Lesezeit ca. 8 Min.
arrow_back

Dies ist keine Übung!


Logo von IT Administrator
IT Administrator - epaper ⋅ Ausgabe 11/2021 vom 29.10.2021

Exchange ohne Datenverlust neu installieren

Artikelbild für den Artikel "Dies ist keine Übung!" aus der Ausgabe 11/2021 von IT Administrator. Dieses epaper sofort kaufen oder online lesen mit der Zeitschriften-Flatrate United Kiosk NEWS.

Bildquelle: IT Administrator, Ausgabe 11/2021

Der erste Schritt ist immer eine vollständige Sicherung des aktuellen Servers. Denn geht bei der Reparatur etwas schief, besteht dadurch die Möglichkeit, den derzeitigen Zustand wiederherzustellen. Auch die Exchange-Datenbanken sollten Sie online und eventuell auch noch offline sichern, da hier die Benutzerdaten der Anwender liegen. Damit Sie die Exchange- Datenbanken offline kopieren können, müssen die Exchange-Dienste beendet sein, vor allem der Exchange-Informationsspeicher. Sichern Sie auch die Transaktionsprotokolle, die sich noch auf dem Server befinden. Sollten später Wiederherstellungen notwendig sein, lässt sich dadurch Datenverlust vermeiden.

Notwendige Vorarbeiten

Falls nicht ohnehin schon passiert, sollten Sie alle Einstellungen dokumentieren, die sich von den Standardeinstellungen unterscheiden. Zwar speichert Exchange die meisten Daten direkt ...

Weiterlesen
epaper-Einzelheft 10,99€
NEWS Jetzt gratis testen
Bereits gekauft?Anmelden & Lesen
Leseprobe: Abdruck mit freundlicher Genehmigung von IT Administrator. Alle Rechte vorbehalten.
Lesen Sie jetzt diesen Artikel und viele weitere spannende Reportagen, Interviews, Hintergrundberichte, Kommentare und mehr aus über 1050 Magazinen und Zeitungen. Mit der Zeitschriften-Flatrate NEWS von United Kiosk können Sie nicht nur in den aktuellen Ausgaben, sondern auch in Sonderheften und im umfassenden Archiv der Titel stöbern und nach Ihren Themen und Interessensgebieten suchen. Neben der großen Auswahl und dem einfachen Zugriff auf das aktuelle Wissen der Welt profitieren Sie unter anderem von diesen fünf Vorteilen:

  • Schwerpunkt auf deutschsprachige Magazine
  • Papier sparen & Umwelt schonen
  • Nur bei uns: Leselisten (wie Playlists)
  • Zertifizierte Sicherheit
  • Freundlicher Service
Erfahren Sie hier mehr über United Kiosk NEWS.

Mehr aus dieser Ausgabe

Titelbild der Ausgabe 11/2021 von Alles hybrid. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Alles hybrid
Titelbild der Ausgabe 11/2021 von FinFischer noch mächtiger. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
FinFischer noch mächtiger
Titelbild der Ausgabe 11/2021 von Am grünen See. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Am grünen See
Titelbild der Ausgabe 11/2021 von Sicher patchen. Zeitschriften als Abo oder epaper bei United Kiosk online kaufen.
Sicher patchen
Mehr Lesetipps
Blättern im Magazin
Bedingt dokumentenecht
Vorheriger Artikel
Bedingt dokumentenecht
Gipfeltreffen
Nächster Artikel
Gipfeltreffen
Mehr Lesetipps

... im Active Directory (AD), sodass sich diese bei einer

Wiederherstellung von dort auch wieder auslesen lassen, allerdings gilt das nicht für alle Anpassungen. Im Exchange Admin Center (EAC) sollten Sie dazu bei "Server" die Optionen durchgehen und Screenshots erstellen oder die Einstellungen auf einem anderen Weg dokumentieren. So stellen Sie nach der Neuinstallation die gewünschte Konfiguration schnell wieder her. Wichtig sind hier natürlich die URLs, die Anwender für den Zugriff nutzen, und auch zentrale Systemeinstellungen, vor allem bezüglich der Berechtigungen, Authentifizierung und der einzelnen Connectoren auf den Servern – vor allem die Empfangs-Connectoren sind unbedingt zu berücksichtigen.

Exchange benötigt an verschiedenen Stellen Zertifikate. Diese müssen Sie entweder auf dem aktuellen Server sichern oder später erneut ausstellen. Auch diese Optionen finden Sie im EAC im Bereich "Server" bei "Zertifikate". Das Exportieren von Zertifikaten erfolgt auf Windows- Servern am schnellsten über "certlm.msc". Beachten Sie, auch den privaten Schlüssel dabei zu berücksichtigen.

