Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Einer für alle

Wenn Microsoft eine neue Server-Version herausbringt, ist die für viele Unternehmen Pflicht. Aber sie stellt auch Weichen für kommende Client-Betriebssysteme und deutet an, wohin deren Entwicklung führen wird.

In Pocket speichern vorlesen Druckansicht 36 Kommentare lesen
Lesezeit: 11 Min.
c't Magazin
Von
  • Karsten Violka
  • Peter Siering
  • Klaus Bierschenk
  • Nils Kaczenski
  • Matthias Withopf
  • Karlheinz Blank
  • Thomas Joos
  • Oliver Klarmann
Inhaltsverzeichnis

Die Produktion des Windows Server 2008 startete im Februar. Jetzt ist nicht nur die neue Version im Handel verfügbar, sondern Microsoft bietet auch das fertige Produkt als Testversion zum Download an, die maximal 240 Tage läuft (siehe Soft-Link). Die Maschinerie, mit der Microsoft neue Produkte ins Gespräch bringt, läuft indes schon viele Monate auf vollen Touren.

Vorabversionen waren als Download für jeden zu haben, die Anzahl der Bücher zum Server 2008 nimmt jetzt schon Regalmeter ein und auch im Internet kann man sich nicht mehr vor Informationen retten. Dieser Artikel liefert einen Überblick und pickt die besonders interessanten Punkte heraus, um sie detailliert zu untersuchen.

In vielerlei Hinsicht ist der Server 2008 ein typisches Windows: Die Installation ist wie bei Vista ohne CD-Key möglich. Sogar die Variante des Servers kann man sich aussuchen. Innerhalb von 60 Tagen muss man den Server aber bei Microsoft freischalten (aktivieren), also einen gültigen Key für die installierte Version angeben. Die Aktivierung versucht der Server selbständig ohne Rückfrage, allerdings nur gegen einen lokalen Aktivierungsdienst (KMS), wenn er ohne CD-Key eingerichtet wurde.

Anders als bei Windows Vista ist das Konto namens „Administrator“ nicht stillgelegt. Wer sich unter diesem Namen anmeldet, ist mit vollen Rechten unterwegs. Später angelegten Benutzern hingegen, die zur Administratorgruppe gehören, zeigt der Server die Dialoge der Benutzerkontensteuerung (UAC), die bei vielen Aktionen eine separate Bestätigung anfordern – im GUI finden sich Hinweise auf solche Operationen stets durch das Schildsymbol markiert, auch wenn man als Vollblut-Administrator unterwegs ist.

Einen Server als Workstation zu benutzen bietet sich nicht an, auch wenn es Anleitungen gibt, wie man die Aero-Oberfläche von Vista durch Konfigurationstricks an den Start bekommt. Schon der standardmäßig in höchster Sicherheitsstufe betriebene Internet Explorer vermiest den Spaß; er zeigt nicht mal die zahlreich in der Online-Hilfe vorhandenen Verweise auf Microsoft-Webseiten ohne dreifache Nachfrage an. Die optional installierbare „Desktopdarstellung“ hat Microsoft nur eingebaut, damit per Terminaldienst verbundene Benutzer Media Player, Desktop-Designs & Co. zu sehen bekommen.

Verwalterwerkzeug

Beim ersten Anmelden fallen gleich zwei überarbeitete Verwaltungswerkzeuge auf. Das erste, der Assistent zur Erstkonfiguration, hat sich von einer toten Linkliste zu einem nützlichen Helfer gemausert, der aktuelle Statusdaten einer Installation liefert, etwa IP-Adresse und Update-Stand. Mit wenigen Klicks kann der Administrator weitere wichtige Konfigurationsschritte anstoßen, etwa die Firewall anpassen, die Fernsteuerung aktivieren sowie Rollen oder Features hinzufügen.

Mit Rollen und Features versucht Microsoft die vordefinierten Serverfunktionen zu strukturieren. Eine Rolle bezieht sich dabei auf zentrale Aufgaben eines Servers, beispielsweise Datei-, Druck- oder Webserver oder auch Domänen-Controller für Active Directory. Eine Rolle fasst die beteiligten Dienste, die nötigen Firewall-Ausnahmen und weitere Hinweise zu Betrieb und Konfiguration unter einem Namen zusammen.

Viele Rollen kennen untergeordnete Rollendienste, die im Fall der Dateidienste zum Beispiel nutzbare Protokolle festlegen, neben SMB das Unix-eigene NFS. Solche Rollendienste stehen erst dann zur Auswahl, wenn die zugehörige Rolle bereits zum Server hinzugegefügt worden ist (die ab Seite 144 in c't 07/08 gezeigte Baumstruktur bekommt der Administrator also nie im Ganzen zu sehen).

