© fotolia.de

Glaubt man den Meldungen der letzten Monate, dann hat Microsoft mit seinem Server 2008 das Rad neu erfunden. Ein genauer Blick lässt aber vermuten, dass die Redmonder eher Linux hinterherhecheln.

Der neueste Renner im Redmonder Stall [1] wartet mit einigen interessanten Neuerungen auf. Einige davon werden erfahrenen Linux-Administratoren allerdings sehr vertraut erscheinen. Besonders auffällig sind Komponenten, die auf Open-Source-Systemen schon lange zum Alltag gehören und die Linux-Administratoren deshalb gar nicht mehr mit großer Aufmerksamkeit bedenken:

• Eine minimale Installation namens Server Core, bei der alle
  Dienste abgeschaltet sind und nur eine abgespeckte lokale grafische
  Oberfläche läuft (Abbildung 1).
• Die Powershell [2] ist jetzt fester Bestandteil und bringt
  Bash-Feeling plus Objektorientierung.
• Dank eines komplett überarbeiteten TCP/IP-Stack bietet
  Windows Server erstmals auch vollständige
  IPv6-Kompatibilität.
• Ein grafischer Installer ermöglicht es dem Benutzer,
  Einstellungen wie die Versionsauswahl oder die
  Festplatten-Partitionen per Mausklick einzugeben (Abbildung
  2).
• Die Terminal Server glänzen jetzt mit neuen Features wie
  dem Export einzelner Anwendungen.

Microsoft hat in letzer Zeit also mindestens zwei Paradigmenwechsel vollzogen: Nach der lange gewünschten Powershell kommt jetzt auch noch eine Minimal-Installation, die auf den ersten Blick fast schon einem Linux-System gleicht.

Abbildung 1: Der Minimal-Modus von Windows Server 2008 erinnert nur auf den ersten Blick an spartanische Linux-Server.

Abbildung 2: Erstmals dabei: Ein grafischer Installer, außerdem die Powershell, eine Minimalinstallation und IPv6-Kompatibilität.

Minimal-Installation

Für Redmonder Verhältnisse erweist sich das Betriebssystem dabei sogar als genügsam. Wählt der Benutzer während der Installation einen der Core-Modi, zum Beispiel »Windows Server 2008 Standard (Server Core-Installation)«, so landen weniger als 1 GByte Software auf der Platte, als RAM reichen 500 MByte. Die Standard-Installation braucht dank des umfangreichen GUI mindestens das Drei- bis Vierfache. Bei Server Core hat der Admin ein einfaches, sicheres Mini-System vor sich, das außer einer Befehlszeile nicht viel vorweisen kann. Mit Kommandos wie »ocsetup« und »oclist« installiert und konfiguriert er darauf aufbauend Serverdienste und Software.

Allerdings unterliegt das Unterfangen strengen Einschränkungen. Es ist beispielsweise später nicht möglich, das GUI zu installieren und so aus dem Minimal- ein Standard-System zu machen, auch der umgekehrte Weg ist gesperrt. Ein SSH-Server für einen sicheren Remote-Zugriff fehlt schmerzlich. Das kann jedes Linux-System besser.

Windows Core vs. Linux

Aber der Server Core teilt einige Vorteile mit den Minimal-Versionen der gängigen Linux-Distributionen. Zuerst sind alle unnötigen Dienste ausgeschaltet, überflüssige Software und Bibliotheken nicht installiert und das System ist von außen nicht erreichbar. Die Administration erfolgt ausschließlich an der Kommandozeile, an der aber mangels Powershell und Admin-Werkzeugen nicht viel Funktionalität übrig bleibt.

Software- oder Treiber-Installation und diverse Serverfunktionen beherrscht der Core nur eingeschränkt. Er eignet sich daher eher als File- oder Infrastruktur-Server mit sehr beschränktem Funktionsumfang. So gesehen klingt 1 GByte Software nach relativ viel und verleitet zum Suchen nach möglichen versteckten Multimedia-Inhalten, denn die Konkurrenz aus dem Linux-Lager schafft mit knapp einem Viertel des Platzbedarfs mehr Inhalt und Funktionen.

Im Standardmodus der vollständigen Installation stehen dem Benutzer auf 4 GByte mehrere GUI-Tools zur Verfügung, die zum Beispiel die geführte Einrichtung eines Dienstes vornehmen. Da kann dann im Linux-Lager nur noch Suses Yast oder, mit Einschränkungen, Xandros mithalten.

