May 20, 2021

3188

Verständnisfrage zum Vorgehen Exchange 2016 CU20

Hallo zusammen,

auch nach 20 Jahren stehe ich jetzt das erste mal vor der Aufgabe ein CU-Update zu machen. Bislang ging dieser Kelch immer an mir vorbei, da ich entweder für die Server nicht verantwortlich war oder Systemhäuser dies im Rahmen Ihrer Verträge mitgemacht haben. Nun bin ich jedoch derjenige, der es macht und ich habe leider keinen Ansprechpartner, dem ich die Frage stellen kann. Daher seid ihr jetzt dran.

Es geht um einen Exchange 2016, es gibt keinen zweiten. Ich habe mir das ganze jetzt schonmal angeschaut, werde aber nicht 100% Schlau daraus was ich jetzt genau zu tun habe. Der Leitfaden kommt von https://exupdatestepbystep.azurewebsites.net/

Dort steht:

1. Start by updating AD using the latest CU installation binaries. It is recommended to use the latest CU for the /PrepareAD even if you do not install the latest CU. If the operation requires a schema upgrade, the /PrepareSchema operation must be performed on a computer that is a member of the same Active Directory domain and site as the schema master. This computer also needs .Net Framework 4.8. More information here.

Wenn ich das richtig verstehe sind das Parameter die ich hinter das Setup.exe anhänge und die ich von dem Exchange ausführen kann, aber auch von jedem anderen Rechner der sich in der gleichen Domäne befindet. Das habe ich zumindest https://docs.microsoft.com/de-de/exchange/plan-and-deploy/prepare-ad-and ... rausgelesen.

2. Put the server in maintenance mode.

Müsste in meinen Augen wegfallen, da wir keine Database availability groups haben, da nur 1 Server

3. Reboot the server.

Kann nie schaden vor dem Update

4. Check if .Net Framework 4.8 is installed. If you are not sure, follow this article to determine which .Net versions are installed. If it is not installed, you will have to install it first.

Sollte sich erledigt haben, wenn ich Punkt 1 direkt vom Exchange ausführe.

5. Save all customized Exchange and IIS settings you have made. These could be anything you did not use PowerShell to modify (custom registry entries, OWA customizations, etc.). They might be overwritten by the upgrade.

Fällt weg, da wir keine hier nichts verändert haben.

6. Install CU20. You MUST install it from an elevated command prompt. If the CU installation is being started from PowerShell, ensure the full path to setup.exe is provided (example: D:\setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms).

Hier kommt das eigentliche Setup

7 .Reboot the server.

8. Install the security update KB5003435. Follow these steps:
- Select Start, and type cmd.
- In the results, right-click Command prompt, and then select Run as administrator.
- If the User Account Control dialog box appears, verify that the default action is the action that you want, and then select Continue.
- Type the full path of the .msp file, and then press Enter.
- 🔺 When installing the security update manually you MUST run it from an elevated command prompt. If you do not, the install may complete but the server will not be protected.

Müsste doch auch hinfällig sein, da der Server anschließend komplett durchgepatched werden wird.

8. Reboot the server (even if you are not prompted to do so).

klar

9. Re-import your saved customizations.

fällt weg

10. Check that all Exchange services are back to their previous state as noted above.

logisch

11. Take the server out of maintenance mode.

irrelevant

12. Check all additional applications that connect to Exchange (including your backup solution, archiving solution, monitoring solution etc.).

auch logisch.

Also unterm Strich wäre dann mein Plan soweit ich es verstanden habe:
1. Backup des Servers und der DCs prüfen
2. Mail-Dienste stoppen (Firewall und Server)
3. Snapshot des Exchange anfertigen
4. .Net Framework 4.8 prüfen/installieren
5. Setup.exe /prepareAD und ggf. setup.exe /PrepareSchema
6. Server starten
7. setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms
8. Abwarten
9. Neu starten
10. komplett durchpatchen
11. Neu starten
12. Serverdienste wieder starten
13. Verbindungen zum Server prüfen
14. Mailfluss von außen in der Firewall wieder freigeben
15. Snapshots löschen

Hab da irgendwas übersehen oder sollte es so klappen?

Laut https://docs.microsoft.com/en-us/dotnet/framework/migration-guide/how-to ... habe ich grade

(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full").Release -ge 528040  

ausgeführt. Das Ergebnis ist false.

(Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP\v4\Full").Release -ge 461808  

ergibt hingegen true. Demnahc ist .Net Framewort 4.7.2 installiert und ich kann für morgen schonmal das 4.8er Setup bereit legen.

Gruß
Doskias

Please also mark the comments that contributed to the solution of the article

Content-Key: 666933

Url: https://administrator.de/contentid/666933

Printed on: May 9, 2024 at 02:05 o'clock

17 Comments

Latest comment

Moin,

ich hefte mich einfach mal nur an, da mir auch noch das Update CU19 -> CU20 bevorsteht - Rest ist identisch bei uns.
Lediglich das Backup der IIS-Settings wäre für mich interessant.

