Vorschau auf das neue Windows-Admin-Center-Gateway
Microsoft hat eine Vorschau des überarbeiteten Windows-Admin-Center-Gateways freigegeben. Dieses bringt in erster Linie eine neue Architektur, die das Arbeiten mit dem Admin-Center beschleunigt, denn viele Nutzer klagten in der Vergangenheit vor allem über die langen Antwortzeiten. Die Neuerung bietet die Gelegenheit, mal ganz grundsätzlich, Architektur, Installation und Verwaltung von WAC zu beleuchten, bevor ich die Neuerung zeige.
Passende Schulungen
Microsoft Windows Server 2019 Administration
Microsoft Windows Server 2019 Administration (ehemals WS-011T00): Das Training für Bereitstellung und Unterstützung von Windows Server 2019
WS-022 Microsoft Windows Server 2022 Administration
WS-022 Microsoft Windows Server 2022 Administration: Aufbau einer Windows Server 2022 Umgebung
Bekanntlich und sehr zum Leidwesen von Neueinsteigern folgt Microsoft in puncto Verwaltung von Windows Server seit Jahren einer mehrgleisigen Strategie. So gibt es nach wie vor die altbekannten MMC-basierenden Werkzeuge, sowie den mit Windows Server 2012 eingeführten Server Manager, neue Server-Features lassen sich aber meist nur noch via Powershell oder Windows-Admin-Center (WAC) konfigurieren.
Das bedeutet, dass der Windows Server laufend Feature-Updates erhält – sehr zur Freude vieler Fans des klassischen Windows Servers. Microsoft hat auch auf der gerade zurück liegenden Ignite in Seattle ein deutliches Bekenntnis zum Fortbestand des Windows Servers abgegeben, wenn auch noch kein Release-Datum und keine eindeutige Produkt-Bezeichnung für die momentan noch unter Windows Server vNext kursierenden Nachfolgeversion des Server 2022 genannt – diese wird sich aber in der Regel nicht mehr in den GUI-Werkzeugen niederschlagen. Das wäre nicht weiter schlimm, würden die alten GUI-Tools keine Funktionen offerieren, die von Microsoft längst nicht mehr empfohlen werden, wie z. B. das LBFO-Teaming, aber das ist ein anderes Thema. Sicherlich liegt das auch daran, dass Microsoft den Aufwand scheut, die alten Tools zu re-engineeren, denn das Werkzeug der Wahl (neben der Powershell) ist seit einigen Jahren das webbasierte Windows Admin Center (WAC).
Leider deckt das Windows-Admin-Center (WAC) noch immer nicht sämtliche Funktionen der alten Tools ab. Dafür steht das WAC in Zentrum von Microsofts Vision, künftig auch lokale Server unter Zuhilfenahme von Azure Arc aus der Cloud verwaltbar zu machen. Zu den wesentlichen Nachteilen des WAC gehören die mitunter sehr langen Antwortzeiten und die Beschränkung der Verwaltung auf einzelne Server. Das erstgenannte Problem soll aber nun mit einer neuen Architektur für das WAC-Gateway gelöst werden. Um dessen Rolle in der WAC-Architektur zu verstehen, sei ein Blick in das von Microsoft zur Verfügung gestellte Windows-Admin-Center-Poster empfohlen.
Windows-Admin-Center (WAC) Architektur und Deployment
Die linke Seite der Abbildung zeigt die verwaltbaren Zielsysteme (Managed Connections), also Windows Server oder Clients, wobei meiner Meinung nach der Schwerpunkt auf der Verwaltung von Servern liegt. Interessant ist dabei, dass der Zugriff auf die verwalteten Zielsystem komplett über Powershell oder WMI Remote (WinRM) erfolgt, es ist also keinerlei Agent auf den Zielsystemen erforderlich. Jeder Windows Server ab Version 2016 eignet sich damit out-of-the-box dazu, über das Windows Admin Center verwaltet zu werden. Ältere Versionen (ab Server 2008 R2) würde hingegen das vorherige Installieren des Windows Management Frameworks erfordern. Auf dem Web-Server-Gateway ist noch nicht einmal ein IIS, ein SQL-Server oder ein AD erforderlich, da das Admin Center seinen eigenen kleinen eingebetteten Webserver mitbringt. Damit ist die Lösung sehr schlank gehalten. Der Zugriff erfolgt per HTTPS über einen modernen Browser (Edge oder Chrome).
