Bessere Verwaltung, engere Integration, 64-Bit-Migration

Microsoft konkretisiert Server-Fahrplan

16.07.2004
MÜNCHEN (ws) - "Trustworthy Computing" sowie die "Dynamic Systems Initiative" (DSI) gelten inzwischen als Leitlinien für die Produktentwicklung in Redmond. Auf der Teched in Amsterdam gab Microsoft Ausblick auf Updates, die von beiden Vorgaben geprägt sein sollen.

Sowohl Trustworthy Computing als auch DSI sind keine Spezifikationen oder Produkte, sondern mehr oder weniger allgemeine Richtlinien, die sich Microsoft selbst auferlegt hat. Beide Initiativen sollen vor allem helfen, nach den zahlreichen Sicherheitsproblemen das Vertrauen der Anwender wieder zu gewinnen. Manche der im White Paper (http://www.microsoft.com/mscorp/innovation/twc/twc_whitepaper.asp) zu Trustworthy Computing formulierten Prinzipien lassen sich direkt in die Produktentwicklung übersetzen, so etwa "Secure by Default". Microsoft deaktiviert beispielsweise bei der Installation von aktueller Server-Software die meisten Funktionen und überlässt es dem Administrator, die erforderlichen Features gezielt zu aktivieren. Dadurch sollen Systeme vor Angriffen auf Komponenten geschützt werden, die gar nicht benötigt werden. Das Server-Release des Windows-Betriebssystems "Longhorn", das 2007 auf den Markt kommen soll, wird laut Hersteller in der Lage sein, nur jene Dateien zu installieren, die es jeweils in der Funktion eines File, Web- oder Applikations-Servers benötigt.

Vision des dynamischen Rechenzentrums

Relativ unscharf erscheint auch die Dynamic Systems Initiative. Bei ihr geht es im Wesentlichen um bessere Wartbarkeit von Software, ein Aspekt, den auch Trustworthy Computing behandelt. Sie gilt zum einen als produktübergreifendes Vorhaben, definiert mit dem "System Definition Model" einen Mechanismus zur Beschreibung verteilter Systeme und entwirft darüber hinaus die Vision eines "Dynamic Data Center (http://www.microsoft.com/whdc/system/platform/server/datacenter/dynamicdc.mspx)". Der Bogen von DSI spannt sich also von besseren Management-Funktionen über Basistechniken für das Application- Lifecycle-Management bis hin zur Virtualisierung von Rechenzentren. Mit dem letzten Punkt will Microsoft offenbar ein Thema aufnehmen, das Sun, IBM, Oracle und Hewlett-Packard mit einschlägigen Projekten seit längerer Zeit besetzt haben. Dabei geht es primär um die automatische Bereitstellung von benötigten Rechen- und Speicherkapazitäten ("Dynamic Provisioning"), die auch erhöhte Ausfallssicherheit bieten soll.

Neuerungen für den Windows-Server

Microsofts Ankündigungen auf der Teched orientierten sich vornehmlich an den kleineren Ansprüchen von DSI und sollen in erster Linie bestehende Produkte verbessern. Dazu zählt in nächster Zeit das Service Pack 1 (SP1) für den Server 2003. Es enthält einige der Sicherheits-Features aus dem SP2 von Windows XP, etwa die standardmäßige Deaktivierung von DCOM. Zusätzliche Fortschritte bringt dann im nächsten Jahr das so genannte Release 2 (R2) des Windows Server 2003. Es sieht vor, dass unsichere Clients abhängig von definierbaren Profilen, die etwa Sicherheits-Patches oder aktuelle Virenscanner zwingend vorschreiben, automatisch aus dem Netz ausgeschlossen werden können. Zudem setzt der Zugriff auf Windows-Server von außerhalb der Firewall nicht mehr voraus, dass zu diesem Zweck ein Virtual Private Network (VPN) eingerichtet wird. Nach dem Vorbild von Outlook 2003, das Remote Procedure Calls (RPCs) über HTTP an Exchange sendet, sollen Clients gezielt einzelne Anwendungen des Windows-Servers über das Web-Protokoll ansprechen können. Dazu zählen etwa Datei- und Druckdienste, Terminal-Services oder interne Websites. Der Verzicht auf den VPN-Zwang bringe laut Microsoft keinen Verlust, sondern sogar einen Gewinn an Sicherheit. Clients, die über ein VPN verbunden seien, hätten wie ein Rechner aus dem lokalen Netz Zugang zu allen verfügbaren Ressourcen. Mit dem R2 könnten Anwender hingegen den Zugriff auf einzelne Anwendungen beschränken.

