"Windows NT krankt eindeutig an seinem Domain-Konzept. Wenn sich dies mit einem Verzeichnisdienst überbrücken ließe, wäre einer der wesentlichen Schwachpunkte dieses Produkts beseitigt." Vor allem für heterogene Netze sieht Stefan Mund, Netzadministrator bei der Ostfriesischen Teegesellschaft in Seevetal, in einer Lösung wie dem Verzeichnisdienst NDS for NT von Novell eine entscheidende Verbesserung. Konkurrent Microsoft wird dieses Problem frühestens Ende 1998 mit Version 5.0 von Windows NT Server und den darin integrierten ADS angehen.
Mund freut sich auf Novells Lösung. Er setzt im Unternehmensnetz der Ostfriesischen Teegesellschaft im File- und Print-Bereich auf Netware, greift aber beim Messaging auf Microsofts "Exchange" zurück, so daß ein Domain-Controller benötigt wird. "Das schafft einige Komplikationen", wie der Administrator zu berichten weiß. Er hat also noch Vereinfachungsbedarf und erhofft sich von NDS for NT eine unkompliziertere Nutzerverwaltung im Exchange-Bereich.
Auch Klaus Hillebrands, Systemberater bei Netconsult Emons & Pfromm GbR in Münster, kennt die Probleme, die die Verwaltung eines NT-Netzes mit sich bringen kann. Seiner Erfahrung nach ist vor allem der Aufwand beim Einrichten von Trust-Beziehungen zwischen einzelnen Domains nicht zu unterschätzen. Er betont daher den Kostenvorteil, den Novells Lösung bringen kann: "Wenn NDS for NT dem Anwender tatsächlich die Verwaltung des Unternehmensnetzes von einem Punkt aus ermöglicht, dann bedeutet das natürlich auch, daß der Second-Level-Support nicht mehr so oft vor Ort geschickt werden muß."
Eckhardt Klockhaus, Geschäftsführer der DV Management und Beratung GmbH in Solingen, ist geteilter Meinung, was die Probleme mit den NT-Domains betrifft. Der Berater findet zwar "NT-Domains nicht sehr innovativ, aber in einer reinen NT-Umgebung durchaus ausreichend". Er weiß aber auch von Tücken zu berichten: "Wenn ein Anwender unter NT von einer Domain in eine andere umzieht, entsteht dem Administrator dadurch Verwaltungsaufwand, daß er die User-Rechte nicht einfach übertragen kann.
Er muß statt dessen das Anwenderprofil zunächst in einer Domain entfernen und anschließend in einer anderen Domain komplett neu einrichten." Mit NDS für NT kann der Anwender laut Klockhaus dieses Problem beseitigen.
Weiter führt Klockhaus aus, daß es mit NT gegenwärtig keine Möglichkeit gibt, die Unternehmensstruktur über Domains abzubilden, da die Abbildung auf der technischen, nicht jedoch auf der organisatorischen Ebene stattfindet. Das sei mit den NDS for NT zu realisieren. Dennoch werden diese seiner Ansicht nach für Anwender lediglich eine Übergangslösung darstellen, bis Microsofts eigener Verzeichnisdienst zur Verfügung steht.
Harald Gemmer hingegen, Geschäftsführer der Carpe Diem Kommunikations-Technologie GmbH in Wiesbaden, warnt die NT-Anwender vor verfrühter Freude: "Dinge wie Directory Services sind alles andere als trivial. Microsoft wird seine ADS wohl nicht vor Anfang 1999 auf den Markt bringen, und bis das Produkt wirklich fehlerfrei arbeitet, kann nochmal einige Zeit vergehen." Kommerzielle Kunden werden seiner Einschätzung nach wohl nicht vor Ende 1999 zu dieser Lösung greifen können.
