Server haben Eigenleben bei Installation von Updates

[Emmermacher 15]

Hallo.

Sorry für meine späte Antwort. Wir sind hier gerade dabei, ein reichlich intensives Troubleshooting durchzuführen.

Nachdem einige Netzwerkprobleme beseitigt worden, gab und gibt es noch Schwierigkeiten bei Replikation der ADs zwischen unseren Standorten. Automatisch laufen die Replikationen innerhalb der Standorte, aber nicht dazwischen. Auf mehreren DCs haben wir die Maschinenkennwörter zurück gesetzt. Einen DC (2008 R2, Betriebsmaster) haben wir heraus genommen. Neuer Betriebsmastern ist jetzt ein 2k16. Die DCs der Außenstelle haben diese Änderung nicht mit bekommen. Netzwerktechnisch können alle DCs auf den Ports 88, 135, 389, 636, 3268 und 3269 kommunizieren.

Die DNS-Einstellungen wurden auch überprüft und einige Einstellungen angepasst.

 

LG

 

Dirk

[Emmermacher 15]

Hallo zusammen.

Mach ziemlich viel Troubleshooting läuft das Ganze immer noch nicht sauber. Die Netzwerkverbdindungen zwischen den Standorten wurden überprüft. Hier hat sich gezeigt, das einige Portfreigaben nicht wie erwartet liefen. Das ist korrigiert.

Aktuell gibt es jetzt noch 5 DCs. Davon noch zwei 2008 R2, die bald außer Betrieb gehen werden. Vorher sollte das AD aber sauber laufen.

In dem ganzen Konstrukt habe ich noch ein paar Probleme gefunden.

Im DNS-Server tauchen unter _msdcs.meine.domain und meine.domain immer wieder doppelte Einträge auf. Ich gehe mal davon aus, das Einträge wie _ldap, _kerberos, etc immer nur einmal auftreten.

Bei Einträgen mit Datumsstempel lösche ich die älteren Einträge. Bei Einträgen, bei denen der Zeitstempel aud Static steht, wird es kniffelig.

Sind doppelte Werte hier normal, auch wenn diese meiner Meinung nach überflüssig sind?

 

Abfragen mit dem AD Replication Staus Tool zeigen auf einem der Server immer wieder Verbindungsfehler an.

Ich versuche mal, die Rerplikation darzustellen:

 

Standort 1 mit DC1, DC2 und DC3

DC1 repliziert mit DC2, DC2 und DC4

DC2 mit DC1 und DC3

DC3 mit DC1 und DC2

 

Standort 2 mit DC4 und DC5

DC4 mit DC1 und DC5

DC5 mit DC4

 

Alles automatisch generierte Werte.

Hier würde ich eigentlich erwarten, das von DC 2 oder DC3 noch eine Verbindung zu DC5 haben müsste.

DC5 sollte dann nocht eine Verbindung zum Standort 1 haben.

 

Könnte das hier eventuell helfen: https://support.microsoft.com/de-de/help/4496901/windows-dns-registers-duplicate-srv-records-for-a-dc

 

Bleibt gesund!

 

Dirk

 

 

bearbeitet 26. Mai 2020 von Emmermacher

[daabm 1.366]

AD bildet immer Bridgehead Server pro Standort, die dann die Inter Site Replikation abwickeln. Bringt ja nix, wenn DC5 den DC1 am anderen Standort fragt, wenn DC4 am gleichen Standort es schon weiß

Was meinst Du genau mit "doppelte Einträge im DNS"?

[Emmermacher 15]

Hallo @daabm

z.B. unter _msdc.meine.domain -> dc ->sites -> Standort 1 -> tcp habe ich für _kerberos 3 Einträge (ist korrekt) und für _ldap 4 Einträge. Ein DC taucht hier mit Groß-und Kleinschreibung auf.

Unter  _msdc.meine.domain -> dc ->sites -> Standort 2 -> tcp sollte es nur 2 je Einträge für _kerberos und _ldap geben. Bei _kerberos sind es 3 und für _ldap 4 Einträge.

_msdc.meine.domain -> dc ->sites -> _tcp sind auch mehr Einträge als Server vorhanden.

Solche doppelten Einträge sind auch unter meine.domain _sites usw. zu finden.

 

LG

 

Dirk

[Emmermacher 15]

Hallo

Mittlerweile habe ich die Updates vom April auf den 2016er DCs installiert. Den Regkey 

RegistrierungseintragDnsSrvRecordUseLowerCaseHostNames

RegistrierungsunterschlüsselHKLM\Software\Policies\Microsoft\Netlogon\Parameters

DatentypREG_DWORD

value = 1

habe ich manuell erstellen müssen. Den Schlüssel Netlogon existierte noch nicht. Hier werde ich erst mal abwarten, was alles bereinigt wird.

