• Artikel

Interop

Interaktion mit Windows aus einer Mac-Umgebung

Wes Miller

 

Auf einen Blick:

  • Herstellen einer Verbindung zu Active Directory mit Directory Utility
  • Verwenden von Entourage mit Exchange
  • Kommunikation über Messenger und OCS
  • Überbrücken der Plattformen mit Virtualisierung

Inhalt

Active Directory
Exchange
Netzwerkzugriffsschutz
OCS und Messenger
Wiederherstellen der Verbindung zu Windows
Verwaltung von Informationsrechten
Eine gemeinsame Plattform
Virtualisierung
Schlussbemerkung

Viele Organisationen betreiben heutzutage sowohl Macs als auch Windows-PCs in ihrer Umgebung. Beide Systeme zur Zusammenarbeit zu bewegen, ist um vieles einfacher geworden. Das war nicht immer so. 1995 begann ich meine Tätigkeit in einem kleinen ISP- und Servicegeschäft in Raleigh, North Carolina, wo die meisten Mitarbeiter mit Macs arbeiteten. Einige wenige verwendeten Windows. Erst kurz bevor ich die Firma 1996 verließ, war es gelungen, bis zu einem gewissen Grad Interoperabilität zu erreichen.

Für Netzwerkzwecke stützte sich Mac auf AppleTalk, während Windows TCP/IP als Standardprotokoll verwendete (Apple hatte gerade begonnen, mit TCP/IP zu experimentieren). Macs nutzten außerdem ein proprietäres Verfahren zur Dateifreigabe, während Windows eine Methode verwendete, die als SMB-Protokoll (Server Message Block) bekannt wurde. Die beiden waren so unvereinbar, dass wir sie auf separaten Netzwerken isolierten, hauptsächlich aufgrund der „Geschwätzigkeit“ von AppleTalk.

Die Zeiten haben sich geändert. Heute können Sie nicht nur Macs in Ihre Windows-Netzwerkinfrastruktur einbinden, sondern außerdem einige der Betriebssystemdienste integrieren. Der Artikel von Don Jones in dieser Ausgabe befasst sich mit der Vernetzung von Mac und Windows. Ich werde mich darauf konzentrieren, wie die beiden Systemarten tatsächlich zur Zusammenarbeit bewegt werden können.

Interoperabilität zwischen Mac- und Windows-Computern beinhaltet, mit der Software und den Betriebssystemdiensten zu arbeiten, die die Funktionen bereitstellen, die Unternehmen benötigen. Außerdem wird ein bestimmtes Ausgangsniveau in Bezug auf die Hardware vorausgesetzt, sodass tatsächlich Interoperabilität möglich ist, wobei Virtualisierung oft als Brücke zwischen den beiden Plattformen dient. Die Umstellung des Mac von AppleTalk auf TCP/IP war für die Interoperabilität mit Windows von enormer Bedeutung. Wie Sie sehen werden, war die Umstellung auf eine Intel-basierte Architektur von ebenso hoher, wenn nicht gar größerer Bedeutung.

Active Directory

Richtig. Wenn Sie sich Abbildung 1 anschauen, sehen Sie eine Active Directory-Testdomäne, die ich bei mir zu Hause installiert habe – mit meinem iMac als Mitglied.

fig01.gif

Abbildung 1 Active Directory-Domäne mit einem Mac (zum Vergrößern auf das Bild klicken)

Seit Beginn der Auslieferung von OS X haben ISVs Tools erstellt, mit denen die Integration von Mac in Active Directory (bis zu einem gewissen Grad) bewerkstelligt werden kann (oder in umgekehrter Richtung sogar die Verschiebung von Gruppenrichtlinien auf einen Mac-Client). In OS X 10.5 („Leopard“), das 2007 ausgeliefert wurde, ist direkt begrenzte Unterstützung integriert. Damit ist es problemlos möglich, den Beitritt eines Mac zu einer Windows-Active Directory-Domäne zu konfigurieren.