Übergreifende oder eher unabhängige, nicht allzu komplexe Aufgaben heißen Features. Dabei handelt es sich beispielsweise um das Videostreaming, das Subsystem für Unix-Anwendungen oder die Gruppenrichtlinienverwaltung, aber auch um Infrastrukturdienste wie SNMP, Clustering oder SAN-Speicherprotokolle (den gesamten Baum finden Sie auf Seite 145 in c't 07/08).

Das zweite neue Werkzeug, das sich nach dem Anmelden stets anbietet, ist der Server-Manager. Er geht anders als der Assistent zur Erstkonfiguration ins Detail und stellt den zentralen Anlaufpunkt für die Installation und Administration des Server 2008 dar.

Auf den fünf vordefinierten Ästen einer Baumstruktur – Rollen, Features, Diagnose, Konfiguration und Speicher – zeigt er jeweils rollen- und aufgabenbezogene Daten zum System: Ausschnitte aus dem zugehörigen Eventlog, die zuständigen Systemdienste und Hinweise auf weiterführende Konfigurationsschritte.

Es empfiehlt sich, neue Funktionen nur über dieses Programm hinzuzufügen, denn so besteht auch gleich der Zugriff auf die Hilfsmittel zur Administration. Anders als viele einzelne Verwaltungshelfer, wie sie seit jeher Windows-Server begleiten, etwa zu Konfiguration der Firewall, lässt sich der Server-Manager nur lokal nutzen (natürlich auch innerhalb einer RDP-Sitzung). (Nils Kaczenski)

Wer sich bislang darüber mokierte, dass Windows-Server nur etwas für Mausschubser seien, den will Microsoft eines Besseren belehren. Der Server 2008 bietet eine spezielle Installationsvariante „Server Core“, die auf die grafische Bedienoberfläche verzichtet und auch um diverse andere Dienste abgespeckt worden ist. Es ist nicht vorgesehen, einen „vollwertigen“ Server zu einer Core-Installation abzuspecken oder umgekehrt eine solche zu einem vollwertigen Server aufzurüsten.

Ein Core-Server startet zwar mit dem grafischen Logon-Fenster, doch danach zeigt er nur noch eine nackte Eingabeaufforderung an. Das ist alles. Konfiguration und lokale Verwaltung muss der Administrator über Kommandozeilenbefehle vornehmen. Ist der Core-Server einmal grundlegend eingerichtet, reagiert er aber genau wie eine vollständige Installation über das Netzwerk auf die vorhandenen Management-Tools – im laufenden Betrieb lässt sich also kaum ein Unterschied zu einem vollständig installierten Windows Server 2008 ausmachen.

Es ist allerdings schon gewöhnungsbedürftig, Windows ganz ohne Maus, Explorer und Assistenten einrichten zu müssen. Die IP-Konfiguration etwa lässt sich über die NetShell festlegen: netsh interface ipv4 set address "LAN-Verbindung" static 192.168.200.102 255.255.255.0 192.168.200.1. Die Rollen und Features, die das grafische Windows mit seinem Server-Manager zugänglich macht, definieren oclist und ocsetup. Einen Druckserver richtet man mit start /w ocsetup Printing-ServerCore-Role ein.

In der ersten Fassung seines abgespeckten Servers unterstützt Microsoft nur einige wenige Dienste, die aber für viele Zwecke ausreichen, etwa um in einer Außenstelle einen minimal ausgebauten Server zu betreiben. Dazu zählen Datei- und Druckdienste, Active Directory, Netzwerkdienste wie DNS, DHCP und WINS, aber auch ein Mini-Webserver (allerdings ohne ASP.NET) oder die Virtualisierung mit Hyper-V.

Lokale Laufwerke lassen sich mit BitLocker verschlüsseln, und selbst als Clusterserver taugt eine Core-Installation. Die moderne Skriptkonsole PowerShell hingegen sucht man vergeblich: Das dazu nötige .NET-Framework hat keinen Platz im Core-Konzept gefunden.

Ein vergleichender Blick auf eine vollwertige und eine Core-Installation zeigt, wo Microsoft optimiert hat: Die Menge der auf die Platte gespielten Dateien unterscheidet sie eklatant. Die Zahl der aktiven Treiber und Dienste hingegen ist nahezu identisch. Auch im Hinblick auf laufende Prozesse, Threads und Konsum des Hauptspeichers gibt es eher marginale Unterschiede. Auch die Anzahl der lauschenden Netzwerk-Sockets ist gleich.

