Hoffnung auf ein baldiges Erscheinen des Service Pack 2 (SP2) für Windows 2000 hatte Microsoft bereits Ende April 2001 gemacht. Seit dem 12. Mai kursierte eine Version im Internet, die ohne offizielles OK aus Redmond Kooperationspartner Conxion frühzeitig entfleucht war. Microsoft mahnte Kunden denn auch zur Geduld, da noch letzte Änderungen an dieser Fassung möglich seien. Das ist seit dem 17. Mai nicht mehr nötig: Auch auf der offiziellen Downloadseite ist das Service Pack 2 nun verfügbar. Einen Unterschied zwischen den beiden Varianten können wir nicht entdecken.
Das SP2 fasst viele bereits separat erhältliche Patches zusammen. Insgesamt soll es über 500 Probleme in Windows 2000 Professional, Server, Advanced Server und Windows 2000 mit Server Appliance Kit beheben. Darunter befinden sich bekannte Sicherheitslücken wie der ".printer Remote Overflow" im IIS 5.0. Außerdem verspricht das Service Pack 2 die Verschlüsselungsstärke auf 128 Bit anzuheben.
100 MByte Download
Der Download aus dem Internet umfasst üppige 101 MByte für die US-Version und 102 MByte für die deutsche Fassung. Angesichts dieser Datenmengen bietet Microsoft deshalb die Möglichkeit, das Service Pack auf CD zu bestellen, derzeit aber nur in englischer und französischer Sprache. Der Verweis auf die lokalen Niederlassungen führt bei Microsoft Deutschland derzeit noch ins Leere.
Um einen ersten Eindruck zu gewinnen installierten wir die englischsprachige Version des Service Pack auf einem Windows-2000-Server. Anschließend überprüften wir, ob der Zugriff auf Netzwerkressourcen möglich ist und gängige Applikationen weiterhin problemlos laufen. In der Vergangenheit hatte sich Microsoft des öfteren mit den Servicepacks ein Bein gestellt. So mussten sie beim NT SP6 schnell eine korrigierte .a-Version wegen Netzwerkproblemen mit Notes und 3Com-Karten nachschieben.
Express-Installation
Wer nicht auf die CD warten mag kann das Service Pack 2 auf zwei Arten aus dem Internet laden: Per Express-Installation oder so genanntem Netzwerk-Download.
Die Express-Installation erkennt die vorhandenen Betriebssystem-Komponenten auf dem Rechner und aktualisiert ausschließlich diese. Sie bringt - abhängig von der Installation - eine verringerte Downloadgröße mit sich. Gerade Anwender, die bereits ein Update auf Service Pack 1 vorgenommen haben, profitieren davon.
Der Nachteil dieser Variante: Bei jeder Nachinstallation von Betriebssystem-Komponenten muss man wieder zur Download-Seite und den Vorgang erneut starten. Überdies weist Microsoft in der Readme-Datei gewohnt dezent darauf hin, dass ja der Internet Explorer 5 in Windows 2000 enthalten ist. Daher wollen die Redmonder keine Erfolgsgarantie für das Express-Setup geben, wenn andere Browser zum Einsatz kommen. Netscape-Nutzer etwa haben Probleme, weil der Navigator von Haus nicht mit ActiveX-Controls umgehen kann.
Installationsart Netzwerk-Download
Insbesondere für Administratoren, die einige Hundert Rechner betreuen, eignet sich die Express-Methode sicher nicht. Sie greifen auf den Netzwerk-Download zurück, der zur Zeit in der US-Version (101 MByte) und der deutschen Fassung (102 MByte) vorliegt. Die stattliche Größe hat ihren Grund: Service Pack 1 ist gleich mit enthalten.
Um die Installation sofort zu starten, genügt ein Doppelklick auf die heruntergeladene Datei w2ksp2.exe. Hierbei wird allerdings jedesmal die über 100 MByte große Datei aufgerufen und entpackt. Vor allem im Netzwerk bietet es sich daher an, den bereits extrahierten Archivinhalt in einem Freigabeverzeichnis zur Verfügung zu stellen.
Das erreicht man über den Befehl w2ksp2.exe /x:\\\\server\\share. Von dort lässt sich anschließend über update.exe (174 KByte) die Installation starten, deren Verhalten man durch verschiedene Parameter beeinflussen kann.
Mit -q etwa läuft die Installation ohne Eingreifmöglichkeit des Anwenders im Hintergrund ab. Die Option -n verhindert eine spätere Deinstallation des Service Pack, da kein Backup der Originaldateien stattfindet.
