Exchange Updates – warum, wann und wie

Nicht nur seit Microsoft mit Exchange 2013 den vierteljährlichen Update-Zyklus eingeführt hat, fällt es den Betreibern schwer, bezüglich Betriebssystem- und Applikationspatches aktuell zu bleiben. Dabei wird oft vergessen, dass Microsoft nur die letzten zwei Cumulative Updates (CU) vor dem aktuellen für On-premises-Installationen und das letzte CU für Hybrid-Setups unterstützt. Nun kann man durchaus die Meinung vertreten, dass spiele ja keine Rolle und man könne gut ein paar Aktualisierungen auslassen. Warum das nicht so ist, und wie CUs am besten installiert werden, werde ich in diesem Artikel beantworten. Ich nehme dabei jeweils Exchange 2013 als Beispiel, aber für Exchange 2016 gilt alles Gesagte analog.

Warum

Wie schon in der Einleitung erwähnt, verliert man mit alten Update-Ständen den Support von Microsoft. Beispielsweise ist aktuell CU19 verfügbar. Die letzte unterstützte Version ist somit CU17 – und damit auch der letzte herunterladbare Stand. Für CU16 erscheint im Download-Link stattdessen diese nette Meldung:

Man kann natürlich das Risiko eingehen und trotzdem mit einem älteren CU weiterleben. Hier aber sind meine Gründe, die dagegensprechen:

• Microsoft testet nur die Installation von unterstützten Updates. Wenn ich also CU16 habe und auf CU19 aktualisiere, ist dies nicht getestet worden. Je grösser der Abstand zwischen den CUs, desto eher können erfahrungsgemäss auch wirklich Probleme auftreten.
• In Hybrid-Setups müssen On-premises-Server und Microsofts Office 365 Exchange Server zusammenarbeiten. Wenn die Updates auf beiden Seiten nicht zusammenpassen, können schwer diagnostizierbare Probleme auftreten, z.B. beim übergreifenden Aufruf von Free/Busy-Daten.
• Weil nichtunterstützte CUs nicht mehr heruntergeladen werden können, kann es zu Situationen kommen, in denen ich gar keine unterstützte Update-Möglichkeit mehr habe. Dies ist zuletzt im Zusammenhang mit .net Framework geschehen.

Zur Illustration hier die Support-Matrix:

Es ist zu erkennen, dass CU14 und frühere Versionen das .net Framework 4.6.2 nicht unterstützen. CU16 hingegen benötigt dieses zwingend. Ich muss also zuerst von CU11 auf CU15 updaten, dann das .net Framework von 4.5.x auf 4.6.2 anheben und dann CU19 installieren. Aber CU15 lässt sich nicht mehr herunterladen. Gemäss Microsoft kann in einem solchen Fall ein Case eröffnet werden und sie stellen die Software zur Verfügung.

Wann

Eigentlich ergibt sich das Wann von selbst: Spätestens nach 3 Monaten sollte jeweils auf ein noch unterstütztes CU aktualisiert werden. Wenn Exchange innerhalb einer Database Availability Group (DAG) mit einem Loadbalancer für die Verteilung der Clientanfragen auf mehreren Servern läuft, kann ein CU im laufenden Betrieb und ohne Wartungsfenster installiert werden. Dabei gilt zu beachten, dass die Server über einen möglichst kleinen Zeitraum unterschiedliche Stände haben sollten. Ebenfalls muss daran gedacht werden, dass ein CU im Gegensatz zu den in Exchange 2010 gebräuchlichen Rollup-Updates (RU) die ganze Installation ersetzt wird – das heisst, die benötigte Zeit für das Update kann je nach Performance der Server schnell mal auf eine Stunde ansteigen. Insbesondere wenn die Server keinen Zugang zum Internet haben, kann das Deaktivieren des Revocation-Checks im Browser Timeouts im Hintergrund verhindern, wenn die Signaturen der zu installierenden Komponenten überprüft werden:

Wie

Ich habe bei Kunden schon das ganze Spektrum an Möglichkeiten gesehen, wie die Updates installiert werden können. Entweder einfach installieren, rebooten und hoffen, dass der DAG seine Arbeit schon richtig macht, oder per Script den Server in einen Maintenance-Mode bringen, dann installieren und nach dem Restart den Mode wieder ändern. Die zweite Variante bietet natürlich mehr Kontrolle und sollte deshalb favorisiert werden. Technet bietet eine gute Anleitung: https://technet.microsoft.com

Fazit

Microsoft hat den Druck auf die IT-Abteilungen erhöht, Updates für Exchange zeitnah einzuspielen. Dessen sollte man sich zumindest bewusst sein oder gegebenenfalls den Wartungszyklus dementsprechend anpassen.

Microsoft Exchange Trainings Für mehr Informationen zu Exchange 2013 und 2016 besuchen Sie einen der folgenden Kurse. Zu allen Exchange-Server-Trainings

Für mehr Informationen zu Exchange 2013 und 2016 besuchen Sie einen der folgenden Kurse.

Zu allen Exchange-Server-Trainings