Windows Server 2019 Core - Automatisch Updates anderer MS Produkte installieren

[wise 0]

Hallo,

 

ich habe einen Testserver mit Windows Server 2019 Core vor einigen Wochen eingerichtet und darauf einen Exchange 2019 installiert.

In der Registry hab ich unter anderem "AllowMUUpdateService" auf 1 gesetzt, damit auch für den Exchange Updates installiert werden.

 

Ich hatte zuerst Exchange 2019 mit CU 5 installiert (das war schon einige Tage her) und heute CU 9 nach installiert.

 

Trotzdem erhalte ich nicht das Update KB5000978.

 

Folgend Updates sind nur installiert worden:

$> wmic qfe get hotfixid
HotFixID
KB4601555
KB4486153
KB4535680
KB4589208
KB5000859
KB5000822

 

Würde mich freun, wenn mich jemand hierbei aufklären könnte.

 

Liebe Grüße

Wise

[winmadness 79]

vor 1 Stunde schrieb wise:

Trotzdem erhalte ich nicht das Update KB5000978.

Kein Wunder, dieses Update ist auch für Exchange 2010 bestimmt. Ich denke Du meinst KB5000871 als Patch für den ProxyLogon Exploit. Dieses Update bekommst Du deshalb nicht angeboten, da es bereits in CU 9 enthalten ist.  Also alles richtig gemacht.

[NorbertFe 2.086]

Abgesehen davon würde ich die Installation von Exchange Updates nicht unbedingt dem Windows Update Agent Überlassen. Da gibts zu oft Problemchen. ;) Core für exchange wieder jemand der daran glaubt unheimlich die angriffsfläche reduziert zu haben, und hauptsächlich handlingprobleme bekommen hat. ;)

[testperson 1.728]

vor 57 Minuten schrieb NorbertFe:

Abgesehen davon würde ich die Installation von Exchange Updates nicht unbedingt dem Windows Update Agent Überlassen.

Ich habe "die letzten" Exchange KBs nur noch per WU (und Stichtag am WSUS) gepatched und hatte (noch) keine Probleme. Sind das bei dir "ältere" Erfahrungen und hast es seit dem nicht mehr probiert oder hast du da auch aktuelle Fälle?

[NorbertFe 2.086]

Naja oft genug ist das Ding in timeout gelaufen und die Dienste kamen nach dem Neustart nicht wieder hoch. Ein Muster ließ sich da nicht erkennen. Aber es war eben dann immer mehrere Stunden down, weil man das ja im allgemeinen nachts erledigen lässt.

[testperson 1.728]

Okay, das bekomme ich nicht mit, da eine Aufgabe bzw. Zabbix nach dem Boot die nicht gestarteten "automatischen" Dienste startet. Nach Reboots gibt/gab es bei uns halt immer knapp ein, zwei Hände voll (von ca. 100) Exchange Servern, wo nicht alle Dienste laufen/liefen. #KategorieWürgaround ;)

[wise 0]

Hallo

 

vor 9 Stunden schrieb winmadness:

Kein Wunder, dieses Update ist auch für Exchange 2010 bestimmt. Ich denke Du meinst KB5000871 als Patch für den ProxyLogon Exploit. Dieses Update bekommst Du deshalb nicht angeboten, da es bereits in CU 9 enthalten ist.  Also alles richtig gemacht.

 

Danke, dann bin ich ja beruhigt.

 

vor 4 Stunden schrieb NorbertFe:

Abgesehen davon würde ich die Installation von Exchange Updates nicht unbedingt dem Windows Update Agent Überlassen. Da gibts zu oft Problemchen. ;) Core für exchange wieder jemand der daran glaubt unheimlich die angriffsfläche reduziert zu haben, und hauptsächlich handlingprobleme bekommen hat. ;)

Ehrlich gesagt ist das weniger aus Sicherheitsgründen (ich will nicht leugnen, dass der Gedanke da mitspielt) als viel mehr aus Performance Gründen. Und die sind doch erheblich spührbar... zu mindestens beim Arbeiten mit/auf dem Server.

 

Die Exchange Umgebung selbst ist relativ klein. Da kann ich jetzt wenig zu sagen.

 

Ich hatte mich letztlich dafür entschieden, weil ich die GUI für den Exchange mindestens ab 2013 (auf dem sonst wirklich nichts anderes läuft) einfach unnötig finde.

