Verständnisfrage zum Vorgehen Exchange 2016 CU20

doskias
Goto Top
Hallo zusammen,

auch nach 20 Jahren stehe ich jetzt das erste mal vor der Aufgabe ein CU-Update zu machen. Bislang ging dieser Kelch immer an mir vorbei, da ich entweder für die Server nicht verantwortlich war oder Systemhäuser dies im Rahmen Ihrer Verträge mitgemacht haben. Nun bin ich jedoch derjenige, der es macht und ich habe leider keinen Ansprechpartner, dem ich die Frage stellen kann. Daher seid ihr jetzt dran.

Es geht um einen Exchange 2016, es gibt keinen zweiten. Ich habe mir das ganze jetzt schonmal angeschaut, werde aber nicht 100% Schlau daraus was ich jetzt genau zu tun habe. Der Leitfaden kommt von https://exupdatestepbystep.azurewebsites.net/

Dort steht:

1. Start by updating AD using the latest CU installation binaries. It is recommended to use the latest CU for the /PrepareAD even if you do not install the latest CU. If the operation requires a schema upgrade, the /PrepareSchema operation must be performed on a computer that is a member of the same Active Directory domain and site as the schema master. This computer also needs .Net Framework 4.8. More information here.
Wenn ich das richtig verstehe sind das Parameter die ich hinter das Setup.exe anhänge und die ich von dem Exchange ausführen kann, aber auch von jedem anderen Rechner der sich in der gleichen Domäne befindet. Das habe ich zumindest https://docs.microsoft.com/de-de/exchange/plan-and-deploy/prepare-ad-and ... rausgelesen.
2. Put the server in maintenance mode.
Müsste in meinen Augen wegfallen, da wir keine Database availability groups haben, da nur 1 Server
3. Reboot the server.
Kann nie schaden vor dem Update
4. Check if .Net Framework 4.8 is installed. If you are not sure, follow this article to determine which .Net versions are installed. If it is not installed, you will have to install it first.
Sollte sich erledigt haben, wenn ich Punkt 1 direkt vom Exchange ausführe.
5. Save all customized Exchange and IIS settings you have made. These could be anything you did not use PowerShell to modify (custom registry entries, OWA customizations, etc.). They might be overwritten by the upgrade.
Fällt weg, da wir keine hier nichts verändert haben.
6. Install CU20. You MUST install it from an elevated command prompt. If the CU installation is being started from PowerShell, ensure the full path to setup.exe is provided (example: D:\setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms).
Hier kommt das eigentliche Setup
7 .Reboot the server.
ok
8. Install the security update KB5003435. Follow these steps:
- Select Start, and type cmd.
- In the results, right-click Command prompt, and then select Run as administrator.
- If the User Account Control dialog box appears, verify that the default action is the action that you want, and then select Continue.
- Type the full path of the .msp file, and then press Enter.
- 🔺 When installing the security update manually you MUST run it from an elevated command prompt. If you do not, the install may complete but the server will not be protected.
Müsste doch auch hinfällig sein, da der Server anschließend komplett durchgepatched werden wird.
8. Reboot the server (even if you are not prompted to do so).
klar
9. Re-import your saved customizations.
fällt weg
10. Check that all Exchange services are back to their previous state as noted above.
logisch
11. Take the server out of maintenance mode.
irrelevant
12. Check all additional applications that connect to Exchange (including your backup solution, archiving solution, monitoring solution etc.).
auch logisch.

Also unterm Strich wäre dann mein Plan soweit ich es verstanden habe:
1. Backup des Servers und der DCs prüfen
2. Mail-Dienste stoppen (Firewall und Server)
3. Snapshot des Exchange anfertigen
4. .Net Framework 4.8 prüfen/installieren
5. Setup.exe /prepareAD und ggf. setup.exe /PrepareSchema
6. Server starten
7. setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms
8. Abwarten
9. Neu starten
10. komplett durchpatchen
11. Neu starten
12. Serverdienste wieder starten
13. Verbindungen zum Server prüfen
14. Mailfluss von außen in der Firewall wieder freigeben
15. Snapshots löschen

Hab da irgendwas übersehen oder sollte es so klappen?