Verbessertes System-Management

Während Service- und so genannte Feature-Packs der Fehlerbehebung und inkrementellen Verbesserung von Einzelprodukten dienen, will Microsoft die Ziele der beiden genannten Initiativen auch dadurch erreichen, dass das gesamte Server-Portfolio stärker zusammenwächst. Daran ist dem Unternehmen aus Marketing-Gründen schon seit längerer Zeit gelegen. Neu ist die Begründung: Übergreifende Management-Funktionen und eine klare Arbeitsteilung zwischen den Komponenten sollen die Sicherheit und Verfügbarkeit steigern. Ein größeres Vorhaben, das Microsoft explizit der DSI zurechnet, stellt dabei die Zusammenführung des "Systems Management Server 2003" (SMS) und des "Microsoft Operations Manager 2005" (MOM) zum "System Center 2005" dar. Damit soll die Trennung zwischen Softwareverteilung und Laufzeitüberwachung aufgehoben werden. Administratoren können dann aus einer Konsole heraus Programme installieren, inventarisieren und ihren Betrieb beobachten. Unklar ist hierbei noch das Schicksal des "Application Center 2000". Es dient zur Verwaltung von Web-Server-Farmen, und seine Funktionen wären ebenfalls Kandidaten für eine konsolidierte Management-Plattform. Auf der Teched gaben Firmenvertreter dazu widersprüchliche Auskünfte.

In der Praxis bleiben SMS und MOM hauptsächlich den großen Windows-Netzen vorbehalten, auf das komplexere System Center dürfte das noch mehr zutreffen. Um in Microsoft-Umgebungen die zügige Installation von Patches und Service-Packs auch ohne diese Management-Werkzeuge zu gewährleisten, sollen die schon seit längerem angekündigten "Windows Update Services" (WUS) im Laufe dieses Jahres fertig gestellt werden. Sie fungieren als Nachfolger der "Software Update Services" und beschränken sich nicht mehr auf die Aktualisierung von Windows. Vielmehr vereinheitlichen sie nach und nach das Patch-Management für alle Microsoft-Produkte. Beim Erscheinen von WUS zählen dazu Office XP und 2003, SQL Server 2000, MSDE 2000 und Exchange 2003. Administratoren können mit dem neuen Tool alle eingespielten Updates wieder rückgängig machen, falls Patches fehlerhaft sind oder sich mit bestimmten Anwendungen nicht vertragen.

ISA-Server gewinnt an Bedeutung

Microsoft verfolgt beim System-Management mithin den Ansatz, eine Reihe von Basisfunktionen in das Betriebssystem zu integrieren und eine große Lösung innerhalb des Gesamtpakets "Windows Server System" in Form separater Anwendungen anzubieten. Dieses Prinzip gilt zukünftig auch für den "Internet Security and Acceleration Server 2004"(ISA). Er soll von einer relativ wenig populären Kombination aus Firewall und Proxy-Server zu umfassenden Edge-Services mutieren und zur Absicherung eines Firmennetzes eine Vielzahl von Aufgaben (http://www.microsoft.com/isaserver/beta/whatsnew.asp) übernehmen. Die zahlreichen Möglichkeiten zur Filterung von HTTP-Nutzlasten oder das Blockieren zu langer URLs etwa könnten die immer wieder auftretenden Schwächen des "Internet Information Server" (IIS) kaschieren. Während solche relativ allgemeinen Aufgaben auch Produkte von Drittanbietern erfüllen können, sind andere Funktionen des ISA-Servers 2004 eng mit der Microsoft-Infrastruktur verzahnt. Dazu zählt etwa das Publizieren von Anwendungen nach außen, wo Administratoren nicht auf Basis von Port-Adressen operieren müssen, sondern in den verschiedenen Wizards explizit Anwendungen des Windows Server System finden. Das gilt etwa für Exchange, bei dem der verschlüsselte Zugriff von Outlook erzwungen werden kann.

