2 Funktionaler Überblick A · In Kapi-tel 5 werden im Zusammenhang mit der Installation des Windows Server 2003 ... Metadirectory Services (MMS) Support – x x ... dukts während

29

Fun

ktio

nsü

ber

bli

ck

A2 Funktionaler Überblick

30 Die Einsatzbereiche35 Das Active Directory56 Client-Management69 Sicherheit84 Storage Management93 Netzwerke

Das gesamte Buch beschäftigt sich mit Funktionen des Windows Server 2003, ohnediese bis ins letzte Detail beschreiben zu können. Das ist auch leicht nachvollzieh-bar, da allein der Deployment Guide für den Windows Server 2003 bereits rund4.000 Seiten umfasst und das Resource Kit für den Windows 2000 Server mehr als7.000 Seiten hat. Daher ist auch ein funktionaler Überblick eben immer ein Über-blick und keine vollständige Abhandlung aller nur denkbaren Funktionen desServers. Dieser Überblick fokussiert auf insgesamt sieben Felder:

1. Im ersten Abschnitt werden Einsatzbereiche des Windows Server 2003 bespro-chen. Dabei wird auch auf die verschiedenen Versionen des Betriebssystemseingegangen.

2. Der zweite Abschnitt beschäftigt sich dann detailliert mit den Grundlagen desActive Directory und der Konzeption von Active Directory-Infrastrukturen.

3. Im dritten Abschnitt wird ein Überblick über die Client-Management-Funktio-nen des Windows Server 2003 gegeben. Dazu zählen insbesondere die Grup-penrichtlinien.

4. Der vierte Abschnitt behandelt dann wichtige Sicherheitskonzepte wie Kerbe-ros.

5. Im fünften Abschnitt wird auf die Storage Management-Funktionen desBetriebssystems eingegangen, die beim Windows Server 2003 noch einmaldeutlich ausgebaut worden sind.

6. Ein Überblick über wichtige Netzwerkfunktionen findet sich dann im sechstenAbschnitt dieses Kapitels.

7. Abschließend werden noch einige weitere wichtige Funktionen zusammenfas-send besprochen.

171.book Page 29 Friday, September 19, 2003 8:26 AM

Kapitel 230

Dieses Kapitel hat einen stark konzeptionellen Charakter. Die Zielsetzung ist,Hintergründe zum Windows Server 2003 zu erläutern, bevor dann in den folgen-den Kapiteln stärker auf die Handhabung des Systems eingegangen wird.

Viele der Ausführungen in diesem Kapitel setzen sich mit den Funktionen ausei-nander, die mit Windows 2000 eingeführt worden sind. Die Wurzeln der meistendieser Funktionen liegen zwar schon bei Windows NT 4.0, Windows 2000 stellteaber zweifelsohne den größten Entwicklungsschritt der letzten Jahre dar.

Wer schon mit Windows 2000 arbeitet, für den ist der Schritt zum Windows Ser-ver 2003 nicht mehr so groß. Für Benutzer, die von früheren Windows-Versionenoder anderen Betriebssystemen kommen, ist es dagegen ein erheblicher Schritt.Der Einsatz des Windows Server 2003 setzt, wie auch schon bei Windows 2000,einen großen konzeptionellen Aufwand voraus, bevor das System genutzt werdenkann. Der Umstieg von Windows 2000 ist dabei allerdings relativ einfach, da diegrundlegenden Konzepte gleich geblieben sind. Im Gegenteil: Der WindowsServer 2003 bietet sogar mehr Flexibilität, da einige der Einschränkungen vonWindows 2000 behoben wurden.

Dennoch gilt auch weiterhin, dass vor allem die Planungsphase für das ActiveDirectory von entscheidender Bedeutung für eine erfolgreiche Einführung desWindows Server 2003 ist. Denn trotz der größeren Flexibilität lassen sich Pla-nungsfehler auch weiterhin nur mit erheblichem Aufwand beseitigen. Die Konso-lidierung von Domänen und andere Aufgaben der Restrukturierung sind auchweiterhin ausgesprochen komplex.

Und nicht nur das! Wenn Sie später mit dem Active Directory arbeiten, ist es vonelementarer Bedeutung, nach einheitlichen und klar definierten Regeln vorzuge-hen. Eine »ad hoc«-Administration, bei der jeder Administrator eben mal kurzetwas so konfiguriert, wie er es sich in diesem Moment vorstellt, wird die einheit-lichen Strukturen des Active Directory, die zunächst mit viel Aufwand gebautworden sind, schnell wieder zerstören. Solche Regeln lassen sich aber nur definie-ren und kommunizieren, wenn alle Beteiligten ein ausreichendes Wissen über dasBetriebssystem und seine Komponenten haben.

Die EinsatzbereicheMicrosoft hat eine gewisse Neigung dazu, die verschiedenen Editionen für seineServer mit einiger Regelmäßigkeit zu verändern und dabei auch die Namen anzu-passen. Nachdem es in der Beta-Phase des Windows 2000 Server auch wieder maleinen Advanced Server wie in frühen Windows NT-Tagen gab, sind am Schlussdann aber doch wieder überwiegend die Bezeichnungen gewählt worden, die esschon bei Windows 2000 gab – allerdings mit zwei wichtigen Ergänzungen undeinigen kleinen Umbenennungen. Der Windows Server 2003 ist erhältlich als

b Standard Editionb Enterprise Editionb Datacenter Editionb Web Editionb Windows Storage Server 2003 (als spezielle Variante der Server-Familie)


Funktionaler Überblick 31

Fun

ktio

nsü

ber

bli

ck

ADie ersten drei Varianten sind von Windows 2000 her bekannt, während die bei-den zuletzt genannten Versionen neu sind. Auf einige funktionale Unterschiedezwischen diesen Versionen wurde bereits in � Kapitel 1 eingegangen. In � Kapi-tel 5 werden im Zusammenhang mit der Installation des Windows Server 2003dann noch einmal die Mindestanforderungen detailliert aufgeführt.

Die wesentlichen Unterschiede zwischen den verschiedenen Systemversionen lie-gen einerseits in der maximalen Anzahl von Prozessoren und andererseits in derCluster-Unterstützung. Allerdings gibt es auch einige Systemdienste, die bei ein-zelnen Systemen angeboten werden, bei anderen aber nicht. Darüber gibt dieTabelle 2.1 Aufschluss.

Tabelle 2.1:Die Funk-tionen der

verschiedenenVersionen des

Windows Server2003 im Vergleich

Funktion Standard Edition

Enterprise Edition

Datacenter Edition

Web Edition

Hardware-Spezifikationen

64-bit Unterstützung für Intel• Itanium•-Based Computers

– x x –

Hot add memory – x x –

Non-Uniform Memory Access (NUMA) – x x –

Datacenter Program – – x –

2 GB RAM Maximum – – – x

4 GB RAM Maximum x – – –

32 GB RAM Maximum – x – –

64 GB RAM Maximum – teilweise x –

512 GB RAM Maximum – – teilweise –

2-way SMP – – – x

4-way SMP x – – –

8-way SMP – x – –

32-way SMP – – x –

64-way SMP – – x –

Verzeichnisdienste

Active Directory x x x teilweise

Metadirectory Services (MMS) Support – x x –

Sicherheitsdienste

Internet Connection Firewall x x – –

Public Key Infrastructure, Certificate Ser-vices und Smart Cards

teilweise x x teilweise

Terminaldienste

Remote Desktop for Administration x x x x

Terminal Server x x x –

Terminal Server Session Directory – x x – �


Kapitel 232

Cluster-Technologien

Network Load Balancing x x x x

Cluster Service – x x –

Kommunikations- und Netzwerkdienste

Virtual Private Network (VPN) Support x x x teilweise

Internet Authentication Service (IAS) x x x –

Netzwerkbrücken x x – –

Internet Connection Sharing (ICS) x x – –

IPv6 x x x x

Datei- und Druckdienste

Distributed File System (DFS) x x x teilweise

Encrypting File System (EFS) x x x x

Schattenkopien von gemeinsamen Ord-nern

x x x x

Removable und Remote Storage x x x –

Faxdienste x x x –

Services for Macintosh x x x –

Managementdienste

IntelliMirror x x x teilweise

Group Policy Results x x x teilweise

Windows Management Instrumentation (WMI) Command Line (WMIC)

x x x x

Remote OS Installation x x x x

Remote Installation Services (RIS) x x x –

Automated Deployment Services (ADS) teilweise x x teilweise

Windows System Resource Manager (WSRM)

– x x –

.NET-Anwendungsdienste

.NET Framework x x x x

Internetinformationsdienste (IIS) 6.0 x x x x

ASP.NET x x x x

Enterprise UDDI Services x x x –

Multimedia-Dienste

Windows Media• Services x x x –

Funktion Standard Edition

Enterprise Edition

Datacenter Edition

Web Edition



Fun

ktio

nsü

ber

bli

ck

AInteressant sind dabei insbesondere die Unterschiede zwischen der Standard Edi-tion und der Enterprise Edition sowie zwischen der Standard Edition und derWeb Edition. Diese Web Edition ist eine reduzierte Variante des Windows Server2003, die beispielsweise keine lokale Installation des Active Directory unterstützt.Entsprechend werden auch verschiedene Systemdienste nur client-, aber nichtserverseitig angeboten. Andere Dienste wie die UDDI-Dienste sind in dem Pro-dukt überhaupt nicht enthalten. Die Zielrichtung sind Webserver in Serverfarmenund nicht die dahinter stehenden Backend-Systeme.Auf der anderen Seite fällt auf, dass die Enterprise Edition neben den bekanntenErweiterungen wie der Unterstützung der Microsoft Cluster Services (MSCS)auch andere wichtige Funktionen bietet, die sich bei der Standard Edition nichtfinden. Das beginnt beim Management von Systemressourcen mit dem WSRM(Windows System Resource Manager) und geht über die Unterstützung einerBasisfunktionalität des MIIS 2003 (Microsoft Identity Integration Server) alsMetadirectory-Lösung bis hin zu den ADS (Automated Deployment Services).Die verschiedenen Versionen sind damit auch in unterschiedlichem Maße für dieEinsatzszenarien für Server geeignet, die sich in Unternehmen typischerweise fin-den. Welche Serverversion gewählt wird, hängt einerseits von den erforderlichenFunktionen und andererseits von Skalierbarkeit und Verfügbarkeit ab. Cluster-Dienste, aber auch verschiedene Funktionen des Systemmanagements, findensich erst ab der Enterprise Edition, sodass die Lizenzierung dieser teureren Ver-sion oft erforderlich sein kann, um alle Anforderungen abdecken zu können.

Datei- und DruckdiensteDatei- und Druckdienste werden von allen Server-Versionen gleichermaßen ange-boten. Einschränkungen gibt es nur bei der Web Edition, in der die leistungsfähi-geren Funktionen des Storage Management nicht integriert sind. In der Regel istin diesem Bereich unter dem Aspekt der Skalierbarkeit die Standard Edition aus-reichend. Sobald aber Cluster-Funktionen genutzt werden müssen, muss dochzumindest mit der Enterprise Edition gearbeitet werden.In diesem Bereich ist auch der Windows Storage Server 2003 anzusiedeln. Dabeihandelt es sich um eine Variante des Windows Server 2003, die nicht als eigen-ständiges, installierbares Betriebssystem ausgeliefert wird, sondern nur von OEMsin Verbindung mit Server-Hardware angeboten wird. Auf Basis des Windows Sto-rage Server 2003 lassen sich NAS-Appliances realisieren, die Speicherdienste imNetzwerk anbieten und weitgehend remote administriert werden. Der Vorteil die-ses Ansatzes ist die optimale Integration von Hard- und Software und der geringeAdministrationsaufwand. Darüber hinaus lassen sich Storage-Systeme auf Basisdes Windows Storage Server 2003 auch einfach mit bestehenden Windows Server-Umgebungen integrieren.

InfrastrukturdiensteEin wichtiger Funktionsbereich des Windows Server 2003 sind die Infrastruktur-dienste. Dazu zählen beispielsweiseb DNS (Domain Name System)b DHCP (Dynamic Host Configuration Protocol)


Kapitel 234

b Active Directoryb PKIs (Public Key Infrastructures) auf Basis der Zertifikatsdiensteb Remote Access und Routing-Dienste

Diese Infrastrukturdienste werden in vollem Umfang von allen Servervariantenaußer dem Windows Storage Server 2003 und der Web Edition des Windows Ser-ver 2003 angeboten. Allerdings gilt für die Standard Edition auch hier wieder dieEinschränkung der fehlenden Cluster-Unterstützung. Allerdings bieten alle dieseDienste eigene Failover-Möglichkeiten oder werden ohnehin nicht direkt vomCluster-Dienst unterstützt, wie beispielsweise das Active Directory, bei dem dasdurch seine verteilte Architektur auch nicht unbedingt erforderlich ist.

AnwendungsserverdiensteDie Anwendungsserverdienste haben mit dem Windows Server 2003 weiter anGewicht gewonnen, wie schon bei der zwischenzeitlichen Bezeichnung des Pro-dukts während der Beta-Phase als Windows .NET Server deutlich wurde. Das.NET Framework bildet die Basis für die Realisierung verteilter Anwendungen aufBasis von Internet-Standards und hier insbesondere den Web Services. DieDienste werden auf allen Varianten des Windows Server 2003, nicht aber beimWindows Storage Server 2003 angeboten.

Das ist auch grundsätzlich sinnvoll, da beispielsweise die Web Edition genau dar-auf ausgelegt ist, Websites auf Basis des .NET Framework zu hosten und dement-sprechend auch diese Unterstützung benötigt – ebenso wie die Funktionen in vie-len Anwendungsbereichen der Standard Edition erforderlich sind.

Für komplexere Anwendungen macht aber der Schritt hin zu den höheren Editio-nen Sinn, weil hier die Skalierbarkeit eine wichtige Rolle spielt – und diese ist beider Enterprise Edition und der Datacenter Edition deutlich größer als bei derStandard Edition.

Hinzu kommt, dass eine Reihe von Serverprodukten beispielsweise von Microsoftohnehin nur für die Enterprise Edition angeboten wird oder dass es spezielleEnterprise-Varianten gibt, die wiederum die Enterprise Edition voraussetzen. EinBeispiel dafür ist der weiter oben schon erwähnte MIIS 2003.

WebserverdiensteAuch die Webserverdienste, also primär die IIS 6.0, werden bei allen Variantendes Windows Server 2003 außer dem Windows Storage Server 2003 angeboten.Auf diese ist vor allem auch die Web Edition ausgerichtet, die auf eine relativgünstige Implementierung von Webservern ausgerichtet ist.

Auf der anderen Seite werden die IIS 6.0 auch von vielen Anwendungen aufunterschiedlichsten Plattformen benötigt wie beispielsweise dem MicrosoftExchange Server 2003, um bestimmte Dienste bereitzustellen. Im Fall desExchange Server sind das einerseits Basisfunktionen wie SMTP und NNTP, diegemeinsam mit dem Betriebssystem genutzt werden, und andererseits auch erwei-terte Dienste wie OWA (Outlook Web Access).



Fun

ktio

nsü

ber

bli

ck

ADas Active DirectoryDie zentrale Funktionalität des Windows Server 2003 ist immer noch das ActiveDirectory. Dieser Bereich hat Microsoft auch bei der Entwicklung von WindowsNT zu Windows 2000 mit Abstand die meiste Arbeit gemacht. Das Active Direc-tory hat das frühere Domänenmodell von Windows NT signifikant erweitert undMicrosoft in eine technologische Führungsposition im Bereich der Verzeichnis-dienste gebracht. Gleichzeitig hat Microsoft aber auch einige Dinge aus demDomänenmodell übernommen, um möglichst einfach von den bestehenden Syste-men hin zum Active Directory wechseln zu können. Auf der anderen Seite standdas X.500-Modell als Orientierung, das von allen wichtigen und modernen Ver-zeichnisdiensten heute als Basis verwendet wird, ohne allerdings von allzu vielenSystemen wirklich vollständig unterstützt zu werden.

Das Active Directory, auch als Active Directory Service (ADS) bezeichnet, ist eineMischung verschiedener Konzepte von Verzeichnisdiensten. Damit wurde ver-sucht, eine ideale Integration unterschiedlicher Anforderungen zu bewerkstelli-gen. Der ADS ist alles in allem denn auch eine gelungene Lösung. Viele derAspekte, die im ersten Release, also beim Windows 2000 Server, noch nicht wirk-lich gelungen waren, wurden beim Windows Server 2003 adressiert. Darüber hin-aus gibt es mit ADAM (Active Directory in Application Mode) als Add-On zumWindows Server 2003 noch eine sehr wichtige Ergänzung, die weitere Schwach-punkte des Active Directory für bestimmte Lösungsbereiche beseitigt.

In diesem Abschnitt wird zunächst die Aufgabe von Verzeichnisdiensten einge-gangen. Anschließend werden die Elemente zur Strukturierung des ADS behan-delt, bevor dann die physische Verwaltung der Informationen im Active Directorymit Domänencontrollern und Partitionen näher betrachtet wird.

Die beiden letzten Blöcke beschäftigen sich dann zum einen mit Namen beimActive Directory und mit Schnittstellen, über die auf die Informationen in diesemVerzeichnisdienst zugegriffen werden kann beziehungsweise Dienste, die nun imADS integriert sind. Die Abkürzung des Active Directory als ADS ist dabei nichtzu verwechseln mit den ADS als Automated Deployment Services, die als weite-res Add-On zum Windows Server 2003 für die Verteilung des Betriebssystems aufServer und das spätere Systemmanagement ausgeliefert werden.

Die Funktion von VerzeichnisdienstenEin Verzeichnis enthält Informationen. Im Falle eines Verzeichnisdienstes aufeinem Computer sind das Informationen beispielsweise über

b Benutzerb Benutzergruppenb Computer

Verzeichnisdienste können sehr unterschiedliche Strukturen haben und dement-sprechend unterschiedlich leistungsfähig sein. Ein Beispiel für einen sehr einfachstrukturierten Verzeichnisdienst ist das Domänenmodell, das sowohl vom Micro-soft LAN Manager als auch, in etwas erweiterter Form, von Windows NT 3.x undWindows NT 4.0 verwendet wird. Dieses Modell speichert nur wenige Informatio-


Kapitel 236

nen zu den Benutzern wie deren Benutzernamen, den vollständigen Namen,einen Kommentar und einige Verwaltungsinformationen ab. Auch für Computerwerden nur wenige Daten abgelegt.

Dagegen können im Active Directory praktisch beliebige Informationen gespei-chert werden. Dazu gehören nicht mehr nur Benutzer, Benutzergruppen undComputer. Auch Kontakte, Informationen zur Konfiguration von Anwendungenwie dem ISA Server (Internet Security and Acceleration Server) und viele weitereInformationen können gespeichert werden.

Die Anforderungen an Verzeichnisdienste

Im Laufe der letzten Jahre sind die Anforderungen an Verzeichnisdienste massivgewachsen. Da sich Verzeichnisdienste nicht nur bei Netzwerk-Betriebssystemen,sondern beispielsweise auch bei E-Mail-Servern finden, gab es zwei Entwicklun-gen:

b Informationen sollten idealerweise nur einmal gespeichert werden. Es machtwenig Sinn, ein Verzeichnis für E-Mail und ein anderes für Netzwerk-Diensteaufzubauen.

b Durch die Integration unterschiedlicher Verzeichnisdienste müssen wesentlichmehr unterschiedliche Objekte und mehr Informationen zu diesen Objektengespeichert werden. Zum Benutzer müssen beispielsweise auch alle für E-Mail-Anwendungen erforderlichen Daten eingegeben werden können.

Die Zielrichtung ist es, in einem Unternehmensnetzwerk möglichst wenig unter-schiedliche Verzeichnisdienste zu haben. Ob es dabei gelingt, mit nur einem Ver-zeichnisdienst auszukommen, ist primär eine Frage der eingesetzten Systeme. Inmittleren und größeren Netzwerken wird es aber auf absehbare Zeit kaum mög-lich sein, mit nur einem einzigen Verzeichnisdienst auszukommen. Hier geht esdarum, die Zahl soweit wie möglich einzuschränken, um die Komplexität desGesamtsystems zu reduzieren. In Umgebungen, in denen mehrere Verzeichnis-dienste parallel eingesetzt werden, sind wiederum Mechanismen sinnvoll undwünschenswert, mit denen die Informationen zwischen den Verzeichnisdienstenrepliziert und synchronisiert werden können.

Microsoft hat als wichtige Erweiterung zum Active Directory mit dem MIIS 2003(Microsoft Identity Integration Server) auch einen Meta Directory-Dienst im Pro-gramm. Mit Hilfe des MIIS können Informationen aus verschiedenen Verzeich-nissen synchronisiert werden, sodass in solchen Konstellationen zumindest deradministrative Aufwand überschaubar bleibt. Die Basisfunktionen des MIIS wer-den als Identity Integration Feature Pack auch für den Windows Server 2003 inder Enterprise Edition bereitgestellt. Allerdings wird damit nur die Integrationverschiedener Verzeichnisse im Microsoft-Umfeld, nicht aber in einem heteroge-nen Umfeld unterstützt.

Die Grundstruktur von Verzeichnisdiensten

Auch wenn es am Markt eine Vielzahl von Verzeichnisdiensten gibt und sich dieVerzeichnisdienste im Laufe der letzten Jahre deutlich weiterentwickelt haben,gibt es doch in der grundlegenden Struktur eine Reihe von Gemeinsamkeiten.



Fun

ktio

nsü

ber

bli

ck

AAbbildung 2.1:

Verzeichnis-dienste bestehen

aus Daten-banken undProtokollen

Verzeichnisdienste sind im Prinzip nichts anderes als Datenbanken. In der Daten-bank werden die Verzeichnisinformationen gespeichert. Diese Datenbankenunterscheiden sich von herkömmlichen Datenbanken wie dem Microsoft SQLServer aber dadurch, dass sie eine sehr stark am Zweck orientierte Architekturhaben. Die Datenbank eines Verzeichnisdienstes kann nur Verzeichnisinformati-onen speichern. Die interne Architektur ist darauf ausgelegt, genau diesen einenZweck in optimaler Weise zu erfüllen.

Das ist beispielsweise beim Active Directory, aber auch bei den Novell DirectoryServices (NDS) und bei anderen Verzeichnisdiensten der Fall. Es gibt auch andereBeispiele, in denen herkömmliche Datenbankserver für die Speicherung derInformationen verwendet werden. Die Erfahrung zeigt aber, dass eine sehr hohePerformance und eine hohe Skalierung – das Active Directory soll mehrere Milli-onen Objekte verwalten können – nur mit »proprietären« Lösungen erreicht wer-den kann.

Die Datenbank eines Verzeichnisdienstes ist heute typischerweise über mehrereSysteme verteilt. Informationen werden zwischen diesen Datenbanken repliziert,damit alle Datenbanken über den gleichen Informationsstand verfügen. DieMechanismen für diese Replikation sind in aller Regel proprietär.

Die Organisation der Datenbank des Verzeichnisdienstes erfolgt nach einemSchema. Ein solches Schema definiert, welche Objekte in der Datenbank gespei-chert werden und welche Eigenschaften (Attribute) diesen Objekten zugeordnetwerden können. Ein Objekt ist beispielsweise ein Benutzer, der Eigenschaften wieBenutzername, Telefonnummer, E-Mail-Adresse usw. besitzen kann.

