Jump to content

KMU-Umgebung: Upgrade Win 2003 Einzelserver


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen.

 

Die Migration dieses Servers bereitet mir etwas Kopfzerbrechen - zumal die Auswirkungen auf die Clients so klein wie möglich sein sollen. Ein In-Place Upgrade ist ja aufgrund der 32-bit Version nicht möglich. Ich habe mir folgendes Szenario überlegt:

 

  • aktuelle Installation virtualisieren (Hostname = server01)
  • parallel Installation eines neuen temporären Servers mit der AD Rolle. AD replizieren
  • Installation eines weiteren Servers mit neuem Namen (z.B. server02, Vorbereitung aller zusätzlichen Rollen (z.B. DHCP, DNS, Fileserver, Printserver..)
  • Erstellung der Netzwerkfreigaben
  • Kopieren aller Daten von server01 auf server02
  • Shutdown server01
  • Rename server02 zu server01
  • Installation der AD Rolle auf server01
  • Shutdown temporärer Server

Kann dieser Ansatz funktionieren? Wie seid ihr bei Migrationen vorgegangen?

 

Danke,

Matthias

bearbeitet von axeon
Link zu diesem Kommentar

Moin,

 

um wieviele User geht es dort? Mehr als zehn? Dann wäre ein zweiter DC eine gute Idee. Und dann wäre auch über eine Rollentrennung der Server nachzudenken.

Welche Funktionen und Rollen hat der Server denn? DC, File, Print - noch was? Exchange? SQL Server?

 

Das Virtualisieren des Quellservers würde ich mir sparen. Das erhöht nur das Risiko. Ich würde einen neuen Server mit aktuellem OS installieren und diesen als DC in die Domäne bringen. Dann würde ich DHCP neu einrichten (Migration ist in kleinen Netzen meist nicht nötig) und die Dateiserverdaten mit Robocopy kopieren. Drucker neu einrichten.

 

Die User bekommen ihr Logonskript geändert, damit es auf den neuen Server zeigt. Den Umstand mit dem Umbenennen würde ich mir sparen. Falls die User manuelle Mappings haben, wäre jetzt ein guter Zeitpunkt, das auf eine zentrale Lösung zu ändern (Logonskript, GPO, DFS-N oder was beliebt).

 

Gruß, Nils

Link zu diesem Kommentar

Hallo,

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast, die genauso sicher früher oder später aktiv sein wird, bzw. schon längst ist. Je nach dem wieviel dir bzw. deinem Chef die Umgebung Wert ist, würde ich bei der jetzigen Gelegenheit über einen kompletten Neubeginn und ein anderes Design nachdenken.

 

blub

Link zu diesem Kommentar

Kennst du die CIS-Controls? Das sind die 20 goldenen Standard-Regeln für eine sichere IT. Geschrieben von Security-Experten aus der weltweiten IT-Community.

 

Die Top 5 findest du hier:  https://www.cisecurity.org/critical-controls.cfm

oder komplett: https://www.cisecurity.org/critical-controls/Library.cfm

 

unter CSC 4:

 

 

Organizations that do not scan for vulnerabilities and proactively address discovered flaws face a significant likelihood of having their computer systems compromised. Defenders face particular challenges in scaling remediation across an entire enterprise, and prioritizing actions with conflicting priorities, and sometimes-uncertain side effects. 

 

Wie hoch der To oder sonst jemand die Restwahrscheinlichkeit einschätzt, bei einem seit Jahren ungepatchten 2003-Server nicht compomised zu sein, bleibt selbstverständlich jedem selbst überlassen. Ich bleibe bei meinen fast 100%  :)

Man kann sich in einem solchen Fall auch einen hochbezahlten CSM-Spezialisten

https://www.sans.org/reading-room/whitepapers/analyst/continuous-monitoring-is-needed-35030 holen, der sich die Umgebung vor dem Update ansieht. Für CSM gibt's geile und sogar kostenlose Werkzeuge! z.B. sguil  http://bammv.github.io/sguil/index.html

Link zu diesem Kommentar

Moin,

 

und ein Auto, das über den TÜV-Termin ist, hat automatisch technische Mängel?

 

Ich bin auch ein Anhänger davon, IT-Sicherheit ernst zu nehmen. Aber derartige Aussagen bewirken nach meiner Erfahrung das Gegenteil von dem, was man in guter Absicht meint. Nur weil ein Risiko besteht, nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 

Abgesehen davon, haben wir dem TO ja auch konkret empfohlen, die Daten und Applikationen auf neue Systeme zu migrieren.

 

Gruß, Nils

Link zu diesem Kommentar

Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

Wenn nur ich davon ausgehen würde, wäre es vielleicht "totaler Humbug".

Nur wenn mit die angesehendsten Sicherheitsexperten weltweit (CSC/ SANS, etc.) eine "significant likelihood of having their computer systems compromised " sehen, wenn bekannte Sicherheitslücken nicht geschlossen werden, würde ich etwas leiser treten! Und  "significant likelhood" bezieht sich nur auf aktuelle, aber ungepatchte Systeme, nicht einmal auf EOL-Systeme wie Windows2003, die man schon lange nicht mehr patchen kann (Ich geh nicht davon aus, dass der TO das dafür notwendige Geld regelmäßig an MS überweist).   Was ist die Steigerung von "significant likelhood"? 99 bis 100%      

 

 nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 da fällt mir kein Gegenargument mehr ein.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...