In der Beschreibung der Vorzüge einer Core-Installation taucht immer wieder die geringere Angriffsfläche auf. Das geben die Zahlen nicht her: Ein Core-Server weist nach außen die gleiche Fläche auf wie ein vollwertiger. Auch eine großartige Ressourceneinsparung wird nicht sichtbar. Schon wegen der deutlich geringeren Dateizahl ist man sicher mit dem Updaten schneller fertig. Und: Wo kein GUI ist, da kann auch kein Teilzeitadministrator Unfug treiben. (Nils Kaczenski)

Microsofts Interpretation einer zentralen Benutzerdatenbank fürs Netzwerk ist längst über die eigentliche Aufgabe hinausgewachsen: Der mit Windows 2000 dafür eingeführte Verzeichnisdienst „Active Directory“ strukturiert Benutzer, Computer und Gruppen und liefert Konfigurationsdaten aus, etwa Programm- und Systemeinstellungen (von Microsoft Gruppenrichtlinien genannt).

Der Server 2008 bringt fünf Rollen mit, die sich mit dem Präfix „Active Directory“ schmücken: Die Domänendienste bilden die eigentliche Basis für das Verzeichnis. Die Lightweight Directory Services (vormals Active Directory Application Mode, ADAM) stellen LDAP-Datenbanken bereit, die sich etwa mit selbstentwickelten Anwendungen oder solchen von Drittherstellern verwenden lassen, schleppen aber nicht den Ballast einer Domäne mit.

Die Rights Management Services (RMS) sollen verhindern, dass sensible Daten in falsche Hände gelangen. Für Dokumente, die mit diesen Diensten verschlüsselt sind, lässt sich genau bestimmen, was Anwender mit den Inhalten anstellen dürfen, etwa lesen, aber nicht drucken – vorausgesetzt, die Anwendung ist zu diesen Diensten kompatibel, wie Microsofts Office 2007 und der Internet Explorer 7. Entwickler können über eine API ihre Anwendungen zur Rechteverwaltung befähigen. Für den Einsatz dieser eher auf Kooperation ausgerichteten Technik muss man bei Microsoft zusätzlich spezielle Client Access Lizenzen (CALs) erwerben.

Zwei Rollen entfalten sich erst in der Enterprise-Version: Die Zertifikatdienste helfen beim Umgang mit Zertifikaten. In der Standardversion liefern sie eine eigene CA, helfen zum Beispiel Webserver mit Zertifikaten für SSL-Verbindungen zu versorgen. Über Verbunddienste (Federation) lernen von verschiedenen Organisationen betriebene Server einander zu vertrauen, indem Teilbereiche ihrer Verzeichnisse kurzgeschlossen werden – was in der Praxis recht aufwendig ist, weil dabei diverse Serverinstanzen ins Spiel kommen.

Die nötigen Schritte, um einen Domänen-Controller an den Start zu bringen, hat Microsoft verkürzt. Nach dem Hinzufügen der Rolle schlägt der Server vor, das zuständige dcpromo zu starten. Das Einrichten eines DNS-Servers und das Aktivieren des globalen Katalogs (zur Suche von Ressourcen in einem größeren AD) erledigt das Programm jetzt gleich mit. Es kann auch die eingegebenen Daten in eine Datei exportieren, um sie als Antwortdatei für weitere Server zu verwenden.

Das Kommandozeilenwerkzeug ntdsutil kann nun jederzeit einen Schnappschuss der AD-Datenbank erstellen. Hinter den Kulissen fertigt der Server dabei eine persistente Schattenkopie (Volume Shadow Copy, VSS [1]) des Systemlaufwerks an. Mit dsamain kann man die auf diesem Weg gesicherte Verzeichnisdatenbank als LDAP-Verzeichnis bereitstellen, das sich mit einem beliebigen LDAP-Browser untersuchen lässt – etwa adsiedit oder ldifde.

Um Wartungsarbeiten an der Active-Directory-Datenbank vorzunehmen – etwa um sie zu defragmentieren – musste man bisher den gesamten Server herunterfahren und beim Neustart per F8-Taste in den Modus „Verzeichnisdienste wiederherstellen“ wechseln. Das ist beim Server 2008 nicht unbedingt nötig, hier genügt es, den Active-Directory-Dienst zu beenden und nach getaner Arbeit wieder zu starten.

Den vollständigen Artikel finden Sie in c't 07/2008.

[1] Karsten Violka, Zeitreise, Vistas Schattenkopien durchleuchtet, c't 15/07, S. 98

Soft-Link (kav)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten