Suchen

Die perfekte Symbiose aus Sicherheit, Performance und Administrierbarkeit? Die ersten Eindrücke von Microsoft Windows Server 2008

Autor / Redakteur: Frank Castro Lieberwirth / Dipl.-Ing. (FH) Andreas Donner

Das neue Windows Server Betriebssystem liegt in der finalen Version vor. Microsoft verspricht seinen Kunden eine vereinfachte und kostengünstige Verwaltung bei einem „Höchstmaß an Schutz“, Performance und Zuverlässigkeit. IP-Insider hat eine Windows Server Enterprise-Edition auf einem Rackserver mit zwei Xeon-Prozessoren getestet, um einen ersten Eindruck bezüglich der markigen Versprechungen zu erhalten.

Firmen zum Thema

Microsoft schützt Windows Server 2008-Originalsoftware mit einem aufwändigen Hologramm vor Fälschungen.
Microsoft schützt Windows Server 2008-Originalsoftware mit einem aufwändigen Hologramm vor Fälschungen.
( Archiv: Vogel Business Media )

Schon bei der Installation zeigt sich der Unterschied zwischen Windows Server 2008 und seinen Vorgängern. Da zur Installation eine Windows PE-Plattform und ein Betriebssystem-Image verwendet werden, benötigt das Installationsprogramm lediglich Informationen zur Installationspartition (siehe Abbildung 1) und zum Installationsmodus.

Zur Auswahl stehen bei der hier verwendeten Windows Enterprise 64-Bit Edition der Betriebsmodus „Server Core“ (ohne GUI) und der normale Installationsmodus zur grafischen Benutzeroberfläche. Andere Installations-DVDs können jedoch auch Images von anderen Editionen enthalten.

Bildergalerie
Bildergalerie mit 6 Bildern

Die Konfiguration von Windows Server 2008 unterscheidet sich grundlegend von seinen Vorgängern. In dem Dialog „Aufgaben der Erstkonfiguration“ (siehe Abbildung 2) müssen Einstellungen, wie Netzwerk (siehe Abbildung 3) oder Domänenzugehörigkeit vorgenommen werden. Aus Sicherheitsgründen schützt die Firewall den Server von Anfang an.

Safety first

Generell kann man sagen, dass Microsoft mit dem neuen Betriebssystem von der Unsitte, erst einmal alles freizugeben, abgekommen ist. Seltsam ist jedoch, dass über die Netzwerkeinstellungen nur primitive Firewall-Konfigurationen getätigt werden können, obwohl es eine erweiterte Firewall gibt. Unter der Sparte „seltsam“ kann auch gewertet werden, dass ein Standardgateway gefordert wird, obwohl eventuell gar keins benötigt wird.

Generell muss aber jeder Dienst explizit freigegeben bzw. installiert sein. Hierfür stehen folgende Hilfsmittel zur Verfügung:

  • Servermanager (Beinhaltet die Aufgaben der Erstkonfiguration) für fast alle Aufgaben
  • Windows PowerShell
  • Aufgaben der Erstkonfiguration
  • Netzwerk und Freigabecenter

Assistenten helfen bei der Installation eines Domänencontrollers. Dennoch sollte man sich nicht all zu sehr auf die Assistenten verlassen, da beispielsweise die Netzwerkeinstellungen vorkonfiguriert sein müssen.

So zeigt sich bspw. bei der verwendeten Windows-Version, dass sich der Installationsvorgang erst nach der expliziten Entscheidung für eine IP-Version (IPv4 oder IPv6) fortsetzen ließ. Also unbedingt einen Haken wegnehmen. Das könnte man besser machen!

Sicherheit für Domäne und Datentransport

Das Thema Sicherheit gewinnt bei Microsoft immer mehr an Gewicht. Vista und Windows Server 2008 besitzen den gleichen Kernel, was bedeuten kann, dass es auch genügend Angriffsflächen für Malware, Viren und Hacker gibt. Zum Schutz des Betriebssystems kann der Administrator zwischen diversen Präventivmaßnahmen wählen, die hier aus Übersichtlichkeitsgründen in drei Kategorien unterteilt sind.

Die erste Sicherungsmaßnahme ist konzeptionell und betrifft Domänen und Geltungsbereiche. Hier spricht man dann von Domänenisolation. Prozesse können isoliert werden, wie es beispielsweise beim Internet Information Server (IIS 7) notwendig ist. Der aus Vista bekannte Netzwerkzugriffschutz (Network Access Protection, NAP) und die erweiterte Firewall isolieren zusätzlich den Netzwerkzugriff.

