IT-Forum-Ergebnis: Systemschiff steuert in richtige RichtungMicrosoft erneuert seine Systemwerkzeuge
Konfigurieren und schützen
IT-Forum-Ergebnis: Systemschiff steuert in richtige Richtung
Das TechEd ITForum ist die zentrale Anwenderkonferenz in Europa für Microsoft. Sie wurde auch in diesem Jahr wieder in Barcelona durchgeführt. (wir berichteten bereits.)
Und wie jedes Jahr nutzte Microsoft auch die diesjährige Veranstaltung, um neue Produkte oder Versionen zu präsentieren – wenngleich die Vorträge und Workshops vor allem tecnischer Natur waren, zeigten sie auch dieses Jahr, welchen Nutzen die Technikleiter der Unternehmen daraus ziehen können.
Im Mittelpunkt standen hierbei neben dem Windows Server 2008 die drei neuen oder erneuerten Mitglieder der System Center Familie. In Einzelheiten wurden sie zwar immer wieder in den Online-News der IT-Presse genannt, doch erst das IT-Forum gab schließlich einen zusammenhängenden Überblick in die Richtung, die Microsoft einschlagen will
Der System Center Configuration Manager 2007 (SCCM) löst den System Management Server (SMS) ab. Dieser umfasste bis dato alle Funktionen zur Verwaltung der Client-Desktops. Dazu gehörte unter anderem eine Inventarisierung, die Software-Verteilung und der Zugriff für die Fernwartung. All diese Funktionen werden auch im Nachfolgeprodukt, dem SCCM 2007, enthalten sein. Darüber hinaus hat Microsoft einige Neuerungen implementiert, die internationalen Gesetzesvorgaben und Normen entsprechen. Dazu gehört die Ausrichtung des Tools zur Systemverwaltung an den ITIL-Abläufen mit der Definition einer gewünschten Sollkonfiguration des Rechners. Erneuert wurden auch die Funktionen zum Setup eines neuen Rechners, dem “Bare Metal Restore“.
Ebenfalls in einer neuen Version 2007 wird der Data Protection Manager aufgelegt. Bis dato war der DPM nur in der Lage, Dateiverzeichnisse abzusichern. Neu in der Version 2007 ist nun die Sicherung von Datenbanken des SQL Servers, des Exchange Server mit al seinen Mails und Kontaktdaten, des Sharepoint Servers, sowie des Systemzustands eines Rechners. Mit dem DPM will Microsoft den etablierten Anbietern im Bereich der Continuous Data Protection wie etwa Symantec, Paroli bieten – Kunden sollen der Microsoft-Produktplanung nach offenbar alles aus einer Hand bzw. Technikrichtung beziehen können und nicht die Manpower für viele verschiedene Systeme verschwenden.
Virtuelle Maschinen und Programme verwalten
IT-Forum-Ergebnis: Systemschiff steuert in richtige Richtung
Gänzlich neu hingegen ist der System Center Virtual Machine Manager (SCVMM). Durch ihn erfolgt erstmals eine integrierte Verwaltung von virtuellen und physischen Rechnern in einer Management-Oberfläche. Bis dato hat Microsoft in diesem Segment lediglich die Konsole des Virtual Servers anzubieten. Der SCVMM kann verschiedene virtuelle Maschinen verwalten, gleichzeitig aber auch mit den virtuellen Maschinen des Hyper-V, Microsofts neuer Virtualisierungslösung für Serversysteme, zusammenarbeiten. In Zukunft sollen außerdem auch VMware- und Xen-Systeme unterstützt werden.
Zum Umfang des SCVMM gehört die komplette Verwaltungskette für virtuelle Maschinen. Dies reicht von der Lastanalyse der bestehenden physischen Rechnersysteme über die Planung der Migration in virtuelle Umgebungen, der eigentlichen Migration und dem nachfolgenden Management. Diese wird auch in Verbindung mit der eigenen Management-Konsole für das Operating, dem Operations Manager, erfolgen.
Generell war auf der Veranstaltung zu spüren, dass Microsoft nun endgültig auf den Zug der Virtualisierung aufgesprungen ist. Neben der Virtualisierung von Servern, wie es durch den Virtual Server und später Hyper-V erfolgt, hat man aber auch für alle anderen Varianten der Virtualisierung Antworten parat. Mittels Softgrid erfolgt die Virtualisierung der Applikationen.
