 4 abarbeiten: https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired
Dankeschön!
Lieber Daniel,
das wars – DANKE. Die einfache Lösung!
PS Aufgefallen ist mir bei meinen Kunden, dass es nur diese Systeme betrifft, bei denen das „Microsoft Exchange Server Auth Certificate“ bereits einmal erneuert wurde. Somit eben nur die 2013 und 2016er. Trotzdem auch bei mir bei den 2019er aufgetreten, wahrscheinlich, weil ich dort testweise das Zertifikat erneuert hatte.
LG Tom
DANKE!!
Die Lösung hat mir den Sonntag gerettet.
Exchange2013
Danke, das war die Lösung.
Hallo Daniel,
vielen Dank für den Beitrag.
Hat bei mir auf Exchange 2013 CU23 perfekt funktioniert.
Viele Grüße Christian
TOP! Vielen Dank
Lieber Tom,
… „Im Zuge der Installation des Updates wird überall offensichtlich das bestehende Zertifikat „Microsoft Exchange Server Auth Certificate“ zerstört, oder gelöscht, oder wie auch immer. Zuvor war es bei allen Servern vorhanden und gültig.“…
Das war der entscheidende Hinweis. Bei unserem Exchange 2013 war noch der Thumbprint des Zertifikats vorhanden. Wenn man sich dieses dann anzeigen lassen wollte, kam die Meldung das es nicht vorhanden sei.
… „ACHTUNG – ACHTUNG – ACHTUNG – ACHTUNG – ACHTUNG
Dieser Vorgang kann Stunden dauern!!! Man muss warten können, aber es lohnt sich!“…
Wir üben uns gerade in Geduld :-)
Vielen Dank für die Hinweise.
Beste Grüße
Daniel
Und so beginnt jeden Monat das Zitterspiel zwischen Sicherheit (Hafnium) und Funktionalität. Vielleicht sehe ich es auch falsch aber Email ist mittlerweile so etabliert, dass es bei Störungen zu erheblichen Einschränkungen kommt.
Ein Exchangeadmin ist wirklich in einer Situation wo er auf kurz oder lang nur verlieren kann.
Ich habe diese Updates nur noch nicht eingespielt weil ich Urlaub habe…ansonsten hätte es mich auch betroffen.
Hafnium habe ich damals, zum Glück, am gleichen Tag eingespielt.
Es kann aber nicht sein, dass so ein Produkt nach jedem Update einem Roulettespiel gleicht…
Das versteht kein Kunde und wenn man es zum x ten mal auf die Updates von Microsoft schiebt wird man irgendwann auch Unglaubwürdigkeit weil das ein Kunde einem irgendwann auch nicht mehr abnimmt
Es ist der freundliche Hinweis von Microsoft: Exchange On-Prem ist tot – geh in die Cloud (Also O365)
Das ganze sehe ich auch so, man versucht allen „ON-Prem“ Kunde klarzumachen – man will endlich mit Ihnen Geld verdienen und man soll doch endlich in die Cloud wechseln.
Kann es sein, dass es nur Server betrifft, die kein ‚echtes‘ (also von einer CA) Zertifikat für Ihre Dienste installiert haben?
Wir betreiben eine eigene, firmeninterne PKI, welche auch die Zertifikate für Microsoft Exchange Server erstellt. Intern sind diese Zertifikate vertrauenswürdig und validierbar. Ich denke, dass Sie dies mit „echt“ meinen.
Wir haben das Sicherheitsupdate auf Exchange Server 2016 CU21 installiert und sind auf keine Probleme gestoßen. Insofern würden meine Erfahrungen zumindest erstmal nicht im Widerspruch zu Ihrer Arbeitshypothese stehen.
Gruß Singlethreaded
Bei uns das gleiche. Wir betreiben auch eine eigene PKI und ich hatte keinerlei Probleme nach der Installation des Sicherheitsupdates in der DAG unter 2016 CU21.
Bei uns war OWA und ECP auch zerschossen. Das Zertifikatsproblem hatten wir allerdings nicht. Bei uns gabs HTTP 500 Fehler mit der Innerexception DirecotryNotFound. KB5004779 wurde über Windows Update automatisch installiert.
!!! Exchange 2016 CU20 auf Server 2016 !!!
Lösung bei uns:
– Neustart
– Schema/AD-Update von CU21 ausgeführt
– Neustart
– KB5004779 heruntergeladen, entpackt, msp-Datei in Administratorconsole (CMD) ausgeführt
– Neustart
– UpdateCas.ps1 ausgeführt
– UpdateConfigFiles.ps1 ausgeführt
– Neustart
Alles wieder funktionsfähig nach crica 2 Stunden!
Wir haben auch Exchange 2016 CU20 auf Server 2016 im Einsatz.
Im WSUS bekomme ich aber das Update KB5004779 gar nicht angezeigt. Wurde das evtl. zurückgezogen?
Ich sehe allerdings das Update KB5004778, das für Exchange Server 2013 ist.
Der Hinweis mit den Stunden, die es dauern kann, war Gold wert. Hat nach ca. 3 Stunden perfekt funktioniert: Exchange Server 2013 CU23. Herzlichen Dank!
