Windows Server 2003 R2
Identity Federation und Interoperabilität
Nachdem Microsofts "Longhorn" doch noch in einiger Ferne liegt, hat sich der Hersteller für ein Zwischen-Release seines Serverbetriebssystems entschieden: "Windows Server 2003 R2" bringt viele wichtige Verbesserungen und lohnt einen Blick. Zudem hält sich der Installationsaufwand in Grenzen.
Zwischen dem ersten Release von Microsofts Windows NT und der Freigabe von Windows 2000 lagen
rund sieben Jahre. Bis "Longhorn" auf den Markt kommt, wird es wohl 2008 werden – was dann immerhin
acht Jahre für das nächste grundlegend neue Betriebssystem wären. Nachdem Microsoft mit dem Windows
Server 2003 schon ein großes Update herausgebracht hatte, existiert nun das Release 2 dieser
Version – als erweiterte Variante, aber nicht mit so vielen Änderungen wie zwischen Windows 2000
Server und Windows Server 2003. Dies dürfte auch ein Grund dafür sein, dass das Produkt nicht "
Windows Server 2006" heißt.
Der zweite wichtige Grund ist, dass es sich in der Tat nicht um ein neues Basisbetriebssystem
handelt. Microsoft liefert das Release 2 zwar inzwischen als kombiniertes Package aus, wer aber
bereits Windows Server 2003 installiert hat, benötigt nur noch das Service-Pack 1, um anschließend
das Release 2 einrichten zu können. Die Namensgebung soll das deutlich machen und auch verhindern,
dass die Anwender zögern, die neuen Funktionen zu nutzen, weil sie einen aufwändigen
Migrationsprozess erwarten.
Im Kern ist das Release 2 eine Sammlung von Feature-Packs, wie sie Microsoft schon seit längerer
Zeit bereitstellt. Allerdings existieren zumindest in einem Bereich – beim Distributed File System
(DFS) sowie den zugehörigen File Replication Service (FRS) – auch grundlegende Änderungen. Damit
stellt "R2" eben doch etwas mehr dar, als eine reine Sammlung von Feature-Packs – man könnte es mit
"Modellpflege" umschreiben.
Identity Federation
Die wichtigste Neuerung beim Windows Server 2003 R2 sind die ADFS (Active Directory Federation
Services), "Verbunddienste", mit denen Microsoft erstmals Funktionen der Identity Federation
anbietet. Letzteres bezeichnet einen standardbasierenden Ansatz für den Austausch von
Identitätsdaten zwischen unterschiedlichen Systemen. Der typische Einsatzbereich ist die Trennung
von Authentifizierung und Autorisierung. Ein Identity-Provider stellt dabei ein Token als
Bestätigung für die erfolgreiche Authentifizierung aus. Ein Service-Provider akzeptiert dieses
Token wiederum in einer definierten Vertrauensstellung. Die im Token enthaltenen "Claims" –
beispielsweise Informationen zur Rollenzugehörigkeit eines Benutzers – verwendet der
Service-Provider für die Autorisierung.
Identity Federation gewinnt derzeit erheblich an Bedeutung, weil sich damit Sicherheit in
verteilten, auf Webservices basierenden Anwendungen realisieren lässt. Microsoft setzt auf die
gemeinsam mit IBM spezifizierten "WS"-Standards und hier insbesondere auf WS-Federation und nicht
auf SAML 2.0/Liberty. Mit den ADFS lassen sich einerseits einfachere Ansätze wie klassisches
Web-SSO (Single Sign-on) gegenüber mehreren Servern und andererseits Federation-Ansätze auf der
Basis von "Passive Requestor Profile" (PRP) realisieren. Ein "Passive Requestor" ist ein System,
das selbst keine Federation unterstützt, beispielsweise ein üblicher Webbrowser. Für dieses System
übernimmt ein Webserver mit entsprechender Federation-Unterstützung die Anforderung von Tokens. Die
ADFS können aber auch eingesetzt werden, um Vertrauensstellungen zwischen "Forests" zu realisieren.
Dies ist vor allem bei der Kommunikation über Firewalls hinweg interessant, wenn sich ein Forest in
einer DMZ (Demilitarisierte Zone) und ein anderer im internen Netzwerk befindet.
Die ADFS arbeiten eng mit weiteren Diensten zusammen. An erster Stelle sind die IIS (Internet
Information Services) zu nennen. Diese profitieren vom Web-SSO ebenso wie von der Möglichkeit, dass
nun Federation-basierende Anwendungen auf den IIS realisierbar sind. Erweitert wurde auch ADAM
(Active Directory Application Mode), wobei es hier weniger um spezifische Änderungen für die ADFS
als vielmehr um eine einfachere Administration geht – die allerdings immer noch komplex genug ist.
Wichtig im Zusammenhang mit den ADFS ist außerdem der Authorization Manager ("Azman"). Diese
Komponente lässt sich für die rollenbasierende Autorisierung von Anwendungszugriffen einsetzen.
Leider verwenden sie die meisten Anwendungsentwickler im Windows-Umfeld derzeit noch nicht.
