Windows Server 2008

Microsofts neues Serverbetriebssystem ist für erste Jahreshälfte 2008 angekündigt. Der derzeit verfügbare Release Candidate (RC1) dürfte im Großen und Ganzen bereits über alle wichtigen neuen Features verfügen.

Bedeutsame Neuerungen weisen die Bereiche Administration, Sicherheit, Active Directory, Terminal Services, Clustering und Internet Information Services (IIS 7) auf. Auch in struktureller Hinsicht gibt es Veränderungen. Die bereits bei Windows Server 2003 R2 in Zügen vorhandenen Server-Rollen, sind bei dessen Nachfolger von weitaus größerer Bedeutung.

Neu ist auch Server Core, eine Ausgabe von Windows Server 2008, die im Wesentlichen ohne grafische Benutzeroberfläche auskommt. Die Aministration findet hier hauptsächlich auf der Kommandozeile statt. Darüber hinaus bietet Windows 2008 eine Reihe von Verbesserungen im Detail, wie etwa einen deutlich erweiterte Ereignisanzeige, die neue Zuverlässigkeits- und Leistungsanzeige, oder Neuerungen im Bereich der Gruppenrichtlinien. Hier ist auch PowerShell zu nennen, Microsofts neue Kommandozeile und Scriptsprache, die erstmals standardmäßig mit einem Microsoft-Betriebssystem ausgeliefert wird. Einige dieser Neuerungen wurden bereits mit Windows Vista eingeführt, können aber erst im Zusammenspiel mit der neuen Serverversion von Windows ihre Möglichkeiten voll ausspielen.

Bereits bei Windows Server 2003 R2 hat Microsoft die sogenannten Server-Rollen eingeführt. Dabei handelt es sich um Server-Anwendungen, die einzeln nachinstalliert werden können. Bei früheren Versionen wurden Applikationen wie die Internet Information Services (IIS) oder die Dateifreigabedienste bei einer Neuinstallation von Windows Server standardmäßig eingerichtet. Bei Windows Server 2008 ist das Konzept der Server-Rollen von zentraler Bedeutung. Ein neu installierter Windows Server kann im Grunde noch keinerlei Funktion erfüllen. Der Administrator muss dem Server zunächst explizit die benötigten Rollen zuweisen.

Dadurch wird die Sicherheit erhöht, weil immer nur die Anwendungen, die auch tatsächlich benötigt werden, auf dem Server installiert sind. Außerdem lassen sich so Ressourcen schonen, weil weniger Festplattenplatz und Arbeitsspeicher benötigt werden. Windows Server 2008 RC0 hat insgesamt 17 verschiedene Rollen zu bieten. Dazu gehören zum Beispiel die Druckdienste, Terminaldienste oder die Active Directory-Domänendienste.

Außer den Server-Rollen kennt Windows Server 2008 noch die sogenannten Features. Während die Server-Rollen Basisdienste bereitstellen, erweitern die Features eine Server-Installation um zusätzliche Funktionen. In vielen Fällen sind Server-Rollen abhängig von Features oder ergänzen diese optional durch weitere Merkmale. So setzen zum Beispiel die Windows Sharepoint Services unter anderem die Features Windows-Prozessaktvierungsdienst und .NET-Framework voraus. Die Unterscheidung zwischen Server-Rollen und Funktionen erscheint allerdings zuweilen willkürlich. So ist etwa der DNS-Dienst eine Serverrolle, während Windows Internet Naming Service (WINS) nur der Status einer Funktion zugestanden wird.

Installiert und verwaltet werden die Server-Rollen mit dem Server-Manager, dem neuen zentralen Administrations-Tool von Windows Server 2008. Ist für eine Rolle die Installation bestimmter Funktionen obligatorisch, erhält der Administrator einen entsprechenden Hinweis. Der Server Manager richtet dann auf Wunsch alle benötigten Komponenten ein und konfiguriert bei Bedarf auch das System. Beispielsweise öffnet er für die jeweilige Anwendung die benötigten Ports in der Windows Firewall. Die Administrationswerkzeuge zur Verwaltung der Rollen integriert der Installationsassistent ebenfalls automatisch in den Server-Manager.

Bild: Installationsassistent

Bei früheren Windows-Versionen war es auch schon möglich, mehrere Administrations-Tools in die Microsoft Management Console (MMC) zu laden. Der Server-Manager bietet aber noch eine Reihe weiterer interessanter Features. So stellt er etwa eine Vielzahl von Statusinformationen über den Server und die installierten Server-Rollen bereit.

Die allgemeine Server-Übersicht zeigt dem Systemverwalter an, welche Rollen und Funktionen installiert sind, bietet wichtige Computerinformationen wie Computername oder IP-Adresse und stellt Sicherheitsinformationen bereit, etwa ob die Windows-Firewall aktiviert ist oder wann der Server zum letzten Mal aktualisiert wurde.

