M 2.233 Planung der Migration von Windows NT auf Windows 2000
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
In der Regel wird ein auf Windows 2000 basierendes Netz nicht vollständig neu aufgebaut, sondern es existiert bereits ein Behörden- oder Unternehmensnetz, welches meist auf Vorgängerversionen wie Windows NT beruht. Auch eine Umstellung von einer alten Windows-Version auf Windows 2000 ist in der Regel schon für Netze mittlerer Größe nur in mehreren Schritten und über einen längeren Zeitraum hin möglich. Diese Migration erfordert sorgfältige Planung, da sich in der Zeit der Umstellung leicht Sicherheitslücken ergeben können. Für die Migration stehen verschiedene Migrationsverfahren zur Verfügung. Eine generelle Empfehlung für eines der Verfahren kann jedoch nicht gegeben werden, da das günstigste Verfahren sehr von den lokalen Gegebenheiten abhängt und zusätzlich darauf zugeschnitten werden muss.
Für die Migration auf Windows 2000 kann unterschieden werden zwischen
- Migration einer Domäne,
- Migration von Servern und
- Migration von Clients.
Die Umstellung einer Domäne von Windows NT auf Windows 2000 erfolgt dabei durch die Umstellung von Domänen-Controllern auf Windows 2000. Generell kann bei der Migration von Domänen zwischen zwei Varianten unterschieden werden:
- Dem so genannten Domain Upgrade oder In-place Upgrade, bei dem die existierenden Domänenstrukturen eins-zu-eins nach Windows 2000 übernommen werden. Dies hat den Vorteil, dass die Umstellung keine großen Restrukturierungen mit sich bringt, und aus Benutzersicht lediglich ein Betriebssystem-Update erfolgt. Nachteilig kann jedoch sein, dass dadurch auch existierende Unzulänglichkeiten automatisch in das Windows 2000 System übernommen werden.
- Der so genannten Domänen Restrukturierung, Domain Restructure oder Domain Consolidation, bei der eine neue Windows 2000 Domänenstruktur aufgebaut wird. Hier wird die Umstellung auf Windows 2000 genutzt, um existierende Unzulänglichkeiten in der zurzeit benutzten Domänenstruktur durch Reorganisation zu verbessern. Dieses Vorgehen entspricht meist einem völligen Neuaufbau. Es bietet den Vorteil, dass hierbei alte und schwer administrierbare Strukturen durch neue ersetzt werden können. So sind einige unter Windows NT geltende Limitierungen aufgehoben worden. Außerdem ist es möglich, u. U. veränderten Geschäftsanforderungen und lokalen Gegebenheiten besser zu entsprechen. Es ist dabei jedoch zu beachten, dass die Planung und Umsetzung der neuen Struktur meist mit großem Aufwand verbunden ist.
Im Rahmen der Migration einer Domäne ist zusätzlich von Bedeutung, ob nach Abschluss der Migration weiterhin Windows NT Backup-Domänen-Controller ( BDC ) innerhalb der Domäne betrieben werden oder nicht. Davon hängt ab, ob die Windows 2000 Domäne im so genannten "nativen Modus" (native mode) oder im so genannten "gemischten Modus" (mixed mode) betrieben werden kann. Im gemischten Modus unterstützen die Windows 2000 Domänen-Controller weiterhin alle Mechanismen und Protokolle, um mit den BDCs wie ein Windows NT Primärer Domänen-Controller (PDC) zu kommunizieren. Dies hat jedoch den Nachteil, dass auch unter Windows 2000 bestimmte Funktionen, die von Windows NT nicht unterstützt werden, nicht genutzt werden können. Existieren nach der Migration keine Windows NT BDCs im Netz, so kann die Windows 2000 Domäne in den nativen Modus geschaltet werden. Es sei an dieser Stelle darauf hingewiesen, dass auch Client- oder Server-Rechner mit älteren Windows Versionen durchaus Mitglied in einer Windows 2000 Domäne sein können, die im nativen Modus betrieben wird. Vor der Umstellung einer Domäne auf den nativen Modus ist zu beachten, dass diese Umstellung nicht wieder rückgängig gemacht werden kann. Eine Rückkehr zu einer Windows NT-Domäne ist dann nicht mehr möglich.
Die wesentlichen Einschränkungen des gemischten Modus sind:
- Es existiert eine Größeneinschränkung der Windows NT SAM.