In der eigenen Umgebung verwenden Macs das LDAP-Verzeichnis von Apple, Open Directory. Open Directory und Active Directory arbeiten zwar mit verschiedenen Schemas, aber die Tatsache, dass Macs einem Verzeichnis beitreten können, bedeutet, dass Sie die Möglichkeit zur zentralen Verwaltung haben. Wenn Sie in eine Active Directory-Infrastruktur investiert haben, können Sie ohne großen Aufwand Macs in Active Directory integrieren.

Um einen Mac ohne Drittanbietertools in Active Directory integrieren zu können, benötigen Sie einen Intel- oder PowerPC-basierten Mac mit Mac OS X 10.5 oder höher. Nachdem Sie das System gestartet und sich angemeldet haben, öffnen Sie den Ordner „Applications“, und navigieren Sie zum Ordner „Utilities“. Dort finden Sie ein Dienstprogramm namens „Directory Utility“. Starten Sie dieses Programm. Wenn Ihrem Mac bereits eine Open Directory-Beziehung zugeordnet ist, wird diese hier angezeigt. Andernfalls ähnelt das angezeigte Fenster dem in Abbildung 2.

fig02.gif

Abbildung 2 Directory Utility des Mac (zum Vergrößern auf das Bild klicken)

Öffnen Sie das Schloss in der linken unteren Ecke, und geben Sie Ihre Administratoranmeldeinformationen ein. Klicken Sie dann auf das Pluszeichen (+), um ein Verzeichnis hinzuzufügen. Wählen Sie nach dem Öffnen des Dialogfelds „Active Directory“ aus. Daraufhin wird das in Abbildung 3 dargestellte Dialogfeld angezeigt.

fig03.gif

Abbildung 3 Hinzufügen eines Active Directory-Verzeichnisses (zum Vergrößern auf das Bild klicken)

Dieser Vorgang unterscheidet sich nicht wesentlich von der Verknüpfung eines Windows-Systems mit Active Directory, abgesehen davon, dass alle Schritte auf einer Seite ausgeführt werden und Anmeldeinformationen im alten Stil (Domäne\Benutzer) offenbar nicht zulässig sind. Anmeldeinformationen müssen im neuen Format Benutzer@Domäne.tld eingegeben werden. Nach dem Verknüpfen wird das Verzeichnis in Directory Utility aufgelistet (siehe Abbildung 4). Wenn Sie nur wenige Computer verknüpfen oder die grafische Benutzeroberfläche verwenden möchten, bietet Directory Utility hierfür eine schnelle Möglichkeit. Wenn Sie mehrere Computer aus einem Skript verknüpfen möchten oder lieber mit Terminal (der Mac-Befehlsshell) arbeiten, können Sie auch „dsconfigad“ ausführen, wie im Folgenden beschrieben (geben Sie alles in einer Zeile ein):

dsconfigad –f –a computername –domain yourforest
 .yourdomain.tld –u domainaccount –p domainpassword –lu
 localadminaccount –lp localadminpassword

fig04.gif

Abbildung 4 Active Directory auf dem Mac (zum Vergrößern auf das Bild klicken)

Wenn Sie vorhaben, einen Mac irgendwann sowohl mit Active Directory als auch Open Directory zu verknüpfen, sollten Sie immer erst die Verknüpfung mit Active Directory und dann mit Open Directory herstellen.

Welche Möglichkeiten haben Sie nun nach der Verknüpfung des Systems mit Active Directory? Der einzige Mac-E-Mail-Client, der systemeigenen E-Mail- und Kalenderzugriff auf Exchange bietet, Microsoft Entourage, ist weniger funktionsreich als Microsoft Outlook bei der Aufzählung der Verzeichnisattribute. Directory Utility (auch verfügbar im Ordner „/Applications/Utilities“) bietet nicht nur Verwaltungsfunktionen, sondern ermöglicht Ihnen außerdem, Verzeichnisattribute von Benutzern, Gruppen und mehr anzuzeigen (siehe Abbildung 5).

fig05.gif

Abbildung 5 Directory Utility ermöglicht das Anzeigen von Benutzer- und Gruppenattributen (zum Vergrößern auf das Bild klicken)

Wie bereits erwähnt, sind mehrere Anwendungen verfügbar, mit deren Hilfe Sie Mac-Systeme aus Active Directory und sogar aus den Gruppenrichtlinien selbst verwalten können. Im Hinblick auf die Verwaltung können Sie Macs also praktisch wie Windows-Systeme behandeln. Werfen Sie einen Blick auf Anwendungen wie ADmitMac oder Centrify DirectControl, um nur einige zu nennen.

