26.02.2008, 09:05 Uhr
Kompletterneuerung für den Windows Server
Mit der Version 2008 verpasst Microsoft ihrem Server-Betriebssystem nicht nur ein neues Gesicht, sondern zahlreiche neue Funktionen. Und erstmals seit MS-DOS gibt es wieder ein System, das auch ohne grafische Oberfläche läuft.
Microsoft Windows Server 2008: Die Neuerungen und Verbesserungen gegenüber Windows Server 2003 gehen weit über eine normale Modellpflege hinaus.
Windows Server 2008 geht über die reine Modellpflege weit hinaus und bietet Neuerungen in allen wichtigen Bereichen. Dazu zählen Administration, Active Directory, Terminal Services oder Clustering. Das Sicherheitskonzept wurde grundlegend überarbeitet, ebenso der Aufbau der Internet Information Services (IIS 7). Unter anderem mit diesen beiden Themen befasst sich der Artikel ab S. 16. Und voraussichtlich im Sommer folgt mit Hyper-V die Virtualisierungskomponente.
Auch in struktureller Hinsicht gibt es Veränderungen. Die bereits bei Windows Server 2003 R2 in Zügen vorhandenen Server-Rollen, sind bei dessen Nachfolger von weitaus grösserer Bedeutung. Neu ist auch Server Core, eine Ausgabe von Windows Server 2008, die ohne grafische Benutzeroberfläche auskommt. Die Administration findet auf der Kommandozeile statt.
Darüber hinaus bietet Windows Server 2008 eine Reihe von Detailverbesserungen, wie etwa eine deutlich erweiterte Ereignisanzeige, die neue Zuverlässigkeits- und Leistungsanzeige, oder Neuerungen im Bereich der Gruppenrichtlinien. Damit lässt sich jetzt auch der Zugriff auf einzelne Systemeinstellungen regeln. Zu den Neuerungen gehört auch die PowerShell, Microsofts erweiterte Kommandozeile und Scriptsprache, die erstmals standardmässig mitgeliefert wird. Einige dieser Novitäten wurden bereits mit Windows Vista eingeführt, können aber erst im Zusammenspiel mit der neuen Serverversion von Windows ihre Möglichkeiten voll ausspielen.
Von Rollen und Features
Bei den Rollen handelt es sich um Serveranwendungen, die einzeln nachinstalliert werden können. Wurden bei früheren Versionen Dienste wie IIS (Internet Information Services) oder die Dateifreigabe bei der Neuinstallation standardmässig eingerichtet, kann ein frisch aufgesetzter Windows Server 2008 noch keinerlei Funktion erfüllen. Der Administrator muss dem Server zunächst explizit die benötigten Rollen zuweisen. Dadurch wird die Sicherheit erhöht, weil immer nur jene Anwendungen, die auch tatsächlich benötigt werden, auf dem Server installiert sind. Insgesamt gibt es 17 verschiedene Rollen. Dazu gehören zum Beispiel die Druck- und Terminaldienste oder die Active-Directory-Domänendienste.
Ausser den Serverrollen kennt Windows Server 2008 noch die sogenannten Features. Sie erweitern eine Serverinstallation um zusätzliche Funktionen. In vielen Fällen sind Rollen abhängig von Features oder ergänzen diese optional durch weitere Merkmale. So setzen etwa die Sharepoint Services unter anderem die Features Windows-Prozess-aktivierungsdienst und .NET-Framework voraus. Die Unterscheidung zwischen Rollen und Features erscheint allerdings zuweilen willkürlich. So ist etwa der DNS-Dienst eine Serverrolle, während WINS (Windows Internet Naming Service) nur der Status eines Features zugestanden wird.
