Komplette Microsoft-Server-Umgebung aufbauen: Der Praxis-Leitfaden

Der Satz fällt oft im ersten Gespräch: „Die Server müssen mal komplett neu." Meistens steht dann das alte Blech seit acht, zehn, manchmal zwölf Jahren im Serverraum, Windows Server 2012 R2 ist längst aus dem Support, die Backups laufen „irgendwie", und wenn mal ein Mitarbeiter neu ins Unternehmen kommt, weiß niemand mehr so recht, welche Gruppenmitgliedschaften der braucht. Das ist der typische Zustand, aus dem heraus ein Server-Neubau entsteht.

Ein solches Projekt ist kein Nachmittags-Job. In meinen größeren Kundenprojekten bewegen wir uns schnell im sechsstelligen Bereich, wenn man Hardware, Lizenzen, Arbeitszeit und die Vorbereitung zusammenrechnet. Und genau deshalb lohnt es sich, sauber vorzugehen.

1. Bedarfsanalyse: Was muss das neue System können?

Bevor auch nur ein einziges Datenblatt angeschaut wird, geht es ans Zuhören. Ich sitze im ersten Termin meistens zwei bis drei Stunden mit der Geschäftsführung und dem IT-Verantwortlichen zusammen und kläre:

Wie viele Benutzer? Nicht nur heute, sondern mit Blick auf die nächsten fünf Jahre.
Welche Anwendungen laufen? ERP, CRM, Branchensoftware, Fachanwendungen – jede hat eigene Anforderungen an CPU, RAM und Storage.
E-Mail: On-Premise oder Microsoft 365? Exchange Server oder der Umzug zu Microsoft 365 ist eine grundlegende Weichenstellung.
Welche Compliance-Anforderungen gelten? DSGVO ist das Minimum; in bestimmten Branchen kommen NIS2, BaFin-Vorgaben oder ISO 27001 hinzu.
Wie sieht die Außenanbindung aus? Filialen, Home-Office, mobile Mitarbeitende – alles, was Einfluss auf VPN und Firewall hat.
Was ist das Notfall-Szenario? Wie lange darf die Firma im schlimmsten Fall still stehen? Eine Stunde? Ein Tag?

Aus diesen Antworten entsteht die RPO/RTO-Definition (Recovery Point Objective, Recovery Time Objective), die später maßgeblich bestimmt, wie aufwendig Backup und Redundanz ausgelegt werden müssen.

2. Hardware-Auswahl: Lieber zwei mittlere Server als einen großen

Ein häufiger Fehler in der Dimensionierung: Ein einzelner, sehr potenter Server sieht auf dem Papier nach einem guten Deal aus. In der Praxis ist das selten die beste Entscheidung. Bei einem Hardware-Defekt steht das ganze Unternehmen still.

Mein Standard-Setup für Unternehmen zwischen 20 und 150 Arbeitsplätzen sieht meist so aus:

Zwei Hyper-V-Hosts (zum Beispiel Dell PowerEdge R760 oder HPE ProLiant DL380 Gen11, je nach Kundenpräferenz)
Shared Storage oder Storage Spaces Direct für Live Migration
Redundantes Netzteil, mehrere NICs, iDRAC/iLO für Remote-Management
NVMe-SSDs im RAID 10 für Datenbank- und Produktiv-VMs, zusätzlich eine SAS-HDD-Ebene für Archive und Backup-Kopien
Mindestens 128 GB RAM pro Host, eher großzügig kalkuliert
USV mit ausreichender Laufzeit für einen kontrollierten Shutdown

Das klingt nach Überdimensionierung, aber RAM wird in jeder Umgebung zuerst knapp. Lieber zu Beginn ein paar Tausend Euro mehr investieren, als nach zwei Jahren nachrüsten zu müssen.

3. Lizenzierung sauber aufziehen

Ein Thema, bei dem viele Geschäftsführer spontan die Augen verdrehen: Windows-Server-Lizenzen. Windows Server 2022/2025 wird pro Core lizenziert (Mindestabnahme 16 Cores pro Host), dazu kommen CALs für jeden Benutzer oder jedes Gerät. Für Remote-Desktop-Services nochmal zusätzliche CALs.

In der Praxis bedeutet das: Bei zwei Hosts mit jeweils zwei Prozessoren zu acht Kernen sind das 32 Core-Lizenzen, bei 80 Mitarbeitenden 80 User-CALs. Microsoft 365 Apps for Business oder Business Standard sind lizenztechnisch oft einfacher und planbarer, gerade bei wachsenden Unternehmen. In vielen Fällen empfehle ich inzwischen den Hybrid-Ansatz: Active Directory On-Premise für den lokalen Login, Exchange Online und OneDrive in der Cloud.

