Viele Netzadministratoren traf es ganz unverhofft als Novell 1993 Netware 4.0 auf den Markt brachte: Von nun an sollten Verzeichnisdienste in Form der Novell Directory Services (NDS) anstelle der gewohnten Bindery zur Verwaltung aller physikalischen wie logischen Ressourcen im lokalen Netzwerk dienen. Entsprechend gespalten war die Resonanz auf den ersten Novell-Entwicklerkonferenzen. Sicher, viele drückte der Schuh, wenn es um die Ressourcenverwaltung über mehrere Server hinweg ging - doch war hierzu gleich eine komplexe "Verzeichnisdienste-Keule" erforderlich?
In der schnellebigen IT-Welt klingt diese Kritik bereits wie ein Relikt aus längst vergangenen Tagen. Nach Anlaufschwierigkeiten - das Directory von Netware 4.0 hatte anfangs mit dem Fehlerteufel zu kämpfen - hat sich der Verzeichnisdienst etabliert. Daran, daß Verzeichnisdienste im Bewußtsein der meisten Administratoren heute deutlich präsenter sind, ist auch Microsoft nicht ganz unschuldig. Das Unternehmen rührt schon seit einiger Zeit die Werbetrommel für seine mit Windows 2000 angekündigten Active Directory Services (ADS).
Während ihres Siegeszugs wandelte sich auch das Anforderungsprofil an die Directories. Stand ursprünglich die einfache Verwaltung vieler Benutzer im Vordergrund, sollen die Dienste heute zusätzlich die Administration von Applikationen und Netzkomponenten vereinfachen.
Im Segment der lokalen Netze geben Novell und Microsoft in Sachen Directory Services den Ton an. Um die spezifischen Stärken und Schwächen der unterschiedlichen Ansätze besser zu verstehen, empfiehlt sich ein Blick in die Vergangenheit.
Novells für Netware 2.x entwickelte und auch in Version 3.2 verwendete Bindery-Technologie ist auf genau einen Server zugeschnitten. Um beispielsweise mehrere Benutzer zu verwalten, muß ein Netzwerkadministrator den jeweiligen Vorgang daher auf jedem Server wiederholen. Eine Erweiterung der zur Verfügung stehenden Objekte und ihrer Eigenschaften ist bei der Bindery zwar möglich, doch letztlich umständlich. Bei Microsoft geben dagegen Domänen den Ton an - nicht erst mit Windows NT, sondern schon seit den Zeiten des LAN Manager 2.0. Das Prinzip beruht auf einer zentralen Domänenbenutzerdatenbank, die sich auf einen primären und mehrere sekundäre Domänen-Controller (DC) verteilen läßt.
Objekte und ihre Eigenschaften sind in diesem Domänenkonzept fest vorgegeben, eine Modifikation nahezu nicht realisierbar. Aus diesem Grund führt zum Beispiel der Exchange Server seine eigene Benutzerdatenbank, denn die NT-eigene läßt sich nicht um ein Feld "E-Mail-Adresse" erweitern. Mit Vertrauensstellungen (englisch: Trusts) ist es zwar möglich, Benutzer nur in einer Domäne zu verwalten und ihnen dennoch Zugriff auf die Ressourcen anderer Domänen zu eröffnen, doch in der Praxis erweist sich diese Lösung nicht selten als unübersichtlich. Probleme, die beide Hersteller mit ihren Verzeichnisdiensten angehen.
Sowohl die NDS als auch die ADS verwenden eine hierarchisch strukturierte Datenbank zum Aufbau eines Verzeichnisbaums mit Behälter- und Blattobjekten. Der Verzeichnisbaum kann dabei - muß aber keineswegs - die Organisationsstruktur des Unternehmens widerspiegeln. Objekte und ihre Eigenschaften lassen sich bedarfsgerecht modifizieren. Auf diese Weise stellt es kein Problem mehr dar, beispielsweise das Benutzerobjekt um die Eigenschaft "Homepage" zu erweitern und für jeden Benutzer mit sinnvollem Inhalt (etwa der Web-Seite seiner Abteilung oder seiner privaten Site) zu füllen.
