In großen Unternehmen existiert heute kaum noch ein Netz, das über lediglich einen Server verfügt. Die Regel ist vielmehr, daß mehrere, oftmals sogar mit verschiedenen Netzwerk-Betriebssystemen ausgestattete Server den Anwendern Datei-, Druck-, Applikationsdienste und andere Funktionen zur Verfügung stellen. Neben Vorteilen wie Lastverteilung, Performance-Steigerung und Ausfallsicherheit, die der Einsatz mehrerer Server bietet, bringen Multi-Server-Umgebungen einige Nachteile mit sich, mit denen Systemverwalter und Anwender zu kämpfen haben. So ist es für Anwender problematisch, bestimmte Dateien zu finden, von denen sie nicht wissen, auf welchem Server sie gespeichert sind. Gleiches gilt für das Auffinden anderer Objekte wie Drucker, Verzeichnisse oder gar Server. Für die Administratoren gestaltet sich dagegen das Management der Benutzer auf verschiedenen Servern schwierig.
In relativ überschaubaren Netzwerkumgebungen beseitigen die in Windows NT implementierten Verzeichnisdienste einige dieser Nachteile. Sie bieten Anwendern und Administratoren die am dringendsten benötigten Funktionen: Zugriff auf die im Netzwerk freigegebenen Ressourcen mit einem einzigen Logon, zentrale Verwaltung und Datenreplikation. Allerdings stoßen die Directory Services, die noch auf der vom LAN-Manager abstammenden Domänenarchitektur basieren, mit dem Wachstum der LANs und WANs schnell an ihre Grenzen. Gerade in Zeiten des Internet, wo Netze über die globale Infrastruktur gekoppelt werden und Applikationen immer mehr Funktionen vom Netz verlangen, ist die Domänenstruktur von NT keine adäquate Technologie mehr.
Probleme, die auch Microsoft erkannt hat. Um mit dem explosionsartigen Wachstum der Netze Schritt zu halten, entwickelt die Gates-Company mit den Active Directory Services (ADS) einen neuen Verzeichnisdienst für die gewachsenen Anforderungen. Leider ist derzeit noch unklar, wann die in NT 5.0 integrierten ADS erhältlich sein sollen. Branchenkenner rechnen aber nicht mit einer Auslieferung vor 1999. Weil die Verzeichnisdienste wohl die Schlüsselkomponenten künftiger Netze sind, gehören die ADS zu den meistdiskutierten Neuerungen des Windows NT Server 5.0.
Bislang waren Directory Services eher Werkzeuge zur Organisation und zum Management von Objekten innerhalb eines Computersystems oder Netzwerks: von beispielsweise Dokumenten, Druckern, E-Mail-Adressen, Benutzern und Benutzergruppen. Einfach betrachtet, ähneln die Verzeichnisdienste einem Telefonbuch: Durch eine spezifische Eingabe, etwa des Namens eines anderen Anwenders, erhält der Benutzer eine spezifische Ausgabe, beispielsweise die Telefonnummer und die E-Mail-Adresse der entsprechenden Person. Gleichzeitig fungieren die Directory Services als eine Art Branchenbuch: Der Anwender erhält als Resultat einer Anfrage zum Beispiel eine Liste aller im Netzwerk zur Verfügung stehenden Drucker. Administratoren und Anwender nutzen Directory Services also als Informationsquelle und zur Durchführung administrativer Aufgaben.
Die Komplexität heutiger Netzwerkumgebungen verlangt den Directory Services darüber hinaus einiges mehr ab, insbesondere wenn eine Verbindung des Netzwerks mit dem Internet erfolgt. Zusätzlich zu den traditionellen Aufgaben übernehmen die ADS als Service-Provider Naming-, Query-, Registrierungs-, Namenauflösungsaufgaben und weitere administrative Funktionen. Die vollständig in den Windows-NT-Server implementierten Active-Directory-Dienste werden, so zumindest Microsoft, nahtlos mit Internet- und Intranet-Umgebungen integrierbar und für Unternehmen jeder Größe skalierbar sein. Ferner sollen sie mit allseits bekannten und eingesetzten Werkzeugen wie Web-Browsern zusammenarbeiten und einfache sowie offene Programmier-Schnittstellen bieten.
Einheitliches Directory ohne X.500-Overhead
Grundkonzept der ADS ist die Integration des Internet-Konzepts "Name Space" in die Directory Services des Betriebssystems. Auf diese Weise vereinheitlichen sie das Management der verschiedenen Name Spaces, die heute in heterogenen Netzumgebungen existieren. Die ADS stellen jedoch kein eigenständiges X.500-Directory dar. Sie verwenden das Lightweight Directory Access Protocol (LDAP) als Core-Access-Protokoll und unterstützen das X.500-Modell, ohne andere Systeme zu zwingen, den gesamten X.500-Overhead mitzuschleppen. Durch die Verwendung von LDAP sind die ADS in der Lage, Informationen mit beliebigen Applikationen oder Verzeichnissen auszutauschen, die LDAP-Schnittstellen aufweisen. Die ADS arbeiten so über die Grenzen der Betriebssysteme hinweg und integrieren mehrere Name Spaces. Um das Management applikationsspezifischer Verzeichnisse ebenso zu ermöglichen wie die Verwaltung anderer Netzwerk-Directories, stellen die ADS ein allgemeines Directory zur Verfügung. Dieses befreit den Administrator von der Last, mehrere verschiedene Name Spaces zu verwalten.