Exchange

Jahrelang mussten Mac-Benutzer, die einen Mac mit Exchange verbinden wollten, POP3/SMTP- oder IMAP-Zugriff (Internet Message Access Protocol) auf Exchange oder einfach Outlook Web Access verwenden. Im Vergleich zu den umfassenden Möglichkeiten von Exchange/Outlook sind alle diese Verfahren unbefriedigend.

Sowohl die 2004- als auch 2008-Versionen von Microsoft Office für Mac bieten umfassende Exchange-Unterstützung über Entourage (Gleiches gilt für Mac OS X Mail, allerdings fehlen systemeigene Kalenderfunktionen). Obwohl Sie beim Adressbuch nicht die Vielfalt einer umfassenden Active Directory-Integration nutzen können, ist die Push-E-Mail-Funktion (außerdem Besprechungsanfragen, Kontakte und Kalender) wesentlich stabiler als beim Zugriff auf Exchange via Internetprotokoll. Entourage unterstützt alle neuen Versionen von Microsoft Exchange.

Ein wichtiger Hinweis: Safari, der Standardwebbrowser von Apple, unterstützt nur Outlook Web Access Light, wenn eine Verbindung zu Exchange über das Web hergestellt wird. (Internet Explorer ist der einzige Browser, der umfassende Unterstützung für die Outlook Web Access-Funktionen bietet.)

Netzwerkzugriffsschutz

Wenn Sie Windows Server 2008 verwenden und Netzwerkzugriffsschutz (network access protection, NAP) bereitstellen, könnte es von Interesse sein, dass Microsoft an zwei Anbieter, UNet und Avenda, Lizenzen für seine NAP-Architektur für die Erstellung von Clients für Mac (sowie für Linux) vergeben hat.

OCS und Messenger

In der aktuellen Version (einem Update der Version, die ursprünglich mit Microsoft Office 2008 für den Mac ausgeliefert wurde) bietet Messenger für Mac 7 Unterstützung für andere Benutzer von MSN Messenger/Live Messenger. Außerdem unterstützt die Anwendung nun den Zugriff auf Unternehmensimplementierungen von Office Communication Server (OCS), was in einer Windows-Organisation gleichermaßen wichtig ist. Das Bildschirmfoto in Abbildung 6 zeigt den Bereich „Corporate“ der Messenger-Konten, in dem Sie die Informationen für die Verbindung zu OCS angeben können.

fig06.gif

Abbildung 6 Sie können die Informationen für die Verbindung von Messenger zu OCS angeben (zum Vergrößern auf das Bild klicken)

Wiederherstellen der Verbindung zu Windows

Seit einiger Zeit bietet Microsoft eine Version des Remote Desktop-Clients für Macintosh an. Im vergangenen Jahr veröffentlichte Microsoft eine hervorragende neue Version, Remote Desktop Connection Client 2 (die in diesem Jahr aktualisiert wurde), die es Macs ermöglicht, eine Verbindung zurück zu Windows herzustellen – sogar zu Windows Vista- oder Windows Server 2008-Systemen. Abbildung 7 zeigt Remote Desktop für den Mac. Diese Version unterstützt die Laufwerk-, Drucker- und Audioumleitung, verfügt aber nicht über Funktionen zur Umleitung anderer Geräte. Außerdem ist es damit möglich, mehrere gleichzeitige Verbindungen einzurichten.

fig07.gif

Abbildung 7 Verbinden eines Mac mit Windows (zum Vergrößern auf das Bild klicken)