Laut https://docs.microsoft.com/en-us/dotnet/framework/migration-guide/how-to ... habe ich grade
ausgeführt. Das Ergebnis ist false.
ergibt hingegen true. Demnahc ist .Net Framewort 4.7.2 installiert und ich kann für morgen schonmal das 4.8er Setup bereit legen.

Gruß
Doskias

Content-Key: 666933

Url: https://administrator.de/contentid/666933

Ausgedruckt am: 13.08.2022 um 11:08 Uhr

Mitglied: em-pie
Lösung em-pie 20.05.2021 um 15:12:16 Uhr
Goto Top
Moin,

ich hefte mich einfach mal nur an, da mir auch noch das Update CU19 -> CU20 bevorsteht - Rest ist identisch bei uns.
Lediglich das Backup der IIS-Settings wäre für mich interessant.

Bzgl. des Maintenance-Modes:
Ich bin beim installieren des letzten Patches für CU 19 so vorgegangen.
https://www.frankysweb.de/exchange-server-howto-zur-installation-von-upd ...
Fand es nicht schädlich, den Server in den Modus zu versetzten. Lediglich beim Parameter mit den ClusterNodes "meckerte" er - verständlicherweise.


Ansonsten lese jetzt erst einmal nur mit face-smile
Mitglied: Doskias
Doskias 20.05.2021 um 15:25:46 Uhr
Goto Top
Zitat von @em-pie:
Ich bin beim installieren des letzten Patches für CU 19 so vorgegangen.
https://www.frankysweb.de/exchange-server-howto-zur-installation-von-upd ...
Fand es nicht schädlich, den Server in den Modus zu versetzten. Lediglich beim Parameter mit den ClusterNodes "meckerte" er - verständlicherweise.

Danke für den Link, Im großen und ganzen bestätigt er mein geplantes vorgehen.
Mitglied: LauneBaer
LauneBaer 20.05.2021 um 15:29:01 Uhr
Goto Top
Servus,

also bei uns ist das Update einfach über Windows Update installiert worden, völlig problemlos. (CU19->CU20)

Sonst gibt es hier noch einen Hinweis zur Installation aus der elevated Shell: https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-a ...

Grüße
Mitglied: Doskias
Doskias 20.05.2021 um 15:57:01 Uhr
Goto Top
Zitat von @LauneBaer:
also bei uns ist das Update einfach über Windows Update installiert worden, völlig problemlos. (CU19->CU20)
Bist du dir da sicher? Ich meien ich mach das ja schon n paar Jahre, aber ich habe noch nie gehört, dass ein CU über Windows Updates durchgeführt wurde. Wie machst dud as in dem Fall mit Backup, Datensicherung und AD-Erweiterung?

Sonst gibt es hier noch einen Hinweis zur Installation aus der elevated Shell: https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-a ...
Das sonst, lässt vermuten, dass du meinst "In den Fall, dass es nicht automatisch funktionert". Der Link geht zur Installation zu KBs, nicht zur Installation einer CU, die soweit mein aktueller Kenntnisstand immer händisch erfolgen muss.

Was gibt denn
bei dir auf dem Exchange als Version und Build aus?

Gruß
Doskias
Mitglied: LauneBaer
LauneBaer 20.05.2021 um 16:06:06 Uhr
Goto Top
Sorry, ich nehme alles zurück. Heute ist nicht mein Tag... Es ging natürlich um das letzte Update, nicht das CU.