- Folgende, unter Windows 2000 neu eingeführte Gruppentypen und Funktionen stehen nicht zur Verfügung:
- Universelle Sicherheitsgruppen
- Domänen-lokale Gruppen
- Verschachtelte Gruppen
- Transitive Kerberos-Vertrauensstellungen
Vorteilhaft am gemischten Modus ist, dass jederzeit wieder auf Windows NT umgestellt werden kann, indem ein vorhandener Windows NT BDC zum PDC heraufgestuft wird, nachdem alle Windows 2000 Domänen-Controller vom Netz genommen worden sind. Für die eigentliche Rechnerumstellung auf Windows 2000 kann grob zwischen folgenden Verfahren unterschieden werden, die sich im wesentlichen im zusätzlichen Hardware-Bedarf unterscheiden:
- In-place-Umstellung: Bei dieser Umstellungsart kommt die jeweilige Update-Version von Windows 2000 zum Einsatz. Auf die Rechner wird - nach vorheriger Datensicherung - Windows 2000 aufgespielt. Dabei wird das Vorgängersystem durch Windows 2000 ersetzt und analog zur existierenden Version konfiguriert. Bei dieser Variante ist keine zusätzliche Hardware notwendig. Nachteilig ist jedoch, dass der umzustellende Rechner während der Umstellung nicht zur Verfügung steht.
- Migration durch parallelen Aufbau eines separaten Windows 2000 Netzes: Bei dieser Migrationsart wird parallel zum existierenden Netz ein äquivalentes Windows 2000 Netz aufgebaut. Nach erfolgreichem Aufbau des Parallelnetzes wird dieses genutzt. Vorteilhaft ist hierbei, dass das existierende System nicht beeinflusst wird. Nachteilig ist hier jedoch der hohe Bedarf an zusätzlicher Hardware.
- Rollende Migration: Bei dieser Variante der parallelen Migration wird das existierende Netz in Teilbereiche aufgeteilt. Die Teilbereiche werden dann nacheinander auf Windows 2000 umgestellt. Dabei wird zunächst jeweils für das Teilnetz eine parallele Struktur aufgebaut, die dann nach erfolgtem Aufbau genutzt wird. Die so freigesetzte Hardware des Altsystems kann dann für den Aufbau des parallelen Systems des nächsten Teilsystems genutzt werden.
Für die Migrationsreihenfolge von Rechnern kann unterschieden werden zwischen:
- Client-Update-first: Hierbei werden zunächst die Arbeitsplatzrechner auf Windows 2000 umgestellt und innerhalb der existierenden NT Domäne betrieben. Danach werden die Server und die Domäne nach Windows 2000 migriert. Vorteil dieser Umstellungsart ist, dass Benutzer bereits mit der neuen Bedienoberfläche arbeiten können, ohne dass serverseitig wichtige Systemdienste umgestellt werden müssen.
- Server-Update-first: Hierbei werden zunächst die Server auf Windows 2000 umgestellt. In der Regel erfolgt dabei zunächst eine Domänen-Umstellung und die Server werden in die Windows 2000 Domäne integriert. Danach erfolgt die Umstellung der Clients. Vorteil dieser Umstellungsart ist, dass Benutzer mit dem gewohnten Client-Betriebssystem arbeiten können und die Umstellung der wichtigen Systemdienste im Hintergrund vollzogen werden kann.
Wie bereits erwähnt, kann an dieser Stelle keine Empfehlung für eine der Migrationsvarianten gegeben werden. Generell sind für die Planung der Migration jedoch folgende Aspekte zu bedenken:
- Es muss ein realistischer Zeitplan für die Migration erstellt werden. Im Laufe der Migrationsplanung muss mit Angleichungen des Zeitplanes gerechnet werden.
- Es muss sichergestellt sein, dass die existierenden Betriebssysteme auf Windows 2000 umgestellt werden können: So ist es z. B. nicht möglich, Windows NT 3.51 direkt auf Windows 2000 umzustellen. Hier muss eine Zwischenumstellung, z. B. auf Windows 95/98 oder NT 4.0, eingeplant werden.
- Die existierende Domänenstruktur muss erfasst werden. Nur so kann eine korrekte Planung der Windows 2000 Domänenstruktur erfolgen.
- Es muss ein Notfallplan erstellt werden, der sicherstellt, dass bei einem fehlgeschlagenen Migrationsversuch ein operatives System schnell wiederhergestellt werden kann.
- Der Migrationsplan muss eine Strategie zur Umstellung der Domain Controller festlegen (In-place-Upgrade, Parallel-Upgrade, Reihenfolge).
- Die Reihenfolge, in der die existierenden Domänen umgestellt werden sollen, muss festgelegt werden. Da die erste umgestellte Domäne die Rolle der so genannten Forest-Root-Domäne ( FRD ) erhält, ist die Wahl der Domäne, die als erste umgestellt werden soll, besonders wichtig. Es kann u. U. sinnvoll sein, keine der existierenden Domänen mit der Rolle der FRD zu betrauen und die FRD völlig neu zu erzeugen.
- Für jede Domäne muss entschieden werden, ob und wann diese in den nativen Modus umgeschaltet wird. Ziel einer Migration sollte immer die vollständige Umschaltung aller Domänen in den nativen Modus sein.
- Im Rahmen der Migrationsplanung sollte entschieden werden, ob eine Restrukturierung der Domänen notwendig oder gewünscht ist. Ist dies der Fall, muss der Restrukturierungsprozess geplant werden.
