Das neue Windows Admin Center, das aus dem Microsoft-Projekt Honolulu hervorgegangen ist, ermöglicht die Verwaltung von Windows-Servern per Web-Browser. Es vereint zahlreiche Funktionen, die bisher auf verschiedene Microsoft-Konsolen verteilt waren, in einer zentralen grafischen Bedienoberfläche.

Mit dem Open-Source-Projekt Honolulu hat Microsoft sich vor etwa einem Jahr auf den Weg gemacht, ein zeitgemäßes Browser-basiertes Management-Tool zu entwickeln. Im April 2018 stellte der Konzern die neue Lösung unter dem Namen Windows Admin Center (WAC) als offizielles kostenfreies Verwaltungswerkzeug zum Download bereit. WAC umfasst bereits heute viele nützliche Funktionen und soll die zahlreichen lokal auf Windows-Systemen vorhandenen MMCs (Microsoft Management Console) sowie andere Tools wie den Server Manager mittelfristig ablösen. Für die Fernverwaltung von Servern und PCs nutzt WAC die Windows-Tools Remote PowerShell und WMI (Windows Management Instrumentation) over WinRM (Windows Remote Management). Deshalb sind keine zusätzlichen Agenten erforderlich.

Die Konsole von Windows Admin Center bietet zahlreiche Funktionen für das Server-Management.

Microsoft positioniert WAC als Ergänzung zu vorhandenen Lösungen wie System Center oder der Operations Management Suite. Unternehmen jeder Größe können damit ihre Windows-Systeme über ein zentrales Browser-basiertes Tool verwalten. Eine Integration von Azure-Instanzen und -Authentifizierungsmechanismen ist ebenfalls möglich.

Desktop- oder Gateway-Modus

Installieren lässt sich Windows Admin Center auf Windows-10-Rechnern (Version 1709) sowie auf Windows Server 2016, Windows Server Version 1709 (Semi-Annual Channel des WS 2016) und der Preview-Version von Windows Server 2019. Auf Windows-10-Rechnern wird WAC im Desktop-Modus installiert. Der Administrator öffnet die Oberfläche über einen lokal auf diesem Rechner vorhandenen Browser mit der Eingabe von localhost:6516. Anschließend kann er im WAC die zu verwaltenden Systeme hinzufügen. Unterstützt werden hier Server ab WS 2012 und PCs ab Windows 10. Zudem bietet WAC spezielle Management-Funktionen für Failover-Cluster sowie Hyper-Converged Cluster, die Storage Spaces Direct (S2D) für die Speicherverwaltung verwenden. Microsoft hat bisher lediglich die Browser Edge und Chrome für WAC freigegeben, der Internet Explorer lässt sich mit WAC nicht nutzen.

WAC stellt alle verwalteten Systeme in einer flachen Server-Liste dar. Tags helfen bei der Kategorisierung.

Für größere Unternehmen empfiehlt sich die WAC-Installation im Gateway-Modus auf einem WS-2016- oder WS-2019-Preview-System. Administratoren können sich prinzipiell von überall aus mit einem Edge- oder Chrome-Browser am Gateway anmelden und die WAC-Funktionen aus der Ferne nutzen. Die Bedienung erfolgt auf dieselbe Weise wie im Desktop-Modus. Das WAC-Gateway lässt sich auch auf einem hochverfügbaren Failover-Cluster betreiben.

Schnell installiert

Um das neue Windows Admin Center für LANline zu testen, haben wir die Version 1804 auf einem virtuellen WS-2016-System als WAC-Gateway installiert. Beim Setup kann der Administrator wählen, ob WAC ein bereits vorhandenes oder ein selbstsigniertes Zertifikat verwenden soll, das 60 Tage gültig ist. Das Gateway nutzt standardmäßig Port 443, man kann aber auch einen anderen Port angeben.