Intranetware-Server erforderlich
In dem bereits jetzt verfügbaren Produkt aus dem Hause Novell sieht Gemmer eine "sehr elegante Lösung", durch die sich Anwender unnötige und teure Verwaltungsprobleme ersparen können. Und das, obwohl damit die NDS noch nicht direkt auf NT zur Verfügung stehen: Um den Verzeichnisdienst nutzen zu können, brauchen Anwender einen Intranetware-Server, auf dem die NDS laufen. Dieser Umstand wird Befürworter von reinen NT-Umgebungen vielleicht nicht ganz glücklich machen. "NDS direkt auf NT, also völlig ohne die Notwendigkeit eines Intranetware-Servers, wird die Lösung erst richtig abrunden", meint der Systemberater.
Und so funktioniert NDS for NT: Eine unter Windows NT vorhandene Dynamic-Link-Library-(DLL-)Datei, die SAMSRV.DLL, wird bei den Primary- und Backup-Controllern von NT durch eine von Novell modifizierte Version ersetzt. Diese neue Datei leitet dann Domain-Informationen und Sicherheitsbefehle an die auf einem Netware Server laufenden NDS weiter (siehe Grafik auf Seite 25). Änderungen an Komponenten von Arbeitsplatzrechnern oder Eingriffe in deren Konfiguration sind nicht notwendig. Accounts einzelner Personen wie auch von Anwendergruppen erscheinen fortan mit den gewohnten NT-Icons als Objekte im NDS-Verzeichnisbaum (siehe Screenshot). Werden diese angeklickt, können Administratoren via das Netware-Tool "NWAdmin" beinahe alle Aktionen ausführen, die Microsofts "User Manager for Domains" bietet - zu verdanken ist dies der genauen Abbildung der NT-Umgebung in der NDS-Verzeichnisstruktur.
Da das modifizierte .DLL-File alle NT-Datenströme zu den NDS umleitet, kann der User Manager weiterhin benutzt werden, um beispielsweise bestehende Accounts zu ändern oder neue hinzuzufügen. Der einzige Unterschied besteht darin, daß die neugeschaffene beziehungsweise veränderte Information nicht in der Administrations-Datenbank von NT, sondern in den NDS abgelegt wird. Auf diese Weise ist es für Verwalter auf Abteilungsebene beispielsweise möglich, mit ihrem vertrauten Tool weiterzuarbeiten, während Administratoren auf Unternehmensebene mit den NDS ein zentrales Verwaltungswerkzeug für alle Anwender im Netz erhalten.
Ein konkreter Fall könnte etwa wie folgt aussehen: Ein Administrator will einen neuen User im Netz anmelden. Dazu kann kann er - wie vorher auch - eine entsprechende Anfrage über den User Manager an den NT Server schicken. NDS for NT lenkt diese Anfrage aber nun zur NDS-Datenbank um, wo das Anwenderprofil mit genau den gleichen Eigenschaften und Einschränkungen erstellt wird, wie sie für die entsprechende NT-Domain gelten. Auf dieselbe Weise kann das Anwenderprofil später bei Bedarf geändert werden.
Bereits vorhandene Domain-Informationen werden nicht gleich bei der Installation von NDS for NT übertragen. Das bringt für Administratoren den Vorteil, das Produkt zunächst auf mehreren NT-Servern installieren und dann die Informationen von allen diesen Servern in einem Aufwasch in den Verzeichnisdienst von Novell integrieren zu können. Bei dieser Aufgabe hilft dem Anwender ein "Domain Wizard". Er bietet unter anderem auch die Möglichkeit, einen NDS-Baum und -Kontext für das zu schaffende NT-Domänen-Objekt auszusuchen. Auch unter NT vergebene Paßwörter werden automatisch migriert und in den NDS gespeichert.