Mit einer weiteren Erleichterung warten die ADS in Form des Single Point of Administration auf, der es Administratoren erlaubt, alle veröffentlichten Ressourcen, wozu beispielsweise Dateien, Peripheriegeräte, Datenbanken und Services gehören, von einem Punkt aus zu verwalten. Solche Objekte organisieren die ADS in Domänen innerhalb organisatorischer Einheiten (Organizational Units = OUs). Mehrere Domänen werden dann in einer Baumstruktur zusammengefaßt.
Damit hat sich Microsoft noch nicht ganz vom Domänenkonzept verabschiedet, was in der Praxis mit Nachteilen verbunden ist: Wie bei NT 4.0 müssen Objekte innerhalb einer Domäne eindeutig sein. Für Benutzer und Gruppen einer Domäne stellen sich die ADS als flache Struktur dar. Die Vorteile einer hierarchischen Struktur ergeben sich erst dann, wenn die Domänen in einem ADS-Baum angelegt werden. Dieser von Microsoft gewählte Ansatz erlaubt den Anwendern zwar, sich im Directory mit dem Format BenutzernameDomänenname (etwa mdahlhoffitcon. com) einzuloggen, aber er limitiert das Design des Verzeichnisses. Eine Anforderung der ADS-Domänen und -Bäume ist, daß sie einen kontinuierlichen Name Space nach DNS-Konventionen bilden, da sonst sehr schnell ein unübersichtlicher Wald mit mehreren ADS-Bäumen entsteht.
Für jede Domäne erstellen die ADS eine Kopie des Directory Store, die sämtliche Objekte dieser einen Domäne enthält. Mehrere Domänen lassen sich, wie bereits erwähnt, in einem Baum zusammenfassen. Innerhalb dieses Baums besitzt jede Domäne eine Kopie ihres eigenen Directory Store mit ihren eigenen Objekten. Die Domänen haben zudem die Möglichkeit, alle Kopien anderer Domänen im Baum zu finden. Statt eine einzige Kopie des gesamten Verzeichnisses zu erstellen, erzeugen die ADS einen Baum, der Teile des Directorys umfaßt. Jeder Teil enthält Informationen darüber, wie die anderen Teile zu finden sind. Die ADS brechen damit das gesamte Directory in kleine Teile, so daß der Bestandteil, den einzelne Anwender am häufigsten nutzen, oft sehr nah bei ihnen liegt. Anwender an anderen Standorten können natürlich den spezifischen Bestandteil des Verzeichnisses ebenfalls nutzen und auch eine eigene Kopie davon verwenden. Die ADS halten sämtliche Repliken dieses Directory-Bestandteils synchron. Sobald ein Satz in einer beliebigen Kopie modifiziert wird, geben die ADS diese Änderung an die anderen Kopien weiter.
Künftig DNS statt WINS
Laut Microsoft werden die ADS einen skalierbaren, fehlertoleranten und replizierbaren Naming Service für Microsoft-Netzwerke bieten und den bisherigen Windows Internet Naming Service (WINS) ablösen. Die ADS nutzen statt dessen DNS zur Namensauflösung. DNS hat sich bereits als gut skalierbar erwiesen und ist ein allgemein akzeptierter Standard. Auf den ersten Blick ein echter Fortschritt, wäre da nicht der Nachteil, daß die ADS einen dynamischen DNS-Server voraussetzen. NT 5.0 beinhaltet zwar einen solchen Server, die Administratoren sind jedoch gezwungen, ihre bereits existierenden DNS-Server aufzurüsten oder einen neuen zu installieren. Ein weiterer Nachteil ist die Art und Weise, wie Objekte innerhalb der ADS benannt werden. Ein Objektname ist direkt mit dem DNS-Namen der ADS-Domäne verknüpft, was manchmal problematisch ist, da das beste DNS-Design nicht zwangsläufig auch die beste ADS-Struktur ist.
Die Active Directory Services sind ein Schritt in Richtung universelles Directory, das sich über die Grenzen von Betriebssystem und LAN hinaus einsetzen läßt. Zu kritisieren ist, daß Microsoft an Domänen und den Trusted Relationships zwischen den Domänen festhält, obwohl diese Vertrauensstellungen automatisch und transitiv erfolgen.
Angeklickt
Vom globalen Siegeszug der Netze überrascht, sieht sich Microsoft gezwungen, in Sachen Verzeichnisdienste nachzubessern. Denn mit der explosionsartigen Ausdehnung der Netzwerke zeigt sich immer deutlicher, daß das Domänenkonzept - das für Kritiker sowieso kein echter Directory Service ist - den Anforderungen nicht gerecht wird. Mit der nächsten Version von Windows NT Server soll es endlich soweit sein: Die Gates-Company hat in Form der Active Directory Services (ADS) ihren eigenen Verzeichnisdienst. Neuerungen wie die LDAP-Unterstützung etc. dürften manchem Systemverwalter die tägliche Arbeit erleichtern. Allerdings kämpft der in NT 5.0 integrierte Neuling nach wie vor mit dem Erbe des Domänenkonzepts. Microsoft ist nämlich auch beim nächsten NT-Release nicht dazu bereit, sich von den lästigen Altlasten zu trennen.
Martin Dahlhoff ist freier Journalist in Wetter.