computerwoche.de

Archiv

Viele System-Management-Funktionen gehören zur Grundausstattung des Microsoft-Betriebssystems

Windows-Administration leicht gemacht

20.02.2004
Im Vergleich zur 2000er Version hat Microsoft mit "Windows Server 2003" die Verwaltung von Unternehmensnetzen samt den darin eingebundenen Systemen deutlich effizienter gestaltet. Für manchen Administrator könnte sich damit der Griff nach Drittanbieter-Tools erübrigen.Von Eric Tierling*

Umfassendes System-Management zählt laut Microsoft zu den herausragenden Eigenschaften seines neuen Server-Betriebssystems. In der Tat hat der Hersteller den Windows-2000-Server-Nachfolger mit einer Reihe von Merkmalen versehen, die den Verwaltungsalltag erleichtern. Gehören viele dieser Funktionen bereits zur Serienausstattung, erwarten den Administrator auf der Microsoft-Website zusätzlich, überwiegend kostenlos einsetzbare Add-ons für Windows Server 2003, die das Handling weiter vereinfachen.

Portal nimmt Administrator in Empfang

Dies beginnt schon bei der Anmeldung. Die Systemsoftware nimmt den Administrator als Erstes mit der "Serververwaltung" in Empfang. Übersichtlich führt sie auf, welche Funktionen das System aktuell ausübt, so dass man sich hierfür nicht mehr wie noch bei Windows 2000 Server auf die Suche durch die Systemsteuerung begeben muss. Zudem können von diesem Übersichtsportal aus zugehörige Verwaltungsprogramme und Hilfedateien direkt aufgerufen und weitere Tools gestartet werden. In den Tiefen des Hilfe- und Support-Centers finden sich ferner mehrere Links zu Programmen, die weitergehende Informationen etwa über die System-, Hardware- und Netzkonfiguration zutage fördern.

Der Server-Verwaltung hat Microsoft den "Serverkonfigurations-Assistenten" zur Seite gestellt, mit dem es im Prinzip recht leicht ist, das System um zusätzliche Dienste zu erweitern. Allerdings werden nur wichtige Dienste während des Einrichtens von einem eigenen Assistenten begleitet. Bei den übrigen erfolgt dies, indem die Systemdateien aufgespielt und anschließend vom Administrator mit dem jeweiligen Verwaltungsprogramm konfiguriert werden. Leider ist vorher nicht klar, welcher Dienst "assistiert" wird und welcher nicht.

Lokal und aus der Ferne

Zur herkömmlichen Verwaltung von Windows Server 2003 dient die schon vom Vorgänger her bekannte Management-Konsole, die eine Verwaltung des Systems mittels der vorhandenen Snap-ins im grafischen Gewand gestattet. Diese lassen sich auch auf andere Windows-Server-2003-Systeme sowie auf PCs unter Windows XP Professional installieren, um die vernetzen Rechner remote über eine grafische Oberfläche zu administrieren. Umsicht ist aber in gemischten Umgebungen geboten, in denen sich Windows-2000-Systeme befinden: Da es im Zusammenspiel der verschiedenen Betriebssystem-spezifischen Snap-ins zu Inkompatibilitäten kommen kann, empfiehlt es sich, bevorzugt die Verwaltungsprogramme der jeweiligen Plattform einzusetzen. Grundsätzlich nicht möglich ist die Installation der grafischen Windows-Server-2003-Tools unter Windows 2000 (Server und Professional). Ebenso scheidet das Aufspielen der Windows-2000-Server-Verwaltungsprogramme unter Windows Server 2003 und Windows XP Professional aus.

Um dennoch Server einer anderen Betriebssystem-Generation zentral von einer Konsole aus managen zu können, bleibt dem Administrator der Weg über den Verwaltungsmodus der Terminaldienste - bei Windows Server 2003 "Remotedesktop für Verwaltung" getauft. Nach dessen Aktivierung sind zwei Administratoren gleichzeitig dazu in der Lage, sich über Intranet oder Internet den virtuellen Windows-Desktop als Verwaltungsoberfläche auf ihren Computer zu holen und den betreffenden Server fernzuverwalten. Praktisch für international operierende Firmen: Kommt auf dem System anstatt der lokalisierten Ausführung von Windows Server 2003 die englische Fassung mitsamt Language-Packs des "Multilingual User Interface" (MUI) zum Einsatz, präsentieren sich dem Administrator virtueller Windows-Desktop, Startmenü, Hilfedateien etc. in der von ihm bevorzugten Sprache.