Verwaltung von Informationsrechten

Wie in der Rubrik „Die Desktopdateien“ im November 2008 erläutert wurde, bietet Microsoft keine Unterstützung für den Zugriff auf Dokumente in Microsoft Office für Mac 2004 oder 2008, die durch IRM (Information Rights Management, Verwaltung von Informationsrechten) geschützt sind (siehe In Office für Mac können keine Dokumente geöffnet werden, die mit IRM geschützt sind). Diese Versionen können Dokumente im Office Open XML-Format öffnen – Letztere systemintern sowie Erstere systemintern, wenn die aktuellen Updates und der Formatkonverter installiert sind. Keine ist jedoch in der Lage, IRM-geschützte Dokumente direkt zu öffnen. Außerdem fehlt Macs eine systemeigene Methode, mit IRM-geschützten E-Mails zu interagieren.

Wenn ein Mac-Benutzer Zugriff auf IRM-geschützten Inhalt benötigt, ist es am zweckmäßigsten, eine der Virtualisierungstechnologien für den Mac zu verwenden und eine in eine Domäne eingebundene Instanz von Windows auszuführen. Dies ermöglicht die Verwaltung und einfachere Integration in IRM. Das Windows-System würde mit Ihrer vom Unternehmen lizenzierten Kopie von Office 2003 oder Office 2007 ausgestattet, konfiguriert für die Arbeit mit IRM.

Die einzige Schwierigkeit besteht bei dieser Lösung darin, dass Sie nun ein weiteres Windows-System verwalten müssen (außer dem Mac). Dies ist natürlich eine Kehrseite der Virtualisierung – Windows-Installationen können sich ausbreiten, wenn sie nicht sorgfältig verwaltet werden. Als weiteres potenzielles Problem ist zu berücksichtigen, dass der Umgang mit Office unter Windows sowie auf dem Mac erlernt werden muss.

Auch die einzige Alternative zur Virtualisierung kommt nicht ohne zweite Windows-Installation aus und bringt für den Endbenutzer Probleme. Sie könnten ein Boot Camp-Volume mit installiertem Windows in der oben beschriebenen Konfiguration verwenden, das aber direkt in einem Boot Camp-Volume auf dem Mac ausgeführt wird (auf Boot Camp soll später ausführlicher eingegangen werden). Zunächst ein kurzer Überblick über Boot Camp und die Virtualisierung auf dem Mac. Die Erörterung von Boot Camp und Virtualisierung beruht auf der Annahme, dass ein Intel-basierter Macintosh verwendet wird. Ältere PowerPC-basierte Macs bieten statt echter Virtualisierung lediglich Emulation mithilfe von Produkten zur Softwareemulation wie Microsoft Virtual PC.

Eine gemeinsame Plattform

Vor einigen Jahren stellte Apple von einer PowerPC-basierten Architektur auf Intel x86 um. Dank des Einsatzes herkömmlicher Hardware konnten die Plattformkosten gesenkt und die Leistung gesteigert werden. Für einige Benutzer war ebenso wichtig, dass Mac und Windows nun eine Plattform gemeinsam hatten, obwohl Macs EFI (Extensible Firmware Interface) statt BIOS verwendeten. Außerdem verwendeten sie die GPT-Partition (GUID Partitioning Table) statt der MBR-Partition (Master Boot Record), die in 32- und 64-Bit-Windows zur Anwendung kam.

Die ersten von Apple verkauften Systeme waren durchweg Einzelkern- und x86-Systeme. Alle heute vertriebenen Mac-Systeme sind x64-fähig und mit Doppelkernprozessoren ausgestattet. Dies ermöglicht bei der Verwendung von Virtualisierungssoftware eine äußerst zufriedenstellende Leistung, die bei der Ausführung von Windows XP oder Windows Vista mit Aero systemeigen über Boot Camp sogar noch besser ist.