Das Setup war nach etwa einer Minute abgeschlossen. Nun konnten wir von einem W10-Notebook aus per Chrome- wie auch Edge-Browser unter Eingabe des Server-Namens mit w2016wac auf das WAC-Gateway zugreifen. Das Notebook war Mitglied derselben Windows-Domäne wie das Gateway und die meisten Server des Testnetzes. Der Zugriff auf das WAC-Gateway und die Remote-Verwaltung der Systeme funktionieren mit Workgroup-Systemen prinzipiell genauso, da zu Beginn jeder Session eine Anmeldung mit einem zugriffsberechtigten Account durchzuführen ist.

Die Konfiguration des WAC-Gateways erfolgt im Menü „Einstellungen“. Hier legt der Administrator fest, welche Benutzer oder Gruppen sich am Gateway anmelden und die Fernverwaltungsfunktionen nutzen dürfen. Zudem kann er weitere Gateway-Administratoren berechtigen. Für den Zugriff auf die verwalteten Systeme lassen sich entweder volle Administratorrechte zuweisen; oder der Systemverwalter richtet eine rollenbasierte Zugriffskontrolle ein, indem er verwaltete Server mithilfe von PowerShell und Desired State Configuration als „Just Enough Administration“-Endpoint konfiguriert. Des Weiteren ist es möglich, das Gateway beim Azure Active Directory zu registrieren und dessen Berechtigungsmechanismen zu nutzen.

Unter den WAC-Einstellungen findet sich auch ein Erweiterungs-Manager, um zusätzliche Management-Funktionen hinzuzufügen. Microsoft wird für WAC in Kürze ein eigenes Software Development Kit (SDK) anbieten, mit dem Dritthersteller Zusatzmodule entwickeln können.

Vorbereitung der zu verwaltenden Systeme

Um Rechner mit WAC fernverwalten zu können, müssen auf den Zielsystemen bestimmte Voraussetzungen erfüllt sein, wenn es sich um WS 2012, WS 2012 R2, Hyper-V 2012 R2 oder Hyper-V 2016 handelt. Auf 2012-Servern muss mindestens das Windows Management Framework (WMF) in Version 5.1 installiert sein, damit die PowerShell-Version alle vom WAC benötigten Kommandos enthält. Bei WS-2012- und WS-2016-Hyper-V-Servern müssen zudem die File-Server-Rolle sowie das Hyper-V Module for PowerShell installiert und die Remote-Management-Funktionen aktiviert sein.

Der WAC-Geräte-Manager lässt sich auch mit Server-Core-Installationen nutzen.

Nach diesen Vorarbeiten fügten wir die Testsysteme in der WAC-Oberfläche hinzu. Wir verwendeten hierfür die Schaltfläche „Server hinzufügen“. In größeren Umgebungen lassen sich die Server-Namen auch mithilfe einer Textdatei importieren. Die WAC-Konsole bietet im „Hinzufügen“-Dialog eigene Schaltflächen für Server, Windows-PCs, Failover-Cluster und Hyper-Converged Cluster. Je nach Typ stehen für die Fernverwaltung unterschiedliche Funktionen bereit.

Probleme mit Chrome-Browser

Beim Hinzufügen des ersten Servers verwirrte uns zunächst, dass mehrmals das Anmeldefenster des Gateway-Servers aufpoppte und wir jedes Mal den Benutzernamen und das Passwort neu eingeben mussten. Das gleiche Spiel wiederholte sich beim nächsten Server. Eine Google-Suche brachte die Erklärung: Hier handelt es sich um einen Bug im Zusammenspiel des von WAC genutzten WebSocket-Protokolls mit Chrome. Es empfiehlt sich deshalb, WAC zumindest bei der Erstkonfiguration mit dem Edge-Browser zu nutzen. Mit Edge muss man im „Hinzufügen“-Dialog die Anmeldeinformationen für das WAC-Gateway nur einmal eingeben. Aufgrund des WebSocket-Bugs hatte der Chrome-Browser zum Zeitpunkt dieses Tests noch weitere gravierende Schwächen: Er konnte Windows-Events nicht anzeigen sowie weder die Remote PowerShell noch den Remote Desktop ausführen.

