Was insbesondere auch kleine und mittlere Unternehmen berücksichtigen müssen: Neben dem teils immer noch populären Windows Server 2003 / Windows Server 2003 R2 ist vom Support-Ende auch der Small Business Server 2003/2003 R2 betroffen. Idealerweise sollten Unternehmen Server mit diesen Betriebssystemen daher ablösen. Mit dem Support-Ende am 14. Juli 2015 endet der Lebenszyklus des Windows Server 2003 nach über zehn Jahren. Wir haben zusammengefasst, worauf Sie dabei achten müssen.
Analyse und Planung der Aktualisierung
Im ersten Schritt sollten Sie zunächst eine genaue Auflistung durchführen, welche Serveranwendungen, Daten und Server noch mit den abgekündigten Betriebssystemen installiert sind. Auch die installierten Serverrollen sollten Sie erfassen. Erst wenn klar ist, welche Versionen im Einsatz sind, ist eine Migration sinnvoll.
Generell ist es empfehlenswert, dass Sie auch die installierten Serveranwendungen auf den neuesten Stand bringen. Dazu kommt, dass Sie neue Hardware benötigen, da die alte Windows-Server-2003-Hardware mit neuen Serverversionen wohl häufig nicht mehr zurechtkommen wird.
Microsoft hilft bei der Erfassung der Daten mit dem kostenlosen Microsoft Assessment and Planning Toolkit. Das MAP-Toolkit ist eine agentenlose Inventarisierung und kann für Migrationen Bewertungen und Berichte erstellen. Der Sinn besteht in der Beurteilung von IT-Infrastrukturen für verschiedene Plattformmigrationen.
Sie können mit den Tools aus MAP-Toolkit Migrationen zu Windows 8.1, Windows 7, Office 2013, Office 2010, Office 365, Windows Server 2012 und Windows Server 2012 R2 planen. Aber auch Serverdienste wie SQL Server 2014, Hyper-V, Microsoft private Cloud Fast Track und Windows Azure sind Bestandteil. Das ist auch der Grund, warum Sie immer die aktuellste Version einsetzen sollten. Sie können mit dem Toolkit also die Migration von Windows Server 2003 zu einer aktuellen Version planen.
Migration zu Active Directory mit Windows Server 2012 R2
Wollen Sie Ihre Domäne zu Windows Server 2012 R2 aktualisieren, müssen Sie zunächst das Schema der Gesamtstruktur erweitern. Dazu führen Sie den Befehl adprep /forestprep auf einem Domänencontroller aus. Sie finden das Tool im Ordner support\adprep auf der Windows Server 2012 R2-DVD.
Damit Sie das Schema erweitern können, müssen Sie mit c die Erweiterung bestätigen. Diese Maßnahmen lassen sich nicht mehr rückgängig machen. Nach der Aktualisierung des Schemas sollten Sie mit adprep /domainprep noch die einzelnen Domänen aktualisieren. Installieren Sie neue Domänencontroller, lassen sich diese problemlos in Active Directory aufnehmen. Auch Mitgliedsserver mit Windows Server 2012 R2 können Sie in bestehende Domänen aufnehmen, wenn Domänencontroller mit Windows Server 2003/2003 R2 vorhanden sind.
Bei Migrationen können Sie Betriebsmasterrollen von Vorgängerversionen auf die neuen Domänencontroller mit Windows Server 2012 R2 übernehmen. Die Vorgänge dazu sind identisch mit der Übernahme in Windows Server 2008 R2. Sie können also neue Server durchaus in Ihre Windows-Server-2003-Domäne aufnehmen.
Automatisch aktivierte SID-Filterung
Der SID-Filter wird automatisch aktiviert, wenn eine Vertrauensstellung zu einer externen Domäne eingerichtet wird. Wenn Sie also mit Windows Server 2012 R2 eine neue Vertrauensstellung einrichten, um Daten zu übernehmen, müssen Sie die SID-Filterung beachten. Mit ihr werden ausgehende Vertrauensstellungen gesichert. Dadurch soll verhindert werden, dass Administratoren in der vertrauten (trusted) Domäne unberechtigt Berechtigungen innerhalb der vertrauenden (trusting) Domäne vergeben.
