Support-Ende von Windows Server 2003: Das müssen IT-Manager wissen und beachten

von Thomas Joos am , 06:03 Uhr

Im Juli endet der Support von Windows Server 2003/2003 R2. Verantwortliche müssen jetzt dringend handeln. Dann wird es keine Sicherheitsupdates oder andere Patches mehr für das Serverbetriebssystem geben. Verantwortliche im Unternehmen müssen sich über die Konsequenzen klar sein und rechtzeitig gegensteuern.

Microsoft stellt die Unterstützung für Windows Server 2003 ein [1]. Ab dem 14.07. wird es keine Sicherheitsupdates oder andere Patches mehr für das Serverbetriebssystem geben. Davon betroffen ist auch Windows Server 2003 R2 und auch Small Business Server 2003/2003 R2. Das heißt, ab diesem Tag werden zwar weiterhin Sicherheitslücken bekannt, aber nicht mehr geschlossen. Stand heute gibt es bereits Schwachstellen in der betagten Serverversion, die nicht mehr geschlossen werden. Verantwortliche im Unternehmen müssen sich über die Konsequenzen klar sein und rechtzeitig gegensteuern. Es ist zu erwarten, dass in nächster Zeit zahlreiche Hackertools erscheinen, welche Netzwerke mit Windows Server 2003 angreifen. In erster Linie dürften Webserver betroffen sein, die noch unter dem alten Betriebssystem laufen.

Der betagte Server-Manager in Windows Server 2003/2003 R2 gehört mittlerweile zum alten Eisen (Screenshot: Thomas Joos). [2]Der betagte Server-Manager in Windows Server 2003/2003 R2 gehört mittlerweile zum alten Eisen (Screenshot: Thomas Joos).

Sicherheitsgefahren durch Windows Server 2003

Alleine im Jahr 2013 wurden fast 40 Patches für Windows Server 2003/2003 R2 veröffentlicht. Das zeigt, wie viel Arbeit Microsoft [3] bisher in den Server gesteckt hat. Neue entdeckte Lücken werden ab dem 14.7.2015 nicht mehr geschlossen, das heißt die Server bleiben unsicher.

Standardmäßig ist Windows Server 2003 ohnehin kein sicherer Server, da die interne Windows-Firewall zwar installiert, aber nicht aktiviert ist. Das wird erst durch den internen Sicherheitskonfigurations-Assistenten (Security Configuration Wizard, SCW) erledigt. Diesen müssen Administratoren aber erst installieren, einrichten und überprüfen. Denn der Assistent kann durch die zahlreichen Sicherheitseinstellungen auch schnell Serverdienste außer Funktion setzen. Außerdem ist der SCW kein Garant dafür, dass der Server danach sicher ist. Sicherer als ohne SCW ist Windows Server 2003 mit SCW aber in jedem Fall.

Der Sicherheitskonfigurations-Assistent in Windows Server 2003 kann Windows-Server vor Angreifern schützen (Screenshot: Thomas Joos). [4]Der Sicherheitskonfigurations-Assistent in Windows Server 2003 kann Windows-Server vor Angreifern schützen (Screenshot: Thomas Joos).

 

Sobald ein Server mit einem Virus, Trojaner oder anderen Schädling befallen ist, kann er diesen im Netzwerk auch auf andere Server überspringen, selbst wenn auf diesen Servern nicht Windows Server 2003 installiert ist. Durch die zahlreichen Gefahren im Internet ist es heute nicht schwer einen solchen Schädling einzufangen, vor allem wenn ein Server über Sicherheitslücken verfügt.

Da auf Servern in vielen Fällen neben Standarddiensten wie Datei- und Druckdienste auch Zusatzlösungen wie Exchange, SQL oder SharePoint installiert sind, muss auch hier besonders aufmerksam vorgegangen werden. Auch Serveranwendungen von Drittherstellern sind oft installiert. Wenn das Betriebssystem kompromittiert ist, dann sind auch die gespeicherten Daten und installierten Serveranwendungen betroffen. Es droht also Datenverlust und Ausfall wichtiger Infrastrukturen im Netzwerk, was schlussendlich in Produktionsausfall mündet. Diese Serverdienste müssen bei Migrationen eingeplant werden, das gilt vor allem für Exchange und SQL, da hier besondere Angriffspotentiale schlummern.

