ADMIN

2023

02

2023-01-31T12:00:00

Endpoint Security

PRAXIS

044

Server

Microsoft

Windows Server

Windows Server vNext

Nachfolgeregelung

von Thomas Joos

Veröffentlicht in Ausgabe 02/2023 - PRAXIS

Windows Server vNext ist der Nachfolger von Windows Server 2022 im Long Term Services Channel. Das Release auf Basis von Windows 11 bietet unter anderem neue Funktionen für die Azure-Edition. Auch die Oberfläche von Windows Server vNext orientiert sich an Windows 11. In diesem Beitrag erfahren Sie, wie weit die Entwicklung der neuen Serverversion ist und wie Microsoft die Zukunft beim Zusammenspiel von Windows Server mit anderen Technologien und der Cloud sieht.

Die neue Windows-Server-Version erhält Funktionen und Anpassungen, die nicht mehr in Windows Server 2022 landen, sondern in dessen Nachfolger. Allerdings fließen die Neuerungen in die "Windows Server Datacenter: Azure Edition" ein, da diese Cloudversion von Windows Server 2022 jährliche Aktualisierungen erhalten soll. Um diese Funktionen auch lokal nutzen zu können, lässt sich die Azure-Edition mit Azure Stack HCI in lokalen Netzwerken betreiben, das gilt auch für Windows Server vNext.
Wahrscheinlich erscheint daher im Lauf des Jahres 2023 eine neue Version der Azure-Edition mit neuen Funktionen. Das Branding von Windows Server vNext ist aktuell noch an vielen Stellen als Windows Server 2022 gesetzt, an der Buildnummer sind aber die Unterschiede zu erkennen, diese sind bei Windows Server 2022 deutlich unterhalb des Builds 25227, zum Beispiel bei 20348.887. In den Builds von vNext sind normalerweise keine Changelogs dabei, sodass Microsoft die Neuerungen nicht dokumentiert. Jede Version bietet aber einige Verbesserungen und ist vor allem sinnvoll, um die eigenen Workloads mit der neuen Version zu testen.
Microsoft veröffentlicht also regelmäßig neue Builds von Windows Server vNext. Aktuelle Versionen haben die Buildnummer 25227 und höher. Zeitgleich mit vNext entwickelt Microsoft auch das Windows Admin Center weiter, mit dem sich aktuelle Serverversionen und damit auch vNext verwalten lassen, genauso wie Dienste in Azure. Die Installation des Admin Center kann auf dem gleichen Server erfolgen, solange Sie diesen nicht zum Domänencontroller heraufstufen. Parallel lassen sich auf dem Server auch die Power­Shell 7.3 testen sowie .NET 7.0. Diese Produkte müssen Sie aber gesondert herunterladen.
Die neue Windows-Server-Version erhält Funktionen und Anpassungen, die nicht mehr in Windows Server 2022 landen, sondern in dessen Nachfolger. Allerdings fließen die Neuerungen in die "Windows Server Datacenter: Azure Edition" ein, da diese Cloudversion von Windows Server 2022 jährliche Aktualisierungen erhalten soll. Um diese Funktionen auch lokal nutzen zu können, lässt sich die Azure-Edition mit Azure Stack HCI in lokalen Netzwerken betreiben, das gilt auch für Windows Server vNext.
Wahrscheinlich erscheint daher im Lauf des Jahres 2023 eine neue Version der Azure-Edition mit neuen Funktionen. Das Branding von Windows Server vNext ist aktuell noch an vielen Stellen als Windows Server 2022 gesetzt, an der Buildnummer sind aber die Unterschiede zu erkennen, diese sind bei Windows Server 2022 deutlich unterhalb des Builds 25227, zum Beispiel bei 20348.887. In den Builds von vNext sind normalerweise keine Changelogs dabei, sodass Microsoft die Neuerungen nicht dokumentiert. Jede Version bietet aber einige Verbesserungen und ist vor allem sinnvoll, um die eigenen Workloads mit der neuen Version zu testen.
