Das neue Windows-Tandem
Quelle: Vogel.de

Das neue Windows-Tandem

Unternehmen, die vorhaben auf Windows 7 zu migrieren, bietet sich durch die Kombination mit dem neuen Server-OS Windows Server 2008 R2 ein grösserer Funktionsumfang.

Artikel erschienen in Swiss IT Magazine 2010/03

     

Windows 7 ist bekanntlich nicht das einzige grosse Produkt, das Microsoft letzten Oktober lanciert hat. Zusammen mit dem neuen Client-Betriebssystem kam nämlich auch eine neue Version des Server-Pendants, Windows Server 2008 Release 2 (R2), in die Verkaufsregale. Zum ersten Mal seit Windows 2000 hat Microsoft wieder beide Systeme parallel entwickelt und das ist auch deutlich spürbar. Swiss IT Magazine zeigt Ihnen in diesem vierten Teil der Windows-7-Serie, was das «Windows-Tandem» bringt.



Grundlegende Voraussetzungen

Vorneweg: Unternehmen, die auf Windows 7 umsteigen, brauchen nicht zwangsläufig auch Server-seitig eine Migration durchzuführen. Windows 7 arbeitet auch gut mit den älteren Versionen Windows Server 2003, 2003 R2 oder 2008 (R1) zusammen.


Ein paar der für Unternehmen interessantesten, neuen Features von Windows 7 können jedoch nur in Kombination mit Windows Server 2008 R2 genutzt werden. Wem die neuen Technologien wie Direct Access oder Branch Cache, die wir gleich näher beschreiben, zusagen, der sollte einen Wechsel jedoch in Betracht ziehen.


Windows Server 2008 R2 steht genauso wie Windows 7 in vielen verschiedenen Versionen zur Verfügung. Um bei der Kombination der beiden Produkte den grösstmöglichen Nutzen zu erhalten, braucht es zwingend folgende Editionen: Client-seitig Windows 7 Ultimate oder Windows 7 Enterprise. Bei den neuen Server-Ausgaben von Windows – die übrigens alle nur noch als 64-Bit-Editionen angeboten werden - muss man die Standard-, Enterprise- oder Datacenter-Edition wählen. Die Foundation-Ausgabe beispielsweise genügt nicht. Hier fehlen einige der Features, die wir nachfolgend vorstellen. Weitere Details zu den einzelnen Server-Versionen und ihren Funktionen finden Sie in der Tabelle unten.


Verbindungen ins Unternehmensnetzwerk

Betrachtet man die neuen Features, die das Windows-Tandem bietet, so fällt eines auf: Microsoft reagiert damit vor allem auf die Veränderungen, wie und wo man heute arbeitet – unterwegs, zu Hause oder irgendwo in einer Zweigstelle, auch im Ausland. Zum Beispiel mit der neuen Remote-Access-Lösung Direct Access (DA). Die Technologie erlaubt den direkten Zugriff von mobilen oder anderen, sich ausserhalb des Unternehmens befindenden Windows-7-Clients, auf Ressourcen im Unternehmensnetzwerk. Umgekehrt erlaubt DA auch das einfache Einspielen von Updates und Policy-Anpassungen. Das soll zu weniger Arbeit bei Administratoren und zu einfacheren Prozessen bei den Benutzern führen.


Wie funktioniert Direct Access genau und was unterscheidet es von dem heute häufig genutzten, Virtual Privat Network (VPN)? Die neue Microsoft-Technologie ist grundsätzlich ähnlich wie VPN, beide Methoden nutzen das Internet und ein sogenanntes «Tunneling» für den Zugriff ins Firmennetzwerk.



Unterschied VPN – Direct Access

Mit dem Tunneling wäre es das mit den Gemeinsamkeiten zwischen VPN und DA schon. Einen grossen Unterschied gibt es beispielsweise beim Herstellen der Verbindung. Mit DA entfällt das notwendige, explizite Login. Die Authentisierung des Clients zum Direct-Access-Server erfolgt automatisch und in zwei Schritten: Zuerst wird der Computer authentisiert, und zwar bereits bevor die Benutzeranmeldung startet. Mit dieser wird dann im zweiten Schritt auch der Benutzer am DA-Server angemeldet. Sobald eine Internetverbindung da ist, beginnt schliesslich der für den User unsichtbare Verbindungsaufbau über den DA-Server zum Zielhost im Firmennetz. DA basiert übrigens auf dem neuen IPv6-Protokoll. Dank Technologien wie 6to4, Teredo oder IP-HTTPS und ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) sollte aber auch mit anderen Internetprotokollen wie IPv4 jederzeit eine Verbindung möglich sein.


Ein weiterer grosser Vorteil der DA-Technologie gegenüber dem VPN ist die Bidirektionalität. Das heisst, nicht nur der Benutzer von extern hat mit DA Zugriff ins Unternehmensnetz, sondern umgekehrt hat auch das Unternehmen Zugriff auf den externen Client-PC. Das kann, wie bereits angetönt, zum Updaten der Geräte sehr nützlich sein. Das Motto «zwei statt eins» gilt auch beim Traffic. Während bei einer VPN-Verbindung typischerweise der gesamte durch den Client verursachte Traffic durch den aufgebauten Tunnel läuft, vollzieht Direct Access ein sogenanntes Split-Tunnel-Routing und leitet den Internet-Traffic nicht durch den Tunnel. Das macht die Verbindung insgesamt schneller.