Betagte Microsoft-Server wie Exchange Server 2003 müssen ebenfalls zu neuen Versionen migriert werden um Sicherheitsgefahren im Netzwerk zu vermeiden (Screenshot: Thomas Joos). [5]Betagte Microsoft-Server wie Exchange Server 2003 müssen ebenfalls zu neuen Versionen migriert werden um Sicherheitsgefahren im Netzwerk zu vermeiden (Screenshot: Thomas Joos).

 

Auch viele Standards und Vereinbarungen werden nicht mehr eingehalten, wenn Betriebssysteme eingesetzt werden, die keinerlei Support mehr erfahren. Hier drohen schnell Strafen. Ein Verlust von Kunden dürften die Folge sein. Dazu kommt der enorme Anstieg an Kosten, um vorhandene, veraltete Server in einen relativ sicheren Zustand zu überführen. Natürlich könnten Unternehmen diesen Sachverhalt auch einfach ignorieren, allerdings werden in diesem Fall enorme Risiken eingegangen.

Vor diesen Aufgaben stehen Unternehmen, die noch auf Windows Server 2003 setzen

Generell sollten Server mit Windows Server 2003/2003 R2 und SBS 2003/2003 R2 durch neue Versionen, andere Systeme oder andere Produkte ersetzt werden. Das will geplant und umgesetzt sein. Auch die Migration der installierten Anwendungen, Serverlösungen und Tools müssen Verantwortliche planen. Oft sind davon auch Verwaltungsprogramme, aber auch Sicherheitstools und komplexe Serverlösungen betroffen.

Bis zum Zeitpunkt der Migration sollten Verantwortliche außerdem die Sicherheit des Servers gewährleisten. Denn gerade derzeit suchen Cyberkriminelle verstärkt nach Sicherheitslücken, die sich ausnutzen lassen. Es muss daher eine Strategie her, wie alte Server vor Angriffen geschützt werden können, um nicht das gesamte Netzwerk in Gefahr zu bringen. Generell sollten unsichere Server vom Internet getrennt und im internen Netzwerk abgeschottet werden.

In größeren Unternehmen sollten Verantwortliche daher zunächst eine Liste aller vorhandenen Server mit Windows Server 2003/2003 R2 und SBS 2003/2003 R2 erstellen. Auch die installierten Serveranwendungen sollten erfasst werden, genauso wie der aktuelle Patchstand des Servers.

Microsoft unterstützt in diesem Bereich mit dem Microsoft Assessment and Planning Toolkit [6]. Mit dieser Sammlung erfassen Administratoren alle Server, inklusive der installierten Anwendungen.

Mit dem kostenlosen Microsoft Assessment and Planning Toolkit unterstützt Microsoft Unternehmen bei der Migration (Screenshot: Thomas Joos). [7]Mit dem kostenlosen Microsoft Assessment and Planning Toolkit unterstützt Microsoft Unternehmen bei der Migration (Screenshot: Thomas Joos).


Klassifizierung und Kategorisierung der zu migrierenden Server

Wenn die Server und deren Dienste erfasst sind, die migriert werden müssen, besteht der nächste Schritt darin, die Migrationen genauer zu klassifizieren. Es muss festgestellt werden, wie komplex die Migration der einzelnen Serverdienste und Server ist. Auch Risiken und Möglichkeiten neuer Versionen sollten an dieser Stelle erfasst werden. Unternehmen sollten nicht nur die Risiken und Kosten von Migrationen sehen, sondern auch die Möglichkeiten, die neue Versionen bieten.

Über diesen Bereich können jetzt Verantwortliche auch festlegen, zu welcher neuen Version von Windows-Server gewechselt werden soll. Hier stehen verschiedene Möglichkeiten zur Verfügung, natürlich auch der Wechsel zu einem anderen Betriebssystem oder einer anderer Technologie, doch dazu später mehr. Basis der Klassifizierung und Kategorisierung muss eine genaue Zielfestlegung sein.