Microsoft veröffentlicht also regelmäßig neue Builds von Windows Server vNext. Aktuelle Versionen haben die Buildnummer 25227 und höher. Zeitgleich mit vNext entwickelt Microsoft auch das Windows Admin Center weiter, mit dem sich aktuelle Serverversionen und damit auch vNext verwalten lassen, genauso wie Dienste in Azure. Die Installation des Admin Center kann auf dem gleichen Server erfolgen, solange Sie diesen nicht zum Domänencontroller heraufstufen. Parallel lassen sich auf dem Server auch die Power­Shell 7.3 testen sowie .NET 7.0. Diese Produkte müssen Sie aber gesondert herunterladen.
Support-Ende aktueller Windows-Server naht
Im Januar 2022 ist der Mainstream-Support von Windows Server 2016 ausgelaufen und der für Windows Server 2019 endet im Januar 2024. Zwar läuft der erweiterte Support von Server 2016 noch bis Oktober 2027 und der von Server 2019 sogar bis 2029, dennoch sollten Verantwortliche im Unternehmen diese Zeitperioden im Blick behalten. Microsoft empfiehlt, dass sich Produktionsserver immer im Mainstream-Support befinden sollten und der erweiterte Support nur in Ausnahmen Verwendung findet. Der Mainstreamsupport von Windows Server 2022 endet übrigens am 13. Oktober 2026. Microsoft möchte seine Kunden derweil immer stärker an Azure anbinden, was sich auch durch die ständig ansteigende Zahl an Azure-Diensten zeigt, die im Windows Admin Center zur Verfügung stehen.
Während Windows Server 2022 auf dem Kernel und weitgehend auf das Design von Windows 10 aufbaut, nutzt vNext den Code von Windows 11 und auch das Design des Windows-10-Nachfolgers. Das fällt schnell im Startmenü und auch in der Einstellungs-App auf. Die Dev-Insider-Versionen von Windows 11 verwenden die gleiche Codebasis und haben daher auch meistens identische Buildnummern wie Windows Server vNext. Es gibt noch keine umfassenden Neuerungen, die Verbesserungen sind meistens in den Details zu finden und der besseren Integration mit Azure. Die herausragendste Neuerung ist aktuell vor allem direkte Aktualisierung von LAPS (Local Administrator Password Solution) im Betriebssystem.
Testen lässt sich Windows Server vNext kostenlos. Die ISO-Dateien dazu stellt Microsoft unter [1] zur Verfügung. Wer keine eigene Installation durchführen möchte, kann Windows Server vNext auch als virtuelle Festplatte für Hyper-V herunterladen. Die Installation des Servers ist mit grafischer Oberfläche oder als Core-Server möglich. Generell sollten Sie den Server nach der Installation über Windows Update aktualisieren, da Microsoft auch hier bereits Updates zur Verfügung stellt. Die Installation entspricht generell noch der Vorgehensweise von Windows Server 2022 sowie den Vorg­ängern. Die Redmonder haben bereits angekündigt, keine umfassenden Neuerungen mehr in die Oberfläche von Windows-Servern zu integrieren. Maßgebliche Verbesserungen finden vor allem im Windows Admin Center statt.
Für die Downloads ist eine kostenlose Registrierung als Windows Insider notwendig [2]. An dieser Stelle können Sie auch gleich die aktuelle Preview für das Windows Admin Center herunterladen. Microsoft erlaubt zudem die Aktivierung der Preview-Builds und stellt dazu auch Produktschlüssel zur Verfügung:
- Windows Server VNext Standard Edition: MFY9F-XBN2F-TYFMP-CCV49-RMYVH
- Windows Server vNext Datacenter Edition: 2KNJJ-33Y9H-2GXGX-KMQWH-G6H67
Die Preview läuft natürlich nach einiger Zeit ab – wenn neue Builds zur Verfügung stehen, spätestens aber zum 15. September 2023. Hier können Sie entweder die Windows-Update-Funktion nutzen, um zu einer neueren Preview-Build zu aktualisieren, oder Sie installieren den Server über eine neue ISO-Datei wieder. In den meisten Fällen funktionieren die Produktschlüssel auch für neuere Builds, aber natürlich nicht mehr für die RTM-Version des Windows Server 2022-Nachfolgers. Sind neue Produktschlüssel notwendig, finden Sie diese auf der Downloadseite.
Azure-Edition testen