Bei der Anmeldung an einem von WAC verwalteten System kann der Administrator die Option wählen, die Benutzerdaten für alle Verbindungen heranzuziehen. Dies ist sehr nützlich, wenn während einer WAC-Session auf mehreren Systemen derselben Windows-Domäne Arbeiten durchzuführen sind, da der Systemverwalter die erforderlichen Anmeldeinformationen nur ein einziges Mal eintippen muss.

Mit WAC kann man virtuelle Maschinen auf Hyper-V-Servern aus der Ferne verwalten und auch neue VMs erstellen.

Um Server einfacher identifizieren zu können, kann der Administrator zu jedem System ein oder mehrere frei wählbare Tags eingeben, zum Beispiel um Kategorien wie Web- oder Datenbank-Server oder die OS-Version zuzuordnen. Über die Suchmaske der WAC-Oberfläche lässt sich dann nach den gewünschten Tags filtern. Eine hierarchische Organisation von Servern in Gruppen, um zum Beispiel verschiedene Standorte abzubilden, gibt es bislang nicht.

Neben mehreren WS-2016-VMs fügten wir in der WAC-Konsole ein physisches WS-2012-R2-System sowie zwei geclusterte physische WS-2016-Hyper-V-Server hinzu. Den Failover-Cluster nahmen wir zusätzlich in die Server-Übersicht mit auf, um auch die Cluster-spezifischen WAC-Funktionen testen zu können. Zum Abschluss wollten wir noch ein W10-Notebook aufnehmen, erhielten aber die Fehlermeldung, dass auf dem Rechner WinRM nicht aktiv ist. Deshalb führten wir auf dem Notebook in einer Kommandozeile den Befehl winrm quickconfig aus. Damit wurde der WinRM-Dienst aktiviert und die erforderlichen Firewall-Regeln konfiguriert. Anschließend konnten wir das Notebook hinzufügen.

Umfangreiche Management-Funktionen

Hat man Server, PCs oder Cluster hinzugefügt, lässt sich per Klick auf einen Systemnamen die zugehörige Remote-Management-Seite öffnen. Der linke Fensterbalken listet alle Funktionsbereiche. Ein Mausklick auf die gewünschte Kategorie öffnet im Hauptfenster die zugehörige ein- oder mehrteilige Bedienoberfläche.

In der getesteten WAC-Version sind bereits viele nützliche Verwaltungsfunktionen verfügbar. Die Systemübersicht zeigt die aktuelle Auslastung an und bietet Schaltflächen zum Neustarten oder Herunterfahren. Über die Menüliste im linken Fensterbalken kann der Administrator unter anderem auf die Event-Logs, das Disk- und Geräte-Management, die Verzeichnisstrukturen der Dateisysteme sowie die Dienste-, Firewall- und Netzwerkkonfiguration zugreifen. Auch lokale Benutzer und Gruppen lassen sich verwalten, Rollen und Funktionen kann man hier installieren oder entfernen.

Neben Servern und PCs lassen sich auch Failover-Cluster und Hyper-Converged Cluster administrieren.

Mit einem Klick auf die PowerShell-Schaltfläche öffnet WAC eine Remote-PowerShell-Session. Der Remote-Desktop-Button stellt eine RDP-Verbindung zum verwalteten System her. Nicht unterstützt ist bisher das direkte Kopieren zwischen dem Rechner, auf dem der WAC-Browser geöffnet ist, und dem im Browser-Fenster per RDP angebundenen Remote-Server. Auch einige Shortcuts und Funktionstasten stehen in WAC-RDP-Sessions bislang nicht zur Verfügung.

WAC bietet zudem einen Remote-Zugriff auf die Registry sowie die aus dem Task Manager bekannte Prozessansicht, mit der sich Prozesse beenden oder starten lassen. Die Verwaltung von Microsoft-Updates und Zertifikaten rundet das Funktionsspektrum ab. Bei Hyper-V-Hosts sind darüber hinaus Management-Funktionen für VMs und virtuelle Switches vorhanden.

