Dieser Eintrag gehört zu meiner Serie „Migration zu Windows Server 2025„. In dieser möchte ich euch die Aktualisierung meiner Server-Infrastruktur von 2019 auf 2025 dokumentieren. Es ist eine lebendige Welt von Systemen, die mir wichtig sind. Mit realen Anforderungen und Bedingungen werde ich alle Arbeitsschritte erläutern.
In diesem Beitrag starte ich das Projekt und definiere meine Anforderungen.
Inhaltsverzeichnis
Kurzbeschreibung des Projektes
Alle Server der Infrastruktur von meinem Unternehmen WS IT-Solutions, die aktuell noch mit Windows Server 2019 laufen, sollen auf Windows Server 2025 umgestellt werden. Die Windows Server 2022 werde ich in diesem Projekt nicht migrieren. Bestehende Rollen und Anwendungen prüfe ich dabei auf Kompatibilität. Bei Bedarf werde ich diese mit aktualisieren. Ein Beispiel ist mein Datensicherungsprogramm System Center Data Protection Manager. Ggf. werde ich nicht länger benötigte Dienste entfernen. Neue Funktionen und Möglichkeiten werde ich beleuchten und bei Bedarf einführen.
Die Serverhardware werde ich weiter verwenden. Als Hypervisor für die neuen VMs dienen 3 Windows Server 2022. Auf deren Hardware sind genug Ressourcen frei für die Migrationen.
Alle Services und Server bleiben on-premise, es sind keine Cloud-Integrationen geplant.
Zielsetzung
Verfügbarkeit
Die Infrastruktur nutze ich produktiv. Daher sind alle Arbeiten und Anpassungen im Rahmen der gewünschten 24/7-Verfügbarkeit so auszuführen, dass Störungen und Unterbrechungen der Dienstbereitstellung möglichst ausgeschlossen sind.
Ebenso muss zu jeder Zeit eine funktionale Datensicherung und ein proaktives Monitoring gewährleistet sein.
Migrationsvarianten
Migrationen der einzelnen Server werden im Idealfall Side-By-Side durchgeführt. Dabei laufen die Dienste auf dem alten Server und werden dann auf den daneben neu aufgesetzten Server umgezogen. Danach wird der alte Server entfernt. Aber auch Wipe&Load ist als Verfahren denkbar, wenn es die Verfügbarkeitsanforderung erlaubt.
Ein Inplace-Upgrade soll ausgeschlossen sein. Neuinstallationen statt Migrationen sind aber denkbar.
Optimierung
Die Reihenfolge soll unnötige Nacharbeiten vermeiden, effizient und insgesamt kompatibel sein. So wird z.B. der WSUS-Server bis zuletzt auf Windows Server 2019 laufen, damit er als neu aufgesetztes System nur noch die dann erforderlichen Updates für Windows Server 2022 und 2025 laden muss. Ebenso muss aber auch das BackupSystem DPM 2019 auf die neue Version aktualisiert werden, bevor z.B. die Fileserver auf Win2025 laufen, da sonst der Agent nicht kompatibel ist.
Sicherheit
Generell gilt das Prinzip „Secure by Default“: Alle Sicherheitsmaßnahmen sind ab dem Setup aktiv. Hierfür sind Härtungs-GPO einzusetzen. Bei der Konfiguration von Services muss das Prinzip Least Privilege umgesetzt werden. Ich nutze Role Based Access Controll (RBAC) als Standard.
Alle Server werden vom Internet isoliert. Ausnahmen für erforderliche Funktionen und die Aktivierung sind möglich.
Als Schutz vor Schadcodes wird der Windows Defender beibehalten.
Die Systeme müssen an das Elastic SIEM angeschlossen werden.
