Meilleures pratiques pour maintenir votre Exchange Server à jour

Il publie également des mises à jour cumulatives tous les trimestres qui contiennent tous les correctifs, fonctionnalités et mises à jour de sécurité précédents.

Cependant, l’application des mises à jour d’Exchange Server est une tâche complexe qui nécessite une planification minutieuse afin d’éviter tout contretemps pendant et après l’installation.

Dans cet article, nous avons discuté des meilleures pratiques que vous devriez suivre pour garder vos Exchange Servers à jour et protégés des dernières menaces.

Meilleures pratiques pour mettre à jour Exchange Server

Si vous installez ou déployez un nouvel Exchange Server, vous devez toujours installer les dernières mises à jour cumulatives. Chaque CU est une partie d’Exchange Server complet que vous pouvez télécharger depuis la page Microsoft TechNet.

Toutefois, si vous devez mettre à jour un Exchange Server existant, suivez ces meilleures pratiques pour éviter les problèmes et prévenir les temps d’arrêt prolongés.

1. Vérifier les problèmes connus et la compatibilité

Certaines mises à jour publiées par Microsoft pour Exchange Server peuvent être associées à des problèmes connus. Microsoft fournit des détails sur ces problèmes connus via les KB. Vous pouvez trouver des informations relatives aux problèmes connus et aux KBs liées sur la page de mise à jour. Il est conseillé de les lire avant de mettre à jour le Server car ils peuvent affecter les utilisateurs finaux et les clients.

De plus, vous n’avez pas besoin d’installer toutes les mises à jour cumulatives ou de sécurité publiées entre votre version actuelle et la dernière. Néanmoins, vous avez besoin de la dernière mise à jour cumulative installée sur Exchange Server pour appliquer les nouvelles mises à jour de sécurité.

Pour plus de détails sur la mise à jour à partir d’anciennes versions des CU, utilisez Exchange Update Wizard. Choisissez votre version actuelle d’Exchange Server, les CU installées et les CU requises dans les menus déroulants respectifs pour en savoir plus sur les instructions de déploiement.

2. Examiner et installer les conditions préalables

Contrairement aux mises à jour de sécurité, les mises à jour cumulatives peuvent vous obliger à installer ou à mettre à jour certains logiciels et services, tels que le .NET framework.

Par exemple, Microsoft a introduit un nouveau service d’atténuation d’urgence avec les mises à jour cumulatives de septembre 2021 qui vous obligent à installer IIS URL Rewrite v2 et à mettre à jour Universal C Runtime.

Vérifiez les conditions préalables sur la page de mise à jour et installez-les avant d’appliquer les CU pour éviter un échec de l’installation ou des problèmes ultérieurs.

3. Installer les mises à jour dans un environnement de non-production

Microsoft recommande de tester les nouvelles mises à jour cumulatives et les principales mises à jour de sécurité dans un environnement de test ou de non-production avant de mettre à jour votre Server de production. Cela vous aidera à vérifier et à résoudre tout problème qui pourrait mettre en danger votre Server de production. Après l’installation, vous pouvez exécuter des tests de simulation pour confirmer que la version est stable et que les fonctionnalités fonctionnent comme prévu.

4. Sauvegarder

Il est important de faire une sauvegarde avant d’appliquer les mises à jour cumulatives à votre Exchange Server, car cela vous aidera à revenir en arrière ou à annuler les changements si quelque chose ne va pas. Sauvegardez Active Directory, les bases de données Exchange et les autres données, y compris les personnalisations, comme le web.config, qui risquent de ne pas survivre à la mise à jour, et vous devrez peut-être les réappliquer après une mise à jour réussie.

Vous pouvez utiliser le logiciel de sauvegarde de Windows Server ou un logiciel de sauvegarde tiers adapté aux applications pour créer des sauvegardes basées sur VSS. Après la sauvegarde, vérifiez et confirmez que la sauvegarde fonctionne.

5. Désactiver l’antivirus

Un programme antivirus peut parfois gêner l’installation de la mise à jour lorsqu’il ne parvient pas à déterminer si le programme que vous installez est légitime. Pour éviter les problèmes pendant l’installation des mises à jour de sécurité ou cumulatives, il est recommandé de désactiver temporairement le programme antivirus. Vous pourrez réactiver l’antivirus une fois les mises à jour installées avec succès.

Cependant, vous devez toujours télécharger les mises à jour depuis le site officiel de Microsoft et non depuis des sites tiers, car ils peuvent contenir des logiciels ou des scripts malveillants susceptibles de compromettre votre Server.

6. Mettre le serveur Exchange en mode maintenance

La planification d’une fenêtre de maintenance est essentielle car la mise à jour d’Exchange Server pendant les heures de travail perturbera les opérations commerciales et entraînera des temps d’arrêt. En fonction du niveau de mise à jour de sécurité ou de mise à jour cumulative, planifiez une fenêtre de maintenance pendant le week-end ou à des heures tardives.  