Bzgl. des Maintenance-Modes:
Ich bin beim installieren des letzten Patches für CU 19 so vorgegangen.
https://www.frankysweb.de/exchange-server-howto-zur-installation-von-upd ...
Fand es nicht schädlich, den Server in den Modus zu versetzten. Lediglich beim Parameter mit den ClusterNodes "meckerte" er - verständlicherweise.

Ansonsten lese jetzt erst einmal nur mit

Zitat von @em-pie:
Ich bin beim installieren des letzten Patches für CU 19 so vorgegangen.
https://www.frankysweb.de/exchange-server-howto-zur-installation-von-upd ...
Fand es nicht schädlich, den Server in den Modus zu versetzten. Lediglich beim Parameter mit den ClusterNodes "meckerte" er - verständlicherweise.

Danke für den Link, Im großen und ganzen bestätigt er mein geplantes vorgehen.

Servus,

also bei uns ist das Update einfach über Windows Update installiert worden, völlig problemlos. (CU19->CU20)

Sonst gibt es hier noch einen Hinweis zur Installation aus der elevated Shell: https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-a ...

Grüße

Zitat von @LauneBaer:
also bei uns ist das Update einfach über Windows Update installiert worden, völlig problemlos. (CU19->CU20)

Bist du dir da sicher? Ich meien ich mach das ja schon n paar Jahre, aber ich habe noch nie gehört, dass ein CU über Windows Updates durchgeführt wurde. Wie machst dud as in dem Fall mit Backup, Datensicherung und AD-Erweiterung?

Sonst gibt es hier noch einen Hinweis zur Installation aus der elevated Shell: https://www.frankysweb.de/neue-sicherheitsupdates-fuer-exchange-server-a ...

Das sonst, lässt vermuten, dass du meinst "In den Fall, dass es nicht automatisch funktionert". Der Link geht zur Installation zu KBs, nicht zur Installation einer CU, die soweit mein aktueller Kenntnisstand immer händisch erfolgen muss.

Was gibt denn

Get-ExchangeServer | Format-List Name,Edition,AdminDisplayVersion

bei dir auf dem Exchange als Version und Build aus?

Gruß
Doskias

Sorry, ich nehme alles zurück. Heute ist nicht mein Tag... Es ging natürlich um das letzte Update, nicht das CU.

Jetzt nochmal von vorne. Ich mache es eigentlich immer so, dass ich ein aktuelles Backup der VM ziehe, den Virenscanner ausschalte/deaktiviere (Trend Mirco WFBS Advanced) und dann das Update einfach ausführe. Hat bisher problemlos funktioniert ;)

Grüße

Zitat von @Doskias:
auch nach 20 Jahren

Moin,
quasi mein Lieblingssatz zum Einstieg aller qualifizierten und zertifizierten Experten

Backup ist klar

1. Download
https://docs.microsoft.com/de-de/exchange/new-features/updates?view=exch ...
2. Entpacken auf Exchange Server
3. Setup ausführen

Den Rest macht das Setup allein, so war es bei uns CU19 zu CU20, und davor auch - fast schon dummy-sicher geworden.

Ok, gut. Das beruhigt mich jetzt

Also wirklich so unkompliziert wie ich es nach dem Einlesen einschätze.

Moin...

Zitat von @Doskias:

Hallo zusammen,

Also unterm Strich wäre dann mein Plan soweit ich es verstanden habe:
1. Backup des Servers und der DCs prüfen

nicht nur prüfen, sondern auch sichern..... am besten ist nach dem Backup die DB.s zu sichern (je nach datensicherung) falls du ein Recover machen musst!

Setup.exe /IAcceptExchangeServerLicenseTerms /Mode:RecoverServer

2. Mail-Dienste stoppen (Firewall und Server)

nur firewall..... lass die finger von dem rest

3. Snapshot des Exchange anfertigen

wozu das den, ein snapshot ist kein backup.... ohne wenn und aber!

4. .Net Framework 4.8 prüfen/installieren

genau...

5. Setup.exe /prepareAD und ggf. setup.exe /PrepareSchema

wozu? brauchst du nicht....

6. Server starten

wie. ist der nicht an ?

7. setup.exe /m:upgrade /IAcceptExchangeServerLicenseTerms

kannst du machen, darfst aber auch die setup.exe als administrator ausführen.....
evttl. vorher bitte den Defender bzw. AV usw... abschalten!!!!!!!

8. Abwarten

sowiso...

9. Neu starten
10. komplett durchpatchen

das wäre punkt 0 gewesen... bitte also auch vorher machen...

11. Neu starten

jo...

12. Serverdienste wieder starten

???? die starten in der regel von alleine... (besser ist das)

13. Verbindungen zum Server prüfen

ja... mit dem verbindungsprüfer

14. Mailfluss von außen in der Firewall wieder freigeben

15. Snapshots löschen

brauchst du nicht, da du keine gemacht hast, und eine ordentlich Datensicherung wirft keiner wech...