IST-Situation
Folgende Systeme sind bei mir gerade in Verwendung. Manche Server laufen bereits mit Windows Server 2022. Diese belasse ich erst einmal so. Und die Nicht-Windows-Systeme stehen auch nur der Vollständigkeit halber in der Tabelle.
| Name | Operatingsytem | Services |
|---|---|---|
| WS-GITLAB | Ubuntu Server 22.04 | Gitlab |
| WS-SIEM | Ubuntu Server 22.04 | ElasticSearch, Kibana, SIEM |
| WS-WIKI | Ubuntu Server 22.04 | Wiki.js |
| WS-BV | Win 2019 | Backup Vault |
| WS-CA1 | Win 2019 | PKI-Server |
| WS-DAG | Win 2019 | Virtuelles Netzwerknamenskonto für Failovercluster |
| WS-DC1 | Win 2019 | Domain Controller, DNS |
| WS-DC2 | Win 2019 | Domain Controller, DNS |
| WS-DPM | Win 2019 | Data Protection Manager & Backup |
| WS-FS1 | Win 2019 | Dateiserver & DFS-Server |
| WS-FS2 | Win 2019 | Dateiserver & DFS-Server |
| WS-HV3 | Win 2019 | Hyper-V |
| WS-MON | Win 2019 | PRTG-Monitor & SYSLOG & Taskserver |
| WS-MX1 | Win 2019 | Exchange Server |
| WS-MX2 | Win 2019 | Exchange Server |
| WS-NET1 | Win 2019 | DHCP |
| WS-NET2 | Win 2019 | DHCP |
| WS-NPS1 | Win 2019 | Network Policy Server |
| WS-NPS2 | Win 2019 | Network Policy Server |
| WS-Print1 | Win 2019 | Printserver |
| WS-SH | Win 2019 | SmartHome & Automation |
| WS-WAC | Win 2019 | Admin Server |
| WS-WDS | Win 2019 | WDS |
| WS-WSUS | Win 2019 | WSUS |
| WS-HV1 | Win 2022 | Hyper-V |
| WS-HV2 | Win 2022 | Hyper-V |
| WS-JUMP1 | Win 2022 | Jumpserver |
| WS-JUMP2 | Win 2022 | Jumpserver |
| WS-RDS1 | Win 2022 | RDS Broker, Gateway, Webserver, Remoteapp-User; RD-LIC |
| WS-RDS2 | Win 2022 | RDS Broker, Gateway, Webserver, Remoteapp-User |
| WS-VS | Win 2022 | Nessus Schwachstellenscanner |
Planung der Migration
Folgende Systeme werde ich in der angegebenen Reihenfolge umstellen:
| Name | OS | Typ | Services | Szenario |
|---|---|---|---|---|
| WS-CA1 | Win2019 | VM | PKI | Wipe&Load |
| WS-NET1 | Win2019 | VM | DHCP | Wipe&Load |
| WS-NET2 | Win2019 | VM | DHCP | Wipe&Load |
| WS-NPS1 | Win2019 | VM | NPS | Wipe&Load |
| WS-NPS2 | Win2019 | VM | NPS | Wipe&Load |
| WS-DPM | Win2019 | VM | Data Protection Manager, Backup | Neuinstallation |
| WS-FS1 | Win2019 | VM | Fileserver, DFSN, DFSR | Wipe&Load |
| WS-FS2 | Win2019 | VM | Fileserver, DFSN, DFSR | Wipe&Load |
| WS-DC1 | Win2019 | VM | ADDS, DNS | Wipe&Load |
| WS-DC2 | Win2019 | VM | ADDS, DNS | Wipe&Load |
| WS-MON | Win2019 | VM | PRTG, SYSLOG | Neuinstallation |
| WS-HV3 | Win2019 | Phys | Hyper-V | Wipe&Load |
| WS-BV | Win2019 | VM | Backup | Wipe&Load |
| WS-Print1 | Win2019 | VM | Neuinstallation | |
| WS-WAC | Win2019 | VM | AdminServer | Neuinstallation |
| WS-SH | Win2019 | VM | Smarthome | Wipe&Load |
| WS-WSUS | Win2019 | VM | WSUS | Neuinstallation |
Es sind also nicht so viele Services und Systeme wie beim letzten Mal. Aber dennoch möchte ich das Ganze professionell angehen. Los geht’s!
Die Übersichtsseite zum meinem Migrationsprojekt findet ihr hier: Migration zu Windows Server 2025