Von Rollen und Features

Aber wie immer gilt: Wer von Microsofts vorgegebenen Pfaden abweicht, ist auf sich allein gestellt, wer die Semantik nicht verstanden hat, sucht lange. Ein Web-GUI für die Administration fehlt völlig, das ist wohl ein Feature, das allein Univention Linux oder Erweiterungen wie Webmin vorbehalten bleibt. Die Software-Installation verbirgt sich unter Windows im »Erstkonfigurations-Manager« oder später im »Server-Manager« beispielsweise hinter den Icons »Rollen« und »Features hinzufügen«. “It\’s not a bug, it\’s a feature”, denkt sich wohl so mancher Admin, wenn er Komponenten für seinen Server hinzufügt.

Auch Microsofts Rollen haben weder mit Sport noch mit Selbstgedrehten zu tun, sondern entsprechen vordefinierten Sets an Software und der passenden Konfiguration. Seit Windows 2003 spricht Microsoft zunehmend von diesen Rollen, wenn ein Server Dienste anbieten soll (Abbildung 3), aber ganz ausgereift scheint dieses Modell noch nicht.

Abbildung 3: Zu Rollen auf einem Windows-Server zählt Microsoft die meisten Serverdienste, hält aber das Konzept selbst nicht konsequent durch.

Die Theorie ist einfach: Ein Server braucht Software-Features, um eine Server-Rolle anzunehmen. Leider hält sich der Hersteller da selber nicht so genau daran, was das Ganze eher verwirrend gestaltet. Weil zum Beispiel die Rolle Terminalserver mit Webaccess auch den IIS voraussetzt, fragt Windows den Benutzer beim Installieren des Features Terminalserver, ob er die Rolle IIS installieren möchte.

W2K8, das Quiz

Manchmal erweckt das Ganze den Eindruck eines netten Quiz: Feature oder Rolle? Los geht\’s. Powershell, die mächtige Befehlszeilenerweiterung? Richtig, ein Feature. Terminalserver-Dienste? Klar, eine Rolle, die aber auch über das Feature »Terminalservices« installierbar ist. Noch komplizierter wird\’s mit dem WINS-Server. Falsch. Das ist keine Rolle, sondern ein Feature. Warum eigentlich? Und SMTP- oder Telnet-Server? Features. DHCP- und DNS-Server? Falsch, das sind laut Microsoft eindeutig Rollen. Ein Blick in die Liste von Features und Rollen im Server-Manager zeigt: Hier hat die Ballmer-Truppe noch Arbeit vor sich (Abbildungen 3 und 4).

Abbildung 4: Hinter der Zeile »Feature Hinzufügen« verbirgt sich unter Windows Server 2008 nichts anderes als das Software-Management.

Mit einer derartigen Terminologie-Flut kann unter den Linuxen nur Suses Yast mithalten, das neben Paketen auch Schemata und Paketgruppen kennt und beim Einrichten eines Serverdienstes ebenfalls automatisch die benötigten Pakete installiert und konfiguriert. Von Addons für Linux-Server wie Red Hats Network oder Novells Zenworks soll hier gar nicht die Rede sein. Schon die klassischen Systeme zu Software-Installation und -Management auf der Basis von Debian- (Ubuntu, Univention) oder RPM-Paketen (Red Hat, Suse) bieten deutlich mehr Funktionen als Microsofts neuestes Produkt und überzeugen in der Regel durch eine durchgängig eingehaltene Logik.

Powerless Core

Seit Windows Exchange 2007 ist die Powershell [2] in Microsofts Produkte integriert, auch Windows Server 2008 liefert sie mit. Allerdings muss der Administrator sie noch über den Server-Manager installieren (Abbildung 4).

Objektorientierung, umfangreiche Skripting-Fähigkeiten, zahlreiche mitgelieferte Cmdlets und beliebig erweiterbare Snap-ins zeichnen die moderne und vielfach gelobte Befehlszeilenumgebung aus. Ein großer Wermutstropfen ist jedoch: Gerade im Core Mode, wo die lange ersehnten Erweiterungen der Powershell am sinnvollsten wären, stehen sie mangels Dotnet-Framework nicht parat, ebenso die Microsoft Management Console, die grafischen Werkzeuge für Active Directory und der Server-Manager.

Ob Neueinsteiger sich da zurechtfinden, scheint fraglich, vor allem angesichts der berüchtigten kryptischen Befehlsmonster. Der Befehl »netsh interface ipv4 show interface« unter Server Core zeigt beispielsweise alle zur Verfügung stehenden Interfaces, er erfüllt etwa die gleiche Funktion wie unter Linux das Kommando »ifconfig -a«.