Dateiserver mit Windows Server 2003 lassen sich durchaus auch zu NAS-Systemen migrieren. Diese bieten teilweise sogar mehr Möglichkeiten, als die betagte Serverversion (Screenshot: Thomas Joos). [8]Dateiserver mit Windows Server 2003 lassen sich durchaus auch zu NAS-Systemen migrieren. Diese bieten teilweise sogar mehr Möglichkeiten, als die betagte Serverversion (Screenshot: Thomas Joos).

Lizenzierung planen und optimieren – On-Premise, Cloud und virtuelle Umgebungen

Auch das Thema Lizenzierung muss in diesem Bereich beachtet werden. Microsoft bietet zahlreiche neue Lizenz-Systeme an, die in Windows Server 2003 noch nicht verfügbar waren. Mit der Cloudlösung Microsoft Enterprise Mobility Suite (EMS) will der Hersteller zum Beispiel dabei helfen, die Infrastruktur von Unternehmen besser zu verwalten und sie an die Cloud anbinden zu können.

Die Suite besteht aus drei Säulen: Windows Intune, Azure Active Directory Premium und Azure Active Directory Rights Management. Die drei Technologien arbeiten optimal zusammen, auf Wunsch auch mit anderen Azure-Diensten und Office [9] 365. Es besteht also durchaus Einsparpotential im Auslagern von Diensten alter Server in die Cloud. Das kann natürlich auch im Rahmen der Windows Server 2003-Migration erfolgen. Unternehmen benötigen keine eigenen Server mit EMS und es ist auch keine Installation oder Verwaltung des Dienstes notwendig. Die Konfiguration erfolgt komplett über die Weboberfläche oder Zusatzwerkzeugen. Die Suite kostet pro angebundenen Anwender im Monat 7,50 Dollar, das ist wesentlich günstiger als ein Abo aller drei Bestandteile zusammen. EMS stellt einen zentralen Knoten für die Verbindung lokaler Netzwerke, Arbeitsstationen, mobilen Geräten, Windows Azure und Office 365 dar.

Um EMS zu lizenzieren, benötigen Unternehmen für die Anwender oder Geräte eine aktive Software Assurance für CoreCAL, ECAL oder BridgeCAL für Microsoft Office [9] 365.  Seit dem 01.07.2014 können Unternehmen, die auf Office 365 E3 oder E4 setzen, die Azure Active Directory-Rechteverwaltung auch mit externen Diensten außerhalb von Office 365 nutzen.

Umfrage

Der Support von Windows Server 2003 wird am 14. Juli 2015 eingestellt. Sind in Ihrem Unternehmen noch Server mit dem über 10 Jahre alten Betriebssystem im Einsatz?

Ergebnisse anzeigen [10]

Loading ... Loading ...

Serverlizenzen enthalten standardmäßig keinerlei CALs (Client Access Licences). In wenigen Ausnahmen bietet Microsoft mit bestimmten Serverversionen und ein paar CALs im Bundle mit an. Diese sollten in die Berechnung der Lizenzkosten natürlich mit einberechnet werden, vor allem wenn Windows Server 2003 gegen Windows Server 2012 R2 ersetzt werden soll.  Für Windows Server 2012 R2 können Unternehmen Serverlizenzen kaufen und CALs zur Lizenzierung verwenden. Das ist in den meisten Fällen auch der einfachste Weg. In diesem Spezialfall sind CALs für Server mit Windows Server 2012 auch für Windows Server 2012 R2 gültig, das gilt auch für RD-CALs oder CALs für die Active Directory-Rechteverwaltung. Normalerweise ist das nicht gestattet.

