Bundesamt für Sicherheit in der Informationstechnik

M 4.412 Sichere Migration von Windows Server 2003 auf Server 2008

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator

Die Migration von Windows Server 2003 auf Server 2008 erfordert zunächst eine sorgfältige Planung. Dazu ist zuerst die Migrationsstrategie festzulegen:

  • Bei einer Neuinstallation werden die Daten des alten IT-Systems gesichert, ein neues (aktuelles) IT -System auf der gleichen Hardware installiert und die Dienste unter Nutzung der gesicherten Datenbestände neu aufgesetzt. Diese Variante ist mit Ausfallzeiten während der Migration verbunden und erfordert hohe Planungsaufwände. Es besteht das Risiko eines verlängerten Ausfalls bei unvorhergesehenen Problemen.
  • Bei einem sogenannten In-Place-Update wird aus dem laufenden System heraus ein Update der Systemsoftware initiiert. Diese Variante birgt verschiedene Risiken, unter anderem die Übernahme von "Altlasten" in der Konfiguration, Produktivitätsausfälle während des Updates und das Risiko eines gescheiterten Updates.
  • Bei einer "echten" Migration wird das neue System auf neuer Hardware parallel zum Altsystem installiert und anschließend werden die produktiven Dienste vom Altsystem auf das Neusystem umgezogen.

Das dritte Szenario bietet den besten Schutz gegen Produktions- oder Datenverluste, erfordert aber die Verfügbarkeit von zusätzlicher Hardware, um das neue IT-System parallel aufzusetzen. Insbesondere wegen der besseren Testmöglichkeiten sollte dieses Migrationsszenario vorrangig ausgewählt werden.

Migrationsplanung

Für die Planung müssen die mindestens die folgenden Punkte betrachtet werden:

  • Die benötigte Zeitspannung der Migration unter Berücksichtigung der Auswirkungen auf produktive Dienste auf dem migrierten System oder davon abhängigen weiteren Systemen muss berücksichtigt werden.
  • Es ist festzulegen, wer die Migration durchführt.
  • Die Vorgehensweise für die Migration ist auszuwählen.
  • Testschritte im Migrationsprozess, inklusive Abbruchkriterien.
  • Notfallpläne und Handlungsoptionen sind zu diskutieren und festzulegen.
  • Die betroffenen Nutzer sowie die Verantwortlichen abhängiger IT-Systeme sind über die sie betreffenden Schritte der Migration zu informieren.

Die Ergebnisse sollten in einem Migrationskonzept dokumentiert werden. Nähere Hinweise zum Migrationskonzept und seinen Inhalten finden sich in M 2.319 Migration eines Servers .

Sind in der Windows-Domäne bislang noch keine Server 2008 Systeme vorhanden, so muss in die Planung auch die Migration des Domänen-Controllers (siehe M 4.317 Sichere Migration von Windows Verzeichnisdiensten ) oder zumindest die Anhebung der Active Directory-Funktionsebene einbezogen werden. Dabei ist vorher zu testen, ob sich durch die Veränderungen im Active Directory Probleme mit vorhandenen Anwendungen ergeben (siehe G 2.156 Kompatibilitätsprobleme beim Anheben der Active Directory-Funktionsebene ).

Befinden sich Daten des Quellsystems auf einem externen Datenspeicher wie einem SAN/NAS oder einer externen Festplatte, so muss festgelegt werden, ob die Dateien bei der Migration kopiert werden, oder ob der neue Server auf die Daten auf dem vorhandenen Speichersystem zugreifen soll. Die zweite Variante ist einfacher, weil der Kopiervorgang entfällt, unterliegt jedoch bestimmten Einschränkungen. So können dabei die Berechtigungen lokaler Benutzerkonten verloren gehen, wenn gleich bezeichnete lokale Konten auf dem Zielsystem eine andere SSID besitzen und die Migration von BitLocker- oder EFS-verschlüsselten Daten auf diesem Weg ist nicht möglich.

Werden Daten in bestehende Verzeichnisse auf dem Zielsystem kopiert, ist dagegen zu beachten, dass sich die Vererbung von Zugriffsrechten auf dem Zielverzeichnis mit untergeordneten Dateien dann auf die bestehenden Rechte im Zielverzeichnis und nicht mehr auf die ursprünglichen Rechte im Quellverzeichnis bezieht (siehe G 2.116 Datenverlust beim Kopieren oder Verschieben von Daten ab Windows Server 2003 ) Die Berechtigungen für Quell- und Zielverzeichnis müssen daher vorab angeglichen werden.

Hilfsmittel

Für die Migration von Systemen zu einem Windows 2008 Server stellt Microsoft umfangreiche Hilfsmittel bereit. Dies umfasst zum einen Migrationshandbücher für die Serverrollen, in denen die einzelnen Schritte zur Vorbereitung des Ziel- und des Quellsystems, zur Durchführung der Migration und zu den abschließenden Schritten ausführlich beschrieben sind. Erfüllt das zu migrierende System mehrere Rollen, so sollte vorab aus den Migrationshandbüchern für die beteiligten Rollen ein eigenes Migrationshandbuch konsolidiert werden.

