Microsoft On-Premise Server/Microsoft Server Solutions

Exchange 2019 CU14 업데이트

o959 2024. 3. 7. 13:20
반응형

Exchange 2019 CU14 업데이트

 

 

Exchange 2019의 CU14버전으로 업데이트를 진행해보려고 합니다

 

주로 보안측면의 문제가 발생하거나 버그 패치등의 이유로

CU 업데이트를 진행해요

 

이전에 Skype For Business Server 같은 경우 CU 업데이트를 진행하게 되면

서버의 Component들이 업데이트 되기 때문에 해당 Component를 삭제하는 방법으로

CU 업데이트 롤백이 되었지만

 

Exchange CU 업데이트는 사실상 Exchange 서버를 재 설치 하는 과정과 비슷하기 때문에 롤백이 힘들어요

AD와 Exchange를 시점 복원 하고 해당 복원위치로 돌리는 롤백방법을 제시하긴 하지만

이건 정말 최악의 경우에요

Exchange CU업데이트 롤백은 없어야 한다고 생각하고 진행해야 해요

 

 

 

 

Exchange 2019 CU 14

 

 

이 업데이트는 Microsoft Exchange Server의 취약성을 해결합니다

(Microsoft Exchange Server 권한 상승 취약성 CVE-2024-21410)

 

 

[이 누적 업데이트로 해결되는 문제]
5035439 BlockModernAuth가 AuthenticationPolicy에서 응답하지 않음 
5035442 Exchange 완화 서비스가 증분 업데이트를 기록하지 않습니다.
5035443 Exchange Server 2019에서 ActiveSyncSuppressReadReceipt가 "True"인 경우 읽기 확인이 반환됩니다.
5035444 eDiscovery 검색을 실행하려고 할 때 System.argumentnullexception
5035446 레거시 권한 부여가 차단되면 OAB 섀도 배포가 실패합니다.
5035448 MCDB가 실패하고 지연된 복사 활성화로 이어집니다.
5035450 Exchange 2019 설치 프로그램이 오래된 JQuery 라이브러리를 설치합니다.
5035452 사용자 이름이 이벤트 ID 23 및 258에 표시되지 않습니다. 
5035453 정보를 위임하려고 할 때 Exchange 또는 Teams에서 문제 발생
5035455 MSExchangeIS가 응답을 중지하고 하루에 여러 번 "System.NullReferenceExceptions"를 반환합니다.
5035456 "위치 HaRpcError에서 역직렬화가 차단됨" 오류 및 Exchange 복제가 응답을 중지합니다.
5035493 CU 또는 SU 업데이트 후 FIP-FS 프록시 사용자 지정이 사용하지 않도록 설정됩니다.
5035494 Exchange Server 2019에서 웹 프록시를 사용하는 경우 최신 첨부 파일이 작동하지 않습니다.
5035495 정크 메일 보고를 사용하지 않도록 설정한 경우에도 OWA에서 정크 작업을 표시합니다.
5035497 ECP의 권한 편집 옵션을 편집할 수 없습니다.
5035542 이제 EAC를 통해 원격 장비 및 회의실 사서함을 관리할 수 있습니다. 
5035616 Windows Server 업데이트 후 로그온 이벤트 실패
5035617 전송 규칙은 다중 파트 또는 대체 메시지에 적용되지 않습니다.
5035689 "GC의 높은 %시간" 및 EWS가 응답하지 않습니다.

 

 

결국 취약점 패치가 필요하여 많이 진행하겠네요

 

 

그리고 Exchange Server Windows 확장 보호라는 것을 사용한다고 하네요

 

Windows 확장 보호 는 Windows Server의 기존 인증을 향상시키고 인증 릴레이 또는 MitM(Man-in-the-middle) 공격을 완화합니다. 이 완화는 주로 TLS 연결에 사용되는 을 통해 지정된 채널 바인딩 정보를 통해 Channel Binding Token (CBT) 구현되는 보안 정보를 사용하여 수행

 

네, 뭔가 인증 매커니즘이 변하네요

 

 

 

 

 