Verzeichnis-

Datenbank

Verzeichnis-

Datenbank

Client

Client-

Zugriffsprotokoll

Replikations-

protokoll

HINWEIS Die spezifischen Anforderungen an Verzeichnisdienste liegen darin, auf relativeinfache Strukturen aus Objekten und Attributen sehr schnelle Zugriffe zu ermög-lichen und darüber hinaus auch eine große Zahl von Änderungen effizient abwi-ckeln zu können. Das führt auf der anderen Seite aber auch dazu, dass komple-xere Anforderungen an das Datenmodell nicht besonders gut mit dieserTechnologie abgedeckt werden können. Das zeigt sich auch beim Windows Server2003. Dort hat Microsoft sowohl die UDDI-Dienste als auch die MIIS 2003 aufBasis des Microsoft SQL Server implementiert, weil der die Anforderungen dieserDienste effizienter erfüllen kann als das mit der hoch spezialisierten Datenbankdes Active Directory möglich wäre.


Kapitel 238

Während das Schema bei älteren Verzeichnisdiensten wie dem von Windows NT4.0 verwendeten Domänenmodell typischerweise fest vorgegeben ist und vomAdministrator nicht verändert werden kann, verwenden moderne Verzeichnis-dienste ein erweiterbares Schema. Ein solches erweiterbares Schema gibt dieMöglichkeit, flexibel zusätzliche Informationen im Verzeichnis zu speichern.Damit können beispielsweise auch andere Anwendungen wie E-Mail-Programmeihre speziellen Informationen in dem Verzeichnis ablegen. Ein erweiterbaresSchema ist damit die Voraussetzung für die Integration unterschiedlicher Ver-zeichnisdienste. Der zweite Bereich eines Verzeichnisdienstes neben der Daten-bank sind die Protokolle. Hier lassen sich wiederum zwei Gruppen unterschei-den:

b Auf der einen Seite stehen die Protokolle, über die ein Zugriff auf die Informa-tionen im Verzeichnisdienst erfolgt.

b Auf der anderen Seite werden Protokolle für die Kommunikation auf derEbene des Verzeichnisdienstes benötigt. Dabei kann es sich um spezialisierteProtokolle, mit denen beispielsweise die Replikation innerhalb eines bestimm-ten Verzeichnisdienstes abgewickelt wird, handeln. Es können aber auch Pro-tokolle sein, mit denen Informationen zu anderen Verzeichnisdiensten ausge-tauscht werden.

Bei den Protokollen kann auch eine Unterscheidung zwischen proprietärenMechanismen, die an einen Verzeichnisdienst gebunden sind, und offenen Stan-dards unterschieden werden. Die Entwicklung der letzten Jahre hat sich deutlichin Richtung offener Standards für den Client-Zugriff bewegt. Auf der anderenSeite sind für eine Reihe von Funktionen auch weiterhin proprietäre Mechanis-men sinnvoll, um eine optimale Leistungsfähigkeit zu erreichen.

Mit LDAP (Lightweight Directory Access Protocol) hat sich heute ein offenerStandard für den Zugriff auf Informationen in Verzeichnissen etabliert. Dagegenwird im Bereich der Replikation noch primär mit proprietären Mechanismengearbeitet. Allerdings gibt es auch hier Standardisierungsbemühungen. Mit denX.500-Standards gibt es aber schon seit Jahren einen Ansatz, der vollständig überoffene Standards auf der Ebene von Protokollen arbeitet.

Das Active Directory und seine Funktionen

Das Active Directory ist als ein zentraler Verzeichnisdienst entwickelt worden. Esarbeitet verteilt über Server und Standorte und kann Informationen zwischen denverschiedenen Servern replizieren. Auch andere Anforderungen, die heute aneinen modernen Verzeichnisdienst gestellt werden müssen, erfüllt das ActiveDirectory.

So verfügt es über ein erweiterbares Schema. Damit kann es auch für die Speiche-rung von Informationen aus anderen Anwendungen eingesetzt werden. Schon beiWindows NT 4.0 gibt es eine ganze Reihe von Diensten, die einen Verzeichnis-dienst sinnvoll machen. Da ist beispielsweise der Microsoft Message Queue Ser-ver (MSMQ), der ein anderes Verzeichnis als die Benutzerkontendatenbank vonWindows NT 4.0 einsetzt. Und da sind verschiedene BackOffice-Anwendungenwie der Exchange Server und der SQL Server, die ebenfalls wieder mit getrenntenVerzeichnisdiensten arbeiten.



Fun

ktio

nsü

ber

bli

ck

ADurch das erweiterbare Schema können die Informationen aller dieser Anwen-dungen im Active Directory integriert werden. So wird beispielsweise die nächsteVersion des Exchange Server nicht mehr mit einem eigenen Verzeichnisdienstarbeiten, sondern alle Informationen im Active Directory ablegen. Das ist auchnaheliegend, da die vom Active Directory verwendete Datenbank von der abgelei-tet wurde, die schon heute vom Exchange Server eingesetzt wird.

Auf der Seite der Protokolle verwendet das Active Directory sowohl proprietäreMechanismen als auch offene Standards. Mit der LDAP-Unterstützung und derIntegration von DNS (Domain Name System) werden die beiden zentralen Stan-dards für offene Systeme unterstützt. Auf der anderen Seite gibt es auch weitereproprietäre Mechanismen, die sowohl für die Zugriffe von Clients als auch für dieKommunikation zwischen Servern (Domänencontrollern) des Active Directoryverwendet werden.

Das Konzept bis Windows NT 4.0Das Active Directory war für Microsoft bei seiner Einführung mit Windows 2000ein großer Schritt im Bereich der Verzeichnisdienste. Windows NT hat in allenVersionen – von 3.1 bis 4.0 – mit dem Domänenmodell gearbeitet. Dieses Modellist eine Fortentwicklung des bereits beim Microsoft LAN Manager verwendetenDomänenmodells.

Abbildung 2.2:Das Domänen-

modell ist eineinfacher Ver-zeichnisdienst

Bei diesem Modell ist der Begriff der Domäne prägend, der sich auch beim ActiveDirectory wiederfindet. Die Idee einer Domäne ist, dass mehrere Systeme als eineEinheit betrachtet werden. Mehrere Server können in einer Domäne von Win-dows NT 4.0 mit einer gemeinsamen Benutzerkontendatenbank – dem Verzeich-nis – arbeiten. Die Informationen werden dabei zentral auf einem primärenDomänencontroller eingegeben und angepasst. Sie werden von dort an weitereDomänencontroller, die als Sicherungsdomänencontroller bezeichnet werden,repliziert. Diese Domänencontroller übernehmen gegenüber den Clients die glei-

Benutzer-konten-

datenbank

Benutzer-konten-

datenbank

PrimärerDomänen-Controller

Sicherungs-Domänen-Controller

Zugriff

Replikation


Kapitel 240

chen Aufgaben wie der primäre Domänencontroller und können diesen daherentlasten.

Das Domänenmodell von Windows NT 4.0 erfüllt allerdings bei weitem nichtmehr alle Anforderungen, die heute an einen modernen Verzeichnisdienst gestelltwerden:

b Es gibt kein erweiterbares Schema, sodass dieser Verzeichnisdienst keine Auf-gaben für andere Anwendungen übernehmen kann und damit auch keine Inte-gration von Anwendungen in diesem Verzeichnisdienst erfolgen kann.

b Das Domänenmodell ist nur in geringem Maße hierarchisch strukturierbar.Damit lassen sich kaum komplexe Strukturen größerer Organisationen abbil-den.

b Es gibt keine Unterstützung für offene Standards. Die Zugriffs- sowie die Repli-kationsmechanismen zwischen Domänencontrollern sind proprietär.

Das alles waren Gründe für Microsoft, mit dem Active Directory einen völligneuen Verzeichnisdienst zu realisieren. Das frühere Modell hätte nicht so erwei-tert werden können, dass es die Anforderungen, die heute vor allem in mittlerenund größeren Unternehmen an Verzeichnisdienste gestellt werden, hätte erfüllenkönnen.

Abbildung 2.3:Im Domänen-modell lassen sich nur zweistu-fige Hierarchien abbilden

Gerade die Einschränkung in der Abbildung von Hierarchien stellte für viele Ein-satzbereiche ein gravierendes Problem dar. Mit dem mit Windows NT eingeführ-ten Konzept der vertrauten Domänen, das im Gegensatz zum ursprünglichenLAN Manager-Domänenmodell immerhin eine zweistufige Hierarchie ermöglicht,lassen sich beispielsweise administrative Berechtigungen nur sehr unzureichenddelegieren.

Im Modell der vertrauten Domänen können Benutzer in einer Domäne – sie seials A bezeichnet – angelegt werden. Eine andere Domäne (B) kann dieserDomäne vertrauen. Wenn sich ein Benutzer nun an der Domäne A anmeldet,kann er entsprechend seiner Zugriffsberechtigungen auch auf Ressourcen zugrei-fen, die von Servern der Domäne B bereitgestellt werden. Die Domäne B glaubt,dass die Anmeldung durch die Domäne A dann in korrekter Weise durchgeführtwurde. Sie vertraut Anmeldebestätigungen, die von Domänencontrollern in derDomäne A vergeben wurden.



Fun

ktio

nsü

ber

bli

ck

AWas aber beispielsweise nicht funktioniert, ist, dass eine Domäne C der DomäneB vertraut und dann Anmeldebestätigungen glaubt, die durch die Domäne A ver-geben wurden. Solche mehrstufigen Modelle der Vertrauensstellungen lassen sichim Domänenmodell von Windows NT nicht realisieren. Diese mehrstufigen Ver-trauensstellungen werden als transitiv bezeichnet.

Die Grundelemente des Active DirectoryGenau diese Probleme wurden durch den ADS (Active Directory Service) adres-siert. Windows 2000 verfügte damit über einen zentralen Verzeichnisdienst, dervon allen Anwendungen genutzt werden kann, der von Anwendungen erweitertwerden kann und der eine hierarchische Struktur bereitstellt, die flexibel an dieAnforderungen von Unternehmen anpassbar ist. Die Implementierung beim Win-dows Server 2003 baut auf dieser Basis auf.

Darüber hinaus skaliert das Active Directory auch wesentlich besser als das bishe-rige Domänenmodell. Aber wie Microsoft einst so schön auf seiner Website aus-führte: »The transition to this new world will not be entirely painless – you havesome work ahead of you.« Der Schritt hin zum ADS war und ist eine nicht zuunterschätzende Herausforderung. Zwar gibt es eine Reihe von Elementen, dieaus dem Domänenmodell übernommen wurden. Doch das meiste ist im Vergleichzu den Ansätzen von Windows NT 4.0 neu. Um das Active Directory verstehen zukönnen, ist zunächst ein Überblick über die Grundelemente dieses Dienstes erfor-derlich.

Zwei Begriffe aus dem klassischen Domänenmodell finden sich auch hier wieder:Es gibt auch im Active Directory Domänen und Domänencontroller. Die Domäneist weiterhin die grundlegende Strukturierungseinheit für den Verzeichnisdienst.Allerdings kann sie nun, wie weiter unten noch ausführlicher behandelt wird, ineine komplexere Struktur eingebunden werden. Domänencontroller finden sichebenfalls. Die Domänencontroller übernehmen die Verwaltung der Verzeichnisin-formationen innerhalb einer Domäne.

Domäne

Microsoft stand bei der Gestaltung des ADS vor einer großen Herausforderung.Das vielleicht größte Problem dabei war keineswegs technischer, sondern logi-scher Art: Wie kann – im Sinne der Microsoft-Strategie »embrace and extend« –das Active Directory so gestaltet werden, dass es auf der einen Seite einen wei-chen Übergang vom bisherigen Domänenmodell erlaubt, auf der anderen Seiteaber auch die von den X.500-Standards und DNS geprägten hierarchischenStrukturen umgesetzt werden können? Mittlerweile gibt es aber ohnehin eineEntwicklung weg von der reinen X.500-Welt und hin zu LDAP (LightweightDirectory Access Protocol). Microsoft hat dementsprechend auch nicht versucht,alle Funktionalitäten von X.500 zu implementieren. Das wäre nicht marktgerechtund würde zu einem deutlich zu komplexen System führen. Entscheidend istheute, dass LDAP als Client-Zugriffsprotokoll unterstützt wird.

Das Ergebnis dieser Überlegungen ist die hierarchische Strukturierbarkeit vonDomänen. Domänen bilden weiterhin das zentrale Element und dienen als Con-tainer innerhalb der Gesamtstruktur des Active Directory. Container sind


Kapitel 242

Objekte, in denen andere Objekte abgelegt werden können. Sie bilden sozusagendas Gerüst.

Der wichtigste Container im Active Directory ist die Domäne. In eine solcheDomäne können Maschinen, Benutzer und andere Informationen aufgenommenwerden. Sie ist die logische Struktur, in der das Unternehmen abgebildet wird.Gleichzeitig hat eine solche Domäne aber auch eine Auswirkung auf die physi-sche Speicherung von Informationen: Die Domäne stellt die Grenze dar, inner-halb der Informationen gemeinsam verwaltet werden.

Der erste Schritt in der Planung des Active Directory ist daher die Gestaltung vonDomänen. Bestehende Domänen von Windows NT 4.0 können in Domänen desActive Directory umgestellt oder über explizite Vertrauensstellungen angebundenwerden. Domänen von Windows NT 4.0 können auch direkt in Domänen desWindows Server 2003 umgesetzt werden. Dort werden wiederum verschiedeneModi angeboten, mit denen unterschiedliche Funktionalitäten des Active Direc-tory in Abhängigkeit von den Betriebssystemversionen der eingesetzten Domä-nencontroller genutzt werden können.

Abbildung 2.4:Die Funktion der Domäne

Domänen werden verwendet, um gleichartige Systeme zu gruppieren. Sie müssenbei der Implementierung des Active Directory vor allem unter logischen Gesichts-punkten betrachtet werden, da darin zusammengehörige Objekte gruppiert werden.

Domänencontroller

Auch die Domänencontroller gibt es weiterhin. Im Gegensatz zur früheren Struk-tur bei Windows NT 3.x und 4.0 gibt es aber keine Unterscheidung zwischen pri-mären Domänencontrollern und Sicherungsdomänencontrollern mehr. Es gibtnur noch Domänencontroller, die alle zunächst das gleiche Gewicht haben.

Damit können nun Änderungen an allen Domänencontrollern vorgenommenwerden. Es ist nicht mehr erforderlich, eine solche Änderung zwingend auf dem

Der Begriff des Containers kann hier durchaus wörtlich verstanden werden.Ebenso wie in einem richtigen Container alle möglichen Dinge – die Objekte –enthalten sein können, lassen sich in einem Container eines Verzeichnisdienstesebenfalls Objekte lagern. Das können Informationen über Benutzer, über Compu-ter etc. sein. Außerdem können in einen großen Container auch kleine Containereingelagert werden. Damit kann dann Ordnung geschaffen werden.

HINWEIS

Domäne

Benutzer

Server



Fun

ktio

nsü

ber

bli

ck

Aprimären Domänencontroller durchzuführen. Das hat früher immer dann Pro-bleme gegeben, wenn der primäre Domänencontroller entweder nicht verfügbarwar oder an einem anderen Standort stand und solche Administrationsaufgabenüber schmalbandige Leitungen abgewickelt werden mussten.

Da das Active Directory mit einer Multiple-Master-Replikation arbeitet, könnenÄnderungen nun auf jedem beliebigen Domänencontroller durchgeführt werden.Das Active Directory verteilt diese Änderungen dann automatisch auf die anderenDomänencontroller im Netzwerk.

Domänenbäume

Neu im Vergleich zum früheren Modell sind dagegen die Domänenbäume. EinDomänenbaum ist die Struktur, innerhalb der Domänen organisiert werden.Domänen können in Domänenbäumen über mehrere Hierarchieebenen unterein-ander angeordnet werden. Im Gegensatz zum früheren Ansatz von Windows NTwerden dabei auch transitive Vertrauensstellungen unterstützt. Wenn die DomäneC der Domäne B untergeordnet ist und die Domäne B wiederum der Domäne Auntergeordnet ist, können sowohl Benutzer von A auf Ressourcen von C – ent-sprechende Zugriffsrechte vorausgesetzt – zugreifen als auch umgekehrt.

Abbildung 2.5:Das Modell des

Domänenbaums

Damit lassen sich nun auch komplexere Strukturen abbilden. Neben der größerenFlexibilität ist aber vor allem die nun transparente Handhabung der Vertrauens-stellungen durch das System von entscheidender Bedeutung. Zwar können Ver-trauensstellungen immer noch konfiguriert werden. Im Regelfall ist das aber ineiner Active Directory-Umgebung nicht erforderlich.

Ein Domänenbaum muss über einen einheitlichen Namensraum verfügen. Hierwird mit DNS-Namen gearbeitet. Wenn ein Baum beispielsweise kuppinger.deheißt, kann es innerhalb des Baums weitere Einheiten geben, die beispielsweiseberatung.kuppinger.de, redaktion.kuppinger.de und buch.redaktion.kuppin-ger.de heißen. Dagegen könnte eine Domäne unterhalb von kuppinger.com nichtin diesen Domänenbaum integriert werden.

Um auch Domänen mit unterschiedlichen Namen gemeinsam administrieren zukönnen, gibt es allerdings noch ein weiteres Konstrukt, den Wald (Forest). Dieserverursacht einen insgesamt etwas höheren Aufwand, kann aber dennoch in eini-gen Situationen sinnvoll sein. Darauf wird weiter unten noch eingegangen.

Domäne

Domäne

Domäne Domäne

Active Directory


Kapitel 244

In einem Domänenbaum werden gegenseitige Vertrauensstellungen zwischen denbeteiligten Domänen automatisch erzeugt. Darüber hinaus kann in einem Domä-nenbaum auch eine Suche über mehrere Domänen hinweg erfolgen. Das ist ineinem Wald nur über den Global Catalog möglich, der wie ein Domänencontrol-ler des Active Directory als LDAP-Server fungiert. Insofern ist ein Domänen-baum eine sehr effiziente Struktur. Auf die Frage, wann mit Domänen, organisato-rischen Einheiten, Wäldern oder Domänenbäumen gearbeitet wird, wirdausführlich in � Kapitel 4 des Buchs eingegangen.

Organisationseinheiten

Innerhalb von Domänen gibt es nun ebenfalls Strukturierungsmöglichkeiten.Dazu werden Container mit der Bezeichnung Organisationseinheiten eingeführt.Solche organisatorischen Einheiten sind dazu gedacht, die typischerweise rechtumfangreichen Domänen weiter zu strukturieren.

Organisationseinheiten, zumeist als OU für Organizational Unit bezeichnet, kön-nen ebenfalls hierarchisch strukturiert werden. Damit lassen sich dann innerhalbeiner Domäne auch komplexere Organisationsstrukturen abbilden. HierarchischeStrukturen über mehrere Ebenen in einer Organisation können durch die Schach-telung von OUs umgesetzt werden.

Abbildung 2.6:Die Strukturie-rung von Domä-nen über OUs

Die OUs werden der bevorzugte Weg sein, um hierarchische Strukturen im ActiveDirectory zu realisieren. Sie haben neben der Strukturierung von Informationen,die zu einer größeren Übersichtlichkeit vor allem in komplexen Verzeichnissenführt, noch einen zweiten wichtigen Vorteil: OUs stellen die Grenzen für dieDelegation von administrativen Berechtigungen dar.

Während diese Berechtigungen beim Domänenmodell von Windows NT 4.0 undfrüheren Versionen nur für die ganze Domäne festgelegt werden konnten, lassensich administrative Berechtigungen nun gezielt bis auf die Ebene einzelner OUsdelegieren. Damit kann beispielsweise das Benutzer- oder Servermanagement inunterschiedlichen OUs von verschiedenen Personen durchgeführt werden. DieDelegation kann aber so differenziert gesteuert werden, dass beispielsweise nurdas Recht, die Kennwörter von Benutzern zurückzusetzen, für eine OU an einenanderen Benutzer delegiert werden kann.

OU

OU

OU

OU

Domäne



Fun

ktio

nsü

ber

bli

ck

ABlattobjekte

Mit den Domänen und den Organisatorischen Einheiten gibt es zwei Arten vonContainern im Active Directory. Zusätzlich werden eine Reihe von Objekten inForm von Containern gespeichert, denen wiederum andere Objekte zugeordnetwerden können. Beispiele dafür sind die Benutzer- und Computer-Objekte. Ausdiesen Containern lässt sich nun die hierarchische Struktur des Verzeichnisseszusammenbauen. Innerhalb der einzelnen Container können dann untergeord-nete Objekte angelegt werden. Durch das erweiterbare Schema lassen sich dabeijederzeit zusätzliche Objekte hinzufügen. Das Active Directory kennt aber auchso schon Hunderte von Objektklassen und Attributtypen. Zu den wichtigstengehören

b Das Objekt User. Dieses Objekt definiert einen bestimmten Benutzer in einerDomäne. Zu den Attributen, die für ein solches Objekt definiert werden können,gehören beispielsweise der Benutzername, der Vor- und Nachname des Benut-zers, seine Adresse und Telefonnummer, aber auch ein Bild des Benutzers.

b Das Objekt Druckerwarteschlange. Dieses Objekt wird verwendet, um Dru-cker lokalisieren zu können. Zu seinen Attributen gehören der Ort, der Statusund die Seitenbeschreibungssprache, die vom Drucker verwendet wird.

b Das Objekt Computer. Dieses Objekt identifiziert Systeme, die zu einerDomäne gehören. Zu den Attributen gehören Betriebssystem und installierteService Packs, DNS-Name und die Rolle des Systems in der Domäne.

Für jedes Objekt, das im Active Directory gespeichert ist, gibt es eine Zugriffskon-trollliste, mit der differenziert angegeben werden kann, wer in welcher Form mitdiesem Objekt umgehen darf. Damit lassen sich in sehr flexibler Weise Zugriffsbe-rechtigungen festlegen.

Wälder (Forests)

Ergänzend zu den Domänenbäumen gibt es auch noch das Konzept der Domä-nengesamtstrukturen oder Forests. Ein Forest ist ebenfalls eine Organisations-struktur in der Form eines Domänenbaums. Der grundsätzliche Unterschied liegtallerdings darin, dass es in einem solchen Forest nicht nur einheitliche DNS-Namen gibt. Ein Forest ist also letztlich die Zusammenfassung mehrerer parallelerDomänenbäume oder einzelner Domänen.

Abbildung 2.7:Forests können

Domänenbäumeintegrieren

Domänenbaum 1 Domänenbaum 2Forest


Kapitel 246

Innerhalb eines Forests wird ebenfalls mit transitiven Vertrauensstellungen zwi-schen den beteiligten Domänen gearbeitet. Es gibt also auch hier ein durchgehen-des Sicherheitskonzept, mit dem einem Benutzer Zugriffsrechte an beliebigenanderen Stellen innerhalb des Forests gegeben werden können.

Allerdings haben Forests auch einige Nachteile. So kann die Suche nach Objek-ten beispielsweise für einen gesamten Domänenbaum durchgeführt werden. Umeinen gesamten Forest zu durchsuchen, muss aber auf den Global Catalog, dernachfolgend noch besprochen wird, zurückgegriffen werden.

Der Reiz des Konstrukts liegt darin, dass bestehende Strukturen mit unterschied-lichen Namenskonventionen, wie sie sich beispielsweise in größeren Konzernenoftmals finden, zu einer einheitlichen Struktur integriert werden können. AusSicht des Anwenders ist ein Forest weitgehend transparent. Er sieht letztlich nurzwei oder mehr Domänenbäume, auf die er zugreifen kann. Mit den dahinter lie-genden Konzepten muss er sich nicht auseinander setzen.

