Rollenspiele mit «Longhorn»-Server
Artikel erschienen in Swiss IT Magazine 2006/16
Die Anforderungen, die Microsoft für die Entwicklung des Windows Server «Longhorn» definiert hat, können nicht überraschen. Neben der generellen Herausforderung der Sicherheit geht es vor allem darum, eine zuverlässige und skalierbare Basis für sichere, verwaltbare Umgebungen zu schaffen. «Longhorn» setzt auf der gleichen Code-Basis wie Windows Vista auf, erweitert diese aber in vielen Bereichen um Server-spezifische Funktionen. Dadurch gibt es viele Ähnlichkeiten schon beim Setup, aber auch einiges an Unterschieden. Vor allem gilt aber, dass Windows Vista und Windows Server «Longhorn» die ersten Windows-Betriebssysteme sind, die vollständig innerhalb des Security Development Lifecycle (SDL) entwickelt wurden, Microsofts internem Konzept für die Realisierung von sicherem Code.
Das zeigt sich schon bei der Installation. Microsoft hat versucht, ein klareres Konzept unterschiedlicher Serverrollen zu entwickeln, die einfach ausgewählt werden können. Die Rollen lassen sich nach der Basisinstallation und den ersten Konfigurationsschritten im Server-Manager auswählen. Dabei gibt es mehrere interessante Punkte. Zunächst erfordert die Betriebssysteminstallation als solche deutlich weniger Eingaben, weil die meisten Schritte bis hin zum Setzen des Kennworts für den Benutzer/Administrator erst im Anschluss an den eigentlichen Setup-Prozess erfolgen.
Wenn dieser Schritt abgeschlossen ist, wird automatisch der Server-Manager geladen der kaum noch etwas mit seinem Vorgänger in Windows Server 2003 gemein hat. Unterschieden wird dabei zwischen Rollen, Rollendiensten und Funktionen. Die Rollen stellen die oberste Ebene dar. Ein Server kann beispielsweise Rollen wie File-Server, Domänencontroller, SharePoint-Server oder Terminal-Service-Server einnehmen. Dabei sind auch mehrere Rollen kombinierbar. Unterschieden werden insgesamt siebzehn Rollen. Für diese gibt es wiederum Rollendienste wie spezielle Storage-Management-Services für den File-Server, die optional ausgewählt werden können. Bei der Liste der Funktionen finden sich Dienste, die nicht direkt einer speziellen Rolle zugeordnet werden können. Durch dieses Modell lässt sich nun deutlich einfacher als bisher steuern, welche Funktionen für den Server installiert werden.
Die vielleicht interessanteste Neuerung im Zusammenhang mit Serverrollen und der Installation ist aber die Möglichkeit, den Windows Server «Longhorn» nur mit einer Konsole als Benutzerschnittstelle einzurichten. Gedacht ist sie für Server, die ohnehin remote verwaltet werden. Sowohl hier als auch bei den Rollenmodellen wird deutlich, dass Microsoft das gesamte System modularer gestaltet hat, so dass man auf einem Server genau die benötigten Funktionen auswählen kann und nicht zwingend unnötigen Ballast installieren muss.
Vergleichsweise wenige Änderungen gibt es dagegen bei den administrativen Werkzeugen. Einige wie der bisherige Systemmonitor wurden zwar grundlegend überarbeitet und andere für die Firewall-Konfiguration oder die Verwaltung der Network Access Protection (NAP) oder den iSCSI-Initiator sind hinzugekommen, weil die Funktionen im System hinzugefügt wurden. Aber gerade die grundlegenden Änderungen wie die Windows PowerShell sind bereits als Add-ons für den Windows Server 2003 verfügbar.
Interessant ist aber die Integration der verschiedenen administrativen Werkzeuge im Server-Manager. Die wichtigsten Verwaltungsfunktionen lassen sich nun direkt von dort starten. Gerade in kleineren Umgebungen wird das Server-Management dadurch doch deutlich vereinfacht, weil man im wesentlichen mit einer Schnittstelle dem Server-Manager arbeiten kann.
Zu den weniger sichtbaren, aber umso wichtigeren Änderungen gehört der neue TCP/IP-Stack. Microsoft hat diesen grundlegend neu entwickelt, um vor allem die parallele Nutzung von IPv4 und IPv6 und die Migration zwischen den beiden Protokollversionen optimal zu unterstützen. Während beim Windows Server 2003 noch mit zwei IP-Stacks gearbeitet wird, sind bei «Longhorn» sowohl die höheren, anwendungsorientierten Schichten als auch die tieferen Schichten identisch. Microsoft bezeichnet diesen Ansatz als Dual-IP-Layer.
Man hat sich beim Redesign aber nicht auf die bessere Integration von IPv6 beschränkt. Es gibt optimierte Algorithmen und automatische Tuning-Funktionen, erweiterte APIs und eine bessere Unterstützung der Auslagerung von lastintensiven Funktionen auf spezialisierte Prozessoren von Netzwerkadaptern.
Ein besonderes Augenmerk bei neuen Betriebssystem-Releases gerade von Microsoft gilt dem Bereich der Sicherheit. Auch hier gibt es unzählige Neuerungen, die sich in Teilbereichen auch bei Windows Vista finden. So nutzt auch «Longhorn» eine neue Architektur für die Authentifizierung, bei der sich unterschiedliche Authentifizierungs-Mechanismen einfach integrieren lassen.