4. Active Directory: Das Fundament jeder Windows-Umgebung

Das Active Directory ist das Herzstück. Alle Benutzerkonten, Gruppen, Berechtigungen, Gruppenrichtlinien und Dateifreigaben hängen davon ab. Wenn das AD schlecht strukturiert ist, rächt sich das jahrelang.

Meine Grundregeln beim Aufbau:

Zwei Domain Controller – einen auf jedem Hyper-V-Host. Damit gibt es nie einen Single Point of Failure.
Saubere OU-Struktur, die an den Abteilungen des Unternehmens ausgerichtet ist. Nicht an der Hardware, nicht an alten Windows-Gruppen. Struktur folgt der Organisation.
Gruppenkonzept nach AGDLP (Account, Global Group, Domain Local Group, Permission). Berechtigungen kommen immer auf Gruppen, nie direkt auf Benutzer.
Service-Accounts in einer eigenen OU, mit eigenen Passwort-Richtlinien und Deny Interactive Logon.
Dedizierte Admin-Accounts. Der Tages-Account eines Administrators ist nie Domain-Admin. Dafür gibt es separate Konten mit langen, zufälligen Passwörtern.
FSMO-Rollen bewusst platziert und dokumentiert.

Ich nehme mir bei jedem Neubau die Zeit, das AD vor dem Go-Live komplett durchzuplanen. Jede OU, jede Gruppe, jede Richtlinie steht vorher auf dem Papier. Das erspart später Rückbauten.

5. Dateiserver mit DFS und Schattenkopien

Der klassische Fileserver lebt weiter. In 95 Prozent meiner Projekte ist ein zentrales Dateiablage-System der zentrale Anlaufpunkt. Wichtig ist:

DFS-Namespaces, damit Freigabepfade stabil bleiben, auch wenn der Server umgezogen wird (\\firma.local\daten statt \\srv-file-01\daten).
Volumen-Schattenkopien (VSS) mehrmals täglich, damit Anwender selbst zu einer früheren Version zurück können.
NTFS-Berechtigungen über Gruppen, nicht über Einzelbenutzer.
Dateiprüfungen, um zu verhindern, dass MP3- oder Videodateien den Speicherplatz zumüllen.
Ressourcenmanager-Richtlinien, die bei verdächtigen Schreibmustern (z.B. Ransomware) Alarm schlagen.

6. E-Mail: Exchange oder Microsoft 365?

Diese Frage entscheidet sich zunehmend zugunsten von Microsoft 365. Die Gründe: kein Exchange-Server mehr patchen, keine Sorge um Erreichbarkeit bei Stromausfall, eingebauter Spam- und Malware-Schutz, globale Verfügbarkeit.

Wann On-Premise-Exchange trotzdem sinnvoll ist: Wenn Branchen- oder Compliance-Anforderungen es explizit fordern, wenn spezifische Integrationen mit Fachsoftware bestehen, oder wenn die Internet-Anbindung nicht zuverlässig genug ist. In allen anderen Fällen: Hybrid-Setup mit Exchange Online.

7. Backup: Die unsichtbare Versicherung

Backups sind der Bereich, in dem bei Neubauprojekten am häufigsten gespart wird – und dann zwei Jahre später der Ärger am größten ist. Mein Standardansatz ist die 3-2-1-Regel: drei Kopien der Daten, auf zwei verschiedenen Medientypen, davon eine Kopie an einem anderen Ort.

In der Praxis sieht das meistens so aus:

Veeam Backup & Replication als zentrale Backup-Software
NAS im Serverraum (oft Synology oder QNAP) als erstes Backup-Ziel mit schnellen Restore-Zeiten
Zweite Kopie außer Haus – entweder in ein angemietetes Rack im Rechenzentrum oder zu einem Cloud-Backup-Anbieter mit Immutable-Storage
Monatlicher Restore-Test. Nicht jede Datei, aber ein stichprobenhafter Restore einer VM, damit klar ist: Das Backup funktioniert wirklich.

8. Sicherheit von Anfang an mitdenken

Die Neuauflage der IT ist der beste Zeitpunkt, Sicherheits-Standards endlich richtig umzusetzen. Was dazu gehört:

Firewall vor dem internen Netz, mit sauberem Regelwerk und Intrusion-Detection
VLAN-Segmentierung: Büro-Netz, Server-Netz, Produktions-Netz, IoT-Netz, Gäste-WLAN – alles getrennt
MFA für Administratoren, idealerweise auch für normale Benutzer (Microsoft Authenticator oder Hardware-Token)
Endpoint-Protection (Defender for Business, Sophos Central oder vergleichbar)
WSUS oder Intune für kontrolliertes Patch-Management
Gehärtete Gruppenrichtlinien nach CIS-Benchmarks
Logging & zentrale Sammlung, damit im Ernstfall nachvollziehbar ist, was passiert ist

9. Der Go-Live: Ein Wochenende, das vorher stundenlang geprobt wurde

Der eigentliche Umstieg auf die neuen Server findet meistens an einem Wochenende statt, meist über Ostern oder Pfingsten, wenn der Betrieb ohnehin ruhig ist. Vorher laufen beide Umgebungen oft wochenlang parallel, Daten werden schrittweise synchronisiert.