Der Global Catalog

Das Suchen von Informationen im Active Directory kann komplex werden. Dennim Grundsatz muss ein Benutzer wissen, an welcher Stelle im Verzeichnis sich dieInformationen befinden. Er muss also beispielsweise wissen, dass ein BenutzerMartinK in kuppinger.de und dort in redaktion angelegt ist. Er müsste sogar wis-sen, in welcher Organisatorischen Einheit sich dieser Anwender findet.

Für den Zugriff von Benutzern wäre das aber reichlich unbequem. Um Informati-onen schneller auffinden zu können, gibt es daher den Global Catalog. Dabeihandelt es sich um einen Index über alle Domänenbäume in einem Forest hinweg.Damit können Informationen sehr einfach lokalisiert werden. Im Global Catalogsind Teile der Informationen zu den verschiedenen Objekten im Active Directoryfür den gesamten Wald gespeichert. Zusätzlich ist dort festgelegt, wo die Objektezu finden sind, falls mehr Informationen benötigt werden.

Abbildung 2.8:Über den Global Catalog lassen sich Informatio-nen schnell loka-lisieren

Eine der gravierendsten Einschränkungen des Modells des Forests wurde beimWindows Server 2003 beseitigt. Dort lassen sich nun so genannte Cross-Forest-Trusts, also Vertrauensstellungen über die Grenze eines Forests hinweg, definie-ren. Damit können auch Informationen aus verschiedenen Forests integriert wer-den und Netzwerke, die aus mehreren Forests bestehen, aufgebaut werden.

WICHTIG

Site A Site B

Global Catalog-

Replikation

Lokale Zugriffe

auf Informationen

aus Site A



Fun

ktio

nsü

ber

bli

ck

ADer Global Catalog wird typischerweise auf einem bis zwei Servern pro Standortbereitgestellt. Damit wird auch erreicht, dass die Suche nach Informationen imVerzeichnis in aller Regel über lokale Abfragen durchgeführt werden kann.

Hinzu kommt, dass das Active Directory exzellente Suchfunktionen für das Auf-finden von Objekten im Verzeichnis bereitstellt. Das ist letztlich die Schnittstellefür den Anwender. Dieser weiß im Ergebnis noch nicht einmal, dass er mit demGlobal Catalog arbeitet, sondern kann ganz einfach das gesamte Verzeichnisdurchsuchen.

Da der Global Catalog genau wie ein Domänencontroller als LDAP-Server imple-mentiert ist, steht er nicht nur Microsoft-Clients, sondern allen LDAP-Clients wiebeispielsweise vielen IMAP/POP3-Clients zur Verfügung.

Die physische Verwaltung des Active Directory

Die verschiedenen Elemente des Active Directory, die auf den letzten Seitenbeschrieben wurden, definieren die logische Struktur des Verzeichnisdienstes. Esgibt zwar auch direkte Einflüsse auf die physische Struktur, wenn eine Domänebeispielsweise zwingend festlegt, welche Informationen gemeinsam auf Servernverwaltet werden. Ebenso hängt die Positionierung von Global Catalog-Serverneng mit der physischen Struktur des Netzwerks zusammen. Doch entscheidendfür die Strukturierung ist in diesem Bereich primär die Organisationsstruktur, ander sich die Gestaltung des Active Directory orientieren soll.

In diesem Abschnitt werden nun die Aspekte behandelt, die enger mit der physi-schen Struktur des Netzwerks zusammenhängen. So gibt es beispielsweise grund-legende Veränderungen bei der Replikation. Außerdem arbeitet das Active Direc-tory, wie beispielsweise schon früher auch mehrere Server-Anwendungen vonMicrosoft wie der Systems Management Server und der Exchange Server, nunauch mit einem Site-Konzept, über das die physische Struktur des Netzwerks imActive Directory abgebildet wird.

Sites

Diese Sites oder Standorte sind einer der wichtigsten Aspekte bei der Gestaltungdes Verzeichnisdienstes. Windows NT hat früher in einigen Bereichen daruntergelitten, dass das Betriebssystem letztlich kaum eine Unterscheidung zwischenbreitbandigen LAN-Verbindungen und schmalbandigen WAN-Verbindungenkannte, soweit Letztere nicht gerade über den RAS (Remote Access Service) ver-waltet wurden. Das Active Directory dagegen kann sehr viel flexibler konfiguriertwerden, da Sites definiert werden können.

HINWEIS Im Gegensatz zu Windows 2000 ist bei Windows Server 2003 nicht mehr unbe-dingt ein Global-Catalog-Server pro Standort erforderlich. Während dieser beiWindows 2000 zentrale Funktionen für die Authentifizierung von Benutzernzwingend übernehmen musste, gibt es beim Windows Server 2003 hier nun Work-arounds wie das Caching von Informationen von anderen Standorten auf Domä-nencontrollern. Damit kann vor allem bei kleinen Standorten die Replikationslastdeutlich verringert werden.


Kapitel 248

Abbildung 2.9:Sites erlauben die räumliche Strukturierung von Netzwerken mit dem Active Directory

Die Implementierung des Site-Konzepts reflektiert die Entwicklung, die Netz-werke in den letzten Jahren genommen haben. Windows NT wurde noch miteinem sehr viel stärkeren Fokus auf das LAN entwickelt. Dabei hat Microsoftzwei Aspekte nur unzureichend berücksichtigt:

b Netzwerke werden heute typischerweise standortübergreifend gekoppelt. DieEntwicklung dieser LAN-LAN-Kopplung hat frühere Szenarien, in denen esoftmals autarke LANs an verschiedenen Standorten und nur auf der Ebene vonGroßrechnern oder für isolierte Anwendungen auch eine WAN-Verbindunggab, mittlerweile abgelöst.

b Microsoft hat aber zweifelsohne auch die gerade in Europa über lange Zeitbestehende Bandbreitenproblematik nicht ausreichend beachtet. Auch beimittlerweile stark gesunkenen Kosten für die Telekommunikation wird immernoch im überwiegenden Maße mit schmalbandigen Leitungen gearbeitet. Dasbedeutet aber, dass ein System in der Lage sein muss, die standortübergreifendeKommunikation mit möglichst geringem Datenvolumen durchzuführen.

Selbst in Umgebungen, in denen eine für WAN-Verbindungen hohe Bandbreitezur Verfügung steht, gibt es aber immer noch das Problem, dass diese in Relationzu LAN-Umgebungen relativ schmalbandig sind. Selbst wenn im WAN-Bereichüber 2 MBit/s zur Verfügung stehen – und das ist auch heute noch viel –, ist dasim Vergleich mit 100 MBit/s und mehr im LAN doch immer noch sehr wenig.

Die Konsequenz daraus ist, dass die Unterschiede zwischen den Leitungskapazi-täten berücksichtigt werden müssen. Und genau das ist der Sinn der Sites: Durchdie explizite Definition von Standorten kann das Active Directory für eine stand-ortinterne Kommunikation anders als für eine standortübergreifende Kommuni-kation konfiguriert werden.

Dass es wenig Sinn macht, beispielsweise die Replikation zwischen Domänen-controllern zwischen zwei Standorten im gleichen, kurzen Rhythmus wie inner-halb eines LANs durchzuführen, ist evident. Wenn man sich nun Szenarien vor-stellt, bei denen sich Domänen des Active Directory in einem weltweitoperierenden Unternehmen über mehrere Kontinente erstrecken, wird deutlich,dass ein solches Site-Konzept unumgänglich war.

Sites werden pro Forest konfiguriert. Es gibt keine Beziehung zwischen Domänenund Sites. Während Domänen über mehrere Sites verstreut sein können, kann es

Domäne B

Bridgehead-Server:

Reduzierte Replikation zwischen Sites

Site A:

Intensive Replikation

Site B:

Intensive Replikation



Fun

ktio

nsü

ber

bli

ck

Ainnerhalb einer Site auch Domänencontroller von verschiedenen Domänengeben. Das Active Directory arbeitet dabei auf der Basis von IP-Subnetzen. Sitesmüssen allerdings manuell konfiguriert werden. Die Konfiguration der physischenStruktur des Active Directory lässt sich dadurch flexibel anpassen, um die realenStrukturen des Netzwerks in optimaler Weise abbilden zu können.

Die Replikation von Informationen zwischen Domänencontrollern erfolgt inner-halb von Sites anders als über Inter-Site-Verbindungen. Diese wiederum lassensich flexibel steuern. Zusätzlich werden die zu replizierenden Informationen beimAustausch über die Grenze einer Domäne hinweg auch noch sehr effizient kom-primiert, um die schmalbandigen Leitungen optimal zu nutzen.

Die Replikation

Die Replikation ist ohnehin einer der Bereiche, in der sich beim Active Directoryfundamentale Änderungen im Vergleich mit dem Domänenmodell von WindowsNT finden. Diese Anpassungen waren schon deshalb erforderlich, weil das ActiveDirectory wesentlich mehr Informationen speichert, als dies beispielsweise beimDomänenmodell der Fall ist. Gleichzeitig wird aber durch die Integration einerganzen Reihe an Diensten und Informationen im Active Directory auch die Repli-kation vereinfacht:

b Informationen über aktive Server finden sich im Active Directory. Hier mussnicht mehr der vor allem bei WAN-Verbindungen oftmals lastintensive Brow-ser-Service (Computersuchdienst) verwendet werden.

b Informationen über Druckerwarteschlangen, die ebenfalls über solche Such-dienste lokalisiert werden mussten, sind nun ebenfalls Teil der Informationenim Active Directory.

b Weitere Informationen wie DFS-Volumes, .NET-Applikationen und ihre Kom-ponenten, installierbare Software und so weiter.

Zudem entfällt in einer Umgebung mit Windows 2000 und höher auch die Not-wendigkeit, lastintensive Dienste für die Namensauflösung von NetBIOS-Namenbei Verwendung von TCP/IP zu betreiben. Sowohl WINS als auch die Broadcast-basierende Registrierung und Auflösung solcher Namen werden dort der Vergan-genheit angehören.

Eine wesentliche Änderung bei der Replikation im ADS ist, dass dort mit einerMulti-Master-Replikation gearbeitet wird. Das bedeutet, dass Änderungen nun anallen Domänencontrollern vorgenommen werden können. Beim Modell von Win-dows NT mit seiner Single-Master-Replikation mussten dagegen alle Anpassun-gen am Verzeichnis wie beispielsweise das Anlegen neuer Benutzer auf dem pri-mären Domänencontroller vorgenommen werden.

HINWEIS Allerdings heißt das in der Konsequenz nicht, dass nun weniger Informationenzwischen Domänencontrollern und zu anderen Systemen ausgetauscht werdenmüssen. Dadurch, dass im Active Directory deutlich mehr Informationen gespei-chert werden, entsteht natürlich wieder zusätzliche Last.


Kapitel 250

Abbildung 2.10:Im Domänen-modell mussten Änderungen beim primären Domänencon-troller durchge-führt werden

Auf die daraus entstehenden Probleme in Bezug auf die Verfügbarkeit des primä-ren Domänencontrollers und auf die Lastproblematik, wenn der primäre Domä-nencontroller nicht im LAN steht, wurde bereits weiter oben eingegangen.

Abbildung 2.11:Im Active Direc-tory können Änderungen an mehreren Stellen durchgeführt werden

Mit der Multi-Master-Replikation wird nun die Unterscheidung zwischen primä-ren und Sicherungsdomänencontrollern aufgehoben. Änderungen können nunauf jedem Domänencontroller durchgeführt werden. Die Änderungen werdendann zu den anderen Domänencontrollern propagiert.

Abbildung 2.12:Änderungen kön-nen per LDAP erfolgen, die Synchronisation ist proprietär

Primärer

Domänen-

controller

Sicherungs-

domänen-

controller

Sicherungs-

domänen-

controller

Client

Änderung

Replikation

Domänen-

controller

Domänen-

controller

Domänen-

controller

Client

Änderung

Replikation

Änderung

Domänen-

controller

Domänen-

controller

Domänen-

controller

Client

Änderung

Replikation

Änderung

LDAP

Proprietäres Protokoll



Fun

ktio

nsü

ber

bli

ck

ADie Änderungen können dabei über das Protokoll LDAP (Lightweight DirectoryAccess Protocol) erfolgen. Dieses Standard-Protokoll definiert den Zugriff vonClients auf Verzeichnisdienste. Die Version 3 des Protokolls wird vom ADS unter-stützt.

Für die Replikation von Informationen zwischen den Domänencontrollern ver-wendet das Active Directory aber weiterhin ein proprietäres Protokoll. Das hatzwei Gründe:

b Zum einen gibt es zwar rund um LDAP Bemühungen, auch ein Synchronisati-onsprotokoll zu definieren, mit dem Informationen zwischen Servern für Ver-zeichnisdienste ausgetauscht werden können. Diese Bemühungen haben mitLDIF (Lightweight Database Interchange Format) zwar auch schon ein Formatfür die Strukturierung der auszutauschenden Informationen hervorgebracht.Was aber noch fehlt, ist ein Protokoll, mit dem die eigentliche Replikationgesteuert wird. Dieses ist auch nach Jahren nicht in Sicht. LDAP selbst regeltaber nur den Zugriff von Clients auf Informationen in Verzeichnissen.

b Die Replikation innerhalb eines geschlossenen Verzeichnisdienstes stelltandere Anforderungen als ein Standard-Protokoll für die Übergabe von Infor-mationen zwischen verschiedenen Verzeichnisdiensten. Für die Kommunika-tion zwischen Domänencontrollern im Active Directory ist die Effizienz dasentscheidende Kriterium. Für ein Standard-Protokoll geht es dagegen darum,sicherzustellen, dass Informationen zwischen heterogenen Verzeichnisdienstenkorrekt ausgetauscht werden können. Das sollte zwar auch einigermaßen effi-zient sein – viel wichtiger ist aber, dass es auf jeden Fall funktioniert.

Auf jedem Domänencontroller gibt es eine Kopie der gesamten Verzeichnisdaten-bank für die Domäne, auf die lesend und schreibend zugegriffen werden kann.Änderungen werden mit einer Versions-ID versehen und zwischen den Domä-nencontrollern ausgetauscht. Übertragen werden dabei nur die Attribute vonObjekten, an denen es auch konkrete Veränderungen gegeben hat.

Falls eine Änderung von Informationen simultan an mehr als einem Client erfolgt,wird die Änderung verwendet, die zuletzt erfolgt ist. Für die Entscheidung werdenin aller Regel Versionsnummern und nicht Zeitstempel verwendet. DieserLösungsansatz ist in praktisch jeder Situation ausreichend und erspart die Imple-mentierung eines komplexen Mechanismus für die Zeitsynchronisation im Netz-werk.

Partitionen

Mit wachsender Größe von Verzeichnisdiensten wird auch die Frage relevant, wieviele Informationen von einzelnen Domänencontrollern überhaupt verwaltet wer-den können. Microsoft sprach für das Active Directory vor dem ersten Releasevon mehreren Millionen Objekten, die vom System verwaltbar sind. Dass damitauch extrem große Umgebungen verwaltet werden können, hat auch die prakti-sche Nutzung des Active Directory über Jahre bewiesen, wobei gerade in sehr gro-ßen Umgebungen aber auch einiges an Feinarbeit bei der Konfiguration erforder-lich ist. Die Grenzen, die es mit etwa 15.000 bis 40.000 Benutzern, je nachKonstellation, bei Windows NT 4.0 noch gab, wurden damit deutlich nach obenverschoben.


Kapitel 252

Wenn man nun beispielsweise die NDS (Novell Directory Services) zum Vergleichheranzieht, gibt es dort die Möglichkeit, über Partitionen sehr differenziert zusteuern, welche Informationen aus dem Verzeichnis physisch auf welchen Ser-vern vorhanden sind. Eine solche Fähigkeit fehlte dem ADS in der ersten Versionvon Windows 2000 noch. Die Partitionierung im Active Directory erfolgt überDomänen. Wenn einzelne Domänen zu groß werden, müssen gegebenenfallsmehr Domänen erzeugt werden. Durch den effizienten Ansatz für die Replikationführen aber auch sehr große Domänen kaum zu Lastproblemen.

Abbildung 2.13:Beim Active Directory ent-sprechen Parti-tionen den Domänen

Die Partitionierung, also die Aufteilung von Informationen des Verzeichnisses fürdie physische Speicherung, wird nur rudimentär unterstützt. Grundsätzlich spei-chern Domänencontroller jeweils alle Objekte und Attribute der Domäne, für diesie verantwortlich sind. Ein Domänencontroller kann gleichzeitig diese Funktionnur für eine einzige Domäne übernehmen. Er kann also aktuell nicht Informatio-nen aus mehreren Domänen halten.

Das bedeutet, dass in größeren Netzwerken der Planung von Domänen auchunter dem Aspekt der physischen Verwaltung von Informationen eine zentraleBedeutung zukommt. Denn durch die Aufteilung eines Netzwerks in Partitionenkann die Menge an Informationen, die von einzelnen Domänencontrollern ver-waltet werden muss, reduziert werden.

Beim Windows Server 2003 gibt es gleich zwei Ansätze, um die Einschränkungenbei der Partitionierung zu adressieren. Zum einen können innerhalb eines Forestsso genannte Application Directory Partitions definiert werden. Diese speichernInformationen nur von ausgewählten Anwendungen und können gezielt repliziertwerden. Zum anderen gibt es mit ADAM (Active Directory in Application Mode)eine Lightweight-Implementierung des Active Directory, von der auch mehrereInstanzen parallel zum Active Directory auf einem Server installiert werden kön-nen. Für viele Bereiche und insbesondere das Management einer größeren Zahlan Benutzern kann man aber weiterhin davon ausgehen, dass eine Domäne aucheine Partition bildet. Das stimmt auch bei Windows 2000 schon nicht exakt, weiles immer schon eine Partition für die Konfigurationsinformationen des ActiveDirectory und eine für das Schema gab.

HINWEIS

Domäne

Domäne

Domäne Domäne

Active Directory

Partitionen



Fun

ktio

nsü

ber

bli

ck

AFür die Information über die Grenzen von Domänen hinweg können dann inner-halb eines Domänenbaums Suchfunktionen über LDAP eingesetzt werden. Inner-halb eines Waldes stellt der Global Catalog einen Index dar, mit dem Informatio-nen lokalisiert werden können.

Allerdings darf man diese Problematik nicht überschätzen. Denn wenn mit gro-ßen Domänen gearbeitet wird, führt das zwar auf der einen Seite dazu, dass vieleÄnderungen zwischen den Domänencontrollern repliziert werden müssen. Ände-rungen sind aber im Vergleich mit den ständigen Zugriffen von Benutzern undAnwendungen auf Informationen im Verzeichnis nur von untergeordneter Bedeu-tung. So gesehen ist es im Zweifelsfall auf Dauer immer effizienter, mehr Ände-rungen über eine schmalbandige Leitung zu replizieren und dafür wenigerZugriffe im laufenden Betrieb in die andere Richtung zu haben als umgekehrt.

Letztlich lässt sich die Frage nur im konkreten Fall beantworten, indem man dieverschiedenen Situationen, in denen über die Verbindungen zwischen zwei Siteskommuniziert wird, genau analysiert und dann errechnet, welche Last wirklich zuerwarten ist. Aber allein mit dem Kopieren einiger großen Dateien zwischen zweiStandorten hat man im Vergleich schon mehr Last erzeugt als mit der Replikationvon Änderungen bei Tausenden von Benutzern.

Namen im Active DirectoryWie schon bei der Thematik der Domänen deutlich wurde, gibt es im ActiveDirectory mehrere unterschiedliche Ansätze, um Objekte zu bezeichnen. Insge-samt lassen sich vier wichtige Namen unterscheiden:

b Jedes Objekt verfügt über einen eindeutigen, internen Namen, der für interneFunktionen des Betriebssystems verwendet wird.

b DNS- oder Internet-Namen werden für die Bezeichnung von Domänen ver-wendet. Sie können allerdings auch zur Referenzierung von Objekten inner-halb einer Domäne wie beispielsweise Benutzern oder Servern verwendet wer-den.

b NetBIOS-Namen, wie sie aus Windows NT bekannt sind, werden aus Gründender Abwärtskompatibilität auch weiterhin unterstützt. So muss beispielsweisebei der Einrichtung von Domänen auch ein NetBIOS-Name für diese festgelegtwerden, unter dem die Domänen dann bei entsprechenden Zugriffen sichtbarwerden.

b Schließlich gibt es noch die an X.500 orientierten LDAP-Namen, die aus Sichtdes Benutzers der Regelfall beim Umgang mit dem Active Directory sind.

LDAP ist dabei aus zwei Gründen von zentraler Bedeutung. Zum einen ist es derStandardmechanismus, mit dem in heterogenen Umgebungen auf die Informatio-nen im Active Directory zugegriffen werden wird. Auf der anderen Seite könnenOrganisationseinheiten innerhalb einer Domäne nicht über DNS-Namen ange-sprochen werden.


Kapitel 254

Bei den LDAP-Namen werden wiederum unterschiedliche Varianten unterstützt.Die Standardform ist, dass sowohl die Domäne als auch die Organisationseinheit,in welcher der Eintrag definiert ist, angegeben werden. Das kann beispielsweisedie Form

cn=MartinK,ou=mgmt,dc=beratung,dc=kuppinger,dc=com

haben, weil dort eben alle Organisatorischen Einheiten und darüber hinaus auchnoch die einzelnen Elemente des Domänennamens angegeben werden müssen.Eine einfachere Variante ist

//beratung.kuppinger.com/mgmt/MartinK

Allerdings muss der Anwender in den wenigsten Fällen vollständige Namen ein-geben. Der Zugriff auf solche Einträge wird sowohl über grafische Werkzeuge alsauch über Suchmechanismen wie nicht zuletzt den Global Catalog erleichtert.Diese reduzieren die Komplexität der Adressierung von Objekten im ActiveDirectory signifikant.

Schnittstellen zum Active DirectoryDie Funktionen des Active Directory werden primär über zwei Schnittstellen fürAnwendungsentwickler bereitgestellt. Die eine ist LDAP, das schon mehrfacherwähnte Lightweight Directory Access Protocol. LDAP ist der Standardmecha-nismus, über den heute auf Informationen in Verzeichnissen zugegriffen wird.

Auf der anderen Seite findet sich ADSI. ADSI, das Active Directory Service Inter-face, ist eine Schnittstelle für Windows-Anwendungen, über die ebenfalls in trans-parenter Weise auf unterschiedliche Verzeichnisdienste zugegriffen werden kann.

Abbildung 2.14:Die Architektur von ADSI

Da die DNS-Namen für die Bezeichnung von Domänenbäumen und Domäneninnerhalb dieser Bäume verwendet werden, können nicht auch noch Organisa-tionseinheiten darüber benannt werden. Zum einen würde das zu reichlich kom-plexen DNS-Namen führen. Zum anderen gäbe es dann aber auch einen Konfliktbezüglich der Strukturierung: Es wäre nicht mehr erkennbar, ob eine untergeord-nete Struktur nun eine Domäne oder eine Organisationseinheit ist.

HINWEIS

Anwendungen

Active Directory Services Interface

Treiber Treiber Treiber Treiber

NetWare

BinderyX.500 NDS ADS

Anwendungen



NetWare




Fun

ktio

nsü

ber

bli

ck

AADSI verwendet Treiber, um die Umsetzung von einheitlichen Schnittstellen fürdie Entwickler auf die Spezifika verschiedener Verzeichnisdienste vorzunehmen.Solche ADSI-Treiber werden schon heute beispielsweise von Novell mit den aktu-ellen Client-Versionen sowohl für Windows 9x als auch Windows NT ausgeliefert.

Ein fundamentaler Unterschied zwischen ADSI und LDAP ist die Art und Weise,in der diese Schnittstellen bereitgestellt werden. Während LDAP nur als klassi-sche API mit Funktionsaufrufen für C direkt angesprochen werden kann, istADSI in Form von COM-Objekten realisiert.