Durch Einsatz von EFI und GPT (beides wurden übrigens hauptsächlich von Intel entwickelt und kommt in der Intel Itanium-Architektur mit 64-Bit-Prozessor zur Anwendung) vermied Apple einen Großteil der Legacyschwierigkeiten der BIOS-Architektur und schuf die Voraussetzungen für wesentlich flexiblere Partitionierungsszenarios, als sie in Windows möglich sind. MBR-Datenträger unterliegen zahlreichen Einschränkungen im Hinblick auf die Zahl und Art der Volumes, die erstellt werden können, sowie Größenbegrenzungen. GPT wurde speziell mit dem Ziel der Überwindung dieser Einschränkungen entworfen.

Im Ergebnis der Umstellung auf die x86-Architektur entwickelte sich eine Hackercommunity, die erreichen wollte, dass Windows XP unter Mac OS ausgeführt werden kann. Die Schwierigkeiten sind hier ziemlich groß, da 32-Bit-Windows weder EFI noch GPT unterstützt. Apple erstellte ein einfaches Dienstprogramm namens Boot Camp, das ursprünglich als Betadownload verfügbar war und jetzt exklusiv im Lieferumfang von Mac OS X 10.5 enthalten ist. Dank BIOS-Emulation und eines recht einfallsreichen „Überlagerungsformats“ für die Partitionierung, bei dem der Datenträger mithilfe abgestimmter MBR- und GPT-Partitionseinträge partitioniert wird, kann Windows von seinem eigenen Volume gestartet werden, während der Mac weiterhin auf seinem Volume ausgeführt wird.

Boot Camp ist sehr benutzerfreundlich. Es partitioniert den Datenträger dynamisch neu und hilft bei der Installation von Windows. Der einzige Nachteil von Boot Camp besteht darin, dass Sie den Mac in Windows neu starten und dann nochmals neu starten müssen, um zum Mac zurückzukehren, wenn Sie die Betriebssystemumgebung wechseln. Kurz gesagt, es funktioniert – besonders für Technikbegeisterte wie TechNet Magazin-Leser (allerdings gebe ich zu, dass mir nicht gefällt, wie umständlich der eigentliche Prozess ist).

Für Benutzer mit einer Anwendung, die Zugriff auf die eigentliche Hardware des Computers erfordert (z. B. eine grafikintensive Anwendung oder ein mit FireWire verbundenes Peripheriegerät), ist Boot Camp womöglich genau das Richtige. Durch Virtualisierung lässt sich aber fast das Gleiche erreichen, wenn auch mit einigen Einschränkungen. Das größte Problem bei Boot Camp besteht wahrscheinlich darin, dass Windows in der systemeigenen Konfiguration nicht auf HFS+-formatierte Mac-Volumes zugreifen kann und Macs in der systemeigenen Konfiguration nicht auf NTFS-formatierten Volumes schreiben können (das Lesen ist jedoch möglich).

Im Folgenden möchte ich kurz auf zwei kostenlose Dienstprogramme und ein kommerzielles Produkt eingehen, die das Arbeiten mit Boot Camp sogar noch einfacher machen. Das kostenlose Dienstprogramm rEFIt ermöglicht Ihnen, auf dem Mac flexiblere Startkonfigurationen zu erstellen, als dies mit dem Einzelvolumeszenario in Boot Camp möglich ist (über Boot Camp kann nur eine Instanz von Windows installiert werden). Mithilfe von rEFIt erreichen Sie, dass der Macintosh einen Dreifachstart mit Mac OS X (zuerst installiert), Windows XP (installiert mit Boot Camp) und Windows Vista Ultimate (installiert mit rEFIt) ausführt. Lassen Sie beim Einsatz von rEFIt Vorsicht walten (lesen Sie die Dokumentation) – rEFIt ist ein sehr leistungsfähiges Tool, das Ihrem System Schaden zufügen kann, wenn Sie es nicht richtig verwenden.

Das ebenfalls kostenlose Dienstprogramm NTFS-3G ermöglicht Mac OS X, NTFS-formatierte Volumes nicht nur zu lesen, sondern auch, auf ihnen zu schreiben. Abschließend soll MacDrive 7 (49,95 US-Dollar/System) erwähnt werden, nach meiner Kenntnis das einzige Dienstprogramm, das einem über Boot Camp gestarteten Windows-Volume ermöglicht, ein HFS+-formatiertes Mac OS X-Volume zu lesen und auf ein solches zu schreiben.

