 |
Windows Server 2008 aus der Vog(e)lperspektive
Fortsetzung:
Netzwerkzugriffschutz (NAP)
Viele Organisationen schützen sich gegen die Übertragung von Viren durch firmenfremde Notebooks mit drakonischen Maßnahmen: Gäste dürfen Ihre Notebooks entweder gar nicht an das Unternehmensnetz anschließen oder müssen umständliche Prozeduren und Einschränkungen in Kauf nehmen.
Ein solches Vorgehen stellt eigentlich eine Kapitulation dar, die in einer öffentlichen Bibliothek dem Wegsperren von Büchern entspricht, um deren Beschädigung zu verhindern. Moderne IT soll nicht nur sicher sein, sie soll auch benutzerfreundlich sein. Die allermeisten Gäste sind ja keine Hacker, sondern schlimmstenfalls unbedarfte, unerfahrene Computer-Benutzer, die dankbar für jede Hilfe sind.
Windows Server 2008 bietet erstmalig genau diese Hilfe an, und zwar vollautomatisch, bequem, und gleichzeitig sicher. Dafür wurde in Abstimmung mit vielen Drittanbietern eine Protokollfamilie namens NAP (Network Access Protection) entwickelt, die es dem System ermöglicht, den Zustand eines mobilen Rechners zu evaluieren und entsprechend dem Ergebnis zu reagieren. Ist der Zustand des Rechners nach den Vorgaben des Netzwerkadministrators »unbefriedigend« (weil beispielsweise keine Antimalware installiert ist, wichtige Systemaktualisierungen fehlen, die Firewall ausgeschaltet ist usw.), wird der Zugang zum Netz nicht einfach blockiert, sondern es wird eine Verbindung zu Services hergestellt, die dem Benutzer anbieten, die Mängel automatisch zu beheben. Kommt ein Gast mit einem Rechner, der eine solche Evaluierung nicht zulässt, könnte dem Rechner immer noch eine Route ins Internet, aber nicht ins Intranet angeboten werden.
Diese Protokollfamilie ist eine Weiterentwicklung des Quarantäne-Modells, das für VPN-Klienten schon im ISA (Internet Security and Acceleration Server) Server 2006 integriert war. In Windows Server 2008 steht diese dynamische Sicherheitsüberprüfung und -reparatur über den DHCP-Dienst, über 802.1X Authentifizierung (drahtlose Verbindungen und Level-3 Switches), über VPN und über IPSec zur Verfügung.
Abb. 3: Alle Komponenten einer NAP-aktivierten Netzwer-Infrastruktur
Extrem flexible Hochverfügbarkeits-Cluster
Haben Sie in Windows Server 2003 fehlerredundante Cluster aufgebaut? Ganz schön kompliziert, nicht wahr? Ohne die Lektüre von mindestens 50 Seiten Dokumentation kommt man da nicht weit. Und dann gibt es diese vielen, merkwürdigen Einschränkungen: Warum nur müssen alle Mitglieder eines Clusters im selben Subnetz sein? Wenn Sie das Standardmodell installiert haben, bekommen Sie noch dazu eine empfindliche Soll-Bruchstelle: Warum funktioniert der ganze Cluster nicht mehr, wenn die Quorum-Platte ein Problem hat? Gerade so ein Verhalten sollte es doch in einem fehlerredundanten Cluster nicht geben. Und dann diese Größenbeschränkungen! Was sind heute schon 2 TB?
Nun, alle diese technischen Einschränkungen sind in Windows Server 2008 vollkommen beseitigt. Keine Beschränkung auf ein Subnetz, keine Fixierung auf die Quorum-Platte, die nur mehr ein gleichberechtigtes Mitglied der Clusterkomponenten ist, keine Größenbeschränkungen. Das Beste aber ist der exzellente Installationsassistent, der nicht nur darüber wacht, dass Sie keine Komponente vergessen oder in der falschen Reihenfolge installieren, er füttert sie während der Installation mit soviel Hintergrundinformation, wie Sie nur haben wollen. Am Ende haben Sie garantiert eine funktionierende, konsistente Clusterkonfiguration, und das ohne Kampf mit kryptischer und langatmiger Dokumentation.
Volle IPv6-Implementierung
Abgesehen davon, dass dem weltweiten Internet in absehbarer Zeit die IPv4-Adressen ausgehen, wundere ich mich immer wieder, wie wenige Systemadministratoren sich über die abenteuerlichen Krücken beschweren, die einem das alte IPv4-Protokoll auferlegt. Wie einfach war früher die Kommunikation zwischen Rechnern, als jede Maschine noch direkt erreichbar war und man sich nicht den Kopf zerbrechen musste, wie man ein Protokoll über einen NAT-Router bekommt. Nun, IPv6 stellt mit 128 Bit pro Adresse nicht nur ausreichend Adressen zur Verfügung, das Protokoll erlaubt es, die Intelligenz von Routern optimal auszunutzen und komplexe Routing- und NAT-Probleme zu vermeiden. Natürlich müssen Sie Ihr Netz nach wie vor durch Firewalls schützen, aber nicht mehr durch Adressübersetzungen, die letztlich nur dem Mangel an Adressen entspringen.
Windows Server 2008 hat das IPv6-Protokoll konsequent implementiert und erlaubt die komfortable Konfiguration des Netzes inklusive der DNS-, DHCP- und IPSec-Dienste mittels des IPv6-Protokolls. Sie werden jetzt vielleicht denken, dass die Umstellung von IPv4 auf IPv6 eine kompletten Neuauflage Ihrer IT-Infrastruktur erfordern würde und alleine schon deswegen unrealistisch ist. Glücklicherweise lässt sich die neue Welt aber problemlos und schrittweise neben der alten aufbauen. Dazu hat Microsoft das Tunnelprotokoll ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) sowohl in Windows Vista als auch in Windows Server 2008 konsequent implementiert. Grob gesagt ist es so, dass Maschinen mit diesen Betriebssystemen versuchen, miteinander über IPv6 zu kommunizieren, aber auf IPv4 zurückfallen, wenn es nicht anders geht. Sobald Sie einen IPv6-Router konfigurieren, kümmert der sich um die Vergabe der IPv6-Adressen und die Verbindung von IPv6-Inseln über IPv4-Netze hinweg, die automatisch durchtunnelt werden. Die Umstellung kann also weitgehend schmerzlos und sukzessive erfolgen.
Microsoft stellt im Internet ein exzellentes Buch mit dem Titel TCP/IP Fundamentals for Microsoft Windows von Joseph Davies zur Verfügung, das die Mächtigkeit des neuen Protokolls im Detail schrittweise erläutert. (http://technet.microsoft.com/en-us/library/bb726983.aspx)