Categories
Allgemein Windows
ITERACON, SCCM

Es war einmal: der Gordische Doppelknoten

Bei der ITERACON wurde seit der Firmengründung eine eigene IT-Umgebung mit verschiedenen Systemen wie File-/Print-Server, Exchange, Client-Management (SCCM), Skype-for-Business etc. betrieben. Traditionell wuchs die Menge der Server etwa genauso stark wie die Menge der Mitarbeiter, was für ein IT-Systemhaus vielleicht auch gar nicht so ungewöhnlich ist. Vor allem für Tests wurden immer wieder Server aufgesetzt und nach Test-Abschluss nicht unbedingt wieder zurückgebaut. So entstand über die Jahre ein solider „Gordischer Doppelknoten“ von fast 60 Servern, die alle irgendwie wichtig und alle irgendwie voneinander abhängig waren. Dabei war es gelungen, auch noch Azure, Exchange-Online und OneDrive als Cloud-Dienste in unser informationstechnisches Kunstwerk mit einzuweben. “hmm…?” sagte da der Chef, den scheinbar der hohe technische Anspruch unserer Leistung nicht recht begeistern wollte.

Als wir Anfang 2018 in die Planungen für ein neues Firmengebäude einstiegen, wurde irgendwann klar, dass der Umzug dieser IT-„Lösung“ recht aufwändig würde, weil für alle Server entsprechende Migrationsüberlegungen unter Berücksichtigung der Abhängigkeiten und Netzanbindungen anzustellen wären. Da auch die vorhandenen Computing-Ressourcen schon älter waren, wurde vom Chef die Parole ausgegeben, möglichst alles in die Cloud zu verlagern, den Umzug lokaler Systeme auf ein Minimum zu reduzieren und Investitionen in neue lokale Hardware zu vermeiden. Vor allem sollte die Verwaltung der Systeme zukünftig einfacher werden, so dass später ein standardisierter IT-Betrieb nach einfachen Regeln die frühere Verwaltung einzelner Systeme durch die jeweils dafür zuständigen Experten ersetzen würde.

Probleme? Lösungen!

Wir starteten also ein Cloud-Projekt und suchten Lösungen für unsere vorhandenen „Schätzchen“. Aus File-Server wurde SharePoint Online, aber geht das auch für alle Dateitypen? Im Prinzip ja. Die befürchteten Probleme mit nicht Cloud-fähigen Dateitypen blieben aus. Zudem haben wir Home-Shares in OneDrive abgebildet. Dank des aktuellen OneDrive Sync-Clients binden sich SharePoint und OneDrive elegant in den Explorer ein und können auch von Laien leicht bedient werden. Mobiles Arbeiten wird kinderleicht.

Aus Exchange on-premises wurde Exchange Online, wobei wir Exchange Online schon seit mehreren Jahren nutzten und im Hybrid-Modus betrieben. Das war also eigentlich nicht mehr neu. Durch den Umstieg auf einen reinen Exchange Online konnten wir jedoch nun auf alle lokalen Lösungen zum Internet-Publishing (Reverse-Proxy, split-brain DNS, Jonglieren mit öffentlichen Zertifikaten) verzichten. Es war ein befreiendes Gefühl, all diese komplexen Teillösungen inkl. der dazugehörenden Firewall-Regeln einfach abzuschalten. Zudem brauchen wir neue Mailboxen nun nicht mehr lokal anzulegen und in die Cloud zu schieben, alles geschieht online.

Wir hatten uns aus akademischem Ehrgeiz früher eine klassische Software-Verteilung mit dem MS SystemCenter Configuration Manager (SCCM) geleistet. Über diese installierten wir Windows, verteilten einige Client-Applikationen und hielten die Client-Betriebssysteme inklusive ihren Virenscannern (MS Defender) aktuell. Hier heißen die neuen Lösungen Microsoft Intune und Autopilot. Über Autopilot werden heute die Windows-Betriebssysteme selbst bereitgestellt und in einen definierten Grundzustand gebracht. Über Intune werden die Systeme dann verwaltet und abgesichert. Die Unternehmens Portal App von Intune wird als Store für die Verteilung von Software genutzt. AV- und Patchmanagement kommen direkt online von Microsoft.

Schon recht komplex war unsere frühere Lync Infrastruktur mit ihrem Session Border Controller, Frond-End- und Edge-Server, Office WebApp Server und einigen Sonderlösungen für Fax und Co. Troubleshooting am Call-Routing war im hybriden Zustand ein Albtraum. Regelmäßig suchten wir an den Firewalls nach möglichen Ursachen für abgebrochene Sessions oder einseitige Voice-Verbindungen. Das alles konnten wir über einige Zwischenschritte inklusive unseres Amtskopfes (+49-2451-9434) nach Teams Online überführen. Wir waren skeptisch, ob Microsoft wirklich die von klassischen Providern wie der Telekom gewohnte Qualität liefern kann. Die Antwort lautet hier: ja – und die klassischen Provider werden weiter für die Bereitstellung von zuverlässigen Netzen / Internet-Zugängen benötigt. Allerdings bedarf es wohl bei Microsoft noch einiger liebevoller Arbeit am Teams-Client, um ihn bezüglich der Telefonie wirklich business-tauglich zu bekommen. Das kommt dann hoffentlich als nächstes.