Abbildung 2.15:Die Ansteuerung

von ADSI überSkripts

Das ermöglicht, ADSI auch sehr einfach über Skripts und dem ab Windows 2000integrierten Windows Script Host (WSH) anzusteuern. Damit lassen sich alleFunktionen in Verzeichnisdiensten und natürlich insbesondere im Active Direc-tory in flexibler Weise über selbst definierte Skripts aufrufen. Im Gegensatz zuWindows NT lassen sich damit wiederkehrende Administrationsprozesse effizien-ter gestalten als bei der in Windows NT 4.0 fast ausschließlichen Verwendung gra-fischer Werkzeuge.

Neben LDAP und ADSI gibt es auch noch die Unterstützung für DNS. Da DNSmit dem ADS eng integriert ist, können die als DNS-Server konfigurierten – diezusätzliche Einrichtung des Dienstes ist Voraussetzung – Server auch Anfragenvon DNS-Clients beantworten. DNS ist aber im Kern keine eigentliche Funktiondes Verzeichnisdienstes, sondern der mit dem ADS integrierten DNS-Server.Diese wiederum müssen keineswegs zwingend unter Windows Server 2003 oderWindows 2000 Server betrieben werden. Wenn die entsprechenden aktuellenStandards von DNS unterstützt werden, kann der DNS-Server beispielsweiseauch unter Unix laufen. Allerdings spricht einiges wie etwa die Integration mitdem Active Directory dafür, die DNS-Server auf Basis des Windows Server 2003zu betreiben.

Skripts



NetWare


COM-Schnittstelle


Kapitel 256

Client-ManagementIn den vergangenen Jahren ist eine intensive Diskussion über den Begriff der TCO(Total Cost of Ownership) aufgekommen. Diese ist zwar zwischenzeitlich etwasverebbt, hat aber nun in Zeiten knapper IT-Budgets wieder an Bedeutung gewon-nen. Dahinter verbirgt sich die Erkenntnis, dass die Kosten, die durch Client-PCsverursacht werden, zu hoch sind. Für die Konfiguration von Systemen, die Besei-tigung von Fehlern, die Unterstützung von Anwendern und die Aktualisierung istein zu hoher Aufwand erforderlich.

Ursächlich dafür sind vor allem zwei Faktoren:

b Die Handlungsspielräume von Benutzern sind in vielen Fällen zu groß. Benut-zer können unabsichtlich, fahrlässig oder mutwillig Konfigurationseinstellun-gen von Systemen verändern. Sie werden aber auch mit Anwendungen kon-frontiert, die für ihre tägliche Arbeit nie erforderlich sind. Diese Anwendungenverwirren den Benutzer aber oftmals und schaffen für ihn eine unnötige Kom-plexität.

b Viele Funktionen lassen sich nicht oder nicht in ausreichender Weise von zen-traler Stelle aus einrichten, steuern und überwachen. In viel zu vielen Situatio-nen sind »warm body upgrades« erforderlich. Administratoren müssen vor OrtKonfigurationsschritte vornehmen.

Diese beiden Probleme hängen natürlich eng zusammen. Microsoft hat bereits beiWindows 95 sowie später Windows NT 4.0 mit Systemrichtlinien und Benutzer-profilen und, ab dem Service Pack 4, auch dem Security Configuration Editor fürdie Konfiguration von Sicherheitseinstellungen einige Werkzeuge eingeführt, mitdenen eine zentrale Konfiguration von Systemen zur Steuerung der Handlungs-spielräume von Benutzern erfolgen kann. Mit Windows 2000 wurden diese Funk-tionen wesentlich ausgebaut – allerdings, wie bei den Gruppenrichtlinien, zumTeil auch in ausgesprochen komplexer Weise. Insbesondere im Bereich unbeauf-sichtigter Installation und Aktualisierung werden zudem neue Funktionen in dasSystem integriert.

In diesem Abschnitt wird ein Überblick über die Funktionen für das Client- undSystemmanagement gegeben, die beim Windows Server 2003 enthalten sind.Microsoft hat sich mittlerweile von vielen der früher verwendeten Begrifflichkei-

Bei der Diskussion über und der Planung von Konzepten für die Reduktion vonTotal Cost of Ownership darf nicht übersehen werden, dass sich dahinter inerheblichem Umfang auch ein »politisches« Problem verbirgt. Viele Benutzer sindnicht besonders begeistert davon, dass sie auf einmal nicht mehr alle Funktionenihrer Systeme nutzen können und werden sich oftmals mit Vehemenz und allerleiArgumenten dagegen wehren. Hier gilt es auf der einen Seite, vor der Festlegungsolcher Richtlinien die Erfordernisse von Benutzern genau zu analysieren, um zugroße Einschränkungen zu vermeiden.

Auf der anderen Seite ist das Problem aber in vielen Fällen einfach, dass denAnwendern ein geliebtes Spielzeug genommen wird. Hier gilt es immer wiederdarauf hinzuweisen, dass der Sinn eines PCs nicht darin besteht, ein persönlichesSpielzeug für den Anwender zu sein, sondern ein Werkzeug, um die Produktivitätim Sinne der Zielerreichung des Unternehmens zu erhöhen.

HINWEIS



Fun

ktio

nsü

ber

bli

ck

Aten wie der Zero Administration Initiative for Windows (ZAW) und Intelli-Mirror wieder etwas verabschiedet. Die dahinter stehenden Ideen bleiben aberweiterhin relevant. Und die subsumierten Technologien in den Bereichen zentra-ler Administration und Einrichtung bzw. Aktualisierung von Betriebssystem undAnwendungen haben mittlerweile noch eine wesentlich größere Bedeutungerlangt. Auf sie wird in den folgenden Abschnitten eingegangen.

Eine besondere Rolle spielen dabei Benutzerprofile und Richtlinien. Mit denGruppenrichtlinien wurde bei Windows 2000 ein deutlich verändertes Konzeptim Vergleich mit den früheren Systemrichtlinien von Windows NT eingeführt.Dieses Konzept ist eng mit dem Active Directory integriert und erfordert eine dif-ferenzierte Planung und Administration. Allerdings hat sich gerade bei Windows2000 auch gezeigt, dass die erforderliche Konzeptionsarbeit manches Mal dieGrenze des Wünschenswerten überschritten hat. Mit dem Windows Server 2003wurde daher der Umgang mit Gruppenrichtlinien deutlich vereinfacht.

Schon mit Windows 2000 wurde auch die Sicherheitskonfiguration in den Grup-penrichtlinien integriert. Damit lassen sich die Sicherheitseinstellungen für dieClients zentral vorgeben. Das ist vor allem in Anbetracht der in den letzten Jahrendeutlich gestiegenen Sensibilität für das Thema Sicherheit von großer Bedeutung.

Welche Funktionen gehören zum Systemmanagement des Windows Server 2003?Das zentrale Ziel hinter den Strategien und Technologien von Microsoft imBereich des Systemmanagements ist Zero Administration. Vor einigen Jahren hatMicrosoft dafür die ZAW definiert – Zero Administration Initiative for Windows.Dahinter stand eine Sammlung von Technologien, die über die Zeit Eingang indie Windows-Betriebssysteme gefunden haben und kontinuierlich weiter verbes-sert wurden. Die Zielsetzung dabei ist es, die administrativen Kosten von Win-dows-Clients und damit die TCO zu senken.

Bei der Einführung von Windows 2000 wurde dann von IntelliMirror-Technolo-gien gesprochen. Diese umfassen Funktionen, mit denen Einstellungen für dieClients auf den Servern definiert und automatisch auf Clients gespiegelt werden.Da die Abgrenzung zwischen anderen Bereichen des Systemmanagements undden IntelliMirror-Diensten etwas unscharf war, wird dieser Begriff heute aberzunehmend weniger verwendet. Wenn man die gesamten Technologien betrach-tet, die beim Windows Server 2003 und bei den aktuellen Clients wie WindowsXP und Windows 2000 für das Systemmanagement zu finden sind, dann lassensich hier folgende Kernbereiche nennen:

b Benutzerdatenmanagementb Softwareverteilungb Änderungs- und Konfigurationsmanagementb Installationssteuerung und -automatisierung


Kapitel 258

Abbildung 2.16:Die Kernkom-ponenten für das Client-Manage-ment beim Windows Server 2003

Hinzu kommen noch ergänzende Technologien wie beispielsweise WBEM (WebBased Enterprise Management) und WMI (Windows Management Instrumenta-tion) oder die MMC (Microsoft Management Console) als standardisierte Admi-nistrationsschnittstelle ab Windows 2000.

Der eigentliche Begriff des IntelliMirror bezieht sich vor allem auf die Technolo-gie, die Daten, Anwendungen und Betriebssystemeinstellungen von Windows2000 Professional und Windows XP auf Server unter Windows 2000 Server undWindows Server 2003 spiegelt. Die Basistechnologien dafür sind intelligentesCaching und zentralisierte Synchronisation. Das Ergebnis ist, dass Benutzerimmer Zugriff auf ihre Anwendungen und Daten haben, unabhängig davon, obsie gerade mit dem Netzwerk verbunden sind oder nicht. Diese Funktionalitätwird heute in der Regel als Offline-Dateien bezeichnet. Ein weiterer Begriff, derhier verwendet wird, ist das Client-Side Caching, weil Informationen vom Serverauf den Clients zwischengespeichert werden.

Um das hehre Ziel einer deutlich vereinfachten Client-Administration zu errei-chen, sind daneben aber noch eine ganze Reihe von Funktionen erforderlich.Dazu zählen die schon angesprochenen Gruppenrichtlinien und die serverbasie-renden Benutzerprofile, die schon bei Windows 95 erstmals zu finden waren. Siewerden aber mittlerweile durch eine ganze Reihe zusätzlicher Funktionenergänzt. Zu diesen Funktionen gehören

b RIS (Remote Installation Services, Remoteinstallationsdienste) für die verein-fachte, verteilte Installation von Betriebssystemen

b Werkzeuge für die Migration von Benutzerprofilen von früheren Windows-Ver-sionen und zwischen Windows-Clients.

b Der Microsoft Installer mit den speziellen Installationsdateien (MSI-Dateien),mit denen Installationsprozesse von Anwendungen standardisiert und anpass-bar werden

b Die Terminaldienste erlauben auch die Ausführung von Anwendungen auf Ser-vern, sodass keine Softwareverteilung mehr erforderlich ist und mit relativ leis-tungsschwachen Clients gearbeitet werden kann.

Benutzerdatenmanagement

Softwareverteilung

Änderungs- und Konfigurationsmanagement

Installationssteuerung und -automatisierung

Allgemeine Konfigurationsparameter

Sicherheitsmanagement



Fun

ktio

nsü

ber

bli

ck

ADie Systemmanagementfunktionen des Windows Server 2003 sind im Kern eineWindows 2000-Technologie, die bei Windows XP und dem Windows Server 2003noch etwas weiterentwickelt wurde. Für Windows 95 und Windows 98 ebensowie für die Windows NT Workstation 4.0 gibt es nur eine sehr eingeschränkteUnterstützung. Microsoft sprach hier von der Portierung von »low-risk items«,die teilweise über Service Packs auf früheren Windows-Versionen zur Verfügunggestellt wurden. Nachdem aber mittlerweile die installierte Basis der Clients dochin immer größerem Umfang zumindest auf dem Stand von Windows 2000 ist, ver-liert diese Einschränkung doch deutlich an Bedeutung.

Interessant im Zusammenhang mit dem Client-Management sind die in den letz-ten Jahren wesentlich ausgebauten Funktionen für die Installation des Betriebs-systems. Mit Windows 2000 wurden die oben schon kurz erwähnten RIS einge-führt, die beim Windows Server 2003 ausgebaut wurden und nun neben denClient-Betriebssystemen auch die Verteilung von Server-Betriebssystemen unter-stützen.

Dabei handelt es sich um Imaging-Funktionen, mit denen ein Image (Abbild)einer bestehenden Installation des Betriebssystems auf Clients verteilt werdenkann. Diese Images können auch schon installierte Anwendungen enthalten. DasVerfahren installiert also Betriebssysteme. Anpassungen werden im Nachhineintypischerweise über die weiteren Systemmanagementfunktionen oder mit Hilfezusätzlicher Anwendungen für das Systemmanagement durchgeführt, weil einerneutes Deployment von Images dann doch zu aufwändig wäre.

Der große Reiz dieser Technologie liegt neben der automatischen Verteilung undAktualisierung des Betriebssystems auch darin, dass sich sehr schnell Ersatz fürdefekte Systeme schaffen lässt. Wenn Betriebssysteme, Anwendungen und Profilevon Servern geladen werden, muss ein neuer Rechner beim Ausfall nur ins Netzgehängt werden, um sich alle erforderlichen Informationen inklusive der Applika-tionen und Daten der Benutzer von den Servern zu laden. Die Systeme sind damitin sehr kurzer Zeit und ohne manuelle Intervention des Administrators wiederarbeitsfähig.

HINWEIS Voraussetzung für die Remote-Installation des Betriebssystems ist eine entspre-chende Hardware. Diese muss den PXE-Standard unterstützen, mit dem einRemote Boot ohne installiertes Betriebssystem erfolgen kann. Dann wird über dasNetzwerk auf die Installationsserver zugegriffen. Eine Alternative dazu stellt derStart des Installationsprozesses über eine Diskette dar. Hier wird dann nur einvon den Remoteinstallationsdiensten unterstützter Netzwerkadapter vorausge-setzt. Mittlerweile verfügen die meisten aktuellen Netzwerkadapter über eine sol-che Unterstützung. Bei älteren Adapterkarten fehlt sie aber zumeist noch, weil dieTechnologie erst Ende der 90er Jahre wirklich an Bedeutung gewonnen hat.


Kapitel 260

Abbildung 2.17:Hardware kann mit Hilfe der Systemmanage-mentfunktionen einfach ersetzt werden

Ob dazu allerdings unbedingt der Preis für die RIS-Funktionalität, der in Formvon Netzlast, Plattenplatz und Rechenleistung auf dem Server sowie in beachtli-chem Konfigurationsaufwand zu zahlen ist, erforderlich ist, sei dahingestellt.Wenn nur Profile und Anwendungen zentral bereitgehalten werden, kann statt-dessen auch ein vorkonfigurierter Rechner, auf dem das Betriebssystem bereitsvorinstalliert ist, ins Netz genommen werden. Das Ergebnis für den Benutzer istdas Gleiche – ein schnell verfügbarer Rechner mit exakt der Umgebung, die erauch bisher hatte. Für den Support bedeutet das aber, dass er zumindest Betriebs-systeme noch dezentral einrichten und konfigurieren muss, falls er die Systemenicht ohnehin in einer Basiskonfiguration geliefert bekommt.

Der Reiz aber, ein System sehr schnell wieder herzustellen, wird dennoch die Ten-denz, auch Remoteinstallationsdienste zu nutzen, entstehen lassen. Denn damitlässt sich die Verfügbarkeit von Client-Systemen auf das höchstmögliche Niveaubringen.

Benutzerprofile und das Client-Side CachingBenutzerprofile gab es bei Windows NT schon immer. Mit Windows NT 4.0 wur-den dann die Systemrichtlinien hinzugefügt. Diese wurden ab Windows 2000dann durch die Gruppenrichtlinien ersetzt, die unter anderem noch die Software-verteilung und die Sicherheitskonfiguration unterstützen.

b Gruppenrichtlinien steuern Konfigurationsparameter. In einer solchen Richtli-nie werden Werte für Registry-Parameter gesetzt. Diese Werte werden dannwiederum in den Registry-Dateien für die Maschine oder den Benutzern,denen die Richtlinie zugeordnet ist, bei der nächsten Anmeldung eingetragen.Bei aktiven Systemen werden sie auch regelmäßig im laufenden Betrieb aktua-lisiert. Darüber hinaus finden sich in den Gruppenrichtlinien eben die genann-ten Festlegungen zur Softwareverteilung und Sicherheitskonfiguration.

b In Benutzerprofilen werden dagegen individuelle Informationen für Benutzergespeichert. Dazu gehören beispielsweise Einstellungen für Bildschirmfarben,Dateien oder die Struktur von Startmenü und Programmgruppen.

Ein oder mehrere Server

Betriebssystem-

Dateien,

Installationsskripts

Benutzerprofile,

GruppenrichtlinienSoftwarepakete

Neuer Client



Fun

ktio

nsü

ber

bli

ck

ABenutzerprofile werden immer erstellt. Ohne explizite Konfiguration liegen dieseProfile aber auf dem Client. Wenn sie auf dem Server gespeichert werden, werdensie als wandernde Profile bezeichnet, da sie dem Benutzer auch dann zur Verfü-gung stehen, wenn er sich auf einer anderen Arbeitsstation anmeldet.

In einem Benutzerprofil werden die benutzerbezogenen Einstellungen gespei-chert, bis hin zu den persönlichen Dateien des Benutzers und anwendungsbezo-genen Daten. Dieses Benutzerprofil wird auf dem lokalen System bei der erstenAnmeldung eines Benutzers erzeugt. Wenn mit serverbasierenden Profilen gear-beitet wird, wird es bei der Abmeldung auf den Server gespeichert und bei derAnmeldung wieder vom Server geladen. Wenn kein Server verfügbar ist, wird mitdem lokalen Profil gearbeitet, ebenso wie bei einem schlechten Antwortverhaltendes Servers. Diese Kommunikation ist wiederum über die Gruppenrichtlinienoder lokale Registry-Parameter steuerbar.

Ein serverbasierendes Profil hat den Reiz, dass es auch geladen wird, wenn sichder Benutzer an einer anderen Arbeitsstation anmeldet. Dabei kann es nun aberzu Konfliktsituationen kommen. Wenn ein Benutzer, nennen wir ihn B, anArbeitsstation A arbeitet und sich abmeldet, wird das Profil auf dem Servergespeichert. Wenn er nun in der nächsten Arbeitssitzung an Computer B arbeitet,wird das Profil geladen, während der Arbeitssitzung wahrscheinlich verändertund dann wieder auf dem Server gespeichert. Bei der nächsten Anmeldung anArbeitsstation A ist damit das serverbasierende Profil aktueller als das lokale Pro-fil. Es könnte aber auch passieren, dass Benutzer B an Arbeitsstation A ein Profilerzeugt und dieses auf dem Server gespeichert wird. Bei der nächsten Sitzung anArbeitsstation A ist der Server nicht verfügbar. Änderungen werden daher nur amlokalen Profil vorgenommen. Wenn er sich dann wieder mit dem Server verbin-det, ist das lokale Profil aktueller als das serverbasierende Profil.

Während im ersten Konfliktfall das serverbasierende als das aktuellere Profil auto-matisch geladen wird, wird im zweiten Fall eine Meldung angezeigt. Der Benutzerkann entscheiden, ob er wieder das serverbasierende Profil laden möchte oderstattdessen mit dem lokalen Profil weiterarbeiten will. Dieses wird dann bei derAbmeldung auf dem Server gespeichert, sodass die beiden Profile wieder identischsind.

Dieser Ansatz prägt im Kern auch das Client-Side-Caching, also die Offline-Dateien, ab Windows 2000. Allerdings sind eine Reihe von Verbesserungen inte-griert worden. So wird das Verzeichnis Eigene Dateien in einem Ordner auf derArbeitsoberfläche bereitgestellt und kann mit dem Benutzerverzeichnis (HomeDirectory) synchronisiert werden. Funktionsaufrufe, die auf das Benutzerver-zeichnis zeigen, liefern dieses Verzeichnis zurück. Außerdem wird das Verzeich-nis in allen Standard-Dateidialogen angezeigt, sodass es für den Benutzer einfachzu finden ist. Damit das aber korrekt funktioniert, müssen alle Anwendungen die-ses Verzeichnis auch verwenden, um benutzerbezogene Informationen abzulegen.Während das in der Anfangsphase noch zu Problemen geführt hat, sind heuteeigentlich alle gängigen Anwendungen so gestaltet, dass das bestens klappt.Microsoft hat dazu im Laufe der Jahre viel Ausbildungsarbeit bei den Entwicklernbetrieben und klare Standards für die Entwicklung von Windows-Anwendungendefiniert.


Kapitel 262

Abbildung 2.18:Das Konzept der serverbasieren-den Benutzer-profile

Die Spiegelungsfunktion kann allerdings auch noch für andere Arten von Infor-mationen genutzt werden:

b Webseiten lassen sich ebenfalls im lokalen Cache halten. Damit können auchInformationen aus dem Internet oder Intranet lokal abgelegt werden und sinddann auch ohne Verbindung zu einem Netzwerk zugänglich.

b Das Mirroring bezieht sich nicht nur auf die eigenen Dokumente, sondernkann für alle freigegebenen Ressourcen auf dem Server aktiviert werden.

Dabei kann bei der Freigabe festgelegt werden, dass die Informationen für dasCaching freigegeben werden sollen und in welcher Form diese Technologiegenutzt werden soll.

Abbildung 2.19:Wie freigegebene Dateien lokal gespiegelt wer-den, kann auf dem Server konfi-guriert werden

Folgende Optionen stehen zur Auswahl:

b Manuelles Caching von Dokumenten. Diese Option bietet Offline-Zugriff aufvorher einzeln zu bestimmende Dokumente. Das muss also explizit konfigu-riert werden.

b Automatisches Caching von Dokumenten. Damit werden alle vom Client ein-mal geöffneten Dokumente auch auf dem lokalen System gehalten.

Server Zentrales Profil

Client Lokales Profil

Laden aktueller

Daten beim

Start des Clients

Speichern geänderter

Informationen beim

Systemabschluss



Fun

ktio

nsü

ber

bli

ck

Ab Automatisches Caching von Programmen. Diese Option ist sowohl für den

Zugriff auf Anwendungen als auch auf schreibgeschützte Dokumente sinnvoll,da dann kein Zugriff mehr auf den Server, sondern generell auf die lokalgespeicherten Dateien erfolgt.

Ein Problem ist aber nicht zu übersehen: Wenn an zwei unterschiedlichen StellenÄnderungen an einer Datei vorgenommen werden, lassen sich diese nicht so ohneweiteres zusammenführen. Während mehrere Release-Stände bei einem Word-Dokument gegebenenfalls noch über Funktionen wie das Zusammenführen vonDokumenten bewältigt werden können, muss so etwas beispielsweise bei Grafik-dateien zwangsläufig scheitern. Das allerdings ist weniger ein Problem der Off-line-Dateien als vielmehr ein generelles Replikationsproblem.

Entsprechend können auch Windows XP oder der Windows Server 2003 diesesProblem nicht völlig lösen. Über den Synchronization Manager kann der Benut-zer aber steuern, ob eine lokale Datei oder eine Datei auf dem Server vorzuziehenist oder ob eine auf dem Client veränderte Datei umbenannt und dann auf demServer gespeichert werden soll.

Die Technologie ist insgesamt als eine durchdachte Weiterentwicklung der server-basierenden Benutzerprofile zu bewerten. Für Administratoren liegt ein wesentli-cher Vorteil auch darin, dass sie die Konfigurationsinformationen der Clients, dieja bei Verwendung der verschiedenen Technologien für die Synchronisation vonClients und Servern auch auf dem Server liegen, dort gegebenenfalls auch anpas-sen können.

GruppenrichtlinienIm Bereich des Änderungs- und Konfigurationsmanagement stehen die Gruppen-richtlinien im Mittelpunkt. Diese arbeiten mit relativ komplexen Vererbungskon-zepten und integrieren auch die Sicherheitskonfiguration.

