Server-Uzug von Single Fileserver in Servercluster mit AD

[Jukebox99]

Hey Ihr,
ich bin IT-Admin in einer Firma. Ich bin noch nicht lange hier, aber bisher wurde die IT notdürftig von einem Mitarbeiter ohne größere IT-Kenntnisse verwaltet.
Es existiert ein physischer Server mit VMware drauf, auf dem Windows Server 2019 Standard läuft. Der Server wird hauptsächlich als Fileserver betrieben, nimmt zudem aber auch noch die Rolle des DNS- und DHCP-Servers ein.
Nun möchte ich den Server neu aufsetzen, damit alle Mitarbeiter mit ihren Rechnern in einer Active Directory arbeiten können. Es soll eine virtuelle 2019-Instanz als Domänencontroller + DHCP + DNS laufen und dann eine zweite Instanz als FS. Dies möchte ich so machen um eine 3 Tier-Serverarchitektur einzuführen, der Sicherheit wegen.

Wie übernehme ich jetzt am besten die Daten ohne aufwendigst 30TB auf externe Platten zu sichern, alles zu löschen und wieder zurückzuschieben (ohne Altlasten der VM mitzunehmen). Habt ihr da Ideen oder TIpps?

LG,
Chris

 

[M-X]

ich bin IT-Admin in einer Firma.

Du wirst also von deiner Firma dafür bezahlt und Fragst hier so simple Sachen ? Sorry aber da muss ich den Kopf schütteln.

Wie liegen die Daten den heute vor ? Einfach auf HDDs mit NTFS ggf im RAID ?

 

[Masamune2]

Wie groß ist die Umgebung denn, wie viele Clients habt ihr?
Hört sich eher nach kleiner Umgebung an, da kannst du die Dienste auch auf einem Server laufen lassen. Einen extra Fileserver würde ich da nicht anlegen.
Wie sieht euer Backup aus? Wie sieht aktuell die Firewall aus?

 

[VDC]

Cluster? 3 Tier? Sicherheit?

Umziehen: Datenplatte umhängen?

Wie kommt man an 30TB Livedaten außer mit Videos? Das kriegt man doch schon kompliziert/aufwändig gesichert, wenn man ein wenig was vor hält.

 

[Rickmer]

Da fehlen einige Infos insbesondere zum Thema Storage um eindeutige Aussagen zu machen...

Und auch - kommen die neuen VMs auf denselben Hypervisor?

Dies möchte ich so machen um eine 3 Tier-Serverarchitektur einzuführen, der Sicherheit wegen.

Du meinst das Datenschicht / Anwendungsschicht / Darstellungsschicht Gedöns? Wie stellst du dir das vor?

Weil in deinem Post lese ich keine Ansätze der Art raus.

Du wirst also von deiner Firma dafür bezahlt und Fragst hier so simple Sachen ? Sorry aber da muss ich den Kopf schütteln.

Für mich klingt das nach dem ersten Job nach FiSi Ausbildung. Eine komplett neue Firmenumgebung aus dem Boden stampfen muss man da noch nicht können.
(Eine File-Server Migration sollte natürlich drin sein.)

Allerdings sollte man dann vielleicht eher ein Systemhaus zur Hilfe nehmen als ein Forum.

 

[Mojo1987]

Nein er wird Admin-Tiering im Bezug auf eine AD Umgebung meinen. Dafür klassifiziert man Server und Client-Geräte in Tiers ein, typischerweise 3 und steuert über GPO und User, Anmeldung und Härtung.

Typisch für AD Umgebungen heutzutage.

 

[Rickmer]

Nein er wird Admin-Tiering im Bezug auf eine AD Umgebung meinen.

Achso, das kenne ich nur unter dem Begriff AD Tiering. Mit 'Serverarchitektur' hat das ja nichts am Hut und beim schnellen Googlen bin ich hier gelandet.

 

[redjack1000]

Habt ihr da Ideen oder TIpps?

Auf altem Server:
Regexport der Freigaben durchführen, Server herunterfahren.

Auf neuem Server:
Neuem Server gleichen Hostnamen wie alten Server geben.
Regimport der Freigaben durchführen, auf Laufwerksbuchstaben achten.
VM Storages dem neuem Server hinzufügen.
Server neu starten.
Schauen ob alles läuft.

Cu
redjack

 

[derlorenz]

Zu wenig detaillierte Infos um Tipps zu geben.