Zu jeder installierten Rolle gibt der Server-Manager weitere Statusinformationen aus. Dazu gehören die letzten Einträge aus der Windows Ereignisanzeige, der Status der zugehörigen Serverdienste oder Tipps zur Konfiguration der jeweiligen Server-Rolle.

Ausführlichere Informationen erhält der Administrator im Diagnose-Bereich des Server-Managers. Hier hat Microsoft die komplette Ereignisanzeige, die Diensteverwaltung, die neue Zuverlässigkeits- und Leistungsanzeige und den Geräte-Manager in den Server-Manager aufgenommen.

Der Ordner „Konfiguration“ enthält die Aufgabenplanung, die Windows-Firewall, die WMI-Steuerung und die lokale Benutzer und Gruppenverwaltung und das Verzeichnis „Speicherung“ beherbergt die Datenträgerverwaltung und das Backup-Tool.

Mit dem Server-Manager lassen sich also alle wichtigen Bereiche eines Windows Servers verwalten. Einige Administrations-Tools wie etwa die für die Terminal Services oder aber auch für alle Funktionen fehlen jedoch im Server Manager. Sie müssen nach wie vor über den Verwaltungs-Ordner im Windows Startmenü aufgerufen werden. Offenbar hat Microsoft auch vor, Tools, die nicht Bestandteil von Windows Server sind, in den Server-Manager zu integrieren. So ist es etwa beim RC0 möglich, die Windows Software Update Services (WSUS 3.0 SP1) mit dem Server Manager zu verwalten.

Bild: Server Manager

Neben der Version mit grafischer Oberfläche verfügt Windows 2008 auch noch über eine Kommandozeilenausgabe des Server Managers (ServerManagerCMD.exe). Mit ihr können Administratoren Rollen und Funktionen über Scripte installieren oder aber die Konfiguration eines Servers auslesen. Die Veränderung der Standardeinstellungen einer Rolle oder Funktion ist mit der Kommandozeilenversion jedoch nicht möglich.

Derzeit läuft der Server-Manager nur unter Windows Server 2008. Eine Version für Microsofts Client-Betriebssysteme gibt es noch nicht. Der Administrator muss sich also per RDP mit dem Server verbinden, um dort den Server-Manager zu starten. Über die Remoteserver-Verwaltungstools (im Englischen Remote Server Administration Tools (RSAT) ), die als Funktion über den Server Manager zu installieren sind, kann man aber von einem Windows Server auch andere Server verwalten. Mit dem Service Pack 1 für Windows Vista wird Microsoft vermutlich auch eine RSAT-Version für den Desktop zur Verfügung stellen. Sie wird dann die bekannten Adminpak-Tools ersetzen.

Plus

• Installationsassistenten vereinfachen die Einrichtung von Server-Rollen und Features, da sie die Abhängigkeiten zwischen den Diensten übersichtlich aufzeigen. Darüber hinaus geben sie Hilfestellung bei der Konfiguration der Rollen und binden alle benötigten Snap-ins in die Konsole des Server Manager ein.

• Der Administrator sieht auf einem Blick, welche Rollen auf einem Server installiert sind und erhält wichtige Statusinformationen über einzelne Rollen und den gesamten Server.

Minus

• Die Installation von Rollen und Features ist nur von einem Windows-Laufwerk möglich. Der Zugriff auf externe Installationsquellen, wie bei den Management-Tools einiger Linux-Distributionen, ist nicht vorgesehen. Ebenso fehlt eine Update-Funktion, mit der einzelne Server-Rollen auf dem neusten Stand gehalten werden können.

• Die Kommandozeilenversion des Server-Managers bietet lediglich rudimentäre Funktionen. Die automatische Konfiguration von Server-Rollen ist daher nur mit Scripting-Lösungen wie PowerShell möglich.

• Derzeit gibt es noch kein Frontend für Windows Vista und Windows XP. Ob RSAT für Windows Vista SP1 tatsächlich ein vollwertiger Ersatz für das Windows-2008-Frontend sein wird, ist noch nicht bekannt.

• Anwendungen von Drittanbietern können mit dem Server-Manager weder installiert noch verwaltet werden.

Mit Server Core bringt Microsoft erstmals wieder seit MS-DOS ein Betriebssystem auf den Markt, das weitgehend ohne grafische Benutzeroberfläche auskommt. Es handelt sich dabei jedoch nicht um ein eigenständiges Produkt, sondern lediglich um eine spezielle Installationsoption von Windows Server 2008. Zu Beginn der Server-Installation hat der Administrator die Möglichkeit, zwischen der Standardausgabe von Windows Server 2008 und Server Core zu wählen.