Mit der "Remotedesktopverbindung" stellt Microsoft eine RDP-Client-Software (RDP = Remote Desktop Protocol) für PCs ab Windows 95 aufwärts sowie für Apple-Computer mit Mac OS X bereit - in Pocket-PCs, die unter Windows Mobile 2003 laufen, ist diese schon von Haus aus integriert. In Verbindung etwa mit dem Pocket-PC-Phone "MDA II" von T-Mobile beziehungsweise dem Pendant "XDA II" von O2 sind IT-Manager in der Lage, ihre Systeme via Personal Digital Assistant (PDA) zu administrieren.

Alternativ dazu kennt das neue Server-Betriebssystem die "Remotedesktop-Webverbindung", um Windows Server 2003 und Windows 2000 Server über einen Active-X-Web-Client und somit aus einem Internet-Explorer-Fenster heraus fernzubedienen. Computer, auf denen ein nicht von Microsoft stammendes Betriebssystem läuft, können ebenfalls Remote-Desktop-Verbindungen aufnehmen: Der Open-Source-Community entstammt beispielsweise der "rdesktop"-Client für Linux, obgleich dieser noch nicht alle Remotedesktop-Features von Windows Server 2003 sauber unterstützt.

HTML- und Befehlsadministration

Darüber hinaus enthält Windows Server 2003 weitere Administrationstechniken, die jedoch nicht direkt ins Auge fallen. So zum Beispiel eine komplette HTML-Oberfläche zur Remote-Verwaltung per Web-Browser, mit der nur die Web-Edition von Windows Server 2003 serienmäßig aufwartet. In den anderen Varianten von Windows Server 2003 fristet die "Web-Remoteverwaltung" so lange ein Schattendasein, bis der Administrator das unscheinbare Installationspaket "SASETUP.MSI" aus dem System-32-Systemordner aufruft. Ist der "Internet Information Server" (IIS) schon aufgespielt, wird so die Systemverwaltung via HTML aktiviert, die, wie die Remotedesktop-Webverbindung, Active X verwendet und daher als Web-Client den Internet Explorer benötigt. Ruft der Administrator nun die mit Secure Sockets Layer (SSL) und zudem durch eine Anmeldung gesicherte Startseite der Web-Remoteverwaltung auf, informiert ihn diese zunächst über den aktuellen Status des Systems. Insgesamt halten sich die Möglichkeiten dieser HTML-Oberfläche in Grenzen, schließlich ist sie in erster Linie für die Verwaltung von Appliance-Lösungen konzipiert. Doch mit ihren Optionen zur Änderung grundlegender Einstellungen stellt die Web-Remoteverwaltung eine nette grafische Alternative zum eingangs erwähnten "Remotedesktop für Verwaltung" dar.

Schließlich markiert Windows Server 2003 ein Revival der Befehlszeile: Zusätzlich zu den noch aus MS-DOS-Tagen übrig gebliebenen Kommandos à la DIR listet die zugehörige Hilfedatei 64 neue Befehle auf, die der Eingabeaufforderung wieder mehr Leben einhauchen. Administratoren, die eine Verwaltung des lokalen oder entfernten Servers mit parametergesteuerten Befehlen anstatt mit der Maus bevorzugen, kommen also auf ihre Kosten - nicht zuletzt deshalb, weil diese Kommandos auch ein gezieltes Management von Active-Directory-Objekten wie Benutzern und Organisationseinheiten erlauben. Wem das noch nicht genug ist, der findet mit den auf der Website von Microsoft zum Download bereitstehenden "Resource Kit Tools" weitere, meist sehr systemnahe Befehle.

Vorgefertigte Konfigurationsangaben

Einen Teil ihrer Funktionalität verdanken die parametergesteuerten Befehle, ebenso wie einige der grafischen Verwaltungsprogramme, der "Windows Management Instrumentation" (WMI). Über diese Schnittstelle lassen sich etliche Konfigurationsangaben (Microsoft spricht von über 10000 Systemobjekten) des lokalen Servers sowie von Computern im Netzwerk abrufen und verändern, die notwendigen Sicherheitsberechtigungen vorausgesetzt.

