Site icon Franky's Web

Exchange 2016: Kumulative Updates (CU) installieren

Frank Zöchling

Ich habe nun schon mehrere Mails mit Fragen zum Exchange 2016 Update Prozess bekommen. Es finden sich auch immer diverse Fragen in den Kommentaren zu Artikeln die auf Updates hinweisen. Daher gibt es hier jetzt ein kleines Howto, wie Exchange Updates installiert werden.

Was ist ein Kumulatives Update für Exchange?

Updates für Exchange werden als Kumulative Updates (CU) veröffentlicht, dass heißt konkret, alle bis zum Zeitpunkt der Veröffentlichung des CUs sind in dem Update Paket enthalten. Dabei handelt es sich immer um das komplette ISO für Exchange. Bestehende Exchange Installationen können mit dem CU aktualisiert, sowie auch Neuinstallationen durchgeführt werden. Von dieser Regelung ausgenommen sind Sicherheitsupdates die nach Bedarf veröffentlicht werden. Das nächste reguläre CU enthält dann wieder die zuvor veröffentlichen Sicherheitsupdates, wenn es welche gegeben hat.

Da ein CU immer die kompletten Installationsdateien umfasst ist es nicht notwendig CUs aufbauend zu installieren. Wenn zum Beispiel die Exchange Organisation mit CU2 läuft, muss nicht erst CU3, CU4 und danach CU5 installiert werden. CU3 kann direkt nach CU5 aktualisiert werden.

Reihenfolge

Bei einer größeren Exchange Organisation werden die Exchange 2016 Server in der folgenden Reihenfolge aktualisiert:

Update planen

Je nach Exchange Umgebung, müssen ein paar Sachen eingeplant oder beachtet werden.

Viele der Exchange CUs erfordern eine Aktualisierung des AD Schemas. In größeren Umgebungen sollte das Schema Update des Active Directory unabhängig von der Installation des CUs durchgeführt werden. Erst wenn alle Domain Controller repliziert sind, was in Umgebungen mit mehreren Domänen und mehreren Sites dauern kann, sollte das eigentliche CU installiert werden.

In Umgebungen mit nur einem Exchange Server muss ein entsprechendes Wartungsfenster eingeplant werden. In der Zeit in der das CU installiert wird, ist keine Verbindung mit dem jeweiligen Exchange Server möglich (SMTP, sowie Outlook und ActiveSync). Auch über eine Exit Strategie sollte sich Gedanken gemacht werden, wie Lange kann im Problemfall nach einer Lösung gesucht werden und was ist zu tun wenn keine Lösung gefunden wird (Wie komme ich zum letzten funktionsfähigen Stand zurück?)

In einer hochverfügbaren Umgebung ist der unterschiedliche Versionsstand der Exchange Server supported, allerdings sollte das Ziel sein, alle Exchange Server auf dem gleichen Patchlevel zu haben.

Zu den CUs werden in der Regel auch bekannte Probleme veröffentlicht, diese Probleme im Vorfeld zu kennen, kann viel Ärger ersparen, ebenfalls sollten die Berichte anderer Benutzer geprüft werden, ob es ggf. zu Problemen gekommen ist.

Vorbereitungen

Da die CU alle Exchange Installationsdateien enthalten, sind CUs relativ groß und brauchen je nach Bandbreite Zeit für den Download. Wer nur ein begrenztes Wartungsfenster hat, muss ja nicht unnötig Zeit für den Download verschwenden.

Da Exchange CUs auch Updates für das Active Directory Schema enthalten können, aber nicht zwangsweise müssen, ist es wichtig dass Sicherungen für Exchange und auch für das Active Directory vorliegen. Wenn mal etwas schief gehen sollte, will man nicht nur eine 8 Wochen alte Sicherung zu Hand haben.

Spezielle Einstellungen für Exchange, also Änderungen in der IIS web.config, Änderungen an der OWA Login Maske oder Einstellungen in der Registry werden vom Update Prozess ggf. überschrieben. Wenn solche Änderungen vorgenommen werden, sollten sie also dokumentiert und vorher gesichert werden.

Abgelaufene Zertifikate können dazu führen, dass der Update Prozess abbricht. Die Zertifikate sollten also unbedingt vorher überprüft werden.

Vor der Installation

Wenn das CU ein Schema Update erfordert, sollte es in Umgebungen mit mehreren Domains oder Domain Controller separat vom CU eingespielt werden. Zwar aktualisiert auch das Exchange Setup das Schema während der Installation, aber hier kann es bei größeren Umgebungen zu Problemen kommen. Das Schema kann wie folgt aktualisiert werden:

setup.exe /PrepareSchema /IAcceptExchangeServerLicenseTerms
setup.exe /PrepareAD /IAcceptExchangeServerLicenseTerms
setup.exe /PrepareDomain /IAcceptExchangeServerLicenseTerms

Der letzte Befehl muss nur ausgeführt werden, wenn es mehrere Active Directory Domänen gibt, gibt es nur eine Domain in dem Exchange installiert ist, reicht es den ersten und zweiten Befehl auszuführen. Wenn es mehrere AD Domänen gibt, muss der letzte Befehl in allen Domänen ausgeführt werden, die Postfächer oder Exchange Server enthalten.

Nachdem das Schema aktualisiert wurde, muss die Replikation des Active Directory abgewartet oder manuell durchgeführt werden.

