Microsoft Exchange Server üzerinde yapmış olduğumuz Cumulative Update güncelleştirme işlemleri ve Exchange Server Güvenlik yamaları, eski zamandan beri bir düzene bağlanmış ve periyodik olarak Microsoft Exchange Server üzerine yüklenmekte ve bu yükleme işlemlerinde de planlı kesintiler yapılmaktadır.
Microsoft Exchange Server 2013 ‘den önce Service Pach ve Kritik güvenlik güncelleştirmeleri yüklerken Exchange Server 2013 ‘den sonra Exchange Server Güncelleme yönetimi değişmiştir.
Daha önceki Exchange server sürümlerinde görmüş olduğumuz Hotfix ve Service Pach yama yönetim şekli artık Exchange Server Cumulative Update (Toplu güncelleştirme) modeli olarak dönüşmüştür. Exchange Server Critical Security Update Politikası Cumulative Update politikasından bağımsız olarak devam etmektedir.
Microsoft Exchange Server Cumulative Update Paketleri makalesi içinde aşağıdaki bilgilere sahip olacaksınız.
1. Microsoft Exchange Server CU Nedir?
Microsoft Exchange Server Mimarisi dış dünyaya açık olarak çalışmakta ve bu çalışma şekli de saldırganların iştahını kabartmakta. Saldırganların tacizlerini durdurmak için Critical Security Update Politikası devam etmekte, Planlı ve yüksek öncelikli güvenlik yamaları da planlı ve plansız zamanlarda yayınlanmaktadır.
Microsoft Exchange Server Critical Security Update Paketleri ile Exchange Server Cumulative Update paketleri keskin bir çizgi ile ayrılmıştır.
Exchange Server Critical Security Update paketleri, mevcut bir sistem üzerinde ki zaafiyetleri kapatmak için yapılmaktadır. Fakat hiç bir Microsoft Exchange Server Security Update yaması Exchange Server üzerinde yenilik yapmaz. Mevcut özellikler üzerinde bulunan güvenlik açıklarını kapatır.
Bu yenilikler nelerdir, bunlara örnekler verelim. Exchange Server ‘in hizmet verdiği kullanıcıların, bu sistemi yöneten Exchange Server yöneticilerinin ve Exchange Server ile bütünleşik çalışan üçüncü taraf yazılım ve donanım üreticilerinin talepleri Microsoft Security Update paketleri ile karşılanmaz. Yada, kullanılmakta olan mevcut Exchange Server üzerinde ki bir hata bir güvenlik zafiyetini barındırmıyorsa bu hatanın giderilmesi için planlı/plansız bir Security Update çıkartılmaz. Bu gibi talepler Exchange Server Cumulative Update paketleri ile karşılanmaktadır.
Exchange Server Security Update, Exchange Server Critical Security Update ve Exchange Server Cumulative Update paketleri bu keskin özellikler ile ayrılmıştır.
Yenilikler ve hatalar Exchange Server Cumulative Update paketleri ile karşılanırken, mevcut sürüm üzerinde ki güvenlik açıkları Exchange Server Security Update ile kapatılmaktadır. Bu iki yama türü de planlı bir şekilde yayınlanmaktadır.
Eğer, tespit edilen güvenlik açığı yüksek kritik açığına sahipse HAFNIUM targeting Exchange Servers with 0-day exploits atak gibi plansız bir Security Update yayınlanmakta ve bu yama da Critical Seviyede sınıflandırılmaktadır. Güvenlik açıkları haricinde kalan iyileştirme ve yenilikler Exchange Server Cumulative Update paketleri ile karşılanır. Her bir Cumulative Update paketi de daha önce yayınlanan Security Update ve Critical Security Update yamalarını da kapsamaktadır.
Exchange Server 2013 sonrası değişen bu modelde, toplu güncellemeler her üç ayda bir yayınlanmaktadır. Üç ayda bir yayınlanan Exchange Server Cumulative Update paketleri, Exchange Server için iyileştirme yaması ve güvenlik ve zafiyet engelleme yamaları haricinde Exchange Server için tam bir yenilenme paketi olarak bilinir ve Exchange Server Cumulative Update işlemleri de zaten yeni bir Exchange Server Kurulum işlemleri ile aynı adımlara sahiptir.
Exchange Server Cumulative Update Pach Management
2. Microsoft Exchange Server CU Niçin Yüklenmeli?
Exchange Server Cumulative Update Nedir bölümünde bu sorunun cevabını yüzeysel olarak paylaştık ve Exchange Server Cumulative Update Niçin Yüklenmeli bölümünde ise bu soruya detaylı cevaplar verelim.
