Mit der Version 5.0 des NT Servers, in Deutschland wohl erst 1998 erhältlich, will die Gates-Company nun endgültig der Netware-Konkurrenz Paroli bieten. Hierzu lüftet Microsoft jetzt auf der CeBIT den Schleier und gibt einen ersten Einblick in die diversen für Windows NT 5.0 geplanten Technologiekonzepte. Zwar müssen sich Anwender noch gedulden, bis erste Betaversionen verfügbar sind, doch die bereits vorhandenen und teilweise veröffentlichten Strategiepapiere vermitteln zumindest eine Eindruck davon, wohin die Reise geht.
Entsprechend sind alle im folgenden gemachten Aussagen in diesem frühen Stadium der NT-5.0-Entwicklung eher als technische Roadmap und nicht als Funktionsbeschreibung einer endgültigen Version zu verstehen.
Unter dem Stichwort Active Directory Service Interfaces (ADSI) arbeitet der Gates-Konzern an einem eigenen Verzeichnisdienst. Um potentiellen NT-5.0-Anwendern die Migrationsangst zu nehmen, betont Microsoft in diversen White Papers, daß es sich bei ADSI um eine offene Verzeichnisplattform handle, die den Zugriff auf die verschiedensten Netzdienste eröffne (siehe Grafik). Ein Bekenntnis, das sich in den Unterlagen wie die Wandlung vom Saulus zum Paulus liest, wenn sich Microsoft verpflichtet, sowohl offene als auch alle gängigen herstellerspezifischen Plattformen zu unterstützen.
Anwender früherer NT-Versionen, so das Versprechen, haben dabei zwei Optionen: Entweder sie nutzen die Möglichkeit zur Online-Konvertierung der vorhandenen NT-4.0- und 3.x- Installationen, oder sie setzen alle drei Plattformen parallel ein, wobei sie trotzdem von den Vorzügen der NT-5.0-Verzeichnisgeneration profitieren könnten. Eine Wahlfreiheit, die, wie es mit einem Seitenhieb auf No- vell heißt, der Net- ware-4.x-Anwender nicht habe, weshalb viele dieser Netze noch immer im Bindery-Emulation-Mode liefen statt die Vorteil der NDS zu realisieren.
Neben der Interoperabilität zu anderen Verzeichnisdiensten soll das Active-Directory-Konzept vor allem die Suche nach Informationen erleichtern. Dies erreicht NT 5.0 in der Theorie dadurch, daß der Anwender nur unter einer logischen Bezeichnung nach Netzressourcen suchen muß.
Dabei ist es egal, wenn Dateien physikalisch gesehen auf verschiedenen Servern abgelegt sind. Des weiteren verspricht das Active-Directory-Konzept eine Integration der verschiedenen Verzeichnisdienste der diversen Netz-Betriebssysteme sowie Anwendungen wie E-Mail oder Groupware in einem einzigen, dem "Active Directory".
Die Aufgabe, die unterschiedlichen Verzeichnisse zu integrieren - schließlich sollen die Applikationen nach wie vor ohne Änderungen funktionieren -, übernehmen die Active Directory Service Interfaces. Technisch gesehen abstrahiert ADSI hierzu die Fähigkeiten der Directory Services, indem es einen einzigen Satz an Verzeichnis-Schnittstellen nach außen präsentiert. Dazu verwendet Microsoft ein Objektmodell, das, vereinfacht betrachtet, aus "Ac- tive Directory Service Interfaces Objects" sowie "Dependent Objects" besteht.
Bei den ADSI-Objects handelt es sich um Common-Object-Model-(COM-)Objekte, die die Objekte der darunter liegenden Directory Services repräsentieren. Hierbei unterscheidet Microsoft zwischen zwei Gruppen: "Directory Service Leaf Objects" und "Directory Service Container Objects". Erstere können Informationen zu Usern, Gruppen, Diensten, Print Devices, File Shares, Ressourcen oder Sessions enthalten, während letztere einen Organisationsbaum mit Kategorien wie Namespaces, Country, Locality, Organization, Domain oder Computer nachbilden. Dabei kann ein Container-Objekt wiederum andere Active Direc- tory Service Interfaces enthalten, wohingegen ein Leaf-Object keine ADSI-Objects beherbergen kann.
Auf dem Papier erinnert dieser Aufbau an das aus der Informatik bekannte Prinzip des Binärbaums und kann eine Ähnlichkeit mit den Novell Directory Services nicht leugnen. Programmierer oder Netzadministratoren, die einen ersten Eindruck von ADSI gewinnen wollen, finden ein Software Developer Kit in der Ver- sion 1.0 (Build 0100, so der Stand bei Redaktionsschluß) unter der Internet-Adresse " http://www.microsoft/win32/dev/netwrk/adsi.htm".
Neuesten Informationen zufolge basiert das Active Directory als eigentliches Herzstück dabei auf dem Lightweight Directory Access Protocol (LDAP) sowie dem Domian Name System (DNS) als Locator Service. Optimistisch offerieren die Strategiepapiere in diesem Zusammenhang eine Skalierbarkeit, die es erlaube, bis zu zehn Millionen Objekte im Netz zu verwalten. Zwar folgt das Organisationsmodell und sein "Directory Information Tree" der LDAP-Syntax, doch die in den Funktionsschaubildern zusätzlich aufgeführte LDAP-Integration im ADSI-Modell läßt vermuten, daß es sich bei Microsofts Active Directory nicht um eine reinrassige LDAP-Implementierung handelt. Eine Spekulation, die man bei Microsoft Deutschland bis Redaktionsschluß weder bestätigen noch dementieren wollte. Das der COMPUTERWOCHE vorliegende Strategiepapier führt hierzu lediglich aus, daß Active Directory LDAP auf native Weise unterstütze, es aber einen besseren Weg gebe als auf die Verzeichnisse mit Low-Level-LDAP-C-APIs zuzugreifen - nämlich über ADSI.