- Für jede Domäne muss die Migration von Benutzern und Benutzergruppen geplant werden. Es ist dabei darauf zu achten, dass die Migration Einfluss auf die Zugriffsberechtigungen hat, da sich die SID eines Benutzerkontos bei der Migration ändert. Windows 2000 bietet hier den Mechanismus der so genannten SID-History an, der es einem nach Windows 2000 migrierten Benutzerkonto erlaubt, unter der Prä-Windows 2000 Identität (SID) auf Ressourcen zuzugreifen. Es ist hierbei darauf zu achten, dass einerseits die SID-History nach der vollständigen Migration für alle Benutzerkonten gelöscht wird und andererseits nicht alle Windows 2000 Vorgängerversionen SID-Histories unterstützen, z. B. Windows NT 3.51.
- Für jede Domäne muss die Migration von Rechnern, also Clients und Servern, geplant werden. Es ist dabei darauf zu achten, ob insbesondere die Migration von Applikationsservern problemlos möglich ist, oder ob bestimmte Applikationen eine Migration verhindern, weil diese beispielsweise auf einem BDC installiert sein müssen. Werden Clients vor Servern auf Windows 2000 umgestellt und ohne Windows 2000 Active Directory Unterstützung betrieben, so muss berücksichtigt werden, dass nach Umstellung der Server auf Windows 2000 und Einführung des Active Directory u. U. eine nochmalige Neuinstallation der Clients notwendig ist, um deren gewünschte Systemkonfiguration sicherzustellen.
- Während der Migration existieren Windows 2000 Domänen und (meist) Windows NT Domänen nebeneinander. Der Zugriff auf Ressourcen der NT Domäne kann dabei auch über schon nach Windows 2000 migrierte Benutzerkonten erfolgen. Zwischen Windows 2000 Domänen und Windows NT Domänen muss jedoch eine explizite Vertrauensstellung definiert werden, damit der Zugriff erfolgen kann. Es sollten hierbei nur die notwendigen Vertrauensstellungen erzeugt werden. Es empfiehlt sich außerdem, NT-Kontendomänen vor NT-Ressourcendomänen auf Windows 2000 umzustellen. Dadurch muss die Vertrauensstellung nur einseitig von den NT-Ressourcendomänen für eine Windows 2000 Domäne erfolgen.
- Bei der Durchführung der Migration werden in der Regel diverse Migrationswerkzeuge eingesetzt. In der Migrationsplanung muss auch der Werkzeugeinsatz geplant werden. Es ist festzulegen, welche Werkzeuge für welche Migrationsschritte zum Einsatz kommen sollen.
- Während der technischen Migrationsvorbereitung findet in der Regel eine Informationssammelphase statt, bei der - meist werkzeuggestützt - Systeminformationen, wie Benutzerkonten, Zugriffsrechte usw., zusammengetragen werden. Damit die benutzten Werkzeuge auf diese Informationen zugreifen können, ist es je nach Vorgehensweise notwendig, zusätzliche Vertrauensstellungen zwischen den existierenden NT-Domänen einzurichten. Es ist dabei zu beachten, dass dadurch potentielle Sicherheitslücken erzeugt werden können.
- Oft wird ein spezielles Migrationsteam mit der Aufgabe der Migration betraut. Die Mitglieder dieses Teams müssen dafür jedoch mit weitreichenden Berechtigungen sowohl innerhalb des existierenden Systems als auch innerhalb des Windows 2000 Systems ausgestattet werden. Es ist daher in solchen Fällen darauf zu achten, dass nur vertrauenswürdige Personen mit diesen Aufgaben betraut werden. Im Migrationskonzept sollte außerdem festgelegt sein, welche Aufgaben nur im Vier-Augen-Prinzip erfolgen dürfen.
- Nach Abschluss der Migration empfiehlt sich ein Soll-Ist-Vergleich aller Sicherheitseinstellungen, wie z. B. der Zugriffsberechtigungen und der Gruppenmitgliedschaften. Dies ist in der Regel jedoch nur werkzeuggestützt möglich.
Die hier aufgeführten Aspekte dienen als Leitfaden für ähnliche und weitergehende Fragestellungen, die im Rahmen des Migrationskonzeptes adressiert werden müssen. Es ist zu beachten, dass ein Migrationsplan immer auf ein konkretes System zugeschnitten sein muss und die jeweiligen lokalen Anforderungen an die Migration reflektiert.
Ergänzende Kontrollfragen:
- Wurde eine bedarfsgerechte Migrationsplanung durchgeführt?
- Sind alle Werkzeuge, die im Rahmen der Migration benötigt werden, bekannt und getestet?
- Wurde ein zeitliche Migrationsreihenfolge entworfen?
- Ist sichergestellt, dass die weitreichenden Berechtigungen des Migrationsteams nach Abschluss der Migration wieder zurückgesetzt werden?