M 4.418 Planung des Einsatzes von Windows Server 2008
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Durch die verstärkte Unterscheidung von Rollen während der Installationsphase kommt der Planungsphase vor dem Einsatz eines Windows Server 2008 eine noch höhere Bedeutung zu, als dies bei früheren Windows-Versionen der Fall war. Beispielsweise kann die Rolle des Server Core nur während der Installation ausgewählt werden, eine nachträgliche Änderung ist für diese Rolle nicht möglich. Daher müssen die ausgewählten Rollen und Features genau an die Anforderungen des geplanten Einsatzes des Windows Server 2008-Systems angepasst werden.
Aufbauend auf M 2.315 Planung des Servereinsatzes und M 4.409 Beschaffung von Windows Server 2008 beschreibt die folgende Maßnahme die wesentlichen zu beachtenden Aspekte der Planungsphase vor dem Einsatz eines Windows Server 2008.
Erstellung eines Grobkonzept
Die Planung eines Windows Server 2008 erfolgt in mehreren Schritten.
Die konkrete Planung kann nach dem Prinzip des Top-Down-Entwurfs erfolgen: Ausgehend von einem Grobkonzept für das Gesamtsystem werden konkrete Planungen für Teilkomponenten in spezifischen Teilkonzepten festgelegt. Im Grobkonzept werden beispielsweise folgende typische Fragestellungen behandelt:
- Wird ein neues Netz aufgebaut oder wird ein bestehendes Netz migriert?
- Soll ein existierendes Windows-Netz beispielsweise basierend auf Windows 2000 Server oder Windows Server 2003 vollständig oder nur teilweise nach Windows Server 2008 migriert werden? Eine Migration von Windows NT-Systemen auf Windows Server 2008-Systeme ist nicht direkt möglich.
- Handelt es sich um einen zusätzlichen einzuführenden Server oder um das Upgrade eines existierenden Servers?
- Welche Komponenten wie Dateiserver, Druckserver oder DNS -Server werden ersetzt, welche bleiben erhalten?
- Müssen existierende Verfahren oder Komponenten, wie ein bestehendes Kerberos-System oder auch eine bestehende PKI in Windows Server 2008 integriert werden? Hier sind unter anderem die Interoperabilität mit anderen IT-Systemen sowie der angebotene Funktionsumfang zu berücksichtigen.
- Wird die geplante Konfiguration des Servers der zu erwartenden Datenmenge und Spitzenlast gerecht?
- Ist das Lizenzierungsmodell ausreichend und geeignet für das Bereitstellungskonzept und das Notfallkonzept?
- Ist ein Mischbetrieb von Windows Server 2008 und anderen Betriebssystemen, wie Windows 2000 oder 2003, Novell oder Unix notwendig? Das kann Einfluss auf die im System verwendeten Authentisierungsverfahren haben, die abhängig von den eingesetzten Betriebssystemen auch Schwachstellen aufweisen können und damit die Sicherheit der Windows Server 2008-Umgebung insgesamt herabsetzen. Die notwendigen Sicherheitsvorgaben für eine solche Mischumgebung sollten in einer Sicherheitsrichtlinie festgelegt sein.
Auswahl der Rollen und Features
Mit Windows Server 2003 R2 hat Microsoft die sogenannten Server-Rollen eingeführt.
Es handelt sich um Anwendungen, die entweder nachinstalliert werden können, oder, wie der Server Core, bei der Installation festgelegt werden müssen. Bis Windows Server 2003 wurden Anwendungen wie der Internet Information Services (IIS) oder andere Basisdienste wie Druck- oder Dateidienste als Standard mitinstalliert.
Ein neu installierter Windows Server 2008 hingegen besitzt nach erfolgter Installation noch keine zu erfüllende Rolle oder Funktion. Diese müssen explizit durch den Administrator pro System zugewiesen und konfiguriert werden.
Neben den Rollen existieren noch sogenannte Features. Sie stellen in der Regel eine Erweiterung einer bestehenden Rolle dar, können aber auch, wie der WINS-Dienst, eine vollständig eigene Funktionen darstellen.
Das Zusammenspiel aus einer minimalen Basisinstallation und gezielt ausgewählten Rollen und Features stellt eine erhebliche Verbesserung der Sicherheit dar, weil damit auf allen Systemen die Möglichkeit besteht, nur die tatsächlich benötigten Funktionen zu installieren. Die Notwendigkeit, vorhandene, nicht benötigte Funktionen oder Dienste wieder zu deinstallieren, entfällt.
