Exchange 2010 RTM out of support

wie ich gerade gelesen habe ist Exchange 2010 RTM, also eine Installation ohne Service Pack 1 nicht mehr unterstützt. Der Support Lifecycle für die Produkte von Microsoft ist normalerweise so gestaltet das ein Produkt in der RTM Version oder mit dem vorherigen Service Pack ein Jahr weiter gepflegt wird. Dieser Zeitraum ist bei Exchange 2010 jetzt abgelaufen, siehe auch:

Exchange Product Lifecycle

Wer noch nicht auf Service Pack 1 (Rollup 5 wäre aktuell) aktualisiert hat für den wäre es jetzt langsam an der Zeit.

Viele Grüße

 

Walter Steinsdorfer

Exchange 2010 Service Pack 2 Schema Changes

Das Service Pack 2 kommt näher. Zumindest wurde schon mal bekannt gegeben welche Änderungen am Schema gemacht werden. Microsoft hat ein Update der Schemaänderungen zum Download bereit gestellt:

Exchange Server Active Directory Schema Changes Reference, October 2011

In diesem Dokument sind bereits die Änderungen des Schemas für Exchange 2010 Service Pack 2 eingearbeitet. Wer seine AD-Admins also vorbereiten möchte was da kommt kann ihnen das Dokument in die Hand drücken. Die neue Schemaversion wird lt. Dokument übrigens so aussehen:

ms-Exch-Schema-Version-Pt

rangeUpper

14732

 

Die Frage wann das Service Pack zum Download zur Verfügung steht kann ich hier noch nicht beantworten. Die Antwort darauf ist noch immer “Wenn es fertig ist”.

Viele Grüße

 

Walter Steinsdorfer

Fix gegen abstürzende MMC herausgebracht

Das Exchange Team hat auf dem Teamblog einen Hinweis herausgebracht das es einen Fix für ein Problem gibt von dem einige betroffen waren. Auf Windows Server 2008 (R2) mit installiertem Internet Explorer 9 funktionierte in manchen Fällen die Management Konsole nicht mehr funktioniert.

Hier gehts zum Blogeintrag:

http://blogs.technet.com/b/exchange/archive/2011/10/17/a-fix-for-the-interoperability-issues-between-exchange-2007-and-2010-emc-and-ie9-is-now-available.aspx

Happy fixing.

 

Viele Grüße

 

Walter Steinsdorfer

Ein Hinweis in eigener Sache

einige haben es schon bemerkt, auf dem Blog ist der Facebook “I like it” – Button verschwunden. Ich habe das Facebook-Plugin im Windows Live Writer vorläufig erst einmal deaktiviert bis sich die Datenschutzbeauftragten auf eine umsetzbare und einheitliche Regelung geeinigt haben. Wer trotzdem den “Gefällt mir” – Button drücken möchte kann das weiterhin auch auf Facebook tun.

 

Viele Grüße

 

Walter Steinsdorfer

Exchange 2010 Service Pack 2 und das Hosting

Die Exchange Produktgruppe hat in einem neuen Blogpost einige Sachen zum Fortbestand des “Hostingmodus” für Exchange 2010 erläutert. Der Switch /hosting ist relativ neu in Exchange und hat, neben der Tatsache das man Exchange in einem eigenen Forest installieren muß, noch einige weitere Nachteile. Folgendes kann im Hosting Modus nicht genutzt werden:

  • Exchange Management Console
  • Public Folders
  • Unified Messaging Server role
  • Federation
  • Global Address List Synchronization (GalSync)
  • Business-to-Business features such as cross-premises message tracking and calendar sharing
  • Information Rights Management (IRM)
  • Managed folders
  • Outlook 2003 support (EnableLegacyOutlook)
  • Edge Transport Server role (more specifically EdgeSync support)
  • In-place Upgrades (upgrading current Exchange 2003/2007 org to Exchange 2010)
  • Resource forest topologies (separate Exchange forest and account forests)
  • Parent-child domains
  • Multiple AD sites (where there’s a mix of hosted and non-hosted)
  • SSO AD Trusts
  • Dis-contiguous namespace
  • Disjoint namespace

Einige der Provider die Exchange als Hoster anbieten wollen haben sich intensiv mit Microsoft auseinander gesetzt und Microsoft ist zu dem Schluß gekommen /Hosting nicht weiter zu verfolgen sondern die Möglichkeit einer gehosteten Umgebung in einer normalen “ON-Premise” installierten Exchange-Organisation anzubieten. Für die Migration dorthin wird es ein (oder mehrere) Whitepaper geben. Service Pack 2 wird einige Feature unterstützen die es erlauben Exchange on-premise als Gehostete Variante anzubieten. Anzumerken ist dabei das die schon angekündigten Address Book Policies zwar Teil des Service Packs 2 sein werden, aber zu einer gehosteten Umgebung gehört natürlich noch mehr. Der Admin eines Unternehmens möchte ja seine User auch irgendwie pflegen können und eine strikte Trennung auf allen Ebenen muß möglich sein.