Laut Microsoft ist das Windows Admin Center keinesfalls als Ersatz für System Center gedacht, sondern kann als eine Ergänzung zu diesem eingesetzt werden. Für jeden Dienst, der über das Admin Center verwaltet werden soll (DND, DHCP, AD usw,) gibt es im Grunde ein eigenes Modul. Diese findest du unter „Einstellungen / Erweiterungen“. Dort siehst du auch, welcher Herstelle für die Bereitstellung der Extension verantwortlich ist.
Die ganze Lösung läuft darüber hinaus erst einmal komplett On-Premises, d. h. Cloud-Themen bleiben erst einmal außen vor. Du kannst aber durchaus das Windows Admin Center-Gateway im DNS veröffentlichen und – sofern du den Zugriff durch deine Unternehmensfirewall gewährst – auch unabhängig vom Standort über Microsoft Edge oder Google Chrome eine Verbindung mit deinen Servern aufnehmen. Ist ein solches Szenario geplant, würde ich aber eher zu einer Lösung wie den Entra ID Anwendungsproxy oder https://www.microsoft.com/en-us/security/business/identity-access/microsoft-entra-private-access Entra ID Private Access raten. Eine beständige Internetverbindung ist bis auf im Verlauf der Installation/Aktualisierung oder beim Aktualisieren von Erweiterungen nicht erforderlich. Natürlich bringt das Admin Center auch eine ganze Reihe optionaler hybrider Funktionalitäten mit (Azure, Azure Arc, Azure Stack HCI), die dann selbstverständlich Internetzugriff benötigen.
Was die Bereitstellung des WAC betrifft, ist die rechte Seite des oben abgebildeten Diagramms relevant. Zwar könntest du das WAC auch in Azure betreiben, traditionell wirst du es aber eher auf einem Server (rechte Seite rechts im Diagramm) oder einem Client (rechte Seite links im Diagramm) installieren. Du bist also relativ flexibel in den Installations-Optionen, wenngleich die Client-Option in Enterprise-Umgebungen eher selten zum Einsatz kommt. Das Installieren des WAC auf einem Domain-Controller ist übrigens nicht nur nicht empfehlenswert, der WAC-Installer lässt ein solches Vorhaben gar nicht erst zu (siehe Abbildung).
Du findest die unterstützten Installationstypen nicht nur im o. e. WAC-Poster, sondern auch in der https://learn.microsoft.com/en-us/windows-server/manage/windows-admin-center/plan/installation-options WAC-Dokumentation, aus der auch folgende Abbildung stammt:
Im Unternehmen besteht die populärste Installations-Option darin, das WAC auf einem dedizierten Gateway Server zu betreiben, womit der sich der Kreis zur erwähnten neuen Version des WAC-Gateways schließt. Wie die Abbildung zeigt, käme das Gateway auch beim Zugriff auf einem Cluster zum Einsatz. Das Installieren auf einen lokalen Client (Windows 10 / 11) würde ich nur zu Testzwecken empfehlen. Das direkte (lokale) Installieren auf einen Verwalteten Server bietet zum einem die Option, dass ein Admin diesen einen Server dediziert (remote) verwalten kann und dami seine eigene lokale „Sicht der Dinge“ hat, aber auch dann, wenn von diesem Server aus ein Cluster verwaltet werden soll, in dem der Server Mitglied ist. Der hervorgehobene Kringel in der Abbildung zeigt den jeweiligen Installations-Ort des Admin Center. Wie nebenstehendes Bildschirmfoto zeigt, erlaubt die Bereitstellung über eine Gatewayserver das Aktivieren des Zugriffs für mehrere Administratoren, das Verbinden über jeden beliebigen unterstützten PC aus.