Richtlinien können für Sites, Domänen, Organisationseinheiten und Gruppenfestgelegt werden – und natürlich auch weiterhin für individuelle Benutzer undSysteme. Die auf einen Benutzer anzuwendenden Richtlinien bilden sich beimWindows Server 2003 als Summe der verschiedenen Richtlinien und nicht mehr,wie früher bei Windows NT 4.0, nur auf Basis eines entsprechend hoch priorisier-ten Teils einer Systemrichtlinie.

Über die Gruppenrichtlinien lassen sich heute immens viele Funktionen steuern.Insgesamt gibt es deutlich über 1000 konfigurierbare Parameter. Das beginnt beiRegistry-Einstellungen und geht hin bis zu Skripten, die bei der An- bzw. Abmel-dung ausgeführt werden. Da über den Windows Script Host (WSH) auch leis-tungsfähige Skripting-Funktionen angeboten werden, lässt sich damit so ziemlichjedes Verhalten für den Systemstart und -abschluss konfigurieren.


Kapitel 264

Abbildung 2.20:Gruppenrichtli-nien werden über Objekte definiert und Containern im Active Direc-tory zugeordnet

Die große Umstellung bei den Gruppenrichtlinien im Vergleich mit früheren Kon-zepten liegt nicht in den neuen Funktionen. Zwar gibt es viele neue Einstellun-gen. Aber diese sind relativ leicht beherrschbar, auch wenn es aufwändig ist, sichmit der Vielzahl möglicher Parameter im Einzelnen auseinander zu setzen. DasProblem, das vielen Administratoren bei Windows 2000 zu schaffen gemacht hat,liegt in dem grundlegend veränderten Konzept dieses Mechanismus.

Früher gab es nur einfache Richtliniendateien, über die die Konfiguration gesteu-ert wurde. Diese wurden entweder einem Standardbenutzer, einem Standardcom-puter oder ausgewählten Benutzern respektive Benutzergruppen zugeordnet. Esgab aber immer eine eindeutige Zuordnung. Auf diese Weise war es relativ ein-fach, solche Richtlinien gezielt für einzelne Benutzer oder Benutzergruppen zudefinieren. Dafür war der Verwaltungsaufwand in größeren Netzwerken aberauch entsprechend hoch.

Ab Windows 2000 wird nun mit so genannten Gruppenrichtlinien-Objektengearbeitet. In diesen Objekten werden die Richtlinien gespeichert. Die Objektekönnen an unterschiedlichen Stellen verwaltet werden. Die Zuordnung kanndann, wie schon eingangs des Abschnitts erwähnt, auf

b Sitesb Domänenb Organisationseinheitenb Benutzer und Computer (allerdings nur außerhalb von Domänen)

erfolgen. Die Beschränkung von Richtlinien, die auf der Ebene von Sites, Domä-nen oder organisatorischen Einheiten definiert wurden, auf einzelne Benutzer,Benutzergruppen und Computer erfolgt wiederum über die Zugriffsrechte. Alsweiterer Vorteil kommt bei Windows 2000 hinzu, dass Gruppen im Verzeichnisnun nicht mehr nur für Benutzer, sondern auch für Computer gebildet werdenkönnen. Darüber lässt sich dann der Wirkungsbereich von Gruppenrichtlinien-Objekten in optimaler Weise steuern. Nur kann man leider über die komplexenZuordnungsmechanismen auch relativ leicht stolpern.



Fun

ktio

nsü

ber

bli

ck

AAbbildung 2.21:

Die Wirkungs-weise von Grup-

penrichtlinien-Objekten

Um nun zu entscheiden, welche Gruppenrichtlinien-Objekte (Group PolicyObjects, GPOs) verwendet werden, spielen mehrere Regeln und Konfigurations-einstellungen eine wichtige Rolle:

b Die GPOs kumulieren. Untergeordnete Container im Directory erben die Ein-stellungen der GPOs von übergeordneten Ebenen. Dabei überschreiben expli-zite Einstellungen auf tieferen Ebenen die Festlegungen, die auf höheren Ebe-nen getroffen worden sind.

b Ergänzend zu diesem Standardmechanismus kann die Vererbung sowohlerzwungen als auch deaktiviert werden.

b Bei Konflikten zwischen Einstellungen, die für Benutzer und Maschinen glei-chermaßen vorgenommen werden können, werden die Benutzereinstellungenverwendet.

b Bei jedem GPO wird analysiert, ob der aktuelle Benutzer und die aktuelleMaschine darauf zugriffsberechtigt sind. Falls keine Zugriffsberechtigung gege-ben ist, wird das GPO nicht angewendet.

Nimmt man diese Mechanismen, dann wird das im ersten Moment verwirrendeKonzept der GPOs eigentlich relativ einfach. Zentrale Mechanismen werden aufEbene von Site und Domäne definiert. Diese werden dann nach unten vererbtund gegebenenfalls durch zusätzliche Einstellungen in GPOs für OUs oder ein-zelne Objekte ergänzt.

Für spezielle Benutzer und Computer können die GPOs entweder durch Zugriffs-rechte oder durch Bildung spezieller organisatorischer Einheiten ausgeschlossenwerden. Dabei muss dann die Vererbung explizit ausgeschlossen werden. Einesolche spezielle OU wird beispielsweise für Domänencontroller gebildet undkann beispielsweise auch für Systemadministratoren geschaffen werden.


Kapitel 266

Abbildung 2.22:Die Group Policy Management Console verein-facht die Ver-waltung von Gruppenricht-linien deutlich

Da das mit der Einfachheit aber doch sehr relativ ist, hat Microsoft beim WindowsServer 2003 zumindest das Management der Gruppenrichtlinien deutlich nachge-bessert. Dort findet sich mit der GPMC (Group Policy Management Console) nunein Werkzeug, mit dem viel einfacher nachzuvollziehen ist, welche GPOs existie-ren und wieder zugeordnet sind. Außerdem lassen sich GPOs kopieren und insge-samt einfacher verwalten.

Zentrale SicherheitskonfigurationDie zentrale Konfiguration von Sicherheitseinstellungen spielt ebenfalls einewichtige Rolle für das zentrale Management von Systemen. Diese Funktionen gibtes seit dem Service Pack 4 für Windows NT 4.0. Sie wurden dann schrittweiseerweitert, wobei das Grundkonzept immer noch gleich ist.

Bei Windows 2000 gibt es nun die Möglichkeit, eine solche Sicherheitskonfigura-tion sowohl mit gesonderten Werkzeugen für die Konfiguration und Analyse derSicherheitseinstellungen zu verwalten und zu überprüfen als auch die Einstellun-gen in die Gruppenrichtlinien zu integrieren. Das erleichtert die Verteilung undführt dazu, dass alle wichtigen Konfigurationseinstellungen für Systeme an einerStelle verwaltet werden können.



Fun

ktio

nsü

ber

bli

ck

AAbbildung 2.23:Mit den Sicher-heitsrichtlinienkönnen zentral

oder lokalSicherheitsein-

stellungen vorge-geben werden

Ähnlich wie bei den Gruppenrichtlinien werden auch hier Einstellungen zentralkonfiguriert. Sie werden in Vorlagen geschrieben, die dann Workstations oderServern zugeordnet werden können. Allerdings sind dabei einige Besonderheitenzu beachten.

Einstellungen können für eine Reihe von Bereichen definiert werden. So lassensich Festlegungen unter anderem für

b Benutzerrechte im lokalen Systemb Zugriffsrechte auf Dateien und Verzeichnisseb Zugriffsrechte für die Registryb Generelle Sicherheitseinstellungen im System

konfigurieren. Unter dem Aspekt der Planung muss bei den Sicherheitsrichtlinieninsbesondere beachtet werden, dass dafür einheitliche Strukturen der Dateisys-teme erforderlich sind, wenn dafür Sicherheitseinstellungen definiert werden sol-len. Auf Basis vorgegebener Vorlagen lassen sich dann relativ einfach solcheRichtlinien erzeugen. Bei der Verwendung sehr restriktiver Richtlinien kann esallerdings auch zu Problemen im Zusammenspiel mit Anwendungen kommen.Daher sind umfassende Tests der definierten Richtlinien erforderlich, bevor sie füralle Clients aktiviert werden.

Auf der anderen Seite sind die Systemrichtlinien der wohl effizienteste Mechanis-mus, um die Handlungsspielräume von Anwendern im lokalen System zubeschränken und damit zu verhindern, dass fehlerhafte Konfigurationen durchge-führt werden, deren Korrektur einen hohen Administrationsaufwand erfordert.


Kapitel 268

Automatisierung von Installationen

Die Verteilung von Software ebenso wie die Aktualisierung von Betriebssystemenist eine der großen Herausforderungen für Administratoren. Früher mussten fürdiese Schritte immer zusätzliche Lösungen verwendet werden. Systemmanage-ment-Software wie der Microsoft Systems Management Server mit einem typi-scherweise relativ hohen Aufwand der Implementierung machen aber wiederumnur für relativ große Umgebungen auch wirklich Sinn.

Seit Windows 2000 sind nun grundlegende Funktionen in diesem Bereich in dasBetriebssystem gewandert. Dazu waren allerdings auch einige Anpassungen amSystem erforderlich:

b Anwendungen müssen die Konfigurationsparameter in die Registry schreiben,damit sie über Erweiterungen zu den Gruppenrichtlinien gesteuert werdenkönnen.

b Installationspakete müssen dem von Microsoft definierten Standard für denWindows Installer entsprechen, also MSI-Pakete sein.

Auch hier hat Microsoft über die Jahre viel Aufklärungsarbeit betrieben. Micro-soft hat den Entwicklern schon frühzeitig auf Konferenzen und über andere Ent-wicklerprogramme umfangreiche Anweisungen für die Anpassung geliefert. DieZielsetzung ist, dass möglichst alle Konfigurationsparameter von Anwendungenauch zentral gesteuert werden können.

Hinzu kommen die Funktionen der Softwareverteilung. Anwendungen, die füralle Benutzer verfügbar sein sollen, können in den Gruppenrichtlinien definiertwerden. Sie werden dann bei der Anmeldung eines Anwenders automatisch ein-gerichtet. Das Setup kann dazu temporär höhere Privilegien erhalten, um dieInstallation auszuführen. Auch die anderen Funktionen – abgesehen von Ände-rungen am Betriebssystem – basieren auf dem Modell, dass die Anwendung aufeinem Server im Netzwerk bereitgehalten werden kann und die Konfigurations-einstellungen durch Richtlinien besser gesteuert werden können.

Mit der auf Richtlinien basierenden Netzwerkinstallation allein ist es aber nichtgetan. Eines der Kernprobleme unter Windows sind heute DLLs. Konflikte zwi-schen DLLs führen häufig dazu, dass Anwendungen oder sogar Windows neuinstalliert werden müssen. Seit Windows 2000 wird hier mit einer neuen Setup-Technologie, bei der unter anderem die Abhängigkeiten von DLLs beim Setupdurch das Betriebssystem gespeichert werden, gearbeitet. Das hat, zusammen mitder Speicherung aller relevanten Systemdateien, dazu geführt, dass die Problemein diesem Bereich doch deutlich geringer geworden sind. Dieses Bereithalten allerwichtigen Dateien auf dem System hat zwar dazu geführt, dass für das Betriebs-system wesentlich mehr Speicherplatz benötigt wird. Dafür sind aber alle wichti-gen Dateien auch jederzeit griffbereit.

Alle für die Softwareinstallation erforderlichen Informationen werden in denGruppenrichtlinien des Active Directory gespeichert. Die Software kann sowohlBenutzern als auch Computern zugeordnet werden. Dabei werden zwei Variantenunterschieden:



Fun

ktio

nsü

ber

bli

ck

Ab Eine Anwendung kann Benutzern oder Computern zugeordnet (assign) wer-

den. In diesem Fall wird die Anwendung für den Benutzer bereitgestellt undkann entweder über das Startmenü oder über ein mit der Anwendung assozi-iertes Dokument (*.XLS) aufgerufen werden. Die Anwendung wird dann aufdem lokalen System installiert.

b Alternativ kann die Anwendung aber auch für Benutzer publiziert (publish)werden. Damit steht sie Benutzern zur Verfügung, wird aber nicht sofort inderen System sichtbar. Erst bei Aufruf einer entsprechenden Datei oder explizi-ter Installation über die Systemsteuerung wird die Anwendung eingerichtet.Alle Informationen zu der Anwendung werden dann im Active Directorybereitgehalten.

Diese Technologien erlauben eine relativ einfache Verteilung von Software. Dasgilt umso mehr, als im Zuge dieser Technologien auch anwendungsspezifischeEinstellungen und die Konfiguration von Anwendungen wesentlich besser vonzentraler Stelle aus gesteuert werden können. Allerdings kommen die Standard-funktionen auch beim Windows Server 2003 hier nicht an das heran, was mit demMicrosoft Systems Management Server oder anderen Anwendungen für das auto-matisierte Deployment von Software geliefert wird.

SicherheitEng verbunden mit dem Active Directory sind die Neuerungen im Bereich vonSicherheit und Administration. Um Windows NT wurde mitunter eine erforder-liche, wenn auch in manchen Bereichen überzogene Sicherheitsdiskussiongeführt. Windows NT hat hier insbesondere bei der Authentifizierung über dasNetzwerk Schwächen, die allerdings seit dem Service Pack 4 schon in beacht-lichem Maße adressiert worden sind.

Seit Windows 2000 geht Microsoft nun allerdings noch ein ganzes Stück weiter.Mit der Verwendung von Kerberos als Standard für die Authentifizierung imNetzwerk werden die Schwächen von Windows NT in diesem Bereich endgültigVergangenheit. Kerberos und seine Implementierung bei Windows Server 2003ist denn auch der erste Bereich in diesem Abschnitt.

In den weiteren Blöcken wird dann zum einen auf die neuen Funktionen für dieSteuerung von Zugriffsrechten im Active Directory und zum anderen auf dieUnterstützung von X.509 als Sicherheitstechnologie eingegangen. In diesemZusammenhang wird auch über die grundlegende Unterstützung so genannterPublic Key-Infrastrukturen (PKI) informiert.

Außerdem wird IPsec als eine zentrale Technologie für die sichere Kommunika-tion in Netzwerken erläutert. IPsec spielt bei Windows 2000 ebenfalls eine zen-trale Rolle insbesondere für die Realisierung virtueller privater Netzwerke(VPNs).


Kapitel 270

AuthentifizierungsverfahrenUm die Sicherheitskonzepte zu verstehen, die ab Windows 2000 implementiertworden sind, ist zunächst ein Blick auf die Funktionen, die Windows NT gebotenhat, sinnvoll. Schon die Verzeichnisdienste von Windows NT mit ihrem ver-gleichsweise einfachen Domänenmodell konnten Sicherheitsdienste anbieten, dievon anderen Anwendungen genutzt werden. Das ist natürlich vor allem fürAnwendungsserver interessant. Nur die wenigsten dieser Systeme haben das aberunterstützt. Zu den wenigen Ausnahmen gehörten der Exchange Server und derSQL Server von Microsoft.

Dafür, dass diese Integration nicht verstärkt durchgeführt wurde, gab es mehrereGründe. Ein Grund liegt darin, dass das Domänenmodell von Windows NT dazuführt, dass es unterschiedliche Benutzerkontendatenbanken gibt. Wenn einAnwendungsserver aber beispielsweise mit komplexeren Hierarchien als denender Windows NT-Domänen arbeitete, waren der Integration Grenzen gesetzt. Mitden transitiven Vertrauensstellungen im Active Directory hat sich das ab Win-dows 2000 geändert. Auf dieser Basis ist die Realisierung einer integriertenSicherheit sehr viel einfacher.

Der zweite wichtige Grund ist der Implementierungsaufwand. Windows NT arbei-tete ausschließlich mit dem NTLM-Verfahren, das zwar auch eine gewisse Akzep-tanz gewonnen hatte, aber letztlich doch proprietär für das Windows-Umfeld ist.Ab Windows 2000 wird dagegen Kerberos als Standard-Protokoll für die Authen-tifizierung verwendet. Für Hersteller, die Produkte für mehrere Betriebssystemeanbieten, vereinfacht dieses Standard-Protokoll die Portierung wesentlich. DennKerberos ist auch im Unix-Bereich verfügbar.

Ein weiteres Problem ist, dass zwar Kerberos, nicht aber das frühere NTLM, dieDelegation unterstützt. Bei der Delegation kann ein Prozess auf einem Server denClient darstellen (Impersonation) und für diesen alle erforderlichen Schritte fürden Zugriff auf weitere Server übernehmen. Im Konzept von Kerberos wird dabeiein Sitzungsticket angefordert. So kann der Client beispielsweise ein Ticket fürden Zugriff auf Internetinformationsdienste anfordern. Wenn diese dann auf eineDatenbank zugreifen müssen, fordern sie für den Client das Ticket für den perso-nalisierten Datenbankzugriff an. Der Serverprozess handelt also für den Clientund übernimmt seine Rolle, um die Authentifizierung bei anderen Dienstendurchzuführen. Dieses Konzept wird von NTLM nicht unterstützt.

Der wohl größte Hinderungsgrund für eine enge Integration der Sicherheit vonAnwendungsservern mit denen der Betriebssysteme dürfte aber auch heute nochdarin liegen, dass die Anbieter sich damit schwer tun, weil sie die – oft wenigüberzeugenden – Sicherheitskonzepte ihrer Anwendungen dann überarbeitenmüssten. Denn selbst heute gibt es noch erschreckend wenige Anwendungen fürden Windows 2000 Server oder den Windows Server 2003, die über Kerberosarbeiten und deren Authentifizierungs- und andere Sicherheitsmechanismenwirklich eng mit dem Betriebssystem integriert sind.



Fun

ktio

nsü

ber

bli

ck

AAbbildung 2.24:

Bei Kerberoskönnen Client-

Funktionendelegiert werden.

Der Anreiz, die Sicherheitsfunktionen eines Anwendungsservers mit denen vonWindows-Servern zu integrieren, wird durch Kerberos wesentlich größer. Darüberhinaus können ab Windows 2000 über die offene Schnittstelle SSPI (SecuritySupport Provider Interface) auch andere Authentifizierungsprotokolle wie X.509oder eben NTLM eingesetzt werden, was für die Portierung im Einzelfall ebenfallsinteressant sein kann.

SSPI ist auch die Basis dafür, dass eine Authentifizierung zum Beispiel von Inter-net-Clients über den Secure Sockets Layer (SSL) erfolgen kann. Ein anderes Bei-spiel ist die Unterstützung von DPA (Distributed Password Authentication),einem Mechanismus, der zum Beispiel von Internet-Providern wie MSN verwen-det wird. Durch SSPI werden die Dienste und Applikationsprotokolle für die Cli-ent/Server-Kommunikation voneinander getrennt.

Abbildung 2.25:SSPI trennt

Anwendungs-von Sicherheits-protokollen und

schafft mehrFlexibilität beider Authentifi-

zierung.

NTLM

Um die Veränderungen zu verstehen, ist zunächst ein Blick auf NTLM (WindowsNT/LAN Manager-Authentifizierung) und die Prozesse, die bei der Authentifizie-rung eines Clients beim Zugriff auf das lokale System bzw. über das Netzwerkablaufen, erforderlich. Dieses Protokoll wird beim Windows Server 2003 auchweiterhin unterstützt, allerdings nur genutzt, wenn Kerberos – beispielsweise weilmit älteren Clients gearbeitet wird – nicht verwendet werden kann.


Kapitel 272

Wenn Windows NT gestartet wird, wird das Sicherheits-Subsystem von WindowsNT ausgeführt. Durch Drücken von STRG+ALT+ENTF kann das Anmeldedialogfeldaufgerufen werden, das von Microsoft als GINA (Graphical identification andauthentication component) bezeichnet wird. Die dort eingegebenen Informatio-nen über

b Benutzernameb Kennwortb Anmeldedomäne

werden an die LSA (Local Security Authority) gesendet. Diese leitet sie an eine alsMSV1_0 bezeichnete Komponente weiter, in der das AuthentifizierungsprotokollNTLM implementiert ist.

Abbildung 2.26:Der Ablauf der Authentifizie-rung über NTLM lokal und im Netzwerk

Diese überprüft nun zunächst, ob es sich um eine Anmeldung handelt, die lokaloder durch einen Domänencontroller (DC) bearbeitet werden muss. Im Falleeiner lokalen Anmeldung erfolgt ein Zugriff mit Hilfe des Security Account Mana-ger (SAM) auf die lokale Benutzerkontendatenbank.

Als Ergebnis wird ein Access Token generiert, das von der LSA an das Sicher-heits-Subsystem zurückgegeben wird. Dieses startet dann das Win32-Subsystem.Von diesem wird dann die Shell gestartet. Im Kontext dieses Prozesses wird danndie Benutzerumgebung wieder hergestellt.

Bei einer Anmeldung am Netzwerk ergibt sich ein etwas anderes Bild. In diesemFall erkennt die LSA, dass es sich um einen anderen DC handelt und baut mitHilfe eines RPC einen sicheren Kommunikationskanal auf, über den die Authen-tifizierung beim Server erfolgt. Der sichere Kommunikationskanal wird aufgebaut,indem alle Pakete mit einem für diese Sitzung eindeutigen Schlüssel verschlüsseltwerden.

Die nachfolgend am Beispiel von Windows NT beschriebene Vorgehensweise ent-spricht im Kern der bei anderen Windows-Versionen, nur dass anstelle der Kom-ponente MSV1_0 dann eben das für die Kerberos-Authentifizierung erforderlicheModul geladen wird.

HINWEIS

- -



Fun

ktio

nsü

ber

bli

ck

ADazu sendet zunächst der Client Domäne, Benutzernamen und Maschinennamenüber das Netzwerk. Auf dieser Basis generiert der Server eine Herausforderung,die Challenge. Diese wird zurück an den Client übermittelt. Der Client verschlüs-selt diese Challenge mit seinem Kennwort und gibt sie, die Response, zurück anden Server. Auf Basis der Rückmeldung kann der Server das Kennwort übermit-teln und überprüfen. Das Kennwort selbst wird also nicht übermittelt.

Dieser Mechanismus wurde für die Authentifizierung von Clients in geschlosse-nen Netzwerken entwickelt. Dabei wurde von einem System ausgegangen, demvertraut werden kann. Das Problem dabei ist, dass heute eben nicht mehr nurüber sichere Netzwerke kommuniziert wird. Das beste Beispiel ist das Internet.

Da nun aber der Weg, in dem NTLM die Challenge erstellt und diese mit Kenn-wort verschlüsselt wird, bekannt ist, besteht potenziell die Gefahr eines Angriffsauf Basis einer Liste potenzieller Responses. Ein Angreifer kann dafür den glei-chen Weg wie Windows NT wählen: Er verwendet die Challenge und verschlüs-selt diese mit Kennwörtern. Die resultierende Bytefolge kann dann mit der abge-fangenen Response verglichen werden. Wenn mit schwachen Kennwörterngearbeitet wird, ist der Überprüfungsaufwand überschaubar. Schwache Kennwör-ter sind solche, die sich leicht erschließen lassen – zum Beispiel das KennwortMartinK für den Benutzer MartinK.

Wenn dagegen mit starken Kennwörtern gearbeitet wird, die sowohl Buchstabenals auch Ziffern und vielleicht sogar noch Sonderzeichen verwenden müssen undbei denen darüber hinaus auch noch sichergestellt ist, dass sie sich vom Benutzer-namen unterscheiden, wird der Aufwand zu groß.

Kerberos

Die generellen Probleme von NTLM werden bei Kerberos gelöst. Kerberos 5.0 istder Standard für die Authentifizierung ab Windows 2000, also auch bei WindowsXP und beim Windows Server 2003. Ältere Versionen des Protokolls werden nichtimplementiert. Microsoft begründet das mit den Schwächen früherer Kerberos-Versionen und damit, dass es sicherlich keinen Sinn macht, solche Schwächenheute noch zu implementieren.

