Zum Inhalt wechseln


Foto

KMU-Umgebung: Upgrade Win 2003 Einzelserver


  • Bitte melde dich an um zu Antworten
16 Antworten in diesem Thema

#1 axeon

axeon

    Newbie

  • 2 Beiträge

 

Geschrieben 17. Februar 2017 - 14:26

Hallo zusammen,

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen.

 

Die Migration dieses Servers bereitet mir etwas Kopfzerbrechen - zumal die Auswirkungen auf die Clients so klein wie möglich sein sollen. Ein In-Place Upgrade ist ja aufgrund der 32-bit Version nicht möglich. Ich habe mir folgendes Szenario überlegt:

 

  • aktuelle Installation virtualisieren (Hostname = server01)
  • parallel Installation eines neuen temporären Servers mit der AD Rolle. AD replizieren
  • Installation eines weiteren Servers mit neuem Namen (z.B. server02, Vorbereitung aller zusätzlichen Rollen (z.B. DHCP, DNS, Fileserver, Printserver..)
  • Erstellung der Netzwerkfreigaben
  • Kopieren aller Daten von server01 auf server02
  • Shutdown server01
  • Rename server02 zu server01
  • Installation der AD Rolle auf server01
  • Shutdown temporärer Server

Kann dieser Ansatz funktionieren? Wie seid ihr bei Migrationen vorgegangen?

 

Danke,

Matthias


Bearbeitet von axeon, 17. Februar 2017 - 14:27.


#2 NorbertFe

NorbertFe

    Expert Member

  • 29.495 Beiträge

 

Geschrieben 17. Februar 2017 - 14:33

Du wirst doch wahrscheinlich auch nen neuen Hardwareserver bekommen haben, oder? Also einfach als neuen DC mit in die Domain rein, alle Dienste und Daten übernehmen, den alten DC runterstufen, neuen DC umbenennen (wenn notwendig). Fertig.

Make something i***-proof and they will build a better i***.


#3 NilsK

NilsK

    Expert Member

  • 11.329 Beiträge

 

Geschrieben 17. Februar 2017 - 14:36

Moin,

 

um wieviele User geht es dort? Mehr als zehn? Dann wäre ein zweiter DC eine gute Idee. Und dann wäre auch über eine Rollentrennung der Server nachzudenken.

Welche Funktionen und Rollen hat der Server denn? DC, File, Print - noch was? Exchange? SQL Server?

 

Das Virtualisieren des Quellservers würde ich mir sparen. Das erhöht nur das Risiko. Ich würde einen neuen Server mit aktuellem OS installieren und diesen als DC in die Domäne bringen. Dann würde ich DHCP neu einrichten (Migration ist in kleinen Netzen meist nicht nötig) und die Dateiserverdaten mit Robocopy kopieren. Drucker neu einrichten.

 

Die User bekommen ihr Logonskript geändert, damit es auf den neuen Server zeigt. Den Umstand mit dem Umbenennen würde ich mir sparen. Falls die User manuelle Mappings haben, wäre jetzt ein guter Zeitpunkt, das auf eine zentrale Lösung zu ändern (Logonskript, GPO, DFS-N oder was beliebt).

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#4 Doso

Doso

    Board Veteran

  • 2.106 Beiträge

 

Geschrieben 17. Februar 2017 - 22:18

Mach bitte kein P2V eines 2003 Domain Controllers. Das kann eigtl. nur schief gehen...



#5 NorbertFe

NorbertFe

    Expert Member

  • 29.495 Beiträge

 

Geschrieben 17. Februar 2017 - 22:21

Vor allem ist es in dem Szenario schlicht überflüssig ;)

Make something i***-proof and they will build a better i***.


#6 blub

blub

    Moderator

  • 7.578 Beiträge

 

Geschrieben 18. Februar 2017 - 16:12

Hallo,

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast, die genauso sicher früher oder später aktiv sein wird, bzw. schon längst ist. Je nach dem wieviel dir bzw. deinem Chef die Umgebung Wert ist, würde ich bei der jetzigen Gelegenheit über einen kompletten Neubeginn und ein anderes Design nachdenken.

 

blub


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#7 NilsK

NilsK

    Expert Member

  • 11.329 Beiträge

 

Geschrieben 18. Februar 2017 - 16:17

Moin,

 

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast

 

wie kommst du zu dieser Aussage?