Software-Installation

Zum Testen und Kennenlernen bieten sich die Installation und das Einrichten der Terminalserver-Dienste auf der vollständigen Servervariante an, auch weil Microsoft hier viel Neues hinzugefügt hat. Beispielsweise können jetzt Clients einzelne Anwendungen auch über einen Browser vom Terminalserver starten, ähnlich dem Nomachine Web Companion auf Linux. Für die Software-Installation führen unter Server 2008 dabei verschiedene Wege zum hoffentlich gleichen Ziel:

• Im Server-Manager wählt der Admin die Rolle
  »Terminaldienste«.
• Oder er wählt im Feature-Assistenten des Server-Managers
  den Eintrag »Remoteserver-Verwaltungstools |
  Rollenverwaltungstools | Tools für Terminaldienste |
  Terminalservertools«.
• Alternativ dazu installiert er den Terminalserver über
  »Zusätzliche Rollendienste« auf der
  »Rollenstartseite«.

Gut ist dabei, dass Windows automatisch erkennt, wenn das Hinzufügen eines neuen Features Änderungen an Rollen oder Rollendiensten voraussetzt (Abbildung 5).

Abbildung 5: Ob Features, Rollen oder Rollendienste, meist erkennt Windows automatisch, wenn es zusätzliche Komponenten installieren muss.

Ist die Windows-DVD eingelegt, dann landet der RDP-Server wenig später auf der Platte und läuft zuverlässig. Online-Installation oder das Hinzufügen von Software von einem eigenen Fileserver gibt es unter Windows ja traditionell nicht, hier punkten die Linux-Distributionen gewaltig. Und dass ein Reboot unter Linux eigentlich nur notwendig ist, wenn der Admin den Kernel aktualisiert hat oder Hardware einbauen will, hat sich wohl noch nicht bis Redmond herumgesprochen (Abbildung 6).

Abbildung 6: Warum der Webserver IIS, die Terminaldienste und der Prozessaktivierungsdienst einen Reboot benötigen, ist wohl ein Geheimnis Microsofts.

Firewall

Nach der Installation und dem Neustart des Servers ist der neue Dienst auch sofort in der standardmäßig aktivierten Windows-Firewall eingetragen und Benutzer können darauf zugreifen. Im Vergleich dazu sticht unter den Linux-Distributionen Suse hervor, denn hier gibt\’s ein Yast-Modul für die Firewall und entsprechende Dialoge für alle neuen Serverdienste, mit denen der Admin die passenden Ports öffnet.

Die neue Brandschutzmauer heißt jetzt übrigens »Windows Firewall mit erweiterter Sicherheit« und bringt umfangreiche, aber auch unübersichtliche Funktionen zum Management von Diensten, Ports und Verbindungen mit. Die unter Windows omnipräsenten Assistenten ermöglichen es, neue Regeln in wahren Mausklickorgien hinzuzufügen. Schnell ist das allerdings nicht, und eine Suchfunktion scheint auch zu fehlen. Es bleibt die Frage, wie ein Admin auf einen Blick herausfindet, welche Ports, Verbindungen und Pakete die Installation eines Serverdienstes freigeschalten hat. Gut, dass es unter Linux dafür Textdateien, Pipes und Grep gibt.

Gelungener Server- Manager

Sehr gelungen, weil umfassend und trotzdem übersichtlich, ist an sich der Server-Manager (Abbildung 7). Alle Funktionen, Rollen, Features und Einstellungen des Servers findet der Administrator hier in einer Ansicht gruppiert. Auch wenn dieses Werkzeug in Sachen Vollständigkeit, einheitlicher Logik und klarer Bezeichnungen noch zu wünschen übrig lässt, zeigt sich doch, wohin die Entwicklung bei Microsoft geht. Hier hinkt die freie Konkurrenz noch hinterher.

Abbildung 7: Das Feature »Terminaldienste« ist installiert, daher erscheinen im Server-Manager unter »Rollen« diverse Konfigurationsdialoge.

Der Windows-Admin klickt sich in typischer Manier durch das Bäumchen links und setzt seine Einstellungen für Benutzer, Gruppen, Software, Netzwerke oder Systemsicherheit. Eine Bildschirmauflösung größer als 1280 mal 1024 sollte es dafür allerdings schon sein, denn die Fenster sind teilweise drei- oder gar vierfach unterteilt und enthalten lange Listen an Informationen.

