Bundesamt für Sicherheit in der Informationstechnik

M 4.317 Sichere Migration von Windows Verzeichnisdiensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Administrator

Im Zuge verbesserter Funktionalitäten, erhöhter Sicherheit, größerer Kompatibilität und der Herstellerunterstützung ist eine Migration vorhandener Windows NT 4.0 Server-Strukturen auf Windows 2000 Server bzw. Windows Server 2003 (zusammenfassend im Folgenden Windows-Server genannt) ratsam. Mit Windows 2000 Server sind Leistungsmerkmale und Sicherheitsfunktionalitäten gegenüber Windows NT 4.0 Server erheblich verbessert worden. Daher sollte eine Migration in Erwägung gezogen werden. Im Vorfeld sind hierzu in einer Planungsphase zu klären,

  • welche Server/Dienste konsolidiert werden können,
  • ob die verwendete (Ziel-)Hardware ausreichend leistungsfähig ist und den erhöhten Systemanforderungen genügt,
  • ob die innerhalb des Netzes erforderlichen Dienste mit der neueren Software kompatibel sind (Protokolle, Rechte etc.).

Unter Windows 2000 Server bereits verfügbare Funktionalitäten, z. B. DNS und Active Directory, werden durch die Migration auf Windows Server 2003 entsprechend erweitert. Generell sollte eine Migration zunächst in einer Testumgebung durchgeführt werden, um aufgrund der daraus resultierenden Ergebnisse eine möglichst optimale Migration des Produktiv-Systems gewährleisten zu können.

Einsatz von DNS

Zu beachten ist, dass mit Einführung der Active-Directory-Funktionalität die Namensauflösung innerhalb des Netzes mittels DNS durchgeführt wird und damit die unter Windows NT 4.0 verwendete WINS (Windows Internet Name Service) NetBIOS Funktion abgelöst wird. Daraus ergibt sich die Anforderung, für das migrierte Netz den DNS-Dienst zur Verfügung zu stellen. Für weiterführende Informationen diesbezüglich empfiehlt sich der Herstellerartikel Deploying Domain Name System im Microsoft TechNet-Bereich (http://technet.microsoft.com).

Gruppen-Richtlinien

Gegenüber den bei Windows NT 4.0 verwendeten System-Richtlinien steht unter Windows-Server eine Erweiterung mittels Gruppen-Richtlinien zur Verfügung, die eine umfangreichere Verwaltung der Objekte innerhalb der Active Directory Struktur ermöglicht. Aus diesem Grunde sind die unter Windows NT 4.0 verwendeten administrativen Vorlagen, welche nach der Migration weiterhin erforderlich sind, entsprechend in das Gruppen-Richtlinien-Konzept zu übernehmen und unter Umständen anzupassen.

Migrationseinschränkungen

Während der Migrationsphase des Primären Domänen-Controllers (PDC) steht dieser nicht zur Verfügung, so dass clientseitig durchgeführte Anmeldungen und Ressourcenzugriffe über den Backup Domänen-Controller ( BDC ) laufen. Während der Migrationsdauer sind domänenspezifische Änderungen wie Passwort-Wechsel oder die Erstellung neuer Benutzerkonten nicht möglich. Nach erfolgter Migration des PDCs können sich die im Netz vorhandenen Windows-2000/XP-Clients nur noch an den vorhandenen Windows-Server Domänen-Controllern anmelden, so dass eine zeitnahe Migration der verbleibenden Windows-NT-4.0-Domänen-Controller empfohlen wird. Des Weiteren sollte die sogenannte prä-Windows-2000-Kompatibilität aufgrund der erhöhten Funktionalität und der Vermeidung des anonymen Auslesens von Domäneninformationen deaktiviert werden, sobald innerhalb des Netzes keine entsprechende Abwärtskompatibilität diesbezüglich mehr erforderlich ist, zum Beispiel für Remote Access Services (RAS).

Upgrade-Prüfung

Im weiteren Installationsprozess wird das Active Directory eingerichtet und dabei die Objekte der Windows NT Security-Account-Manager-Datenbank (SAM-Datenbank) in die Active-Directory-Datenbank verschoben. Im Nachgang ist der Upgrade-Prozess hinsichtlich seiner erfolgreichen Durchführung zu testen und zu bewerten, bevor eine Abschaltung der bestehenden Windows NT 4.0-Struktur erfolgen kann. Eine detailgenaue Aufschlüsselung der zu prüfenden Komponenten hinsichtlich der korrekt umgesetzten Konfiguration und Funktion kann den Hilfsmitteln zum IT-Grundschutz (siehe Prüfung der migrierten Verzeichnisdienst-Datenbank in Hilfsmittel zum Active Directory) entnommen werden.

Nach erfolgter Migration des PDCs und ausführlicher Funktionstests sind die verbleibenden Windows-NT-4.0-Domänen-Controller ebenfalls zu migrieren. Auch hierbei ist im Vorfeld zu prüfen, ob diese den Systemanforderungen entsprechen. Aufgrund der Vorplanung werden an dieser Stelle die Serverrollen, wie z. B. Mitgliedsserver oder zusätzlicher Domänen-Controller, festgelegt, welche nach Einrichtung ebenfalls ausführlicher Tests zu unterziehen sind.

Aktualisierung der Server-Umgebung

Um den erweiterten Funktionsumfang insbesondere im Bereich der Active-Directory-Verwaltung von Windows-Server nutzen zu können, sollte in finaler Instanz eine Aktualisierung der Serverumgebung erfolgen. Hierbei ist jedoch zu beachten, dass ältere Versionen als die auf dem aktuellen System nach einer Systemaktualisierung nicht mehr unterstützt werden.

Prüffragen:

  • Wird die Migration des Windows Verzeichnisdienstes geplant?

  • Wird die Migration des Windows Verzeichnisdienstes zunächst in einer Testumgebung getestet?

  • Wurden nach der Migration eine Aktualisierung der Serverumgebung vorgenommen?

  • Wird nach der Migration getestet, ob alle Daten und Einstellungen korrekt übernommen wurden und funktionieren?

Stand: 13. EL Stand 2013