mcdaniels

vor 31 Minuten schrieb Sunny61:

Diese Dinge dachte ich, hast Du schon durch, für mich hatte sich dein erstes Posting so gelesen. ;) Aber schön wenn es weiter geht. ;)

Exakt das hatte ich noch nicht probiert... ;)

vor 30 Minuten schrieb NorbertFe:

Ich dachte, das hätte sich inzwischen rumgesprochen. ;)

wenn man nebst gefühlten 10.000 komplett anderen Supportdingen nur marginal und selten mit Servern zu tun hat, ist das oft nicht so. Lag auch daran, dass es echt gut lief mit div. Servern (es lief und lief und lief...).

Bis zu dem Zeitpunkt an dem MS offenbar dachte: "Qualitätskontrolle soll der User machen...."

EDIT: Diese Vorgangsweise scheint das Problem nun wider Erwarten gelöst zu haben: https://wiki.msp.exchange/troubleshooting/windows/windows_update/reset_windows_update_reboot_flag

Wobei ich den Server dennoch einstampfen werde, ist eh bald EOL (Server 2012).

Danke für eueren -wie immer hervorragenden - Input!

@sunny61: Danke!

vor 10 Minuten schrieb cj_berlin:

Ich würde niemals in einen an sich gesunden AD-Forest ein Backup, geschweige denn Snapshot, eines DC zurückspielen. Entfernen und neu hinzufügen, dauert genauso lange und bringt ein gesichertes Ergebnis, wenn man sauber arbeitet.

Alles klar, danke -- also ist das in dem Fall ein no-go (Backup oder Snapshot wiederherstellen). Gut zu wissen.

vor 12 Stunden schrieb cj_berlin:

füge irgendein harmloses Feature hinzu, boote und entferne es wieder. Hat hier schon 1000x bei diesem Phänomen geholfen. Der Fairness halber muss ich aber zugeben, dass der Erfolg nicht ganz 100%-ig war.

Geht leider auch nicht.

Sinngemäße Fehlermeldung: Auflistung der Features fehlgeschlagen, da der Server neu gestartet werden muss.

Ich liebe es...

vor 8 Stunden schrieb Sunny61:

Das ist IMO die beste Idee. :)

So werde ich es dann wohl machen. Sehr ärgerlich das Ganze, auch wenn der Server schon alt ist (von der Version her).

Ich hätte da noch eine kurze Frage bezüglich Restore: Was wäre, wenn es nicht so einfach möglich wäre, ihn zu demoten? Könnte ich da dann zb. ein Restore machen, bei dem das Update noch nicht eingespielt worden ist? (die ganze VM retour spielen). Bestenfalls einen eventuell vorhandenen Snapshot verwenden.

Bin mir da nicht ganz sicher wegen dem AD. Kommt sich dann da bzgl. AD etwas in die Quere, oder sorgt für Chaos? Soweit ich noch weiß, würde in dem Fall aber eh der noch laufende DC (mit allen FSMO) den wiederhergestellten DC "overrulen" und der Verzeichnisdienst am wiederhergestellten DC würde dann mit dem laufenden synchronisiert. Liege ich da richtig?

Danke!

Hallo zusammen,

ich hab leider wiedermal ein interessantes Problem mit einem Server 2012 (nicht R2), Domänencontroller, allerdings ohne Rollen, nur GC.

Der Versuch das cumulative security update für Oktober 2022 zu installieren schien zuerst zu funktionieren, jedoch zeigte die Updateverwaltung einen Fehler an. Mehrfache erneute Versuche brachten das Update dann so weit, dass es kein Fehler mehr angezeigt wurde.

Allerdings scheint der Server dennoch zu meinen, dass ein Neustart nötig ist, um das Update abzuschließen.

Selbst wenn ich jetzt 10x neu starte, bleibt mir diese Meldung erhalten. Ich habe nun lt. einem MS Artikel mal den c:\windows\softwaredistribution Ordner geleert. (Nach Stop des  Updatedienstes).

Wenn ich nun wieder nach Updates suche, erscheint die Meldung "Starten Sie den PC neu, um die Updateinstallation abzuschließen".

Auch dieses Spiel könnte ich unendlich weiter spielen. (loop)

Irgendwo hängt wohl noch drinnen, dass ein Restart fällig ist. Ich nehme an, in der Registry.

Der Server scheint allerdings problemlos zu laufen.

Was ich mich frage:

Der Pending restart, wird ja wohl nicht nur so zum Spaß angezeigt.

Kann man / soll man hier eventuell vorhandene Registryeinträge bzgl. des pending restart rausschmeissen.