Mit der "Windows Server vNext: Azure Edition" stellt Microsoft über eine "Microsoft Server Operating Systems Preview" [3] die Neuerungen auch als VM in Azure zur Verfügung. Hier ist zu erwarten, dass im nächsten Jahr eine neue Version erscheint, die auch produktiv genutzt werden kann, und die Funktionen aus Windows Server vNext erhält. Die Testversion darf natürlich nicht für Produktionszwecke zum Einsatz kommen. Microsoft plant, dass die Azure-Edition durch jährliche Updates regelmäßig neue Funktionen erhält, die in der aktuellen LTSC-Variante nicht inkludiert sind.
Microsoft plant die Aktualisierung der Azure-Edition über die Windows-Update-Funktion des Servers. Diese Vorgehensweise entspricht im Grunde genommen den Feature-Updates, die auch für Windows 10 und 11 zur Verfügung stehen, sind aber beim Server der Azure-Edition vorbehalten. Natürlich lassen sich auch in Zukunft die On-Premises-Varianten von Windows Server direkt aktualisieren, allerdings nicht über Windows Update. Auszuschließen ist das zwar nicht, aber doch unwahrscheinlich.
Bild 1: Windows Server vNext lässt sich am besten mit dem Windows Admin Center verwalten.
LAPS integriert
Mit Windows Server vNext will Microsoft, genauso wie in neueren Builds von Windows 11, den Schutz lokaler Administratorkonten verbessern und hat dazu LAPS direkt in das Betriebssystem integriert. Das heißt, beim Einsatz von vNext und neuen Versionen von Windows 11 ab Build 25145 sind keine zusätzlichen Installationen mehr notwendig, um lokale Administratorkonten in Microsoft-Netzwerken mit LAPS zu schützen. Diese Konten stellen eine Gefahr für Netze dar, weil Angreifer oder Malware hierüber die Computer und auch komplette Netzwerke übernehmen können. Daher sollten Sie diese Konten möglichst schnell umbenennen und besonders schützen.
LAPS ist der von Microsoft empfohlene Weg. Dazu lassen sich die Kennwörter der lokalen Administratorkonten aller angebundenen Computer im Active Directory speichern und vor Zugriffen über eine Access Control List (ACL) schützen. Alle notwendigen Funktionen sind bereits Bestandteil der beiden Betriebssysteme. Die Einstellungen dazu finden sich in den Gruppenrichtlinien bei "Computerkonfiguration / Administrative Vorlagen / System / LAPS". Hier können Sie die Settings zentral vorgeben und als Richtlinien in Active Directory verteilen. Die Umsetzung erfolgt dann automatisch auf den angebundenen Arbeitsstationen. Dabei lassen sich auch ältere Server anbinden, allerdings müssen Sie dazu LAPS auf den Servern erst installieren und einrichten. Die entsprechenden Anleitungen dazu stehen unter [4] bereit.
Container und Admin Center
Ab der Buildnummer 25227 von Windows Server vNext ist es auch möglich, Container auf Basis von Windows Server 2022 auf dem neuen Betriebssystem zu nutzen. Dadurch können Sie Ihre Win­dows-Server-2022-Container auf dem neuen OS testen, um sicherzustellen, dass die darauf laufenden Anwendungen auch mit der neuen Version funktionieren. Das soll es Unternehmen ermöglichen, bei der Veröffentlichung des Nachfolgers von Windows Server 2022 schneller zu migrieren, weil die Workloads bereits getestet sind. Die Container und Anwendungen, die mit Windows Server vNext funktionieren, sind natürlich auch für die Azure-Edition nutzbar, sobald die neue Version im Laufe des Jahres 2023 erscheint.
Bild 2: Das Aktualisieren von Windows Server vNext über Windows Update sollte direkt nach der Installation stattfinden.
Microsoft integriert in das Windows Admin Center (WAC) immer mehr Funktionen und macht damit die webbasierte Verwaltung zum fähigen Nachfolger des Server-Managers und der verschiedenen Managementkonsolen, mit ihren teilweise veralteten Oberflächen. Die Installation des WAC ist auch auf Arbeitsstationen mit Windows 10 und 11 möglich, auf den Servern ist dazu kein zusätzlicher Agent notwendig.