Das erinnert ein wenig an das Installationsverfahren bei einigen Linux-Distributionen. Allerdings gibt es doch einen ganz wesentlichen Unterschied: Während man unter Linux X-Windows noch nachträglich einrichten kann, ist dies bei Server Core nicht vorgesehen. Ebenso wenig ist es möglich, eine Standardinstallation von Windows 2008 in Server Core umzuwandeln.

Bild: Server Core

Außer der grafischen Benutzeroberfläche fehlen Server Core auch Gerätetreiber, die in einer Server-Umgebung normalerweise nicht benötigt werden. Die Zahl der Server-Dienste wurde im Vergleich zur Standardausgabe in etwa halbiert und Server-Rollen und Funktionen sind auch nicht alle verfügbar.

Nach der Installation sind die üblichen Konfigurationsarbeiten (Netzwerk, Domänen-Anbindung, Firewall-Einstellungen usw.) auf der Kommandozeile durchzuführen. Selbst erfahrene Windows-Administratoren müssen hier eingeübte Handgriffe ganz neu erlernen. Systemverwalter aus der UNIX-Welt werden sich dagegen unter Server Core heimischer fühlen. Gleichwohl sind viele Befehle lange nicht so elegant wie etwa unter Linux. Der Verweis auf einen DNS-Server wird unter Server Core beispielsweise mit dem folgendem langwierigen Kommando konfiguriert:

netsh interface ipv4 set dnsserver “Local Area Connection” static DNS-IP

Sind die ersten grundsätzlichen Konfigurationsarbeiten abgeschlossen, kann Server Core jedoch wie jeder andere Windows-Server auch remote mit den üblichen grafischen Tools verwaltet werden. Die Konfiguration über Group Policy und den Windows Scripting Host (WSH) ist ebenfalls möglich. Erstaunlicherweise wird PowerShell nicht von Server Core unterstützt. Microsofts mächtige neue Shell und Script-Sprache wäre gerade unter Server Core sehr hilfreich gewesen. PowerShell ist auf das .NET Framework angewiesen, das ebenfalls unter Server Core nicht zur Verfügung steht. Gerüchten zu Folge ist jedoch eine abgespeckte .NET-Variante bereits in Arbeit. Langfristig wird dann wohl auch PowerShell unter Server Core eingesetzt werden können.

Plus

• Geringerer Resourcenverbrauch. Im Test ließ sich mit 512MB Arbeitsspeicher gut mit Server Core arbeiten. Auf der Festplatte beansprucht Server Core im Vergleich zur Standardausgabe nach einer Neuinstallation gar nur ein Drittel des Platzes.
• Höhere Sicherheit, da die Angriffsfläche deutlich geringer ist.
• Geringerer Verwaltungsaufwand, weil das Betriebssystem seltener zu aktualisieren ist und daher auch weniger häufig neu gestartet werden muss.
• Kürzere Boot-Zeiten

Minus

• Teilweise umständliche Kommandos, die Einarbeitungsphase erfordern.
• Für viele Konfigurationen muss der Administrator direkt auf die Windows-Registry zugreifen, was das Risiko, den Server durch eine Fehlkonfiguration lahmzulegen, beträchtlich erhöht.
• Beschränkt auf wenige Aufgaben.
• Grafische Oberfläche lässt sich nicht nachinstallieren
• Die meisten unter Windows verfügbaren Anwendungen setzt eine Umgebung mit grafischer Oberfläche voraus. Sie laufen nicht unter Server Core. Selbst jene Anwendungen, die sich auch über das Netz mit grafischen Tools verwalten lassen würden, können unter Server Core häufig schon deshalb nicht eingesetzt werden, weil das Installationsprogramm eine grafische Oberfläche voraussetzt.

Die wohl interessanteste Neuerung im Bereich Active Directory ist der Read Only Domain Controller (RODC), ein neuer Domänencontroller-Typ, der lediglich über eine unidirektionale Verbindung zu anderen Domänencontrollern verfügt. Ein RODC führt eine Kopie der Verzeichnisdienst-Datenbank, ist aber nicht in der Lage, Änderungen zu andern DCs zu replizieren. Anwendungen, die schreibenden Zugriff auf das Active Directory benötigen, werden vom RODC an einen Domänen Controller mit Schreibberechtigung verwiesen. Die meisten lesenden Zugriffe auf den Verzeichnisdienst kann der RODC selbständig bearbeiten.

Eingesetzt werden sollen RODCs an Standorten, wo der physische Zugriff auf einen Server durch unautorisierte Personen nicht ohne weiteres verhindert werden kann. Solche Server sind besonders gefährdet, weil es ein Leichtes ist, die Sicherheitsmechanismen von Windows auszuhebeln, wenn man von einem externen Medium ein anderes Betriebssystem startet, um auf die Systempartition zuzugreifen. Sollte es einem Angreifer gelingen, die Verzeichnisdatenbank auf einen physisch kompromittierten Server zu manipulieren, ist beim Einsatz eines RODC ausgeschlossen, dass die Änderungen systemweit im Verzeichnis übernommen werden.