Kennt ihr das Problem eventuell. Gerade bei 2012ern scheint dies immer wiedermal aufzutreten. (Pending Update Issue with Windows Server 2012 | Born's Tech and Windows World )

Ich frage mich, ob ich den 2012er nicht einfach demote und einstampfe und dann eine aktuelle Version als Ersatz verwenden sollte. Hoffentlich allerdings, haut das demoten hin.

Hallo,

ein kurzes Update zu diesem Thema: Das In-Place-Upgrade von Server 2012 auf 2016 und danach auf 2019 hat problemlos funktioniert. Es läuft nun rund 1,5 Wochen ohne Probleme.

Da haben wir wohl Glück ghabt.

Den Aufwand kann ich in Summe mit 4h vs ca. 2-3 Tage für die komplette Neuinstallation beziffern.

Muss natürlich nicht immer so laufen.

vor 9 Stunden schrieb djmaker:

Nimm doch die FW als externen DNS für deine internen DNS-Server. Die FW fragt dann den Provider DNS ab. Das hat den Vorteil das du DNS-Filter der FW verwenden kannst.

danke, muss ich mir anschauen!

Im Moment scheint das Löschen des DNS Caches etwas gebracht zu haben. Allerdings versteh ich die Sache immer noch nicht ganz, um ehrlich zu sein. Wie kann eine externe Anfrage überhaupt herein, wenn das per Firewallpolicy gar nicht möglich ist bzw. wie kann eine interne Abfrage dazu führen, dass derartige Logeinträge entstehen?

Danke für eure Antworten. Ihr habt das mit dem * korrekt interpretiert. Hier wechseln die Zeichen.

vor 2 Stunden schrieb zahni:

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst.

Ja er hat eine Weiterleitung auf die Provider DNS. Allerdings ist die (dachte ich) doch nur von intern nach extern. Sprich also, wenn er die Anfrage nicht selbst auflösen kann, geht er nach extern.

In dem Fall bekomm ich aber offenbar von extern DNS Anfragen herein (und das obwohl auf der Hardwarefirewall von extern (WAN) nach intern (LAN) keine Weiterleitung besteht.

Meinem Verständnis nach dürfte ja dann, selbst wenn der Server selbst Internet DNS macht, keine Anfrage von extern nach intern kommen.

Grundsätzlich ist dieses Verhalten jedenfalls auch aus eurer Sicht (interner DC) nicht normal. Das ist ja schonmal was ;)

Gerade eben schrieb zahni:

Bitte EventID und Quelle nennen.

Event ID 5504

Quelle: DNS-SERVER-SERVICE

Gerade eben schrieb zahni:

Vielleicht hat das WAN via UPD doch Zugriff?

Absolut ausgeschlossen. Es gibt keine Policy auf der Firewall, die einen Zugang von WAN nach LAN erlaubt.

Gerade eben schrieb zahni:

Persönlich würde ich DC's keinen Internetzugriff erlauben

Sehe ich auch so. Ist aber hier nicht der Fall.

Die Logs treten alle Sekunden auf. Und offenbar ist immer

0010: 65 7A 6F 6E 65 2D 64 6B ezone-*
0018: 0A 62 75 6E 6E 79 69 6E .bunnyin
0020: 66 72 61 03 6E 65 74 00 fra.net

involviert...

dort wo der * ist, variiert der Eintrag..

Gerade eben schrieb NorbertFe:

wie lautet denn die genaue Fehlermeldung?

hab ich jetzt oben ergänzt....

Was mich beschäftigt: Wieso fragt ein externer Server (irgendeiner) den internen DNS ab. Da stimmt doch was nicht....

Hallo,

ich stehe hier vor folgender Herausforderung:

Der DNS-Log eines Servers verweist immer wieder auf Verbindungen (DNS Abfragen) die lt. Logging des Servers von einer externen IP Adresse kommen und die mit dem internen Netzwerk nichts zu tun haben. Der Server selbst ist ein interner DC, der zwar von LAN nach WAN darf, jedoch hat das WAN keinen Zugriff auf diesen Server.

Er steht u.a. einem Linuxclient als LDAP Server (Userauthentifizierung) zur Verfügung.

Was ich mich frage ist, wie es sein kann, dass der Server laut Logging DNS Anfragen von externen IP Adressen bekommt (und das haufenweise). Gefällt mir gar nicht.

Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 157.53.226.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket
Der DNS-Server hat einen ungültigen Domänennamen in einem Paket von 185.120.23.xxx festgestellt. Das Paket wurde zurückgewiesen. Die Ereignisdaten enthalten das DNS-Paket.
usw.
usf.