Als weiteres “Schmankerl” wird es möglich sein Lync in dem gleichen AD-Forest wie Exchange als gehostete Lösung anzubieten.

Ich kann die Exchange – Produktgruppe zu diesem Schritt nur beglückwünschen, das wird einiges vereinfachen für Firmen die Hosting für Exchange anbieten wollen (Und aus unterschiedlichen Gründen nicht in die Microsoft Cloud umziehen können).

 

Viele Grüße

 

Walter Steinsdorfer

Weiterführende Links:

Vom Exchange Teamblog

Das Exchange – Team hat 2 tolle Artikel geschrieben die beide aus meiner Sicht immer wieder nachgefragte Themen ansprechen:

Demystifying Exchange 2010 SP1 Virtualization

In diesem Artikel wird genau erläutert wie Exchange als VM von dem Exchange-Support unterstützt wird und was man Beispielsweise beachten muß wenn man von einem Host zum anderen “schwenkt”.

Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering

in diesem Artikel wird erläutert wie Exchange korrekt konfiguriert wird wenn sich die Exchange – Organisation den SMTP-Adressraum mit einem anderen System teilen muß. Insbesondere der Teil in dem es über die Adressbücher geht ist interessant.

Viele Grüße

 

Walter Steinsdorfer

Patchday Oktober

Schon ist er wieder da, der 2. Dienstag im Monat. Hier die Patche die gerade von Microsoft verteilt werden:

MS11-078
Sicherheitsanfälligkeit in .NET Framework und Microsoft Silverlight kann Remotecodeausführung ermöglichen (2604930)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in Microsoft .NET Framework und Microsoft Silverlight. Die Sicherheitsanfälligkeit kann Remotecodeausführung auf einem Clientsystem ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite in einem Webbrowser anzeigt, der XAML-Browseranwendungen (XBAPs) oder Silverlight-Anwendungen ausführen kann. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten. Die Sicherheitsanfälligkeit kann auch Remotecodeausführung auf einem Serversystem ermöglichen, auf dem IIS ausgeführt wird, wenn dieser Server die Verarbeitung von ASP.NET-Seiten zulässt und ein Angreifer erfolgreich eine speziell gestaltete ASP.NET-Seite auf den Server hochlädt und dann ausführt, wie es in einem Webhostingszenario der Fall sein kann. Diese Sicherheitsanfälligkeit kann auch von Windows .NET-Anwendungen verwendet werden, um Einschränkungen durch die Codezugriffssicherheit (CAS) zu umgehen.

MS11-081
Kumulatives Sicherheitsupdate für Internet Explorer (2586448)
Dieses Sicherheitsupdate behebt acht vertraulich gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Die schwerwiegendsten Sicherheitsanfälligkeiten können Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Webseite mit Internet Explorer anzeigt. Ein Angreifer, der diese Sicherheitsanfälligkeiten erfolgreich ausnutzt, kann die gleichen Benutzerrechte wie der lokale Benutzer erlangen. Für Endbenutzer, deren Konten mit weniger Benutzerrechten konfiguriert sind, kann dies geringere Auswirkungen haben als für Benutzer, die mit administrativen Benutzerrechten arbeiten.

MS11-075
Sicherheitsanfälligkeit in Microsoft Active Accessibility kann Remotecodeausführung ermöglichen (2623699)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in der Microsoft Active Accessibility-Komponente. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer dazu verleitet, eine gültige Datei zu öffnen, die sich im selben Netzwerkverzeichnis befindet wie eine speziell gestaltete DLL-Datei (Dynamic Link Library). Beim Öffnen der gültigen Datei kann die Microsoft Active Accessibility-Komponente dann versuchen, die DLL-Datei zu laden und den darin enthaltenen Code auszuführen. Damit ein Angriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Speicherort eines Remotedateisystems oder eine WebDAV-Freigabe besuchen und an diesem Ort ein Dokument öffnen, das dann von einer anfälligen Anwendung geladen wird.