Outlook Anywhere 구성 요구 사항

 Outlook Anywhere  SSL 오프로드는 기본적으로 사용하도록 설정되며 확장된 보호를 사용하도록 설정하기 전에 
사용하지 않도록 설정해야 합니다

 

 

 

NTLM 버전 요구 사항

NTLMv1 는 약하며 MitM(Man-in-the-middle) 공격에 대한 보호를 제공하지 않습니다. 그것은 취약한 것으로 간주되어야하며 더 이상 사용되지 않아야합니다.
NTLMv1 확장된 보호와 함께 사용할 수 없습니다. 대신 클라이언트를 사용하도록 NTLMv1 적용하고 Exchange 서버에서 NTLMv2 확장된 보호를 사용하도록 설정한 경우 이 구성은 Exchange 서버에 대해 성공적으로 인증할 방법 없이 클라이언트 쪽에서 암호 프롬프트로 이어집니다.



확장된 보호를 사용하도록 설정하면 클라이언트에 암호 프롬프트가 표시되는 경우 클라이언트와 Exchange Server 쪽에서 다음 레지스트리 키와 값을 검사 합니다.
레지스트리 키: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
레지스트리 값: LmCompatibilityLevel
을 값5Send NTLMv2 response only. Refuse LM & NTLM()으로 설정하는 것이 좋습니다. 적어도 이 인 값 3Send NTLMv2 response only으로 설정해야 합니다.
값을 삭제하면 운영 체제에서 시스템 기본값을 적용합니다. Windows Server 2008 R2 이상에서는 로 설정된 것처럼 처리합니다 3.
설정을 중앙에서 관리하려면 그룹 정책 사용하여 이 작업을 수행할 수 있습니다.
정책 위치: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

 

로그인 인증 관련하여 위와 같은 문제가 발생 할 수 있는 것으로 보여지고

위 레지스트리 혹은 그룹 정책으로 배포해야 할 수 있다는 내용으로 보여져요

 

 

 

 

Exchange 2019 CU 14를 설치하게 되면 기본적으로 확장된 보호를 구성하며

 

확장된 보호를 Disabled하거나 설치 시 확장된 보호 사용을 건너뛸 수 있는 옵션을 제공하고 있네요

<Virtual DVD drive letter>:\Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataON /Mode:Upgrade /DoNotEnableEP

 

 

 

 

 

Exchange 2019 CU14 업데이트 진행하기

 

설치를 진행해 봐야겠죠?

 

우선 SSL Offloading을 끄고 진행하라고 했으니

EX01 서버만 설정을 꺼주도록 하겠습니다.

 

Set-OutlookAnywhere -Identity "EX01\Rpc (Default Web Site)" -SSLOffloading $False

 

 

 

 

 

그리고 Exchange 2019 CU14 iso 파일을 실행하여 Mount 해주고 Setup.exe를 실행해주세요

 

Setup.exe

 기존에 설치하는 과정과 동일하게 Next를 클릭하여 넘어가서 Install을 눌러 설치해주세요

 

 

 

 

설치 진행

 

CU가 설치 될 때 Exchange Service 들이 전부다 Stop 상태가 되니

한대 씩 차근 차근 진행하셔야 메일 시스템의 중단을 최소한으로 할 수 있어요

 

 

 

Exchange 2019 CU14 Install

 설치가 완료 되었어요!

 

 

 

Exchange 관리 센터

우선 Exchange 관리센터는 잘 접속이 되네요

재부팅해줄께요

 

 

 

Exchange Server CU 업데이트가 잘 되었는지,

버전 정보 확인해보도록 할께요

 

Exchange CU 버전

 

 

 

Exchange CU Build Number

 

Build Number 확인 결과 동일한 것으로 확인 되었어요

 

 

 

서비스 상태, Outlook 로그인에 문제가 없는것 같아요

 

2번서버도 동일하게 진행해주세요!

 

그리고 Database Mount가 한쪽 서버로 전부 되어 있을 거에요

Mount를 각 서버로 변경해주세요.

 

 

 

 

 

 

반응형