 

Die Angriffsfläche hab ich jetzt (zugegeben erst nach den kürzlichen Vorfällen) durch VPN reduziert: Nur SMTP und IMAP ist noch ohne VPN erreichbar; der Rest erfordert entweder interne LAN Anbindung oder eine Anbindung übers VPN.

 

Grüße

Wise

bearbeitet 3. April 2021 von wise
Ergänzung VPN

[NorbertFe 2.086]

vor 31 Minuten schrieb wise:

Und die sind doch erheblich spührbar

Echt? Wobei denn bitte?

[wise 0]

vor 6 Stunden schrieb NorbertFe:

Echt? Wobei denn bitte?

In meiner Konfiguration machts was aus. Das liegt aber vorallem auch an der schmalen Internetanbindung; Wenn ich remote da drauf will, dann hatte ich bisher nur die Möglichkeit über die GUI - und das ist manchmal ganz schön zäh.

 

Da ich auf dem Exchange ohnehin ausschließlich nur diese "Anwendung" betreibe und auch nicht vorhab auf diesen Server noch was anderes drauf zu packen, bot sich der für mich irgendwie als Core Server an. Zusätzlich eben die Überlegung ihn damit mehr einzuschränken... ja; Ich geb ja auch zu, dass ein evtl. Angriff (eben so wie der Hafnium kürzlich) sich davon nicht beeindrucken lässt, dass nur die Konsole verwendet werden kann... was anderes nutzen die Scripte eh nicht.

 

Außerdem ist der RAM des Hyper-Vs mit seinen 32GB auch nicht gerade üppig... wie gesagt; Beim Exchange wars mir eben wichtig diesen wirklich nur dafür und nicht noch für irgendwas anderes zu nutzen. Da kann ich bei der Core Version schon mal 2GB RAM einsparen

 

Aber sonst ists natürlich Geschmacksache. Ich komm ganz gut damit zurecht:

• Ich kann die verschiedenen mmc-Snapins genauso gut von woanders öffnen
• Der Exchange wird seit 2013 eh ohne die GUI konfiguriert
• Wenn ich im Dateiexplorer arbeiten will, geht das auch Remote (SMB/CIFS)
• So hab ich mehr Anreiz ein bisschen mehr die Powershell zu verwenden; schadet nicht und aus Bequemlichkeits-Gründen nutz ich die oftmals gar nicht so oder nur, wenn ich irgendwelche "Massen-Konfigs" machen will (z.B. ne ganze Liste an Postfächern erstellen etc.). Jedenfalls hab ich mir mittlerweile ne ganze Latte an nützlichen Powershell Kommandos zusammen gestellt; die hätte ich ohne die Entscheidung zur Core-Version vermutlich nicht

Und natürlich war noch ein maßgeblicher Gedanke: Ich muss mich von Vornherein für oder gegen Core entscheiden: Das man das zwischendrinn umswitchen kann, wurde ja leider entfernt

Wenn ich mit der Entscheidung langfristig doch noch mal umdenken will, kann ich das immer noch machen: Dann muss ich eben noch mal neu aufsetzen und zu nem neuen Exchange Migrieren... vielleicht komm ich aber auch ganz gut damit klar und belasse es für die nächsten Versionen sogar dabei.

 

Aber danke für die Meinung zur GUI; In den betreuten Umgebungen werd ich dann eher von der GUI absehen... (Darüber hatte ich mir nämlich durchaus auch Gedanken gemacht). Das hier ist meine Testumgebung. Sozusagen der "zweite Arbeitsplatz" Daheim.

 

Gruß

Wise

[NorbertFe 2.086]

vor 13 Minuten schrieb wise:

vor 7 Stunden schrieb NorbertFe:

 

In meiner Konfiguration machts was aus. Das liegt aber vorallem auch an der schmalen Internetanbindung; Wenn ich remote da drauf will, dann hatte ich bisher nur die Möglichkeit über die GUI - und das ist manchmal ganz schön zäh.

Naja wenn’s hilft. Kann ich nicht bestätigen. :)

[wise 0]

Hallo,

 

ich geb mich geschlagen: Unabhängig eines Performance Vorteils ists bei Problemen doch recht nervig nur mit der Core Version auf Problemsuche zu gehen. Unterm Strich muss ich nun doch Nobby recht und "klein bei" geben und werd jetzt doch wieder zurück in die Desktop Umgebung wechseln... Schade, dass das Umschalten in den neueren Servern entfernt wurde und nur noch per Neuinstallation möglich ist.