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#8 blub

blub

    Moderator

  • 7.578 Beiträge

 

Geschrieben 18. Februar 2017 - 16:20

aus den ersten drei Sätzen:

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen

Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#9 P-a-x-i

P-a-x-i

    Newbie

  • 142 Beiträge

 

Geschrieben 18. Februar 2017 - 20:10

aus den ersten drei Sätzen:

Und nur, weil er alle Rollen auf einem Server hat, hat er unweigerlich auch Schadsoftware auf dem Server?

Interessante Sichtweise.....

Bearbeitet von P-a-x-i, 18. Februar 2017 - 20:11.


#10 blub

blub

    Moderator

  • 7.578 Beiträge

 

Geschrieben 18. Februar 2017 - 20:47

Schlag doch mal Begriffe wie SMB1.0 oder "End of Life" nach.

Dann schaust du vielleicht mal ab und an Nachrichten.


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#11 tesso

tesso

    Board Veteran

  • 2.128 Beiträge

 

Geschrieben 18. Februar 2017 - 21:07

Trotzdem kann man daraus nicht ohne weiteres auch auf Schadsoftware schließen.

#12 blub

blub

    Moderator

  • 7.578 Beiträge

 

Geschrieben 18. Februar 2017 - 22:07

Kennst du die CIS-Controls? Das sind die 20 goldenen Standard-Regeln für eine sichere IT. Geschrieben von Security-Experten aus der weltweiten IT-Community.

 

Die Top 5 findest du hier:  https://www.cisecuri...al-controls.cfm

oder komplett: https://www.cisecuri...ols/Library.cfm

 

unter CSC 4:

 

 

Organizations that do not scan for vulnerabilities and proactively address discovered flaws face a significant likelihood of having their computer systems compromised. Defenders face particular challenges in scaling remediation across an entire enterprise, and prioritizing actions with conflicting priorities, and sometimes-uncertain side effects. 

 

Wie hoch der To oder sonst jemand die Restwahrscheinlichkeit einschätzt, bei einem seit Jahren ungepatchten 2003-Server nicht compomised zu sein, bleibt selbstverständlich jedem selbst überlassen. Ich bleibe bei meinen fast 100%  :)

Man kann sich in einem solchen Fall auch einen hochbezahlten CSM-Spezialisten

https://www.sans.org...is-needed-35030 holen, der sich die Umgebung vor dem Update ansieht. Für CSM gibt's geile und sogar kostenlose Werkzeuge! z.B. sguil  http://bammv.github....guil/index.html


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)


#13 NilsK

NilsK

    Expert Member

  • 11.329 Beiträge

 

Geschrieben 10:36 - Gestern

Moin,

 

und ein Auto, das über den TÜV-Termin ist, hat automatisch technische Mängel?

 

Ich bin auch ein Anhänger davon, IT-Sicherheit ernst zu nehmen. Aber derartige Aussagen bewirken nach meiner Erfahrung das Gegenteil von dem, was man in guter Absicht meint. Nur weil ein Risiko besteht, nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 

Abgesehen davon, haben wir dem TO ja auch konkret empfohlen, die Daten und Applikationen auf neue Systeme zu migrieren.

 

Gruß, Nils


  • DocData gefällt das

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#14 DocData

DocData

    Board Veteran

  • 1.115 Beiträge

 

Geschrieben 12:17 - Gestern

Schlag doch mal Begriffe wie SMB1.0 oder "End of Life" nach.
Dann schaust du vielleicht mal ab und an Nachrichten.


Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

Ein Wrack ist kein Ort, an dem ein Schatz schlummert...


#15 blub

blub

    Moderator

  • 7.578 Beiträge

 

Geschrieben 18:58 - Gestern

Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

Wenn nur ich davon ausgehen würde, wäre es vielleicht "totaler Humbug".

Nur wenn mit die angesehendsten Sicherheitsexperten weltweit (CSC/ SANS, etc.) eine "significant likelihood of having their computer systems compromised " sehen, wenn bekannte Sicherheitslücken nicht geschlossen werden, würde ich etwas leiser treten! Und  "significant likelhood" bezieht sich nur auf aktuelle, aber ungepatchte Systeme, nicht einmal auf EOL-Systeme wie Windows2003, die man schon lange nicht mehr patchen kann (Ich geh nicht davon aus, dass der TO das dafür notwendige Geld regelmäßig an MS überweist).   Was ist die Steigerung von "significant likelhood"? 99 bis 100%      

 

 nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 da fällt mir kein Gegenargument mehr ein.


Ein Kluger bemerkt alles, Ein Dummer macht über alles eine Bemerkung. (Heinrich Heine)