Her er nyhetene i Windows Server 2008

Longhorn, Windows Server 2008, er Microsofts største server-oppgradering noensinne. Her er en omvisning i noen av de viktigste nye tekniske egenskapene til systemet.

Plansjen nedenfor viser hvordan virtualiseringen som tilbys i Windows 2008 (til høyre) er vesensforskjellig fra løsningen med Virtual Server 2005 R2 og Windows Server 2003.

Det er kommet en hypervisor som er blitt en integrert del av pakken. Den ligger i et eget lag rett over maskinvaren, og gjør at man slipper å legge inn et helt operativsystem mellom maskinvaren og de virtuelle maskinene. Hypervisoren er laget med tanke på å utnytte den spesielle virtualiseringsteknologien i 64 bits-prosessorene til både AMD og Intel. Resultatet er langt bedre ytelse i alle de overliggende virtuelle maskinene (VM). Det kreves 64 bits-prosessorer.

De virtuelle maskinene er av to typer: «parent» og «child». «Parent» må være Windows 2008: Den brukes blant annet til å drifte de øvrige virtuelle maskinene. «Child» kan være også eldre utgaver av Windows Server, også 32 biters-utgaver, samt andre operativsystemer. Det er støtte for Linux-virtualisering med Xen. Avtalen med Novell sikrer support for virtuelle maskiner der det kjøres Suse Linux.

Lisensieringsbetingelsene for virtuelle maskiner varierer med hvilken type Server 2008 man velger. Enterprise omfatter lisenser for fire gjester, mens med Data Center-utgaven av Server 2008, kan man opprette så mange Windows virtuelle maskiner man ønsker: Data Center lisensieres per CPU.

– I teorien kan man ha et ubegrenset antall virtuelle maskiner på en server, sier Schjerven. – Det er andre faktorer som setter en praktisk begrensning på hvor mange det er hensiktsmessig å etablere, for eksempel ytelsen til CPU-en.

Neste del av omvisningen: Terminal Services Gateway.

Klikk her for å komme tilbake til hovedartikkelen.

Terminal Services Gateway tilbyr tjenester for utlegging av distribuerte applikasjoner, både over lokalnettet og over Internett, som man hittil har måttet ty til tredjeparts programvare for å få: Man kjører RDP (Remote Desktop Protocol) over https, og fordeler nøyaktig de applikasjonene som brukerens rolle tilsier det er behov for.

Skjermbildet nedenfor viser konfigureringen for Terminal Server, sett fra nettadministrator.

I skjermbildet nedenfor lager man listen over applikasjoner som skal være tilgjengelig over Terminal Services. Applikasjonene kan gjøres tilgjengelige gjennom egne ikoner på brukerens arbeidsflate, eller ved å vise ikonene i en nettleser.

I begge tilfeller kan man velge både PC og tynnklient til brukeren. Tynnklienter med Windows CE har RDP-klienten som skal til for at brukeren skal ha samme opplevelse som ved å kjøre en fullverdig PC.

Skjermbildet over viser hvordan det ser ut når brukeren gis tilgang til applikasjoner i et webgrensesnitt. Merk at brukeren må krysse av ved bruk av en privat PC, og samtidig gå god for at PC-en er satt i samsvar med bedriftens sikkerhetsregler.

Neste del av omvisningen: Server Core – du behøver ikke installere hele Server 2008 i hver fysiske eller virtuelle server.

Klikk her for å komme tilbake til hovedartikkelen.

Med Windows Server 2008 har Microsoft tatt et først skritt mot et modulært operativsystem. De har med andre ord skjønt at det er lite poeng i å sette opp en fullverdig Windows Server når det eneste man trenger er fil og print.

Windows Server 2008 tilbyr en egenskap kalt Server Core. Egenskapene er skissert i denne plansjen:

Server Core er et valg man får i selve installasjonsprosessen. Er maskinen – fysisk eller virtuell – beregnet til kun å dekke én av fem listede roller, velger man en av disse, og installasjonen fortsetter ved bare å laste inn modulene som trengs, og åpne de nødvendige portene.

– Du slipper grafisk brukergrensesnitt, nettleser, Media Player, Common Language Runtime og så videre. Serveren blir mer kompakt og kan følgelig kjøres på enklere maskineri. Den blir også sikrere, fordi angrepsflaten er redusert. En tredje fordel er enklere vedlikehold, sier Schjerven.