Sowohl Novell als auch Microsoft haben zudem Kompatibilitätsmechanismen wie die Bindery-Emulation oder den Mixed-Mode vorgesehen, um bereits vorhandenes Equipment in Verbindung mit dem Verzeichnis betreiben zu können. Administrative Vorgänge wie die Erstellung einer neuen Gruppe erlangen dank der Directory Services automatisch im gesamten Verzeichnisbaum Gültigkeit. Da auch zunehmend mehr Server- und Intranet-Applikationen ihre Informationen im Verzeichnisbaum ablegen, reduziert sich durch den konsequenten Einsatz des Directories die Anzahl der parallel zu pflegenden Benutzerdatenbanken - was gleichzeitig zu einer Senkung der Administrationskosten führt.
Im Rahmen der TCO-Debatte erlangen Verzeichnisdienste aber auch Bedeutung, wenn es um die zentrale Bereitstellung von Software für Clients (Applikationen, Treiber, aber auch das Betriebssystem selbst) geht: Novell offeriert mit "Zenworks" eine Lösung, die alle relevanten Werte quasi als Art Windows-Netzwerk-Registry im NDS-Verzeichnisbaum hinterlegt. Microsofts Zero-Administration-Ansatz benutzt ebenfalls das Verzeichnis, um darüber Applikationen und Daten mit einzelnen Anwendern zu verknüpfen.
Obgleich die Ziele der beiden Kontrahenten ähnlich sind, unterscheidet sich die praktische Realisierung mitunter erheblich. Insbesondere bei den bereitgestellten Diensten zeigen sich deutliche Unterschiede: Das fängt bei den Katalogdiensten an, die das schnelle Durchsuchen des Verzeichnisbaums nach bestimmten Arten von Informationen erlauben, ohne dafür ein zeitintensives Tree-Walking vornehmen zu müssen. Zur Anmeldung am Netzwerk reicht somit die Eingabe eines Teils des Namens aus, um mit Hilfe von Wildcards rasch alle gleichlautenden Benutzerobjekte aufzufinden.
Novell verwendet hier ein separates Katalogobjekt, in dem die von einem Server-NLM aus dem NDS-Verzeichnisbaum extrahierten Angaben hinterlegt werden. Daraus resultiert, daß der Katalog erst wieder beim nächsten Durchlauf des leider relativ CPU-intensiven (daher läuft es in der Regel nur einmal am Tag) Katalog-NLMs echte Aktualität aufweist. Zudem sind unterschiedliche Zugriffsrechte für den gesamten NDS-Verzeichnisbaum sowie auf das darin enthaltene Katalogobjekt zu berücksichtigen und dementsprechend von einem Netzwerkadministrator zu pflegen. Bei Windows 2000 sieht es anders aus: Hier legt ein Netzwerkadministrator einmalig fest, welche Informationen aus dem ADS-Verzeichnisbaum in den Katalog wandern, der sodann sozusagen als Untermenge des Verzeichnisses automatisch zur Verfügung steht. Somit gibt es keine Aktualitätsverzögerungen, eigene Zugriffsrechte sind ebenfalls nicht zu vergeben.
Umständliche LDAP-Integration
Ähnlich verhält es sich mit der LDAP-Unterstützung, um LDAP-Clients wie dem Adreßbuch des Internet Explorer Zugriff auf die im Verzeichnisbaum gespeicherten Informationen zu ermöglichen - etwa für Geschäftspartner und Kunden interessant, die die Telefonnummer oder E-Mail-Adresse eines Mitarbeiters suchen. Novell setzt bei Netware 5.0 serienmäßig auf spezielle LDAP-Objekte innerhalb des NDS-Verzeichnisbaums, in denen die LDAP-Informationen aus dem Verzeichnis hinterlegt sind. Damit sind aber die effektiven Berechtigungen davon abhängig, ob Zugriffe auf den NDS-Verzeichnisbaum via LDAP oder direkt über die NDS stattfinden. Mit anderen Worten: Ein Administrator muß entsprechende Berechtigungen richtig einstellen, andernfalls schlagen LDAP-Zugriffe fehl. Die ADS von Microsoft warten hingegen mit einer direkten LDAP-Unterstützung auf. Alle ADS-Objekte sind daher automatisch für LDAP-Clients verfügbar, Unterschiede bei Zugriffsrechten gibt es nicht zu berücksichtigen.
