免费下载
软件更新至关重要,因为它们带来了新特性、修复了错误,并修补了威胁参与者可能利用的漏洞,以获得未经授权的访问。Microsoft每月发布安全更新(Security update),每个季度发布受支持的Exchange Server版本(如Exchange 2013、2016和2019)的累积更新(Cumulative update)。
累积更新包含当前和上次CU版本之间发布的所有热修复程序和安全更新。此外,cu还带来了新的特性和更新,可以提高服务器的性能和可靠性。
此外,Microsoft为较新的构建(cu)提供安全更新,并停止支持较旧的Exchange Server cu。
因此,将Exchange Server更新到最新的累积更新对于继续接收新的安全更新和保护Exchange环境免受恶意攻击至关重要。
下面我们解释了下载和应用Microsoft针对受支持的Exchange Server版本发布的最新累积更新的完整过程,并提供了分步说明。可以按照本指南将累积更新应用到Exchange Server 2013、2016和2019。
在安装Exchange累积更新之前要考虑的事情
在开始向Exchange Server安装累积更新之前,请考虑以下事项:
- 如果运行的是独立Exchange Server,则邮件流将停止,直到应用完累积更新。因此,计划更新是至关重要的,因为它可能需要时间来完成。规划还将避免可能导致服务器不可用的安装失败的问题或实例。
- 升级后,无法卸载累积更新,因为卸载CU将删除Exchange服务器。
- 对Exchange Server进行的自定义,例如. config文件,将被覆盖,并要求您在CU升级完成后重新应用它们。因此,保存您所做的所有自定义Exchange和IIS设置。
- 在将累积更新部署到生产服务器之前,始终在测试环境中测试累积更新。
重要提示:在开始安装CU之前进行备份。如果由于任何原因导致更新失败,则可以使用备份构建新服务器并恢复邮箱数据库。但是,如果备份不可用,您可以使用Exchange恢复软件,例如星修交换,从故障的Exchange Server中恢复邮箱并将其直接导出到新的活动Exchange Server。
在Exchange Server 2013、2016和2019中安装累积更新的步骤
安装累积更新有两种方式,
- 通过图形用户界面(GUI)。
- 使用命令提示符无人值守模式。
下面我们讨论了在独立服务器和DAG Exchange服务器上安装累积更新的两种方法。
步骤1:下载累积更新
在为您的Exchange服务器下载最新的CU之前,请使用以下Exchange Management Shell命令检查当前版本,
Get-ExchangeServer | fl名称,版本,AdminDisplayVersion
然后参观Exchange Server的版本号和发布日期页以检查和下载针对您的Exchange Server版本的最新累积更新。永远不要从第三方或非官方网站下载任何安全或累积更新,因为它们可能包含恶意软件。
步骤2:将Exchange Server置于维护模式
在更新或升级Exchange Server之前,建议将Exchange Server置于维护模式。您可以在Exchange Management Shell (EMS)中使用以下PowerShell命令将Exchange Server 2013、2016或2019设置为维护模式。
- 集HubTransport到排水状态,
Set-ServerComponentState -Identity“ServerName”-Component HubTransport -State排水-请求者维护
- 如果组织中有另一个Exchange服务器,请将排队的邮件重定向到该服务器
重定向-消息-服务器名称-目标"ServerName-02.stellarinfo.com"
- 如果服务器属于DAG组,执行如下命令;否则,跳到ServerWideOffline
Suspend-ClusterNode“ServerName-01”
- 然后禁用数据库复制自动激活,并将数据库的活动副本移动到另一个DAG成员。
设置mailboxserver "ServerName-01" -DatabaseCopyActivationDisabledAndMoveNow $true
- 另外,阻塞DatabaseCopyAutoActivationPolicy,
设置mailboxserver "ServerName-01" -DatabaseCopyAutoActivationPolicy Blocked
- 然后使用以下命令将Exchange Server置于维护模式:
Set-ServerComponentState "ServerName" -Component ServerWideOffline -State Inactive - request Maintenance
- 要验证Exchange Server是否处于维护模式,请运行以下命令:
Get-ServerComponentState "ServerName " |选择组件,状态
组件必须处于非活动状态。
重新启动服务器。
步骤3:准备累积更新