Aber selbst wenn der Angreifer nur lesenden Zugriff auf die Verzeichnisdatenbank erhält, stellt dies eine große Gefahr für das Unternehmensnetz dar. Insbesondere die Passwörter der Anwender sind gefährdet, auch wenn diese verschlüsselt oder nur deren Hash-Werte abgelegt wurden. Deshalb kann man die Speicherung von Passwörtern auf RODCs grundsätzlich unterbinden. Der Nachteil dieses Verfahrens ist allerdings, dass die Anmeldung an einen RODC dann nur noch möglich ist, wenn ein vollwertiger Domänencontroller für die Authentifizierung zur Verfügung steht.

Bild: Zwischengespeicherte Passwörter

Ein RODC verfügt noch über weitere Features, die ebenfalls die Sicherheit erhöhen sollen. So ist es etwa möglich, eine Domänen-Kennung einzurichten, die über Administrationsrechte auf dem RODC verfügt, jedoch keine Veränderungen in der Domäne vornehmen kann. Bei reinen Mitglied-Servern konnte ein Systemverwalter schon immer mit einer lokalen Administrator-Kennung arbeiten, die seine Rechte auf den jeweiligen Server beschränkte. Ein Administrator, der einen Domänen-Controller verwalten soll, muss unter Windows Server 2003 in aller Regel aber Mitglied der Gruppe der Domänen-Administratoren sein. Zumindest auf einem RODC ist es bei Windows 2008 jetzt möglich, die Verwaltungen einem am Standort arbeitenden Administrator zu übertragen, ohne diesem aber Rechte in der Domäne einräumen zu müssen.

Ein weiterer sicherheitskritischer Faktor unter Windows 2003 ist der DNS-Dienst, wenn er auf einem Domänen-Controller an einem unzureichend geschützten Standort installiert ist. Manipulationen am DNS können zu schwerwiegenden Funktionsstörungen in der gesamten Domäne führen. Aus diesem Grund unterstützt ein DNS-Server, der auf einem RODC läuft, keine dynamischen Updates. Das heißt, Windows-Clients, die sich selbständig am DNS registrieren wollen, müssen den Umweg über einen vollwertigen DNS-Server gehen. Der DNS-Dienst auf einem RODC sorgt dafür, dass die Clients an einen entsprechenden DNS-Server weitergeleitet werden.

Plus

• Ein kompromittierter RODC kann die Änderungen nicht systemweit im Verzeichnis verbreiten.
• Es lassen sich eigene Domänen-Kennungen einrichten, die über Administrationsrechte auf dem RODC verfügen, jedoch keine Veränderungen in der Domäne vornehmen können.
• Speicherung von Passwörtern auf RODCs kann grundsätzlich unterbunden werden

Minus

• RODCs unterscheiden sich in ihrer Funktionsweise zum Teil erheblich von vollwertigen Domänen-Controllern. Durch die Einführung eines neuen Domänen-Controller-Typs erhöht sich ohne Zweifel die Komplexität des Active Directory und damit auch seine Fehleranfälligkeit.
• Im Fall von Fehlfunktionen erhöht sich unter Umständen der Aufwand für die Fehlersuche, da RODC-spezifische Eigenheiten zu berücksichtigen sind.
• RODCs bieten nicht dieselbe Fehlertoleranz wie vollwertige Domänen-Controller, da sie in großem Maße von diesen abhängig sind. Verzichtet man beispielsweise auf das Password-Caching auf dem RODC, können sich Anwender an einem dezentralen Standort nicht mehr anmelden, falls die Netzverbindung zur Firmenzentrale unterbrochen ist. Betreibt man jedoch einen vollwertigen DC in der Filiale, besteht dieses Problem nicht.
• RODCs können nur betrieben werden, wenn mindestens ein vollwertiger DC unter Windows Server 2008 in der Domäne zur Verfügung steht. Gerade in der Anfangsphase erhöht dies Fehleranfälligkeit, wenn noch nicht alle Domänencontroller auf Windows 2008 migriert wurden.
• Für die Administratoren bedeuten RODCs schon allein deshalb zusätzlichen Aufwand, weil sie sich zunächst mit dessen neuen Konzepten vertraut machen müssen. Das sollte insbesondere in kleinen und mittelgroßen Unternehmen, wo in der Regel keine Active-Directory-Spezialisten zur Verfügung stehen, nicht unterschätzt werden.
• Anwendungskompatibilität: Vor dem Einsatz eines RODC ist in jedem Fall zu prüfen, ob Anwendungen von Drittanbietern, die auf das Active Directory angewiesen sind, mit diesem neuen Domänen-Controller-Typ überhaupt zurechtkommen.