Die meisten unserer Unternehmens-Applikationen waren von vorneherein als Cloud-Lösungen implementiert (CRM, Lohnbuchhaltung, Antragswesen etc.) und konnten bleiben, wie sie sind. In MS Azure haben wir dann zusätzlich noch 4 Server für besondere Zwecke eingerichtet und angebunden. Hier wurden die z.B. WLAN-Authentisierung und ein Ticket-System angesiedelt. Es findet sich auch ein Remote-Desktop-Server als Ausgangspunkt für den gesicherten Übergang in von uns betreute Kundenumgebunden. Diese Systeme sind allesamt in die Azure AD Domain-Services eingebunden und erzeugen damit das etwas nostalgisches Flair eines internen und sicheren Netzbereichs. Test-Maschinen laufen nun auch in Azure, aber natürlich nicht mehr in unserer primären Subscription. Die Consultants bauen sich in Azure ihre Testumgebungen nach Bedarf und reißen sie angesichts der fortlaufenden Mietkosten nach Testende auch wieder ab.

Das Azure-AD war natürlich von Anfang an mit unserem lokalen AD synchronisiert. Das aufwändige ADFS konnten wir zunächst durch PTA ablösen. Die Aufgabenstellung für die Cloud-Migration war aber, diesen Sync vollständig abzuschneiden und das AAD als reine Cloud-Instanz zu betreiben. Dies war nach der Client-Umstellung auf Autopilot/Intune der letzte Schritt im gesamten Migrationsablauf. So konnten sukzessiv alle lokalen Server inklusive der Domain-Controller des alten on-premises AD ausgeknipst werden, bis wir schließlich nur noch ein Blech für die Datensicherung von O365-Daten übrigbehielten. Das verlagern wir dann zukünftig einmal in die Cloud.

Was hat uns diese Umstellung nun insgesamt gebracht?

Für den Umzug in unser neues Gebäude müssen wir nun nur noch einen lokalen Datensicherungs-Server und das Thema Netzwerk berücksichtigen. Die ca. 60 ursprünglichen Server sind aus und werden nicht mehr benötigt. Die Mitarbeiter können relativ unabhängig vom Unternehmensnetz von überall sicher arbeiten; eine VPN-Einwahl wird nur noch für Sonderaufgaben benötigt. Die früher für lokale Systeme über Firewalls und Reverse-Proxies erreichte Zugangssicherheit ist heute im Wesentlichen auf die Applikationsebene verschoben – der Zugriff auf Online-Daten erfordert immer zwei Faktoren wie z.B. Username/Password + regelkonformes Firmenendgerät.

Insbesondere sind wir im Tagesbetrieb deutlich unabhängiger von allen komplexen Abhängigkeiten der ursprünglichen lokalen Server, der per Firewall isolierten Netzbereiche und dem über etliche Consultants verteiltem Know-how. Der größte Teil der Administration findet heute in den Verwaltungsportalen von Microsoft Azure und Office365 statt, ist dort deutlich kompakter und damit einfacher an die zuständigen Administratoren delegierbar. Auch bringen uns Ausfälle in der lokalen Basis-Infrastruktur (Strom / Klima) nicht mehr so sehr ins Schwitzen: wir können notfalls ins Home-Office umziehen und dort ohne funktionelle Einschränkungen weiterarbeiten.

Schließlich konnte der anstehende Ersatz der veralteten Server- und Storage-Systeme zugunsten der Online- und IAAS-Dienste von Microsoft entfallen. Die Erneuerung der Virtualisierungs-Hardware allein hätte voraussichtlich wieder mehrere 10 Tausend Euro verschlungen. Dem gegenüber stehen heute Mietkosten im dreistelligen Bereich pro Monat für Azure-IAAS Dienste (virtuelle Server inkl. Lizenzen). Die im Wesentlichen genutzten Office-365 Online-Dienste Exchange, SharePoint mit OneDrive etc. sowie Security Services wie Intune und Advanced Threat Protection waren von vorneherein über die Microsoft Online Lizenzen abgedeckt – wir haben sie früher nur nicht in letzter Konsequenz genutzt oder auch nutzen können.

Lt. unserem Chef erfüllen wir jetzt unser Credo, dass IT einfach, flexibel und sicher sein muss, perfekt und leben das vor, was wir vermarkten.

nach oben