在下载页面,查看系统需求部分,了解安装所需的先决条件。
通常,您需要安装以下组件:
步骤4:安装rsat - add功能
在扩展Active Directory架构之前,必须在域控制器和Exchange服务器上安装RSAT-ADD功能(远程工具管理包)。为此,以管理员身份打开PowerShell并运行以下命令:
安装windows功能rsat - add
重新启动服务器。
步骤5:准备架构、AD和域
要准备架构、活动目录和域,请打开命令提示符并使用。来导航挂载的CU ISO位置CD命令。例如,
cd F:
然后执行如下命令准备架构、AD和所有域。
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareSchema .exe
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAD .exe
\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOff /PrepareAllDomains或/PrepareDomain .exe
注意:从2021年9月开始CU,您需要使用/ IAcceptExchangeLicenseterms_DiagnosticDataOFF或/ IAcceptExchangeLicenseterms_DiagnosticData_ON用于无人值守的安装。
重新启动中间的服务器以清除任何挂起的重新引导。
步骤6:通过无人值守安装或GUI安装累积更新
在服务器上安装先决条件后,挂载下载的累积更新ISO映像。
您可以使用命令提示符安装累积更新,也可以从挂载位置直接启动Setup.exe文件。
要通过命令提示符在无人值守模式下运行安装,请打开一个提升的命令提示符并执行以下命令:
cd F:
\Setup.exe /Mode:Upgrade /IAcceptExchangeServerLicenseTerms .exe
步骤7:将服务器从维护模式中移除
安装完成后,重新启动服务器,然后在EMS中使用以下命令检查当前版本:
Get-ExchangeServer |
验证后,在Exchange Management Shell中使用以下命令将服务器从维护模式中移除:
Set-ServerComponentState " ServerName " -Component ServerWideOffline -State Active - request Maintenance
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
在DAG成员服务器上,需要执行以下命令退出维护模式:
Resume-ClusterNode -Name ServerName
设置mailboxserver服务器名-DatabaseCopyAutoActivationPolicy无限制
设置mailboxserver服务器名-DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState " ServerName " -Component ServerWideOffline -State Active - request Maintenance
Set-ServerComponentState ServerName -Component HubTransport -State Active -Requester Maintenance
若要验证DAG成员服务器已退出维护模式,请
Get-ClusterNode“ServerName”
步骤8:安装挂起的安全更新(su)
将Exchange服务器更新到最新的累积更新后,请检查任何挂起的安全更新。你可以跑healthChecker.ps1脚本在您的服务器上查找漏洞,然后应用SUs来修补它们。
要安装安全更新,请导航到安全更新下载(。msp文件),并在提升的命令提示符窗口中运行以下命令:
。\ Updatename.msp
按照向导完成安装,然后重新启动。
重要更新:从2023年5月起,微软将以自提取自动提升可执行文件的形式发布安全更新和热修复程序。因此,可以像其他程序一样,以管理员或管理员权限直接安装5月2023或更高版本的SUs和HFs。
结论
Microsoft建议其Exchange客户安装最新的更新——无论是安全更新(SUs)还是累积更新(cu)——以保护组织免受已知威胁和恶意攻击。针对未打补丁的Exchange Server的攻击通常在Microsoft发布补丁或更新后立即增加,从而增加了您的组织受到威胁的机会。为避免风险,请尽快完成升级。
但是,如果在恶意攻击或服务器故障后服务器被破坏或数据库被破坏,则需要创建一个新服务器并从备份中恢复邮箱。永远不要使用受损的服务器,即使你可以修复它。
如果备份不可用,则使用Exchange服务器恢复软件(例如用于Exchange的Stellar Repair),以从受损的Exchange服务器恢复邮箱并将其保存为pst。您还可以将从损坏或损坏的Exchange数据库中提取的邮箱直接导出到新的Live Exchange服务器或Office 365租户,只需单击几下即可。