Schaltstelle Server Manager
Installiert und verwaltet werden die Rollen mit dem Server Manager, dem zentralen Administrations-Tool von Windows Server 2008. Ist für eine Rolle die Installation bestimmter Features obligatorisch, erhält der Administrator einen entsprechenden Hinweis. Der Server Manager richtet dann auf Wunsch alle benötigten Komponenten ein und konfiguriert bei Bedarf auch das System. Beispielsweise öffnet er für die jeweilige Anwendung die benötigten Ports in der Windows Firewall. Die Rollenverwaltung ist ebenfalls im Server Manager integriert.
Zu jeder installierten Rolle gibt der Server Manager weitere Statusinformationen aus. Dazu gehören die letzten Einträge aus der Ereignisanzeige, der Status der zugehörigen Serverdienste oder Tipps für die Konfiguration der jeweiligen Rolle. Ausführliche Informationen erhält der Administrator im Diagnosebereich des Server Managers. Hier hat Microsoft die komplette Ereignisanzeige, die Diensteverwaltung, die neue Zuverlässigkeits- und Leistungsanzeige und den Gerätemanager in den Server Manager aufgenommen.
Mit dem Server-Manager lassen sich alle wichtigen Bereiche eines Windows-Servers verwalten. Einige Administrations-Tools, etwa für die Terminal Services, fehlen aber. Sie müssen über den Verwaltungsordner im Startmenü aufgerufen werden.
Derzeit läuft der Server Manager nur unter Windows Server 2008. Eine Version für Microsofts Client-Betriebssysteme gibt es noch nicht. Der Administrator muss sich also per RDP mit dem Server verbinden, um dort den Server Manager zu starten. Über die Remote-Server-Verwaltungs-Tools (im Englischen Remote Server Administration Tools, RSAT, genannt), die als Funktion über den Server Manager zu installieren sind, kann man aber von einem Windows Server aus auch andere Server verwalten. Für Windows Vista mit Service Pack 1 wird Microsoft dann auch eine RSAT-Version für den Desktop zur Verfügung stellen, welche die bekannten Adminpak-Tools ersetzt.
Server ohne Grafik
Bei Server Core handelt es sich nicht um ein eigenständiges Produkt, sondern lediglich um eine spezielle Installationsoption. Zu Beginn der Serverinstallation hat der Administrator die Möglichkeit, zwischen der Standardausgabe von Windows Server 2008 und Server Core zu wählen. Diese Entscheidung ist endgültig, eine spätere Umfunktionierung ist nicht möglich. Die Zahl der Serverdienste wurde im Vergleich zur Standardausgabe in etwa halbiert, und es sind auch nicht alle Serverrollen und Funktionen verfügbar.
Nach der Installation von Server Core sind die üblichen Konfigurationsarbeiten (Netzwerk, Domänenanbindung, Firewall-Einstellungen etc.) auf der Kommandozeile durchzuführen. Selbst erfahrene Windows-Administratoren müssen hierbei eingeübte Handgriffe ganz neu erlernen. Systemverwalter aus der Unix-Welt werden sich dagegen unter Server Core heimisch fühlen. Gleichwohl sind viele Befehle lange nicht so elegant wie etwa unter Linux.
Sind die ersten grundsätzlichen Konfigurationsarbeiten erledigt, kann Server Core wie jeder andere Windows Server übers Netz mit den üblichen grafischen Tools verwaltet werden. Die Konfiguration über Group Policy und den Windows Scripting Host (WSH) ist ebenfalls möglich. Erstaunlicherweise wird PowerShell nicht von Server Core unterstützt. Microsofts mächtige neue Shell und Script-Sprache wäre gerade hier sehr hilfreich gewesen. PowerShell ist aber auf das .NET Framework angewiesen, das mangels grafischer Oberfläche unter Server Core nicht zur Verfügung steht.
Read Only Domain Controller
Die interessanteste Neuerung im Bereich Active Directory ist der Read Only Domain Controller (RODC), ein neuer DomänenController-Typ, der lediglich über eine unidirektionale Verbindung zu anderen Domänen-Controllern (DC) verfügt. Ein RODC führt eine Kopie der Verzeichnisdienst-Datenbank, ist aber nicht in der Lage, Änderungen zu andern DC zu replizieren.