Zu den wesentlichen Neuerungen von Windows Server 2008 im Bereich Sicherheit gehören die Netzwerkrichtlinien- und Zugriffsdienste (Network Access Protection = NAP), Microsofts Network-Access-Control-Lösung (NAC). Die Aufgabe von NAP ist es, nur Computern, die vordefinierte sicherheitsrelevante Bedingungen erfüllen, Netzzugriff auf andere Computer im Intranet zu gewähren.

Microsoft nennt diese Bedingungen „Richtlinien für die Windows-Sicherheitsintegrationsprüfung“. Windows Server 2008 kennt fünf unterschiedliche Typen solcher Richtlinien. Sie betreffen die Windows-Firewall, den Virenschutz, den Spyware-Schutz, automatische Updates und den Sicherheitsupdateschutz.

Bild: NAP-Richtlinien

Ein Client-Computer erfüllt die Richtlinie für automatische Updates, falls unter Windows die automatische Aktualisierung aktiviert ist. Das garantiert aber nicht, dass alle sicherheitsrelevanten Updates auf diesem Computer bereits installiert wurden. War ein PC längere Zeit ausgeschaltet, stellt er ein potentielles Sicherheitsrisiko dar, da er noch nicht über die neuesten Sicherheits-Updates verfügt.

Mit Hilfe der Richtlinie für den Sicherheitsupdateschutz kann der Administrator festlegen, welche Updates vorhanden sein sollten. So kann er beispielsweise konfigurieren, dass alle kritischen Updates installiert sein müssen und wann die letzte Prüfung auf neue Sicherheits-Updates stattgefunden haben sollte.

Diesen Unterschied gibt es im Prinzip auch bei den Richtlinien für den Antivirenschutz und den Spyware-Schutz. Hier legt der Systemverwalter ebenfalls fest, ob die bloße Aktivierung ausreichend ist oder ob auch die Signaturen auf aktuellem Stand zu sein haben. Die Richtlinie für die Firewall prüft dagegen lediglich den Status, nicht aber, welche Regeln aktiv sind.

Erfüllt ein Client alle Richtlinien, gilt er als „kompatibel“ (compliant). NAP gibt in diesem Fall den Zugriff auf das Netz frei. Ist ein Computer nicht kompatibel, erhält er lediglich eingeschränkten Netzzugang auf das Quarantänenetzwerk, in dem sich auch die sogenannten Wartungs-Server befinden. Ein Antivirus-Server, der die neuesten Virensignaturen für nicht kompatible Clients bereitstellt, wäre ein Beispiel für so einen Wartungs-Server. Sobald der NAP-Agent meldet, dass der Client alle Richtlinien einhält, wird der Zugriff auf das gesamte Netz freigegeben.

NAP ist außerdem in der Lage, das Verfehlen von Richtlinien nur zu protokollieren. Nicht kompatible Clients werden dabei zunächst nicht ausgesperrt. Dieses Verfahren ist insbesondere in der Anfangsphase nach der Einrichtung von NAP äußerst empfehlenswert. So kann man sich erst einmal einen Überblick verschaffen, welchen Computern der Netzwerkzugriff aufgrund der definierten Richtlinien verweigert werden würde.

Die Beschränkung des Netzzugangs kann mit verschiedenen Verfahren erzwungen werden. NAP unterstützt fünf solche Erzwingungsmethoden (enforcement methods). Jedes Verfahren setzt auf einen bestimmten Netzdienst auf: DHCP, VPN, 802.1X, IPSec, und TS Gateway.

Netzwerkrichtlinien-Server

Während sich ein Großteil der NAP-Konfiguration auf dem Netzwerkrichtlinien-Server (Network Policy Server = NPS) durchführen lässt, sind die Erzwingungsmethoden mit dem Frontend des jeweiligen Netzdienstes zu konfigurieren. So wird etwa die DHCP-Erzwingungsmethode auf dem DHCP-Server verwaltet. Dort kann der Administrator Subnetzmaske und DHCP-Optionen speziell für nicht kompatible Clients angeben. Der DHCP-Server muss dafür allerdings auf einem Server mit Windows 2008 laufen.

DHCP-Konfiguration

Für jede Erzwingungsmethode sind die Zugriffsbeschränkungen also in Abhängigkeit von den Möglichkeiten des zugehörigen Netzdienstes zu formulieren. Es ist auch möglich, mehrere Verfahren parallel einzusetzen. In der Praxis wird man aber vermutlich meist nur mit einer oder zwei Erzwingungsmethoden arbeiten.

Der Administrationsaufwand für die einzelnen Verfahren ist dabei höchst unterschiedlich. Am aufwändigsten dürfte die IPSec-Methode sein. Bei diesem Verfahren erhalten Clients ein digitales Zertifikat, das sie als kompatibel ausweist. Rechner, die nicht über dieses Zertifikat verfügen, haben keinen Zugriff auf andere Systeme im Intranet.