Erste Probleme
Soviel Vertrauen in die Unfehlbarkeit Microsoft'scher Fixes besitzen wir nicht und starten das Standard-Setup. Die zur Wiederherstellung unseres Systems notwendigen 202 MByte an Daten sichert die Installationsroutine unterhalb des Betriebssystemverzeichnisses im Ordner $NTServicepackUninstall$. Insgesamt vergehen bis zum obligatorischen Neustart knapp 15 Minuten auf einem typischen Büro-PC mit Celeron 400 und 128 MByte Speicher.
Anschließend können wir uns zwar wie gewohnt an der Domäne anmelden, sehen aber in der Netzwerkumgebung zunächst keine Rechner. Erst als wir zwei automatisch gestartete Applikationen beenden klappt es schließlich. Danach lässt sich der Fehler nicht mehr reproduzieren, und weder Ereignisanzeige noch das Logfile svcpack.log enthalten einen Hinweis auf etwaige Probleme.
Leider sagt die Protokolldatei ebenso wenig über den erfolgreichen Abschluss der Installation. Hier hilft nur ein Blick auf die Zusammenfassung der Systeminformationen in der MMC.
Bugfixes und neue Möglichkeiten
Über 500 kleinere und größere Probleme soll das Service Pack 2 (SP2) beheben. Einen Teil dieser Probleme finden Sie in unserem Windows 2000 Bugreport zusammengefasst. Neben den Hotfixes, die teilweise nur auf Anfrage bei Microsoft erhältlich waren, dürften insbesondere die bislang nur einzeln verfügbaren Sicherheits-Updates interessant sein.
Erweiterter Kompatibilitätsmodus
Applikationen, die eng an die Besonderheiten von Windows 95 oder NT 4.0 gebunden sind, führt Windows 2000 im Kompatibilitätsmodus aus. Bisher entschied das Betriebssystem ausschließlich selbstständig, welchen Programmen es diese angepasste Umgebung zur Verfügung stellt. Mit dem Service Pack 2 erhält auch der Administrator eine Eingreifmöglichkeit. Wer auf diese Weise ein bestimmtes Utility unbedingt zum Laufen bringen will sollte jedoch bedenken, dass gerade System-Tools äußerst empfindlich reagieren können.
Mehr Sicherheit
SP2 erhöht die Verschlüsselungsstärke von standardmäßig 56 Bit auf 128 Bit für alle Windows-2000-Dienste und -Programme, die Daten chiffrieren. Dazu zählen beispielsweise Kerberos und gesicherte Verbindungen über SSL. Für den Protected Store - ein Teil der Crypto-API, der für die sichere Verwahrung sensibler Daten wie Schlüssel und Zertifikate zuständig zeichnet - steht ein separates Update bereit.
Bei der Aktualisierung auf 128-Bit-Verschlüsselung handelt es sich um eine irreversible Änderung. Während die Deinstallationsroutine des SP1 die entsprechenden Dateien aus dem High Encryption Pack wieder entsorgte, operiert Windows 2000 auch nach der Deinstallation von SP2 weiter mit 128-Bit-Keys.
Ferner integriert der neueste Patch aus Redmond die Einzellösungen für mehrere Sicherheitslöcher, wie die am 1. Mai 2001 bekannt gewordene Lücke im IIS 5.0. Über diese konnten Hacker Administratorrechte auf dem angegriffenen System erlangen.
Fazit
Das Service Pack 2 für Windows 2000 fasst vornehmlich die Bugfixes zusammen, die bereits separat zur Verfügung stehen. Die sicherheitsrelevanten Patches dürften dabei wohl das größte Anwenderinteresse genießen. Für alle, die stets die jeweiligen Löcher mit den Einzel-Fixes gestopft haben, lohnt sich der Download aus dem Internet oder das Warten auf die CD nicht.
Generell bieten Einzellösungen gegenüber Service Packs den Vorteil, dass sich bei Komplikationen die verdächtige Komponente rasch eingrenzen lässt. Doch wer kann schon von sich behaupten, regelmäßig alle Security Bulletins zu lesen und die darin enthaltenen Ratschläge zu befolgen?
Auf permanente Probleme sind wir bei unserem Kurztest nicht gestoßen. Wir konnten gängige Applikationen starten, auf Netzwerkressourcen zugreifen und verschiedene Dateioperationen problemlos durchführen. Als einziger Aussetzer fielen die kurzzeitig nicht erscheinenden Rechner in der Netzwerkumgebung auf. tri)