Ein typischer Ablauf:

Freitagabend: Finale Datensynchronisation, Mitarbeitende gehen aus dem System
Samstag vormittags: Umstellung der DNS-Einträge, Umbiegen der Drucker, Anpassung der Client-Konfigurationen per GPO
Samstag nachmittag: Tests mit ein bis zwei Pilotanwendern
Sonntag: Stabilisierung, letzte Korrekturen
Montag früh: Vor-Ort-Präsenz beim Kunden ab sieben Uhr, um offene Fragen direkt zu klären

Die erste Arbeitswoche auf dem neuen System ist oft nochmal anstrengend. Dafür läuft die Umgebung dann meistens in einer Qualität, die man vorher nicht kannte.

10. Dokumentation: Das, was zuletzt gemacht wird – und das Wichtigste ist

Jedes Projekt endet mit einer vollständigen Dokumentation: Netzwerkplan, IP-Schema, Server-Liste, AD-Struktur, Gruppenrichtlinien-Übersicht, Backup-Konzept, Wiederherstellungsplan, Notfallkontakte. Diese Unterlagen gehören dem Kunden. Damit er auch dann handlungsfähig bleibt, wenn er irgendwann einen anderen Partner hätte.

Fazit

Ein kompletter Server-Neubau ist eine Investition, die für fünf bis acht Jahre halten soll. Was in dieser Zeit auf dem neuen System läuft, steht und fällt mit der Qualität der Planung in den ersten vier Wochen. Wer hier die Zeit investiert und einen Partner findet, der nicht nur installiert, sondern mitdenkt, spart sich später viel Ärger – und oft auch eine Menge Geld.

Wenn Sie gerade vor einer solchen Entscheidung stehen, melden Sie sich gerne. Eine erste Einschätzung zur Machbarkeit und zum Aufwand gibt es kostenfrei.

Häufige Fragen

Wie lange dauert der komplette Neubau einer Firmen-IT?

Bei einem mittelständischen Unternehmen mit 20–100 Arbeitsplätzen rechne ich mit ein bis drei Monaten – von der ersten Bedarfsanalyse bis zum stabilen Regelbetrieb. Die reine Umstellung findet meist an einem verlängerten Wochenende statt, die Vorbereitung ist der weitaus größere Teil.

Welche Kosten sind realistisch?

Das hängt stark von Größe und Anforderungen ab. Für ein typisches mittelständisches Projekt mit zwei Hyper-V-Hosts, Shared Storage, Active Directory, Fileserver, Backup-Infrastruktur, Firewall und Netzwerk-Rebuild liegen die Gesamtkosten (Hardware + Lizenzen + Implementierung) in der Regel zwischen 60.000 € und 250.000 €. Bei größeren Umgebungen auch darüber.

Müssen alle alten Daten mit umziehen?

In der Regel ja. Ich ziehe Dateiserver, Active-Directory-Strukturen, Postfächer und Anwendungsdaten vollständig um. Parallel prüfen wir, was wirklich noch gebraucht wird – ein Neubau ist oft die beste Gelegenheit, alte Datenhalden sauber zu archivieren oder zu entsorgen.

Wie wird sichergestellt, dass während der Umstellung nichts verloren geht?

Die neue Umgebung läuft zunächst parallel zur alten. Daten werden mehrfach synchronisiert, und vor der finalen Umstellung gibt es eine letzte Vollsicherung der Alt-Umgebung. Die alte Hardware bleibt nach dem Umzug mindestens zwei Wochen im Standby, damit wir im Zweifel jederzeit zurück können.

Betreut Netzking die Server auch nach dem Go-Live?

Ja. Nach dem Go-Live geht das Projekt in den regulären Wartungsbetrieb über – Monitoring, Patch-Management, regelmäßige Backup-Tests, Benutzerverwaltung, Störungsbehebung. Das läuft entweder als monatliche Pauschale oder nach Stundenaufwand, je nach Bedarf des Unternehmens.

CV

Über den Autor

Christian Voß ist IT-Systemadministrator mit über 20 Jahren Erfahrung und Inhaber von Netzking in Lehrte bei Hannover. Er plant, baut und betreibt Microsoft-Server-Landschaften und Netzwerke für Unternehmen in Niedersachsen.

IT-Service anfragen → Weitere Artikel →

Klingt das nach Ihrem Thema?

Sprechen wir darüber, wie ich Ihre Server-Landschaft fit machen kann.

Unverbindliche Anfrage