Eingesetzt werden sollen RODC an Standorten, an denen der physische Zugriff auf einen Server durch unautorisierte Personen nicht ohne weiteres verhindert werden kann. Solche Server sind besonders gefährdet, weil es ein Leichtes ist, die Sicherheitsmechanismen von Windows auszuhebeln, wenn man von einem externen Medium ein anderes Betriebssystem startet, um auf die Systempartition zuzugreifen. Sollte es einem Angreifer gelingen, die Verzeichnisdatenbank auf einen physisch kompromittierten Server zu manipulieren, ist bei einem RODC ausgeschlossen, dass die Änderungen systemweit im Verzeichnis übernommen werden.
Schreibtisch im Netz
In Windows Server 2008 hat Microsoft die Terminaldienste wesentlich vorangetrieben. Die wichtigsten drei Neuerungen betreffen die Verwaltung von Terminalserveranwendungen (TS RemoteApp), den Webzugriff (TS Web Access) sowie den sicheren Zugang zu den Terminaldiensten übers Internet (TS Gateway). Darüber hinaus wurden die Terminaldienste um einige kleinere Features erweitert.
Mit dem neuen RemoteApp Manager können Administratoren einzelne Anwendungen auf einem Windows Server über die Terminaldienste im Netz zur Verfügung stellen. Anwender starten diese wie normale Applikationen aus dem Startmenü ihres Arbeitsplatzrechners oder über eine Webseite. Die Anwendung präsentiert sich dann genauso, als liefe sie lokal auf dem Rechner. Es ist nicht erkennbar, dass sie in Wirklichkeit auf einem Terminalserver gestartet wurde und lediglich Bildschirminhalte und Eingaben übertragen werden. Alle Anwendungen eines Benutzers laufen dabei in einer Sitzung. Das beschleunigt den Start neuer Applikationen.
Auch unter Windows 2003 war es bereits möglich, nur eine bestimmte Anwendung auf einem Terminalserver zu starten. Die wesentliche Neuerung unter Windows Server 2008 besteht darin, dass mit dem RemoteApp Manager nun ein Tool zur Verfügung steht, mit dem Anwendungen zentral auf einem Terminalserver bereitgestellt werden können. Der Presentation Server von Citrix bietet ähnliche Funktionen seit längerem.
Die Verknüpfungen der RemoteApp-Programme für die Arbeitsplatzrechner erstellt der Administrator unter Windows 2008 mit dem RemoteApp Manager. In Frage kommt dafür entweder ein Windows Installer Packet (MSI) oder eine RDP-Datei (Remote Desktop Protocol). Die Verteilung auf die Clients kann dann beispielsweise über Gruppenrichtlinien erfolgen.
Der Webzugriff auf eine Anwendung war auch schon unter Windows Server 2003 möglich. Neu ist, dass über den RemoteApp Manager eingerichtete Programme automatisch auch für den Webzugriff zur Verfügung stehen. Dafür stellt Terminal Services Web Access eine spezielle Webseite bereit, die alle freigegebenen Anwendungen auflistet. Das Entfernen einer RemoteApp--Anwendung lässt auch automatisch das entsprechende Symbol von der Webseite verschwinden. Zudem hat der Administrator die Möglichkeit, einzelne Anwendungen für den Webzugriff auszublenden.
Neu ist auch, dass dabei die Remote Desktop Connection Software (RDC) und nicht mehr das Active-X-Steuerelement zum Einsatz kommt. Voraussetzung dafür ist, dass auf dem Client-Rechner mindestens RDC 6.0 installiert ist. Bei Windows Vista ist das standardmässig der Fall, bei Windows XP lässt sie sich nachrüsten. Windows Server 2008 unterstützt auch die alte Variante mit dem Active-X-Steuerelement. Allerdings muss man dann die entsprechende Webseite manuell verwalten.