Jetzt nochmal von vorne. Ich mache es eigentlich immer so, dass ich ein aktuelles Backup der VM ziehe, den Virenscanner ausschalte/deaktiviere (Trend Mirco WFBS Advanced) und dann das Update einfach ausführe. Hat bisher problemlos funktioniert ;)

Grüße
Mitglied: nachgefragt
nachgefragt 20.05.2021 um 16:11:25 Uhr
Goto Top
Zitat von @Doskias:
auch nach 20 Jahren
Moin,
quasi mein Lieblingssatz zum Einstieg aller qualifizierten und zertifizierten Experten face-wink

Backup ist klar

1. Download
https://docs.microsoft.com/de-de/exchange/new-features/updates?view=exch ...
2. Entpacken auf Exchange Server
3. Setup ausführen

Den Rest macht das Setup allein, so war es bei uns CU19 zu CU20, und davor auch - fast schon dummy-sicher geworden.
Mitglied: Doskias
Doskias 20.05.2021 um 16:17:24 Uhr
Goto Top
Ok, gut. Das beruhigt mich jetzt face-big-smile

Also wirklich so unkompliziert wie ich es nach dem Einlesen einschätze.
Mitglied: Vision2015
Lösung Vision2015 20.05.2021 um 16:18:22 Uhr
Goto Top
Moin...
Zitat von @Doskias:

Hallo zusammen,
face-smile

Also unterm Strich wäre dann mein Plan soweit ich es verstanden habe:
1. Backup des Servers und der DCs prüfen
nicht nur prüfen, sondern auch sichern..... am besten ist nach dem Backup die DB.s zu sichern (je nach datensicherung) falls du ein Recover machen musst!
2. Mail-Dienste stoppen (Firewall und Server)
nur firewall..... lass die finger von dem rest
3. Snapshot des Exchange anfertigen
wozu das den, ein snapshot ist kein backup.... ohne wenn und aber!
4. .Net Framework 4.8 prüfen/installieren
genau...
5. Setup.exe /prepareAD und ggf. setup.exe /PrepareSchema
wozu? brauchst du nicht....
6. Server starten
wie. ist der nicht an ? face-smile
7. setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms
kannst du machen, darfst aber auch die setup.exe als administrator ausführen.....
evttl. vorher bitte den Defender bzw. AV usw... abschalten!!!!!!!
8. Abwarten
sowiso...
9. Neu starten
10. komplett durchpatchen
das wäre punkt 0 gewesen... bitte also auch vorher machen...
11. Neu starten
jo...
12. Serverdienste wieder starten
???? die starten in der regel von alleine... (besser ist das)
13. Verbindungen zum Server prüfen
ja... mit dem verbindungsprüfer face-smile
14. Mailfluss von außen in der Firewall wieder freigeben
jo
15. Snapshots löschen
brauchst du nicht, da du keine gemacht hast, und eine ordentlich Datensicherung wirft keiner wech...

Hab da irgendwas übersehen oder sollte es so klappen?
mach das so, wie von mir beschrieben, ist echt kein drama face-smile ich mach das gefühlte 5 mal am Tag



Gruß
Doskias
Frank
Mitglied: Doskias
Doskias 20.05.2021 um 16:19:43 Uhr
Goto Top
Zitat von @nachgefragt:
Zitat von @Doskias:
auch nach 20 Jahren
quasi mein Lieblingssatz zum Einstieg aller qualifizierten und zertifizierten Experten face-wink
Bin nicht zertifiziert, nur qualifiziert face-big-smile

Den Rest macht das Setup allein, so war es bei uns CU19 zu CU20, und davor auch - fast schon dummy-sicher geworden.
Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen face-big-smile
Mitglied: Vision2015
Vision2015 20.05.2021 um 16:24:07 Uhr
Goto Top
moin...

Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen
äh... ja... warum nicht? mach ich in sehr großen installationen nur so- wo ist dein problem?
Frank
Mitglied: Doskias
Doskias 20.05.2021 um 16:27:14 Uhr
Goto Top
Hallo Frank,

Danke für deine Ausführlichen antworten. Der Virenscanner wäre mir jetzt vermutlich durchgerutscht.

Was Backup und Snapshot angeht hast du natürlich recht. Ich mach im Regelfall beides, einfach aus Gewohnheit.

Die Mail-Dienste hätte ich jetzt gestoppt, damit die User nicht Mails an den Exchange schicken, die dann bei einem möglichen restore weg wären. mit deaktiviertem Transportdienst bleiben die im lokalen Outlook liegen. Daher der Punkt Serverdienste starten.