 

[Jukebox99]

Also ich fasse mal die Antworten zusammen:
Ich bin im Master-Studium Technische Informatik. Ich habe vor meiner jetzigen Tätigkeit in einer kleinen 4 Mann IT-Bude gearbeitet und auch schon mehrfach Server mit geplant und anschließend aufgesetzt.

Meine jetzige Firma benötigte jemanden mit technischem Verständnis für den operativen Betrieb (spezialisierte Handwerk im Bereich des Tiefbaus) und haben mir sogleich die Technische Entwicklung und die IT mit auferlegt. Das ist aber alles nur „nebenbei“ weshalb ich vielleicht gerade mal so 2 Stunden pro Woche auf die IT selbst verwenden kann.

Wie bereits erkannt wurde geht es mir bei der 3-Tier-Architektur um die Trennung der Nutzungs- und Zugriffsrechte in der AD. Es soll am Ende so sein, dass kein höher berechtigter Admin auf Geräte der niedrigeren Stufe zugreifen kann, sondern immer nur auf der selben Ebene (Dömänenadmins auf Domaincontroller, Serveradmins auf FS und Nutzer, sowie „normale Administratoren auf die Clients). Maximal eine Zweckgebundene Möglichkeit des Zugriffs nach oben soll möglich sein. Ein Beispiel wäre, das Administratoren an einem bestimmten Rechner per RDP eine Verbindung zum FS herstellen dürfen. Dort mit dem Serveradmin angemeldet darf man eine RDP zum Domaincontroller herstellen und dort nur mit dem Domänenadmin einen Zugriff erlangen. Durch diese Trennung verhindert man einen Systemzugriff im Falle eines einzelnen infizierten Clients (wenn beispielsweise das Sekretariat eine verseuchte Mail öffnet).

Eine Kopie von Freigaben ist kaum notwendig, da bisher jeder Client auf alle Laufwerke Zugriff hat und diese einfach dort mit einem Domänenadmin gemappt sind. Dementsprechend wäre eine Infektion katastrophal. Man sieht, es ist was zu ändern.
Die Frage ist mur, ob ihr eine bessere Idee habt, die zwei neuen Server aufzusetzen ohne den aktiven Betrieb besonders einzuschränken? Die 30+ TB an Daten sind witzigerweise kaum Videos sondern einfach 25 Jahre an Dokumenten, Plänen und sonstigen Dateien die ein Handwerksbetrieb so braucht.

Ziel ist es, beide Windows Server als VMs in VMware laufen zu lassen. Auf VMware kann ich mittels statischer IP dauerhaft zugreifen.

 

[nubi80]

Na dann würde ich neue Hardware kaufen und das neue System parallel aufbauen. Dann eine Migration der Daten und überführung der Clients ins AD auf die neue Infrastrukturdurchführen. Von den Kopierjobs der Daten abgesehen ist das schnell erledigt.

 

[morcego]

Man muss dich ja schon ein stückweit bemitleiden. "Der macht was mit Computern, der kann auch Admin." So klingt das zumindest, vor allem bei den nur etwa 2h die da aktuell möglich wären. Das wird sicherlich ein vielfaches wenn du erstmal anfängst.

Was ich aber viel mehr aus der Schilderung herauslese ist "unaufgeräumtes Kinderzimmer" wo über Jahre alles reingeworfen wurde. Ich sehe da erstmal eher organisatorische anstatt technische Fragen.

Diese 25 Jahre Daten, was ist das?

• Vorrangig Fotos der Baustellen und deren EMails wo die Fotos rumgeschickt wurden? Das wäre so der Klassiker im Tiefbau.
• Wieso werden 25 Jahre vorgehalten, guckt da noch jemand rein? Für Gewährleistungen nach VOB brauchste das nicht, auch nicht für die Steuer.
• Wenn da jemand reinguckt, wer tut das wieso und wie alt ist das dann? "Hatte ich mal in Projekt X, kopier ich rüber"?
• Wenn der, der weiß, das vor 24 Jahren mal X war, morgen tot umfällt, ist dann alles älter als 5 Jahre Datenmüll?
• lässt sich das nicht aufsplitten? aktive Projekte, abgeschlossen bis 10 Jahre, ab dann stumpf löschen?

IT ist kein Selbstzweck, das wäre für dich schon spannend wieso da aktuell so gearbeitet wird und ob es nicht Ansätze gäbe das zu erneuern. Du studierst, also bekommst du auch viel Theorie, Methodik etc. Gute Möglichkeit die mal anzuwenden.

Und wenn dann mal der berühmte Business Case geklärt ist kanns gern technisch werden.

