Es ist seit einigen Jahren Tradition geworden: Zunächst bringt Microsoft sein Client-Betriebssystem auf den Markt und im Anschluss daran die neue Server-Variante. An diesem Schema hält Microsoft auch bei seinem jüngsten Sproß fest: Während Windows Vista bereits erhältlich ist, soll Windows Server 2008 im ersten Quartal des kommenden Jahres erscheinen.

In beiden Betriebssystemen hat Microsoft an Basisfunktionen gearbeitet. Zusätzlich zu IPv4 ist IPv6 nun durchgängig implementiert, und der TCP/IP-Stack wurde grundlegend renoviert. Das SMB-Protokoll (Server Message Block) haben die Redmonder ebenfalls optimiert: SMB 2.0 soll Windows-Vista-Clients unter anderem durch verringerten Quittierungs-Overhead zu schnelleren File- und Print-Sharing-Zugriffen auf Windows Server 2008 verhelfen.

Auch wenn der Server nicht das Aero-Oberflächendesign verwendet, sondern auf die gewohnte Fensteroptik von Windows Server 2003 setzt: Seine enge Verwandschaft mit Windows Vista macht sich bereits bei der Installation des neuen Server-OS bemerkbar. Das Betriebssystem verwendet dasselbe Image-basierende Setup-Verfahren, das Microsoft mit Windows Vista eingeführt hat. Dieses schaltet früh in einen Windows-ähnlichen Modus, der endlich das bietet, was viele schon beim Vorgänger Windows Server 2003 erwartet hatten: die Möglichkeit, Treiber beispielsweise für Raid-Adapter direkt von DVD oder USB-Stick einzubinden, ohne ein Diskettenlaufwerk an den Computer anschließen und zu Beginn des Setups an der richtigen Stelle die Taste F6 drücken zu müssen. All das ist pass?©. Das Setup von Windows Server 2008 ist nun in der Lage, Treiber für Systemgeräte von unterschiedlichen Speichermedien zu beziehen.

Neue Kleider für die Verwaltung

Das Setup-Programm der aktuellen RC0-Betaversion (Release Candidate 0) fordert nicht nur zur Auswahl der zu installierenden Edition auf, also Standard, Enterprise oder Datacenter. Vielmehr lässt sich jede dieser Varianten vollständig oder in der neuen Betriebsart "Server-Core" aufspielen. Diese bricht mit einem Dogma, das Windows seit der Version 1.0 auszeichnet: In der Server-Core-Betriebsart kommt Windows Server 2008 ohne grafische Benutzer-oberfläche aus (abgesehen von rudimentären Elementen zur Anzeige von Programmfenstern). Server-Core empfängt den lokalen Administrator lediglich mit einer Eingabeaufforderung, von der aus sich das System für grundlegende Aufgaben etwa als Datei- oder DNS-Server konfigurieren lässt. Anwendungen wie Microsofts .NET-Framework und die grafische Microsoft Management Console (MMC) sind unter Server-Core nicht verwendbar. Das lokale Management muss daher über Befehle und Skripte erfolgen. Zur Fernverwaltung hingegen steht Administratoren das ganze Repertoire der dazu eingeführten Tools wie "Remotedesktop" zur Verfügung.

Systemdateien nicht benötigter Dienste werden bei Server-Core erst gar nicht aufgespielt, was den Aufbau "schlanker Server" ermöglicht. Microsoft hebt hervor, dass der Patch-Aufwand für einen in der Server-Core-Betriebsart arbeitenden Rechner aufgrund der reduzierten Anzahl von Systemdateien und -diensten geringer sei als bei einer vollständigen Windows-Server-2008-Installation. Gleichzeitig soll Server-Core die potenzielle Angriffsfläche für Schadprogramme reduzieren und so die Sicherheit verbessern.