Wie sieht es bei Direct Access punkto Sicherheit aus? Die Verbindung ist natürlich verschlüsselt. Dazu wird das IPsec-Protokoll benutzt. Administratoren haben weiter die Möglichkeit, Berechtigungen zu setzen, welcher Client auf was Zugriff hat. Zudem können sie mit Network Access Protection (NAP) und Net-work-Policy-Servern (NPS) festlegen, welche Voraussetzungen Clients erfüllen müssen, die sich ins Firmennetz einloggen wollen. Zusätzlich kann auch eine 2-Faktor-Authentifizierung, mit einer Smartcard beispielsweise, eingerichtet werden.



Zwischenspeichern in Zweigstellen

Branch Cache heisst ein weiteres der interessanten neuen Features, die Windows 7 und Windows Server 2008 R2 voraussetzen. Es ist, wie der englische Ausdruck «Branch» bereits verrät, ein Tool, das für Unternehmen mit Zweigstellen gedacht ist und sorgt wie Direct Access für Verbesserungen im Netzwerk. Branch Cache führt ganz konkret zu Performancesteigerungen bei Zugriffen auf Daten, die nicht lokal vor Ort gespeichert sind. Aussenstellen können damit den WAN-Verkehr reduzieren und ein bereits stark benutztes WAN entlasten.


Branch Cache ist eigentlich nichts weiter als eine Caching-Software. Sie speichert auf dem Server im Unternehmen abgefragte Daten auf der lokalen Harddisk eines Windows-7-PC in der Zweigstelle zwischen. Fragt nun ein anderer Nutzer in derselben Zweigstelle nach der- selben Datei, dann wird diese intern via LAN oder WLAN direkt vom PC des Kollegen bereitgestellt. Der Umweg via WAN/Internet ins Unternehmen entfällt. Ist der Benutzer mit der zwischengespeicherten Datei offline, läuft alles als wäre Branch Cache nicht im Einsatz.


Die eben beschriebene Methode ist eine von zweien und wird Distributed Cache Mode genannt. Sie eignet sich für kleinere Unternehmen mit bis zu 10 Mitarbeitenden. Für grössere Zweigstellen mit mehr Nutzern gibt es den Hosted Cache Mode. Dabei wird in der Zweigstelle ein Branch Office Server mit Windows Server 2008 R2 eingerichtet, wo die Daten dann zwischengespeichert werden.



Virtualisieren und sicherer sein

Nutzer von Windows Server 2008 (R1) kennen das Feature Remote App and Desktop Connection (RAD) zur Presentation-Virtualisierung beziehungsweise für Terminal Services womöglich bereits. Im zweiten Release des Serverbetriebssystems hat Microsoft das Feature nun überarbeitet. Neu präsentiert die Bedienkonsole Windows-7-Nutzern beispielsweise RAD-Feeds. Damit sollen sich die Apps und Desktops leichter aufrufen lassen. Weiter wurden die RAD-Funktionalitäten eng in Windows 7 beziehungsweise in den Infobereich der Task-leiste und das Startmenü integriert. Ausserdem gibt es ein neues RDP-Protokoll (RDP v7). Es bringt im Bereich Multimedia einige Verbesserungen, unterstützt neu die Aero-Glass-Effekte von Windows 7 und bietet Multimonitor-Support. In Zusammenarbeit mit dem neuen Remote Desktop Gateway des Server-OS soll auch bezüglich Sicherheit und Zugriff nun mehr möglich sein.


Apropos Sicherheit: Das Zusammenspiel zwischen dem neuen Server- und Client-Betriebssystem bringt auch hier Fortschritte. Da wäre beispielsweise das Tool App Locker. Es ist das überarbeitete Software-Restriction-Policy-Feature und dazu da, um festzulegen, welche Applikationen auf welchem System laufen sollen oder nicht. Es bietet neu einige zusätzliche Kontroll-Levels. Auch das Tool Bit Locker To Go, zum Verschlüsseln von externen Laufwerken, kann im Zusammenspiel mit dem neuen Windows-Server-OS genutzt werden und bietet so einige interessante Möglichkeiten. Beispielsweise können Group Policies erstellt werden, die Benutzer dazu zwingen, bei der Arbeit mit externen Laufwerken immer Bit Locker zu benutzen und nichtverschlüsselte Laufwerke vom Netzwerk auszuschliessen.


Mit Bit und App Locker sowie den Remote Desktop Apps haben wir bereits ein paar Management-, Sicherheits- und Virtualisierungs- Features von Windows 7 kurz angesprochen. Im letzten Teil der Windows-7-Serie in der kommenden Ausgabe werden wir noch genauer auf einige davon eingehen und weitere wichtige, neue Programme und Features aus diesem Themenbereich vorstellen.



Strom sparen

Für IT-Verantwortliche ist oder wird heute auch das Thema Stromverbrauch immer zentraler. Windows Server 2008 R2 adressiert auch diesen Trend. Bereits in der Vorgängerversion hatten Administratoren die Möglichkeit mittels Active Directory Domain Services-Gruppenrichtlinien gewisse Steuerungsfunktionen für die Energieverwaltung von Client-PCs zu übernehmen. Diese Fähigkeiten und Möglichkeiten wurden ausgebaut. Windows Server 2008 R2 bietet nun eine noch präzisere, zentrale Steuerung der Ener---gieverwaltung für Windows 7-Clients, mit mehr Einsatzszenarien.

(mv)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER