Tipps zum weiteren Vorgehen

Es wird keine Updates oder Hotfixes mehr geben und als Folge kann die Sicherheit eines Servers nicht oder nur noch mit enormem Aufwand gewährleistet werden.

Änderungen in der IT-Landschaft wie der anstehende Wechsel von SHA-1- zu SHA-256-Signaturen bei Zertifikaten werden die Betreiber dieser Plattformen vor einige Probleme stellen. Im konkreten Fall hat Microsoft noch einen Patch zur Verfügung gestellt, aber damit ist jetzt auch Schluss. Wie weiter? In diesem Artikel möchte ich die Optionen aufzeigen und die nötigen Voraussetzungen, um diese zu nutzen.

Die Möglichkeiten hängen natürlich von der Ausgangslage ab. Trotzdem lassen sie sich in ein paar Kategorien zusammenfassen:

Die Wahrscheinlichkeit ist gross, dass die Server-Applikation auch schon aus dem Support gefallen ist (Exchange 2003) oder bald wird (Exchange 2007). Hier drängt sich eine baldige Migration auf eine aktuelle Plattform geradezu auf. Im Falle von Exchange mit externem Zugriff ist der Server sicherlich auch ins Internet veröffentlicht und das Gefahrenpotenzial durch ungepatchte Schwachstellen entsprechend gross. Jedes Produkt hat seine eigenen Migrationspfade, die meistens eine parallele Installation der neuen Umgebung und die Migration der Daten umfassen. Die Upgrade-Pfade des Betriebssystems sind deshalb weniger von Belang, da kein Upgrade des bestehenden Servers erfolgt.

Für die Applikations-spezifischen Migrationen wird einiges an Fachwissen benötigt, um eine reibungslose Aktualisierung zu ermöglichen. Insbesondere da sehr wahrscheinlich nicht nur zur nächsten Generation von OS/Applikation gewechselt wird, sondern zwei bis drei Versionen übersprungen werden. Ebenfalls müssen die IT-Administratoren und das Helpdesk auf die neuen Produkte geschult werden.

Eigentlich gilt hier das gleiche Vorgehen wie bei Microsoft-Server-Applikationen. Allerdings wird es auch Situationen geben, wo der Hersteller der Software nicht mehr existiert oder keine Migration vorgesehen hat – jeglicher Workaround bedeutet in dem Fall nur, das Problem hinauszuschieben statt zu lösen. Hier muss ein anderes Produkt gefunden werden, das auf einer aktuellen Plattform läuft oder Cloud-basiert zur Verfügung steht. Kurzfristig mag eine Isolierung der alten Server-Instanz die nötige Zeit dazu verschaffen.

Auch für diese Migrationen benötigt es Fachwissen. Allerdings vorrangig von den Entwicklern der Server-Applikationen. Schulung für IT-Mitarbeiter ist ebenfalls sinnvoll.

Microsoft hat als Lösung für kleinste Unternehmen die Kombination von Windows Server 2012 R2 Essentials und Office 365 im Portfolio. Kunden, die jetzt noch mit über 10-jähriger Software arbeiten, sollten unbedingt mit diesen beiden Produkten den Schritt in die Cloud in Erwägung ziehen. Erstens, wegen des ähnlichen Preis-Leistungs-Verhältnisses. Zweitens, weil die Administration und Implementation der aktuellen Server-Versionen schon sehr von derjenigen des Vorvorvorgängers abweicht.

Meist ist bei Unternehmen mit Small Business Server wenig bis kein IT-Know-how vorhanden. Somit muss der Aufbau der neuen Lösung und die Migration von externen Dienstleistern übernommen werden. Steht die Umgebung, kann auch ein IT-fremder Benutzer über die Web-Portale von Office 365 die Administration übernehmen.

Wenn die Grundlage Ihres Netzwerks auf Rollen in Windows Server 2003 basiert, besteht dringender Handlungsbedarf. Viele aktuelle Serverr-Applikationen unterstützen die Rollen auf dem alten OS gerade noch – Exchange 2013 zum Beispiel. Exchange 2016 hingegen wird mindestens Active Directory basierend auf Windows 2008 erfordern. Allerdings gilt es vorgängig abzuklären, inwieweit sich die Änderungen bei den Rollen über 3 oder 4 Generationen des Betriebssystems auf 3rd Party Software auswirken. Ein Beispiel: In Windows Server 2008 R2 wurden DES-Verschlüsselungsalgorithmen erstmalig nicht mehr standardmässig zugelassen. Zugriff auf Applikationen, die nur DES verwenden können und nicht AES, wird also nach Hinzufügen von Windows 2008 R2, 2012 oder 2012 R2 Domain Controllern für die Benutzer nicht mehr funktionieren, die einen dieser neuen Server verwenden.

Darüber hinaus gilt es auch abzuklären, ob bislang Features genutzt wurden, die in den neuen Betriebssystemen nicht mehr verfügbar sind. So wurde zum Beispiel in Windows Server 2012 der Support für ADFS NT Token Mode und der Web Agent entfernt. Applikationen müssen damit zwingend die Schnittstelle der Windows Identity Foundation für die Authentisierung verwenden.

Für die meisten Rollen gibt es einen oder sogar mehrere Wege, die Migration durchzuführen. Theoretisch ist auch ein Server Upgrade möglich. Da dieses jedoch nicht direkt von 2003 nach 2012 R2 erfolgen kann, sondern in zwei Schritten (2003 -> 2008R2 -> 2012 R2), ist es meistens besser, eine parallele Installation vorzunehmen und nur die Daten zu migrieren.

Ab Windows Server 2008 R2 existieren nur noch 64bit-Server-Betriebssysteme. Sie können entweder auf Windows Server 2008 32bit migrieren, um sich noch ein wenig Zeit zu verschaffen, oder die Applikationen nach Abklärung der Kompatibilität auf einem 64bit Server installieren. Noch besser ist es natürlich, eine aktualisierte Anwendung zu installieren, die auch für das performantere 64bit OS geschrieben wurde. Wie auch immer der Entscheid ausfällt – ein direktes Upgrade ist nicht möglich. Der Server muss sowieso komplett neu installiert werden.

Ab Windows Server 2012 wurde die Unterstützung von Itanium-Prozessoren eingestellt. Die Technologie ist zumindest für die Windows-Welt eine Sackgass und sollte deshalb erstetzt statt hinausgezögert werden.