Hab da irgendwas übersehen oder sollte es so klappen?

mach das so, wie von mir beschrieben, ist echt kein drama

ich mach das gefühlte 5 mal am Tag

Gruß
Doskias

Frank

Zitat von @nachgefragt:

Zitat von @Doskias:
auch nach 20 Jahren

quasi mein Lieblingssatz zum Einstieg aller qualifizierten und zertifizierten Experten

Bin nicht zertifiziert, nur qualifiziert

Den Rest macht das Setup allein, so war es bei uns CU19 zu CU20, und davor auch - fast schon dummy-sicher geworden.

Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen

moin...

Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen

äh... ja... warum nicht? mach ich in sehr großen installationen nur so- wo ist dein problem?
Frank

Hallo Frank,

Danke für deine Ausführlichen antworten. Der Virenscanner wäre mir jetzt vermutlich durchgerutscht.

Was Backup und Snapshot angeht hast du natürlich recht. Ich mach im Regelfall beides, einfach aus Gewohnheit.

Die Mail-Dienste hätte ich jetzt gestoppt, damit die User nicht Mails an den Exchange schicken, die dann bei einem möglichen restore weg wären. mit deaktiviertem Transportdienst bleiben die im lokalen Outlook liegen. Daher der Punkt Serverdienste starten.

Punkt 0, komplett durchpatchen entfällt. der Exchange ist durchgepatched. Das bezog sich auf die Patches, die es für CU20 gibt und durch das derzeitige CU14 bislang nicht zur Verfügung standen.

Zitat von @Vision2015:

Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen

äh... ja... warum nicht? mach ich in sehr großen Installationen nur so- wo ist dein problem?

kein Problem, nur ein Vorgesetzter, der unbeaufsichtigte Serverneustarts und Installationen nicht gerne sieht

moin...

Zitat von @Doskias:

Zitat von @Vision2015:

Ach wenn das so ist, dann schreib ich dafür n Powershell-Skript und lass das Künftig per Taskplaner unbeaufsichtigt machen

äh... ja... warum nicht? mach ich in sehr großen Installationen nur so- wo ist dein problem?

kein Problem, nur ein Vorgesetzter, der unbeaufsichtigte Serverneustarts und Installationen nicht gerne sieht

jo... wenn man kein vertrauen in seine arbeit hat

Frank

moin...

Zitat von @Doskias:

Hallo Frank,

Danke für deine Ausführlichen antworten. Der Virenscanner wäre mir jetzt vermutlich durchgerutscht.

Was Backup und Snapshot angeht hast du natürlich recht. Ich mach im Regelfall beides, einfach aus Gewohnheit.

Die Mail-Dienste hätte ich jetzt gestoppt, damit die User nicht Mails an den Exchange schicken, die dann bei einem möglichen restore weg wären. mit deaktiviertem Transportdienst bleiben die im lokalen Outlook liegen. Daher der Punkt Serverdienste starten.

lass das... das setup macht das selber!

Punkt 0, komplett durchpatchen entfällt. der Exchange ist durchgepatched. Das bezog sich auf die Patches, die es für CU20 gibt und durch das derzeitige CU14 bislang nicht zur Verfügung standen.

ok.. äh was noch CU14... jetzt aber dalli

Frank

Zitat von @Vision2015:

Die Mail-Dienste hätte ich jetzt gestoppt, damit die User nicht Mails an den Exchange schicken, die dann bei einem möglichen restore weg wären. mit deaktiviertem Transportdienst bleiben die im lokalen Outlook liegen. Daher der Punkt Serverdienste starten.

lass das... das setup macht das selber!

Danke für die Aufklärung

Punkt 0, komplett durchpatchen entfällt. der Exchange ist durchgepatched. Das bezog sich auf die Patches, die es für CU20 gibt und durch das derzeitige CU14 bislang nicht zur Verfügung standen.

ok.. äh was noch CU14... jetzt aber dalli

Jupp. Ich bin noch kein Jahr da und gewisse Dinge hat mein Vorgänger an ein Systemhaus ausgegliedert, was sich offenbar um dieses Thema nicht regelmäßig gekümmert hat. Ich hatte bislang andere dringendere Dinge aufzuräumen, wird aber künftig ein regelmäßiger wiederkehrender Termin werden, so dass wir künftig stets ein supportetes CU im Einsatz haben.

So hab ein Backup gemacht, daraus folgt es ist alles problemlos verlaufen. Starte jetzt noch mal neu und dann ist Wochenende.

moin...

Zitat von @Doskias:

So hab ein Backup gemacht, daraus folgt es ist alles problemlos verlaufen. Starte jetzt noch mal neu und dann ist Wochenende.

PRIMA

Frank

German solved Question Exchange Server Microsoft

Hotly discussed

Wireguard with systemd and nftablesLinuxero - 9 Comments