Kein echter Verzeichnisdienst?
Kritiker werfen Microsoft vor, daß es sich bei den ADS nur um ein "aufgebohrtes" NT-4.0-Domänenkonzept handelt - unter anderem, weil keine Rechtevererbung innerhalb des ADS-Verzeichnisbaums erfolgt. In der Tat: Bei den NDS vererben sich Zugriffsrechte auf Verzeichnisse und Dateien, die an ein Behälterobjekt erteilt werden, automatisch an alle darunter befindlichen sowie später neu hinzukommenden Behälter- und Blattobjekte. Bei den ADS hingegen lassen sich Zugriffsrechte nur an Benutzer und Gruppen (wie unter NT 4.0) erteilen, nicht aber an Behälterobjekte innerhalb des ADS-Verzeichnisbaums. Eine Vererbung auf die Objekte in diesem Behälter kann demzufolge nicht stattfinden. Somit muß ein Administrator jeden User einer entsprechenden Gruppe zuordnen - und selber darauf achten, daß ein neu angelegter Benutzer zum Mitglied dieser Gruppe wird.
Getrennte Wege gehen Microsoft und Novell auch beim Thema Replizierung. Hierunter sind Verfahren zu verstehen, die eine Unterteilung sowie angemessene Verbreitung der im Verzeichnisbaum gespeicherten Informationen vornehmen, um den internen Protokollverkehr niedrig zu halten. Zudem haben diese Mechanismen die Aufgabe, eine gewisse Fehlertoleranz zu gestatten. Letztlich entscheiden die Replizierungsverfahren mit über die Praktikabilität eines Verzeichnisdienstes, da sie verhindern müssen, daß Fehler die Konsistenz des gesamten Verzeichnisbaums gefährden.
Novell setzt bei der Replizierung auf eine zeitliche Steuerung, um so zweifelsfrei festzustellen, welche Änderung an einem Objekt oder einer Eigenschaft zuletzt erfolgt ist. Allerdings ist die Konfiguration dieser Zeitsynchronisation nicht trivial, aber unabdingbar. Erst wenn die Zeit zwischen allen NDS-Servern übereinstimmt, findet auch eine Replizierung zwischen den NDS-Partitionen statt.
Microsoft dagegen verwendet Zähler, die sich bei jeder Änderung eines Objekts oder einer Eigenschaft erhöhen, um Konflikte bei mehrfachen Veränderungen zu erkennen und zu lösen. Auf den ersten Blick erweist sich dieser Ansatz als wesentlich einfacher, doch wer sich durch die White-Papers zu diesem Thema liest, erkennt schnell, daß es sich hierbei keineswegs um simple Prozesse handelt. Die Lösung aus Redmond weist zudem noch einen anderen Nachteil auf: Eine Domäne stellt die kleinste replizierbare Einheit dar. Erstreckt sich eine Domäne über mehrere Abteilungen oder Außenstellen, muß ein Administrator tief in die Trickkiste greifen, um eine vernünftige Partitionierungs- und Replizierungslösung zu erarbeiten. Zudem wird die erste Version von Windows 2000 Server wohl nur eine einzige Domäne bedienen können, was die Partitionierungs- und Replizierungsfreiheit einschränkt. Die NDS dagegen erlauben es, jeden Behälter des Verzeichnisbaums zu partitionieren und somit wesentlich feinfühliger zu replizieren.
Eine immer größere Rolle spielt die Integration von Infrastrukturkomponenten wie Routern und Switches mit Verzeichnisdiensten. Als einer der ersten Hersteller preschte Cisco gemeinsam mit Microsoft vor und machte sich für Directory-enabled-Networking (DEN) in Verbindung mit den ADS stark (siehe auch Beitrag Seite 65). Auf der anderen Seite haben sich Lucent, Nortel und Cabletron für die Integration der NDS in ihre Produkte entschieden. Konkrete Lösungen für beide Verzeichnisdienste befinden sich allerdings noch in der Entwicklung. Hier wird die Zukunft zeigen, welcher Ansatz sich am Markt durchsetzt.