Microsoft Exchange Server mimarisi dış dünyaya açık bir mimariye sahiptir ve bu mimari gereği de tek düzey bir yönetime sahip değildir. Exchange Server mimarisini kurabilmemiz için Exchange Server Prerequisites olarak adlandırdığımız olmazsa-olmaz ön koşullar ve Exchange Server Requirements olarak adlandırdığımız, ihtiyaçlarımıza göre seçebileceğimiz yazılım ve donanım gereksinimleri bulunmakta.
Ön koşullara örnek verecek olduğumuz en temel şart Microsoft Active Directory Mimarisidir. Exchange Server kurmayı planladığımız bir kuruluşta Active Directory Mimarisi yok ise eğer o kuruluşa Microsoft Exchange Server Kurulumu yapamayız.
Ön Koşulu sağladık ve Exchange Server kurma işlemini yapacak olduğumuz kuruluş içinde Microsoft Active Directory mimarisi var yada kurabiliriz kararını aldık. Ön koşulları sağladıktan sonra ikinci aşama ise Requirements aşamasıdır ve bu aşamada alternatife sahip olan seçme hakkımızı kullanabiliriz.
2.1 Microsoft Exchange Server Supported Active Directory Level
Exchange Server Cumulative Update Niçin Yüklenmeli bölümünde vermiş olduğum bilgiler Exchange Server Kurulum işlemleri ile bire-bir bağlantılıdır. Exchange Server Cumulative Update ile etki alanı gereksinimi yada ve üçüncü firmaların yazılım ve donanımları nasıl etki eder diye düşünmeyin, bire-bir etki etmektedir. En temel bilgi, her bir Exchange Server Cumulative Update paketi Active Directory Domain Functional Level ve Active Directory Forest Functional Level üzerinde değişiklik yapmasa bile bir çoğu yapmaktadır.
Exchange Server Cumulative Update Nedir bölümünde vermiş olduğumuz bilgiyi hatırlayalım. Üç ayda bir yayınlanan Exchange Server Cumulative Update paketleri, Exchange Server için iyileştirme yaması ve güvenlik ve zafiyet engelleme yamaları haricinde Microsoft Exchange Server için tam bir yenilenme paketi olarak yayınlanır ve Exchange Server Cumulative Update işlemleri de zaten yeni bir Exchange Server Kurulum işlemleri ile aynı adımlara sahiptir.
Exchange Server Supported Active Directory Domain Level
Tek düzey bir kuralı olmasa bile hemen-hemen her bir Microsoft Exchange Server Cumulative Update Paketi, Exchange Server Organizasyonun da değişiklik yapmaktadır. Bu değişiklikler Active Directory gereksinimi, sürümü ile de bire-bir bağlantılıdır.
Konunun daha açıklayıcı olması için eskiden bir örnek verelim.
Exchange Server 2010 Service Pach 3 RU22 güncelleştirmesi ile birlikte Windows Server 2016 Active Directory mimarisi artık desteklenebilir duruma geldi. Kullanmış olduğunuz Exchange Server mimarisi 2010 ise ve Active Directory Mimarisi Windows Server 2016 ‘dan düşükse ve Active Directory Upgrade Projesi yapılacaksa eğer YAPAMIYORDUK….
Nedeni basit, Exchange 2010 organizasyonları Exchange Server RU22 ile birlikte Active Directory 2016 mimarisi desteklenebilir duruma geldi.
Öncelikle, Exchange Server 2010 yapınızı Rollup Update 22 olarak yükseltme yapmanız gerekmekte ve sonra Active Directory Upgrade 2016 projenizi yapabilir duruma gelebiliyorsunuz.
Eskiden Exchange server Rollup updates ‘in yapmış olduğu işlemleri artık Exchange Server Cumulative Update yapmakta ve Exchange Server organizasyonunda köklü değişiklikler yapmaktadır.
2.2 Microsoft Exchange Server Supported Forest Functional level
Aynı örnekten devam edelim.
Exchange Server 2010 Rollup updates 22 Active Directory destek limitlerini genişlettiği gibi Active Directory Forest Functional level desteğini de genişletti.
Exchange Server Active Directory Forest Functional Level
Konuyı biraz daha detaylandıralım. Bir çok kuruluş, Exchange Server Kurulum işlemlerini aynı Active Directory Forest içinde bulunan Active Direcory Domain ‘i içine yapmaktadır. Fakat bazı özel kuruluşlar vardır, banka ve finans gibi kritik sektörde bulunan yada çok uluslu şirketler yada holding gibi hiyerarşiye sahip birden fazla alt şirketi bulunan kuruluşlar. Bu tür kuruluşlar ESAE Forest mimarisini uygulayan kurumlardır.