Ausnahmen bilden hier die Editionen Foundation und Essentials von Windows Server 2012 R2. Denn hier benötigen Unternehmen keine CALs, dürfen dafür aber nur 25 Benutzer (Essentials) oder 15 Benutzer (Foundation) anbinden. Außerdem dürfen die Server nur über maximal zwei Prozessoren (Essentials), beziehungsweise nur einem Prozessor (Foundation) verfügbar. Dieser Fall ist in Windows Server 2012 R2 aber nur eine Ausnahme, denn CALs für Windows Server 2003 sind weder in Windows Server 2012 noch in Windows Server 2012 R2 gültig und auch nicht in Windows Server 2008/2008 R2.

Bei der Lizenzierung eines neuen Servers müssen Unternehmen auch die Lizenzierung beachten (Bild: Thomas Joos). [11]Bei der Einführung eines neuen Servers müssen Unternehmen auch die Lizenzierung beachten (Bild: Thomas Joos).

 

Sobald also der Nachfolger von Windows Server 2012 R2 erscheint, sollten Unternehmen bei Neu-Lizenzierungen besser auf CALs der Nachfolgeversion setzen und diese mit Windows Server 2012 R2 einsetzen. Bei einer späteren Migration kann das einiges an Kosten ersparen, da die CALs bereits vorliegen.

Um die Lizenzierung  mit zusätzlichen Produkten wie Exchange zu vereinfachen, bietet Microsoft CAL-Suites an. Diese fassen notwendige CALs für Windows und Exchange zu einer Suite zusammen, die günstiger ist, als die Lizenzierung aller Produkte einzeln. Unternehmen dürfen beim Einsatz einer CAL-Suite immer auf die neusten Versionen der lizenzierten Produkte zugreifen

Bei der Datacenter-Edition von Windows Server 2012 R2 sind alle VMs bereits lizenziert und werden auch automatisch aktiviert, wenn der Hyper-V-Host selbst aktiviert ist. CALs sind aber auch für diese virtuellen Server notwendig.  Auf Servern mit Windows Server 2012 R2 Standard dürfen Unternehmen zwei virtuelle Server pro Lizenz installieren. Sollen auf einem Hyper-V-Host mehr virtuelle Server im Einsatz sein, sind mehrere Lizenzen für die Standard-Edition notwendig, oder eben eine Datacenter-Lizenz. Wenn in einem Unternehmen CALs und Server zugewiesen sind, dürfen Verantwortlich bis zu 90 Tage lang eine Neuzuweisung vornehmen. Das ist aber nur in einer von Microsoft bezeichneten „Serverfarm“ erlaubt. Dabei handelt es sich um eine Serverumgebung eines Unternehmens mit maximal zwei Rechenzentren. Diese müssen in Zeitzonen positioniert sein, die maximal 4 Stunden auseinanderliegen. Außerdem müssen sich die Server in der Europäischen Union (EU) und/oder der Europäischen Freihandelsassoziation (EFTA) befinden.

In Windows Azure können Administratoren auch VMs erstellen. Auf diesen VMs können Unternehmen eigene Dienste installieren, oder vorinstallierte Images verwenden. Die Abrechnung und Lizenzierung erfolgt über Windows Azure durch den Minutenpreis der VM, weitere Lizenzen sind nicht notwendig.  Unternehmen benötigen für den Zugriff über eine Windows Azure-VM keine Server-Clientzugriffslizenzen.

Möglichkeiten der Migration – Neue Serversysteme, Cloud oder Virtualisierung

Neben einfacher Migration zu einem neuen Betriebssystem lassen sich einzelne Server unter Umständen auch durch Linux oder ein NAS-System ersetzen. Beide Systeme haben in den letzten 10 Jahren enorme Fortschritte gemacht und sind durchaus in der Lage viele vorhandene Server abzulösen. Werden auf dem Server Dienste wie Exchange, SharePoint oder Microsoft SQL Server verwendet, müssen dafür entweder Alternativen eingesetzt werden oder die Lösungen müssen zukünftig auf anderen Servern betrieben werden.

Linux-Server können ebenfalls die Aufgaben betagter Windows-Server übernehmen, auch im E-Mail-Bereich (Screenshot: Thomas Joos). [12]Linux-Server können ebenfalls die Aufgaben betagter Windows-Server übernehmen, auch im E-Mail-Bereich (Screenshot: Thomas Joos).

