Gut eineinhalb Jahre nach dem Start von Windows 2000/AD hat sich nur etwa ein Drittel der Anwender von Windows NT Servern zur Migration auf die neue Plattform entschieden. Dennoch geht es für die meisten Firmenkunden bei der Frage der Migration auf Windows 2000/AD nicht um das "Ob", sondern um das "Wann". Die Giga Information Group und Sunbelt Software Inc. haben zu dieser Thematik im August 2001 gemeinsam eine Untersuchung durchgeführt. Die Studie, bei der weltweit 900 IT-Experten befragt wurden, zeigt auf, dass 77 Prozent der befragten Unternehmen AD im Laufe der nächsten 18 Monate implementieren werden (vgl. Abbildung 1). Die Tatsache, dass derzeit nur etwa zehn Prozent der NT-4-Anwenderschaft das AD unternehmensweit eingeführt haben, ist ein weiterer Hinweis darauf, wie komplex dieses Unterfangen ist (vgl. Abbildung 2).
Eine komplette AD-Migration ist wohl einer der abschreckendsten Aspekte einer Windows-2000-Migration. Zu den Grundbausteinen eines erfolgreichen Projektes gehören unter anderem die Sicherstellung der erforderlichen Budgets, ein umfassendes Training des mit AD befassten internen IT-Personals sowie der Einsatz geeigneter Migrations- und Management-Tools anderer Hersteller. Ebenso wichtig sind die richtige Zeitplanung für das AD-Migrationsprojekt und die Auswahl des geeigneten externen Partners zur Unterstützung des AD-Projekts. Deshalb ist sowohl in der Vorbereitungsphase als auch zur Projektdurchführung eine sorgfältige Planung notwendig, damit die vom Projekt betroffenen Interessensgruppen nicht enttäuscht werden.
Umstieg dauert länger als erwartetGiga empfiehlt ein Standard-Framework für den Projektlebenszyklus von Windows-2000/AD-Implementierungsprojekten. Dieser hilft, die Erwartungen aller beteiligten Parteien aufeinander abzustimmen. Für die Entwicklung, die Testphase und den tatsächlichen Windows-2000/AD-Rollout sollte auch entsprechend Zeit angesetzt werden. Erfahrungswerten aus den IT-Abteilungen zufolge benötigen Windows-2000/AD-Upgrades sechs bis neun Monate länger als ursprünglich geplant. In Gesprächen mit Unternehmenskunden nach der Projekteinführung stellte sich heraus, dass ein Großteil dieser Verzögerungen darauf zurückzuführen war, dass die Migration nicht gut geplant und die entsprechenden Mitarbeiter nicht richtig ausgebildet worden waren.
Wenn bei einer AD-Implementierung Zeit und Kosten aus dem Ruder laufen, gibt es nach Erfahrungen in Unternehmen, die ein solches Projekt bereits abgeschlossen haben, stets ähnlich gelagerte Ursachen. Meist liegt es daran, dass die organisatorischen und politischen Hürden unterschätzt worden waren. Dies gilt insbesondere im Hinblick auf einen Konsens bezüglich der Datenverantwortlichen, des Datenmanagements und der Namensgebung für die Daten. Selbst bei sorgfältiger Planung fällt es schwer, zu einer Einigung zu kommen, wenn die beteiligten Gruppen gegenläufige Interessen vertreten. Die Mühe, die eine solche Konfliktlösung erfordert, wird bei der Planung nahezu immer unterschätzt.
Ein weiterer Grund für Zeit- und Kostenüberschreitungen liegt in der Schwierigkeit, Directory-Kenntnisse und Support-Kapazitäten zu finden. Es gibt nicht viele IT-Experten mit allgemeiner Directory-Erfahrung, ganz zu schweigen solche mit AD-Expertise. Großunternehmen nehmen deshalb in den Projektphasen Strategie, Konzeption, Test und Einführung die Hilfe von Consultants in Anspruch.
Betrachtet man die Grenzen der flachen Struktur des NT-Domain-Directory, so weist AD viele Verbesserungen auf. Im Rahmen der Giga/Sunbelt-Untersuchung wurden folgende Punkte als die Wichtigsten erachtet:
Skalierbarkeit: Der Windows-NT-Server kann nur 40000 Objekte pro Domain vorhalten. Die Windows-2000-Domains ermöglichen jeweils mehrere Millionen Objekte.
Hierarchische Struktur: Der Windows-NT-Server weist eine flache Directory-Struktur auf, AD dagegen ist hierarchisch aufgebaut, was das Management und die Access-Control-Listen (ACL)-Vererbung vereinfacht.
Granular delegierbare Administration: Der Ansatz des Windows-NT-Servers bezüglich der Rechtevergabe ist "Alles oder nichts". Administratoren haben die vollen Rechte über alle Objekte innerhalb der Domain, die physische Grenze der Domain definiert den Umfang von Zugriffsrechten. Dies erfordert Vertrauensbeziehungen zwischen den Domains. Mit AD können die Administratoren bestimmte Rechte an Sites, Abteilungen, Teams, Einzelpersonen und spezifische Gruppen vergeben.