WICHTIG Microsoft hat mit dem Service Pack 4 für Windows NT 4.0 eine neue Version vonNTLM eingeführt, die als NTLMv2 bezeichnet wird. Diese verbessert die Sicher-heit von NTLM signifikant. Sie kann allerdings nur zwischen Systemen mit die-sem Service Pack verwendet werden. Allerdings werden einige grundsätzlicheNachteile wie der relativ hohe Aufwand für die Kommunikation und die fehlendeImpersonisation auch durch dieses Release nicht adressiert.

NTLMv2 macht Kerberos nicht überflüssig, sondern war nur ein Zwischenschritt,um in bestehenden Windows NT-Umgebungen und anderen Systemen, die mitNTLM arbeiten, ein Optimum an Sicherheit bei der Kommunikation im Netz-werk zu bieten.


Kapitel 274

Abbildung 2.27:Die Authenti-fizierung bei Kerberos

Bei Verwendung von Kerberos wird der Abstimmungsprozess deutlich vereinfachtund ebenfalls sichergestellt, dass keine Kennwörter im Klartext über das Netz-werk gesendet werden. Genaugenommen werden überhaupt keine Kennwörterüber das Netzwerk gesendet. Das Konzept der Verschlüsselung von Informatio-nen ist aber komplexer, weil diese variable Informationen enthalten, und damitsicherer.

Im ersten Schritt wird ein Ticket Granting Ticket (TGT) angefordert. Im Gegen-satz zum Hin und Her des Challenge/Response-Verfahrens von NTLM erfordertdies nur eine einmalige Kommunikation zwischen Client und Server. Das hat einesehr viel schnellere Authentifizierung und eine wesentlich bessere Skalierbarkeitder Anmeldeserver zur Folge. Zudem erfolgt nicht nur eine Authentifizierung desClients, sondern auch des Servers – ein Konzept, das sich bei NTLM ebenfallsnicht findet.

Mit dem TGT, das von der LSA im lokalen Cache gespeichert wird, können dannweitere Tickets angefordert werden. Eine weitere Authentifizierung des Clientsbeim Key Distribution Center ist nicht erforderlich. Dem TGT wird vertraut.

Letztlich bietet Kerberos damit eine ganze Reihe an Vorteilen gegenüber demNTLM. NTLM wird bei Windows 2000 vor allem aus Kompatibilitätsgründenunterstützt, da es für gemischte Umgebungen auch weiterhin erforderlich ist.Standard wird aber Kerberos werden. Damit ist nicht nur eine schnellere und

Kerberos wird allerdings nicht in allen Konstellationen verwendet. Um Kerberosanstelle von NTLM einsetzen zu können, muss es ein KDC – der Begriff wird wei-ter unten erläutert – geben. Dieses wird mit dem Active Directory eingerichtet.Folgerichtig kann Kerberos nicht genutzt werden, wenn es kein Active Directorygibt. Theoretisch können auch andere Kerberos-Implementierungen verwendetwerden, wobei dabei einige Aspekte bezüglich der Interoperabilität zu beachtensind. Wenn Sie also von einem Windows XP-System auf ein anderes Windows XP-System zugreifen, wird mit NTLM gearbeitet. Beim Zugriff auf einen Domänen-controller im Active Directory wird hingegen Kerberos genutzt. Auf der Client-und Server-Seite ist die Minimalvoraussetzung für die Nutzung von Kerberosjeweils Windows 2000.

HINWEIS



Fun

ktio

nsü

ber

bli

ck

Asicherere Authentifizierung, sondern darüber hinaus auch eine Interoperabilitätüber Plattformgrenzen hinweg möglich. Microsoft arbeitet heute im Labor bereitsin gemischten Windows NT-Unix-Umgebungen mit Kerberos.

Kerberos wird aber das grundsätzliche Sicherheitskonzept von Windows NTnicht verändern. Für den Zugriff wird weiterhin mit der LSA gearbeitet. Kerberosist hier nur ein alternatives Authentifizierungspaket.

Vor allem der Schritt hin zu Kerberos und die Implementierung des SSPI ist esalso, der die Sicherheitskonzepte von Windows 2000 prägt. Microsoft wird in derKonsequenz auch Systemkomponenten wie den Redirector und Server so weiter-entwickeln, dass diese nicht mehr direkt auf NTLM, sondern auf SSPI aufsetzenund damit bei Windows 2000 als Standard Kerberos verwenden können. BackOf-fice-Produkte wie der Exchange Server, der SQL Server und der SNA Server sol-len später ebenfalls auf SSPI aufsetzen und damit Kerberos verwenden können.

Die Steuerung von ZugriffsrechtenEine der wichtigsten Implikationen des Active Directory ist der veränderteUmgang mit Zugriffsberechtigungen. Während Kerberos als Mechanismus ebensowie die transitiven Vertrauensstellungen weitgehend transparent für Benutzer undAdministratoren ist, muss die Delegation von Berechtigungen ebenso konfiguriertwerden wie die Berechtigungen im Active Directory.

Abbildung 2.28:Die DelegationadministrativerBerechtigungen

wird durch einenAssistentenunterstützt.

Die Delegation administrativer Berechtigungen wird dabei durch einen Assisten-ten unterstützt. Dabei kann sowohl die Verwaltung des gesamten Containers –also einer organisatorischen Einheit – als auch die Administration ausgewählterObjekte in diesem Container delegiert werden. Die Delegation kann dabei bis aufdie Eigenschaften ausgewählter Attribute hinunter delegiert werden. Hier kannalso beispielsweise delegiert werden, dass bestimmte Benutzergruppen nur dieKennwörter anderer Benutzer zurücksetzen dürfen, ohne weitere Änderungenvornehmen zu können.


Kapitel 276

Die Festlegungen für Objekte im Active Directory können in sehr differenzierterForm erfolgen. Auch hier gilt wieder, dass Berechtigungen bis auf die Ebene ein-zelner Attribute hinunter definiert werden können.

Auch für Dateien und Verzeichnisse gibt es nun umfassendere Berechtigungen. Sokann beispielsweise auch die Berechtigung zum Verwalten erweiterter Attributeim NTFS gesetzt werden, was bisher nicht möglich war.

X.509 und Public Key-InfrastrukturenDas Internet hat vielen Technologien, die es schon seit geraumer Zeit gibt, zumDurchbruch verholfen. Ein Beispiel dafür sind Public Key-Technologien. Mit demStandard X.509 für digitale Zertifikate hat sich ein Mechanismus etabliert, überden beispielsweise die Authentifizierung von Benutzern an Diensten erfolgenkann.

Der Windows Server 2003 unterstützt diese Mechanismen ebenso wie sie schonbei Windows 2000 zu finden waren und kann als Basis einer so genannten PKI(Public Key Infrastructure) dienen. Damit wird ein Mechanismus bezeichnet, indem es eine zentrale Verwaltung und Ausgabe von digitalen Zertifikaten gibt.

Der Sinn digitaler Zertifikate

Grundsätzlich lassen sich zwei Ansätze für die Verschlüsselung und Decodierungvon Informationen unterscheiden. Der klassische Ansatz arbeitet mit einem priva-ten Schlüssel, der für Codierung und Decodierung verwendet wird.

Der andere Ansatz, der sich mittlerweile etabliert hat, arbeitet mit einem Schlüs-selpaar, das aus einem privaten und einem öffentlichen Schlüssel besteht. Deröffentliche Schlüssel kann frei herausgegeben werden, während der privateSchlüssel geheim bleiben muss.

Die wesentliche Konsequenz daraus ist, dass damit völlig neue administrativeKonzepte geschaffen werden können. Bei Windows NT 4.0 war eine Delegationadministrativer Berechtigungen nur auf der Ebene von Domänen realisierbar.Zudem sind die Zugriffsrechte im System, die über den Benutzermanager fürDomänen konfiguriert werden, nicht besonders differenziert. Viele Berechtigun-gen hängen an vordefinierten Benutzergruppen und können nicht explizit konfi-guriert werden.

Ab Windows 2000 und mit dem Active Directory lassen sich Konzepte umsetzen,bei denen es Administrationsgruppen mit unterschiedlichen Berechtigungen gibt.Diese können über die OUs sehr gezielt festgelegt werden. Insbesondere lassensich bestimmte Berechtigungen wie das Zurücksetzen von Kennwörtern aberauch an normale Benutzer delegieren oder Operatoren-Gruppen bilden, die keineadministrativen Berechtigungen haben, aber dennoch bestimmte Aufgaben wiedas Hinzufügen neuer Systeme zu einer Domäne durchführen können.

In der Konsequenz bedeutet das allerdings auch, dass die Planung von OUs sehreng mit den Administrationskonzepten verbunden ist. Wenn administrativeBerechtigungen für Gruppen von Benutzern oder Computern gezielt delegiertwerden sollen, müssen diese auch in entsprechenden OUs zusammengefasst sein.

WICHTIG



Fun

ktio

nsü

ber

bli

ck

ADer Vorteil des zweiten Ansatzes ist offensichtlich: Wenn eine Information von Aan B gesendet wird, kann A diese mit dem öffentlichen Schlüssel von B codierenund B sie mit seinem privaten Schlüssel decodieren. Der private Schlüssel mussalso nicht erst auf einem sicheren Weg zu A gebracht werden.

Denn genau darin liegt die große Schwierigkeit von Verfahren, die nur mit einemprivaten Schlüssel arbeiten: Der private Schlüssel muss in sicherer Weise zurGegenstelle gebracht werden. Das beschränkt auch die Zahl der potenziellenGegenstellen ganz erheblich, da natürlich nur wenige diesen Schlüssel kennensollten. Das klassische Bild für den Transport solcher Schlüssel ist der Diplomatmit dem verschlossenen, ans Handgelenk geketteten Köfferchen, der einenSchlüssel zur Gegenstelle transportiert.

Jeder, der Zugang zu diesem privaten Schlüssel hat, kann damit auch alle mit die-sem Schlüssel codierten Informationen entziffern. Sie sind für Einsatzbereichemit einer größeren Zahl von Kommunikationspartnern aus mehreren Gründenungeeignet:

b Das Risiko wächst mit jedem Partner, der im Besitz des Schlüssels ist.b Der Transport der Schlüssel zu den verschiedenen Kommunikationspartnern

ist aufwändig. Bei einer größeren Zahl von Kommunikationspartnern ist ernicht mehr effizient zu bewältigen.

Dass ein solches Verfahren für das Internet vollkommen ausgeschlossen ist, istoffensichtlich. Zumindest für den Austausch von privaten Schlüsseln werdendaher Verfahren eingesetzt, die einen öffentlichen Schlüssel verwenden. Denndamit kann sich bereits ein sicherer Weg eröffnen, um den privaten Schlüssel füreine Sitzung zur Gegenstelle zu transportieren. Die Basis für die gängigen Ansätzezur Verschlüsselung im Internet sind aber Technologien, die öffentliche Schlüsselverwenden.

Das public key-Verfahren, also die Verwendung öffentlicher Schlüssel, wurde erst1976 (!) entwickelt. Die Grundlagen stammen von Whitfield Diffie und MartinHellman, die das Verfahren entworfen haben, um eben die inhärenten Problemeder auf privaten Schlüsseln aufbauenden Verfahren zu umgehen.

Im Grundmodell erhält jede Person ein Paar von Schlüsseln. Einer dieser Schlüs-sel wird als privater Schlüssel, der andere als öffentlicher Schlüssel bezeichnet.Der erste wird geheim gehalten, während der andere bekannt gegeben werdenkann. Damit entfällt die Notwendigkeit für die Kommunikationspartner, einengemeinsamen privaten Schlüssel zu kennen. Jeder kennt nur den öffentlichenSchlüssel des Kommunikationspartners, während der private Schlüssel nieman-dem zugänglich sein sollte.

Abbildung 2.29:Die Verwendungvon öffentlichen

Schlüsseln fürdie Codierung

von Nachrichten

Sender Empfängerprivat privat

Mail

Sender

Empfänger

Empfänger

Sender

öffent-lich

öffent-lich


Kapitel 278

Damit eröffnen sich drei Einsatzbereiche:

b Der erste, in Abbildung 2.29 dargestellte Einsatzbereich ist die Verschlüsselungvon Informationen bei der Übertragung zwischen Sender und Empfänger.Dazu verwendet der Sender den öffentlichen Schlüssel des Empfängers, den erja kennen darf. Diese Information kann vom Empfänger nur mit Hilfe seinesprivaten Schlüssels decodiert werden. Ein anderer als der vorgesehene Emp-fänger ist also nicht in der Lage, diese Nachricht zu lesen.

b Der zweite Einsatzbereich ist die digitale Unterschrift. Um eine Nachricht zuunterschreiben und gleichzeitig die Richtigkeit dieser Nachricht sicherzustel-len, werden Informationen aus der Nachricht mit dem privaten Schlüssel desSenders codiert. Diese Information kann mit dem öffentlichen Schlüssel desSenders decodiert werden. Dabei fließen wiederum Informationen aus derNachricht ein. Wenn sich diese Information verifizieren lässt, ist sichergestellt,dass die Nachricht unverändert ist und dass sie vom richtigen Absenderstammt. Die Richtigkeit der Nachricht wird durch die in die Berechnung einge-flossenen Informationen aus der Nachricht belegt, während der Sender durchdie Verwendung des nur mit seinem öffentlichen Schlüssel decodierbaren pri-vaten Schlüssels nachgewiesen wird. Der private Schlüssel als solcher wirdaber natürlich nicht sichtbar.

b Ähnlich wie bei der digitalen Unterschrift kann auch die Unverfälschtheit vonInformationen mit Hilfe von Publiy Key-Verfahren sichergestellt werden. Dazuwird nicht die gesamte Information verschlüsselt, sondern ein so genannterHash dieser Information gebildet. Ein Hash ist ein eindeutiges, irreversiblesAbbild. Dazu wird eine mathematische Ein-Weg-Funktion verwendet, die sichnicht umkehren lässt. Der Hash wird dann verschlüsselt und mitsamt derunverschlüsselten Information an den Empfänger gesendet. Dieser erzeugt aufBasis der Information den Hash neu und vergleicht ihn mit dem decodiertenHash, den er vom Sender erhalten hat. Der Vorteil dieses Verfahrens im Ver-gleich mit der vollständigen Verschlüsselung ist, dass sie weniger Rechenleis-tung bei großen Informationen erfordern kann.

Abbildung 2.30:Die Verwendung öffentlicher Schlüssel für die Signatur von Nachrichten

Der Einsatz öffentlicher Schlüssel hat einige offensichtliche Vorteile. Der ersteliegt in der einfachen Nutzung. Der Aufwand für die Verteilung privater Schlüsselentfällt. Diese sind nur noch einer Stelle bekannt und müssen nicht übertragenwerden.

Der zweite wichtige Vorteil ist, dass mit dem Konzept öffentlicher Schlüssel nichtnur die Verschlüsselung, sondern auch die Signatur und die Non-Repudation –also die Unverfälschtheit – unterstützt werden. Das ist bei Systemen, die auf nureinem privaten Schlüssel basieren, schlicht nicht möglich. Da beide Seiten den

Sender Empfängerprivat privatSignaturSender

Empfänger

Empfänger

Sender

öffent-lich

öffent-lich



Fun

ktio

nsü

ber

bli

ck

Agleichen privaten Schlüssel verwenden, muss darauf vertraut werden, dass ihnauch beide Seiten zu Recht verwenden.

So reizvoll die Verwendung öffentlicher Schlüssel auf den ersten Blick ist, weistsie doch auch einige Nachteile auf. Der erste Nachteil ist die Geschwindigkeit.Gängige Methoden, die auf privaten Schlüsseln aufsetzen, sind wesentlich schnel-ler als die besten Algorithmen für öffentliche Schlüssel. Hintergrund sind die rela-tiv komplexen mathematischen Konzepte, die für öffentliche Schlüssel verwendetwerden.

Die ideale Kombination, wenn Schnelligkeit und Sicherheit kombiniert werdensollen, ist die Kombination der Verfahren. Dafür gibt es zwei Ansätze:

b Zu Beginn der Kommunikation werden die privaten Schlüssel für die Sitzungübertragen, die wiederum mit einem öffentlichen Schlüssel codiert werden.Damit ist ein Mechanismus für den sicheren Austausch der Schlüssel gegeben.Die weitere Kommunikation wird dann über die privaten Schlüssel abgewickelt.

b Die öffentlichen Schlüssel werden auch beim zweiten Ansatz eingesetzt, umden privaten Schlüssel zu codieren. Dieser wird aber mit der Informationdirekt geliefert. Während mit dem öffentlichen Schlüssel nur der relativ kurzeprivate Schlüssel für die Kommunikation codiert wird, ist der Rest der Informa-tion bereits mit dem privaten Schlüssel codiert. Ein solches Protokoll wird alsdigitaler Umschlag bezeichnet.

Die Verfahren sind sich relativ ähnlich und unterscheiden sich nur in der Lebens-dauer des privaten Schlüssels. Windows NT setzt das erste der beiden Verfahrenbeispielsweise im Rahmen der Authentifizierung ein.

Das Risiko von Angriffen gegen zentrale Stellen ist dagegen bei beiden Ansätzenvergleichbar. Sobald zentrale Systeme wie bei Kerberos oder bei öffentlichenSchlüsseln mit Zertifizierungsautoritäten (CA, Certification Authority) verwendetwerden, ist klar, dass ein erfolgreicher Angriff gegen diese zentrale Stelle das kom-plette System unsicher macht. Bei Kerberos, das auch die Basis für die Authentifi-zierung ab Windows 2000 darstellt, sind in dieser Datenbank alle privaten Schlüs-sel aller Benutzer gespeichert. Bei einer CA hingegen kann sich der Angreifer jedebeliebige Identität verschaffen, indem er für sich selbst »zertifizierte« Schlüssel-paare ausstellt.

Schließlich gibt es auch noch Situationen, in denen der Einsatz von öffentlichenSchlüsseln nicht erforderlich ist. Wenn mit einem zentralen System gearbeitetwerden kann, das ohnehin alle privaten Schlüssel kennt, wie es beispielsweise beivielen Bankenanwendungen oder eben bei Kerberos der Fall ist, kann beispiels-weise ein persönliches Kennwort oder eine Codenummer als der private, hoffent-lich auch geheime Schlüssel verwendet werden. Die Verwendung von Systemenmit privaten und öffentlichen Schlüsseln ergänzt sich und stellt keinen Wider-spruch dar.

Schlüsselmanagement und digitale Zertifikate

Auch wenn das Konzept der öffentlichen Schlüssel auf den ersten Blick sehrattraktiv erscheint, weist es doch einige Schwierigkeiten auf. Eine Schwierigkeitliegt darin, dass ein Anwender nicht sicher wissen kann, ob der öffentlicheSchlüssel eines potenziellen Empfängers tatsächlich zu diesem gehört.


Kapitel 280

Eine simple Lösung ist, der Quelle des öffentlichen Schlüssels zu vertrauen. Die-ses Konzept wird bei Pretty Good Privacy (PGP), einem Verschlüsselungsstan-dard für E-Mail, verwendet. Das Problem liegt hier weniger in der Verschlüsse-lung als vielmehr in der Signatur. Jemand, der eine Signatur fälscht, kannnatürlich auch einen falschen öffentlichen Schlüssel zu dieser Signatur angeben.

Der Trend geht aber in Richtung digitaler Zertifikate. Ein digitales Zertifikat istein Dokument, das attestiert, dass ein bestimmter öffentlicher Schlüssel zu einerbestimmten Person oder Organisation gehört. Der Standard für digitale Zertifi-kate ist die von der ITU definierte Norm X.509.

Abbildung 2.31:Das Konzept der digitalen Zertifi-kate

Mit der Nachricht werden ein oder mehrere Zertifikate gesendet. Diese enthaltendie öffentlichen Schlüssel. Diese Zertifikate sind mit dem privaten Schlüssel derCA verschlüsselt. Sie können also nur mit dem öffentlichen Schlüssel der CAgelesen werden. Damit wird sichergestellt, dass sie tatsächlich von der CA stam-men.

Der öffentliche Schlüssel der CA ist auf den Clients in aller Regel vorinstalliert.Sie können das beispielsweise beim Microsoft Internet Explorer in Ansicht Opti-onen und dort im Register Sicherheit überprüfen. Bei den Server-Zertifikaten fin-den Sie hier eine Liste der Autoritäten, die akzeptiert werden.

Besonders deutlich wurde diese Vorgehensweise beim Internet Explorer, als Mitte1997 ein Sicherheits-Update erforderlich wurde. Digitale Zertifikate haben nureine begrenzte Gültigkeit. Diese sollte nicht zu lange sein, damit es rechnerischnicht möglich ist, den öffentlichen Schlüssel der Zertifizierungsautoritäten zuknacken. Dementsprechend müssen die Zertifikate und damit auch die öffentli-chen Schlüssel der CA von Zeit zu Zeit erneuert werden. Das erfolgt in den meis-ten Fällen mit einem Release-Wechsel der Software, macht aber – wie beim Inter-net Explorer – dann und wann auch ein spezielles Update erforderlich. Durch diestärkeren Verschlüsselungsverfahren, die heute im Export zulässig sind, hat sichallerdings auch die normale Lebensdauer solcher Zertifikate von früher typischer-weise nur vier Jahren auf zwanzig bis dreißig Jahre erhöht, sodass die Aktualisie-rungsprobleme an Bedeutung verloren haben.

Die beim Internet Explorer verwendeten digitalen Zertifikate haben übrigens eineetwas andere Aufgabe als die, die oben am Beispiel der E-Mail beschriebenwurde:

b Der wahrscheinlich wichtigste Einsatzbereich ist die Überprüfung von Zertifi-katen, mit denen die Echtheit von ActiveX-Controls, die aus dem Internet gela-den werden, bestätigt werden.

Server Client

Public Key der CA Zertifikat

Übermittlung undDecodierung



Fun

ktio

nsü

ber

bli

ck

Ab Ein zweiter Bereich sind die Secure Sockets Layer und hier insbesondere die

Server-Zertifikate. SSL wird für die sichere und verschlüsselte Kommunikationzwischen Clients und Servern im Internet eingesetzt und basiert ebenfalls aufX.509-Zertifikaten.

Bei Servern im Internet werden dabei digitale Zertifikate von öffentlichen Stellenverwendet. Die meisten Zertifizierungen werden von VeriSign, Inc. (http://www.verisign.com) durchgeführt. Für einen Server ebenso wie für ActiveX-Cont-rols kann dort ein digitales Zertifikat beantragt werden. Dazu wird zunächst einSchlüsselpaar generiert. Auf der Basis dieses Schlüsselpaars wird dann ein digita-les Zertifikat erzeugt, das auf dem Server installiert werden kann.

Digitale Zertifikate können auch über mehrere hierarchische Ebenen hinweg ver-geben werden. In diesem Fall handelt es sich um digitale Zertifikate, die den Ser-ver und untergeordnete CAs unterhalb der Root-CA, der höchsten Ebene vonCAs, zertifizieren. Die Zertifizierung einer CA durch eine andere, beim Clientbekannte CA, wird anerkannt. Allerdings kann der Benutzer beispielsweise beimInternet Explorer entscheiden, ob er diese von untergeordneten CAs erzeugtendigitalen Zertifikate akzeptieren möchte.

Im internen Gebrauch können auch eigene CAs verwendet werden. So wurde bei-spielsweise schon beim Internet Information Server 4.0 von Microsoft ein Certifi-cate Server mitgeliefert, der als lokale CA eingesetzt werden kann. Dieser Serverkann dann digitale Zertifikate ausstellen. Dadurch können sowohl Server alsauch Clients zertifiziert werden. Ab Windows 2000 wurde die CA dann insBetriebssystem integriert, sodass sich auf Basis von Windows 2000 Server undWindows Server 2003 relativ leicht PKIs (Public Key Infrastructures) aufbauenlassen.