Das Filtering stellt sicher, dass sich in der vertrauenden Domäne ausschließlich Benutzer aus der vertrauten Domäne authentifizieren dürfen, deren SID die Domänen-SID der vertrauten Domäne enthalten. Wenn die SID-Filterung deaktiviert ist, könnte ein außenstehender Benutzer, der Administratorrechte in der vertrauten Domäne besitzt, den Netzwerkverkehr der vertrauenden Domäne abhören und die SID eines Administrators auslesen. Im Anschluss kann er diese SID seiner eigenen SID-History anhängen. Durch diesen Vorgang würde also ein Administrator der vertrauten Domäne zu Administratorrechten in der vertrauenden Domäne gelangen. Durch die Aktivierung der SID-Filterung ist es allerdings auch möglich, dass die SID-History der Anwender ignoriert wird, die diese unter Umständen aus anderen Domänen durch eine Migration erhalten haben. In diesem Fall könnten Probleme bei der Authentifizierung bei Ressourcen auftreten.
Daher kann der SID-Filter nicht immer eingesetzt werden. Wenn Sie für Ressourcen in der vertrauenden Domäne Berechtigungen für eine universale Gruppe aus Active Directory der vertrauten Domäne vergeben, müssen Sie zuvor sicherstellen, dass diese universale Gruppe auch in der vertrauten Domäne erstellt wurde und nicht in einer anderen Domäne von Active Directory. Wurde die universale Gruppe nicht in der vertrauten Domäne erstellt, enthält sie auch nicht die SID dieser Domäne und darf durch die SID-Filterung nicht auf die Ressourcen in der vertrauenden Domäne zugreifen. Aus den genannten Gründen, vor allem bei Migrationen oder Vertrauensstellungen zu Domänen eines anderen Active Directorys, kann es sinnvoll sein, die SID-Filterung zu deaktivieren.
Die Deaktivierung der SID-Filterung erfolgt über das Befehlszeilen-Tool netdom. Um die SID-Filterung zu deaktivieren, geben Sie in der Eingabeaufforderung den folgenden Befehl ein:
netdom trust <VertrauendeDomäne> /domain:<VertrauteDomäne> /quarantine:no /userD:<Domänenadministrator> /passwordD:<KennwortDesDomänenAdministrators>
Sie können die SID-Filterung wieder ganz einfach aktivieren, indem Sie die Option /quarantine auf yes setzen, also mit dem Befehl:
netdom trust <VertrauendeDomäne> /domain:<VertrauteDomäne> /quarantine:yes /userD:<Domänenadministrator> /passwordD: <KennwortDesDomänenAdministrators>
Dateien und Freigaben migrieren
Eine wichtige Aufgabe bei der Migration ist die Übernahme der Dateien und der Freigaben auf neue Server. Microsoft empfiehlt die Übernahme der Daten mit Robocopy, das zu den Bordmitteln von Windows Server 2012 R2 gehört. Verwenden Sie zum Beispiel folgenden Befehl:
robocopy \\<Quellserver>\Users \\<Zielserver>\UserShares /E /COPY:DATSOU /R:10 /LOG:C:\migration.txt
Wenn Sie Datei- oder Ordnernamen kopieren, die ein Leerzeichen enthalten, geben Sie den Pfad in Anführungszeichen an, zum Beispiel
Robocopy "\fs01\einkauf\lieferanten 2011" \fs01\archiv\einkauf
Alle Optionen verwendet das Tool von links nach rechts. Nach unserer Erfahrung verwenden die meisten Administratoren die Option /MIR, weil damit schnell und einfach eine Spiegelung eines Ordners angelegt wird. Um die Daten in einer Freigabe auf einen anderen Rechner zu spiegeln, schreiben Sie am besten ein Skript mit dem Befehl:
robocopy <Quellordner> <Sicherungslaufwerk>:\<Sicherungsordner> /mir
Mit dem Befehl
robocopy c:\users\thomas\documents y:\backup /mir
kopiert Windows die Ordner und Dateien aus dem Dokumente-Ordner auf das Laufwerk Y: in den Ordner backup. Die Option /mir kopiert nur geänderte Dateien und löscht Dateien im Zielordner, die im Quellordner nicht mehr vorhanden sind. Das heißt, der erste Kopiervorgang dauert recht lange, da erst alle Dateien kopiert werden müssen. Der zweite geht dann deutlich schneller, da nur geänderte Dateien kopiert werden. Löschen Sie im Quellordner eine Datei, löscht der Kopiervorgang diese auch im Backup-Ordner.
