Dass der Windows.Net Server mehr ein Upgrade als eine wirklich neue Betriebssystemversion ist, merkt man auch bei den Sicherheits- und Netzwerkfunktionen. Es gibt viele wichtige Neuerungen, aber die bahnbrechenden neuen Features fehlen. Doch vielleicht ist es gerade im Bereich der Sicherheit auch wichtig, erst einmal solide zu arbeiten, bevor viele neue Funktionen hinzukommen.
Es spricht aber sicher auch für den breiten Funktionsumfang, den schon der Windows 2000 Server hat, dass es mehr die Optimierungen als die Neuerungen sind, die beim .Net Server zu finden sind. Viele der Funktionen sind jedoch so attraktiv, dass sie einen schnellen Wechsel zum neuen Release des Windows-Server-Betriebssystems als überlegenswert erscheinen lassen.
Die Sicherheit ist das Sorgenkind von Microsoft. Auch wenn gerade die Analyse von Viren wie Nimda zeigt, dass sich Angriffe mit den zum Zeitpunkt des ersten Auftretens vorhandenen Patches hätten vermeiden lassen und dass ein erschreckend hoher Anteil der auftretenden Probleme durch Fehler in der Administration verursacht werden, gibt es doch auch noch etliche Schwächen beim Betriebssystem selbst. Neben den kontinuierlichen Security-Patches, die alle beim Windows.Net Server enthalten sein werden, gibt es aber auch noch andere Optimierungen.
So werden beispielsweise nun wesentlich grössere Log-Dateien als bisher unterstützt. Es lassen sich nun auch Dateien mit über 1 GB Grösse erzeugen und verwalten. In diese können neu Performance-Daten aufgenommen werden, so dass sie einen umfassenden Überblick über das Geschehen im System liefern. Die Log-Dateien verwenden ein neues Dateiformat. Das bisherige Format wird aber zur Abwärtskompatibilität weiter unterstützt.
Zu den vielen Erweiterungen der Gruppenrichtlinien gehört die Unterstützung von Netlogon-Parametern. Das Verhalten der Clients bei der Anmeldung lässt sich nun wesentlich differenzierter als bisher steuern. Das geht von der Steuerung der Registrierung von DNS-Einträgen über die Einstellungen zum Anmeldedialog bis hin zur Erkennung von Sites. Nicht alles davon ist direkt sicherheitsrelevant, wirkt sich dann aber zumindest auf die Netzwerkkommunikation und damit auch Netzlast aus.
Einerseits administrativen Charakter, andererseits aber auch Relevanz für die Sicherheit hat das Konzept der sogenannten Headless Server. Ein solcher Server verfügt weder über Grafikkarte noch über Tastatur oder Maus. Diese Systeme sind vor allem für Rechenzentren interessant, aber auch für weniger sichere Standorte. Sie können über die EMS (Emergency Management Services) auch nach Fehlern oder während des Startprozesses mit den Terminaldiensten, WMI oder Scripts verwaltet werden.
Für IPsec gibt es ein neues, grafisches Überwachungsprogramm. Mit diesem können gezielt die aktiven IPsec-Verbindungen überwacht werden. Es werden alle aktiven Verbindungen, aber auch die Konfigurationseinstellungen angezeigt.
Sicher kommuniziert werden kann aber nicht nur per IPsec. Gerade für die drahtlose Übertragung ist die Authentifizierung von Benutzern vor der Verwendung des LANs beispielsweise durch automatisch verteilte digitale Zertifikate von Bedeutung, da Wireless LANs derzeit unter dem Sicherheitsaspekt ja stark umstritten sind.
Die Verteilung solcher Zertifikate wurde ebenfalls optimiert. Die Zertifikatsdienste des .Net Server können beispielsweise eine Autorisierung des Benutzers über eine Smartcard verlangen, bevor Zertifikatsanforderungen bearbeitet werden. Es kann aber auch definiert werden, dass mehrere Administratoren die Konfiguration der automatischen Verteilung von Zertifikaten bestätigen müssen, um sicherzustellen, dass nicht ein einzelner Administrator unbefugt Zertifikate ausgibt.
