Dieser Eintrag gehört zu meiner Serie “Migration zu Windows Server 2019“. In dieser möchte ich euch die Aktualisierung meiner Server-Infrastruktur von 2012R2/2016 auf 2019 dokumentieren. Es ist eine lebendige Welt von Systemen, die mir wichtig sind. Mit realen Anforderungen und Bedingungen werde ich alle Arbeitsschritte erläutern.
In diesem Abschnitt möchte ich das Projekt und meine Anforderungen beschreiben.
Inhaltsverzeichnis
Einleitung
Kurzbeschreibung des Projektes
Alle Server der Infrastruktur von WS IT-Solutions sollen auf Windows Server 2019 aktualisiert werden. Bestehende Rollen und Anwendungen werden dabei auf Kompatibilität geprüft und bei Bedarf mit aktualisiert. Zu diesen zählen insbesondere der System Center Data Protection Manager und der Exchange Server. Ggf. werden nicht länger benötigte Dienste entfernt. Neue Funktionen und Möglichkeiten werden beleuchtet und bei Bedarf eingeführt.
Im Zuge der Aktualisierung wird auch die Serverhardware im Hauptstandort ausgetauscht. Dadurch werden temporär zusätzliche Ressourcen geschaffen, mit denen Side-By-Side-Szenarien möglich werden. Außerdem ist es mal wieder an der Zeit für zusätzliche Kapazitäten.
Erläuterung der Vorgehensweise
Verfügbarkeit
Die Infrastruktur wird produktiv genutzt. Daher sind alle Arbeiten und Anpassungen im Rahmen der gewünschten 24/7-Verfügbarkeit so auszuführen, dass Störungen und Unterbrechungen der Dienstbereitstellung ausgeschlossen sind.
Ebenso muss zu jeder Zeit eine funktionale Datensicherung und ein proaktives Monitoring gewährleistet sein.
Migrationsvarianten
Migrationen der einzelnen Server werden im Idealfall Side-By-Side durchgeführt. Dabei laufen die Dienste auf dem alten Server und werden dann auf den daneben neu aufgesetzten Server umgezogen. Danach kann der alte Server entfernt werden. Aber auch Wipe&Load ist als Verfahren denkbar, wenn es die Verfügbarkeitsanforderung erlaubt.
Ein Inplace-Upgrade soll ausgeschlossen sein.
Optimierung
Die Reihenfolge soll unnötige Nacharbeiten vermeiden, effizient und insgesamt kompatibel sein. So wird z.B. der WSUS-Server bis zuletzt auf Windows Server 2016 laufen, damit er als neu aufgesetztes System nur noch die dann erforderlichen Updates für Windows Server 2019 laden muss. Ebenso muss aber auch das BackupSystem DPM 2016 auf die neue Version aktualisiert werden, bevor z.B. die Fileserver auf Win2019 laufen, da sonst der Agent nicht kompatibel ist.
Sicherheit
Generell gilt das Prinzip „Secure by Default“: Alle Sicherheitsmaßnahmen sind ab dem Setup aktiv. Bei der Konfiguration von Services muss das Prinzip Least Privilege umgesetzt durch RoleBasedAccessControll (RBAC) als Standard verwendet werden.
Ebenso werden alle Server vom Internet isoliert – außer es ist für ihre Funktion erforderlich. Eine Ausnahme stellt die Aktivierung dar.
Als Schutz vor Schadcodes wird der Windows Defender beibehalten.
Beschreibung der aktuellen Situation
Derzeit führen bis auf wenige Ausnahmen alle Server das Betriebssystem „Windows Server 2016“. Nur die beiden Fileserver und der alte IPAM-Server laufen noch unter Windows Server 2012R2.