Ebenso wichtig ist der aktuelle Installationsort von Exchange, den Sie beim Neuaufsetzen übernehmen sollten. Ist Exchange nicht im Standardordner installiert, müssen Sie den Speicherort der Exchange- Binärdateien über die Option "/TargetDir" angeben. Wenn Sie diese Option nicht verwenden, landen die Exchange-Dateien im Standardordner "%Programme% \ Microsoft \ Exchange Server \ V15".

Die Einstellungen dazu sind auch im AD zu finden und lassen sich mit ADSI-Edit in Erfahrung bringen. Dazu starten Sie den ADSI-Editor und klicken mit der rechten Maustaste auf "ADSI-Editor" und wählen "Verbindung herstellen". Hier aktivieren Sie die Option "Bekannten Namenskontext auswählen", wählen "Konfiguration" aus und klicken auf "OK". Nun navigieren Sie zu "Konfiguration / Con- figuration / CN=Services / CN=Microsoft Exchange / <Name der Organisation> / CN=Administrative Groups / CN=Exchange Administrative Groups". Hier finden Sie die wichtigsten Daten von Exchange 2019 zur Verbindung mit dem Active Directory. Der Container "CN= Servers" liefert Ihnen dabei weitere Container für jeden einzelnen Server. Jetzt klicken Sie mit der rechten Maustaste auf das Exchange-Serverobjekt und wählen im Kontextmenü den Befehl "Eigenschaften". Schließlich suchen Sie nach dem Attribut "msExchInstallPath", das den aktuellen Installationspfad speichert.

Neuinstallation des Betriebssystems

Der erste Schritt bei der Neuinstallation von Exchange besteht darin, das Betriebssystem neu aufzusetzen. Achten Sie darauf, die gleiche Version, den identischen Rechnernamen und die gleiche IP-Adresse zu verwenden. Auch muss die Hardwarekonfiguration mit der des ausgefallenen Servers übereinstimmen, wobei die Größe des Arbeitsspeichers und die der Festplatten variieren darf.

Sinnvoll kann es sein, vor der Installation des Windows-Servers über das Kontextmenü des Computerkontos in "Active Directory-Benutzer und -Computer" das Konto zurückzusetzen. Das können Sie auch in der Befehlszeile mit

Dsmod computer <Servername> -reset erledigen. Nehmen Sie den Server nach der Installation des Betriebssystems in die Domäne auf und spielen Sie die aktuellen Updates ein. Danach steht der Windows-Server wieder im AD zur Verfügung und Sie können Exchange neu aufsetzen.

Sie müssen dazu das Betriebssystem für die Installation von Exchange vorbereiten, wobei für Exchange Server 2019 Erweiterungen des Betriebssystems notwendig sind. Diese müssen Sie vor der Installation von Exchange auf dem Server installieren: - Visual C++ Redistributable Packages für Visual Studio 2013 [1] - Unified Communications Managed API 4.0 Runtime [2]

Danach installieren Sie via PowerShell die notwendigen Serverrollen und -dienste:

Install-WindowsFeature Server-Media- Foundation, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT- Clustering, RSAT-Clustering- CmdInterface, RSAT-Clustering- Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http- Redirect, Web-Http-Tracing, Web- ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt- Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web- Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT- ADDS

Betreiben Sie Exchange 2019 auf einem Core-Server mit Windows Server 2019, verwenden Sie: Install-WindowsFeature Server-Media- Foundation, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT- Clustering, RSAT-Clustering- CmdInterface, RSAT-Clustering-

Mgmt, RSAT-Clustering-PowerShell, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http- Redirect, Web-Http-Tracing, Web-

ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt- Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web- Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation, RSAT- ADDS, Server-Media-Foundation

Exchange neu installieren

Jetzt beginnen Sie mit der Installation von Exchange. Mit dem folgenden Befehl stellen Sie Exchange 2019 mit seinem Installationsprogramm mit den gleichen Einstellungen wieder her:

Setup /m:RecoverServer /IAcceptExchangeServerLicenseTerms Die Option migriert die Einstellungsinformationen, die für den Server im AD vorliegen. Alle lokalen Anpassungen müssen Sie anschließend aber manuell vornehmen. Daher ist es sinnvoll, diese Daten vorher zu sichern und zu dokumentieren.