Der ISA-Server übernimmt auch die notwendige Übersetzung von Pfad-Angaben aus der UNC-Notation (UNC = Universal Naming Convention) zu URLs, wenn Clients nicht über ein Virtual Private Network (VPN) angebunden sind - der Windows Server 2003 wird dies erst mit R2 können. Microsofts Firewall rüstet für Outlook Web Access 2000 gar Funktionen nach, die bisher der neueren Version vorbehalten waren. So lässt er dort das Authentifizieren mittels HTML-Formularen zu. Insgesamt dürfte der für die zweite Jahreshälfte geplante ISA-Server 2004 zu einem schwer ignorierbaren Baustein des Windows Server System werden.

Die Aufgabe der Edge-Services kommt neben dem ISA- auch dem Exchange-Server zu. Beim Messaging-System konzentrieren sie sich aber auf Daten, die per Mail in die Unternehmensnetze gelangen. Sie sollen als eigenes Zusatzpaket (http://www.microsoft.com/exchange/techinfo/security/EdgeServices.asp) im nächsten Jahr verfügbar sein. Zu seinen Funktionen gehören Regeln zur Verteilung (Routing) von Mail sowie Content-Filter. Dazu zählen die nächste Version des kürzlich erschienen "Intelligent Message Filter" (IMF) sowie Virenscanner von Drittanbietern. Zur weiteren Zukunft von Exchange bewahrte Microsoft auf der europäischen Teched Stillschweigen, nachdem Vice President David Thomson in einem eher peinlichen Interview (http://www.infoworld.com/article/04/05/25/HNmsexchange_1.html) vor ein paar Wochen das Fehlen eines längerfristigen Fahrplans eingestehen musste.

64-Bit-Strategie

Während die ehrgeizigen Passagen des DSI-Whitepapers schon das dynamische Rechenzentrum ins Auge fassen, hat Microsoft im oberen Leistungssegment auch ohne Grids und Virtualisierung Nachholbedarf. Risc-Systeme mit Unix werden schon seit längerer Zeit standardmäßig in 64-Bit-Versionen ausgeliefert, dagegen verharrt Windows noch weitgehend in der 32-Bit-Welt. Analysten gehen davon aus, dass bis Ende 2005 die meisten x86-kompatiblen Server in der Lage sein werden, 64-Bit-Software auszuführen. Das liegt an der voraussichtlich schnellen Verbreitung von AMDs Opteron und von Intels "Extended Memory 64 Technology" für Xeon-Prozessoren.

Microsoft bietet den Windows Server 2003 derzeit in einer 64-Bit-Version für den Itanium-Chip an, die aber gegenüber der 32-Bit-Version nicht Feature-komplett ist. Außerdem liegt der SQL Server 2000 in einer Ausführung für diesen Intel-Prozessor vor. Um der neuen Server-Generation Rechnung zu tragen, möchte Microsoft in der zweiten Jahreshälfte eine gemeinsame 64-Bit-Version des Windows Server 2003 SP1 für AMD und Intels erweiterte Xeon-Architektur herausbringen, allerdings nicht für die Datacenter Edition. Im nächsten Jahr sollen solche Ausführungen des SQL Server sowie des .NET-Framework folgen. Laut Marktstudien sehen Anwender den Nutzen von 64-Bit-Systemen besonders in Datenbank-, Mail- und ERP-Anwendungen. Microsoft hat aber derzeit noch keine Pläne für die Portierung von Exchange. Im Vergleich dazu präsentierte (http://de.sun.com/SunPR/Pressemitteilungen/2003/PM03_145.html) Sun seine gesamte im "Java Enterprise System" versammelte Middleware bereits Ende 2003 in einer 64-Bit-Version für den AMD Opteron.

Updates für 2004

- Windows XP Service Pack 2;

- Service Pack 1 (SP1) für Windows Server 2003;

- 64-Bit-Version des Windows Server 2003 für AMDs Opteron und Intels Extended Architecture;

- Internet Security and Acceleration Server (ISA-Server) 2004;

- Windows Update Services (WUS);

- Microsoft Operations Manager (MOM) 2005;

- .NET Framework Version 2.0;

- Office Live Communications Server 2005;

- Host Integration Server 2004;

- Virtual Server 2005.