Auch die Bitlocker Drive Encryption findet sich sowohl bei Vista als auch bei «Longhorn». Im Gegensatz zum EFS (Encrypting File System) erfolgt die Verschlüsselung von Informationen auf Laufwerken hier Hardware-basiert mit Hilfe von Hardware, die den TPM-Spezifikationen (Trusted Platform Module) entspricht. Durch diese Integration mit der Hardware kann der Boot-Prozess von Windows nicht mehr umgangen werden, indem ein anderes Betriebssystem beispielsweise ab CD geladen wird.
Neu ist auch der File Protection Layer auf Betriebssystemebene. Dieser ist als Dateisystem-Filter realisiert. Beim Zugriff auf wichtige Systemdateien bis hin zum Kernel und zur HAL (Hardware Abstraction Layer) wird überprüft, ob diese unverändert sind. Dazu wird mit Hashs gearbeitet, also eindeutigen digitalen Abbildungen der Datei, die beim Zugriff neu berechnet und mit dem gespeicherten Wert verglichen werden. Manipulationen solcher Dateien werden damit verhindert.
Auch bei der Sicherheit von Systemdiensten hat sich einiges getan. Schon mit dem Windows Server 2003 haben die Redmonder den Netzwerkdienst eingeführt, der weniger Privilegien als die Berechtigung des lokalen Systems erfordert. Nun gibt es eine Reihe weiterer Varianten. Zum einen laufen deutlich mehr Dienste als lokale Dienste mit relativ beschränkten Berechtigungen. Zum anderen gibt es bei den anderen Kategorien ebenfalls Einschränkungen. Viele der Dienste, die das lokale Systemkonto nutzen, sind nun durch die Windows-Firewall eingeschränkt und können daher nicht mehr oder nur beschränkt angegriffen werden.
Für Netzwerkadministratoren dürfte aber insgesamt die Network Access Protection (NAP) die wichtigste Bedeutung unter den neuen Security-Features haben. Eines der grössten Risiken für die Sicherheit in Netzwerken sind Systeme, über die beispielsweise Viren in Netzwerke eingeschleppt werden. Das können beispielsweise Notebooks sein, die in unsicheren Netzwerken verwendet wurden, aber auch PCs im Home Office von Mitarbeitern.
Über die NAP kann eine definierte Kontrolle solcher Systeme erfolgen. Die Verbindung mit dem Netzwerk erfolgt dabei zunächst eingeschränkt, bis beispielsweise der Status von Virenscannern oder das Vorhandensein bestimmter Dateien überprüft wurde. Falls die Clients nicht korrekt konfiguriert sind, kann eine automatische Reparatur erfolgen oder der Zugriff auf das Netzwerk verweigert werden. Mit der Network Access Protection kann man mit überschaubarem Aufwand die Sicherheit im Netzwerk stark erhöhen. Die dafür erforderlichen Dienste sind nun Teil des Windows Server «Longhorn».
Auch bei den Terminaldiensten gibt es einiges an Neuerungen. Die interessanteste Veränderung ist das Terminal Services Gateway. Der Zugriff darauf kann über HTTP erfolgen. RDP (Remote Desktop Protocol) wird dabei in HTTP-Pakete verpackt und an das Gateway gesendet, das über RDP mit den Anwendungen kommuniziert. Damit lassen sich Terminaldienste einfacher und in dennoch sicherer Weise auch über Firewalls hinweg nutzen, was die kontrollierte Bereitstellung unternehmensinterner Anwendungen für den externen Zugriff erleichtert.
Spannend ist auch der neue Ansatz für die Virtualisierung, der auf Basis des Windows Server «Longhorn» eingeführt werden wird. Microsoft setzt dabei auf ein HyperVisor-Modell, bei dem nur minimale Funktionen des Systems von der zentralen Anwendung bereitgestellt werden. Die VMs greifen sehr viel direkter als beim bisherigen Modell auf die Hardware zu und benötigen beispielsweise keine speziellen Grafiktreiber mehr. Dieses Modell findet sich auch beim Zen-Virtualisierungsansatz im Linux-Umfeld. Microsoft hat bereits eine enge Kooperation in diesem Bereich angekündigt, um virtuelle Maschinen mit dem Windows Server «Longhorn» im Zen-Umfeld lauffähig zu machen und umgekehrt.
Auch wenn im Artikel nur ein Teil der Neuerungen des Windows Server «Longhorn» kurz angesprochen werden konnte, wird doch deutlich, dass es sich in der Tat um ein «major release» handelt, selbst ohne so grundlegende Änderungen wie seinerzeit die Einführung des Active Directory. In praktisch jedem Bereich des Systems gibt es wichtige Neuerungen. So lässt sich das Active Directory nun «read-only» für den Betrieb in weniger sicheren Umgebungen installieren. Die IIS 7 stellen eine höhere Funktionalität bei mehr Sicherheit bereit (siehe auch InfoWeek 09/06). Die Funktionen von ADAM und der Federation sind voll integriert.
Der Windows Server «Longhorn» ist das Resultat eines Reifeprozesses. Anders als bei der Einführung des Windows 2000 Server ging es nicht mehr darum, (fast) alles neu zu machen, sondern darum, die bestehende Basis zu optimieren. Das dürfte Microsoft mit dem Windows Server «Longhorn» auch gelingen, wie die aktuelle Beta 2 schon eindrücklich zeigt.