 

LG

 

Dirk

[Sunny61 809]

vor 21 Minuten schrieb Emmermacher:

Mittlerweile habe ich die Updates vom April auf den 2016er DCs installiert.

Weshalb April? Wir haben Mai. Da es kumulative Updates sind, reicht immer das letzte CU aus.

[Emmermacher 15]

Hallo @Sunny61.

Das waren die letzten Server, auf denen noch die April-Updates fehlen. Die Updates vom Mai gibt es demnächst. Ohne Testumgebung warte ich lieber ein paar Wochen, bevor ich Updates freigebe. Das war schon häufiger ein gute Idee, bei den Updates zu warten...  Vorsicht ist halt besser als Nachsicht.

 

Schönen Feierabend :)

 

Dirk

[NorbertFe 2.089]

vor 17 Stunden schrieb Emmermacher:

Vorsicht ist halt besser als Nachsicht.

Hmm genau. ;) weil ja nie Probleme durch „nicht patchen“ entstehen. ;)

[Sunny61 809]

Es ist gefühlt 100 Jahre her, dass es Probleme mit Updates für Windows Server gab.

[MurdocX 957]

Auch ich kann für unsere Windows Server Palette nur bestätigen, dass wir schon länger keine Probleme mehr mit Updates hatten. Ich hab den WSUS bei uns automatisiert. Damit läuft das Thema nur noch nebenbei.

[Emmermacher 15]

@NorbertFe @Sunny61 @MurdocX

Hallo.

Danke für Eure Kommentare. Irgenwie sträubt sich bei mir ziemlich viel, alle Updates automatisch freizugeben. Bei Citrix-Maschinen halte ich mich an die Empfehlungen des Herstellers.

Die Server mögen zwar so nicht unbedingt die sichersten sein, dafür laufen die dann.

Bei Windows 10 werde ich auch bei manuell bleiben. Hier gab es immer wieder Probleme. 

Abwarten hat hier manches Problem erst gar nicht entstehen lassen. 

 

Übrigens hat das AD im DNS noch nicht alle Uppercase-Einträge entfernt. Hier werde ich mich noch in Geduld üben.

 

LG

 

Dirk

[MurdocX 957]

vor 10 Minuten schrieb Emmermacher:

Irgenwie sträubt sich bei mir ziemlich viel, alle Updates automatisch freizugeben.

Es steht Dir auch frei, wie du das machen möchtest. Ein Eindruck von Anderen, kann zur Unterstützung der eigenen Einschätzung beitragen.  

[Emmermacher 15]

Hi @MurdocX Generell hast Du recht. Irgendwie waren die Updates bei älteren Betriebssystemen gefühlt besser. Da kann ich aber auch falsch liegen...

 

LG 

 

Dirk

[mwiederkehr 384]

Ich sehe das recht pragmatisch und zähle mich weder zur "alle Updates sofort installieren, sonst ist man so gut wie gehackt"- noch zur "nicht anfassen, solange es läuft"-Fraktion. Ich informiere mich zeitnah über behobene Sicherheitsprobleme. Behebt ein Update ein kritisches Problem im Browser oder der Bildvorschau, wird es auf den Terminalservern sofort installiert. Nicht aber auf den Hyper-V-Hosts, denn auf denen surft niemand im Internet.

 

Für Linux habe ich den Debian-Security-Newsletter abonniert. Wenn dort steht, dass ein Apache-Patch ein Problem in einem Modul behebt, welches ich nicht aktiviert habe, schreckt mich das nicht auf.

 

Selbstverständlich installiere ich die Updates auch auf nicht direkt gefährdeten Servern, aber da zum Beispiel nicht auf allen Hyper-V im Cluster am gleichen Tag.

 

Zum Thema "keine Probleme": auf Servern, auf denen nur Windows-Dienste laufen, gab es die letzten Jahre tatsächlich so gut wie keine Probleme. Citrix ist aber ein Spezialfall und beim Exchange ist man auch froh, wenn nicht eines Morgens ein neues .NET Framework installiert ist...

[NorbertFe 2.089]

vor 5 Stunden schrieb mwiederkehr:

wenn nicht eines Morgens ein neues .NET Framework installiert ist...

Exchange ist tatsächlich eine der wenigen Ausnahmen die ich nicht automatisch patche. Auch SharePoint und sql wäre so eine Sache. ;)