So erhalten Sie immer eine 1:1-Kopie Ihrer wichtigsten Daten. Sie können ohne Weiteres auch mehrere Ordner sichern. Verwenden Sie in diesem Fall einfach mehrmals den Befehl nacheinander in einem Skript.
Nur Freigaben und deren Rechte übernehmen
Wollen Sie keine Daten kopieren, sondern nur die bestehenden Freigaben und Rechte vom Quell- auf den Zielserver übertragen, benötigen Sie die Registry:
1. Öffnen Sie auf dem Server die Registry durch Eingabe von regedit.
2. Navigieren Sie zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanServer\Shares.
3. Exportieren Sie diesen Schlüssel über das Kontextmenü.
4. Wollen Sie nicht alle Freigaben übernehmen, öffnen Sie die exportierte Datei und löschen die Einträge der Freigaben, die Sie nicht übernehmen wollen.
5. Kopieren Sie die Datei auf den Zielserver und klicken doppelt auf die Datei, um sie auf dem Zielserver zu importieren. Achten Sie aber darauf, dass dieser Import die Einträge der vorhandenen Freigaben auf dem Zielserver überschreibt.
6. Starten Sie anschließend den Server neu.
7. Überprüfen Sie auf dem Server, ob die Freigaben vorhanden sind.
Dateiserver-Migrationstoolkit
Wollen Unternehmen Dateiserver auf neuere Hardware umstellen, ist das Problem dabei meist, die ganzen Freigaben neu zu erstellen, die Daten zu übernehmen und die Rechte neu einzutragen. Zwar gibt es viele Werkzeuge, um Daten zu synchronisieren, allerdings können die wenigsten Tools auch NTFS-Rechte übernehmen und Freigaben erzeugen. Hier hilft Microsoft mit dem kostenlosen Dateiserver-Migrationstoolkit. Das Tool hilft dabei, Migrationen für die Benutzer vollkommen transparent durchzuführen.
Das Tool übernimmt komplette Ordner, legt Ordner und Freigaben an, kopiert Dateien und setzt die NTFS-Rechte korrekt um. Auch Berichte erstellt das Tool. Die ganze Übernahme findet mit einem einfach zu bedienenden Assistenten statt. Außerdem kann das Tool sehr schnell Daten kopieren, sodass auch mehrere Hundert GByte kein Problem darstellen. Selbst das Kopieren nur geänderter Daten ist möglich, sodass Sie zunächst eine Datensicherung zurücksichern können und dann erst die Daten mit dem Tool übernehmen. Das Dateiserver-Migrationstoolkit führt alle Aufgaben in einem Durchgang durch, und Sie können die Konfiguration sehr detailliert über einen Assistenten oder durch Anpassen einer XML-Datei steuern.
Ein weiterer Vorteil des Dateiserver-Migrationstoolkits ist die Möglichkeit, auch mehrere Dateiserver auf einen neuen Server umzuziehen, auch zu DFS, und zwar unabhängig vom Betriebssystem. Da das Tool auch Windows Server 2012 R2 unterstützt, lässt sich so die Migration zum neuen Betriebssystem deutlich vereinfachen. Sie können dieses Tool bei Microsoft herunterladen. Bei Microsoft erhalten Sie weitere Informationen sowie ein Whitepaper, das bei der Migration unterstützt.