Die Navigation zwischen den übersichtlich angeordneten Funktionsbereichen ist sehr einfach. Wünschenswert wäre, wenn man in der Server-Übersicht mehrere Server in neuen Browser-Tabs parallel öffnen könnte. Dies ist bislang nicht möglich: Der Administrator muss für jeden weiteren Server einen neuen Tab oder ein neues Fenster öffnen und sich erneut anmelden. Immerhin verfügen innerhalb des Server-Managers viele Schaltflächen über das „In neuem Tab öffnen“- und „In neuem Fenster öffnen“-Kontextmenü. Im neuen Tab ist zwar nochmals eine Anmeldung erforderlich, es öffnet sich aber dann gleich die Seite für den Funktionsbereich, den man im Server-Manager zuvor ausgewählt hat.

Im LANline-Test ließen sich – abgesehen von den erwähnten Problemen mit dem Chrome-Browser – alle WAC-Funktionen nahezu fehlerfrei nutzen. Nur einmal erschien ein Popup-Fenster mit der Meldung „Unbekannter Fehler“, als wir auf einem Hyper-V-Server per WAC-Remote-Session eine neue VM erstellten. Die VM war aber trotzdem erfolgreich angelegt worden.

Der WAC-Server-Manager öffnet per Mausklick eine RDP-Verbindung zum verwalteten System.

Über die WAC-Konsole kann der Administrator die Konfiguration von VMs anpassen und zum Beispiel RAM, CPUs oder Disks hinzufügen. Die VM muss er hierfür herunterfahren. Eine Änderung der Größe von virtuellen Disks ist mit WAC bislang nicht möglich, steht aber bereits auf der Liste für künftige Funktionserweiterungen.

Ein Vergleich von WAC mit den in den klassischen Tools verfügbaren Server-Management-Funktionen zeigt jedoch, dass noch etliche Features fehlen. Zu nennen sind hier zum Beispiel Schedulded Tasks, iSCSI-Konfiguration, DNS, DHCP, Active-Directory-Konsolen, Perfmon oder Windows Server Backup. In einigen WAC-Menüfenstern ist aber bereits der Hinweis eingebaut: „Bald mehr verfügbar“. Ein Blick in den WAC-Admin-Guide zeigt, dass zu vielen Bereichen konkrete Funktionsanforderungen (Feature Requests) vorliegen. Der Funktionsumfang von WAC wird in den kommenden Monaten und Jahren also kontinuierlich wachsen. Der neue WS 2019 wird unter anderem zusätzliche Möglichkeiten für die Cloud-Integration bieten. Bereits heute lassen sich mit WAC auch Azure-VMs verwalten und im Unternehmensnetz laufende VMs zu Azure replizieren.

Fazit

Das aus dem Open-Source-Projekt Honolulu entstandene Windows Admin Center stellt zahlreiche nützliche Funktionen für die Fernverwaltung von Windows-Servern zur Verfügung. Im Gateway-Modus können Administratoren ihre Systeme von beliebigen Orten aus per Web-Browser verwalten. Bislang werden allerdings nur Edge und Chrome unterstützt, wobei der Chrome-Support noch Nachbesserungen erfordert. WAC ist auch für Server-Core-Installationen eine interessante Option, weil es eine grafisch gestützte Fernverwaltung ermöglicht.

Vermisst haben wir eine Möglichkeit, für Systeme derselben Windows-Domäne innerhalb einer WAC-Session mehrere Server-Tabs oder -Fenster parallel zu öffnen, ohne sich hierfür jedes Mal neu anmelden zu müssen. Da zu erwarten ist, dass Microsoft nach und nach immer mehr Funktionen in das kostenlos erhältliche WAC-Tool integrieren wird, lohnt es sich auf jeden Fall, das neue Management-Werkzeug bereits heute intensiv zu evaluieren. Erste Tests lassen sich ohne großen Aufwand mit einem Windows-10-Rechner durchführen.