Dies lässt sich auch mit der 802.1X-Methode erreichen. Hierzu müssen aber alle Netzwerk-Switches die Authentifikation über 802.1X beherrschen und außerdem die automatische Zuweisung von Clients zu virtuellen LANs anhand von RADIUS-Attributen erlauben. Nicht kompatible Clients werden bei diesem Verfahren einem speziellen VLAN zugeordnet. Ähnlich funktioniert dies auch bei der VPN-Methode. Statt einem VLAN wird nicht kompatiblen Clients hier ein bestimmtes IP-Subnetz zugewiesen.

TS Gateway ist ein neues Features der Terminals-Services von Windows Server 2008. Es erlaubt den Aufbau einer verschlüsselten RDP-Verbindung über HTTPS. NAP sorgt bei dieser Erzwingungsmethode dafür, dass nicht kompatible Clients keinen Zugriff via RDP auf einen Windows-Server erhalten. Im Gegensatz zu den anderen vier Erzwingungsmethoden unterstützt NAP hier die sogenannte „automatische Wartung“ nicht. Wie bereits oben angesprochen, verfügt der NAP-Agent über die Fähigkeit, die jeweils notwendigen Prozeduren anzustoßen, die nicht kompatiblen Clients zu einem richtlinienkonformen Zustand verhelfen.

Plus

• NAP kann einen wesentlichen Beitrag zur Sicherheit im Netz leisten, weil Schwachstellen, die für Schadsoftware oder Hacker anfällig sind, automatisch ausgeschaltet werden.

• Da mit dem Service Pack 3 auch ein NAP-Client für Windows XP ausgeliefert werden wird und Mac OS X beziehungsweise Linux ebenfalls NAP unterstützen werden, ermöglicht Windows 2008 den Aufbau einer weitgehend herstellerunabhängigen NAC-Lösung. Windows Vista bringt einen NAP-Client bereits mit.

• Darüber hinaus können Drittanbieter ihre Sicherheits-Software über Schnittstellen in NAP einklinken, so dass in Zukunft noch weitere Erzwingungsmethoden beziehungsweise Richtlinien zur Verfügung stehen werden. NAP könnte so über kurz oder lang zur Schaltzentrale für die Netzwerksicherheit werden.

Minus

• NAP ist bereits in seiner ersten Version eine äußerst komplexe NAC-Lösung. Administratoren müssen daher eine entsprechend lange Einarbeitungszeit einplanen.

• Eine Fehlkonfiguration von NAP kann den Netzbetrieb empfindlich stören. Hier ist abzuwägen, ob der Gewinn an Sicherheit die erhöhte Fehleranfälligkeit wettmacht. Entscheidend für die Beantwortung dieser Frage ist, ob die Systemverwaltung über genügend personelle Ressourcen verfügt, um diese neue Herausforderung zu meistern.

• Die Richtlinie für die Windows Firewall bietet zu wenige Einstellungsmöglichkeiten. Die Tatsache, dass die Firewall aktiviert ist, gibt noch keine Auskunft darüber, ob die definierten Regeln den Sicherheitsrichtlinien des Unternehmens entsprechen.

• Die DHCP-Erzwingungsmethode bringt nur in begrenztem Umfang zusätzliche Sicherheit, da die Vergabe von IP-Adressen auch manuell erfolgen kann. Administratoren, die sich auf diese relativ einfach zu konfigurierende Methode verlassen, wiegen sich unter Umständen in trügerischer Sicherheit.

• Die anderen Erzwingungsmethoden bieten zwar deutlich mehr Sicherheit, dafür ist der Konfigurationsaufwand entsprechend höher. Insbesondere die IPSec-Methode erfordert eine umfangreiche Planung. Denn hier ist nicht nur NAP aufzusetzen, sondern zudem eine komplette IPSec-Infrastruktur.

Ein weiteres Highlight von Windows Server 2008 sind die Erweiterungen der Terminaldienste. Die wichtigsten drei Neuerungen betreffen die Verwaltung von Terminalserveranwendungen (TS RemoteApp), den Webzugriff (TS Web Access) auf diese sowie den sicheren Zugang zu den Terminaldiensten über das Internet (TS Gateway). Darüber hinaus wurden die Terminaldienste um einige kleinere Features erweitert. Die interessantesten werden hier kurz erläutert.

Mit Hilfe des neuen RemoteApp-Managers können Administratoren einzelne Anwendungen auf einem Windows-Server über die Terminaldienste im Netz zur Verfügung stellen. Anwender starten diese wie gewöhnliche Applikationen aus dem Startmenü ihres Arbeitsplatzrechners oder von einer Web-Seite. Die Anwendung präsentiert sich dann genauso, als wenn sie auf dem Desktop laufen würde. Es ist nicht erkennbar, dass sie in Wirklichkeit auf einem Terminalserver gestartet wurde und lediglich Bildschirminhalte und Eingaben übertragen werden. Alle Anwendungen eines Benutzers laufen dabei in einer Sitzung. Das beschleunigt den Start neuer Applikationen.