Die Details sehen dann zb so aus:

In Bytes

0000: BF A9 84 00 01 00 01 00   ¿©.....
0008: 00 00 01 00 0B 65 64 67   .....edg
0010: 65 7A 6F 6E 65 2D 69 74   ezone-it
0018: 0A 62 75 6E 6E 79 69 6E   .bunnyin
0020: 66 72 61 03 6E 65 74 00   fra.net.
0028: 00 1C 00 01 C0 0C 00 01   ....À...
0030: 00 01 00 00 00 23 00 04   .....#..
0038: 54 11 3B 73 00 00 29 10   T.;s..).
0040: 00 00 00 00 00 00 00      .......

vor 2 Stunden schrieb mwiederkehr:

Falls das Upgrade funktioniert, lasst die Anwendungen von den externen Dienstleistern abnehmen, bevor ihr produktiv damit arbeitet. Wenn die Anwendungen nach der Installation auf Windows 2012 abgenommen wurde, darf man als Kunde zwar meist Windows Updates installieren, jedoch keine Upgrades auf neue Versionen durchführen. Im Zweifelsfall kann der Hersteller sonst den Support verweigern und ihr verliert wertvolle Zeit mit Diskussionen.

vor 2 Stunden schrieb NilsK:

Moin,

 

Ist es realistisch, dass irgendwer das "abnimmt"? Würden sie Hersteller nicht eher gleich darauf verweisen, dass sie das nicht unterstützen?

 

Gruß, Nils

vor 51 Minuten schrieb mwiederkehr:

Wenn der Dienstleister eine Abnahmeprozedur kennt und gleichzeitig nicht innert nützlicher Frist jemanden zur Neuinstallation stellen kann, halte ich es für möglich. Wenn jedoch ein Angebot zur zeitnahen Neuinstallation vorliegt und der Kunde "zu teuer, machen wir selbst" findet, dann eher weniger.

Die Vorgangsweise wurde mit den externen Dienstleistern abgesprochen. Und nein, es liegt kein Angebot vor

vor 12 Minuten schrieb Sunny61:

Und nach x Monaten knallt es dann, ihr sucht und sucht und stellt fest, eine saubere Neuinstallation wäre besser gewesen. Wenn es so eine komplexe Angelegenheit ist, ist IMHO alles andere als eine saubere Neuinstallation Murks und fällt dir in absehbarer Zeit auf die Füße. Ich wünsche es dir ausdrück nicht, die Erfahrung hat allerdings das Gegenteil gezeigt.

Ja, das ist ein Argument und das Szenario wäre suboptimal (und natürlich möglich).

Danke für den Input.

vor 2 Minuten schrieb NorbertFe:

Naja wenn das Ergebnis des inplace upgrades dann negativ ist, hast du also noch etwas mehr Zeit verplempert. ;) abgesehen davon;

Vorteil von inplace upgrades: es bleibt alles wie es war

Nachteil von inplace upgrades: es bleibt alles wie es war

 

 Vor allem die Standard Security Konfiguration unterscheidet sich ja dann doch zwischen 2012 und 2019 würde ich ohne Beleg behaupten. ;)

Absolut korrekt. Das Ergebnis kann aber durchaus auch positiv sein.

Abgesehen davon: Wenn wir das demnächst probieren und es schief geht, dann spielen wir den Snapshot retour & koordinieren entsprechende Termine mit den Externen für die komplette Neukonfiguration/Installation. (Das dauert ohnehin Wochen, bis da jemand Zeit hat -- ein Tag auf oder ab ist da auch schon völlig egal).

vor 24 Minuten schrieb cj_berlin:

Moin,

 

das ist ein Downgrade*recht*, nicht eine Downgrade*befähigung*. Und Du brauchst für den Zwischenschritt keinen Key, eine nicht aktivierte Version läuft 120 Tage. Datenträger allerdings schon. Wenn Du dir nicht selbst helfen kannst, haben OEMs meistens ROK-Kits mir Installationsmedien für ca. 30-40 Euro im Angebot.

 

Allein in der Zeit, die diese Diskussion und das Lesen der PURs Dich beschäftigt haben, wärest Du schon halb mit dem Neuaufbau fertig.

Servus, danke!

Die Info mit dem Key (bzw. dass es auch ohne Key möglich ist den Upgradepfad durchzuziehen) war für mich wichtig, danke!