Laufen die Uhren des Exchange-Servers und des Domänencontrollers (DC) nicht synchron, bricht die Installation oft mit einem Fehler ab. Überprüfen Sie bei einem Setup-Fehler daher immer die Uhrzeit auf dem DC und auf dem Exchange-Server und gleichen Sie diese untereinander ab. Bei bis zu fünf Minuten Unterschied ist kein Problem zu erwarten, aber bei einer größeren Abweichung macht das AD Schwierigkeiten. Wollen Sie die Zeit auf dem Exchange-Server während der Installation mit dem Domänencontroller synchronisieren, geben Sie in der Eingabeaufforderung den folgenden Befehl ein:

Net time \\<Name des DC> /set /yes

Anschließend synchronisiert sich die Zeit automatisch.

Andere Probleme während der Installation von Exchange 2019 zeichnet die Datei "ExchangeSetup.log" auf. Treten Probleme während der Installation auf, geben Sie den entsprechenden Fehler in eine Suchmaschine ein und finden sicherlich ausführliche Hilfe.

Die Protokolldateien der Exchange-2019- Installation liegen im Textformat vor und lassen sich mit jedem Texteditor lesen. Analog finden sich Ungereimtheiten der Windows-Server-Installation in der Datei "ExchangeSetup.msilog", die Windows- Installer während der Extraktion der Exchange-Server-Installationsdateien anlegt.

Erste Schritte nach der Installation von Exchange

Zunächst sollten Sie das Exchange Admin Center auf dem Server über die URL "https://<Servername>/ecp" öffnen. Hierbei sollten keine Fehler erscheinen. Nach dem Start des EAC melden Sie sich zunächst als Administrator an. Klicken Sie anschließend auf "Server", um sicherzustellen, dass der Server ordnungsgemäß in die Umgebung integriert wurde. Um die Installation zu überprüfen, verwenden Sie am besten noch die Exchange Management Shell (EMS):

Get-ExchangeServer |fl Name, Admin- DisplayVersion

Nach der Installation von Exchange 2019 sollten Sie in der EMS mit dem Test-ServiceHealth-Cmdlet überprüfen, ob alle Serverdienste noch funktionieren.

Anschließend sollten Sie das zuvor exportierte Exchange-Zertifikat wieder auf den Server bringen. Das erledigen Sie im EAC über "Server / Zertifikate" mit "Exchange-Zertifikat importieren". Vorher speichern Sie die Datei im Netzwerk und integrieren diese über den Assistenten wieder als Zertifikat.

Datenbanken wieder integrieren

An dieser Stelle können Sie Ihre Exchange-Datenbanken wieder einbinden. Dazu stellen Sie die Datenbank entweder mit einer aktuellen Online-Sicherung wieder her oder Sie kopieren das Verzeichnis mit den Datenbanken auf den Server. Haben Sie eine Offline-Sicherung der Datenbanken vorliegen, ist das meistens der schnellste Weg. Damit Sie das Verzeichnis mit den Exchange-Datenbanken aber kopieren können, müssen Sie auf dem Exchange-Server zunächst in der Exchange Management Shell die Wiederherstellung erlauben:

Get-MailboxDatabase -Server x2k19 | Set-MailboxDatabase -AllowFileRestore $true

Haben Sie die Datenbank kopiert, können Sie diese wieder bereitstellen:

Get-MailboxDatabase -Server x2k19 | Mount-Database

Überprüfen Sie an dieser Stelle, ob alle Exchange-Dienste auf dem Server laufen. Ist das nicht der Fall, holen Sie das in der PowerShell nach:

Get-Service *exchange* | Start-Service

Dieser Befehl startet natürlich alle Exchange-Dienste, die nicht deaktiviert sind, einzelne Dienste starten Sie in der Diensteverwaltung (services.msc) manuell. Als Nächstes sollten Sie alle Einstellungen überprüfen, die Sie auf dem Server dokumentiert haben, damit sichergestellt ist, dass der Server mit den gleichen Settings läuft.

Generell ist es sinnvoll, vor der Integration der Datenbank auf dem neuen Server mit dem Eseutil-Tool die Datenbank auf Konsistenz zu prüfen. Wenn Sie in der Eingabeaufforderung direkt in den Ordner der Datenbank wechseln, müssen Sie in Eseutil nicht den gesamten Pfad eintragen. Dann lautet der Befehl:

Eseutil /mh <Pfad zur Datenbankdatei>

Weist die Datenbank einen inkonsistenten Wert auf oder erscheint die Meldung, dass sie nicht korrekt heruntergefahren worden ist ("Dirty Shutdown"), sollten Sie sie wieder bereitstellen und die Bereitstellung nochmals aufheben. Dann sollte die Datenbank konsistent sein. Falls nicht, liegt vermutlich ein größeres Problem mit Ihrer Datenbank vor und Sie sollten diese reparieren.