Terminal Services Gateway ermöglicht den sicheren Zugriff übers Internet auf firmeninterne Terminalserver. Dabei wird RDP über HTTPS (HTTP mit SSL-Verschlüsselung) getunnelt. Ein Vorteil dieses Verfahrens ist, dass der RDP-Port in der Firewall nicht geöffnet werden muss. Der TS-Gateway-Server befindet sich dabei im Perimeter-Netzwerk und leitet die RDP-Anfragen an die Terminalserver im internen Netz weiter. Auf dem TS Gateway lässt sich über die «Ressourcenautorisierungsrichtlinie» konfigurieren, welche Server dafür in Frage kommen. Zudem können Administratoren mit der Verbindungsautorisierungsrichtlinie jene Anwendergruppen definieren, die eine Verbin-dung zum TS Gateway aufbauen dürfen.
Auch beim Betrieb von Terminalumgebungen hat Microsoft nachgebessert. Der neue Terminal Services Session Broker bietet Lastverteilung und ist daher für Terminalserverfarmen eine Alternative zu Microsofts Network Load Balancing (NLB). So lässt sich nun auch mit der Standardausgabe von Windows Server 2008 Lastverteilung beim Betrieb mehrerer Terminalserver einsetzen. Ein Problem beim Einsatz eines Terminalservers war von jeher die Einbindung lokaler Drucker. Mit TS Easy Print hofft Microsoft, dieses Prob-lem in den Griff zu bekommen. Auch wenn auf dem Server der Treiber des lokalen Druckers nicht vorhanden ist, soll nun der Ausdruck dank XPS (XML Paper Specification), Microsofts Alternative zu PDF, besser funktionieren.
Die Fülle an Neuerungen, Änderungen und Verbesserungen dürfte einen weiteren Effekt mit sich bringen: Entscheidungsträger und IT-Verantwortliche werden eine gute Weile mit der Evaluation von Windows Server 2008 beschäftigt sein.
Überblick
Die 10 wichtigsten Novitäten
- Server Core: kompakte Betriebsart ohne grafische Oberfläche
- Rollen und Features: vereinfachte Administration und höhere Sicherheit durch Aktivierung ausschliesslich benötigter Funktionen
- RODC: höhere Sicherheit durch nur lesbare Domain Controller
- IIS 7: verbesserte Sicherheit durch modular aufgebaute Internet Information Services
- Hyper-V: Virtualisierungstechnik für 64-Bit-Plattformen
- Server Manager: zentrale Administrationskonsole, mit PowerShell skriptbar
- Terminal Services: Zugriff auch übers Internet möglich mit TS Gateway
- Sicherheit: erhöhter Schutz von Betriebssystem und Daten durch Validierungs- und Verschlüsselungsmechanismen
- Network Access Protection: regelbasierter Zugriffsschutz für Rechner im LAN
- Netzwerk-Tuning: bessere Performance dank optimiertem TCP/IP-Stack
Weitere Informationen
Preise und Konfigurationen:
Windows hat die Preise für Windows Server 2008 in Europa noch nicht bekannt gegeben. Die US-Preise lauten:
- Windows Server 2008 Standard:ab 999 Dollar; 1 virtueller Server möglich
- Windows Server 2008 Enterprise:3999 Dollar; 4 virtuelle Server möglich
- Windows Server 2008 Datacenter Edition:2999 Dollar pro CPU; unbegrenzte virtuelle Server möglich
Neben diesen Konfigurationen bietet Microsoft auch eine Version für Server auf Itanium-Basis sowie eine Fassung für reine Webserver an. Für zusätzliche Nutzer kommen zu den Software-lizenzen noch sogenannte CAL (Client Access Licences) hinzu. Die Virtualisierungstechnik -Hyper-V ist inbegriffen, macht aber nur etwa 28 Dollar des Preises aus.
Andreas Heer