Skripting-Fans wird es dagegen freuen, dass es eine Befehlszeilen-Version des Server-Managers gibt, die »ServerManagerCMD.exe«. Sie beherrscht aber nur zusammen mit der Powershell auch die automatische Konfiguration der Rollen. Das ist wohl der Grund, warum sie auch auf dem Server Core erst gar nicht installiert ist. Da zeigt sich wieder, wie wertvoll Tools wie das Curses-basierte Yast an der Befehlszeile sein kann.

Remote-Zugriff

Was allerdings in der Open-Source-Welt bisher noch fehlt: Der Server-Manager ist – wie auch die Microsoft Management Console – netzwerkfähig. Die Administratoren anderer Windows 2008 Server können sich auf ihn verbinden und Administrationsaufgaben aus der Ferne erledigen. Microsoft hat versprochen die Client-Tools für die Remote-Server-Administration auch bald auf Vista zur Verfügung zu stellen, wobei allerdings offen bleibt, ob diese Version dann vollständig sein wird. Bis dahin müssen die Admins auf die ausgereiften und deutlich verbesserten Terminalservices der neuen Server-Version zurückgreifen.

Frisch vom Marketing

Auch dafür gibt\’s von Microsofts Marketingabteilung einen schicken neuen Begriff: Präsentationsvirtualisierung. Wie von FreeNX, Nomachine und Citrix bekannt, kann auch der Windows-Server einzelne Anwendungen seamless als Fenster auf den Windows-Desktop exportieren. Neu ist das gelungene Admin-Interface im Server-Manager, das zentral festlegt, welche Applikationen der Server exportieren darf.

Mit dem Terminal Server Webaccess klappt das sogar vom Browser aus, analog zu Nomachines Web Companion [3]. In Tests zu diesem Artikel konnte darüber aber keiner der Windows-Clients freigegebene Applikationen starten. Und die Idee, RDP über SSL zu tunneln, ist zwar nicht neu, aber wenn Microsoft das dann Terminal Services Gateway nennt, sorgt es nun mal für mehr Aufsehen als OpenVPN oder NX unter Linux.

Allerdings gelten für den Webaccess strenge Voraussetzungen mit potenziell kritischen Konsequenzen. MS baut auf Remote Desktop Connection 6.0 (RDC, [4]). Clients, die dies nicht unterstützen oder nicht installiert haben, müssen dafür Active-X-Scripting-Elemente freischalten (Abbildung 8). Das heißt dann logischerweise: Linux bleibt draußen, Firefox bleibt draußen. Dementsprechend liefert der Test mit Mozilla auch nur eingeschränkte Funktionalität, auf der Webseite »http://Hostname/ts« fehlen diverse Symbole und so manche Schaltfläche bleibt grau.

Abbildung 8: Ohne Active X oder RDC 6.0 geht gar nichts: Der Webaccess auf den Terminalserver funktioniert nur im IE unter Windows.

Der IE, auf dem Server selbst gestartet, warnt den Benutzer erst einmal, vermutlich zu Recht. Nach dem Wegklicken von Phishing-, Firewall- und Scripting-Warnung geht der Verbindungsaufbau aber ohne Probleme. Auf einem Standard-XP als Client dagegen klappt es erst, wenn Active X aktiviert und der Host zu der entsprechenden Zone hinzugefügt sind. Ob sicherheitsbewusste Admins das erlauben wollen, bleibt dahingestellt. Die Linux-Terminalserver-Alternative Nomachine setzt hier auf ein plattformunabhängiges Java-Plugin.

Dass Microsoft seit dem Novell-Deal auf Linux zugeht, zeigt sich auch am Startbildschirm des IIS, zu erreichen auf Port 80: Abbildung 9 dürfte wohl vor allem Suse-Anwendern vom Booten her bekannt vorkommen.

Abbildung 9: Nein, das ist nicht der Boot-Bildschirm von Novells neuester Linux-Version nach den MS-Verträgen, sondern so grüßt der IIS.

Suchen und finden

Wie bei der Installation bietet Microsoft beim Server 2008 auch für die Konfiguration zahlreiche Management-Tools an, die auf sehr unterschiedlichen Wegen erreichbar sind. Der Übersichtlichkeit dient das nicht unbedingt, da kann es schon etwas dauern, bis der Admin die entsprechende Einstellung findet. So führen zum Beispiel alle Links im Server-Manager (mit Ausnahme der Hilfe) aus dem Unterfenster »Rollen | Terminaldienste | Terminaldienste-Remote-App-Manager« in den mit fünf Reitern bestückten Dialog »Bereitstellungseinstellungen von RemoteApp« (Abbildung 10). Hier ist der Server-Manager wohl nur das Präsentations-Frontend.