Auch unter Windows 2003 ist es schon möglich, nur eine bestimmte Anwendung auf einem Terminalserver zu starten. Die wesentliche Neuerung unter Windows Server 2008 besteht darin, dass mit dem RemoteApp-Manager nun ein Tool zur Verfügung steht, mit dem Anwendungen zentral auf einem Terminalserver bereitgestellt werden können. Der Presentation Server von Citrix bietet ähnliche Funktionen unter den Schlagworten „Application Publishing“, „Session Sharing“ und „Seamless Windows“ schon seit längerem.

RemoteApp-Manager

Die Verknüpfungen der RemoteApp-Programme für die Arbeitsplatzrechner erstellt der Administrator unter Windows 2008 mit dem RemoteApp-Manager. In Frage kommt dafür entweder ein Windows-Installer-Packet (MSI) oder eine RDP-Datei. Die Verteilung auf die Clients kann dann beispielsweise über Gruppenrichtlinien erfolgen.

Um von einer Website eine Anwendung auf einem Terminal-Server starten zu können, muss auf einem Windows Server 2008 der Terminal-Dienste-Web-Zugriff installiert sein. Neu daran ist, dass über den RemoteApp-Manager eingerichtete Programme automatisch auch für den Web-Zugriff zur Verfügung stehen. Dafür stellt Terminal-Dienste-Web-Zugriff eine spezielle Web-Seite bereit, die alle freigegebenen Anwendungen anzeigt. Das Entfernen einer RemoteApp-Anwendung lässt automatisch auch das entsprechende Web-Symbol verschwinden. Der Administrator kann jedoch einzelne Anwendungen für den Web-Zugriff auch manuell ausblenden.

Terminaldienste-Webzugriff

Der Zugriff auf die Terminal-Dienste aus dem Web ist auch schon unter Windows Server 2003 möglich. Dafür ist die Remote-Desktop-Web-Verbindung notwendig, ein ActiveX-Steuerelement, das die Rolle des RDP-Clients für den Web-Zugriff übernimmt.

In der aktuellen Ausführung ersetzt die Remote-Desktop-Connection-Software (RDC) die ActiveX-Technik. Voraussetzung dafür ist indes, dass auf dem Client-Rechner mindestens RDC 6.0 installiert ist. Bei Windows Vista ist das standardmäßig der Fall, bei Windows XP lässt sie sich nachrüsten. Windows 2008 unterstützt auch noch die alte Variante mit dem ActiveX-Steuerelement. Allerdings muss man dann die entsprechende Web-Seite manuell verwalten.

Terminaldienste-Gateway (Terminal Services Gateway) ermöglicht den sicheren Zugriff über das Internet auf firmeninterne Terminalserver. Dabei wird RDP über HTTPS (HTTP mit SSL-Verschlüsselung) getunnelt.

Ein weiterer Vorteil dieses Verfahrens ist, dass der RDP-Port in der Firewall nicht geöffnet werden muss. Der TS-Gateway-Server befindet sich dabei im Perimeter-Netzwerk und leitet die RDP-Anfragen an die Terminalserver im internen Netz weiter.

Terminaldienste-Gateway

Auf dem TS Gateway lässt sich über die sogenannte Ressourcenautorisierungsrichtlinie konfigurieren, welche Server dafür in Frage kommen. Darüber hinaus können Administratoren mit der Verbindungsautorisierungsrichtlinie die Benutzergruppen bestimmen, die eine Verbindung zum TS Gateway aufbauen dürfen.

Die Lizensierung der Terminaldienste wurde in zweierlei Hinsicht verbessert. Zum einen ist nun endlich auch eine benutzerbasierte Lizensierung möglich - Windows Server 2003 unterstützt lediglich die gerätebasierte Lizensierung - und zum anderen kann eine zugewiesene Lizenz im Falle der gerätebasierten Lizensierung widerrufen werden. So lassen sich Lizenzen wieder freigeben, wenn sie auf einzelnen Computern nicht mehr benötigt werden. Um Missbrauch zu verhindern, ist dies aber nur für 20 Prozent der Lizenzen möglich. Die Wiederaufnahme einer unterbrochenen Sitzung funktioniert nun auch in einer Terminalserverfarm.

Der neue Terminaldienste Sitzungsbroker (TS Session Broker) bietet Lastverteilung und ist daher für Terminalserverfarmen eine Alternative zu Microsofts Network Load Balancing (NLB). Auf diese Weise lässt sich nun auch mit der Standardausgabe von Windows Server Lastverteilung beim Betrieb mehrerer Terminalserver einsetzen.

