KMU-Umgebung: Upgrade Win 2003 Einzelserver

[axeon 10]

Hallo zusammen,

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen.

 

Die Migration dieses Servers bereitet mir etwas Kopfzerbrechen - zumal die Auswirkungen auf die Clients so klein wie möglich sein sollen. Ein In-Place Upgrade ist ja aufgrund der 32-bit Version nicht möglich. Ich habe mir folgendes Szenario überlegt:

 

• aktuelle Installation virtualisieren (Hostname = server01)
• parallel Installation eines neuen temporären Servers mit der AD Rolle. AD replizieren
• Installation eines weiteren Servers mit neuem Namen (z.B. server02, Vorbereitung aller zusätzlichen Rollen (z.B. DHCP, DNS, Fileserver, Printserver..)
• Erstellung der Netzwerkfreigaben
• Kopieren aller Daten von server01 auf server02
• Shutdown server01
• Rename server02 zu server01
• Installation der AD Rolle auf server01
• Shutdown temporärer Server

Kann dieser Ansatz funktionieren? Wie seid ihr bei Migrationen vorgegangen?

 

Danke,

Matthias

bearbeitet 17. Februar 2017 von axeon

[NorbertFe 2.094]

Du wirst doch wahrscheinlich auch nen neuen Hardwareserver bekommen haben, oder? Also einfach als neuen DC mit in die Domain rein, alle Dienste und Daten übernehmen, den alten DC runterstufen, neuen DC umbenennen (wenn notwendig). Fertig.

[NilsK 2.969]

Moin,

 

um wieviele User geht es dort? Mehr als zehn? Dann wäre ein zweiter DC eine gute Idee. Und dann wäre auch über eine Rollentrennung der Server nachzudenken.

Welche Funktionen und Rollen hat der Server denn? DC, File, Print - noch was? Exchange? SQL Server?

 

Das Virtualisieren des Quellservers würde ich mir sparen. Das erhöht nur das Risiko. Ich würde einen neuen Server mit aktuellem OS installieren und diesen als DC in die Domäne bringen. Dann würde ich DHCP neu einrichten (Migration ist in kleinen Netzen meist nicht nötig) und die Dateiserverdaten mit Robocopy kopieren. Drucker neu einrichten.

 

Die User bekommen ihr Logonskript geändert, damit es auf den neuen Server zeigt. Den Umstand mit dem Umbenennen würde ich mir sparen. Falls die User manuelle Mappings haben, wäre jetzt ein guter Zeitpunkt, das auf eine zentrale Lösung zu ändern (Logonskript, GPO, DFS-N oder was beliebt).

 

Gruß, Nils

[Doso 77]

Mach bitte kein P2V eines 2003 Domain Controllers. Das kann eigtl. nur schief gehen...

[NorbertFe 2.094]

Vor allem ist es in dem Szenario schlicht überflüssig ;)

[blub 115]

Hallo,

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast, die genauso sicher früher oder später aktiv sein wird, bzw. schon längst ist. Je nach dem wieviel dir bzw. deinem Chef die Umgebung Wert ist, würde ich bei der jetzigen Gelegenheit über einen kompletten Neubeginn und ein anderes Design nachdenken.

 

blub

[NilsK 2.969]

Moin,

 

In der beschriebenen Konstellation kannst du zu fast 100% davon ausgehen, dass du Schadsoftware auf dem Server hast

 

wie kommst du zu dieser Aussage?

 

Gruß, Nils

[blub 115]

aus den ersten drei Sätzen:

 

Bei einem KMU steht noch ein Win2003 Server, der nun endlich aktualisiert werden soll. Leider handelt es sich um die 32-bit Version. Zudem gibt es dort nur einen einzigen Server, auf dem alle wichtigen Rollen (AD, DHCP, DNS, Fileserver etc.) laufen

[P-a-x-i 12]

aus den ersten drei Sätzen:

Und nur, weil er alle Rollen auf einem Server hat, hat er unweigerlich auch Schadsoftware auf dem Server?

 

Interessante Sichtweise.....

bearbeitet 18. Februar 2017 von P-a-x-i

[blub 115]

Schlag doch mal Begriffe wie SMB1.0 oder "End of Life" nach.

Dann schaust du vielleicht mal ab und an Nachrichten.

[tesso 375]

Trotzdem kann man daraus nicht ohne weiteres auch auf Schadsoftware schließen.

[blub 115]

Kennst du die CIS-Controls? Das sind die 20 goldenen Standard-Regeln für eine sichere IT. Geschrieben von Security-Experten aus der weltweiten IT-Community.

 

Die Top 5 findest du hier:  https://www.cisecurity.org/critical-controls.cfm

oder komplett: https://www.cisecurity.org/critical-controls/Library.cfm

 

unter CSC 4:

 

 

Organizations that do not scan for vulnerabilities and proactively address discovered flaws face a significant likelihood of having their computer systems compromised. Defenders face particular challenges in scaling remediation across an entire enterprise, and prioritizing actions with conflicting priorities, and sometimes-uncertain side effects. 

 

Wie hoch der To oder sonst jemand die Restwahrscheinlichkeit einschätzt, bei einem seit Jahren ungepatchten 2003-Server nicht compomised zu sein, bleibt selbstverständlich jedem selbst überlassen. Ich bleibe bei meinen fast 100%  :)

Man kann sich in einem solchen Fall auch einen hochbezahlten CSM-Spezialisten

https://www.sans.org/reading-room/whitepapers/analyst/continuous-monitoring-is-needed-35030 holen, der sich die Umgebung vor dem Update ansieht. Für CSM gibt's geile und sogar kostenlose Werkzeuge! z.B. sguil  http://bammv.github.io/sguil/index.html

[NilsK 2.969]

Moin,

 

und ein Auto, das über den TÜV-Termin ist, hat automatisch technische Mängel?

 

Ich bin auch ein Anhänger davon, IT-Sicherheit ernst zu nehmen. Aber derartige Aussagen bewirken nach meiner Erfahrung das Gegenteil von dem, was man in guter Absicht meint. Nur weil ein Risiko besteht, nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 

Abgesehen davon, haben wir dem TO ja auch konkret empfohlen, die Daten und Applikationen auf neue Systeme zu migrieren.

 

Gruß, Nils

[DocData 85]

Schlag doch mal Begriffe wie SMB1.0 oder "End of Life" nach.

Dann schaust du vielleicht mal ab und an Nachrichten.

Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

[blub 115]

Entschuldigung, aber allein deswegen davon auszugehen, dass die Kiste versucht ist, ist totaler Humbug. Tut mir leid.

Wenn nur ich davon ausgehen würde, wäre es vielleicht "totaler Humbug".

Nur wenn mit die angesehendsten Sicherheitsexperten weltweit (CSC/ SANS, etc.) eine "significant likelihood of having their computer systems compromised " sehen, wenn bekannte Sicherheitslücken nicht geschlossen werden, würde ich etwas leiser treten! Und  "significant likelhood" bezieht sich nur auf aktuelle, aber ungepatchte Systeme, nicht einmal auf EOL-Systeme wie Windows2003, die man schon lange nicht mehr patchen kann (Ich geh nicht davon aus, dass der TO das dafür notwendige Geld regelmäßig an MS überweist).   Was ist die Steigerung von "significant likelhood"? 99 bis 100%      

 

 nur weil ein hohes Risiko besteht, ist doch noch kein Schaden eingetreten.

 da fällt mir kein Gegenargument mehr ein.