X.509 hat sich mittlerweile als der Standard für digitale Zertifikate etabliert. Erwird von allen gängigen Browsern, Internet-Servern und auch von den verschie-denen Sicherheitsprotokollen, die sich im Internet und Intranet etabliert haben,genutzt. Sichere E-Mail ebenso wie SSL und andere Technologien setzen auf die-ser Variante von digitalen Zertifikaten auf.

Die Anwendung bei Windows-Servern

Genau hier setzen nun die Windows Server ab Windows 2000 an. Digitale Zertifi-kate und PKI-Konzepte im Allgemeinen sind für eine Reihe von Komponentenvon Bedeutung:

b Outlook Express unterstützt diese Technologie im Bereich von E-Mail-Kom-munikation.

b Der Internet Explorer verwendet diese Technologie für den sicheren Zugriff aufWebsites.

b Der Internet Information Server verwendet sie im gleichen Zusammenhang.X.509 ist eine wesentliche Basis für SSL v3.

b IPsec kann mit digitalen Zertifikaten arbeiten, um die für die Verschlüsselungder Kommunikation erforderlichen symmetrischen Schlüssel in sicherer Weiseüber das Netzwerk zu übertragen.

b Im Zusammenhang mit Smartcards können digitale Zertifikate auch für dieAuthentifizierung am Netzwerk verwendet werden.


Kapitel 282

Das bedeutet aber auch, dass der Windows Server 2003 eine entsprechende Infra-struktur für den Umgang mit solchen digitalen Zertifikaten bereitstellen muss. DieBasis dafür wird von den Microsoft Certificate Services, den Zertifikatsdiensten,gebildet.

Abbildung 2.32:Die Komponen-ten der PKI von Windows Server 2003

Die Abbildung 2.32 macht schon deutlich, dass die PKI bei Windows Server 2003keinen Ersatz für andere Mechanismen wie Kerberos darstellt, sondern mit diesenintegriert ist. So wird beispielsweise die Verteilung von Zertifikaten über dasActive Directory durchgeführt. Auch die Steuerung, wer in welcher Form mit wel-chen Zertifikaten arbeitet, ist mit dem Active Directory integriert. Dabei werdeninsbesondere die Gruppenrichtlinien verwendet. Der Vorteil ist, dass sowohl dieVerteilung als auch die Erneuerung von Client-Zertifikaten – deren Gültigkeitauch weiterhin in der Regel nur ein bis zwei Jahre beträgt – weitgehend automati-siert werden können.

Abbildung 2.33:Digitale Zertifi-kate werden auf Konten des Active Directory abgebildet

Auch bei der Authentifizierung zeigt sich diese Integration sehr deutlich. BeiZugriffen auf Windows-Server und deren Dienste erfolgt die eigentliche Authenti-fizierung auch weiterhin auf Basis der Benutzerkonten im Active Directory. Dergrundlegende Unterschied ist nur, dass digitale Zertifikate auf solche Kontenabgebildet werden können. Erforderlich ist aber immer ein lokal definierterBenutzer.

Da die Bedeutung von PKI-Diensten in den nächsten Jahren noch deutlichzunehmen wird, ist eine entsprechende Planung dieser Funktionen unumgäng-lich. Das gilt umso mehr, als die Einrichtung einer PKI für die meisten Unterneh-men heute noch Neuland darstellt. Gleichzeitig ist sie relativ komplex, wenn digi-tale Zertifikate in sicherer Weise verteilt werden sollen.

IPsec

Eines der größten Probleme in Netzwerken ist die sichere Kommunikation. Wäh-rend der Zugang zu Serversystemen und zu Workstations über Kennwörter



Fun

ktio

nsü

ber

bli

ck

Ageschützt ist, laufen Informationen typischerweise unverschlüsselt über das Netz-werk. Dieses Problem wird insbesondere im Internet mit verschiedenen Ansätzenadressiert.

So gibt es beispielsweise S/MIME und PGP für die sichere, verschlüsselte Über-tragung von E-Mail. Es gibt SSL für sichere und verschlüsselte Zugriffe auf Web-server. Aber allen diesen Mechanismen ist eines gemein: Sie sind auf einebestimmte Anwendung spezialisiert.

IPsec ist dagegen ein von der IETF (Internet Engineering Task Force) definierter,offener Standard, mit dem die Daten auf der Ebene des IP-Protokolls verschlüs-selt werden. Das ist für alle darüber liegenden Kommunikationsprotokolle wieSMTP, HTTP und so weiter transparent. Die Anwendungen merken also nichtsvon der Verschlüsselung.

Abbildung 2.34:Das Konzept

von IPsec

Die eigentliche Verschlüsselung bei IPsec erfolgt mit einem symmetrischen Ver-fahren, bei dem ein privater Schlüssel ausgetauscht werden muss. Solche Verfah-ren sind schneller als Public Key-Verfahren. Um den privaten Schlüssel zwischenSender und Empfänger auszutauschen, verwendet der Windows Server 2003 denISAKMP/Oakley-Dienst, der heute auch als IKMP (Internet Key ManagementProtocol) bekannt ist.

ISAKMP, das Internet Security Association and Key Management Protocol,wurde federführend von Cisco definiert und legt fest, wie zwei Knoten in einem


Kapitel 284

Netzwerk Schlüssel austauschen und eine sichere Kommunikationsverbindungaufbauen. Oakley ist das Protokoll, um Verschlüsselungsverfahren und Schlüsselfestzulegen. Für den Austausch der privaten Schlüssel können sowohl PublicKey-Verfahren als auch Kerberos verwendet werden.

Ob eine sichere Kommunikation erfolgen soll, wird bei Server 2003 über Grup-penrichtlinien festgelegt. Es wird also nicht pro Anwendung, sondern pro Systembzw. Verbindung mit bestimmten Rechnern im Netzwerk definiert, ob eine sichereKommunikation erfolgen soll. Da IPsec ein offener Standard ist und IP als Trans-portprotokoll transparent in LAN und WAN eingesetzt werden kann, kann dieseForm der sicheren Kommunikation sowohl im Intranet als auch im Internet ver-wendet werden – und zwar ebenso für Zugriffe auf Websites wie beispielsweise fürdie Kommunikation zwischen einem SAP R/3-Client und dem entsprechendenServer.

Storage ManagementMicrosoft adressiert mit Windows Server 2003 auch den Enterprise-Server-Markt.Gerade mit der Datacenter Edition sollen auch sehr große Datenvolumina im Tera-byte-Bereich verwaltet werden. Dass das geht, hat schon der Windows 2000 Data-center Server bewiesen. Beim Windows Server 2003 wurde im Vergleich mit derVorversion die Skalierbarkeit noch einmal deutlich verbessert. Insbesondere ska-liert der Server deutlich besser auch bei einer größeren Zahl an Prozessoren, wobeimittlerweile bis zu 32 Prozessoren und acht Knoten in Clustern unterstützt werden.

Die Anzahl von Prozessoren und der Knoten im Cluster sowie des maximalenHauptspeichers ist aber nur ein Teil des Problems. Ein weiterer kritischer Bereichist, dass die Mechanismen für den Umgang mit Massenspeichern als ein wesentli-cher Aspekt des Speichermanagements ebenfalls auf den Einsatz in Highend-Umgebungen optimiert sein müssen. Windows 2000 hat hier mit Funktionen wieder integrierten Unterstützung für Fibre Channel-Geräte und damit der einfache-ren Realisierbarkeit von Storage Area Networks (SANs) ebenso angesetzt wie mitdem logischen Management von Datenträgern, das auch Konfigurationsänderun-gen ohne Neustarts des Systems erlaubt, oder einer integrierten Unterstützung fürhierarchisches Speichermanagement (HSM). Beim Windows Server 2003 sindnoch einige wichtige Funktionen wie beispielsweise die Unterstützung für Schat-tenkopien hinzugekommen.

In den folgenden Blöcken wird zunächst auf die Anpassungen im Dateisystemeingegangen, die Microsoft vorgenommen hat, um eine höhere Leistungsfähigkeitdes Betriebssystems zu erreichen. Anschließend wird auf das Management vonDatenträgern im Sinne des logischen Volume-Managements ebenso wie unterdem Aspekt der HSM-Funktionen eingegangen. Weitere Veränderungen werdendann im abschließenden Block behandelt.

Die Anpassungen im DateisystemIm Vergleich mit Windows NT 4.0 fanden sich bei Windows 2000 gleich drei neueDateisysteme. Nur eines davon war allerdings wirklich neu – zwei sind mit Win-dows 95 beziehungsweise Windows 98 bereits eingeführt worden. Beim Windows



Fun

ktio

nsü

ber

bli

ck

AServer 2003 gab es keine Veränderungen in diesem Bereich – der Status Quo vonWindows 2000 bleibt erhalten.

Tabelle 2.2:Die Dateisys-temunterstüt-

zung beimWindows Server

2003

Sowohl im Vergleich mit Windows 98 als auch mit Windows NT 4.0 hat sich indiesem Bereich also einiges bewegt. Das FAT32-Dateisystem stellt eine Erweite-rung des bisherigen FAT-Dateisystems dar, mit dem wesentlich größere Festplattenals bisher unterstützt werden, weil für die Adressierung der Cluster statt der bisherverwendeten 16 oder gar 12 Bit nun 32 Bit verwendet werden. Dieses Dateisystemist vor allem für Client-Systeme interessant. Allerdings empfiehlt sich auch dortaus Gründen der Sicherheit die Verwendung des NTFS, da FAT32 ebenso wie dasherkömmliche FAT-Dateisystem keine integrierten Sicherheitsfunktionen besitzt.

Das FAT-Dateisystem wird allerdings auch weiterhin für Disketten und andereMedien mit geringem Speicherplatz verwendet. Verwendet werden muss es auch,wenn Windows NT auf einem System im Dual-Boot-Modus gemeinsam mit Win-dows 3.x oder Windows 95/98 ausgeführt wird.

UDF, das Universal Data Interchange Format, ist ein Standardformat für denZugriff auf Wechselmedien wie CDs, DVD (Digital Video Disc) und andere Sys-teme. Dieses Format soll das CDFS mittelfristig ersetzen. Von den sechs Dateifor-maten werden allerdings nur noch NTFS, UDF und FAT32 weiterentwickelt. Dieanderen Formate sind im so genannten Maintenance Mode, in dem nur noch Feh-lerkorrekturen erfolgen.

NTFS 5.0

Im Mittelpunkt der Entwicklung steht aber das NTFS 5.0. Dieses Dateisystem istdas bevorzugte Dateisystem ab Windows 2000. Eine ganze Reihe der neuen Funk-tionen, die mit Windows 2000 erstmals für das Storage Management eingeführtund beim Windows Server 2003 weiterentwickelt wurden, können nur in Verbin-dung mit diesem Dateisystem verwendet werden. Zu diesen Funktionen gehörenbeispielsweise das Volume Management und die Verschlüsselung von Datenträ-gern, aber auch die Disk Quotas.

Disk Quotas sind Plattenplatzbeschränkungen. Diese können pro Benutzer undVolume festgelegt werden. Die Festlegung pro Volume ergibt sich daraus, dass dieInformationen über den aktuell genutzten Speicherplatz in der Master File Tableder jeweiligen Volumes gespeichert werden. In der Master File Table werden

Dateisystem Windows 95/98 Windows NT Windows 2000/XP/2003

CDFS Ja Ja Ja

UDF (Universal Data Interchange)

Windows 98 Nein Ja

FAT Ja Ja Ja

FAT32 Windows 95 OEM Service Release 2 / Windows 98

Nein Ja

NTFS v.4 Nein Ja Ja (Keine Neuformatierung)

NTFS v.5 Nein Eingeschränkt aber Service Pack 4

Ja


Kapitel 286

sowohl Meta-Informationen über ein Volume – das Sie sich als logisches Lauf-werk vorstellen können – als auch die einzelnen Dateien und Verzeichnissegespeichert. Für größere Dateien werden so genannte Data Runs definiert, indenen die eigentlichen Daten ausgelagert werden. In der MFT werden dann nurnoch die Verweise auf diese Data Runs gespeichert.

Ein Beispiel für Meta-Informationen in der Master File Table sind nun eben dieQuota-Informationen. Diese Informationen sind zwar schon seit der ersten Ver-sion des NTFS vorgesehen, werden aber erst mit dem NTFS 5.0 genutzt.

Mit Hilfe dieser Disk Quotas kann nun gezielt definiert werden, welcher Benutzerwie viel Plattenplatz belegen darf. Diese Funktion wird vor allem für die individu-ellen Benutzerverzeichnisse genutzt, um zu verhindern, dass ein Benutzer zu vieleInformationen in seinem Verzeichnis ablegt und damit die Festplatte des Serversvollläuft.

Eine zweite wichtige Neuerung sind die Dateisystem-Filter. Diese Filter stelleneine zusätzliche Schicht dar, die oberhalb der Dateisysteme liegt. Dateisystem-Fil-ter steuern damit den Zugriff auf Informationen, die in den Dateisystemen abge-legt sind. Mit Windows Server 2003 werden eine Reihe solcher Dateisystem-Filtergeliefert. Dazu gehören Filter für

b das hierarchische Speichermanagement, die von der HSM-Anwendung desBetriebssystems genutzt werden

b das Encrypting File System (EFS), mit dem eine Verschlüsselung von Informa-tionen auf dem Datenträger erfolgen kann

b Funktionen für die Verbindung von Volumes, mit denen ein Volume als Teileines anderen Volumes – vergleichbar mit dem Network File System von Unix– integriert werden kann

Solche Dateisystem-Filter können von Anwendungsentwicklern aber für eineVielzahl weiterer Dienste genutzt werden. So lassen sich darüber Viren-Scannerebenso wie Analyseprogramme für die Ein-/Ausgabe realisieren. Aber auch Kom-primierungsfunktionen und, wie auch im Falle der HSM-Anwendung, die Umlei-tung von Ein-/Ausgaben von der Festplatte auf andere Datenträger können andieser Stelle implementiert werden.

Encrypting File System

In engem Zusammenhang mit diesen Dateisystem-Filtern steht insbesondere dasEncrypting File System (EFS) des Windows Server 2003. Dieses Dateisystemerlaubt die Verschlüsselung von Informationen auf der lokalen Festplatte. Es istvon besonderer Bedeutung bei Notebooks. Wenn heute ein Notebook abhandenkommt, sind die Informationen auf der lokalen Festplatte nur unzureichendgeschützt.

Solange das Betriebssystem läuft, kann zwar kein Zugriff auf diese Informationenohne ausreichende Benutzerrechte erfolgen. Wenn das System aber unter DOSgestartet wird, kann mit Utilities wie NTFSDOS.EXE ein Zugriff auf dieses Datei-system von DOS aus erfolgen. Und DOS kümmert sich nicht um die Sicherheits-Informationen des NTFS, da es diese überhaupt nicht kennt.



Fun

ktio

nsü

ber

bli

ck

AAbbildung 2.35:

Das Konzept desEncrpting File

System

Werden die Informationen auf der Festplatte dagegen verschlüsselt, so ist es nurunter sehr hohem Aufwand möglich, an diese Informationen zu gelangen. Undgenau das wird mit dem Encrypting File System ermöglicht.

Distributed File System

Ein weiterer wichtiger Baustein ist das Distributed File System (DFS). Währenddas NTFS ohnehin eine Reihe von Erweiterungen wie beispielsweise die Unter-stützung von Plattenplatzbeschränkungen und integrierte Schnittstellen für dashierarchische Speichermanagement erhalten soll, ist das DFS eine Erweiterung,die als logische Schicht oberhalb des physischen Dateisystems liegt.

Über das DFS können logische Verzeichnisstrukturen definiert werden, die sichüber mehrere physische Verzeichnisse und auch mehrere Server, sogar auf unter-schiedlichen Systemplattformen, erstrecken. Der Anwender sieht nur noch einelogische Verzeichnisstruktur. Beim Zugriff auf diese Struktur werden vom DFS-Server die Informationen über die physische Lokation der verschiedenen Ver-zeichnisse übermittelt, auf die dann ein direkter Zugriff entsprechend der defi-nierten Zugriffsrechte erfolgt. Damit können Verzeichnisstrukturen entwickeltwerden, die Informationen aus dem gesamten Netzwerk in einer für den Benutzergeeigneten Form integrieren. Die Suche nach Informationen auf verschiedenstenServern, an der ohnehin viele Anwender scheitern, kann bei richtiger Strukturie-rung des DFS der Vergangenheit angehören.

Abbildung 2.36:Das Distributed

File Systemerlaubt die Defi-nition logischer

Verzeichnisstruk-turen oberhalbphysischer Ver-

zeichnisse


Kapitel 288

Ein wesentliches Element des DFS werden alternative physische Verzeichnissehinter einem logischen Verzeichnis sein. Falls eines der Verzeichnisse nicht ver-fügbar ist, erfolgt ein automatischer Zugriff auf das Alternativverzeichnis. Damitwird Fehlertoleranz erreicht. Ein wichtiger Mechanismus dafür wird die Replika-tion von Dateien und Verzeichnissen zwischen Servern sein, die ebenfalls vomWindows Server 2003 durch den File Replication Service unterstützt werden wird.

Der FRS (File Replication Service) arbeitet mit einer Multimaster-Dateireplika-tion. Wenn eine Datei mehrfach verändert wird, wird die letzte Version dieserDatei auf alle Systeme repliziert. Die Replikation erfolgt unmittelbar nachdem dieDatei geschlossen wird. Die Voraussetzung für den Einsatz des FRS wird dasNTFS 5.0 sein. Hintergrund ist, dass der FRS Informationen zur Replikation indie Master File Table (MFT) schreibt und dazu zusätzliche Attribute generiert.Hier werden die erweiterbaren Eigenschaften der MFT genutzt, die mit NTFS 5.0eingeführt werden. Diese Property Sets können auch von anderen Anwendungengenutzt werden, um zusätzliche Informationen in das Dateisystem zu schreiben.

Besseres Management von DatenträgernDas Hauptgewicht der Änderungen liegt aber beim Storage Management, der Ver-waltung großer Datenmengen. Da sich Windows Server mittlerweile auch alsPlattform für unternehmenskritische Anwendungen etabliert haben und beispiels-weise den Löwenanteil der Datenbankserver im SAP-Umfeld stellen, mussteMicrosoft die bestehenden Schwächen in diesem Bereich adressieren. Außerdemmacht es Sinn, möglichst umfassende Funktionen als Standard bereitzustellen,um die Implementierung beispielsweise von HSM-Anwendungen (HierarchicalStorage Management) zu erleichtern.

Die wichtigsten Funktionen, die mit Windows 2000 hinzugefügt wurden und sichnatürlich auch beim Windows Server 2003 finden, lassen sich in drei Bereichegliedern:

b Die so genannten Reparse points, über die zusätzliche Informationen zum phy-sischen Speicherort von Dateien in der Master File Table des NTFS gespeichertwerden können

b Volumes stellen nun nur noch logische Strukturen dar, die flexibel und ohneNeustart des Systems verändert werden können.

Das FRS wird von mehreren Diensten des Servers genutzt, insbesondere vom Sys-tem selbst für die Replikation des Ordners Sysvol zwischen verschiedenen Domä-nencontrollern. Das Sysvol enthält Informationen, die sinnvollerweise über alleDomänencontroller hinweg konsistent sind. Dazu gehören beispielsweise Skriptsfür die Administration. Das System-Volume ist der Nachfolger des einfachenReplikationsmechanismus, der sich bereits heute bei Windows NT findet undmit dem Informationen insbesondere aus der Freigabe NETLOGON(%systemroot%\system32\repl\import\scripts bzw. %systemoot%\system32\repl\export\scripts) repliziert werden können. Es kann aber nicht als unabhän-gige Komponente für die beliebige Replikation von Daten zwischen zwei Daten-trägern eingesetzt werden. Man muss dazu zumindest immer den – allerdingsnicht sehr aufwändigen – Umweg über das DFS gehen.

WICHTIG



Fun

ktio

nsü

ber

bli

ck

Ab Unterschiedliche Geräte wie Festplatten und Bandlaufwerke können von

Anwendungen über eine einheitliche Schnittstelle angesprochen werden.

Die Reparse Points sind Informationen, die in Ergänzung zu einem Volumegespeichert werden können. Ihr Sinn wird am besten deutlich, wenn man dieAnwendungen, die solche Reparse Points nutzen, betrachtet.

Ein Anwendungsbereich sind HSM-Systeme. Diese lagern Daten von der Fest-platte auf andere Datenträger wie Bänder aus, wenn diese über einen längerenZeitraum nicht mehr verwendet wurden. Bei mehrstufigen HSM-Systemen wer-den diese unter Umständen zu einem späteren Zeitpunkt beispielsweise auf CDsoder anderen Datenträgern archiviert. Dieses hierarchische Speichermanagementhilft, nicht mehr unbedingt benötigten Speicherplatz auf Festplatten wieder frei-zugeben.

Eine Voraussetzung für das effiziente und effektive Funktionieren eines solchenHSM-Systems ist aber die Transparenz für den Anwender. Falls ein Anwender aufeine Datei zugreift, die ausgelagert wurde, sollte diese nach Möglichkeit automa-tisch und ohne Interaktion des Benutzers wieder geholt werden. Das setzt voraus,dass das System erkennt, wo sich eine Datei befindet.

Und genau das kann über einen Reparse Point beschrieben werden. Wenn ein sol-cher Reparse Point einen Verweis auf einen anderen Speicherort enthält, wirddiese Information von einem Dateisystem-Filter verarbeitet. Dieser kann dannautomatisch beispielsweise auf das Bandlaufwerk und Band zugreifen, auf demdie Datei abgelegt ist. Der Zugriff wird dann zwar deutlich länger dauern. DieDatei wird aber für den Anwender verfügbar, ohne dass dieser oder ein Administ-rator manuell eingreifen müssen.

Der zweite Einsatzbereich von Reparse Points ist das Mounten von Volumes.Normalerweise wird ein Volume heute unter einem Laufwerksbuchstaben abge-sprochen. Das ist aber vor allem deshalb problematisch, weil die Anzahl derBuchstaben beschränkt ist. Über einen Reparse Point kann nun ein Verzeichnisdefiniert werden, das auf ein anderes Volume verweist. Das Volume wird also alsTeil einer Datenstruktur »gemountet«, es wird in die Datenstruktur eingebunden.Auch hier dient der Reparse Point wieder für den Verweis auf den tatsächlichenSpeicherort der Informationen.

Der Volume Manager

Die zweite wesentliche Veränderung stellt der Volume Manager dar. Dieser isteine Schnittstelle oberhalb der physischen Datenträger, der den Dateisystem-Trei-bern logische Volumes bereitstellt. Statt also direkt auf Partitionen zuzugreifen,wird eine logische Struktur verwendet. Der Volume Manager, der übrigens nichtvon Microsoft, sondern von Veritas entwickelt wird, hat die Aufgabe, denUmgang mit solchen Volumes effizienter zu gestalten.

Bei Windows NT war es noch erforderlich, das System neu zu starten, wenn bei-spielsweise eine Festplatte zu einem Volume hinzugefügt wurde, auch wenn sichdiese physisch im laufenden Betrieb integrieren ließ. Änderungen an den Struktu-ren von Volumes erforderten ebenso einen Neustart. Das hat sich seit Windows2000 geändert, wo sich alle wesentlichen Anpassungen an Volumes im laufendenBetrieb und ohne Neustarts durchführen lassen.