Nein, wir wären nicht mit dem Neuaufbau fertig. (ich eiere ja nicht so zum Spaß um dieses Thema rum ).Das ist ein Server auf dem Spezialanwendungen laufen, die (wenn) dann von externen Dienstleistern (von mehreren) neu installiert werden müssten. Deshalb versuchen wir ja auch diesen Weg zu gehen (es zumindest zu testen). Da es eine VM ist, ist das recht unproblematisch (Snapshot).

vor 12 Stunden schrieb NorbertFe:

 

Dann hier was für deine Wissenserweiterung: https://download.microsoft.com/download/3/D/4/3D42BDC2-6725-4B29-B75A-A5B04179958B/Licensing_brief_PLT_Downgrade_Rights.pdf

Ob es ein Downgrade Recht für deine Lizenz gibt, kannst du nur durch Lesen der Bestimmungen deiner Lizenz rausfinden. :)

Danke mal bis hierher.... Lt. der PDF heißt es bzgl. Server-OEMs, dass Serverversionen nach Server 2003 R2 ein Downgraderecht besitzen. Allerdings (wie du schon sagst), muss man in der OEM Lizenz des Produkts nachlesen.

Sofern man downgraden darf: Welchen Key nimmt man denn da dann für das Downgrade in so einem Fall. Da hab ich ja quasi die "downgegradede Version" nur als Zwischenschritt installiert, um dann final auf die gekaufte Version upzugraden.

Jetzt lese ich gerade: Auch der Datenträger für die Nutzung älterer Versionen ist nicht enthalten (ist klar) ABER: für die Installation wird daher ein Datenträger und Key der alten Version vorausgesetzt.

Ich nehm mal an, das stimmt so. Dann jedoch, ist es ja absurd, denn dann hätte ich die Version ja eh zur Verfügung, die ich als Zwischenschritt brauche und müsste de facto gar nichts downgraden.

vor 13 Minuten schrieb NorbertFe:

Musst du doch wissen. :) Schau doch in die PURs deiner Lizenz.

Also meines Wissens geht das nur mit Volumenlizenzen.

vor 2 Minuten schrieb NorbertFe:

Wieso? Hat deine 2019 kein Downgrade Recht?

Hat man mit DSP Lizenzen ein Downgraderecht?

vor 3 Stunden schrieb NorbertFe:

Du kannst auch auf 2012R2 und von dort auf 2019 gehen. Falls dir das helfen würde. Warum soll DSP da jetzt ein Problem darstellen? Du hast ja so oder so nicht die 2016, oder? Die müßtest du dann schon irgendwie zumindest temporär besorgen.

Dafür müsste ich R2 haben die Lizenz mein ich. 2016 hab ich nicht, nein.

vor 2 Stunden schrieb zahni:

Zumal der installierten Lösungen oft auch uralt sind und möglicherweise nicht für 2019 freigegeben sind.

Bei einer VM kann man sowas immer mal probieren (Snapshots), bei Physik braucht man eine funktionierende Backup-/ und Restore-Lösung. Vor allen Dingen muss man wissen, ob das Restore auch funktioniert.

 

Ist eine VM. Snapshots sind kein Problem.

Hallo zusammen,

wir betreiben hier u.a. einen noch 2012 (nicht R2) Memberserver und würden selbigen gerne auf Server 2019 aktualisieren. Eine Neuinstallation soll nur durchgeführt werden, wenn dies unumgänglich ist. (Es laufen einige sehr wichtige Services da drauf, deren Installation und Konfiguration einige Zeit in Anspruch nehmen würde, wenn der Server neu aufgesetzt werden müsste).

Wenn man nur eine freie 2019er DSP Lizenz (nicht Volumenlizenz) hat, gibt es hier eine Möglichkeit von 2012 auf 2016 und dann auf 2019 zu kommen, ohne eine 2016er Lizenz haben zu müssen? Der direkte Weg von 2012 auf 2019 ist ja meines Wissens nicht supported.

Danke!

vor 3 Minuten schrieb v-rtc:

Wieso nicht? Erleichtert doch vieles selbst in kleinen Umgebungen 

ich habs ja nicht ausgeschlossen. ;) Dennoch gibts noch derartige Konstellationen & hätte mich halt interessiert, wie man hier vorgeht.

vor 4 Minuten schrieb NorbertFe:

Das wird im nächsten CU enthalten sein (vermutlich). :) Deswegen heißen die Dinger ja so.

einen kleinen WSUS installieren :)

der war gut ;)

vor 5 Minuten schrieb NorbertFe:

Wenn WSUS im EInsatz ist, einfach die Updates dort importieren und machen lassen. :)

ok ;)

Wie geht man aber vor, wenn man eine kleine Umgebung ohne WSUS hat?