Wesentlich erweitert wurde auch die Unterstützung von CRLs (Certificate Revocation Lists). Mit Hilfe von CRLs werden Informationen über nicht mehr gültige Zertifikate für Anwendungen bereitgestellt. Beim .Net Server lassen sich mehrere CDPs (CRL Distribution Points) konfigurieren. Damit können die Anforderungen von Anwendungen verteilt oder CDPs verlagert werden, wenn das Netzwerk umkonfiguriert wird. Darüber hinaus wird ein Delta-CRL-Modell unterstützt: Anwendungen können damit die Änderungen in CRLs seit dem letzten Zugriff anfordern, statt jedes Mal die vollständige Liste zu laden.
Die Zertifikatsvorlagen, auf denen die erstellten digitalen Zertifikate basieren, können nun auch angepasst werden. Viele Zertifikate sollen in Unternehmen mit ganz bestimmten Vorgaben beispielsweise für die Authentifizierungsanforderungen von Anwendungen oder die Richtlinien für ihre Anwendung genutzt werden. Das lässt sich bei der Verwaltung der Vorlagen nun durchführen.
Für Administratoren ist aber wohl das Key Archival and Recovery, also die Sicherung und Wiederherstellung von Schlüsseln, die wichtigste Erweiterung. Private Schlüssel lassen sich mit Hilfe eines Recovery Agent wiederherstellen. Wenn Informationen verlorengegangen sind, lassen sich diese damit schnell und ohne Eingriffe von Benutzern wieder rekonstruieren. Dieser Dienst entspricht in seiner Funktionalität dem Exchange Key Management System (KMS) Server.
Auch bei den Netzwerkdiensten und -komponenten gibt es manche Neuerung. Das beginnt bei der Bridging-Funktionalität, mit der ein Server als Bridge zwischen zwei Segmenten mit unterschiedlichen Medien dienen kann. Darauf wurde bereits bei der Beschreibung von Windows XP im zweiten Teil der Serie eingegangen. Diese Änderung ist vor allem für sehr kleine Netzwerke relevant.
Für diese ist auch die automatische Feststellung der TCP Receive Window Size durch den lokalen Netzwerkadapter gedacht. Das TCP Receive Window definiert, wie viele Daten empfangen werden können, bevor eine Bestätigung gesendet wird. Der QoS Packet Scheduler auf einem System mit ICS (Internet Connection Sharing) ist damit nun in der Lage, die Fenstergrösse für die Kommunikation an die Geschwindigkeit der WAN-Verbindung anzupassen. Damit werden die Warteschlangen beim RAS-Server verkürzt, und neue Verbindungen lassen sich schneller aufbauen. Die Funktion steht nur im Zusammenspiel mit dem ICS zur Verfügung, beeinflusst die TCP/IP-Kommunikation sonst aber nicht.
Auch die TCP/IP-Unterstützung für den IEEE 1394 Serial Bus, eine Implementierung des RFC 2734, zielt eher auf kleinere Netzwerke ab. Damit können über solche Firewire-Connections Netzwerkverbindungen zwischen zwei Systemen aufgebaut und Informationen ausgetauscht werden. Die Funktion kann aber auch für mobile Nutzer interessant werden, die schnell und einfach zwei Notebooks miteinander verbinden möchten - dann allerdings eher über Windows XP als über den .Net Server.
Es gibt aber nicht nur Verbesserungen für den Einsatz des Systems in kleinen Netzwerken oder für Clients. So ist die TCP/UDP Port Ownership, die nun bei netstat.exe ausgegeben werden kann, vor allem für Netzwerkadministratoren und Sicherheitsverantwortliche interessant, da damit nachvollzogen werden kann, welcher Prozess einen Port geöffnet hat.
Sowohl im Bereich der Sicherheit als auch bei den Netzwerkfunktionen sind es kleine Schritte, die Microsoft beim .Net Server gemacht hat. Windows 2000 war das Release, das grundlegend neu entwickelt wurde - beim .Net Server wird nun optimiert. Dennoch hat es auch hier viele Funktionen, die einen mit Spannung auf das endgültige Release warten lassen. Was für den einen dann der Headless Server im Rechenzentrum ist, sind für den anderen die verbesserten Zertifikatsdienste. Der .Net Server ist damit nicht nur wegen der Erweiterungen beim Active Directory ein interessantes Upgrade zum Windows 2000 Server.
