Dezaktywacja funkcji Extended Protection w ramach aktualizacji zbiorczej CU14 platformy Exchange Server 2019

Facebooktwitterpinterestlinkedinmail
Dotyczy wersji: 2023 R3 i powyżej; autor: Łukasz Maciaszkiewicz

 

Wprowadzenie

Wraz z 14. aktualizacją zbiorczą (CU14, Cumulative Update 14) dla platformy Microsoft Exchange Server 2019 zmianie ulega podejście do kwestii aktywacji funkcji rozszerzonej ochrony Extended Protection. W rezultacie funkcja, która w poprzednio publikowanych pakietach aktualizacji była opcjonalna, jest obecnie domyślnie włączana podczas instalacji tej aktualizacji w trybie GUI.

W niniejszym artykule opisano problemy, jakie dla użytkowników platformy WEBCON BPS niesie włączenie funkcji Extended Protection w wyniku aktualizacji CU14. Dodatkowo przedstawiono sposób wyłączenia tej funkcji podczas instalacji w trybie nienadzorowanym (Unattended Mode), a także omówiono procedurę jej dezaktywacji, w przypadku gdy została już ona aktywowana.

Funkcja Extended Protection a problemy z łącznością

Funkcja Extended Protection nakłada dodatkową warstwę zabezpieczeń poprzez wymuszanie silniejszego uwierzytelniania klientów oraz zabezpieczanie komunikacji między klientami a serwerem. Aktywowanie takiej ochrony może jednak powodować szereg problemów z łącznością w określonych scenariuszach, np. w środowiskach, w których wykorzystywane jest odciążanie protokołu SSL (SSL Offloading), czy też w sytuacji, gdy na serwerze Exchange z zainstalowaną aktualizacją zbiorczą CU11 hostowana jest hierarchia folderów publicznych. Z dokładnym opisem wszystkich takich scenariuszy można zapoznać się pod tym adresem.

Utrata dostępu do funkcjonalności platformy WEBCON BPS

W przypadku platformy WEBCON BPS włączenie funkcji Extended Protection skutkuje zablokowaniem połączenia z interfejsem Exchange Web Services (EWS). W wymiarze praktycznym oznacza to sparaliżowanie działania niektórych popularnych funkcjonalności, takich jak HotMailBoxy, czy MailApproval, a także wykonywania akcji z grupy Exchange (Kalendarz Exchange, Zadania Exchange oraz Asystent nieobecności). Brak dostępu do tych funkcjonalności może zatem stanowić poważny problem dla wielu użytkowników WEBCON BPS.

Wyłączenie funkcji Extended Protection

Choć funkcja rozszerzonej ochrony jest domyślnie włączana podczas instalacji aktualizacji CU14 możliwe jest jej dezaktywowanie i to zarówno na etapie instalacji – co jest działaniem zalecanym – jak i w późniejszym czasie w przypadku, gdy instalacja CU14 odbyła się już z włączeniem wspomnianej funkcji. Poniżej przedstawiono możliwe dwa rozwiązania pozwalające w pełni korzystać z funkcjonalności WEBCON BPS z zainstalowaną aktualizacją CU14.

 

  • Rozwiązanie zalecane: wyłączenie Extended Protection dla folderów wirtualnych interfejsu EWS podczas instalacji CU14 w trybie nienadzorowanym

Należy pamiętać, że brak możliwości wyłączenia funkcji Extended Protection dotyczy wyłącznie instalacji aktualizacji w trybie GUI, czyli za pomocą interfejsu graficznego. Nie jest to jednak jedyny sposób, w jaki można przeprowadzić taką instalację. Z pomocą przychodzi tutaj tzw. tryb nienadzorowany (Unattended Mode). W tym przypadku instalacja wykonywana jest z poziomu wiersza poleceń uruchomionego w trybie administracyjnym lub poprzez konsolę Exchange Management Shell i przebiega następująco:

  1. sprawdź, czy Twoje środowisko spełnia wymagania aktualizacji;
  2. pobierz obraz ISO plików aktualizacji z witryny Microsoft dostępny pod tym adresem;
  3. zamontuj obraz;
  4. uruchom wiersz poleceń lub Exchange Management Shell i w jego oknie przejdź do dysku z zamontowanym obrazem;
  5. uruchom plik instalatora Setup.exe z parametrem /DoNotEnableEP_FEEWS (ewentualnie /DoNotEnableEP);
  6. instalacja zostanie wykonana w oknie wiersza poleceń (lub Exchange Management Shell) z wyłączoną funkcją Extended Protection.

 

  • Rozwiązanie awaryjne: wyłączenie Extended Protection aktywowanego podczas instalacji CU14

Jeżeli aktualizacja CU14 została już zainstalowana, a wraz z nią aktywowano funkcję rozszerzonej ochrony, możliwe jest wyłącznie jej także na późniejszym etapie. Umożliwia to specjalny skrypt udostępniony przez firmę Microsoft i uruchamiany z poziomu konsoli Exchange Management Shell. Aby skorzystać z tej możliwości, jako użytkownik musisz być przypisany do grupy ról Organization Management w Exchange Server 2019 i postępować zgodnie z następującą procedurą:

  1. pobierz skrypt ExchangeExtendedProtectionManagement dostępny pod tym adresem;
  2. uruchom konsolę Exchange Management Shell z podwyższonym poziomem uprawnień;
  3. pobierz wszystkie adresy IP, w przypadku których możliwe jest ograniczenie dostępu do katalogu wirtualnego, wpisując w konsoli: .\ExchangeExtendedProtectionManagement.ps1 -FindExchangeServerIPAddresses -OutputFilePath "C:\temp\ExchangeIPs.txt"
  1. korzystając z poniższej składni wyłącz rozszerzoną ochronę dla katalogu wirtualnego zaplecza EWS (EWS Backend): .\ExchangeExtendedProtectionManagement.ps1 -RestrictType "EWSBackend" -IPRangeFilePath "C:\temp\ExchangeIPs.txt";
  1. zamknij konsolę Exchange Management Shell i uruchom ponownie system.

Dodatkowe informacje na temat skryptu można znaleźć w anglojęzycznym artykule dostępnym na platformie GitHub firmy Microsoft pod tym adresem. Zawarte tam informacje obejmują również dodatkowe komendy i parametry, które można wykorzystać wraz ze skryptem.

Podsumowanie

Opisane rozwiązania pozwalają użytkownikom platformy WEBCON BPS korzystać z najnowszych uaktualnień w ramach aktualizacji zbiorczej CU14 bez ryzyka utraty dostępu do części funkcjonalności. Użytkowników planujących taką aktualizację zachęca się ponadto do zapoznania się z dodatkowymi materiałami i artykułami, do których odwołania zawarto w niniejszym artykule.