Exchange Server 2010 Rollup Update 22 ile birlikte gelen bu yenilik ESAE Forest mimarisini kullanan kuruluşlar içinde bir yeniliğe sebep olmuştur. Active Directory Forest Functional level seviyeleri de bu güncelleştirme ile birlikte güncellenmiştir.
2.3 Microsoft Exchange Server Supported Windows Server
Microsoft Exchange Server kurulum işlemi için Windows Server işletim sistemi ön şartdır. SQL Server 2017 ile birlikte güncel SQL Server sürümleri Red Hat Enterprise Linux, SUSE Linux Enterprise Server, Ubuntu ve Docker işletim sistemleri üzerine kurulabiliyor olsa bile bu esneklik Microsoft Exchange Server için geçerli değildir. Exchange Server sadece ama sadece Windows işletim sistemi üzerine kurulabilmektedir.
Exchange Server 2019 ‘da gelen en köklü değişiklik ise Windows Server Core üzerine kurulabiliyor olmasıdır. Microsoft Exchange Server, Windows Server Core kurulumu ile birlikte daha güvenli ve daha performanslı çalışmaktadır. Ama diğer taraftan Microsoft ‘un diğer bir Windows işletim sistemi olan Windows Nano Server üzerine yüklenemez. Çünkü Windows Nano Server ‘in desteklemiş olduğu sunucu ve servis bileşenleri Windows Server Core göre daha sınırlıdır ve bu sebeple Windows Nano Server üzerine Microsoft Exchange Server Kurulumu yapılamaz.
Microsoft Exchange Server ‘in hangi sürümü kurulacaksa kurulsun Windows Server işletim sistemi için temel şarttır. Eğer, Exchange Server 2019 kurulumu yapılacaksa Windows Server Core yada Windows Server tam grafik ara birimine sahip olmalıyız.
Bu ön koşul ve ön gereksinim, hemen hemen her Mirosoft Exchange Server sürümü için farklılık göstermekte ve Exchange Server Cumulative Update sürümleri arasında da farklılık olabilmektedir.
Paylaşmış olduğumuz bu bilgi çerçevesinde aşağıda paylaşmış olduğum ekran görüntüsünü inceleyelim.
Exchange Server Operating system platform
Exchange Server 2016 CU2 ve öncesinde yayınlanan sürümleri Windows Server 2016 üzerine yüklenemez ama Exchange Server 2016 CU3 ve sonrasında yayınlanan bütün sürümler Windows server 2016 üzerine yüklenebilmektedir.
Bu kural günümüzde de devam etmektedir ve her bir Exchange Server sürümü / Exchange Server Cumulative Update sürümünde de değişiklik gösterecektir.
3. Microsoft Exchange Server CU Ne zaman Yüklenmeli?
Bu sorunun cevabını Exchange Server Cumulative Update Nedir bölümünde gizli olarak cevap verdik. Şimdi biraz daha detay verelim.
Exchange Server Cumulative Update ‘nin öncelikli hedefi Exchange Server üzerinde tespit edilen güvenlik açıklarını kapatmak ve zafiyetleri gidermek değildir. Exchange Server Cumulative Update paketleri Exchange Server için Critical Security Update paketlerini içeriyor olsa bile öncelikli amacı iyileştirme yamaları ve yenileme paketlerini içermesidir.
Yukarıda paylaşmış olduğumuz Microsoft Exchange Server 2019 cumulative update sürümleri üzerinden konuyu detaylandıralım.
Yukarıda görmüş olduğunuz gibi Exchange Server 2019 CU9 çıkış tarihi 16 Mart 2021 Exchange Server 2019 CU8 ‘in çıkış tarihi ise 15 Aralık 2020. Her bir Cumulative Update paketi arasında 3 ay gibi bir süre bulunmakta. Şimdi bu bilgileri not edelim ve konuyu biraz daha detaylandıralım.
microsoft update catalog KB5000871
Şubat 2021 Tarihinde, yani bu iki CU arasında Microsoft Exchange Server için yüksek öncelikli bir zafiyet çıktı. Çıkan bu zafiyet Exchange server üzerinde yüksek öncelikli bir zafiyet ve Microsoft tarafından HAFNIUM targeting Exchange Servers with 0-day exploits olarak duyurusu yapıldı ve bizler de kritik sistemler üzerinde önlemlerimizi aldık.