Setup og rolledefinisjon gjøres lokalt. Deretter kan serveren fjernstyres gjennom System Center: Da kan man nå kommandolinjen til Server Core og kjøre skript. Ved rekonfigurasjon blir tjenestene man fjerner, også fysisk borte etter en reboot.

Denne skjermdumpen viser hvordan man fra en driftskonsoll på en annen maskin får tilgang til kommandolinjen i Server Core, her for å sjekke eventuelle nye tjenester å installere.

Krav til diskplass er rundt én gigabyte, til minne rundt 100 MB. Microsoft har regnet ut at om Server 2008 følger samme patchmønster som Server 2003, vil Server Core bare trenge 60 prosent av patchene til en fullstendig installasjon.

Om man vil, kan Server Core brukes som «parent» i en virtualiseringsløsning. Det andre man kan bruke Server Core til er DHCP-server, DNS-server, filtjenester, domenetjenester og «Lightweight Directory Services» for Active Directory, streaming media og print.

– Seinere kan det være aktuelt å legge inn mulighet for tilstrekkelig med underliggende tjenester til at Server Core kan brukes for e-post, webserver eller database, men så langt har man ikke ønsket å gå i denne omgang, sier Schjerven.

Neste del av omvisningen handler om Network Access Protection.

Klikk her for å komme tilbake til hovedartikkelen.

Network Access Protection (NAP) er en ordning som lar IT-ansvarlige håndheve regler ikke bare for hvem blant PC-brukerne som skal ha tilgang til hvilke tjenester, men også for hvilke forhold som må tilfredsstilles dersom tilgang skal gis. Skjermbildet nedenfor viser oppsett av regler.

– NAP er ferdig lisensiert i Windows 2008 og Vista. Man kan sette opp betingelser knyttet til PC-en, for eksempel konfigurasjon og beliggenhet, til virusvern og så videre. Man kan for eksempel sørge for at en medarbeider som har vært på farten i to uker, ikke får tilgang til alle sine tjenester før de siste Windows-fiksene er installert, virusvernet er oppdatert og PC-en er skannet med tanke på ny smitte. Helsetilstanden skal valideres: Er den ikke god nok kan man settes i karantene, og få tilgang til ressursene som trengs for å friskmelde maskinen, siter Schjerven.

NAP-tjenestene kan også trekkes inn i overvåkingen av nettverket, for eksempel for å finne servere som ikke er korrekt satt opp.

Microsoft vil gjøre klienten for NAP tilgjengelig for PC-er under Windows XP. Har man NAC («Network Admission Control») fra Cisco vil man etter hvert kunne høste fruktene av samarbeidet mellom de to selskapene rundt denne delen av nettverksikkerheten.

Neste del av omvisningen handler om Microsofts webserver Internet Information Services, som i likhet med Server Core også lar seg installere stykkevis og delt.

Klikk her for å komme tilbake til hovedartikkelen.

Webserveren Internet Information Services (IIS) har vært en del av Microsofts serveroperativsystem siden NT 4.0. Det som er nytt med IIS 7.0 i Windows Server 2008 er at den har fått en modulær oppbygging. Det innebærer at når den er konfigurert med tanke på nøyaktig de oppgavene den skal stå for, blir den automatisk strippet for sine overflødige moduler.

– Funksjonene blir ikke bare slått av, det blir fjernet helt, understreker Schjerven.

Oppsettet av IIS 7.0 skjer gjennom en veiviser i et grafisk brukergrensesnitt. Utvalget av komponenter som skal installeres, skjer i bakgrunnen.

– Virkningene er tilsvarende komponentiseringen av Server Core. Den oppsatte webserveren er mindre ressurskrevende, og sikrere fordi angrepsflaten er redusert. På den andre siden åpner den nye modulariteten også for skreddersydde utvidelser uten at hele webserveren må være installert.

Muligheten for slike utvidelser ivaretas gjennom en ny API. Nye moduler kan lages både i C/C++ og i C# og andre språk som nytter .Net Framework.

Har man flere webservere, kommer «true application Xcopy deployment» som et velkomment tillegg: Evnen til å lagre IIS-konfigurasjoner i web.config-filer, og derved bruke Xcopy-kommandoen til å kopiere applikasjoner til flere webservere.

Neste del av omvisningen: Nye driftsverktøy, som Server Manager og Powershell.

Klikk her for å komme tilbake til hovedartikkelen.