 

Einfache Migrationen lassen sich durchführen, wenn Administratoren Server direkt auf Windows Server 2008/2008 R2 aktualisieren. Das ist mit Windows Server 2003 auf der gleichen Hardware möglich. Vorteile dabei sind schnelle Migrationen durch direkte Aktualisierungen und weitere Jahre Sicherheit was den Support angeht. Der Support von Windows Server 2008/2008 R2 läuft am 14.01.2020 aus [13]. Allerdings werden dabei auch Altlasten übernommen und neue Technologien, wie Hyper-V-Replikation und mehr Sicherheit, ausgeklammert. Außerdem müssen dafür Lizenzen zur Verfügung stehen. Diese Möglichkeit stellt aber zumindest einen Zwischenschritt dar um einen veralteten Server zeitweise weiter zu betreiben. Generell unterstützt Microsoft in dieser Hinsicht auch mit dem Microsoft Deployment Toolkit [14] bei der Migration.

Fazit

Unternehmen, die noch Windows Server 2003 verwenden, müssen spätestens jetzt aktiv werden. Entweder muss der Server vom Internet abgeschnitten und im internen Netzwerk abgesichert, oder ersetzt werden. Womit Unternehmen einen Server mit Windows Server 2003 ersetzen ist offen. Am einfachsten ist die Migration zu Windows Server 2008/2008 R2, am besten ein Wechsel zu Windows Server 2012 R2. Der Nachfolger Windows 10 [15] Server lässt wohl bis Anfang 2016 auf sich warten, was unnötiges Risiko bedeutet. Ein Wechsel zu Linux, einer Hardware-Appliance oder einem NAS-System ist ebenso denkbar. Auch das Auslagern von Serverdiensten in die Cloud oder in eine virtuelle Infrastruktur ist möglich. Es gibt viele Wege, aber nur ein sicheres Ziel: Windows Server 2003 muss ersetzt werden.

Artikel von ZDNet.de: http://www.zdnet.de

URL zum Artikel: http://www.zdnet.de/88218056/support-ende-von-windows-server-2003-das-muessen-it-manager-wissen-und-beachten/

URLs in this post:

[1] Microsoft stellt die Unterstützung für Windows Server 2003 ein: http://www.microsoft.com/de-de/server-cloud/products/windows-server-2003

[2] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-01-e1423053372667.jpg

[3] Microsoft: http://www.zdnet.de/unternehmen/microsoft/

[4] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-04.jpg

[5] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-05.jpg

[6] Microsoft Assessment and Planning Toolkit: http://www.microsoft.com/en-us/download/details.aspx?id=7826

[7] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-02.jpg

[8] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-06-e1423053781431.jpg

[9] Office: http://www.zdnet.de/themen/office-2013/

[10] Ergebnisse anzeigen: #ViewPollResults

[11] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-03-e1423053826838.jpg

[12] Image: http://www.zdnet.de/wp-content/uploads/2015/02/w-07-e1423053906615.jpg

[13] Der Support von Windows Server 2008/2008 R2 läuft am 14.01.2020 aus: http://support.microsoft.com/lifecycle/?c2=1163

[14] Microsoft Deployment Toolkit: https://technet.microsoft.com/de-de/windows/dn475741.aspx

[15] Windows 10: http://www.zdnet.de/themen/windows-10/

[16] Achtung Support-Ende: Alternativen zu Windows Server 2003: http://www.zdnet.de/88218330/achtung-support-ende-alternativen-zu-windows-server-2003/

[17] Mit kostenlosen Lösungen Windows Server 2003 ersetzen: http://www.zdnet.de/88219026/mit-kostenlosen-loesungen-windows-server-2003-ersetzen/

[18] Windows Server 2003 für den weiteren Einsatz optimieren: http://www.zdnet.de/88218546/windows-server-2003-fuer-den-weiteren-einsatz-optimieren/

[19] Support-Ende von Windows Server 2003: Das müssen IT-Manager wissen und beachten: http://www.zdnet.de/88218056/support-ende-von-windows-server-2003-das-muessen-it-manager-wissen-und-beachten/