Der gute Eindruck, den NDS for NT unter anderem bei Tests der COMPUTERWOCHE-Schwesterpublikation "Network World" hinterlassen hat (deren Tester zeichneten die Lösung mit dem "World Class Award" aus), wird nur durch kleine Mängel getrübt. So ist derzeit beispielsweise die Kontrolle über die Volume-Freigabe von Windows NT aus den NDS heraus noch nicht realisiert. Dies liegt daran, daß die entsprechenden Informationen im Gegensatz zu den übrigen Domain-Informationen statt im Security Account Manager (SAM) von NT an einer anderen Stelle gespeichert werden. Leider scheinen die Novell-Ingenieure bislang noch nicht herausgefunden zu haben, wo. Novell wird aber wohl einen Patch zur Behebung dieses Problems liefern, sobald auch dieses Geheimnis gelöst ist. Ein weiteres kleines Manko stellt die derzeit noch nicht vorhandene Unterstützung der unter NDS normalerweise möglichen Partitionen dar (siehe Kasten "Novell Directory Services").
Obwohl die NDS for NT also bereits wertvolle Dienste leisten, ist nach Ansicht von Systemberater Gemmer ihr größter Nutzen noch gar nicht erreicht. Das werde vielmehr erst dann der Fall sein, wenn mehr Anwendungen wie "Groupwise" auf den Markt kommen, die direkt von den Vorteilen der NDS profitieren. Dadurch werde die Produktivität der Endanwender im Unternehmensnetz spürbar erhöht, und das interessiere auch die Entscheider im Unternehmen, denen Verbesserungen bei der Verwaltung des Netzes allein nicht so wichtig seien.
Die Aussichten für eine Entwicklung in diese Richtung stehen nicht schlecht. Novell hat schon mit Herstellern wie Hewlett-Packard (HP), Sun Microsystems, IBM und Santa Cruz Operations (SCO) Vereinbarungen über die Integration der NDS in deren Unix-Varianten getroffen. Wenn der Verzeichnisdienst auf diese Weise weitere Verbreitung über die Netware-Grenzen hinaus findet, werden auch die von Gemmer angesprochenen NDS-tauglichen Anwendungen nicht mehr lange auf sich warten lassen.
Novell Directory Services
Die Novell Directory Services (NDS) sind im Grunde eine hierarchische, verteilte Datenbank, die als Bestandteil von Novells Netware 4.x in einem Verzeichnisbaum Informationen über sämtliche Ressourcen im Netz vorhält. Dazu gehören beispielsweise Anwender oder einzelne Netware-Server, aber auch Arbeitsgruppen oder Peripheriegeräte wie Drucker oder Scanner. Als Objekte bezeichnet, können diese unabhängig von ihrem physikalischen Standort innerhalb der NDS-Datenbank plaziert werden. Durch die Adreß- und Verzeichnisdienste von NDS erhalten Anwender mit nur einem Login Zugriff auf alle Ressourcen im Netz, egal auf welchem Netware-Server sie sich befinden, auch über Weitverkehrsnetze hinweg. Voraussetzung dafür ist allerdings, daß die Zugriffsrechte für die Objekte vom Administrator erteilt wurden. Von Vorteil ist bei den NDS zudem, daß sich der Verzeichnisbaum partitionieren läßt: Nur die Informationen, die für einen speziellen Standort auch wirklich notwendig sind, müssen vorgehalten werden. Die NDS basieren zum Teil auf dem ITU-Standard X.500 und lösen das Prinzip der Bindery von Netware 2.x und Netware 3.x ab. Dabei handelt es sich ebenfalls um eine interne Datenbank, die jedoch Server-orientiert ist.
NDS for NT
Pro:-Echte Integration von NT-Domain-Objekten und -Usern in die NDS;-erledigt die Administration von Microsoft Exchange E-Mail;-NT-Anwender erhalten die Möglichkeit des Single-login zu allen Netware- und NT-Netzressourcen.
Kontra:-Derzeit aus den NDS heraus noch keine Kontrolle über NT-Plattenfreigaben;-derzeit werden NDS-Partitionen noch nicht auf NT-Systemen unterstützt.