Zum Inhalt

08 Rollback-Plan

Grundregeln

  • Jede Änderung nur mit Backup vorab.
  • Backup-Namen mit Datum und Uhrzeit.
  • Keine Änderung ohne bekannten Rückweg.
  • Rollback wird pro Phase vorbereitet, nicht erst im Fehlerfall.

Backup-Namensschema

YYYYMMDD_HHMMSS_<system>_<objekt>_<aktion>.<ext>

Beispiele:

20260524_120000_unifi_site-default_pre-vlan-export.json
20260524_120000_proxmox_vm-309_pre-net-change.conf
20260524_120000_npm_proxy-hosts_pre-migration.json
20260524_120000_netbox_lindenstr_pre-change.json

Rollback UniFi

  1. Betroffene WLANs/Portprofile/VLANs auf Exportstand zurücksetzen.
  2. Switchport wieder auf altes Profil setzen.
  3. Firewall-Regeln auf Exportstand zurücksetzen.
  4. DHCP-Scope zurücksetzen.
  5. Client neu verbinden oder Lease erneuern.
  6. Erreichbarkeit über Alt-IP testen.

Rollback Proxmox VM/LXC

  1. Guest stoppen nur falls zwingend notwendig und freigegeben.
  2. Netzwerkkonfiguration aus Backup wiederherstellen.
  3. VLAN-Tag/Bridge zurücksetzen.
  4. Alte IP/Gateway/DNS setzen.
  5. Guest starten oder Netzwerk neu laden.
  6. Diensttest über alte IP.

Rollback DNS/DHCP

  1. Alte A-/CNAME-Records wiederherstellen.
  2. DHCP-Reservierung zurücksetzen.
  3. TTL beachten.
  4. DNS-Cache auf Testclient leeren.
  5. Anwendungstest durchführen.

Rollback NPM

  1. Proxy Host Backend-IP auf Alt-IP zurücksetzen.
  2. Zertifikate unverändert lassen.
  3. Host per internem und externem Namen testen.
  4. NPM Logs prüfen.

Rollback NetBox

  1. Keine produktiven NetBox-Änderungen ohne vorherigen Export.
  2. Bei Planobjekten Status auf deprecated oder Eintrag entfernen nur nach Freigabe.
  3. Keine IPAM-Daten löschen, solange Altbetrieb noch aktiv ist.

Rollback je Phase

Phase Rollback
1 Zielnetze neue VLANs deaktivieren/entfernen, keine produktiven Ports betroffen
2 Test-VLAN Test-Guest zurück ins alte Netz, Test-VLAN deaktivieren
3 unkritische Dienste einzelne Dienste auf Alt-IP/VLAN zurück
4 Serverdienste DNS/NPM/IP je Dienst zurück, Wartungsfenster verlängern
5 Endgeräte Portprofil/SSID zurück, DHCP Lease erneuern
6 Legacy Cleanup Legacy-Netz/DHCP/Regeln aus Backup wiederherstellen

Phase-1-Rollback-Stand 2026-05-24

Die vor Phase 1 erstellten UniFi-Exporte liegen lokal unter .backups/phase0_discovery_20260524_201636. Die angelegten neuen LS_*-Netze sind parallel und aktuell nicht produktiv an WLANs oder Switchports gebunden.

Rueckweg fuer den aktuellen Stand: 1. Keine Client-Ports oder WLANs auf die neuen VLANs umstellen. 2. Falls erforderlich, neu angelegte LS_*-Netze in UniFi einzeln wieder entfernen. 3. Bestehende Netze, WLANs, Portprofile und Firewall-Regeln unveraendert lassen. 4. Danach Integration-API-Export der Networks erneut ziehen und mit dem Vorher-Export vergleichen.

Phase-1-Nachzug 2026-05-25

Backup-/Exportstand vor dem Nachzug: .backups/phase1_followup_20260525_012054

Rueckweg fuer die Nachzugs-Aenderung: 1. LS_Mgmt, LS_Proxmox und LS_Server_Core in UniFi einzeln entfernen, falls der Nachzug zurueckgenommen werden muss. 2. LS_VPN_Remote nicht wieder als VLAN anlegen; VPN wird direkt in der UniFi-VPN-Konfiguration verwaltet. 3. Starlink auf VLAN 100 bleibt unveraendert, bis eine separate Freigabe zum Entfernen/Ersetzen vorliegt.

Phase-2/3-Rollback-Vorbereitung 2026-05-25

Phase 2 wurde fuer VLAN 220 getestet; produktive Dienste wurden noch nicht migriert. Fuer Phase 3 gelten folgende Zusatzregeln:

  1. Pro Monitoring-Guest vor der Migration Proxmox-Config und Snapshot/Backup pruefen.
  2. Nur einen Guest pro Wartungsblock migrieren.
  3. Alt-IP, Ziel-IP, DNS-Record, NPM-Backend und Monitoring-Checks vorab notieren.
  4. Bei Fehlern zuerst VLAN/IP des Guests zuruecksetzen, dann DNS/NPM zurueck auf Alt-IP.
  5. Zabbix ist migriert; Host-/Agentenliste bleibt nachzupflegen. Wazuh erst migrieren, wenn Agent-/Server-Kommunikation, Syslog, Enrollment und NPM-Backend im Ziel-VLAN getestet sind.
  6. MySpeed und Proxmox Backup Server nicht migrieren, bevor Dienstport und aktueller Dienststatus geklaert sind.