Die Verteilung der Softgrid-Applikationen wird in Zukunft durch den System Center Configuration Manager erfolgen. Dies ist durchaus folgerichtig, denn der Configuration Manager ist das zentrale Tool zur Software-Verteilung und der Client-Konfiguration. Der Aspekt der virtuellen Nachbildung der Präsentationsschicht wird heute schon durch die Terminal Services abgebildet. Sie werden im Windows Server 2008 ebenso implementiert sein. Durch Optimierungen will man dabei in Zukunft die Skalierung des Systems verbessern und mehr Benutzer pro Terminal-Server ermöglichen. Den Virtual PC betrachtet Microsoft als Werkzeug zur Desktop-Virtualisierung. Dies hat allerdings mit den Verfahren, wie es beispielsweise Citrix verfolgt, nur wenig an Gemeinsamkeiten.
MS bemüht sich auch um Server-Sicherheit
IT-Forum-Ergebnis: Systemschiff steuert in richtige Richtung
Eine zentrale Rolle auf dem ITForum nahm, neben den produktbezogenen Neuerungen, der mehr übergreifende Themenkomplex zur IT-Sicherheit ein.
Zwar hat Microsoft im Laufe dieses Jahres seine Sicherheitsprodukte der Forefront-Familie beständig ausgebaut, nun aber geht es mehr um die konzeptionellen und produktübergreifenden Sicherheitstechniken. Mit Network Access Protection (NAP) schafft man ein Quarantänesystem für Rechner (wir berichteten bereits im Verlauf der Betatest-Phase). Hierbei werden die Client-Rechner beim Verbindungsaufbau einer Sicherheitsprüfung unterzogen. Nur wenn sie die geforderten Prüfungen bestehen, wird ihnen der Zugang zum Unternehmensnetz gewährt. Andernfalls kommen diese Geräte in eine Quarantäne.
Durch Remediation-Server müssen sie dann auf den geforderten Sicherheitsstand gebracht werden und erhalten nur den zu gewünschten Zugang. NAP erfordert ein Zusammenspiel mehrer Systeme. Serverseitig ist dies der Windows Server 2008, die Geräte zur Verwaltung der Policies und der Wiederherstellung (der Remediation) und natürlich das Zugang-suchende Gerät, der Clientrechner. Bei letzteren wird Microsoft nur Windows Vista und Windows XP, sofern es das kommende Servicepack 3 aufweist, erlauben. Alle anderen Windows-Versionen sind von der NAP-Überprüfung ausgeschlossen.
(Bild: Nicht jeder darf alles in Microsofts Network Acces Protection)
NAP ist ein Konzept, das sicherstellen soll, dass die Rechnersysteme die festgelegten Sicherheits-Anforderungen erfüllen. In diesen Anforderungen wird beispielsweise festgehalten, welches Servicepack oder welcher Patch installiert sein muss. Auch die Konfigurationen von Firewalls oder Virenscannern ist hier eingeschlossen. Die Definition solch einer Sollkonfiguration wird in der ITIL-Terminologie als “Baseline” bezeichnet. Eine Baseline wiederum setzt sich aus vielen “Configuration Items” zusammen.
Hier schlägt Microsoft die Brücke zum System Center Configuration Manager. Er erlaubt die Definition von Baseline und Configuration Items und sorgt außerdem für deren Einhaltung. Um die Sicherheit des Windows Servers 2008 zu erhöhen werde diese in Zukunft auf vordefinierte Rollen eingeschränkt. Hierbei gilt, dass nur diejenigen Systemteile installiert werden, die auch tatsächlich benötigt werden. Dies reduziert natürlich die Angriffsfläche für den Server.
Und obwohl
sich Microsoft bemüht, wirklich sichere und dennoch einfach zu bedienende Systeme zu bieten: Noch benötigt man als Unternehmer einen Technikchef, der sich genug Zeit nehmen kann, all dies zu installieren und zu konfigurieren. Dann aber könnte sich ein größeres Unternehmen durchaus Probleme und Scherereien mit der Sicherheit und gesetzlichen Vorgaben dazu ersparen. Fazit: Microsoft ist auf dem richtigen Weg, aber noch längst nicht angekommen.