Beim Einsatz von Azure Stack HCI kommen Unternehmen um die Verwendung des WAC ohnehin kaum herum. Im Windows Admin Center 2208 baut Microsoft die Verwaltungsmöglichkeiten für Azure Stack HCI noch weiter aus und erleichtert die Übersicht bei der Administration eines Clusters. Auch beim Erstellen und Verwalten von neuen Clustern auf Basis von Windows Server vNext ist das WAC die beste Wahl. Die Administration der Umgebung erfolgt in diesem Fall über einen Webbrowser, idealerweise Google Chrome oder Microsoft Edge. Die Verwaltung von vNext kann über die Preview des Windows Admin Centers erfolgen, die natürlich auch dazu in der Lage ist, Windows Server 2019 und 2022 sowie Arbeitsstationen mit Windows 10 und 11 zu steuern.
Seine Stärken spielt das Windows Admin Center aus, wenn noch Dienste aus Microsoft Azure zum Einsatz kommen. In hybriden Netzwerken kann das WAC lokale Workloads und Dienste in Azure übersichtlich miteinander verknüpfen, zum Beispiel zur Datensicherung, Hochverfügbarkeit oder für die Überwachung von hybriden Infrastrukturen. Hier spielt auch Azure Arc eine immer wichtigere Rolle, mehr dazu später.
Windows Defender Application Control
Windows Defender Application Control (WDAC) ist ein Dienst, der die Sicherheit von Prozessen, Workloads und Daten auf Windows-Servern deutlich verbessern soll. Microsoft ermöglicht die Verwaltung des Dienstes und dessen Überwachung mit dem WAC ab Version 2208 und die Implementierung des Diensts auf Windows Server vNext. Im Dashboard ist zu sehen, ob WDAC für einen Server aktiv ist und Richtlinien umgesetzt werden.
WDAC kann Server auch ohne Signaturdateien vor Malware schützen, was zum Beispiel hilfreich bei neuer Ransomware ist. WDAC erkennt, wenn Benutzer Prozesse ausführen, die Zugriff auf bestimmte, durch WDAC abgesicherte Daten nehmen. Führt ein Benutzer Malware aus oder startet eine Ransomware im Benutzerkontext, erkennt WDAC das und kann die Ausführung verhindern. Die Einstellung dazu und auch die Überwachung des Diensts auf Windows Server vNext lässt sich im WAC steuern. Dazu kommen die Anwendungssteuerungsrichtlinien zum Einsatz, die beispielsweise nicht-signierte Skripte oder unerlaubte MSI-Dateien blockieren. Dazu kommt die Unterstützung des Constrained-Modus für die PowerShell durch die WDAC. In diesem Modus funktioniert die PowerShell nur noch eingeschränkt, sodass keine gefährlichen Skripte durchlaufen. Standardmäßig verwendet die PowerShell den Modus "FullLanguage", also mit allen Funktionen. Der Constrained-Modus lässt sich mit dem folgenden Befehl aktivieren:
$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"
Sinnvollerweise sollte mit Windows Server vNext und dem WAC 2208 hierfür die PowerShell 7.3 oder neuer zum Einsatz kommen [5]. Diese Version unterstützt auch bereits die neuen Funktionen. Anzeigen lassen sich die aktuellen Einstellungen für den Constrained Modus mittels:
$ExecutionContext.SessionState.LanguageMode
Die Umstellung auf den "FullLanguageMode" erfolgt wiederum mit dem Befehl:
$ExecutionContext.SessionState.LanguageMode = "FullLanguage"
Mehr zu den Möglichkeiten von WDAC sind in der Dokumentation von Microsoft unter [6] zu finden. Für die Einrichtung von Richtlinien kommt der WDAC Policy Wizard zum Einsatz [7]. Zusammen mit LAPS ist WDAC ein wichtiger Faktor beim Einsatz von Windows Server vNext.
Azure Arc für hybride Netzwerke
Beim Starten des klassischen Server-Managers auf Windows Server vNext erscheint neben der Empfehlung für das Windows Admin Centers zur Verwaltung des Servers auch der Hinweis, auf Azure Arc zu setzen. Die Anbindung an Azure Arc hat Microsoft im neuen WAC in den Einstellungen noch fester verankert. Der Dienst stellt eine Verknüpfung zwischen dem lokalen Rechenzentrum und den darin betriebenen Servern mit Azure dar. Die Verwaltung soll in diesem Fall über das WAC erfolgen, das die Verbindung zwischen dem Rechenzentrum und Azure steuert.
