Jump to content
Melde dich an, um diesen Inhalt zu abonnieren  
axeon

KMU-Umgebung: Upgrade Win 2003 Einzelserver

Empfohlene Beiträge

Hallo zusammen,

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen.

 

Die Migration dieses Servers bereitet mir etwas Kopfzerbrechen - zumal die Auswirkungen auf die Clients so klein wie möglich sein sollen. Ein In-Place Upgrade ist ja aufgrund der 32-bit Version nicht möglich. Ich habe mir folgendes Szenario überlegt:

 

  • aktuelle Installation virtualisieren (Hostname = server01)
  • parallel Installation eines neuen temporären Servers mit der AD Rolle. AD replizieren
  • Installation eines weiteren Servers mit neuem Namen (z.B. server02, Vorbereitung aller zusätzlichen Rollen (z.B. DHCP, DNS, Fileserver, Printserver..)
  • Erstellung der Netzwerkfreigaben
  • Kopieren aller Daten von server01 auf server02
  • Shutdown server01
  • Rename server02 zu server01
  • Installation der AD Rolle auf server01
  • Shutdown temporärer Server

Kann dieser Ansatz funktionieren? Wie seid ihr bei Migrationen vorgegangen?

 

Danke,

Matthias

bearbeitet von axeon

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du wirst doch wahrscheinlich auch nen neuen Hardwareserver bekommen haben, oder? Also einfach als neuen DC mit in die Domain rein, alle Dienste und Daten übernehmen, den alten DC runterstufen, neuen DC umbenennen (wenn notwendig). Fertig.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

um wieviele User geht es dort? Mehr als zehn? Dann wäre ein zweiter DC eine gute Idee. Und dann wäre auch über eine Rollentrennung der Server nachzudenken.

Welche Funktionen und Rollen hat der Server denn? DC, File, Print - noch was? Exchange? SQL Server?

 

Das Virtualisieren des Quellservers würde ich mir sparen. Das erhöht nur das Risiko. Ich würde einen neuen Server mit aktuellem OS installieren und diesen als DC in die Domäne bringen. Dann würde ich DHCP neu einrichten (Migration ist in kleinen Netzen meist nicht nötig) und die Dateiserverdaten mit Robocopy kopieren. Drucker neu einrichten.

 

Die User bekommen ihr Logonskript geändert, damit es auf den neuen Server zeigt. Den Umstand mit dem Umbenennen würde ich mir sparen. Falls die User manuelle Mappings haben, wäre jetzt ein guter Zeitpunkt, das auf eine zentrale Lösung zu ändern (Logonskript, GPO, DFS-N oder was beliebt).

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast, die genauso sicher früher oder später aktiv sein wird, bzw. schon längst ist. Je nach dem wieviel dir bzw. deinem Chef die Umgebung Wert ist, würde ich bei der jetzigen Gelegenheit über einen kompletten Neubeginn und ein anderes Design nachdenken.

 

blub

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast

 

wie kommst du zu dieser Aussage?

 

Gruß, Nils

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

aus den ersten drei Sätzen:

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

aus den ersten drei Sätzen:

Und nur, weil er alle Rollen auf einem Server hat, hat er unweigerlich auch Schadsoftware auf dem Server?

 

Interessante Sichtweise.....

bearbeitet von P-a-x-i

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Kennst du die CIS-Controls? Das sind die 20 goldenen Standard-Regeln für eine sichere IT. Geschrieben von Security-Experten aus der weltweiten IT-Community.

 

Die Top 5 findest du hier:  https://www.cisecurity.org/critical-controls.cfm

oder komplett: https://www.cisecurity.org/critical-controls/Library.cfm

 

unter CSC 4:

 

 

Organizations that do not scan for vulnerabilities and proactively address discovered flaws face a significant likelihood of having their computer systems compromised. Defenders face particular challenges in scaling remediation across an entire enterprise, and prioritizing actions with conflicting priorities, and sometimes-uncertain side effects. 

 

Wie hoch der To oder sonst jemand die Restwahrscheinlichkeit einschätzt, bei einem seit Jahren ungepatchten 2003-Server nicht compomised zu sein, bleibt selbstverständlich jedem selbst überlassen. Ich bleibe bei meinen fast 100%  :)

Man kann sich in einem solchen Fall auch einen hochbezahlten CSM-Spezialisten

https://www.sans.org/reading-room/whitepapers/analyst/continuous-monitoring-is-needed-35030 holen, der sich die Umgebung vor dem Update ansieht. Für CSM gibt's geile und sogar kostenlose Werkzeuge! z.B. sguil  http://bammv.github.io/sguil/index.html

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin,

 

und ein Auto, das über den TÜV-Termin ist, hat automatisch technische Mängel?

 

Ich bin auch ein Anhänger davon, IT-Sicherheit ernst zu nehmen. Aber derartige Aussagen bewirken nach meiner Erfahrung das Gegenteil von dem, was man in guter Absicht meint. Nur weil ein Risiko besteht, nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 

Abgesehen davon, haben wir dem TO ja auch konkret empfohlen, die Daten und Applikationen auf neue Systeme zu migrieren.

 

Gruß, Nils

  • Like 1

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Schlag doch mal Begriffe wie SMB1.0 oder "End of Life" nach.

Dann schaust du vielleicht mal ab und an Nachrichten.

Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

Wenn nur ich davon ausgehen würde, wäre es vielleicht "totaler Humbug".

Nur wenn mit die angesehendsten Sicherheitsexperten weltweit (CSC/ SANS, etc.) eine "significant likelihood of having their computer systems compromised " sehen, wenn bekannte Sicherheitslücken nicht geschlossen werden, würde ich etwas leiser treten! Und  "significant likelhood" bezieht sich nur auf aktuelle, aber ungepatchte Systeme, nicht einmal auf EOL-Systeme wie Windows2003, die man schon lange nicht mehr patchen kann (Ich geh nicht davon aus, dass der TO das dafür notwendige Geld regelmäßig an MS überweist).   Was ist die Steigerung von "significant likelhood"? 99 bis 100%      

 

 nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 da fällt mir kein Gegenargument mehr ein.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Melde dich an, um diesen Inhalt zu abonnieren  

×