MS11-076
Sicherheitsanfälligkeit in Windows Media Center kann Remotecodeausführung ermöglichen (2604926)
Dieses Sicherheitsupdate behebt eine öffentlich gemeldete Sicherheitsanfälligkeit in Windows Media Center. Die Sicherheitsanfälligkeit kann Remotecodeausführung ermöglichen, wenn ein Angreifer einen Benutzer dazu verleitet, eine gültige Datei zu öffnen, die sich im selben Netzwerkverzeichnis befindet wie eine speziell gestaltete DLL-Datei (Dynamic Link Library). Wenn dann die legitime Datei geöffnet wird, kann Windows Media Center versuchen, die DLL-Datei zu laden und den darin enthaltenen Code auszuführen. Damit ein Angriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Speicherort eines Remotedateisystems oder eine WebDAV-Freigabe besuchen und dort eine gültige Datei öffnen.

MS11-077
Sicherheitsanfälligkeiten in Windows-Kernelmodustreibern können Remotecodeausführung ermöglichen (2567053)
Dieses Sicherheitsupdate behebt vier vertraulich gemeldete Sicherheitsanfälligkeiten in Microsoft Windows. Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer eine speziell gestaltete Schriftartdatei (z. B. eine FON-Datei) in einer Netzwerkfreigabe, einem UNC oder einem WebDAV-Speicherort öffnet oder eine E-Mail-Anlage öffnet. Damit ein Remoteangriff erfolgreich ist, muss ein Benutzer einen nicht vertrauenswürdigen Speicherort eines Remotedateisystems oder eine WebDAV-Freigabe besuchen und die speziell gestaltete Schriftartdatei öffnen, oder die Datei als E-Mail-Anlage öffnen.

MS11-079
Sicherheitsanfälligkeiten in Microsoft Forefront Access Gateway können Remotecodeausführung ermöglichen (2544641)
Dieses Sicherheitsupdate behebt fünf vertraulich gemeldete Sicherheitsanfälligkeiten in Forefront Unified Access Gateway (UAG). Die schwerwiegendste dieser Sicherheitsanfälligkeiten kann Remotecodeausführung ermöglichen, wenn ein Benutzer mit einer speziell gestalteten URL eine betroffene Website besucht. Ein Angreifer kann Benutzer jedoch nicht zum Besuch einer Website zwingen. Er muss den Benutzer zum Besuch dieser Website verleiten. Zu diesem Zweck wird der Benutzer meist dazu gebracht, in einer E-Mail oder einer Instant Messenger-Nachricht auf einen Link zur Website des Angreifers zu klicken.

MS11-080
Sicherheitsanfälligkeit im Treiber für zusätzliche Funktionen kann Erhöhung von Berechtigungen ermöglichen (2592799)
Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit im Microsoft Windows-Treiber für zusätzliche Funktionen (AFD). Die Sicherheitsanfälligkeit kann eine Erhöhung von Berechtigungen ermöglichen, wenn ein Angreifer sich bei dem System eines Benutzers anmeldet und eine speziell gestaltete Anwendung ausführt. Ein Angreifer benötigt gültige Anmeldeinformationen und muss sich lokal anmelden können, um diese Sicherheitsanfälligkeit auszunutzen.

MS11-082
Sicherheitsanfälligkeiten in Host Integration Server können Denial-of-Service ermöglichen (2607670)
Dieses Sicherheitsupdate behebt zwei öffentlich gemeldete Sicherheitsanfälligkeiten in Host Integration Server. Die Sicherheitsanfälligkeiten können Denial-of-Service ermöglichen, wenn ein Remoteangreifer einem Host Integration Server, der den UDP-Port 1478 oder die TCP-Ports 1477 und 1478 abhört, speziell gestaltete Netzwerkpakete sendet. Mithilfe empfohlener Vorgehensweisen für die Firewall und standardisierten Firewallkonfigurationen können Netzwerke vor Remoteangriffen von außerhalb des Unternehmens geschützt werden. Eine bewährte Methode besteht darin, für Systeme, die mit dem Internet verbunden sind, nur eine minimale Anzahl von Ports zu öffnen. In diesem Fall sollten die Host Integration Server-Ports vom Internet blockiert werden.

 

Das komplette Bulletin kann hier eingesehen werden:

Security Bulletin Oktober 2011

 

Happy patching

Viele Grüße

 

Walter Steinsdorfer