Mange egenskaper ved Server 2008 bidrar til enklere og mer effektiv drift. To av de viktigste er Server Manager og Powershell.

Server Manager er et tillegg til Microsoft Management Console som er ny i Windows 2008, og som gir ett sted for å gjennomføre alle typer gjøremål knyttet til drift. Den er veiviser-basert, og har blant annet automatiske sjekkfunksjoner for å hindre feilkonfigurasjon som følge av for eksempel mangelfullt utfylte skjermskjemaer.

Her er to tidlige skjermbilder i denne prosessen:

– Grensesnittet er laget med tanke på at du ikke skal kunne unngå å aktivere andre tjenester som kreves for at det du ønsker skal virke. En del av grensesnittet og den enkle måten å få gjort tingene på, likner på noe av det som er utviklet til Vista. Du ordner alt under ett, som diagnose, konfigurasjon, rolle, brannmur lagring og så videre, sier Schjerven.

Ifølge Microsoft ligger det bak hver funksjon i det grafiske brukergrensesnittet til Server Manager en kommando i Powershell, det nye kommandolinje-skallet og skriptspråket for å automatisere driften av både servere og deres roller, for eksempel webserver eller Active Directory, og PC-er i nettverket.

– Det er faktisk slik at Server Manager er bygget opp med utgangspunkt i kommandoene i Powershell, presiserer Schjerven.

Powershell skal etter hvert bli en integrert del av Windows, ikke bare av Server 2008.

Det gir helt enkelt anledning til å styre komplekse gjøremål fra kommandolinjen, gitt at man har etablert en reserve av skripter å ta av:

Microsoft har etablert egne nettsider for Powershell: Man kan laste ned på skallet og eksempler på skripter fra Windows Powershell Technology Center. Her er et eksempel på skript for å innhente informasjon om en nåværende brukers tidligere sesjoner:

Powershell vil kunne brukes på andre Windows-varianter, både på server og klientsiden. Det skal også bli mulig å automatisere driften også av de mer avanserte serverrollene, for eksempel Exchange, ved hjelp av Powershell.

Neste og siste del av denne omvisningen dreier seg om hvordan en ny type domenekontroller kan bidra til økt sikkerhet og større fart: RODC.

Klikk her for å komme tilbake til hovedartikkelen.

En nyhet som bidrar sterkt til Microsofts påstand om at Server 2008 egner seg spesielt godt til avdelingskontorer, utenom ting som allerede er nevnt, som fjerndrift, Server Core og liknende, er «Read Only Domain Controller» eller RODC.

Hensikten med gjøre en domenekontroller kun lesbar er å kunne tilby domenekontroll til steder der man ikke kan garantere for et høyt nivå av fysisk sikkerhet rundt serveren. En RODC gir tilgang til bare en lesekopi av Active Directory-databasen for en gitt domene. En RODC inneholder derfor ingen opplysninger om administratorer, og ingen følsomme nøkler. Rollen som lokal administrator for en RODC kan gis til enhver bruker i domenen uten å utvide vedkommendes rettigheter i domenen eller til andre domenekontrollere. Det lar vedkommende utføre enkle oppgaver innen drift og vedlikehold uten å kompromittere sikkerheten til resten av domenene.

Microsoft mener at RODC ikke bare bedrer den helhetlige sikkerheten, den gir også raskere pålogginger lokalt.

Skjermbildet nedenfor viser hvordan uvedkommende får begrenset innsyn dersom de skulle greie å bryte seg inn i en lokal server med RODC: Det eneste som vises av passord, er dem som gjelder kontoene på selve RODC-en. De øvrige vises ikke. Innbruddet, eller tyveriet, kompromitterer bare en begrenset del av nettverket.

Ifølge Microsoft reduserer RODC også angripernes mulighet til å lykkes med et innbrudd. RODC innebærer at passord er vanskeligere å få tak i enn hvis de alle skulle lagres lokalt på serveren. Skjermbildet nedenfor viser hva den lokale administratoren kan gjøre hvis den lokale RODC er kompromittert: Det skal bare et par klikk til for å degradere hele den lokale domenekontrolleren og ugyldiggjøre alle passordene.

Den sentrale administrasjonen av domenekontrollere er forenklet av en ny egenskap i Windows 2008: Muligheten for å stoppe Active Directory og starte det igjen uten å kjøre en omstart på domenekontrolleren. Denne egenskapen heter «Restartable Active Directory».

Klikk her for å komme tilbake til hovedartikkelen.

Til toppen