Beim Installieren des WAC auf einem Server (im Gegensatz zur lokalen Installation unter Windows 10/11) wird das Windows Admin Center als Netzwerkdienst installiert und du kannst den Port selbst angeben, den der Dienst überwacht. Dies erfordert ein Zertifikat für HTTPS, allerdings kann das Installationsprogramm (eigentlich nur zu Testzwecken) ein selbstsigniertes Zertifikat erstellen. Wahlweise kannst du den Thumbprint eines Zertifikats bereitstellen, das bereits auf dem PC installiert ist. Möchtest du dein eigenes Zertifikat verwenden, stelle sicher, dass der im Zertifikat angegebene Name mit dem Computernamen übereinstimmt (Platzhalterzertifikate werden nicht unterstützt). Du hast zudem die Option, deine TrustedHosts von Windows Admin Center verwalten zu lassen. Du findest die Optionen im Schritt „Gatewayendpunkt konfigurieren“ des Installers.
Im nächsten Schritt hast du auch die Möglichkeit, den gewünschten TCP-Port einzustellen oder dich für ein selbstsigniertes Zertifikat zu entscheiden.
Nach der Installation kannst du dich von jedem beliebigen Windows-Client im gleichen Netzsegment oder VLAN via HTTPS mit dem Admin Center verbinden:
Wie oben erwähnt, kann das WAC auch Clients verwalten, dient aber eigentlich dem Server-Management, denn für PCs und mobile Geräten hält Microsoft mit Intune bereits ein ebenfalls Web- und Cloud-basiertes Werkzeug vor. Zudem gibt es mit dem Configuration Manager immer noch eine On-prem-Alternative mit einer Win32-Konsole, allerdings wird SCCM von Microsoft inzwischen bereits als Legacy-Lösung eingestuft. Leider kann auch Intune genau wie das bisherige WAC in Sachen Performance nicht mir den traditionellen MMC-Tools mithalten.
Soweit so gut. Was hat es aber nun mit den als Vorschau veröffentlichten Neuerungen auf sich?
Neue Architektur für das Windows-Admin-Center-Gateway
Die vor kurzen https://techcommunity.microsoft.com/t5/windows-admin-center-blog/windows-admin-center-quot-modernized-gateway-quot-is-now-in/ba-p/4013928 freigegebene WAC-Preview enthält ein aktualisiertes Gateway mit einer komplett neuen Architektur. Diese teilt den bisher als Single-Threat ausgeführten Prozess in mehrere Micro-Services auf. Der dazu eingeführte Prozess-Manager startet die verschiedenen Dienste bei Bedarf als Subprozesse.
Zudem soll der Wechsel von .NET 4.6.2 auf .NET Core deutliche Performance-Gewinne ermöglichen, weil dadurch mit https://learn.microsoft.com/en-us/aspnet/core/fundamentals/servers/kestrel?view=aspnetcore-8.0 Kestrel ein moderner Web-Server zum Einsatz kommt, der auch HTTP/2 unterstützt und durch Multiplexing Latenzen die Antwortzeiten reduzieren kann. Die Änderung in der Architektur zieht auch Änderungen der Schnittstellen für Plugins nach sich, so dass Nutzer viele Erweiterungen für das Gateway werden aktualisieren müssen. Leider funktionieren mehrere Erweiterungen, die von der Architekturänderung nicht betroffen sein sollten, mit dem neuen Gateway trotzdem nicht. Microsoft nennt im verlinkten Blog-Artikel jene von Dell, Lenovo oder Fujitsu.
Teste das neue Windows-Admin-Center-Gateway
Wenn du das neue Windows-Admin-Center-Gateway trotzdem bereits testen möchtest, kannst du dieses parallel zu einer bestehenden WAC-Installation bereitstellen. Du musst dabei lediglich darauf achten, für beide Systeme unterschiedliche Ports zu konfigurieren.
Kontakt
„*“ zeigt erforderliche Felder an