2022 年 5 月 Exchange Server 安全更新

Microsoft 发布了多个 Microsoft Exchange Server 安全更新 (SU) 来解决漏洞。由于这些漏洞的严重性，我们建议客户立即对受影响的系统应用更新以保护环境。

注意：这些漏洞影响 Microsoft Exchange Server。 Exchange Online 不受影响。

Exchange 服务器安全更新

Microsoft 已针对以下位置中发现的漏洞发布了安全更新：

• 交换服务器2013
• 交换服务器 2016
• 交换服务器 2019

这些安全更新适用于以下特定版本的 Exchange：

• Exchange 服务器 2013 (CU23)
• Exchange 服务器 2016（CU22、CU23）
• Exchange 服务器 2019（CU11、CU12）

阅读有关如何安装 Exchange 安全更新的更多信息。

如果您使用的不是这些 Exchange Server CU 版本，请立即更新并应用上述补丁。

阅读有关如何安装 Exchange 累积更新的更多信息。

2022 年 5 月安全更新中解决的漏洞由安全合作伙伴负责任地报告，并通过 Microsoft 内部流程发现。尽管我们尚未发现任何活跃的漏洞利用情况，但我们建议立即安装这些更新以保护您的环境。

需要手动运行 /PrepareAllDomains

由于针对 CVE-2022-21978 进行了额外的安全强化工作，因此在安装 2022 年 5 月安全更新后应采取以下操作：

首先安装 2022 年 5 月 SU，然后使用 Exchange Server 安装路径（例如 …\Program Files\Microsoft\Exchange Server\v15\Bin）中的 Setup.exe 运行以下命令提示符命令：

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains

或

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareDomain

首先安装 2022 年 5 月 SU，然后使用 Exchange Server 安装路径（例如 …\Program Files\Microsoft\Exchange Server\v15\Bin）中的 Setup.exe 运行以下命令提示符命令：

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareAllDomains

或

Setup.exe /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF /PrepareDomain

首先安装 2022 年 5 月 SU，然后使用 Exchange Server 安装路径（例如 …\Program Files\Microsoft\Exchange Server\v15\Bin）中的 Setup.exe 运行以下命令提示符命令：

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareAllDomains

或

Setup.exe /IAcceptExchangeServerLicenseTerms /PrepareDomain

将您的 Exchange 服务器更新到最新的 CU，安装 2022 年 5 月的 SU，然后按照上述步骤操作。

每个组织只需运行 /PrepareAllDomains 或 /PrepareDomain 一次，这些更改将应用于组织内所有版本的 Exchange Server。

当您运行 /PrepareAllDomains 或 /PrepareDomain 时，您的帐户需要是 Enterprise Admins 安全组的成员。这可能与您用于安装 SU 的帐户不同。

注意：如果您刚刚将自己添加到 Enterprise Admins 安全组，则需要注销并重新登录服务器，新的组成员身份才能生效。

此版本解决的问题

本次更新解决了以下问题：

• 安装 2022 年 3 月安全更新后 Exchange 服务主机服务失败 (KB5013118)
• New-DatabaseAvailabilityGroupNetwork 和 Set-DatabaseAvailabilityGroupNetwork 失败，错误为 0xe0434352（更新：-Subnets 参数仍未修复）
• UM 语音邮件问候语功能停止工作并返回错误 0xe0434352。
• 安装 Exchange 2019 安全更新 KB5008631 后，无法通过 EAS 发送邮件，并且 Get-EmailAddressPolicy 失败并出现 Microsoft.Exchange.Diagnostics.BlockedDeserializeTypeException

常见问题解答

我们安装的最后一个 SU 是（几个月前的）。我们是否需要按顺序安装所有 SU 才能安装最新的 SU？
Exchange Server 安全更新是累积性的。如果您正在运行可安装 SU 的 CU，则无需按顺序安装所有 SU，而只需安装最新的 SU。

我的组织处于与 Exchange Online 的混合模式。我需要做什么吗？
虽然 Exchange Online 客户已受到保护，但确实需要将 2022 年 5 月的安全更新应用到您的本地 Exchange 服务器，即使它们仅用于管理目的。应用更新后，您无需重新运行混合配置向导 (HCW)。

我需要在“仅 Exchange 管理工具”工作站上安装更新吗？
在所有 Exchange 服务器以及仅运行 Exchange 管理工具的服务器或工作站上安装安全更新，这将确保管理工具客户端和服务器之间不存在不兼容性。如果您的组织仅使用 Exchange 管理工具计算机，则您应在其上安装 2022 年 5 月 SU 软件包，并按照上述说明运行 /PrepareAllDomains 以更新 Active Directory 权限。

说明似乎表明我们应该在安装 May 2022 SU 后 /PrepareAllDomains 或 /PrepareDomain；这是正确的吗？
是的。 2022 年 5 月 SU 软件包在安装后会更新 Exchange 服务器文件夹中的文件。这就是为什么一旦这些文件更新（安装了 SU） - 我们要求您使用 \v15\Bin 文件夹中的安装程序明确/PrepareAllDomains或/PrepareDomain。

在我们的组织中，我们从未运行过 /PrepareAllDomains。我们只准备了几个域。我们是否仍需要运行 /PrepareAllDomains 来解决 CVE-2022-21978？
如果您的组织仅准备了所有 Active Directory 域的子集，那么您可以选择使用 /PrepareDomain 仅在这些特定域中切换。

是否必须在更新我们所有 Exchange 服务器后执行 /PrepareAllDomains 或 /PrepareDomain，还是可以在更新第一个服务器后立即执行此操作？
您可以运行 一旦您的任何一台 Exchange 服务器更新了 2022 年 5 月 SU，请立即使用 /PrepareAllDomains 或 /PrepareDomain。您无需等到所有 Exchange 服务器都更新。

我们的组织中运行着不同的 Exchange Server 版本。我们是否需要在两个 Exchange Server 版本上运行 /PrepareAllDomains 或 /PrepareDomain？
只需在安装最新版本的 SU 后运行一次即可。

更多信息

• 交换团队博客
• CVE-2022-21978