Powershell mit an Bord

Für die Verwaltung von Windows-Server-2008-Installationen, die mit grafischer Oberfläche versehen sind, hat sich Microsoft ebenfalls etwas Neues einfallen lassen und den Server-Manager deutlich aufgewertet. Übersichtlich erfährt ein Administrator dort, für welche der insgesamt 18 Aufgaben (Rollen) das System konfiguriert ist und welche zusätzlichen Funktionen (36 stehen zur Auswahl) installiert sind. Ebenso bezieht der Server-Manager Ereignisse mit ein. Auf einen Blick lässt sich erkennen, ob und in welchen Bereichen Probleme bestehen. Serienmäßig mit an Bord ist ferner die "Windows Powershell", die Microsoft für andere Windows-Versionen separat zum Download anbietet. Mit dieser Befehlszeilen-Shell und Scripting-Umgebung erhalten Administratoren ein mächtiges Werkzeug zur umfassenden Konfiguration und Verwaltung lokaler sowie entfernter Systeme.

Wer besonderen Wert auf den Schutz wertvoller Geschäftsdaten vor Diebstahl legt, kann die Festplattenlaufwerke des Servers mit Hilfe der "Bitlocker"-Technik komplett verschlüsseln. Dieser Vorgang findet transparent für die auf dem Server laufenden Anwendungen und Dienste sowie für Benutzer statt, die per Netz auf den Server zugreifen. Hacker aber, die das System etwa mit einer Linux-DVD booten, können die auf der Festplatte gespeicherten Daten ebenso wenig entziffern wie Langfinger, die die Platte in einen anderen PC einbauen und ihr dort mit Spezial-Tools zu Leibe rücken.

Mit den "granularen Kennwort-richtlinien" können Unternehmen ihre Domänenbenutzer mit unterschiedlichen Restriktionen Länge des Kennworts, maximale Gültigkeitsdauer etc. versehen, ohne dazu, wie bislang erforderlich, zusätzliche Active-Directory-Domänen einzurichten. Ungeübten Administratoren macht es Microsoft allerdings schwer, dieses Merkmal zu nutzen: Statt mit den üblichen Verwaltungs-Tools muss der Administrator zum Active Directory Service Interfaces Editor (ADSI Edit) greifen und darüber die betreffenden Active-Directory-Objekte sozusagen auf Low-Level-Ebene bearbeiten.

Gesicherte Domänen-Controller

Mehr Sicherheit für Domänen-Controller in physisch unsicheren Standorten wie Zweigstellen bietet das Feature "Read-Only Domänencontroller" (RODC). Ein solcher schreibgeschützter Domänen-Controller akzeptiert standardmäßig keine lokalen Änderungen an der Active-Directory-Datenbank. Dadurch wird verhindert, dass Hacker über kompromittierte Zweigstellen-Domänen-Controller Änderungen ins Active Directory des Unternehmens einschleusen und so beispielsweise die Kennwörter von Domänenadministratoren verändern.

Beim Netzwerkzugang gibt es ebenfalls Sicherheitsverbesserungen: "Secure Socket Tunneling Protocol" (SSTP) ist ein neues Tunneling-Protokoll für VPN-Verbindungen (virtuelles privates Netzwerk). SSTP kommuniziert dank HTTP-over-Secure-Sockets-Layer (SSL) über den Port 443 und geht somit den Problemen aus dem Weg, auf die andere VPN-Protokolle häufig stoßen, wenn die Kommunikation über NAT-Router (Network Address Translation), Web-Proxies oder Firewalls erfolgt. Der erforderliche SSTP-Client ist im Service Pack 1 für Windows Vista enthalten.