Hallo zusammen,
an welcher Stelle dauert der Vorgang so lange? Nachdem ich Punkt 1-4 durchgeführt habe? Oder schon vorher? Und sehe ich, dass was gearbeitet wird?
Danke euch, Chris.
Nachdem die Punkte abgearbeitet wurden, blieb das ursprüngliche Problem bestehen (OWA und ECP kaputt). Ab da musste man ca. 3 Stunden warten, bis es dann doch wieder funktionierte. Soll heißen, die geänderte Konfiguration musste sich erstmal „durchsetzen“, ähnlich wie beim Thema MX-Einträge und A-Records. Und nein, man konnte leider nicht sehen, dass gearbeitet wird. Man konnte nur warten und hoffen. Eben deshalb war es so wichtig, den Faktor Wartezeit als vollwertigen Teil der Lösung zu akzeptieren. 🙏
Deine drei Posts wurden in die Moderation geschoben, mache ich bei neuen Kommentaren zur SPAM-Abwehr. Ich habe zwei Kopien gelöscht.
Hi,
bei uns war folgendes Problem (exchange 2016) das nach dem Updaten konnte man nicht mehr den privaten Schlüssel exportieren (vielleicht auch schon vorher falsch importiert) Zertifikat erneut importieren mit dem „häckchen privaten schlüssel exportierbar machen“
Zertifkat neu authetifizeren
(Exchange Powershell)
Set-AuthConfig -NewCertificateThumbprint -NewCertificateEffectiveDate (Get-Date)
Set-AuthConfig -PublishCertificate
Set-AuthConfig -ClearPreviousCertificate
Diensthost Exchange Neustarten
die Pools neustarten (Powershell)
Restart-WebAppPool MSExchangeOWAAppPool
Restart-WebAppPool MSExchangeECPAppPool
und sollte wieder direkt gehen.
Gruß
Nachtrag:
Gerade einen frischen Ex 2019 CU10 installiert in einer komplett frischen Windows Srv 2019 AD.
Patch drauf und „Bumm“ – und das fast drei Wochen nach Update Release, wo MS das Problem kennt! – Wieder mal der deutlich Hinweis: Geh in unsere Cloud du Schwachk… – du sollt nichts mehr On Prem machen.
Ich will endlich ein Haftungsrecht, welches dafür sorgt, dass MS bei solchen Vorkommnissen so richtig schön blechen muss…
Ach ja und eine EU Gesetz, dass vorschreibt das IT Produkte HW+SW aus Umweltschutz/Nachhaltigkeitsgründen 30 Jahre lange supported werden müssen [/Traum]
In Verbindung mit einem Kemp Loadbalancer muss über Modify/View Services – Modify bei OWA die SubVS Einstellung auf Persistence Options Mode Super HTTP gestellt werden.
Hat bei mir geholfen, danke!
Danke, hat bei uns auch geholfen.
@Daniel
Vielen lieben Dank für den Tipp mit Reset des Thumbprint. Mein Auth Zertifikat war noch lange gültig und die 3 Zeilen haben es behoben.
War ganz schön nervös als OWA und das Adminportal nicht mehr funktioniert haben.
Bei mir hat den Zertifikatskettenfehler auch nur der alte Internet Explorer angezeigt. Sonst wäre ich dem Updatefehler gar nicht auf die Spur gekommen.
Saved my day
Frank
Vielen Dank!
Das Exchange Zertifikat war gültig.
Trotzdem durchführen und warten. :) https://docs.microsoft.com/en-us/exchange/troubleshoot/administration/cannot-access-owa-or-ecp-if-oauth-expired
Nach mehreren Stunden warten war OWA und ECP wieder funktionsfähig.
Hat mein Samstag gerettet!
Danke!
Grüße
Christian
Muss die Prozedur mit dem Auth Zertifikat auf allen Exchange Servern einzeln , also alle CAS Server und Datenbank Server durchgeführt werden ? Gibt es da eine bestimmte Reihenfolge die man einhalten sollte ?
Moin zusammen,
wollte mich doch auch kurz zu dem Thema äußern. Frisches AD aufgesetzt + neuen 2019 Exchange cu 10 iso installiert. Danach das Security Update mit admin cmd installiert. Wie zu erwarten war, ging danach die ecp und owa nicht mehr. Nahcdem ich dann alle möglichen Lösungsansätze, welche hier beschrieben werden. Habe mir dann das auth Zertifakat angeschaut und gesehen, dass das keinen Diensten mehr zugewiesen war. Habe dem dann pop, imap, iis zugewiesen. iisreset gemacht und dann geht ecp und owa wieder. Habe dann dem von unserer Zertifizierungsstelle ausgestellten Zertifkat wieder alle Dienste zugewiesen und ecp und owa funktionieren weiterhin.
Danke für die Rückmeldung – hilft sicherlich anderen Admin.
Nach CU21 und dem November Patch sind ECP und OWA über den Loadbalancer ADC nicht mehr zu erreichen. Deinstallation des Patch hat geholfen.