Stern inaktivStern inaktivStern inaktivStern inaktivStern inaktiv
 

Zu Teil 1: SBS 2008 und 2011 ablösen - Teil 1

(05.08.2018)

Anmerkung 09.03.2019: Offiziell wird RSTe-Raid mit Hyper-V nicht unterstützt, funktioniert aber seit mittlerweile Jahr problemlos.

Die neue Hardware

Vor der Umstellung war ein Lenovo Thinkserver TS140 vorhanden, auf dem der SBS2008 direkt betrieben wurde. Der TS300 wurde wie folgt ausgestattet:

  • CPU: Intel Xeon E3-1230v5
  • RAM: 64GB (max.)
  • SSD/HDD:
    • 90-S000H6390T Plattenkäfig mit 4 x SATA 6G
    • MB607SP-B ICY Dock ToughArmor 4 x SATA 2.5
    • M.2 NVMe SSD Kingston SKC1000 480GB (System)
    • Samsung SSD 845DC EVO 240GB (Arcserve Dedup und Hyper-V-WSUS, im Icy-Dock Wechselrahmen)
    • 4 x Seagate ST6000NM0115, 2 x RAID1 (jeweils einmal Daten und Hyper-V, im Cage mit miniSAS-HD)
    • Dawicontrol DC624e Controller (derzeit keine Laufwerke, angeschlossen an den Plattenkäfig mit 4 x SATA)
    • Freie Schächte / Anschlüsse: 4 x 3.5", 3 x 2.5" und 1 x NMVe-SSD

Zu beachten ist hier, daß auf dem Mainboard 4 SATA-Anschlüsse als miniSAS-HD ausgeführt sind und 4 als Standard und daß von den 4 Standardanschlüssen nur dann alle verwendbar sind, wenn die eingesetzten M.2-SSDs NVMe-SSDs sind. Werden SATA-M.2-SSDs eingesetzt, dann werden zwei der SATA-Anschlüsse auf dem Mainboard deaktiviert.

Die Installation

Schritt 1: Installation Windows Server 2012R2

Alle Installationen - Hypervisor und VMs - wurden mit Evaluierungsversionen durchgeführt und dann mit den gekauften ROKs aktiviert. Evaluierungsversionen für Windows können im MS Evaluation Center heruntergeladen werden.

Nach der Installation wurde die Installation dann mittels

dism /online /Set-Edition:ServerStandard /ProductKey:<Key> /AcceptEula

umgestellt und aktiviert.

Folgende Rollen wurden installiert und konfiguriert:

  1. Active Directory-Domänendienste
  2. DNS Server
  3. DHCP Server
  4. Hyper-V
  5. Datei- und iSCSI-Dienste / DFS-Namespaces

Der Betrieb von Hyper-V und AD-Domänendiensten ist zwar nicht unterstützt von Microsoft, funktioniert jedoch. Allerdings ist als Szenario denkbar, daß die AD kompromitiert wird, wenn ein Angreifer aus einer VM Zugriff auf den Hypervisor nehmen kann. Dieses Szenario ist m.E. aber unwahrscheinlich.

Die Installation des Hypervisors erfolgte auf die NVMe-SSD. Die ST6000 wurden zu zwei RAID1-Verbünden zusammengeschaltet, einer für die Dateidaten (wird gesichert) und einer für Hyper-V (wird als Volume nicht gesichert, jedoch als VMs agentless im arcserve UDP). Die 845DC wurde als separates Volume eingerichtet für den Hash-Speicher der arcserve UDP-Deduplizierung.

Schritt 2: Migration Dateidaten zum Windows 2012R2

Die Migration der Dateidaten auf den neuen Server ist sinnvollerweise gleich zum Anlaß zu nehmen, die Freigaben insgesamt auf DFS umzustellen. DFS besteht aus zwei Komponenten, der Replikation und den Namespaces.

DFS-Replikation gleicht über mehrere vernetzte Server Dateien ab - das ist z.B. bei mehreren Standorten oder zur Vermeidung von Downtime sinnvoll, aber in kleinen Umgebungen nicht notwendig und funktioniert auch nicht immer, z.B. dürfen Benutzerprofile nicht in replizierten Verzeichnissen abgelegt werden.