Kapitel 290

Abbildung 2.37:Das Konzept des Volume Managers

Der Volume Manager ermöglicht eine dynamische Rekonfiguration von Volumes.Das ist insbesondere bei Servern wichtig, die möglichst ständig verfügbar seinsollten. Zudem wurden die Fehlertoleranz-Funktionen ausgebaut. Die Festplattenin einem Volume enthalten jeweils die Meta-Informationen über das Volume,sodass dieses beim Ausfall eines Datenträgers wieder hergestellt werden kann.

Der Removable Storage Manager

Mit Windows 2000 wurde auch der Removable Storage Manager (RSM) einge-führt. Dieser stellt eine logische Schicht dar, die oberhalb des I/O-Managers liegt.Geräte können damit nicht mehr nur über das Win32-API, sondern auch über dasRMS-API angesprochen werden. Bei Verwendung des Win32-API müssen unter-schiedliche Geräte wie Festplatten und Bandlaufwerke auch in unterschiedlicherWeise angesteuert werden.

Über das RMS-API erscheinen diese Geräte dagegen in einheitlicher Weise. DieAnwendung kann damit so entwickelt werden, dass das verwendete physischeGerät keine Bedeutung mehr hat. Die Ansteuerung und Identifikation der überden RMS verwalteten Geräte erfolgt über die eigentlichen RMS, welche die erfor-derlichen Informationen in einer Datenbank speichern.

Auch diese Funktion ist vor allem für den Einsatz auf Server-Systemen und hierfür HSM-Systeme von Interesse. Ein solches System kann unter Verwendung derRMS so realisiert werden, dass es für die verschiedenen Stufen der hierarchischenSpeicherung beliebige Geräte verwenden kann. Ob das dann Festplatten, Band-laufwerke, WORMs oder andere sind, ist aus Sicht der Anwendung unerheblich.

Wichtig ist in diesem Zusammenhang auch, dass die Unterstützung für Changerbei Bandlaufwerken, mit denen mehrere Laufwerke und Bänder innerhalb einesphysischen Gerätes angesteuert werden können, ab Windows 2000 in dasBetriebssystem verlagert wurde.

MM



Fun

ktio

nsü

ber

bli

ck

AAbbildung 2.38:

Das Konzept desRemovable Sto-

rage Managers

Weitere AnpassungenFür das Storage Management gibt es beim Windows Server 2003 auch einigewichtige Utilities für den Umgang mit Festplatten. Dabei sind vor allem zwei Pro-gramme von Bedeutung. Da ist zum einen die HSM-Anwendung, die eine zwei-stufige Architektur des Storage Managements unterstützt. Sie findet sich unter derBezeichnung Remote Storage Services (RSS) in der Gruppe Verwaltung.

Diese Anwendung stellt die Basisfunktionalität für das hierarchische Speicherma-nagement bereit. Diese ist durchaus interessant für kleinere Umgebungen, unter-stützt allerdings nur das zweistufige HSM. Für komplexere Anforderungen müs-sen daher andere Lösungen für das HSM lizenziert werden, die im Idealfall aufder vorhandenen Basisinfrastruktur für das Storage Management aufsetzt unddiese erweitert. Zu beachten ist außerdem, dass die HSM-Anwendung nur nochmit der Enterprise Edition und der Datacenter Edition, aber nicht mehr mit derBasisversion des Betriebssystems geliefert wird.

Die zweite wichtige Neuerung ist das Defragmentierungs-Werkzeug, das auf demProgramm Diskeeper von Executive Software basiert. Hier wird allerdings mitdem Windows Server 2003 nur eine Basisversion für den lokalen Einsatz geliefert.Umfangreichere Funktionalitäten für den Einsatz im Netzwerk müssen wiederumzusätzlich von Drittanbietern lizenziert werden.

Mit diesem Werkzeug können fragmentierte Data Runs im NTFS wieder defrag-mentiert werden. Der Zugriff auf Informationen wird dadurch deutlich beschleu-nigt. Eine stärkere Fragmentierung ergibt sich vor allem in drei Situationen:

b Es wird mit komprimierten Informationen gearbeitet. Durch die Komprimie-rung werden immer wieder kleinere Blöcke von Clustern auf der Festplatte frei-


Kapitel 292

gegeben. In der Konsequenz entstehen daraus unzusammenhängendeSpeicherbereiche.

b Wenn Festplatten sehr voll sind, werden Informationen ebenfalls stärker frag-mentiert, weil die noch vorhandenen freien Blöcke genutzt werden müssen.

b Wenn viele Dateien gelöscht und erstellt werden, entsteht ebenfalls eine stär-kere Fragmentierung, da die neuen Dateien nicht immer in die freien Blöckepassen.

Dieses Problem stellt sich vor allem bei Clients sowie auf Fileservern in den Parti-tionen mit Benutzerdaten, in denen es entsprechend viele Änderungen gibt. Eswird durch das mit dem Betriebssystem gelieferte Utility adressiert.

Außerdem gibt es ein durchaus brauchbares Backup-Programm, das eine für vieleEinsatzbereiche ausreichende Funktionalität bereitstellt. Zu den Kernfunktionendieses Werkzeugs gehören die Unterstützung der RSM sowie Scheduling-Funktio-nen. Außerdem unterstützt das Backup-Programm auch die automatische Her-stellung von Systemen (ASR für Automatic System Recovery).

Abbildung 2.39:Das Konzept des Native Structu-red Storage (NSS)

Wichtig ist auch der Native Structured Storage (NSS). Dieser ist für Dokumentemit eingebetteten Objekten aus anderen Dokumenten von Bedeutung. DieseDokumente besitzen eine interne Struktur, in der beispielsweise Word- und Excel-Daten miteinander kombiniert werden.

Im Gegensatz zur früheren Lösung bis Windows NT 4.0 werden diese Dateiennun nicht mehr in einem Datenstrom und als ein »Paket« auf die Festplattegeschrieben. Stattdessen wird jeder Teil dieser Datei in einem separaten Daten-strom im NTFS abgelegt. Dadurch lässt sich ein deutlich effizienterer Zugriff aufdie Datei erreichen.

Schließlich gibt es noch den integrierten Index-Dienst (Microsoft Index Service).Dessen Idee ist ein Index über die gesamte Festplatte, auf den von Anwendungenaus zugegriffen werden kann. Diese Funktionalität, die auf dem schon bei Win-dows NT 4.0 mit dem Internet Information Server gelieferten Index Server basiert,unterstützt Volltext-Retrieval, ist aber verglichen mit Anwendungen von Drittan-bietern nicht besonders leistungsfähig. Wenn sie genutzt wird, erlaubt sie aber einsignifikant schnelleres Retrieval von Informationen als ohne den Zugriff auf einenIndex. Der Preis dafür ist in Form der Rechenzeit für die Indexpflege und in demfür die Speicherung des Index erforderlichen Speicherplatz zu zahlen.



Fun

ktio

nsü

ber

bli

ck

ANetzwerkeDer Schritt zu Windows 2000 war bei den Netzwerkfunktionen davon bestimmt,dass TCP/IP das Standard-Protokoll wurde. Entsprechend gab es auch etlicheinterne Änderungen. So ist die Bedeutung des Computersuchdienstes (Browser-dienst) ebenso wie die von WINS (Windows Internet Name Service) gesunken,um in Umgebungen, die nur auf Windows 2000, Windows XP und dem WindowsServer 2003 basieren, schließlich völlig zu verschwinden. TCP/IP muss zwingendinstalliert werden, um das Active Directory und andere Systemfunktionen nutzenzu können. Durch die weitgehend automatische Konfiguration ist das aber auchrelativ unproblematisch.

Microsoft hat aber auch eine Fülle von Anpassungen auf allen Ebenen der Netz-werk-Funktionen vorgenommen, um beispielsweise QoS (Quality of Service) zuunterstützen. Mit Quality of Service lassen sich Bandbreiten für Anwendungenreservieren. Auch im TCP/IP-Stack gibt es viele zumeist kleinere Anpassungen,die jeweils für bestimmte Einsatzsituationen von Relevanz sind.

Abbildung 2.40:Viele zentrale

Dienste des Win-dows Server 2003

basieren aufTCP/IP

Dass TCP/IP unumgänglich ist, ergibt sich schon daraus, dass DNS und LDAP alszentrale Dienste von Windows Server 2003 und als Grundlage des Active Direc-tory Protokolle sind, die spezifisch für TCP/IP entwickelt wurden. Diese Proto-kolle können nicht ohne TCP/IP eingesetzt werden.

In diesem Abschnitt werden nachfolgend die Änderungen auf den unteren Ebe-nen der Netzwerktreiber und hier insbesondere die NDIS-Unterstützung behan-delt. Im zweiten Block wird auf die Anpassungen auf höheren Ebenen eingegan-gen. Weitere Veränderungen, die beispielsweise den RAS-Dienst (Remote AccessService) betreffen, werden dann abschließend diskutiert.

NDIS und die unteren SchichtenDie unterste Ebene der Netzwerk-Funktionalität, die von Microsoft selbst entwi-ckelt wird und nicht in der Hardware implementiert ist, ist NDIS. NDIS, die Net-work Device Interface Specification, hat sich im Laufe ihrer Entwicklung voneiner Schnittstellen-Definition zwischen Transportprotokoll und Adaptertreiberzu einer Schicht entwickelt, die die Umsetzung von Rahmen zwischen diesenSchichten übernimmt.


Kapitel 294

Abbildung 2.41:Die Rolle von NDIS in der Netzwerkarchi-tektur des Win-dows Server 2003

Die bei Windows NT eingesetzte Version, NDIS 4.0, beschränkte sich noch aufdie LAN-Kommunikation. Eine Unterstützung für die WAN-Kommunikation bei-spielsweise über Wählleitungen gab es nur eingeschränkt. Dies wurde über NDIS-WAN-Wrapper realisiert. Schon die klägliche ISDN-Unterstützung von WindowsNT, die von den Herstellern von ISDN-Adaptern mit viel Aufwand verbessertwerden musste, zeigt aber die Problematik in diesem Bereich auf.

Mit NDIS 5.0, das ab Windows 2000 genutzt wird, gibt es dagegen sowohl dieUnterstützung für verbindungsorientierte als auch verbindungslose Kommunika-tion. Die unterschiedlichen Formen der Kommunikation, sei es nun LAN, ISDN,Wählleitungen über Modems oder DSL werden alle in der gleichen Weise unter-stützt. Das zeigt sich schon daran, dass alle Verbindungen über den gleichenBereich der Systemsteuerung konfiguriert werden – auch wenn die Einstellungenfür Wählleitungen zwangsläufig etwas von denen für LAN-Verbindungen abwei-chen.

NDIS 5.0 besteht im Gegensatz zur früheren Version aus zwei Ebenen. Auf derDatenebene können wie bisher Informationen von Protokollen übermittelt wer-den. Diese sind, bis auf die Verbindungsinformationen, identisch. Zusätzlich wirdaber nun eine Steuerungsebene integriert. Auf dieser übernimmt der NDIS 5.0Call Manager den Verbindungsaufbau und die Verbindungssteuerung. Ein Proto-koll kann damit direkt über NDIS eine Verbindung aufbauen. Dafür müssen nunkeine aufwändigen Komponenten für Verbindungsaufbau und -steuerung bzw.manuell Schnittstellen zu TAPI realisiert werden.

NDIS 5.0 bringt sowohl Vorteile für die WAN-Verbindung von Windows NT mithohen Bandbreiten als auch für den Einsatz in kleineren Netzwerken und durchEinzelanwender. Die bessere Unterstützung unterschiedlichster Varianten derNetzwerkkommunikation und von Wählleitungen reduzieren den administrativenAufwand signifikant.

TCP/IP und höhere ProtokolleBeim TCP/IP-Stack liegt der Fokus neben der QoS-Thematik auf der Verbesse-rung von Performance und Sicherheit. Auch hier spielt die Kommunikation imWAN-Bereich eine wichtige Rolle, wie sich beim Large Window Support zeigt.

Transportprotokolle

Einheitentreiber

NDIS



Fun

ktio

nsü

ber

bli

ck

AWenn auf physikalisch langen Verbindungen – beispielsweise zwischen Seattleund New York – Datenpakete gesendet werden, sind diese eine signifikante Zeitunterwegs. Auf einer T3-Verbindung mit 45 MBit/s sind es immerhin 35 ms. Dasbedeutet aber umgerechnet, dass immerhin 157 KB unterwegs sein können, bisdie ersten Pakete eintreffen. Für ein effizientes Kommunikationsverhalten ist esdaher wichtig, dass nicht nur wenige Pakete übermittelt werden und dann aufeine Bestätigung gewartet wird. Denn dann bleibt die Verbindung die meiste Zeitungenutzt.

Durch den Large Window Support wird das Bestätigungsverhalten von TCP/IP soangepasst, dass viele Pakete übermittelt werden, bevor eine Bestätigung erforder-lich wird. Damit können solche Leitungen wesentlich besser ausgenutzt werden.

Abbildung 2.42:Selektive Bestäti-

gungen beiTCP/IP

Im engen Zusammenhang damit stehen die selektiven Bestätigungen, mit denender Large Window Support erst in sinnvoller Weise nutzbar wird. Damit bei einemFehler nicht alle Pakete, die zwischen zwei Bestätigungen gesendet wurden,erneut übermittelt werden müssen, wird durch die selektiven Bestätigungen exaktangegeben, welche Rahmen noch einmal gesendet werden müssen. Ein Nebenef-fekt davon ist, dass die Belastung des Netzwerks sinkt, wenn nur die tatsächlichfehlerhaften Pakete noch einmal übermittelt werden müssen.

Ebenfalls auf eine verbesserte Kommunikation im WAN zielen die verbessertenTCP/IP-Timer. Mit diesen Timern wird ermittelt, wie lange die Übermittlung einesPakets im Netzwerk dauern dürfte. Wenn ein Timer knapp kalkuliert ist, kann dieWartezeit auf fehlende Pakete verkürzt werden, da ein Empfänger eine Neuüber-tragung eines Datenpakets erst anfordern darf, wenn die auf Basis des Timersermittelte Zeit abgelaufen ist. Die bisher auf die LAN-Kommunikation ausgerich-teten Algorithmen sind ab Windows 2000 durch solche ersetzt, die auch bei lan-gen WAN-Verbindungen, zum Beispiel unter Nutzung von Satellitenverbindun-gen, korrekt arbeiten.

Eine Folge des schnell zunehmenden Transports multimedialer Inhalte über IP-Netzwerke ist die Integration von Quality of Service-Technologien in den aktuel-len Windows-Betriebssystemen. Dienste wie die Internet-Telefonie oder die Live-Übertragung von Video-Daten über Netzwerke erfordern zugesicherte Bandbrei-ten. Real-Time-Anwendungen, wie sie gerade im multimedialen Bereich zu findensind, können nicht zuverlässig über klassische IP-Netzwerke abgewickelt werden,insbesondere, wenn eine größere Zahl von Routern passiert werden muss.

Auf der anderen Seite müssen aber auch mission-critical Anwendungen, wie siebeispielsweise im Legacy-Bereich mit SAP R/3 zu finden sind, immer über eineausreichende Bandbreite verfügen können – auch dann, wenn beispielsweisedurch Video-Daten eine hohe Bandbreite in Anspruch genommen wird.

Unter dem Stichwort QoS finden sich nun eine ganze Reihe von Technologien.Das wird dadurch bedingt, dass die Mechanismen mit unterschiedlichen Trans-


Kapitel 296

portprotokollen wie IPv4 und IPv6 ebenso zurecht kommen müssen wie mitBackbone-Netzen von ISPs und so weiter. Zu diesen Technologien gehört dasProtokoll RSVP, mit dem Bandbreite auf einem definierten Pfad über einen odermehrere Router zwischen Sender und Empfänger reserviert werden kann. WeitereElemente sind die IP-Precedence-Bits und das Protokoll 802.1p, mit denen diePriorität von Datenpaketen definiert werden kann. Schließlich gehören auchnoch steuernde und administrative Funktionen zu einem QoS-Konzept.

Dementsprechend vielschichtig ist auch die QoS-Architektur im Windows Server2003. Als Schnittstelle wird die in der WinSock2-API integrierte QoS-API ver-wendet. Über diese API können Anwendungen eine bestimmte Dienstqualitätanfordern, ohne sich um die tatsächlich genutzten Technologien kümmern zumüssen. Über diese API wird auf einen QoS-Service Provider zugegriffen, der dieUmsetzung der angeforderten Funktionen steuert.

Ein weiteres wichtiges Element in der QoS-Architektur ist SBM. SBM steht fürSubnet Bandwidth Management. Über das von IETF definierte SBM werdenFunktionen für die Steuerung von Reservierungen in Subnetzen vorgegeben,sodass nicht jedes System in gleicher Weise Bandbreiten reservieren darf. DasSBM wird wiederum über die Admission Control Services (ACS) gesteuert, dieihre Informationen aus dem Active Directory beziehen. Die Schnittstellen zu denACS sind offengelegt, sodass beispielsweise auch Router-Hersteller darauf zugrei-fen können.

TAPI 3.0Im engen Zusammenhang mit der verbindungsorientierten Kommunikation stehtTAPI, das Telephony API. Über TAPI können Telefonanlagen vom PC aus ange-steuert und damit Verbindungen aufgebaut werden. Mit der schnell zunehmendenBedeutung von Internet-Telefonie und Internet-Conferencing wird es erforderlich,diese Schnittstelle so zu erweitern, dass nicht nur Nebenstellenanlagen, sondernauch logische Verbindungen über IP aufgebaut werden können. Mit der beimWindows Server 2003 verwendeten TAPI 3.0 erfolgt diese Integration. Die Funkti-onen von TAPI werden zudem über COM-Objekte und nicht wie bisher über eineC-API bereitgestellt.

Die Funktionen, die über TAPI angesprochen werden können, werden in Zukunftüber so genannte TAPI-Server bereitgestellt. Neben dem klassischen Unimodem-Treiber, der als TAPI-Server realisiert wird, wird es Schnittstellen zur klassischenTelefonie, für die Internet-Telefonie und für IP-Multicasts geben. IP-Multicastssind Sendungen an eine definierte Gruppe von Empfängern, die über feste odertemporäre Class D-IP-Adressen erreicht werden. Diese Technologie ist insbeson-dere im Conferencing-Bereich und bei der Übertragung von multimedialen Infor-mationen an einen definierten Empfängerkreis von Bedeutung, da die erforderli-che Bandbreite im Netzwerk über Multicasts deutlich reduziert werden kann.

Die auf kurze Sicht aber zweifellos wichtigste Funktion ist die integrierte Unter-stützung von Internet-Telefonie nach dem Standard H.323. Hier spielen die Ver-zeichnisintegration und der ILS (Internet Locator Service) über TAPI eine wich-tige Rolle, da so festgestellt werden kann, welche Systeme verfügbar sind.



Fun

ktio

nsü

ber

bli

ck

ARemote Access und VPNSehr umfassend sind mittlerweile die Funktionen im Bereich der Remote Access-Dienste. Diese lassen sich als integrierter Dienst, die Routing and Remote AccessServices (RRAS), verwalten. Dort werden viele wesentliche Standards wie unter-schiedliche Routing-Protokolle unterstützt und Funktionen wie das Demand DialRouting angeboten.

Beim Remote Access Service (RAS) ist die RADIUS-Unterstützung eine der zen-tralen Funktionen. RADIUS, der Remote Authentication Dial-In User Service, istein Protokoll, mit dem Authentifizierungsanforderungen an einen RADIUS-Ser-ver weitergeleitet und damit unabhängig von einem bestimmten Verzeichnisdienstbeantwortet werden können.

Abbildung 2.43:Das Konzept von

RADIUS

RADIUS spielt vor allem in heterogenen Umgebungen eine Rolle. Wenn der Stan-dard-Authentifizierungsmechanismus von Windows Server 2003 verwendet wird,bedeutet das, dass alle Benutzer, die über einen Windows-RAS-Server zugreifen,auch in der Benutzerkontendatenbank eines lokalen Servers respektive im ActiveDirectory mit dem entsprechenden Kennwort definiert sein müssen. Das ist fürZugriffe innerhalb einer reinen Windows-Welt adäquat. Wenn die Windows-Ser-ver aber nun als Einwählserver für Clients anderer Server dient, können dieAnmeldungen über RADIUS an RADIUS-Server weitergeleitet werden.

Beim Windows Server 2003 gibt es einen RADIUS-Client für die Weiterleitung derAuthentifizierungen sowie einen RADIUS-Server und -Proxy. Diese Funktionensind voll in die RRAS integriert. Seine Bedeutung bezieht RADIUS daraus, dass esein Internet-Standard ist und zudem bei vielen Einwähl-Servern bereits imple-mentiert ist. Zudem gibt es Accounting-Werkzeuge, die auf RADIUS aufsetzen.

Zwei weitere Protokolle, die mit Windows 2000 Einzug gehalten haben undzunehmend an Gewicht gewinnen, sind EAP und BACP. EAP, das ExtensibleAuthentication Protocol, stellt eine Erweiterung von PPP dar. PPP, das Point-to-Point Protocol, ist das Protokoll, über das WAN-Verbindungen bei Wählleitungenin aller Regel abgewickelt werden. Mit EAP, das schon bei Windows 98 unter-


Kapitel 298

stützt wurde, können zusätzliche Authentifizierungsmechanismen neben CHAP,PAP und anderen implementiert werden. Diese Mechanismen umfassen beispiels-weise Token-Karten, Systeme für Einmal-Kennwörter und die Authentifizierungüber Public Key-Verfahren. Bisher müssen solche Mechanismen über zusätzlicheSoftware implementiert werden. Mit der wachsenden Bedeutung gerade vonSmartcards und Public Key-Verfahren für die Authentifizierung wird es aber erfor-derlich, diese Funktionen direkt in das Betriebssystem zu integrieren.

BACP, das Bandwidth Allocation Protocol, ist – wie der Name schon sagt – einProtokoll, mit dem Bandbreiten reserviert werden können. Es wird beim Aufbauvon Wählverbindungen eingesetzt, damit Client und Server die effektiv genutzteBandbreite bei Multilink-Verbindungen nutzen können. Dieses Protokoll ist vorallem für ISDN-Verbindungen interessant, bei denen ein oder mehrere Kanälegenutzt werden können.

Wichtig sind schließlich auch noch MD5-Hashs. Hashs konvertieren eine Ein-gabe beliebiger Länge in einen Output mit definierter Länge. Hash-Funktionensind Einweg-Funktionen, die sich mit relativ wenig Aufwand in eine Richtung –zur Ermittlung des Hash – ausführen lassen, aber nur mit immensem Rechenauf-wand umkehren lassen. Ein solcher Hash kann beispielsweise als digitale Signa-tur verwendet werden, um zu belegen, dass Datenpakete unverändert übermitteltwurden. Der derzeit wohl am häufigsten eingesetzte Algorithmus für die Errech-nung solcher Hashs ist MD5, der beim RAS eben für solche digitalen Signatureneingesetzt werden soll.

Im Bereich der virtuellen privaten Netzwerke (VPNs) gibt es ebenfalls eine breiteUnterstützung. Neben Microsofts PPTP (Point-to-Point Tunneling Protocol) wirdauch noch L2TP (Layer 2 Tunneling Protocol) unterstützt. Dieses Protokoll arbei-tet mit dem bereits erwähnten IPsec zusammen. L2TP wurde standardisiert undhat sich mittlerweile durchgesetzt.


Documents

2 Funktionaler Überblick A · In Kapi-tel 5 werden im Zusammenhang mit der Installation des Windows Server 2003 ... Metadirectory Services (MMS) Support – x x ... dukts während