Bevor die Installation gestartet wird, sollten alle Dienste von Drittanbieter Software (Backup Tools, Spamfilter die auf Exchange Servern installiert werden, VIRENSCANNER) gestoppt werden. Virenscanner sorgen in vielen Fällen während des Updates für Probleme oder verlängern den Update Prozess teilweise deutlich, daher unbedingt für die Dauer des Updates abschalten, auch den Windows Defender nicht vergessen. Der Windows Defender kann mit folgenden Befehl deaktiviert werden:

Set-MpPreference -DisableRealtimeMonitoring $true

Wenn noch ein Neustart des Servers aussteht, muss dieser vor dem Update durchgeführt werden, da sonst das Setup den Update Prozess nicht startet.

Da während des Updates diverse PowerShell Scripte ausgeführt werden, muss die PowerShell Execution Policy auf “Unrestricted” gestellt werden:

Get-ExecutionPolicy
Set-ExecutionPolicy Unrestricted

Der erste Befehl zeigt die aktuelle Execution Policy an, der zweite Befehl ändert die Execution Policy auf “Unrestricted”. Nach erfolger Installation kann der ursprüngliche Wert wieder gesetzt werden.

Des weiteren müssen vor der Installation eines CUs die UM-Sprachpakete deinstalliert werden, wenn UM-Sprachpakete nachinstalliert wurden. Nach der Installation können die jeweils passenden UM-Sprachpakete für das CU wieder installiert werden.

Installation

Wenn es nur einen Exchange Server gibt, dann kann meiner Meinung nach jetzt das Update einfach per Doppelklick auf setup.exe aus dem ISO gestartet werden.

In hochverfügbaren Umgebungen ist es etwas aufwändiger. Zunächst wird der Server der aktualisiert werden soll aus dem Loadbalancing Pool entfernt oder deaktiviert, sodass der Loadbalancer keine Verbindungen mehr zu dem Exchange Server schickt. Danach wird der Transport Dienst in den Wartungsmodus gesetzt und Mails aus der Warteschlange an einen verbleibenden Server umgeleitet:

Set-ServerComponentState FWEX1 –Component HubTransport –State Draining –Requester Maintenance
Redirect-Message -Server FWEX1 -Target FWEX2.frankysweb.local

Wenn der Server Mitglied einer DAG ist, kann nun auch der Wartungsmodus aktiviert werden und aktive Datenbanken auf einen anderen Server verschoben werden:

Suspend-ClusterNode –Name FWEX1
Set-MailboxServer FWEX1 –DatabaseCopyActivationDisabledAndMoveNow $true
Set-MailboxServer FWEX1 –DatabaseCopyAutoActivationPolicy Blocked

Jetzt kann kontrolliert werden ob keine Datenbanken mehr auf dem Exchange Server aktiv sind:

Get-MailboxDatabaseCopyStatus -Server FWEX1 | Where {$_.Status -eq "Mounted"}

Wenn keine Datenbanken mehr angezeigt werden, kann der Server offline geschaltet werden:

Set-ServerComponentState FWEX1 –Component ServerWideOffline –State InActive –Requester Maintenance

Da jetzt der Server im Wartungsmodus ist kann jetzt das Update entweder per Doppelklick auf setup.exe gestartet werden, oder direkt über die Shell:

setup /m:upgrade /IAcceptExchangeServerLicenseTerms

Wenn das Update erst einmal läuft, ist Zeit für Kaffee. CU5 für Exchange 2016 hat auf meinem recht schwachen Test-Exchange mit 12 GB RAM und 2 CPUs 90 Minuten benötigt. Eine halbe Stunde kann man aber eigentlich immer einplanen.

Nach der Installation

Nachdem das CU installiert wurde, können Virenscanner und sonstige Dienste wieder gestartet werden. Auch die PowerShell Execution Policy kann wieder auf den Standard Wert “Restricted” (Windows Server 2016) oder “RemoteSigned” (Windows Server 2012 R2) gestellt werden. Auch der Windows Defender kann wieder eingeschaltet werden:

Set-MpPreference -DisableRealtimeMonitoring $false

In hochverfügbaren Umgebungen muss jetzt natürlich auch wieder der Wartungsmodus abgeschaltet werden:

Set-ServerComponentState FWEX1 –Component ServerWideOffline –State Active –Requester Maintenance
Resume-ClusterNode –Name FWEX1
Set-MailboxServer FWEX1 –DatabaseCopyAutoActivationPolicy Unrestricted
Set-MailboxServer FWEX1 –DatabaseCopyActivationDisabledAndMoveNow $false
Set-ServerComponentState FWEX1 –Component HubTransport –State Active –Requester Maintenance

Spezielle Einstellungen wie Registry Werte, web.config oder Anpassungen am OWA Login Template müssen nach der Installation kontrolliert werden. Ebenfalls stehen jetzt die Funktionstests an, im wesentlichen handelt es sich dabei um folgende Überprüfungen / Tests:

In größeren Umgebungen:

Tipp

Erstellt euch ein Update Cookbook. Beim nächsten CU könnt ihr dafür alle nötigen Befehle die vor und nach der Installation ausgeführt werden dokumentieren. Auch alle Dienste und Programme die gestoppt wurden, können in dem Cookbook dokumentiert werden, sowie auch Probleme die aufgetreten sind. Gibt es zum Beispiel Programme die neu gestartet werden müssen, nachdem die Exchange Dienste nicht verfügbar waren, sollten diese ebenfalls dokumentiert werden. Für zukünftige Updates, kann dann einfach die Doku zu Hand genommen werden und alle nötigen Schritte schnell und nach Standard abgearbeitet werden. So kommt es auch zu deutlich weniger Problemen.

Update 27.3.2017: Informationen zum Abschalten des Windows Defenders und zum Prüfen der Datenbanken hinzugefügt.

Update 28.03.2017: Hinweis zum Deinstallieren der UM-Sprachpakete hinzugefügt

Exit mobile version