DFS-Namespaces hingegen sind eine wirklich tolle Technologie, weil diese die Einstiegspunkte in Dateifreigaben von der tatsächlichen Freigabestruktur abstrahiert und damit Änderungen an der zugrundeliegenden Dateiserverstruktur möglich sind, ohne Anmeldescripte o.ä. anpassen zu müssen.

Die Einrichtung von DFS-Namespaces kann natürlich auch unabhängig von der Umstellung erfolgen, bietet sich also im Vorfeld an. Die Konfiguration erfolgt mittels des MMC-Plugins "DFS-Verwaltung".

 

Die Bedienung ist dabei selbsterklärend - zunächst werden die entsprechednen Namespaces angelegt und dann unter diesem Verknüpfungen, die auf spezifische Freigaben auf den Servern zeigen. Werden die Daten auf neue Server migriert, dann muß lediglich die Verknüpfung aktualisiert werden - fertig. Wichtig ist hierbei, Active-Directory-integrierte DFS-Namespaces zu verwenden - deren Konfiguration wird auf allen Domänencontrollern gespeichert. Für jeden Namespace müssen Namespaceserver angegeben werden, auch das sind sinnvollerwiesen die Domänencontroller. Diese Konfiguration ermöglicht, daß mittel \\<Domänenname>\<Freigabename> auf die Dateidaten zugegriffen werden kann.

Die Migration selbst erfolgt mittels robocopy:

robocopy <Quelle> <Ziel> /s /e /zb /copyall /move /r:0 /w:0 /np /log:<Logdatei>

Besonders die Parameter /r und /w sind wichtig, weil ansonsten bei Zugriffsfehlern der ganze Prozess stehenbleibt (versucht zu kopieren, wartet 30 Sekunden usw.).

Wird im laufenden Betrieb kopiert, kann statt /move  auch einfach kopiert werden, dann die DFS-Verknüpfung umgestellt und danach ein erneuter Kopierlauf gestartet, bei dem nur Dateien, die seit dem ersten Kopierlauf geändert wurden, kopiert werden (Parameter /maxage).

Schritt 3: Installation Active-Directory Domänendienste & Migration DHCP

Mit diesem Schritt wird sichergestellt, daß der letzendlich im Netzwerk vorhandene physische Server das AD hostet. Diese Vorgehensweise dient der Sicherstellung des Betriebs von Hyper-V. Die Alternative - der Betrieb eines Hyper-V-Servers, der dann DCs als VMs startet - führt dahingehend zu Problemen, daß der Hyper-V starten muß, ohne daß die Domäne, in der er eingebunden ist, verfügbar ist, oder aber, daß der Hyper-V-Server überhaupt nicht in die Domäne eingebunden wird, was einen separaten Administrationsbereich nach sich zieht.

Da im Rahmen der Installation DNS ebenfalls mit installiert wird, funktioniert danach in jedem Fall Anmeldung und auch Namensauflösung - sofern der neue DNS-Server auch über die entsprechenden Optionen im DHCP an die Clients weitergereicht wird:

In diesem Kontext ist zu beachten, daß im vorhandenen Small Business Server auch der die IP-Adresse des neu installierten Servers in den Netzwerkeinstellungen angegeben wird.

Im nächsten Schritt werden nun die Daten übertragen und der neu installierte Server als Domänen-DHCP-Server autorisiert. Dazu wird im DHCP-Manager der alte Server ausgewählt und im Kontextmenü der Eintrag "Sichern..." gewählt:

Auf dem neuen Server werden die Daten über den Menüpunkt "Wiederherstellen..." dann importiert.

Zum Schluß erfolgt die Autorisierung über das Kontextmenü des Punktes "DHCP", Menüpunkt "Autorisierte Server verwalten...":

Hier wird dann die Autorisierung des alten Servers aufgehoben und der neue Server durch Angabe der IP-Adresse oder des Namens autorisiert.

Damit die der Rekonfiguration von DHCP beendet und die entsprechende Serverrolle kann im SBS deinstalliert werden oder alternativ der DHCP-Server im SBS deaktiviert.

(Teil 3 folgt)