Windows Server 2008 – Server Core Sicherheit durch abgespeckten Server

Autor / Redakteur: Manuela Reiss / Peter Schmitz

Der Windows Server 2008 kann in zwei Varianten installiert werden: Als Vollversion mit grafischer Oberfläche und als Server Core, das heißt als Basisserver ohne GUI. Wir zeigen Ihnen, warum Windows Server 2008 Server Core so sicher ist, stellen Ihnen seine Einsatzmöglichkeiten vor und zeigen, was beim Einsatz des Server Core zu beachten ist.

Firmen zum Thema

Verzicht auf unnötige Funktionen macht den Windows Server 2008 Server Core von Beginn an sicher.
Verzicht auf unnötige Funktionen macht den Windows Server 2008 Server Core von Beginn an sicher.
( Archiv: Vogel Business Media )

Unabhängig von der eingesetzten Version (Standard, Enterprise und andere) bietet der Installationsassistent die Möglichkeit Windows Server 2008 in einer abgespeckten Fassung, dem sogenannten Server Core zu installieren.

Dahinter verbirgt sich ein Windows Server 2008, der lediglich die Kernfunktionen des Betriebssystems zur Verfügung stellt und dazu dient die klassischen Serverfunktionen wahrzunehmen.

Bildergalerie
Bildergalerie mit 5 Bildern

Entsprechend spartanisch präsentiert sich der Server Core nach der Anmeldung nur mit der Kommandozeilen-Dialogbox cmd.exe. MMC-Konsolen, einen Dateimanager, den Internet Explorer, .Net-Framework oder die Power Shell hingegen sucht man vergeblich.

Unterstützt werden lediglich die folgenden Serverrollen:

  • Active Directory Services
  • DNS
  • DHCP
  • File- & Print-Services
  • Internet Information Services ohne .Net Framework
  • Streaming Media Services
  • Windows Server-Virtualisierung (WSV)
  • Active Directory Lightweight Directory Services – AD LDS (vormals ADAM)

Daneben bietet der Server Core noch einige Funktionen, wie beispielsweise die Festplattenverschlüsselungsfunktion Bitlocker.

Die Reduktion auf wenige Serverrollen dient in erster Linie der Sicherheit, da der Server weniger Angriffsfläche bietet. Darüber hinaus benötigt das Betriebssystem weniger Speicherplatz auf der Festplatte und weniger administrative Pflege, denn Anwendungen, die nicht installiert sind, müssen auch nicht gepatcht zu werden.

Einrichtung des Server Core

Die Verwaltung des Servers Core erfolgt mittels Kommandozeile oder remote beispielsweise über Terminal Services (allerdings wird auch hier nur eine Kommandozeile angezeigt). Anhänger der GUI werden sich erst mit den teilweise komplexen Kommandos anfreunden müssen, auch wenn einige Anwendungen mit grafischer Oberfläche ausgeführt werden, wie zum Beispiel der Registrierungseditor, grafische Setups und Notepad.

Sind die ersten grundsätzlichen Konfigurationsarbeiten abgeschlossen, kann Server Core auch wie jeder andere Windows-Server remote mit den üblichen grafischen Tools verwaltet werden. Die meisten Managementkonsolen bieten hierzu die Möglichkeit sich auf ein anderes System zu verbinden.

Nach dem Abschluss der Installation müssen, wie auch bei der Vollversion, die Rollen installiert werden, die der Server übernehmen soll. Als einzige Rolle ist die Fileserver-Rolle standardmäßig installiert. Andere Serverrollen, wie zum Beispiel DNS, müssen erst installiert werden.

Bei der Vollversion von Windows Server 2008 kann die Rollenkonfiguration mit Hilfe des Servermanagers erfolgen. Zwar steht der Servermanager hier auch in einer kommandozeilenbasierten Form zur Verfügung, doch da diese auf .Net-Framework basiert, was vom Server Core nicht unterstützt wird, ist der Servermanager hier nicht einsetzbar.

Stattdessen gibt es beim Server Core zur Verwaltung der Serverrollen zwei Kommandozeilentools:

  • oclist.exe: Liefert eine Liste der verfügbaren Rollen und zeigt an, ob diese installiert sind oder nicht.
  • ocsetup.exe: Installiert bzw. deinstalliert Rollen und Funktionen

Wichtig ist die Einhaltung der richtigen Syntax einschließlich der Groß-/Kleinschreibung. Am einfachsten ist es daher bei Verwendung von ocsetup.exe die benötigte Rolle aus der zuvor mit oclist.exe angezeigten Liste per Copy&Paste zu übernehmen.

Hinweis: Als Hilfe für die Konfiguration stellt Microsoft mit dem „Server Core Installation Options of Windows Server 2008 Step-by-step Guide“ im Technet Library-Bereich ein ausführliches Whitepaper zur Verfügung.

Einsatz des Windows Server 2008 Server Core als Domänencontroller

Selbstverständlich ist es möglich einen Server Core als Domänencontroller einzusetzen. Microsoft empfiehlt dies aus Sicherheitsgründen sogar ausdrücklich.

Allerdings kann diese Rolle nicht, wie oben beschrieben, mit ocsetup,exe installiert werden und wird daher auch nicht bei den verfügbaren Rollen aufgelistet. Stattdessen muss in diesem Fall dcpromo.exe verwendet werden. Die benötigten Parameter können, wie bei einer unbeaufsichtigten Installation, in einer Antwortdatei hinterlegt werden.

Wichtige Punkte, die Sie beachten sollten

Leider ist es nicht möglich, nachträglich eine Standardinstallation von Windows 2008 in Server Core, oder umgekehrt, umzuwandeln. Außerdem kann der Server Core nicht bei einem Inplace-Update eines vorhandenen Servers installiert werden.

Ein Troubleshooting-Tipp aus der Praxis

Die einzige Dialogbox, die nach dem Abschluss der Installation bei Server Core standardmäßig angezeigt wird, ist das Kommandozeilen-Fenster. Schließt man dieses über das Schließfeld, präsentiert sich nur noch ein leerer Bildschirm. Die einzige Möglichkeit die Kommandozeile wieder zu öffnen, besteht darin mit STRG+CRTL+ALT den Taskmanager zu öffnen und hier einen neuen entsprechenden Task zu erstellen.

(ID:2011811)