Um den standortübergreifenden Zugriff auf Daten und Anwendungen zu vereinfachen und den IT-Verwaltungsaufwand zu reduzieren, hat die HS Elektronik Systeme GmbH ihren lokalen Identitätsdienst Active Directory in die globale Struktur ihres Mutterkonzerns Collins Aerospace integriert. Die Seefried IT GmbH wurde mit der Planung, Projektleitung und Durchführung dieser Migration beauftragt und konnte das Projekt in einem Zeitraum von 9 Monaten erfolgreich abschließen.
Die HS Elektronik Systeme GmbH ist ein Elektroniktechnologieunternehmen in der Luft- und Raumfahrtindustrie, welches mittlerweile auf eine über dreißigjährige Firmenhistorie am Standort in Nördlingen zurückblicken kann. Das Unternehmen entwickelt und produziert programmierbare Leistungsschaltungen für Anwendungen in der zivilen und militärischen Luft- und Raumfahrt. Seit 2018 gehört die HS Elektronik Systeme GmbH als selbständiges Tochterunternehmen der Collins Aerospace an. Durch den Zusammenschluss der United Technologies Corporation und der Raytheon Corporation im Jahr 2020 ist das Unternehmen nun Teil der Raytheon Technologies Corporation mit ca. 195.000 Mitarbeitern.
Am Standort Nördlingen entwickelt und produziert das Unternehmen seine einzigartige und patentgeschützte Technologie, in enger Zusammenarbeit mit seinem US-amerikanischen Mutterkonzern Collins Aerospace. Insbesondere diese technologische Kollaboration zwischen den Standorten führt zu dem Austausch von technischen Daten und der Nutzung von gemeinsamen IT-Systemen über Standortgrenzen hinweg. Um diesen Prozess zu verbessern und abzusichern, entschied sich das Unternehmen, zukünftig einen gemeinsamen globalen Identitätsdienst zur Verwaltung von Benutzern, Gruppen und Berechtigungen zu verwenden.
Komplexe rechtliche Anforderungen
Da das Unternehmen Produkte sowohl für die zivile als auch die militärische Nutzung entwickelt, musste die Exportgesetzgebung hinsichtlich möglicher Zugriffe auf technische Daten aus den jeweiligen beteiligten Ländern in der Projektplanung berücksichtigt werden. In Zusammenarbeit mit den Exportkontroll- und Datenschutzverantwortlichen in USA und Deutschland wurde ein tragfähiges Konzept aus organisatorischen und technischen Maßnahmen zum Schutz der Daten erarbeitet. In der bereits vorhandenen globalen Active Directory Domäne des Mutterkonzerns wurden diese Maßnahmen umgesetzt, so dass zukünftig Zugriffe von anderen Standorten des Konzerns auf Daten am Standort in Nördlingen reglementiert und kontrolliert werden können.
Vielzahl von Active Directory - integrierten Anwendungen identifiziert
Bei der Projektplanung wurden im Rahmen der Bestandsaufnahme 26 serverbasierte Anwendungen auf 44 Servern am Standort Nördlingen identifiziert, die in die bestehende lokale Active Directory Domäne integriert waren und diese für die Authentifizierung und Autorisierung von Benutzerzugriffen verwendeten. Da die Integration jeder Anwendung herstellerspezifisch ist, musste für jede einzelne Anwendung ein individueller Prozess für die Migration erarbeitet werden. Dazu wurde je Anwendung ein Projektteam, bestehend aus IT-Spezialisten, Anwendungsbetreuern und Key-Usern gegründet. Ziel war es jeweils einen Migrationsprozess zu entwickeln, der sicherstellt, dass den Anwendern unter ihren neuen Benutzerkonten in der neuen Domäne die gleichen Datensätze und Berechtigungen wie zuvor zugeordnet waren.
Strategie
Der hohe Digitalisierungsgrad moderner Unternehmen, wie der HS Elektronik Systeme GmbH, bedingt eine starke Abhängigkeit nahezu aller Geschäftsprozesse von einer funktionierenden IT-Infrastruktur. Über die verschiedenen Applikationen der Entwicklungsabteilung, die hochgradig automatisierten Produktions- und Lagersysteme bis hin zu den klassischen Geschäftsanwendungen wie ERP, Finance, DMS- oder Workflowsystemen ist nahezu jede Anwendung in den Identitätsdienst Active Directory integriert. Dieser wird dadurch zu einem der Grundbausteine der gesamten IT-Infrastruktur. Eine Stichtag-Migration war aufgrund der damit verbundenen Ausfallzeit und des Komplikationsrisikos keine Option für den Kunden. „Wir haben schlussendlich eine iterative Migrationsstrategie gewählt, bei der zunächst die neue Active-Directory-Infrastruktur im Parallelbetrieb bereitgestellt werden sollte. Danach sollten die Client-Computer und schrittweise eine Anwendung nach der anderen in die zentrale Active-Directory-Domäne migriert werden“, so der Projektleiter Florian Seefried. Durch diese Strategie wurde das Projekt in viele kleinere Projekte zerlegt. Die Durchführung der so entstandenen einzelnen Kleinprojekte konnte so wesentlich flexibler geplant werden, so dass die Beeinträchtigung der Geschäftsprozesse des Unternehmens minimiert wurde. Der Nachteil dieser Strategie war der erhöhte Verwaltungsaufwand, da sowohl die Quell- als auch die Zielumgebungen über einen längeren Zeitraum parallel betrieben werden mussten. Dieser Nachteil wurde durch Automatisierung und Verwendung von Synchronisationslösungen kompensiert. Zur weiteren Risikominimierung wurde jeweils ein Test- und Rollback-Plan für die einzelnen Server- und Anwendungsmigrationen erarbeitet.