Abbildung 10: Alle Links aus dem Server-Manager-Bereich für die Verwaltung der Applikationen führen zu Registerkarten des gleichen Dialogfensters.

Viele Wege zum Ziel

Alternativ dazu startet über »Systemsteuerung | Verwaltung -Terminaldienste« das Management-Console-Snap-in für die Konfiguration des Terminalservers mit dem umfangreichen Dialog »RDP-Tcp-Eigenschaften« (Abbildung 11), das übrigens identisch auch im Server-Manager unter »Terminaldienstekonfiguration« zu finden ist.

Abbildung 11: Neben dem Server-Manager gibt’s die Terminalserver-Konfiguration auch noch als Snap-in für Microsofts Management Console.

Drittens gibt\’s dann noch den Dialog »Remote« in den »Systemeigenschaften«, viertens die Registerkarte mit den Einstellungen in den Benutzereigenschaften jedes Users und einige andere mehr. Da sage noch mal einer, GUIs für die Konfiguration seien übersichtlicher als Klartextdateien. Preisfrage: Wo ändert der Admin den Port für den RDP-Dienst? Früher ging das nur in der Registry, unter allen Linux-Varianten fände da ein »grep -r RDP-Port« innerhalb von wenigen Sekunden die Antwort. Abbildung 10 zeigt die Windows-2008-Lösung.

Zur Unübersichtlichkeit trägt auch bei, dass alle Module des Server-Managers auch als eigenständige Programme im Hauptmenü zur Verfügung stehen, neben anderen Tools. Auch hier haben die Redmonder noch ein paar Hausarbeiten vor sich, bevor das wirklich einheitlich und vor allem übersichtlich ist.

Gut, dass Microsoft allerorten Links wie »Entscheidungshilfe« eingebaut hat, die direkt hochaktuelle Inhalte aus der Onlinehilfe präsentieren, zum Beispiel zur Thematik: Welche Art von Remotedesktop-Verbindungen soll ich zulassen? Leider erhält der unsichere Benutzer hier trotz der Community-haften Schaltfläche »Jemanden fragen oder die Suche erweitern« nur eine knappe Linkliste, und zwar erst, wenn er Microsofts Technet-Webseite zu den vertrauenswürdigen Seiten hinzugefügt hat. Auch wenn sich die Redmonder vielleicht selbst nicht trauen, die Hilfe ist wie immer umfangreich und insgesamt vorbildlich.

SMB, ADS, RODC und WSV

Natürlich hat Windows Server 2008 noch viel mehr Neuheiten an Bord, neben neuen Versionen wie SMB 2.0 sind auch umfangreiche Diagnose- und Monitoring-Werkzeuge, verbesserte Active-Directory-Administration, einen Read-only-Domänencontroller und nicht zuletzt die vielversprechende Virtualisierungsumgebung Windows Server Virtualisierung (WSV) an Bord. Letztere gibt\’s erst als Preview, im nächsten halben Jahr soll die finale Version kommen, aber wohl nur für 64-Bit-Systeme mit Hardware-Virtualisierung. Man darf gespannt sein, denn das Einzige, was der Linux-Konkurrenz bei der Xen-Virtualisierung fehlt, sind gute Administrations-Frontends.

Ein großer Schritt für MS

Microsoft macht offensichtlich einen großen Schritt auf Linux zu. Ob gut oder schlecht, auf jeden Fall erinnert der minimalistische Core-Modus stark an einen Linux-Server. Das ändert sich jedoch schnell, wenn der Admin versucht damit zu arbeiten. Was bringt ein Core-Mode, in dem fast nichts funktioniert! Gerade an dieser Stelle wäre die gelungene Powershell sinnvoll, ebenso der umfangreiche Server-Manager. Warum gibt es immer noch keinen SSH-Server für den Remote-Zugriff?

Positiv macht sich dagegen – gerade im direkten Vergleich mit den Linux-Konkurrenten – die durchgehende und weitreichende Integration des Server-Managers und der anderen Konfigurationskomponenten bemerkbar. Doch lässt sich über diesen Wert ja auch trefflich streiten. Einen Linuxer, der seine Server mit wenigen Handgriffen von der Shell aus administriert, lockt höchstens die Powershell hinter dem Ofen vor. Ganz nebenbei: Die von Vista bekannte Oberfläche Aero kommt auf Server 2008 nicht zum Einsatz. Sehr gut, oder?