Azure Arc ist die Schnittstelle für die Umgebung. Geht es nach Microsoft, sollte der Dienst möglichst in allen Rechenzentren laufen, die Windows-Server betreiben und bei denen auch Ressourcen aus Azure oder anderen Clouds zum Einsatz kommen. Azure soll die Zentrale darstellen, die alle Serverdienste und lokalen Workloads miteinander verknüpft, auch von anderen Clouds.
Azure Arc soll Windows-Server auch in Multicloud-Umgebungen verwalten können, sodass Sie im WAC die verschiedenen VMs mit Windows Server vNext verwalten können – unabhängig, wo diese laufen. Dabei kann es sich um lokal betriebene Hardware mit Windows Server vNext handeln, um VMs auf Basis von Hyper-V mit Windows Server, Azure Stack HCI, Azure-VMs oder auch VMs auf anderen Plattformen. Alles lässt sich mit Azure Arc zusammenfassen und mit dem WAC verwalten. Dazu kommt die Verwendung der verschiedenen Azure-Dienste in hybriden Netzwerken. Windows Server vNext ist dabei das erste, speziell für solche Umgebungen entwickelte Betriebssystem. Es lassen sich aber auch Szenarien zusammen mit Windows Server 2019 und 2022 umsetzen. Wer in Zukunft stärker auf hybride Szenarien setzt, sollte die neuen Funktionen von vNext im Auge behalten.
Bild 3: Das Windows Admin Center ist das ideale Werkzeug für die Verwaltung von Azure Stack HCI und damit den Einsatz von Windows Server: Azure Edition im lokalen Netzwerk.
vNext vor allem als Azure-Edition interessant
Die neuen Funktionen von Windows Server vNext spielen vor allem für Unternehmen eine Rolle, die Windows in Azure oder mit Azure Stack HCI einsetzen. Diese profitieren im Laufe des Jahres 2023 bereits von Neuerungen, die der LTSC-Variante von Windows Server 2022 vorenthalten bleiben. Interessant sind diese vor allem bezüglich der speziellen Funktionen der Azure-Edition, die den anderen Editionen fehlten.
Allen voran ist dies aus Sicherheitsgründen das Hotpatching-Feature. Dieses wird mit Windows Server vNext noch erweitert. Beim Hotpatching lassen sich Updates einspielen, ohne dass der Server neu booten muss. Nur einzelne Dienste oder Prozesse starten neu, was in Sekunden erledigt ist und die meisten Nutzer nicht merken. Mit SMB-over-QUIC ist daneben der sichere Zugriff auf Dateiserver auch über ein nicht vertrauenswürdiges Netzwerk und ohne VPN möglich. Auch diese Funktion ist der Azure-Edition vorbehalten.
Die Netzwerkfunktionen sind ebenfalls der Datacenter Azure Edition von Win­dows Server vorbehalten. Bei der Migration von Servern zu Azure Stack HCI oder zu Azure kann es immer mal wieder vorkommen, dass die IP-Adresse von Workloads nicht geändert werden kann. Mit dem erweiterten Netzwerk für Azure lassen sich Workloads zu Azure oder zu Azure Stack HCI migrieren, die dabei ihre IP-Adresse behalten. Auch diese Technologie baut Microsoft mit vNext noch aus. Zusammen mit Azure Arc lassen sich dadurch Workloads und komplette VMs über verschiedene Plattformen hinweg verwalten und auch verschieben.
Fazit
Mit Windows Server vNext zeichnet sich langsam aber sicher der Nachfolger von Windows Server 2022 ab, vor allem bezüglich der Azure-Edition. Auch die Strategie von Microsoft, neue Funktionen des Servers jährlich in der Azure-Edition zur Verfügung zu stellen, zeigt, dass künftig neue Dienste für Windows Server schneller zur Verfügung stehen sollen – und zwar über die Cloud. Diese kann sich dazu in Azure befinden oder als Private Cloud im eigenen Rechenzentrum auf Basis von Azure Stack HCI. Bereits jetzt lässt sich die neue Serverversion testen, um später bei Migrationen besser vorbereitet zu sein. Es gibt noch keine bahnbrechenden Neuerungen, aber die Interaktion mit Azure Arc, dem Windows Admin Center, der PowerShell 7.3 und .NET 7 macht vNext zu einer wichtigen Serverversion. Hinzu kommt die Integration von LAPS, um lokale Adminkonten besser zu schützen.
(dr)
Link-Codes