De plus, mettez toujours le Exchange Server en mode maintenance avant d’appliquer les mises à jour et supprimez le mode maintenance une fois la mise à jour appliquée avec succès. Cette étape est plus critique lorsque vous avez un Exchange Server configuré dans un environnement DAG.

Utilisez la cmdlet suivante pour mettre le Server en mode maintenance :

Régler-Étatducomposantduserveur Nomduserveur -Composant Serveurhorsligne -État Inactif -Demandeur Maintenance

Si vous vérifiez l’état du composant, il affichera tous les composants à l’état inactif, indiquant que le mode de maintenance est activé.

Obtenir-Obtenir-Étatducomposantduserveur -Identité Nomduserveur

7. Utiliser l’invite de commande élevée

L’installation de mises à jour de sécurité ou cumulatives sans fenêtre d’invite de commande élevée peut entraîner l’échec de l’installation et rendre votre Exchange Server inutilisable. Installez toujours les dernières SU et CU par le biais d’une fenêtre Invite de commande élevée afin de surmonter les restrictions du contrôle d’accès utilisateur (UAC) et de vous assurer que toutes les permissions sont accordées pour une mise à jour réussie.

8. Vérifier l’état des composants

Une fois la mise à jour installée, redémarrez le serveur et vérifiez l’état du composant à l’aide de la cmdlet suivante dans Exchange Management Shell :

Obtenir-Étatducomposantduserveur -Identité Nomduserveur

Si vous trouvez un composant critique d’Exchange Server dans l’état inactif, tel que HubTransport, vous pouvez obtenir plus d’informations sur le composant spécifique du Server en utilisant la commande suivante :

Pour faire passer un composant Server inactif à l’état actif, utilisez la cmdlet suivante :

Régler-Étatducomposantduserveur -Identité Nomduserveur-ComposantHubTransport -Demandeur Maintenance -État Actif

Après avoir activé le composant Server, vérifiez l’état du composant Exchange Server à l’aide de la cmdlet suivante :

Obtenir-Étatducomposantduserveur -Identité Nomduserveur -Composant HubTransport

9. Effectuer un bilan de santé

HealthChecker.ps1 est un script PowerShell publié par Microsoft pour aider les administrateurs à effectuer des contrôles de santé sur le Exchange Server. Il aide à trouver des problèmes avec le Server et suggère des changements que vous pouvez appliquer pour résoudre ces problèmes.

Vous pouvez exécuter le script PowerShell HealthChecker avant et après l’installation des mises à jour sur votre Exchange Server pour vérifier l’état de santé.

Le script prend en charge les versions Exchange 2013, 2016 et 2019. Vous pouvez télécharger le script sur votre Server et l’exécuter à l’aide de la fenêtre PowerShell.

.\HealthChecker.ps1 -BuildHtmlServersReport -HtmlReportFile « Exchange19-Report.html »

Cette commande génère un rapport détaillé au format HTML et marque les informations avec les couleurs Gris, Vert, Jaune et Rouge.

Lisez attentivement les informations marquées en rouge et résolvez-les avant de mettre à jour le Server. Vous pouvez exécuter la même commande après avoir installé la mise à jour pour vérifier la santé du Server et résoudre les problèmes.

Remarque : Ne tenez pas compte des vulnérabilités détectées, car elles seront corrigées une fois que vous aurez installé les dernières mises à jour cumulatives ou de sécurité sur votre Server. Après avoir installé les CU, vérifiez les mises à jour de sécurité et installez-les.

Conclusion

L’installation des dernières mises à jour d’Exchange Server joue un rôle essentiel dans la sécurisation de ce dernier. Cet article vous aide à comprendre les risques liés à une installation incorrecte ou sans planification adéquate des mises à jour d’Exchange et les meilleures pratiques pour surmonter ou éviter ces risques. Toutefois, si votre Exchange Server est compromis ou endommagé à la suite d’une attaque malveillante, installez un nouveau Server et utilisez la sauvegarde pour restaurer les messageries et la base de données.

N’utilisez jamais le Server compromis, même si vous l’avez réparé, car l’attaquant peut avoir laissé des portes dérobées installées. Utilisez un logiciel de récupération Exchange, tel que Stellar Repair for Exchange, pour récupérer et exporter des boîtes aux lettres à partir d’un Exchange Server compromis ou d’une base de données Exchange inaccessible vers PST, Live Exchange ou Office 365. Le logiciel s’avère pratique lorsque la sauvegarde n’est pas disponible ou obsolète et vous aide à récupérer des éléments d’e-mails et de messageries à partir d’une base de données de messageries corrompue avec une intégrité complète.

Si vous avez des questions et avez besoin d’aide pour installer les mises à jour d’Exchange Server, veuillez laisser un commentaire dans la section ci-dessous.