Bu zafiyetin tespit edilmiş olduğu tarih (oluştuğu tarih değil) iki Cumulative Update Paketinin tam ortasında kalan bir tarih. Zafiyet bir sonraki Cumulative Update Paketi olan Exchange Server 2019 CU9 , Exchange Server 2016 CU20 ve Exchange Server 2013 CU 23 ile birlikte kapatılmayı beklemeden Exchange Server Security Update KB5000871 paketi ile kapatıldı.
Yüksek zafiyet içeren kritik bir yama idi ve bir sonra ki Cumulative Update Paketi beklenmeden bu yama kapatıldı. Aynı zaman da bu zafiyet yaması bir sonraki Cumulative Update Paketi içine de dahil edildi.
Bu örnekden yola çıkarak şunu söyleyebiliriz ki her bir Cumulative Update Paketi güvenlik açıklarını da kapatan bir yenileme paketidir. Yukarıda paylaşmış olduğum microsoft update catalog KB5000871 resmine dikkatli bakarsanız eğer HAFNIUM targeting Exchange Servers with 0-day exploits açığı için çıkartılan güvenlik yamasının geçmiş Exchange Server sürümleri içinde yayınlandı görülmekte. Ve ek bir bilgi daha destek süresi tamamlanmış olan Microsoft Exchange Server 2010 için bile ek bir yama piyasaya sürüldü.
Exchange Server Cumulative Update Ne zaman Yüklenmeli sorusuna verecek olduğumuz kesin bir cevap yoktur. Eski bir Cumulative Update Paketi ‘ne sahipsiniz, sahip olduğunuz Exchange Server sürümü için kritik bir zafiyet çıktı ve bu zafiyet Cumulative Update Paketi haricince Exchange Server Security Update ile kapatıldı. Sahip olduğunuz Cumulative Update Paketi ‘ne ait olan Exchange Server Security Update ‘yi sistemlerinize yüklerseniz eğer Exchange Server Cumulative Update yapmanıza gerek yoktur.
Bir başka senaryo, Exchange Server üzerinde kullanmak istediğiniz bir özelliğin mevcut Exchange Server sürümünde desteklenmediğini yada olmadığını tespit ettiniz. Yada kullanmakta olduğunuz özelliğin hatalar içerdiğini farkettiniz. Güvenlik açığı değil bir hata ve biz buna kullanıcı deneyiminde verimsizliği örnek verebiliriz. İşte o zaman hatanın giderildiği, yeni özelliğin geldiği Exchange Server Cumulative Update Kurma işlemini yapabilirsiniz.
Bir başka senaryo daha. Exchange Server ‘in bağlı bulunmuş olduğu çevre birimlerini düşünelim. Güvenlik yazılımı yada donanımı olabilir, yedek alma yazılımı olabilir yada merkezi imza veya arşivleme yazılımı olabilir ve bu ürünler için yeni bir proje yapmayı yada bu ürünler üzerinde güncelleştirme işlemini yapmayı planlamaktasınız. Eğer bu işlem mevcut Exchange Server sürümünde desteklenmiyorsa işte o zaman desteklenen Exchange Server Cumulative Update paketini yüklemelisiniz..
Son vermiş olduğumuz örneğin bir başka örneğini de Exchange Server Cumulative Update Niçin Yüklenmeli bölümünde, Exchange server 2010 Ru22 ‘ olayın da ki Active Directory Upgrade Projesi örneği ile de paylaşmıştık.
4. Microsoft Exchange Server CU Nasıl Yüklenir?
Her üç ayda bir yayınlanan Exchange Server Cumulative Update paketleri, Exchange Server için iyileştirme yaması ve güvenlik zafiyet engelleme yamaları haricinde Exchange Server için tam bir yenilenme paketi olarak bilinir ve Exchange Server Cumulative Update işlemleri de zaten yeni bir Exchange Server Kurulum işlemleri ile aynı adımlara sahiptir.
Exchange Server Cumulative Update Yükleme
Mevcut bir organizasyon içinde Exchange Server Cumulative Update yükleme işlemerini yapacaksanız Cumulative Update yükleme işlemlerini sıralı yapmanıza gerek yoktur. Yani Exchange Server 2019 CU1 yüklü olan bir sisteme sırasıyle CU2, CU3 … yüklemenize gerek olmadan en sonra Cumulative Update yamasını yükleyebilirsiniz.