Die Nutzung der ADFS ist relativ aufwändig. Dies liegt einerseits daran, dass Identity
Federation ein recht neues Gebiet ist, mit dessen Grundlagen sich der Anwender zunächst vertraut
machen muss. Zur Komplexität tragen aber auch die Implementierung der ADFS, die erforderliche PKI
(Public Key Infrastructure) und die relativ große Zahl von Systemen bei, die zu konfigurieren sind.
In einer Testumgebung sollte der Verantwortliche mindestens vier bis fünf Systeme zur Überprüfung
der Basisfunktionen vorsehen. Bei etwas komplexeren Infrastrukturen kommt man leicht auf acht oder
mehr Systeme, die für einen Test erforderlich sind.
Weitere Neuerungen
Neben den ADFS hat Microsoft auch einige Funktionen für die Unix-/Linux-Integration hinzugefügt.
Diese sind allerdings nicht grundlegend neu. Der Hersteller hat vielmehr die bisherigen MSSFU
(Microsoft Services for Unix) zum Bestandteil des Betriebssystems gemacht. Bisher waren die MSSFU
als – zuletzt kostenloses – Add-on in Form eines Feature-Packs erhältlich.
Zu den Funktionen in diesem Bereich zählen der NIS-Server (Network Information Services), die
Kennwortsynchronisation mit Unix und die NFS-Unterstützung, aber auch das früher als "Interix"
bezeichnete Subsystem für Posix-Anwendungen. Letzteres ist vor allem für die Portierung bestehender
Unix-/Linux-Anwendungen von Bedeutung.
Grundlegend überarbeitet hat Microsoft dagegen die Dienste DFS und FRS. Das Distributed File
System erlaubt den Aufbau logischer Strukturen für Datenträger, mit denen auch Daten mehrerer
Server zusammengefasst werden können. Der File Replication Service dient der Replikation von
Dateien. Damit lassen sich Änderungen an Dateien automatisch auf mehrere Server verteilen.
Bedauerlicherweise war die bisherige Implementierung des FRS alles andere als stabil. Daher hat
sich Microsoft dafür entschieden, diesen Dienst vollständig neu zu implementieren.
Der Hersteller hat dazu auch gleich eine überarbeitete Verwaltungsschnittstelle spendiert, die
die Nutzung von DFS und FRS – nun als "DFS-R" (DFS Replication) bezeichnet – deutlich vereinfacht.
Außerdem existiert mit RDC (Remote Differential Compression) jetzt ein optionaler
Kompressionsmechanismus für die zu übertragenden Daten. Dieser ist vor allem für die
standortübergreifende Nutzung des DFS-R gedacht, beispielsweise bei der Anbindung von Filialen.
Neben diesen grundlegenden Änderungen finden sich in "R2" auch einige kleinere Neuerungen. So
existiert mit der Print-Management-Console (PMC) nun eine Verwaltungsschnittstelle für das zentrale
Management von Druckjobs auf Netzwerkdruckern. Statt mühsam über die Auswahl von Servern zu den
Druckern navigieren zu müssen, kann der Verantwortliche die Drucker jetzt einmalig in die Konsole
einbinden und von dort aus administrieren.
Auch beim Storage-Management finden sich einige Neuerungen – vor allem für den Einsatz von
Windows Server 2003 in Verbindung mit SANs. Erwähnenswert ist insbesondere der "Storage Manager for
SANs", mit dem sich LUNs (Logical Unit Numbers) und andere zugehörige Funktionen einfacher als
bisher konfigurieren lassen.
Ins Auge sticht auch die MMC 3.0: Diese neue Version der "Microsoft Management Console"
unterscheidet sich von den bisherigen vor allem durch die kontextabhängig angezeigten Aktionen auf
der rechten Bildschirmseite. Damit kann der Anwender wichtige Funktionen direkt aufrufen und ist
nicht mehr auf den Umweg über Menüs oder Kontextmenüs angewiesen. Allerdings sind die meisten der
mit Windows Server 2003 gelieferten Snap-ins noch nicht auf die MMC 3.0 angepasst, sodass die neuen
Möglichkeiten bislang kaum genutzt werden.
Zu den Neuerungen zählen auch Webservices für das Remote-Management von Systemen. Microsoft
setzt dabei auf dem Protokoll "Webservices for Management" auf, mit dem sich Grundfunktionen von
Systemen verwalten lassen. Außerdem verarbeitet das System nun via WMI (Windows Management
Instrumentation) auch Informationen über Fehler, die von der Hardware gemeldet werden. Dabei setzt
Microsoft auf dem Standard IPMI (Intelligent Platform Management Interface) von Intel auf.
Installationsaspekte
Da Windows Server 2003 R2 kein neues Betriebssystem darstellt, sondern eine Sammlung von
Erweiterungen für den bestehenden Windows Server 2003, ist mit der Installation kein großer Aufwand
verbunden. Nach der Installation des Basisbetriebssystems und des Service-Packs 1 lassen sich die
neuen Funktionen einrichten. Diese sind dann allerdings noch nicht aktiviert, sondern stehen –
meist im Bereich "Software" der Systemsteuerung – für die Konfiguration zur Verfügung. Der Vorteil
ist, dass der Administrator gezielt auswählen kann, welche neuen Features er nutzen will. Besonders
interessant erscheinen die mit dem Release 2 von Windows Server 2003 vorgenommenen Änderungen vor
allem für heterogene Umgebungen.
Lesen Sie mehr zum Thema