Folgende Systeme sind im Einsatz:
| Server | Standort | Betriebssystem | Servertyp | Services |
| WS-DC1 | ERG | Win2016 | VM,GUI | AD,DNS,DHCP,ADFS |
| WS-DC2 | ERG | Win2016 | VM,GUI | AD,DNS,DHCP,ADFS |
| WS-DC3 | NF | Win2016 | VM,Core | AD,DNS,DHCP |
| WS-FS1 | ERG | Win2012R2 | VM,GUI | FS,DFSN,DFSR |
| WS-FS2 | ERG | Win2012R2 | VM,GUI | FS,DFSN,DFSR |
| WS-HV1 | ERG | Win2016 | Phys,GUI | HV,FC |
| WS-HV2 | ERG | Win2016 | Phys,GUI | HV,FC,FS(Backup) |
| WS-RDS1 | ERG | Win2016 | VM,GUI | RDSH(Jumpserver) |
| WS-RDS2 | ERG | Win2016 | VM,GUI | RDs(CB,SH,LS,GW,WS) |
| WS-RDS3 | NF | Win2016 | Phys,GUI | HV,FS,DFSN,DFSR |
| WS-RA1 | ERG | Win2016 | VM,GUI | VPN,WAP |
| WS-RA2 | ERG | Win2016 | VM,GUI | VPN,WAP |
| WS-MX1 | ERG | Win2016 | VM,GUI | MX2016 |
| WS-MX2 | ERG | Win2016 | VM,GUI | MX2016 |
| WS-IPM | ERG | Win2012R2 | VM,GUI | IPAM,PRTG,Syslog |
| WS-MON | ERG | Win2016 | VM,GUI | ATA |
| WS-DPM | ERG | Win2016 | VM,GUI | DPM2016 |
| WS-CA1 | ERG | Win2016 | VM,Core | PKI(RootCA) |
| WS-CM1 | ERG | Win2016 | VM,GUI | WSUS,WDS |
Planung der Migrationsreihenfolge
In dieser Reihenfolge könnte die Migration durchgeführt werden:
| Server | OS | Servertyp | Services | Abhängigkeit | Nr | Gruppe | Begründung |
| WS-HV1 | Win2016 | Phys,GUI | HV | WS-DPM | 1 | 1 | zusätzliche Hardware |
| WS-MON | Win2016 | VM,GUI | ATA | 2 | 2 | Monitoring | |
| WS-IPM | Win2012R2 | VM,GUI | IPAM,PRTG,Syslog | 3 | 2 | Monitoring | |
| WS-DPM | Win2016 | VM,GUI | DPM2016 | 4 | 3 | Backup | |
| WS-FS1 | Win2012R2 | VM,GUI | FS,DFSN,DFSR | 5 | 4 | Win2012R2 | |
| WS-FS2 | Win2012R2 | VM,GUI | FS,DFSN,DFSR | 6 | 4 | Win2012R2 | |
| WS-DC1 | Win2016 | VM,GUI | AD,DNS,DHCP,ADFS | 7 | 5 | ADFS | |
| WS-DC2 | Win2016 | VM,GUI | AD,DNS,DHCP,ADFS | 8 | 5 | ADFS | |
| WS-RA1 | Win2016 | VM,GUI | VPN,WAP | ADFS | 9 | 5 | ADFS |
| WS-RA2 | Win2016 | VM,GUI | VPN,WAP | ADFS | 10 | 5 | ADFS |
| WS-RDS3 | Win2016 | Phys,GUI | HV,FS,DFSN,DFSR | WS-DPM | 11 | 6 | JB |
| WS-DC3 | Win2016 | VM,Core | AD,DNS,DHCP | 12 | 6 | JB | |
| WS-HV2 | Win2016 | Phys,GUI | HV,FS(Backup) | WS-DPM | 13 | 7 | zusätzliche Hardware |
| WS-MX1 | Win2016 | VM,GUI | MX2016 | WS-DPM | 14 | 8 | |
| WS-MX2 | Win2016 | VM,GUI | MX2016 | WS-DPM | 15 | 8 | |
| WS-RDS2 | Win2016 | VM,GUI | RDs(CB,SH,LS,GW,WS) | 16 | 9 | ||
| WS-RDS1 | Win2016 | VM,GUI | RDSH(Jumpserver) | 17 | 9 | ||
| WS-CA1 | Win2016 | VM,Core | PKI(RootCA) | 18 | 10 | ||
| WS-CM1 | Win2016 | VM,GUI | WSUS,WDS | alle | 19 | 10 | |
Die einzelnen Umstellungen habe ich in Gruppen zusammengefasst. Dabei habe ich Anforderungen und Voraussetzungen berücksichtigt, damit die Migrationen möglichst reibungslos verlaufen.
Jetzt kann es an die Vorbereitungsarbeiten gehen. 🙂
Hier geht es zum Übersichtsbeitrag meiner Serie “Migration auf Windows Server 2019”.