Ebenso unklar ist noch, ob mit der Einführung der Directory Services das in jüngster Zeit oft kritisierte Domain-Konzept mit seinen verschiedenen als Controllern fungierenden Servern nun endgültig der Vergangenheit angehört. Die bis dato verfügbaren Informationen lassen Raum für Spekulationen in beide Richtungen. Sollte jedoch das Domain-Konzept beibehalten werden, so läßt der mehrstufige hierarchische Aufbau der Active Directories darauf hoffen, daß sich die Domain-Verwaltung deutlich vereinfacht und die oft schwierige und, einmal getroffen, nicht revidierbare Entscheidung für ein Domain-Modell wie sie bisher erforderlich war, passé ist.
Magere Zeiten für Dritthersteller
Über das Filetstück ADSI hinausgehend, soll Microsofts Server-Plattform in der Version 5.0 zum offenen Integrationspunkt in Unternehmensnetzen avancieren. Angekündigt sind dazu unter anderem die direkte Unterstützung von Routing-Funktionen unter dem Codenamen "Steelhead" (siehe Kasten) sowie das "Distributed File System" (DFS) als Brückenschlag zwischen den bisherigen NT-Plattformen und NT 5.0. Ein weiteres Schmankerl verspricht der Softwaregigant derzeit in verschiedenen White Papers mit der Zero-Administration-Initiative, die die Verwaltungskosten eines Netzes drastisch senken soll.
Magere Zeiten könnten auf Dritthersteller zukommen, die mit ihren Produkten die Management-Lücken der bisherigen NT-Versionen schließen. Im nächsten Release ist nämlich die Implementierung einer "Management Console" geplant, die es Applikationen und Netzdiensten erlaubt, Informationen und Aufgaben als Directory-Objekte abzulegen. Dazu fungiert die Konsole quasi als Host, der Skripts ausführt, die in den gängigen Programmiersprachen geschrieben sein können. Auch andere Anwenderkritik scheint in Redmond offene Ohren gefunden zu haben. So will das Unternehmen mit NT 5.0 endlich eine Clustering-Möglichkeit anbieten, die derzeit bereits unter dem Codenamen "Wolfpack" die Runde macht.
Kerberos gewährleistet Sicherheit im Netz
Des weiteren überarbeitet die Company das Sicherheitssystem des nächsten NT-Release und verspricht einen stärkeren Schutz gegen Attacken von außen. Dazu integriert das Unternehmen Public-Key-Verfahren (RSA) sowie eine Kerberos-basierte Private-Key-Technologie in seine Plattform.
Der Privat Key soll in Verbindung mit dem Point-to-Point-Tunneling-Verfahren Anwendern ermöglichen, sichere Unternehmensnetze über öffentliche Infrastrukturen wie das Internet zu realisieren. Die öffentlichen Schlüssel sind dagegen dafür konzipiert, einem externen Anwender den Zugriff auf bestimmte Informationen zu gewähren, ohne die Sicherheit des gesamten Netzes durch die Weitergabe des Private Key an Dritte zu mindern.
Mit NT 5.0 hält eine neue Version der "Network Driver Interface Specification" (NDIS) Einzug. Wichtigste Neuerung der Spezifikation 5.0 dürfte wohl die Unterstützung von ATM sein sowie eine in der Treiberarchitektur verankerte Quality of Services (QoS). Diese stellt, zumindest in der Theorie, den verzögerungsfreien Transport von Audio- oder Videodaten über die verschiedenen Medien sicher. Neben der Einführung von Plug-and-play-Eigenschaften dürften die Hersteller von Netzequipment die Einführung eines einzigen INF-Formats - ähnlich dem von Windows 95 - für alle Windows-Plattformen begrüßen, erleichtert es doch die Treiber-Programmierung.
Entsprechend soll NDIS 5.0 auch in der nächsten Version von Windows 95, Memphis, enthalten sein. Bleibt nur abzuwarten, welche der beiden Windows-Plattformen zuerst in den Regalen der Händler steht.
NT Server lernt das Routing
Unter dem Codenamen "Steelhead" arbeitet Microsoft an einem Add-on, das den NT Server in die Lage versetzen soll, LAN-Verkehr ins WAN zu routen. Damit würde die Software, deren Auslieferung für das dritte Quartal 1997 geplant ist, dem NT Server neben seiner Rolle als File- und Print- sowie Applikations-Server ein neues Einsatzfeld als Router eröffnen. Zwar kann die softwarebasierte Lösung nicht die leistungsstarken Backbone-Router von Herstellern wie Cisco ersetzen, doch in vielen Zweigstellen könnte sie eine Alternative zu herkömmlichen kleinen Stand-alone-Routern sein. Nach dem derzeitigen Entwicklungsstand unterstützt Steelhead Protokolle wie das "Routing Information Protocol" (RIP), das "Open Shortest Path First" (OSPF) zur Interoperabilität mit Cisco-Routern sowie das "Dynamic Host Configuration Protocol" (DHCP) zur Verwaltung von IP-Adressen. Die Verbindung mit IPX-basierten Novell-Netzen realisiert die Software mit Hilfe des "Service Advertisment Protocol" (SAP). Zur sicheren Kommunikation über öffentliche Netze implementieren die Entwickler auch das Point to Point Tunneling Protocol. Ungeklärt ist dagegen noch, ob Steelhead ATM beherrscht. Auch bei der Frage nach einem Support des Layer 2 Tunneling Protocol für Dial-up-Verbindungen sowie dem Resource Reservation Protocol wollte man sich bei Microsoft noch nicht festlegen.