Neu ist der sogenannte Drain-Modus. Muss ein Terminalserver neu gestartet werden, können Administratoren verhindern, dass sich weitere Benutzer anmelden. Anwender, die bereits eine Sitzung geöffnet haben, sind weiterhin imstande, sich zum Terminalserver zu verbinden.

Ein Problem beim Einsatz eines Terminalservers als Applikationsserver war von jeher die Einbindung lokaler Drucker. Mit TS Easy Print hofft Microsoft, dieses Problem in den Griff zu bekommen. Auch wenn auf dem Server der Treiber des lokalen Druckers nicht vorhanden ist, soll nun der Ausdruck dank XPS (XML Paper Specification), Microsofts Alternative zu PDF, besser funktionieren.

Auch in Bezug auf die Fernverwaltung von Windows-Servern gibt es Neuerungen. So manches Verwaltungs-Tool läuft unter Windows Server 2003 nicht in einer Terminalsitzung. Systemverwalter können sich in so einem Fall auch remote im Konsolenmodus anmelden. Der Unterschied zwischen einer Sitzung an der Konsole und einer Terminalverbindung wurde bei Windows Server 2008 im Prinzip abgeschafft. Dafür sollten nun aber die meisten Verwaltungswerkzeuge laufen, die unter Windows Server 2003 in einer Terminalsitzung den Dienst verweigern.

Nützlich ist auch, dass nun eine Meldung ausgegeben wird, wenn ein weiterer Systemverwalter sich anmelden möchte und bereits beide Lizenzen für die Fernverwaltung vergeben wurden. Reagiert der Administrator nicht, wird nach 30 Sekunden die Verbindung unterbrochen und die Lizenz freigegeben. Er kann dann zu einem späteren Zeitpunkt diese Sitzung wieder aufnehmen.

Plus

• Dank der neuen Möglichkeiten von TS RemoteApp und TS Web Access wird man in kleinen und mittelgroßen Unternehmen nun häufiger auf Terminalserver-Erweiterungen von Drittanbietern wie Citrix und Ericom verzichten können.

• TS Gateway ist erstaunlich einfach einzurichten. Sollen Mitarbeiter nur über RDP über das Internet auf das Firmennetz zugreifen, kommt man unter Umständen um den Einsatz einer aufwändigen VPN-Lösung umhin.

• Die vielen Verbesserungen im Detail erleichtern insbesondere den Systemverwaltern den Umgang mit den Terminaldiensten.

Minus

• Um wirklich alle neuen Features nutzen zu können, ist die neueste RDC-Version erforderlich. Diese ist derzeit nur für die Beta-Versionen von Windows Vista SP1 und Windows XP SP3 verfügbar.

• Setzt man mehrere Terminalserver ein, müssen die Anwendungen auf jedem Server einzeln publiziert werden. Zentrale Verwaltungs-Tools für Terminalserverfarmen fehlen Windows Server 2008.

• Die Verteilungen der MSI- beziehungsweise RDP-Dateien über Gruppenrichtlinien funktioniert nur innerhalb einer Windows-Domäne.

• Applikationen unter RemoteApp lassen sich nur für alle Anwender publizieren. Eine Einschränkung auf einzelne Benutzer oder Gruppen ist nicht vorgesehen.

• TS Web Access erlaubt keine Gruppierung von Anwendungen in Unterordner. Soll eine größere Zahl von Applikationen angeboten werden, verlieren die Anwender schnell die Übersicht.

• TS Web Access klappte im Test bei Windows Server 2008 RC1 nur mit dem Internet Explorer. Im Firefox werden die Anwendungssymbole nicht angezeigt.

• TS Session Broker unterstützt nur bis zu fünf Terminalserver. Für den Einsatz von sitzungsbasierter Lastverteilung in größeren Terminalserverfarmen sind daher nach wie vor Erweiterungen von Drittanbietern notwendig.

• Unter Windows Server 2003 können sich insgesamt drei Administratoren gleichzeitig über RDP anmelden, zwei in einer gewöhnlichen Terminalsitzung und einer im Konsolenmodus. Da Windows Server 2008 den Konsolenmodus nicht mehr kennt, können nun nur noch zwei Administratoren zeitgleich einen Windows-Server verwalten.

Windows Server 2008 soll es in acht Ausführungen geben, wobei mit Ausnahme der Itanium-Version alle Varianten in 32- und 64-Bit-Ausprägungen verfügbar sein werden. Damit ist Windows Server 2008 nach verschiedenen Ankündigungen Microsofts voraussichtlich die letzte Version für 32-Bit-Hardware. Die Editionen Standard, Enterprise und Datacenter enthalten die Virtualisierungssoftware Hyper-V sowie die Lizenz für eine virtuelle Instanz.

• Standard Edition
• Enterprise Edition
• Datacenter Edition
• Windows Web Server 2008
• Windows Server 2008 für Itanium-basierte Systeme (nur 64-Bit)
• Standard, Enterprise und Datacenter Edition ohne Hyper-V