Punkt 0, komplett durchpatchen entfällt. der Exchange ist durchgepatched. Das bezog sich auf die Patches, die es für CU20 gibt und durch das derzeitige CU14 bislang nicht zur Verfügung standen.
Mitglied: Doskias
Doskias 20.05.2021 um 16:28:24 Uhr
Goto Top
Zitat von @Vision2015:
Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen
äh... ja... warum nicht? mach ich in sehr großen Installationen nur so- wo ist dein problem?

kein Problem, nur ein Vorgesetzter, der unbeaufsichtigte Serverneustarts und Installationen nicht gerne sieht face-wink
Mitglied: Vision2015
Vision2015 20.05.2021 um 16:46:36 Uhr
Goto Top
moin...
Zitat von @Doskias:

Zitat von @Vision2015:
Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen
äh... ja... warum nicht? mach ich in sehr großen Installationen nur so- wo ist dein problem?

kein Problem, nur ein Vorgesetzter, der unbeaufsichtigte Serverneustarts und Installationen nicht gerne sieht face-wink
jo... wenn man kein vertrauen in seine arbeit hat face-smile

Frank
Mitglied: Vision2015
Vision2015 20.05.2021 um 16:49:47 Uhr
Goto Top
moin...
Zitat von @Doskias:

Hallo Frank,

Danke für deine Ausführlichen antworten. Der Virenscanner wäre mir jetzt vermutlich durchgerutscht.

Was Backup und Snapshot angeht hast du natürlich recht. Ich mach im Regelfall beides, einfach aus Gewohnheit.

Die Mail-Dienste hätte ich jetzt gestoppt, damit die User nicht Mails an den Exchange schicken, die dann bei einem möglichen restore weg wären. mit deaktiviertem Transportdienst bleiben die im lokalen Outlook liegen. Daher der Punkt Serverdienste starten.
lass das... das setup macht das selber!

Punkt 0, komplett durchpatchen entfällt. der Exchange ist durchgepatched. Das bezog sich auf die Patches, die es für CU20 gibt und durch das derzeitige CU14 bislang nicht zur Verfügung standen.
ok.. äh was noch CU14... jetzt aber dalli face-smile
Frank
Mitglied: Doskias
Doskias 20.05.2021 um 19:40:02 Uhr
Goto Top
Zitat von @Vision2015:
Die Mail-Dienste hätte ich jetzt gestoppt, damit die User nicht Mails an den Exchange schicken, die dann bei einem möglichen restore weg wären. mit deaktiviertem Transportdienst bleiben die im lokalen Outlook liegen. Daher der Punkt Serverdienste starten.
lass das... das setup macht das selber!
Danke für die Aufklärung

Punkt 0, komplett durchpatchen entfällt. der Exchange ist durchgepatched. Das bezog sich auf die Patches, die es für CU20 gibt und durch das derzeitige CU14 bislang nicht zur Verfügung standen.
ok.. äh was noch CU14... jetzt aber dalli face-smile
Jupp. Ich bin noch kein Jahr da und gewisse Dinge hat mein Vorgänger an ein Systemhaus ausgegliedert, was sich offenbar um dieses Thema nicht regelmäßig gekümmert hat. Ich hatte bislang andere dringendere Dinge aufzuräumen, wird aber künftig ein regelmäßiger wiederkehrender Termin werden, so dass wir künftig stets ein supportetes CU im Einsatz haben.
Mitglied: Doskias
Doskias 21.05.2021 um 18:24:44 Uhr
Goto Top
So hab ein Backup gemacht, daraus folgt es ist alles problemlos verlaufen. Starte jetzt noch mal neu und dann ist Wochenende.
Mitglied: Vision2015
Vision2015 21.05.2021 um 18:26:13 Uhr
Goto Top
moin...

Zitat von @Doskias:

So hab ein Backup gemacht, daraus folgt es ist alles problemlos verlaufen. Starte jetzt noch mal neu und dann ist Wochenende.
PRIMA face-smile

Frank