In den Anhängen zu den Migrationshandbüchern finden sich Arbeitsblätter, die dabei helfen, relevante Konfigurationseinstellungen für die Migration im Altsystem zu erheben und gesammelt zu dokumentieren. Die hier abgefragten Informationen sollten jedoch auch Bestandteil einer guten Systemdokumentation sein (siehe M 2.25 Dokumentation der Systemkonfiguration ).

Für die einzelnen Serverrollen werden dabei zum Teil spezielle Windows-Server-Migrationstools genutzt, die auf dem Quell- und dem Zielsystem installiert werden und für eine automatisierte Übertragung der Dienstekonfiguration sorgen. Unter Windows Server 2008 R2 können die Migrationstools als Feature nachinstalliert werden, auf dem Quellsystem ist eine separate Installation erforderlich. Die Migrationstools unterstützen auch die Migration von Servern auf eine Zielplattform, die als Server Core betrieben wird (siehe M 4.416 Einsatz von Windows Server Core ), sowie die Migration von physischen auf virtuelle Maschinen. Die Migrationstools erfordern die vorherige Installation des .NET-Frameworks 2.0 sowie der Windows PowerShell und ausreichend verfügbaren Speicherplatz für die Installation. Quell- und Zielsystem müssen in der gleichen Sprache installiert sein.

Da auch die Installation der Migrationstools einen Server-Neustart erfordern kann, sollte sie bereits in die Migrationsplanung einbezogen werden.

Migrationsvorbereitung

Für die Vorbereitung der Migration sind verschiedene Schritte durchzuführen oder zu prüfen:

Für die Migration wird ein Administrationsaccount auf dem Quell- und auf dem Zielsystem benötigt.

Der Zielserver muss ausreichend Speicherplatz für die Übernahme der Daten bereithalten. Dabei ist auch eine möglicherweise aktive Kontingentverwaltung auf dem Zielsystem zu berücksichtigen.

Das Quellsystem sollte vor der Migration komplett gesichert werden, um im Fall von Problemen, die nicht im für die Migration vorgesehenen Zeitfenster gelöst werden können, einen definierten Rückfallpunkt zu haben.

Auf dem Quell- und auf dem Zielsystem sollten alle aktuellen Patches eingespielt sein, um sicherzustellen, dass alle bekannten Fehler in der Systemsoftware behoben sind.

Die Systemzeit auf Quell- und Zielsystem muss synchronisiert sein, beispielsweise über eine gemeinsame externe Zeitquelle.

Je nach Serverrolle müssen die entsprechenden Migrationstools auf dem Quellsystem und auf dem Zielsystem installiert werden.

Für die Kommunikation benötigen die Migrationstools von Microsoft die Ports udp/7000 und tcp/7000. Sie müssen auf den lokalen Firewalls der beiden Systeme und im Netz dazwischen freigeschaltet sein.

Schließlich müssen alle betroffenen Benutzer und Administratoren abhängiger Systeme und Anwendungen rechtzeitig über die Durchführung der Migration und die sich daraus ergebenden Einschränkungen informiert werden.

Durchführung der Migration

Um die Konsistenz des Zielsystems nicht zu gefährden, muss ausgeschlossen werden, dass während des Migrationsvorgangs Zugriffe von Dritten auf das Zielsystem erfolgen. Ebenso dürfen nach Beginn der Migration keine Arbeiten mehr auf dem Quellsystem erfolgen, die eine Veränderung der Konfiguration oder des Datenbestands bewirken. Entsprechende Zugriffe können organisatorisch oder besser technisch zum Beispiel auf Netzebene verhindert werden.

Nach Abschluss der Migration sollten alle relevanten Funktionen des Servers ausführlich getestet werden, um mögliche Migrationsfehler zu erkennen und Auswirkungen auf den produktiven Betrieb zu vermeiden.

Um keine unnötige Angriffsfläche auf dem Zielsystem zu bieten, sollten die Migrationstools nach Abschluss der Migration wieder vom System entfernt und die dafür eingerichteten UDP - und TCP -Ports in der lokalen Firewall und auf weiteren Sicherheitsgateways im Netz wieder geschlossen werden.

Prüffragen:

  • Wurde eine bedarfsgerechte Migrationsplanung von Windows Server 2008 durchgeführt?

  • Sind alle Werkzeuge, die im Rahmen der Migration auf Windows Server 2008 benötigt werden, bekannt und getestet?

  • Ist sichergestellt, dass die weitreichenden Berechtigungen des Migrationsteams nach Abschluss der Migration auf Windows Server 2008 wieder zurückgesetzt werden?

  • Ist eine IT-Sicherheitskonzeption für die Migrationsphase von Windows Server 2008 erarbeitet worden?

  • Ist sichergestellt, dass alle Ausnahmeregelungen, die während der Migration auf Windows Server 2008 notwendig sind, nach der Migration aufgehoben werden?

  • Sind alle Betroffenen ausreichend auf die Migration auf Windows Server 2008 vorbereitet worden?

Stand: 13. EL Stand 2013