Ebenfalls vielversprechend ist der "Netzwerkzugriffsschutz", auch unter der Abkürzung "NAP" (Network Access Protection) bekannt. Dieser ermöglicht es Unternehmen, nur solche LAN/WLAN- und Remote-Access-Clients ins Netz zu lassen, die bestimmte Kriterien (Virenscanner installiert, aktuelle Signaturen vorhanden etc.) erfüllen. Clients, die durch dieses Raster fallen, können in ein quarantäneartiges Netz umgeleitet werden, wo unter anderem Programme und Updates bereitstehen, die Benutzer aufspielen und dadurch den geforderten Sicherheitszustand ihres PC herstellen können. Was in der Theorie gut klingt und für viele Unternehmen ein gewichtiges Argument zum Umstieg auf Windows Server 2008 sein dürfte, bedarf in der Praxis sorgfältiger Vorbereitung: NAP ist kein Feature, das sich mit wenigen Mausklicks einschalten lässt.

Virtualisierung

Eine Reihe von Verbesserungen weisen die Terminal-Dienste auf, die Microsoft in Windows Server 2008 als "Präsentationsvirtualisierung" bezeichnet. Ein Highlight sind "RemoteApp-Program-me": Hierbei handelt es sich um Anwendungen, die zwar auf dem Terminal-Server installiert sind, auf dem Client aber in jeweils eigenen Fenstern ablaufen genau so, als würde es sich um lokal auf dem Client aufgespielte Programme handeln. Benutzer brauchen daher den Desktop des Terminal-Dienste-Clients nicht mehr als Substitut für ihren lokalen Windows-Desktop zu betrachten und je nach Aufgabe zwischen beiden hin- und herzuschalten. RemoteApp-Programme integrieren sich nahtlos in die Oberfläche des Arbeitsplatz-PC und erscheinen als eigener Eintrag in der Desktop-Taskleiste. Gestartet werden diese Terminal-Server-Anwendungen auf dem Client wahlweise durch das Öffnen einer RDP-Verknüpfung beziehungsweise durch Anklicken eines Icons oder per Internet Explorer über den ebenfalls neuen "Terminaldienste-Webzugriff". Um sichere Terminal-Verbindungen über das Internet herzustellen, sind zudem keine VPN-Klimmzüge mehr erforderlich: Windows Server 2008 gestattet es Terminal-Dienste-Clients über das "TS-Gateway", mit einem Terminal-Server im Intranet HTTPS-geschützt per Internet zu kommunizieren.

Mit Hypervisor-Architektur

In der RC0-Beta von Windows Server 2008 debütiert außerdem die "Windows Server Virtualization" (WSv), die die Nachfolge von Microsofts Virtual Server 2005 antritt. In WSv hat Microsoft erstmals seine neuartige Windows-Hypervisor-Virtualisierungsarchitektur implementiert. Diese residiert unterhalb des eigentlichen Windows-Server-2008-Kernels und virtualisiert physische Geräte, anstatt diese wie in anderen Virtualisierungslösungen zu emulieren, was mehr Flexibilität und eine höhere Performance ermöglichen soll. WSv setzt dabei einen x64-Prozessor mit eingebauter Hardware-Virtualisierungstechnik (AMD-V oder Intel VT) voraus. Auf Gastseite hingegen kommt die Windows Server Virtualization mit 32-Bit-x86- und 64-Bit-x64-Betriebssystemen zurecht.

Für eine genauere Bewertung ist es aber noch zu früh: Derzeit besitzt WSv lediglich Preview-Charakter und hinkt dem Server-Betriebssystem im Entwicklungsstand hinterher. Microsoft zufolge soll die finale WSv-Version 180 Tage nach Windows Server 2008 auf den Markt kommen. Immerhin ließen sich im Test bereits virtuelle Windows-Server-2008- und Windows-Server-2003-Maschinen installieren. Vista-Gäste scheiterten jedoch an einem Treiberfehler und konnten keinen Netzwerkadapter verwenden. Die Linux-Distributionen Fedora 7, Suse 10.3 und Ubuntu 7.04 ließen sich aufgrund von Panic- oder Grafikkarten-Fehlern nur mit manueller Nachhilfe zum Starten überreden (gastspezifische Treiber fehlten noch). In der finalen WSv-Version dürften derlei Probleme behoben sein. (ue)