Installation und Konfiguration der Server-Rollen oder der Features erfolgt üblicherweise über den Server-Manager. Dieser stellt das zentrale Management-Tool eines Windows Server 2008 dar (siehe M 4.x-10 Nutzung der Sicherheitstools).
Auf einem Windows Server 2008 R2 stehen siebzehn verschiedene Rollen zur Auswahl bereit. Die folgende Tabelle zeigt eine Übersicht dieser Rollen und die Verfügbarkeit der jeweiligen Rolle pro Edition.Serverrolle | Enterprise | Datacenter | Standard | Web | Itanium | Foundation |
---|---|---|---|---|---|---|
Active Directory-Zertifikatdienste | Ja | Ja | Begrenzt | Nein | Nein | Begrenzt |
Active Directory-Domänendienste | Ja | Ja | Ja | Nein | Nein | Ja |
Active Directory Federation Services | Ja | Ja | Ja | Nein | Nein | Nein |
Active Directory Lightweight Directory Services | Ja | Ja | Ja | Nein | Nein | Ja |
Active Directory-Rechteverwaltungs-dienste | Ja | Ja | Ja | Nein | Nein | Ja |
Anwendungsserver | Ja | Ja | Ja | Nein | Ja | Ja |
DHCP-Server | Ja | Ja | Ja | Nein | Nein | Ja |
DNS-Server | Ja | Ja | Ja | Ja | Nein | Ja |
Faxserver | Ja | Ja | Ja | Nein | Nein | Ja |
Dateidienste | Ja | Ja | Begrenzt | Nein | Nein | Begrenzt |
Hyper-V | Ja | Ja | Ja | Nein | Nein | Nein |
Netzwerkrichtlinien- und Zugriffsdienste | Ja | Ja | Begrenzt | Nein | Nein | Begrenzt |
Druck- und Dokumentdienste | Ja | Ja | Ja | Nein | Nein | Ja |
Remotedesktop-dienste | Ja | Ja | Begrenzt | Nein | Nein | Begrenzt |
Webdienste (IIS) | Ja | Ja | Ja | Ja | Ja | Ja |
Windows-Bereitstellungs-dienste | Ja | Ja | Ja | Nein | Nein | Ja |
Windows Server Update Services (WSUS) | Ja | Ja | Ja | Nein | Nein | Ja |
Zusammenspiel von Windows Server 2008 (R2), Windows Vista und Windows 7
Grundsätzlich können alle Kombinationen der von Microsoft freigegebenen und unterstützten Server- und Client-Systeme innerhalb einer Windows-Domäne eingesetzt werden.
Allerdings ist zu beachten, dass die vollständige Nutzung aller Funktionen, insbesondere für neu eingeführte Gruppenrichtlinienobjekte, nur im Zusammenspiel mit dem jeweiligen korrespondierenden Client-System möglich ist. Als korrespondierende Server-Client-Kombinationen können zum Beispiel Windows Server 2008 und Windows Vista oder Windows Server 2008 R2 und Windows 7 genannt werden.
Beispiele für nutzbaren Funktionen, die ausschließlich in der Kombination Windows Server 2008 R2 und Windows 7 zur Verfügung stehen, sind unter anderem:
- DirectAccess: Der Aufbau der VPN-Verbindungen mit DirectAccess ist nur über die Kombination Windows Server 2008 R2 und Windows 7 möglich. Gleiches gilt für die sogenannte Funktion des VPN-Reconnect.
- BranchCache: Diese Windows 7-Client-Funktion ermöglichst es, den WAN -Verkehr in Außenstellen zu minimieren.
- Remotedesktopdienste: Die neuen Funktionen der ehemals als Terminaldienste bekannten Serverrolle eines Windows Server 2008 R2 können nur durch Windows 7-Client-Systeme vollständig genutzt werden.
Es kann davon ausgegangen werden, dass mit der Einführung weiterer Releases oder Service-Packs neue Funktionen hinzukommen. Dies gilt erst recht für die Einführung neuer Server- oder Client-Systeme.
Prüffragen:
- Wurde die Konfiguration des Windows Server 2008-Systems unter Berücksichtigung aller relevanten Rahmenbedingungen sorgfältig geplant?
- Entsprechen die ausgewählten Rollen und Features den Anforderungen an den geplanten Einsatz des Windows-Server-2008-Systems?
- Wurden die Restriktionen vorhandener, älterer Systeme oder die Besonderheiten eines Mischbetriebs in den Planungen für einen Windows Server 2008 ausreichend berücksichtigt?