.: Daniel Melanchthon :.

Banging your head against a wall uses 150 Calories an hour.

Installationszeit von Exchange 2007 Rollup Update

Installationszeit von Exchange 2007 Rollup Update

  • Comments 4
  • Likes

Ein Kunde hat gerade ein Rollup Update für Exchange 2007 installiert und dabei über eine Stunde Wartezeit kurz vor 100% der Installation gehabt. Die Installation war danach zwar erfolgreich abgeschlossen -  der Server schien aber in der Wartezeit nicht wirklich viel zu tun. Diese Wartezeit wurde nicht erwartet und deshalb das Service Level Zeitfenster überschritten.

Nun fragt er mich: "Warum dauert das so lange?"

Wie lange die Installation eines Rollup Updates dauert, hängt von vielen Faktoren ab. Neben der Hardware spielen die Anzahl der Benutzersessions und offenen Transaktionen eine Rolle. Normalerweise beobachten wir eine Installationszeit von durchschnittlich 8-14 Minuten.

Bei einigen Kunden sieht man jedoch Installationszeiten im Stundenbereich. Diese Kunden haben zwei Dinge gemeinsam:

  1. In den Internet Explorer-Einstellungen auf dem Server ist die Option "Check for publisher’s certificate revocation" aktiviert.
  2. Der Server hatte nur gefilterten oder gar keinen Zugriff auf das Internet.

Was passiert hier nun im Hintergrund? Exchange 2007 basiert auf managed code. Exchange Assemblies sind authenticode signiert. Die in 1. genante Option führt nun dazu, dass der Server bei der Verarbeitung von dem Rollup Update für jede IL assembly eine Netzwerkverbindung zu crl.microsoft.com aufbaut, um die Certificate Revocation List zu prüfen. Ist jetzt (wie in 2.) eine Firewall zwischen dem Server und dem Internet so konfiguriert, dass sie die Verbindung verwirft, läuft die Abfrage auf einen Timeout. Anstatt <1 Sekunde benötigt dann die Prüfung aufgrund des Timeouts 10-14 Sekunden.

Als zweiter Grund kommt ein besonderes Updateverhalten von Exchange in Frage. Exchange aktualisiert Dateien, wenn der Server idle ist. Läuft also auf dem Exchange-Server noch ein anderer, rechenintensiver Task, kann auch das die Installationszeit verlängern.

Was kann man nun als Admin zur Beschleunigung tun?

  • IE-Option "Check for publisher’s certificate revocation" deaktivieren, wenn keine Internetkonnektivität für den Server gegeben ist.
  • Rechenintensive Tasks zum Updatezeitpunkt temporär deaktivieren.
Comments
  • PingBack from http://www.security-blog.eu/2008/07/30/exchange-2007-update-dauert-ewig/

  • Danke für den Hinweis aber...

    Könnte MS nicht den Hotfix so programmieren, daß der vor der Installation die beiden Punkte (Ziel im Web erreichbar/IE entsprechen eingestellt) prüfen und den Admin ggf. mit einer Meldung bittet die Einstellung im IE zu deaktivern?

  • Es ist faszinierend, dass man in einem Blog über diesen Effekt und die Ursache lesen muss. Die Prüfung der CRL von MS wird inzwischen nicht nur von MS Produkten abgefragt, sondern auch von anderen Herstellern. Bei der Softwareinstallation auf Systemen, die bewusst keinen vollen Internetzugriff haben, kommt es zu den spannendsten Effekten.

    Danke für den Blogeintrag.

  • Der Ansatz mag die Installation beschleunigen, aber ist nur ein Teil der Lösung. Das Thema Authenticode betrifft später auch das Start (oder eben nicht starten) der Dienst, da auch hier eventuell Zertifikate geprüft werden und das im schlimmsten Fall länger dauert also die 30sec, die der Servicemanager dem Dienst zeit gibt. Folge: Dienst startet nicht

    Siehe auch http://www.msxfaq.net/admin/authenticode.htm

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment