Le blog technique

L’exécution des commandes dans un powershell Exchange montre des erreurs  » Could not find any available Global Catalog in forest..« 

Le journal d’évènement « Application » montre l’avertissement dessous:

Cet événement d’avertissement indique que l’autorisation «Gérer le journal d’audit et de sécurité» a été supprimée pour le groupe « serveurs Exchange » sur les contrôleurs de domaine.

Pour résoudre ce problème:

1. Ouvrez la console de Gestion des stratégies de groupe (Démarrer / Exécuter / GPMC.MSC)
2. Développez « Domaines », « Domain Controllers » et cliquez avec le bouton droit de la souris sur « Default Domain Controllers Policy » puis « modifier »
3. Accédez au menu « Configuration de l’ordinateur », « Stratégies », « Paramètres Windows », « Paramètres de sécurité », « Stratégies locales » et double-cliquez sur « Attribution des droits d’utilisateur »
4. Dans le volet des résultats, double-cliquez sur « Gérer le journal d’audit et de sécurité » et vérifiez que le groupe « Serveurs Exchange » est répertorié ou l’ajouter le cas échéant. 

Par défaut, le seul groupe du domaine avec ce droit est le groupe Administrateurs mais le processus /preparedomain pour la préparation à l’installation Exchange accorde ce privilège aux serveurs Exchange.

Microsoft a intégré un nouveau module à Exchange qui mettra en place automatiquement les mesures d’atténuation lorsqu’une nouvelle faille de sécurité est dévoilée. Ce nouveau composant se nomme « Microsoft Exchange Emergency Mitigation (EM) »

Les CU22 and CU11 pour Exchange 2016 et 2019 contiennent cette nouvelle fonctionnalité de sécurité supplémentaire :

• L’idée n’est pas de vous protéger définitivement, mais temporairement, en attendant que vous ayez le temps d’installer le correctif de sécurité. Cela est valable aussi quand Microsoft n’a pas encore sorti le correctif, afin de vous protéger. Retenez que cela ne remplace pas les patchs de sécurité.
• Cela installe un service Windows Exchange qui vérifie une fois par heure si une atténuation contre une vulnérabilité est disponible et l’installe le cas échéant,
• Cette fonctionnalité est optionnelle et peut être désactivée
• Seules les vulnérabilités jugées critiques auront une atténuation.

Le composant EM peut appliquer trois types d’atténuation :

• Règle de réécriture d’URL dans IIS : Créer une règle pour bloquer les requêtes HTTP sur une URL spécifique
• Gestion des services Exchange : Désactiver un service Exchange vulnérable
• Gestion des pools d’applications : Désactiver un pool d’applications vulnérable

 La mise en place de cette nouvelle fonctionnalité nécessite :

• l’installation du module IIS URL Rewrite, qui s’ajoute désormais aux prérequis systèmes à l’installation/mise à jour d’Exchange.
• Le serveur doit accéder à l’url https://officeclient.microsoft.com/getexchangemitigations
• Si Windows Server 2012 R2 est utilisé pour Exchange 2016, il faut installer la KB2999226.

Lors de l’installation/upgrade, il y a un changement d’accord de licence selon si vous souhaitez partager des données de diagnostics avec Microsoft ou non: Le switch /IAcceptExchangeServerLicenseTerms a été remplacé par:

• /IAcceptExchangeServerLicenseTerms_DiagnosticDataON
• /IAcceptExchangeServerLicenseTerms_DiagnosticDataOFF

Vous pouvez activer/désactiver le partage de des données de diagnostics unitairement par serveur avec la commande :

Set-ExchangeServer -Identity <ServerName> -DataCollectionEnabled $false

Vous pouvez activer/désactiver la fonctionnalité EM au niveau de l’organisation, ou au niveau serveur.

Set-OrganizationConfig -MitigationsEnabled $false

Set-ExchangeServer -Identity <ServerName> -MitigationsEnabled $false

Après l’application d’un Security Update (SU), la mitigation associée est conservée, il faut retirer la mitigation manuellement

– Les activités des mitigations sont logés dans le journal des évènements des serveurs : (source MSExchange Mitigation Service) et dans le répertoire V15\Logging\MitigationService