Neu sind auch die „Active Directory Rights Management Services“ (AD RMS), die ein digitales Rechtemanagement für E-Mails, Webseiten und Dokumente ermöglichen. Dort, wo die physikalische Sicherheit nicht gewährleistet ist (z.B. Zweigstellen, Perimeternetzwerke), kann so ein „Read-Only Domain Controller“ (RODC) mit einer simplen Kopie der Active Directory-Datenbank eingesetzt werden.

Die zweite Maßnahme steht für die Überwachung, die im neuen Server-Manager (siehe Abbildung 4) vereinfacht worden ist. Er stellt das Kernstück der Verwaltung dar und ist endlich das, was sich jeder Administrator schon immer gewünscht hat: Die zentrale Verwaltung mit Zugriff auf „fast“ alle Bereiche.

Der Server-Manger ist bei Domänencontrollern mit dem bekannten Snap-In „Active Directory-Benutzer und -Computer“ verlinkt. Schade, dass andere Snap-Ins, wie Routing und RAS nicht verlinkt worden sind. Über den Knoten „Anwendungs- und Dienstprotokolle“ kann sogar die Code-Integrität überwacht werden. Sie ist ein Bestandteil des Sicherheitskonzepts von Vista und Server 2008, da alle Kernel-Mode-Treiber digital signiert sein müssen. Die Überprüfung erfolgt, sobald ein Treiber in den Speicher geladen wird.

Die dritte Maßnahme schließt u.a. neue Verschlüsselungstechnologien, wie Laufwerksverschlüsselung „BitLocker Drive Encryption“, Encrypting File System (EFS) und Datentransport-Verschlüsselung (IPSec) ein. Neuerungen und Verbesserungen („Active Directory Certificate Services”, AD CS) in der Zertifikatsverwaltung helfen, eine PKI (Public Key Infrastructure) zu erstellen.

Firewall

Das Snap-In „Windows Firewall mit erweiterter Sicherheit“ bietet die Möglichkeit, ein- und ausgehende Regeln zu entwerfen und die Ereignisse zu protokollieren. Zur vereinfachten Verwaltung hat Microsoft diverse Assistenten eingebaut, die die Konfiguration erleichtern sollten, wie Abbildung 5 zeigt.

Verwaltung mit dem Server-Manager

Auf dem ersten Blick gefällt die Strukturierung im Server-Manager, wo sich erfahrene Administratoren schnell zurechtfinden werden. Auf dem zweiten Blick fallen Neuerungen und „fehlende Knoten“ auf. Beispielsweise drängt sich gleich die Frage nach der Defragmentierung von Festplatten auf. Die ist nun etwas versteckt und wird über die Eigenschaften eines Volumes aufgerufen. Alternativ kann auch der Kommandozeilenbefehl defrag.exe verwendet werden.

Wichtige grafische Verwaltungskonsolen sind:

  • Snap-In „Server-Manager“ zur allgemeinen Verwaltung
  • Snap-In „Freigabe und Speicherverwaltung“
  • Snap-In „Speicher-Explorer“ für SAN

Performance

Die Performance des Servers hängt natürlich von der eingesetzten Hardware ab. Der hier verwendete Server (2 Intel Xeon 5310 Prozessoren, 8 GB RAM, RAID 5 mit 3 SAS-Festplatten) läuft trotz höheren Speicherbedarfs unter subjektiven Eindrücken außerordentlich schnell. Subjektiv gesehen schneller als mit Windows Server 2003-64 Bit.

Windows Server 2008 belastet die CPU-Kerne relativ gleichmäßig, was für eine optimale Verarbeitungsgeschwindigkeit sorgt (siehe Abbildung 6). Bei Windows Server 2003 ist oft zu erkennen, dass der erste CPU-Kern jeder CPU belastet wird, um dann etwas verzögert auf weitere Kerne zuzugreifen.

Fazit

Windows Server 2008 ist eine überzeugende Produktpflege für moderne Server. Viele bisher erhältliche Dienstprogramme sind in das Betriebssystem (PowerShell, …) integriert worden. Da Server im Rechenzentrum oft keine grafische Oberfläche benötigen, ist der Core-Modus sehr zu begrüßen. Hinsichtlich der Administration ist der Server-Manager ein großer Schritt zur zentralen Verwaltung.

Der Windows Server 2008-64 Bit überzeugt mit seiner Performance auf aktuellen Multicore-Xeon-Prozessoren. Bei der Konfiguration gibt es zwar leider die fast schon üblichen Kinderkrankheiten, doch im Gesamtbild macht Windows Server 2008 in der getesteten Umgebung eine gute Figur.

Artikelfiles und Artikellinks

(ID:2011442)