Einen direkten praktischen Nutzen verleiht dieser Schnittstelle unter Windows Server 2003 die "WMI-Console". Um mit ihr zu arbeiten, braucht man keine zusätzlichen Management-Produkte zu kaufen, muss sich aber zuvor eingehend mit der Syntax auseinander setzen, um die weitreichenden Möglichkeiten sinnvoll anzuwenden. Genauso kann WMI in Befehlsskripten, von denen Microsoft einige gleich beilegt, sowie bei den Gruppenrichtlinien-Filtern des Active Directory zum Einsatz kommen, um Einstellungen nur Computern mit einer bestimmten Hard- und Softwareausstattung zuteil werden zu lassen. Hier zeigt sich allerdings die Kehrseite der Medaille: Die Mächtigkeit von WMI macht es insbesondere unerfahrenen Administratoren schwer, simple Einschränkungen (etwa nur Computer mit Windows XP Professional Service Pack 1) zu definieren. Ein grafisches Frontend, mit dem häufig benötigte Filter über Kontrollkästchen eingeschaltet werden könnten, lässt Windows Server 2003 leider vermissen.

Im Download-Bereich seiner Windows-Server-2003-Website stellt Microsoft mehrere Add-ons zur Verfügung, die sich für die tägliche Arbeit der Administratoren als nützlich erweisen und die zudem überwiegend kostenfrei einsetzbar sind. Allen voran ist die "Gruppenrichtlinien-Verwaltungskonsole" (GPMC) zu nennen, die erst kurz nach dem Server-Betriebssystem fertig wurde und daher nicht auf der CD-ROM enthalten ist. Dabei handelt es sich um ein grafisches Frontend, mit dem man Registry-Einstellungen ohne die kryptischen Eingaben über einen Editor vornehmen kann. Mit diesem Tool, das gleichermaßen unter Windows XP Professional läuft, erhalten Administratoren eine umfassende Kontrolle über die Gruppenrichtlinien des Active Directory von Windows Server 2003 und Windows 2000 Server. Anders als bei den dort mitgelieferten Active-Directory-Verwaltungsprogrammen stellt GPMC nicht Standorte, Domänen und Organisationseinheiten, sondern die damit verknüpfbaren Gruppenrichtlinien-Objekte in den Mittelpunkt, was den Umgang mit diesem umfangreichen Management-Instrumentarium erheblich verbessert. Funktionen wie das Kopieren und Einfügen sowie der Export und Import einzelner Einstellungen oder kompletter Gruppenrichtlinien-Objekte selbst über Domänen- und Strukturgrenzen hinweg ermöglichen es Administratoren zum Beispiel, die Einstellungen einer Testumgebung in das Produktivnetz zu überführen. Mit der übersichtlichen Dokumentation von Einstellungen löst GPMC außerdem ein Problem, dem sich viele IT-Manager bislang leidvoll ausgesetzt sahen.

Alternativen zum Identity Integration Server

Geht es um das Active Directory, sind Identitäten von Benutzern nicht weit. Als Gratis-Appetizer für sein kostenpflichtiges Metadirectory-Produkt "Microsoft Identity Integration Server 2003" (MIIS 2003) offeriert Microsoft das "Identity Integration Feature Pack". Bleibt dieses auf die Identitäts-Synchronisation zwischen Active-Directory-Strukturen sowie dem globalen Adressbuch von Exchange Server 2000/2003 begrenzt, wartet der große MIIS-Bruder mit weiteren Konnektoren unter anderem für Windows-NT-Domänen, Exchange Server 5.5, SQL Server, Oracle, Sun iPlanet und Novell eDirectory auf. Bei näherem Hinsehen wird jedoch schnell klar, dass beide Produkte auf größere Umgebungen zugeschnitten sind: Sie setzen mindestens Windows Server 2003 und Microsoft SQL Server 2000 jeweils in der Enterprise-Edition voraus. Ferner schlägt MIIS 2003 mit knapp 25000 Dollar pro Prozessor zu Buche. Zumindest zur Active-Directory-Synchronisation mit dem NDS-eDirectory von Novell findet sich im Portfolio von Microsoft eine wesentlich preisgünstigere Standalone-Lösung: Die "Windows Services for Netware" sind schon für 149 Dollar pro Firma erhältlich.

Erstmals Image-basierendes Deployment

Kostenfrei zu haben sind hingegen die "Automated Deployment Services" (ADS), der ersten Image-basierenden Lösung von Microsoft zur automatisierten Betriebssystem-Installation. Sie unterstützt jedoch nur den Server-Rollout. Zur automatisierten Installation von Server- und Client-Betriebssystem bieten sich die allerdings dateibasierenden "Remote Installation Services" (RIS) von Windows Server 2003 an. Bevorzugt ein Administrator auch für Arbeitsplätze die Image-Installation, dann bleibt er auf Fremdlösungen wie "Norton Ghost" angewiesen.