Sie können auch diese Reparatur unter Umständen mit Eseutil und der Option "/r" durchführen. In diesem Fall ist es wichtig, dass die Transaktionsprotokolle noch vorhanden sind, genauso wie die CHK-Datei der Datenbank:

Eseutil.exe /r e01 /l "C:\log files\ Mailbox Database" /d "C:\Program Files\Microsoft\Exchange Server\ V15\Mailbox\Mailbox Database\Mailbox Database.edb" /a

Durch die Option "/a" überspringt Eseutil eventuelle Fehler, die durch fehlerhafte

Link-Codes

[1] Visual C++ Redistributable Packages für Visual Studio k3p17

[2] Unified Communications Managed API 4.0 Runtime laza1

[3] HealthChecker-Skript laza2

[4] nmap-Skript für Exchange-Test laza3

[5] Reparatur fehlgeschlagener CU-Installationen laza4

[6] Sicherheitsanfälligkeit in Exchange bezüglich Spoofing laza5

Transaktionsprotokolle verursacht werden. Zwar können bei diesem Vorgang Daten verloren gehen, dennoch haben Sie danach die Chance, dass die Exchange- Datenbank wieder funktioniert. Einen weiteren Versuch starten Sie anschließend noch mit der Option "/p". Diese Option versucht, eine defekte Datenbank wieder komplett neu aufzubauen und entfernt dabei fehlende Verbindungen und Seiten: eseutil.exe /p "C:\Databases\Mailbox Database\Mailbox Database.edb"

Server auf den aktuellen Stand bringen

Selbstverständlich sollten Sie nach einer erfolgreichen Wiederherstellung Exchange schnellstmöglich auf den neusten Stand bringen. Installieren Sie das neueste kumulative Update (CU) und die aktuellen Sicherheitspatches für Ihre Exchange-Version. Teilweise aktualisiert Microsoft Patches noch einmal. In diesem Fall erhalten Sie bei der Installation eines Updates die Meldung, dass bereits eine aktuellere Version vorliegt. Je aktueller das installierte CU ist, desto weniger Sicherheitslücken sind auf einem Exchange-Server natürlich vorhanden. Microsoft stellt aber auch Sicherheitsupdates für ältere CUs zur Verfügung. Es sollten also auf jeden Fall die Aktualisierungen für das eingesetzte CU zum Einsatz kommen.

Microsoft stellt das kostenlose Skript "HealthChecker.ps1" [3] zur Verfügung, das Umgebungen mit Exchange 2013, 2016 und 2019 auf fehlerhafte Konfigurationen und Sicherheitslücken überprüft. Für die Ausführung müssen Sie die Exchange Management Shell mit erhöhten Rechten starten. Im Ergebnis sehen Sie dann, welche Updates fehlen.

Handeln gegen aktuelle Exchange-Lücken

Auch wenn Microsoft seit April 2021 entsprechende Updates zur Verfügung stellt, sind immer noch tausende Exchange-Server Ziele von Angriffen, da die Administratoren die notwendigen Updates nicht installierten.

Sofern noch nicht erfolgt, sollten Sie so schnell wie möglich die aktuellen Sicherheitspatches für die bekannten Sicherheitslücken installieren. Unter [4] finden Sie ein Skript für nmap, das Ihre lokalen Exchange- Server auf diese Lücken testet.

Die Patches stellt Microsoft für die verschiedenen CUs unter der URL "https:// msrc.microsoft.com/update-guide/vulnerability/CVE-2021-<XXxXX>" bereit. Die zwölf notwendigen Patches finden Sie, indem Sie "XXXXX" durch folgende Nummern ersetzen: 28483, 28482, 28481, 28480, 31209, 31207, 31198, 31195, 31196, 34470, 33768 und 31206. Deren Installation bedarf der PowerShell oder der Eingabeaufforderung mit erhöhten Rechten. Nach der Installation von Aktualisierungen kann es vorkommen, dass Outlook Web App und das Exchange Admin Center nicht mehr funktionieren. Microsoft beschreibt unter [5] die Problemlösung.

Nach der Installation der notwendigen Updates sollten Sie noch einmal das Health- Checker-Skript durchlaufen lassen, um sicherzustellen, dass keinerlei Lücken mehr vorhanden sind. Darüber hinaus müssen Sie sich noch vor der Lücke CVE-2021- 173 schützen, die Spoofing auf einem Exchange-Server ermöglicht [6].

Fazit

Selbst nach einem erfolgreichen Angriff müssen die Daten auf dem Exchange-Server nicht unwiederbringlich verloren sein, denn dessen Neuinstallation ist ohne Datenverlust möglich. So retten Sie unter Umständen auch bereits kompromittierte Server, sollten aber dennoch möglichst zügig alle Exchange-Server wie beschrieben untersuchen und patchen. (jp)