Foto: Thomas Joos
Selbst Cluster-Dienste unterstützt das Tool als Quelle und als Ziel. Gibt es bei der Datenübernahme Probleme, kann das Toolkit auch einen Rollback durchführen. Erkennt das Tool bei der Eintragung von Rechten, dass sich bestimmte SIDs nicht auflösen lassen, entfernt es automatisch die problematischen Berechtigungen von den Freigaberechten. Der generelle Ablauf ist ganz einfach:
1. Sie installieren einen neuen Server mit Windows Server 2012 R2 auf neuer Hardware.
2. Im Anschluss installieren Sie das Dateiserver-Migrationstoolkit und konfigurieren den Prozess der Migration.
3. Wollen Sie nachträglich noch Daten am Prozess anpassen, konfigurieren Sie einfach die entsprechende XML-Datei des Projekts. Das ist zum Beispiel sinnvoll, wenn Sie den Zielpfad ändern wollen, da das Tool als Stammordner immer den Namen des Quellservers verwendet. Diese Konfiguration können Sie nur in der XML-Datei vornehmen.
4. Sie starten das Projekt und kopieren die Daten auf den neuen Server. Das Dateiserver-Migrationstoolkit kopiert die Daten, die Ordnerstruktur und die Berechtigungen auf den neuen Server. Die Daten auf dem alten Server bleiben erhalten, die Freigaben auf Wunsch ebenfalls.
Migration - Verschieben einer DHCP-Datenbank auf einen anderen Server
Bei der Migration von Windows Server 2003 zu einer neuen Version müssen oft auch die DHCP-Datenbank und deren Inhalt auf einen neuen Server verschoben werden. Damit Sie diese Schritte ausführen können, müssen Sie auf dem DHCP-Quell- und -Zielserver Mitglied der Gruppe Administratoren oder der Gruppe DHCP-Administratoren sein:
1. Sichern Sie die DHCP-Datenbank auf dem Quellserver über das Kontextmenü des Servers in der Verwaltungskonsole. Der DHCP-Dienst erstellt während des normalen Betriebs auch eine automatische Sicherungskopie der DHCP-Datenbank. Standardmäßig wird diese Kopie der Datenbanksicherung im Ordner gespeichert.
2. Beenden Sie den DHCP-Server. Dadurch wird verhindert, dass der Server nach dem Sichern der Datenbank neue Adress-Leases an Clients zuweist.
2. Deaktivieren Sie den DHCP-Serverdienst.
3. Kopieren Sie den Ordner mit der DHCP-Sicherungsdatenbank auf den DHCP-Zielserver.
4. Öffnen Sie auf dem Zielserver die DHCP-Verwaltungskonsole
5. Klicken Sie im Kontextmenü auf Wiederherstellen.
6. Wählen Sie den Ordner mit der DHCP-Sicherungsdatenbank aus, und klicken Sie dann auf OK.
Anschließend kopieren Sie die Datei auf den Zielserver und importieren die Datenbank wieder. Verwenden Sie dazu folgende Befehle:
netsh
dhcp
Server <IP-Adresse des Quell-Servers>
Export <Pfad und Datei> all
Anschließend kopieren Sie die Datei auf den Zielserver und importieren die Datenbank wieder. Verwenden Sie dazu folgende Befehle:
1. Beenden Sie den DHCP-Server mit net stop dhcpserver.
2. Löschen Sie die Datei dhcp.mdb im Ordner C:\Windows\System32\dhcp.
3. Starten Sie den DHCP-Server mit net start dhcpserver neu.
4. Geben Sie netsh ein.
5. Geben Sie dhcp ein.
6. Geben Sie server <IP-Adresse des Zielservers> ein.
7. Geben Sie import <Pfad der Datei> ein.
8. Beenden Sie den DHCP-Server mit net stop dhcpserver.
9. Starten Sie den DHCP-Server mit net start dhcpserver neu. (mje)