Ferner gibt es von Microsoft noch die "Software Update Services" (SUS), die sich ebenfalls unter Windows Server 2003 einsetzen lassen. Ihre Aufgabe liegt darin, das Patch-Management für Computer mit Windows 2000 oder höher automatisch zu erledigen. Der separate Download über die Windows-Update-Website respektive das manuelle Einspielen von Sicherheits-Updates, Service-Packs etc. auf jedem einzelnen Computer der Firma gehört damit der Vergangenheit an. (ue)

*Eric Tierling ist freier Journalist und hat mehrere Bücher über die Betriebssysteme von Microsoft und Novell verfasst.

Fazit: Tools fast komplett

Mit eine Reihe von kleinen Weiterentwicklungen seit der Freigabe des Betriebssystems verfügt Windows Server 2003 über vielseitige Verwaltungsoptionen. Hinzu kommen Features in Form der auf der Hersteller-Website angebotenen Erweiterungen. Diese decken ein großes Spektrum ab und beziehen einige der Bereiche ein, für die Unternehmen bislang oft zu Fremdprodukten greifen mussten. Obwohl es noch die eine oder andere Schwachstelle gibt: Gegenüber seinem Windows-2000-Server-Vorgänger hat der jüngste Microsoft-Spross klar zugelegt und trägt dazu bei, dass das IT-Management seinen Schrecken als Kostenfresser teilweise verliert.

Verwaltung über Betriebssystem-Grenzen hinweg

Administratoren, die sich in erster Linie mit Linux/Unix auskennen, haben es in der Microsoft-Welt ähnlich schwer wie ihre Kollegen aus dem Windows-Lager beim Wechsel über die Betriebssystem-Grenze. Maßgeblich einfacher machen den Umgang mit solch gemischten Umgebungen die "Windows Services for Unix" von Microsoft. Sie laufen unter Windows Server 2003, Windows 2000 Server und Windows 2000/XP Professional und sind damit sowohl auf Servern wie auf Arbeitsplätzen einsetzbar sind. Neben zahlreichen, aus der Linux/Unix-Welt bekannten Befehlen beinhaltet diese Tool-Kollektion eine Unterstützung für das Network File System (NFS) in allen Spielarten (Server, Client und Gateway) sowie ein Network Information System (NIS) zur einheitlichen Administration von Linux/Unix-Benutzern über das Active Directory. Zusammen mit dem Kennwortabgleich können sich daher Administratoren und Benutzer in beiden Welten bewegen. Ebenfalls mit an Bord ist das Interix-Subsystem einschließlich passenden Entwicklungs-Kits, um Unix-Applikationen mit wenig Portierungsaufwand unter Windows laufen zu lassen. Schmankerl der Interoperabilitätslösung für Windows- und Linux/Unix-Systeme: Die soeben erschienene, aktuelle Version 3.5 bietet Microsoft kostenlos an.

Admin-Features

"Serververwaltung": Portal zur Übersicht über die von Windows Server 2003 wahrgenommenen Aufgaben mitsamt den zugehörigen Verwaltungs-Tools;

"Serverkonfigurations-Assistent": leichte Einrichtung der Funktionen, die Windows Server 2003 ausüben soll;

"Remotedesktop für Verwaltung": Verfahren, um Windows Server 2003 über die Terminaldienste fernzuverwalten (keine Lizenzierung erforderlich);

"Remotedesktopverbindung": Terminaldienste-Verbindung zu Windows Server 2003;

"Remotedesktop-Webverbindung": erlaubt den Einsatz des Internet Explorer als Terminaldienste-Client;

"Web-Remoteverwaltung": eigenständige Web-Oberfläche zur HTML-Verwaltung von Windows Server 2003 per Internet Explorer;

"Windows Management Instrumentation" (WMI): Microsoft-Implementierung der von der Distributed Management Task Force ins Leben gerufenen Web-based-Enterprise-Management-Initiative zum Hard- und Software-Management von Windows-PCs;

"Group Policy Management Console" (GPMC): grafische Verwaltungskonsole, um Gruppenrichtlinien-Objekte im Active Directory zu bearbeiten und mit Standorten, Domänen und Organisationseinheiten zu verknüpfen;

"Automated Deployment Services" (ADS): Imaging-Lösung zum automatisierten Rollout von Windows 2000 Server und Windows Server 2003;

"Software Update Services" (SUS): Einrichtung eines Update-Servers im Firmen-Intranet, von dem Windows 2000/XP/2003-Computer wichtige Patches, Service-Packs etc. automatisch beziehen.