Yada, mevcut bir Exchange organizasyon içinde Exchange Server 2013 yada Exchange Server 2016 bulunmakta ve Exchange Server 2019 ‘a yükseltme yapmak istiyorsunuz. Bu proje kapsamında yükseltme yapılacak olan eski Exchange server üzerinde en son Cumulative Update yada RU güncelleştirme işlemini yaptıktan sonra (tavsiye edilen) Exchange Server 2019 ‘un en son Cumulative Update sürümüne sahip yükleme medyası ile projeyi yapabilirsiniz.
Ama unutmayalım, ister Exchange server Upgrade Projesi yapalım ister Exchange Server Cumulative Update güncelleştirme işlemini yapalım, her koşulda yüklenecek olan Exchange Server Cumulative Update paketinin ön şart, ön koşul ve gereksinimlerini karşılamalıyız.
Exchange Server 2010 DAGs Design
Mevcut Exchange Organizasyon yapısı içinde birden fazla Exchange Server bulunmakta ve bu Exchange Server ‘lar aynı Exchange Server Database Availability Group içinde çalışmakta. Bu türde çalışan Exchange Organizasyonlarında her zaman pasif güğümler üzerinde Exchange Server Cumulative Update güncelleştirme işlemlerine başlamalıyız.
Exchange Server Role Konsolidasyon Sürecini tamamlamış olduğu için büyük yapılarda bile Exchange Server Cumulative Update güncelleştirme işlemleri çok basitdir. Eğer ortamda Exchange Server Client Access erişimini sağlayan Load Balancer varsa (F5, Kemp gibi donanımsal yada yazılımsal) bu ürünler üzerinde ek bir işlem yapılması gerekmektedir. Exchange Server Cumulative Update güncelleştirme işlemlerinde trafiğin yükleme işleminin yapıldığı Exchange Server üzerine akmaması gerekmektedir.
Exchange Server Setup can’t continue with the upgrade
Exchange Server Cumulative Update güncelleştirme işlemini yaparken yukarıda paylaşmış olduğum hata yada benzer varyantlarını alabilirsiniz.
Error:
Setup can’t continue with the upgrade because the monad (3488), monad (5336), monad (9416), monad (14876), monad (18840), monad (19388), monad (19776), monad (25104) has open files. Close the process, and then restart Setup.
Bu türde almış olduğunuz hatalar karmaşık gibi görülse de aslında çözümü çok basit olan hatalardır. Yukarıda paylaşmış olduğum hata sadece bir örnek ve ufak bir arama sonrasında çözüme kavuşabilmektesiniz.
Exchange Server Cumulative Update yükleme işlemi mevcut, çalışmakta olan bir Exchange Server üzerine yapıldığı için ve sizler aktif-pasif düğümleri sıralı şekilde yapmış olsanız bile Exchange server ‘in hizmetlerini kullanan üçüncü taraf uygulalamalar Microsoft Exchange Server üzerinde ki servisleri tutuyor olabilir.
Setup can’t continue with the upgrade because the monad (7892) has open files
Yukarıda paylaşmış olduğum hata, bir başka Exchange Server Cumulative Update yükleme işlemlerinde almış olduğum bir başka varyantı. Exchange Server üzerinde çalışmakta olan servisler hizmet vermekte, servisler durmamış durumda ve Exchange Server Cumulative Update yükleme işlemine etki etmekte.
Exchange Server Veritas Backup Exe
Çözüm çok basit… Exchange Server hizmetlerini kullanan uygulamayı, yedek alma yazılımı olabilir, imza yazılımı olabilir yada Spam filtreleme yazılımı olabilir. Bu servisleri Exchange Server Cumulative Update yükleme işlemi sırasında durdurmanız ve görevi tekrar başlatmanız ile hızlı sonuca ulaşabilirsiniz.
Her bir Exchange Server Cumulative Update paketi, bir-birinin aynısı gibi gözükse bile güncelleştirme işlemleri bir-birinin kopyasıymış gibi görünse bile her biri kendi özelinde ayrı yükleme adımlarına sahiptir.
Exchange Server Cumulative Update yükleme işlemine başlamdan önce paketin içeriğini incelemenizi ve mümkünse pilot ortamda yükleme işlemlerini tamamladıktan sonra hizmet veren Exchange Server üzerine yükleme işlemlerinin yapılması önerilmektedir.
Yayınlanma tarihine aldanmayın, bu makale sürekli güncellemekte ve Proaktif Hizmetler kapsamında bu hizmetleri müşterilerimize sunmaktayız.