Virtualisierung

Das von Connectix (dem Unternehmen, das seine Emulations- und Virtualisierungstools an Microsoft verkaufte) produzierte Virtual PC-Produkt für den Mac war eigentlich nur ein Emulations- und kein Virtualisierungsprodukt. Im Grunde emulierte es einen x86-Anweisungssatz auf PowerPC-basierten Computern. Das Ergebnis war brauchbar, aber für den täglichen Einsatz nicht schnell genug. Heutzutage funktioniert das Virtual PC-Produkt von Microsoft nur auf älteren PowerPC-basierten Macs. Seit Apples viel diskutierter Umstellung auf die x86-Architektur wurden aber mindestens drei unterschiedliche Virtualisierungsprodukte für den Mac zur Verfügung gestellt. Einige bieten sogar GPU-Emulation, was bedeutet, dass grafikintensivere Anwendungen (sogar Spiele) auf dem Mac ausgeführt werden können, und zwar mit einer Leistung, die der bei Ausführung auf physischer Hardware sehr nahe kommt.

Die vorherrschenden Virtualisierungsprodukte für den Mac sind VMware Fusion und Parallels Desktop for Mac. Beide Produkte ermöglichen Ihnen, dieselben Boot Camp-Partitionen sowohl virtuell als auch über Boot Camp zu booten (so können Sie die Vorteile beider Methoden nutzen). Außerdem bieten sie einen „transparenten“ Modus, in dem Anwendungen, die auf einem virtuellen Windows-Computer ausgeführt werden, aussehen, als würden sie direkt auf dem Mac ausgeführt. Außerdem unterstützen sie Drag & Drop zwischen den virtuellen Mac- und Windows-Computern.

Beachten Sie, dass der IRM-Schutz durch die Virtualisierung eines IRM-Clients möglicherweise umgangen wird. Es ist relativ einfach, eine Bildschirmaufnahme eines virtuellen Windows-Computers anzufertigen, der auf einem Mac ausgeführt wird. Wie aber in der Rubrik „Die Desktopdateien“ vom November 2008 erwähnt, funktioniert IRM nur so lange, bis Sie auf die „Analoglücke“ stoßen, was einem ruchlosen Benutzer auf einem virtualisierten Computer erleichtert wird – dessen sollten Sie sich bewusst sein.

Natürlich wäre es ideal, wenn Sie Benutzern von Macs (oder anderen Plattformen) dieselbe Funktionalität bieten könnten wie Windows-Benutzern. Einige Tools (z. B. IRM, SQL-Serveranwendungen oder Microsoft .NET-Anwendungen) lassen sich aber nicht systemeigen ausführen und müssen in einer Windows-Installation verwendet werden, die virtualisiert oder unter Boot Camp ausgeführt wird. Außerdem müssen alle Anwendungen, die eine High-End-GPU oder DirectX 10 erfordern, über eine Windows-Installation ausgeführt werden, die über Boot Camp läuft. Virtualisierung ist eine großartige Brücke für Anwendungen, die nur für Windows bestimmt sind, wenn Benutzer Macs verwenden müssen.

Schlussbemerkung

Mit der Umstellung auf eine x86-basierte Intel-Architektur, mit zahlreichen systemintern verfügbaren Anwendungen und mit leistungsfähigen Lösungen für Virtualisierung/systemeigenes Starten lässt sich die Plattforminteroperabilität von Mac und Windows einfacher erzielen als je zuvor. Das Szenario des Mac-Benutzers in Ihrer Organisation, der in einem separaten Netzwerk isoliert ist und dem eine einfache Möglichkeit zur Freigabe von Dateien für Windows-Computer fehlt, gehört damit der Vergangenheit an.

Wes Miller ist Senior Technical Product Manager bei CoreTrace (www.CoreTrace.com) in Austin, Texas. Zuvor war er bei Winternals Software und als Programmmanager bei Microsoft tätig. Sie können Wes Miller unter technet@getwired.com erreichen.