Last, but not least versprechen sowohl Novell als auch Microsoft eine direkte Integration ihrer Verzeichnisdienste in die des jeweils anderen. Wie so etwas aussehen kann, läßt sich seit einiger Zeit anhand der "NDS for NT" ablesen. Dieses Add-on von Novell fängt alle an die Benutzerdatenbank einer NT-4.0-Domäne gerichteten Aufrufe ab und leitet sie zum NDS-Verzeichnisbaum um. Die von dort kommenden Antworten gelangen wieder zurück in die NT-Welt, die von dem gesamten Umleitungsprozeß nicht weiter tangiert wird. Laut Novell wird ein entsprechendes Tool für Windows 2000 folgen.
Umgekehrt ist des öfteren aus Microsoft-Quellen zu hören, daß man für Windows 2000 an einem bidirektionalen Synchronisations-Tool arbeite, um einen ADS- mit einem NDS-Verzeichnisbaum kontinuierlich abzugleichen. Unter Umständen handelt es sich dabei um eine Lösung auf Basis von "Synchronicity" - einer Entwicklung der kleinen Softwareschmiede Netvision. Ob dieses Tool bei Windows 2000 gleich kostenlos mitgeliefert wird oder wie die derzeitigen "Services for Netware" für Windows NT 4.0 separat zu erwerben sind, steht noch nicht fest.
Darüber hinaus offerieren beide Hersteller Migrations-Utilities, um den jeweils anderen Verzeichnisdienst in Rente zu schicken. Ob Unternehmen diese Entscheidung tatsächlich treffen, sollte jedoch vor allem von der jeweiligen Umgebung und den konkreten Anforderungen abhängen. Beide Verzeichnisdienste haben Stärken und Schwächen. Somit kann es bei einer Evaluation nach dem Motto "NDS versus ADS" auch keinen Sieger und Gewinner geben. Vielmehr empfiehlt es sich, die Lösung in den Vordergrund zu stellen und zu prüfen, welches Produkt sich für das eigene Unternehmen am besten eignet.
NDS V8: Mehr Leistung
Während Microsoft noch am ersten Release seines Directory Service bastelt, hat Novell bereits die achte Version seiner NDS vorgestellt. Hierbei handelt es sich gegenüber der bei Netware 5.0 mitgelieferten NDS 7.x um eine überarbeitete, wesentlich erweiterte Ausführung der Novell-eigenen Verzeichnisdienste. Die Eckdaten sind beeindruckend: Insgesamt sollen die NDS v8 bis zu einer Milliarde Objekte im Verzeichnisbaum speichern. Unter anderem eine Voraussetzung für den effizienten Einsatz von Suns Jini-Technologie, die über Verzeichnisdienste kontrolliert wird. Ferner dürfte diese Datenmenge für Internet-Service-Provider (ISPs) interessant sein. Dank der optimierten Datenbankkonzeption verspricht Novell zudem eine erhebliche Geschwindigkeitssteigerung bei Verzeichniszugriffen um den Faktor 20 bis 50. Und nicht zuletzt verspricht die NDS v8 Besserung in Sachen LDAP: Das Achter-Release der Verzeichnisdienste aus Provo kommt direkt mit LDAP zurecht.
Angeklickt
In Sachen Verzeichnisdienste buhlen derzeit vor allem zwei Hersteller publikumswirksam um die Gunst der Anwender: Novell und Microsoft. Beide Unternehmen versuchen ihre Directories als Mehrzweckdienste zu positionieren, die von der Anwenderverwaltung über das Netz-Management bis hin zum E-Commerce den Bedürfnissen des modernen Networking gerecht werden sollen. Das ist jedoch schon alles, was an Gemeinsamkeiten vorhanden ist. Beide Directories unterscheiden sich bereits in ihrer Konzeption, so daß der Anwender genau prüfen sollte, für welche Variante er sich entscheidet.
*Eric Tierling ist freier Journalist in Leichlingen und Autor zahlreicher Netzwerkbücher.
Abb1.: DEN-Initiative
DEN integriert Infrastrukturkomponenten in Verzeichnisdienste wie die Active Directory Services. Quelle: Cisco
Abb.2: Active Directory Services
Mit dem Active Directory betritt Microsoft Neuland. Erstmals offeriert das Unternehmen einen Verzeichnisdienst. Quelle: Tierling