В 2022 вышел майский Security Update для Exchange Server, нововведением в котором стала необходимость после установки выполнить /PrepareAllDomains (либо /PrepareDomain если домен один, к примеру) непосредственно с машины, на которой был установлен SU, причем именно из папки с установленными компонентами Exchange, а не с установочного диска:
В моем случае используются не только Split permissions, но и привилегированные пользователи с ролями Domain/Schema/Enterprise Admin которые не должны заходить на серверы Exchange во избежание компрометации своих УЗ.
MS пишет, что если используются рабочие станции с Exchange Management Shell Tools, то их так же следует обновлять. К тому же,
MS говорит, что можно запустить /PrepareAllDomains на первом обновлённом сервере/рабстанции несмотря на то, что остальные ещё не пропатчены, но можно и пропатчить все серверы и запустить /PrepareAllDomains один раз с любого из них.
Поэтому было решено использовать для /PrepareAllDomains рабочую станцию, на которой работает Domain/Schema/Enterprise Admin и на которой установлен Exchange Management Shell Tools. Далее сложности с которыми я столкнулся и как смог их решить.
---
Инструкция
Источник 1.
Источник 2.
Источник 3.
Готово. Таким образом был установлен майский SU и выполнен /PrepareAllDomains с обычной рабочей станции, где не установлен сам MS Exchange, а есть только Exchange Management Tools.
Добавлю, что SU надо ставить на все серверы Exchange, а так же на станции, которые используются для управления, но /PrepareAllDomains нужно выполнять только один раз и независимо от того, поставлена ли SU на все серверы либо пока только на один сервер.
В моем случае используются не только Split permissions, но и привилегированные пользователи с ролями Domain/Schema/Enterprise Admin которые не должны заходить на серверы Exchange во избежание компрометации своих УЗ.
MS пишет, что если используются рабочие станции с Exchange Management Shell Tools, то их так же следует обновлять. К тому же,
MS говорит, что можно запустить /PrepareAllDomains на первом обновлённом сервере/рабстанции несмотря на то, что остальные ещё не пропатчены, но можно и пропатчить все серверы и запустить /PrepareAllDomains один раз с любого из них.
Поэтому было решено использовать для /PrepareAllDomains рабочую станцию, на которой работает Domain/Schema/Enterprise Admin и на которой установлен Exchange Management Shell Tools. Далее сложности с которыми я столкнулся и как смог их решить.
---
Инструкция
- Сначала надо проапгрейдить Exchange Management Tools на станции с помощью установочного диска текущего Cumulative Update (CU), в нашем случае CU12, в ином случае установка SU завершится с ошибкой что нет подходящего продукта для апгрейда. Запуск из Exchange Managemen Shell:
- Затем надо установить уже Security Update (SU), предварительно на время установки отключив в Internet Explorer две опции проверки списка отзыва сертификатов, т.к. в ином случае запуск *exe’шника SUшки будет длиться бесконечно долго, предварительно будет выведено предупреждение что проверка CRL включена и может замедлить компьютер (Error: The setup wizard has determined that Certificate Revocation List(CRL) checking is enabled on this computer). SU надо запускать через cmd, запущенную от администратора и лучше запускать *exe, а не *msp - там чуть больше информации в консоль выводится во время установки:
- Check for publisher's certificate revocation
- Check for server certificate revocation
Источник 1.
Источник 2.
Источник 3.
- После установки SU требуется перезагрузка (хотя на стенде я обошёлся и без неё), а затем необходимо из самой папки, где установлен Exchange Management Tools, через командную строку из папки, где установлен Exchange Management Tools запустить Setup.exe с ключами согласия с лицензионным соглашением и подготовкой всех доменов. Setup.exe надо запускать через CMD, а не Exchange Management Shell.:
Готово. Таким образом был установлен майский SU и выполнен /PrepareAllDomains с обычной рабочей станции, где не установлен сам MS Exchange, а есть только Exchange Management Tools.
Добавлю, что SU надо ставить на все серверы Exchange, а так же на станции, которые используются для управления, но /PrepareAllDomains нужно выполнять только один раз и независимо от того, поставлена ли SU на все серверы либо пока только на один сервер.
Последнее редактирование: