Windows Server 2008: Serverrollen Mehr Sicherheit durch rollenbasierte Installation

Autor / Redakteur: Manuela Reiss / Peter Schmitz

Im Zusammenhang mit der Installation und Einrichtung von Windows Server 2008 stößt man immer wieder auf den Begriff der Rollen bzw. der rollenbasierten Installation. Security-Insider zeigt Ihnen, was sich hinter dem neuen Bereitstellungskonzept verbirgt und wie man in seinem Netzwerk damit einfach für mehr Sicherheit sorgt.

Firmen zum Thema

Ein neu installierter Windows Server 2008 verfügt aus Sicherheitsgründen nur über rudimentäre Funktionen. Mittels Serverrollen lernt er nur das was wirklich nötig ist.
Ein neu installierter Windows Server 2008 verfügt aus Sicherheitsgründen nur über rudimentäre Funktionen. Mittels Serverrollen lernt er nur das was wirklich nötig ist.
( Archiv: Vogel Business Media )

Mit Windows Server 2008 hat Microsoft das Installationskonzept deutlich geändert. Während der Installation sind bis auf die Auswahl der Installationspartition und die Änderung des Administratorkennwortes, vor der ersten Anmeldung keine Eingaben erforderlich. Dafür verfügt der neu installierte Server nur über rudimentäre Funktionen. Weder .Net Framework, noch Netzwerkbasisdienste sind standardmäßig verfügbar.

Die Konfiguration des Servers und die Festlegung der Serverrollen erfolgt vollständig erst nach dem Abschluss der Installation. Diese Vorgehensweise stellt sicher, dass nur die benötigten Dienste installiert werden, was die Angriffsmöglichkeiten reduziert, die Stabilität des Servers erhöht und außerdem Ressourcen spart, weil weniger Festplattenplatz und Arbeitsspeicher benötigt werden.

Bildergalerie
Bildergalerie mit 5 Bildern

Neue Begriffe: Rollen und Features

Ein neu installierter Windows Server 2008 kann im Grunde noch keinerlei Funktion erfüllen, d.h. diese muss der Administrator dem Server zunächst explizit zuweisen. Windows Server 2008 bringt dafür bis zu 17 vordefinierte Rollen (abhängig von der eingesetzten Version) und zusätzliche eine Reihe von Funktionen mit.

Als Serverrollen bezeichnet man die Hauptfunktionen, die von Servern innerhalb der Netzwerkumgebung ausgeführt werden. Dateiserver, Druckserver, Domänencontroller und Webserver sind Beispiele für Serverrollen. Insgesamt können drei Hauptkategorien von Rollen in Windows Server 2008 unterschieden werden:

  • Identitäts- und Zugriffsverwaltung: Hierbei handelt es sich um die Active Directory-Rollen
  • Infrastruktur: Dazu gehören die Rollen Dateiserver, Druckserver, DHCP u.a.
  • Anwendung: Hierzu zählen Serverrollen wie z. B. die Webserverrolle und Terminaldienste.

Jede Serverrolle wird durch die für die Ausführung der jeweiligen Rolle notwendigen Dienste, Kommunikationsports und Anforderungen definiert.

Seite 2: Verwaltung von Rollen und Funktionen im Server Manager

Neben den Server-Rollen unterscheidet Windows Server 2008 die so genannten Features (Funktionen). Diese ergänzen oder erweitern die Server-Rollen. In vielen Fällen sind die Server-Rollen sogar abhängig von den entsprechenden Funktionen.

So setzt zum Beispiel der Windows Bereitstellungssdienst unter anderem die Funktion Windows-Prozessaktvierungsdienst voraus. In diesem Fall wird der Administrator während der Installation der Rolle aufgefordert alle weiteren erforderlichen Rollen und Funktionen zu installieren.

Verwaltung von Rollen und Funktionen im Server Manager

Für die Serverkonfiguration steht mit der Dialogbox für die Erstkonfiguration und später mit dem Server Manager ein zentrales Portal zur Serveradministration und damit auch zur Verwaltung von Rollen und Funktionen zur Verfügung.

Im Server Manager wird bei Auswahl des Containers ROLLEN neben einer Rollenübersicht für jede installierte Rolle ein Bereich angezeigt, der sich wiederum in den ROLLENSTATUS und die ROLLENDIENSTE aufteilt. Der Rollenstatus informiert u.a. über Meldungen, Systemdienste und gegebenenfalls aufgetretene Ereignisse. Vorteilhaft ist hierbei, dass der Bearbeiter hier sofort – ohne eine Ereignisanzeige zu öffnen und einen Filter zu erstellen – alle Ereignisse, die sich auf die ausgewählte Rolle beziehen, angezeigt erhält.

Was aber unterscheidet Rollendienste und Systemdienste voneinander? Die Systemdienste bezeichnen Dienste, die für diese Rolle erforderlich, aber Teil des Gesamtsystems sind. Bei den Rollendiensten handelt es sich hingegen um für diese Rolle spezifische Dienste. Die letzt genannten können mittels der Option ROLLENDIENSTE HINZUFÜGEN installiert werden.

Der Active Directory-Domänendienst ist beispielsweise von einer ganzen Reihe von Systemdiensten, wie beispielsweise dem Dateireplikationsdienst, abhängig. Zusätzlich optional kann beispielsweise der Rollendienst Identitätsverwaltung für UNIX konfiguriert werden.

Seite 3: Administration von Rollen mit Befehlszeilentools

Administration von Rollen mit Befehlszeilentools

Abschließend sei noch darauf hingewiesen, dass die Funktionen des Server-Manager auch als Befehlszeilentool zur Verfügung stehen. ServerManagerCmd.exe kann zum Installieren und Entfernen von Rollen, Rollendiensten und Funktionen verwendet werden. Zusätzlich können hiermit Protokolle und Listen der installierten und verfügbaren Rollen, Rollendienste und Funktionen erzeugt werden.

Hervorzuheben ist der Parameter –whatif, der die Änderungen analysiert und anzeigt, die am Server vorgenommen werden würden, wenn die angegebene Rolle installiert würde (siehe Bild 5).

Detaillierte Hinweise zum Einsatz und zur Syntax von ServerManagerCmd.exe stellt Microsoft im TechNet bereit.

Fazit

Eine rollenbasierte Bereitstellung entspricht dem Ansatz der meisten Unternehmen ihre Server nicht multifunktional, sondern für bestimmte Aufgaben einzusetzen. Insofern ist diese Vorgehensweise konsequent und uneingeschränkt zu begrüßen.

Allerdings ist die Zuordnung einzelner Dienste als Rollendienste zu einer Rolle etwas gewöhnungsbedürftig, da man für die Installation wissen muss, welcher Rolle ein Dienst zugeordnet ist. Leider ist auch die Unterscheidung zwischen Server-Rollen und Funktionen nicht immer einsichtig.

So ist etwa der DNS-Dienst eine Serverrolle, während der Windows Internet Naming Service (WINS) unter FEATURES zu finden ist. Es braucht daher meist einige Zeit ehe man sich in den Rollen, Funktionen, Systemdiensten und Rollendiensten gut zurechtfindet.

(ID:2012853)