Migration
Nach der Implementierung der notwendigen Infrastruktur konnten mit Hilfe der Migrationssoftware alle Benutzer und Sicherheitsgruppen der lokalen Domäne in die zentrale Domäne migriert werden. Dabei wurden die Quellobjekte in der lokalen Domäne belassen, so dass beide Umgebungen nun parallel verwendet werden konnten. Ein ausgeklügelter Synchronisationsprozess erlaubte es, weiterhin Änderungen in der Quellumgebung durchzuführen, welche dann automatisch in die Zielumgebung übertragen wurden.
Im nächsten Schritt wurden Gruppenrichtlinien zur zentralen Verwaltung von Benutzer- und Computereinstellungen in die Ziel-Domäne übertragen und angepasst. Nun war es möglich, die ersten Client-Computer zu migrieren und im Rahmen eines Testbetriebs das bisherige Ergebnis zu überprüfen und zu optimieren. Um den weiteren Migrationsprozess der Client-Computer möglichst flexibel zu gestalten, konnten sich die Mitarbeiter des Unternehmens einen Wunschtermin für die Migration ihres Computers aussuchen. Die eigentliche Migration erfolgte dann stark automatisiert zum gewünschten Termin und dauerte ca. 30 Minuten pro Mitarbeiter bzw. Computer. Nach Abschluss der Client-Migration erfolgte die Migration der einzelnen Anwendungen und Server, so dass eine Anwendung nach der anderen in die zentrale Domäne integriert wurde. Über eine eigens dafür eingerichtete Projekt-Intranetseite konnten sich die Mitarbeiter darüber informieren, wie Sie zum jeweiligen Zeitpunkt auf die einzelnen Anwendungen zugreifen konnten und ob Sie dafür ihre alten oder ihre neuen Zugangsdaten verwenden mussten.
Überzeugendes Ergebnis
Der Einsatz des neuen zentralen Identitätsdienst erwies sich als voller Erfolg. Nach der Migration hat sich die Anzahl der verschiedenen Benutzerkonten, die ein Mitarbeiter verwendet, stark reduziert. Es ist nun möglich, mit einem einzelnen Benutzerkonto sowohl auf lokal am Standort bereitgestellte als auch auf zentral im Konzern bereitgestellte Anwendungen zuzugreifen. Die gemeinsame Nutzung von IT-Systemen und Anwendungen über Standortgrenzen hinweg ist nun erheblich einfacher möglich. Der im Rahmen des Projektes entwickelte Lösungsansatz konnte die hohen IT-Sicherheits- und Exportkontrollanforderungen erfüllen.
Nach dem erfolgreichen Abschluss des Projektes am Standort in Nördlingen wurde die Seefried IT GmbH mit der Unterstützung der Durchführung einer weiteren Active Directory Migration für den Standort in Frankfurt am Main beauftragt.
HS Elektronik Systeme GmbH
Ein Unternehmen der Collins Aerospace.
www.hs-elsys.de
www.collins.com
Standort:
Nördlingen
Branche:
Luft-und Raumfahrtindustrie
„Die exportrechtlichen Bestimmungen im Hinblick auf den Technologietransfer sind stark reguliert, wobei diese Regularien kaum praxisnahe Empfehlungen zu standortübergreifenden und Cloud-basierter Anwendungen bereitstellen. Der Seefried IT GmbH ist im Rahmen dieses Projekts gelungen, eine praxis- und ergebnisorientierte Lösung umzusetzen, die zudem im Einklang mit den exportrechtlichen Anforderungen und Bestimmungen steht.“
„Durch die schrittweise Migration der einzelnen Anwendungen und Systeme konnte das Projektrisiko signifikant reduziert werden. Die erfolgreiche Migration ermöglicht nun eine wesentlich bessere Integration des Standorts in Nördlingen in die welt-weite Systemlandschaft“
„Der Projektansatz, die Projektdurchführung und das Projektergebnis wurde im Konzern als ‚Best Practice‘ gewürdigt.“