• sicher VMWare? Dachte die sind seit Broadcom eher totes Pferd. Wäre nicht HyperV oder Proxmox nützlicher?
• Die Nutzdaten lieber auf ein NAS? Produktivdaten dann gern auf ein RAID1/10 SSD und das Archiv RAID5 HDD, separate Geräte? Synology und Co bieten Snapshots und mit SMB3 dazu ist dein Verschlüsselungsproblem zumindest out of the box nicht mehr so schlimm
• Was sichere ich wie oft wo hin, Produktivdaten mehrfach lokal und Wolke, Archiv nur noch lokal?
• Serversysteme: wenn der Filer wegfiele und ein AD käme, was kommt denn noch? Normal ein zweiter Host für repliziertes AD, Printserver, WSUS, Backupsystem (ich sag mal Veeam, ist da noch kostenlos), Anwendungssoftware, Azure AD Connect? Was bedeutet das für die Lizensierung?
• und dann kommt wieder der Host ins Spiel, vielleicht lieber Proxmox, dann wäre auch Docker einfach möglich weil es vielleicht Ideen gibt wie "hey Nextcloud", "hey Vaultwarden", "hey ...."

Da steckt einfach langfristig mehr dahinter, wahrscheinlich hat sich da noch nie jemand im Unternehmen Gedanken zu gemacht. Die wären jetzt aber passend wenn du eh umbauen willst. Vor allem die operativen Dinge kann dir weder das Forum noch ein Dienstleister beantworten, die können wir nur stellen. Hier kostenlos, der Dienstleister berechnet dafür womöglich was.

 

[Masamune2]

Du hast jetzt zwar viel über dich geschrieben, aber irgendwie kaum eine Frage beantwortet.
Wie groß ist das Unternehmen? Ich vermute das diese 3-Tier Architektur bei den Berechtigungen KOMPLETT übers Ziel hinaus schießt. Sicherheit gewinnst du an anderer Stelle viel einfacher, in erster Linie durch ein gescheites Backup, und dazu hast du noch kein Wort verloren.

Ich schmeiß jetzt einfach mal Gedanken rein ohne konkrete Ausführung weil die Gefahr groß ist das es eh im Sand verläuft:

• Benutzer auf den PCs bekommen keine Admin Rechte
• PCs haben einen Virenscanner der nicht im Blindflug läuft sondern über irgendeine Konsole auch Meldungen an dich weitergibt
• Das Backup ist Rock-solid, erfüllt die 3-2-1 Regel und wird auch mal getestet
• Eine Firewall/UTM-Lösung schaut sich den Traffic aus- und in das Internet an
• Zugriff von außen erfolgt über VPN. NAT von einzelnen Diensten nur wenn es gute Gründe dafür gibt und nicht anders geht
• Die Hardware und Software hat Support durch den jeweiligen Hersteller um Ausfälle so gering wie möglich zu halten

 

[redjack1000]

Das ist aber alles nur „nebenbei“ weshalb ich vielleicht gerade mal so 2 Stunden pro Woche auf die IT selbst verwenden kann.

Wenn du mit "nebenbei" und mit 2 Stunden wie Woche, deine Tier-3 umsetzen und sicher betreiben kannst, kannst du mir gerne eine PN senden, ich hätte da viel Arbeit zu vergeben.

Cu
redjack

 

[Rickmer]

Mit 2h die Woche wirst du das nie im Leben umsetzen können.

Das Backup ist Rock-solid, erfüllt die 3-2-1 Regel und wird auch mal getestet

Im Ernstfall des Ransomware-Angriff ist ein aktuelles Backup außerhalb der Domänenstruktur mit offline Kopie aller Daten ein Lebensretter. Wenn der Angreifer einen Domain-Admin oder auch den Hypervisor kapert, darf der damit immernoch auf keinen Fall irgendwie ans Backup kommen können.

Die meisten (alle?) Cyber-Versicherungen haben das mWn mittlerweile auch als Voraussetzung.

Grade bei kleinen Firmen kann das schwierig sein, weil sich das ohne dedizierte Hardware für den Backup-Server nicht wirklich umsetzen lässt und das IT-Budget häufig sehr eingeschränkt ist. Je nach Internetleitung kann sich dann aber auch Backup as a Service anbieten.

 

[Masamune2]

Ich schmeiß jetzt einfach mal Gedanken rein ohne konkrete Ausführung weil die Gefahr groß ist das es eh im Sand verläuft

Na da hatte ich wohl recht...