Erweiterte Domain-Grenzen: AD repliziert Daten zwischen Sites durch Delta-Komposition und Kompression, wodurch der Datenverkehr reduziert wird. Des Weiteren können sich Accounts über mehrere Domains erstrecken. Die User müssen sich dadurch nicht mehr so oft einloggen.
Multimaster-Replizierung: Durch die Multimaster-Replizierung sind auf allen Domain-Controllern von jedem Objekt in der Domain Repliken für vollen Schreib-/Lesezugriff verfügbar, selbst wenn sich die Domains über mehrere Sites erstrecken. Gehen diese Netzwerkverbindungen verloren, sind die Sites immer noch funktionstüchtig.
Active Directory mit KinderkrankheitenDomain-Name-System (DNS)-Support: Damit werden über Internet-Protokolle die Namensgebung und das Auffinden von Objekten vereinfacht.
Desktop-Management: Intellimirror, Microsofts Antwort auf Novells ZENworks, bietet automatische Softwaredistribution und -pflege, zentralisiertes Desktop-Konfigurations-Management sowie Remote-Installation des Betriebssystems. User-spezifische Desktop-Einstellungen, Applikationsdaten und Dokumente können den Anwendern von jeder Maschine im Netzwerk aus verfügbar gemacht werden.
Die derzeitigen Schwächen der aktuellen 1.0-Version von AD - in der Giga/Sunbelt-Untersuchung unter den wichtigsten technologischen Mängelpunkten zu finden - sind Folgende:
-Gruppenrichtlinien sind nicht mit SMS 2.0 integriert; erst im Sommer 2002, wenn das nächste Release (Codename "Topaz") auf den Markt kommt, wird dies der Fall sein.
-Die aktuelle Version von AD bietet keine Gruppenrichtlinien für die Vorgängerversionen Windows 9x und Windows NT Workstation 4.0.
-AD-basierende DNS-Integration mit Unix DNS wurde von 37 Prozent der Befragungsteilnehmer als die schwierigste Aufgabe im Rahmen einer AD-Migration genannt. Viele bereits vorhandene DNS-Server unterstützen keine Service Resource Records - eine Voraussetzung für AD-DNS-Server.
-Domains können im aktuellen AD nicht umbenannt werden. Es ist außerdem nicht möglich, Trees zu verbinden oder zu splitten.
-Der Support mehrerer Forests ist mit AD derzeit nicht ohne weiteres möglich.
-AD-Forests und Domains zu mergen ist eine große Herausforderung für Unternehmen, die viele Mergers & Übernahmen durchführen. Um zwei getrennte Forests in ein einziges Forest-Design zu verschmelzen, ist ein vollständiges Migrationsprojekt erforderlich.
-Das Directory-fähige Client-Management von AD ist beschränkt. Es fehlt AD ein integrierter Mechanismus für die Remote-Administrierung von Workstations.
-Außerdem mangelt es an einer "Undelete"-Funktion (Rückgängigmachen) für das Schema. Wenn ein Administrator beim Schema-Design einen Fehler macht, muss er ganz von vorne anfangen.
-AD enthält zwar einen integrierten PKI-Mechanismus (Public Key Infrastructure), der bei kleinen bis mittelgroßen PKIs gut funktioniert, es gibt aber keinen erweiterten Support.
-AD ist eine homogene Directory-Services-Plattform, die nur auf Microsoft-Netzwerken lauffähig ist. Damit ist es derzeit für Extranet-Umgebungen oder Electronic-Commerce-Applikationen nicht optimal geeignet.
-Microsoft hat sich zwar noch nicht dazu geäußert, welche spezifischen AD-Erweiterungen im nächsten Windows-Release, dem .NET-Server - der für das erste Quartal 2002 auf dem Markt erwartet wird - integriert werden sollen, doch das Unternehmen hat bereits angekündigt, viele der derzeitigen Schwächen des Active Directory zu adressieren. (wm)
*Dr. Thomas Mendel Ph. D. ist Director Research GIGA Information Group in Frankfurt am Main.
Leitfaden für Active-Directory-ProjekteDie Top-Ten-Liste von "Do''s & Don''ts" im Rahmen von AD-Projekten der Giga Information Group wurde wie folgt festgelegt:
1. Bereits in der Frühphase des Projektes sollten Monitoring- und Management-Tools eingesetzt werden. In Großunternehmen sind solche Utilities eine Voraussetzung für die Nutzung und das Management unternehmensweit eingesetzter Directories .
2. Multi-Forest-Implementierungen sind zu vermeiden. Einige der Einschränkungen von AD (und auch von Exchange 2000) machen den Einsatz solcher Umgebungen extrem schwierig.
3. Vor der Migration sollte die Anzahl der Domains auf ein Minimum reduziert werden. Die Migration auf Windows 2000 und AD stellt für Unternehmen eine Chance dar, ihre vorhandene NT-Domain-Struktur neu zu strukturieren.
4. Ebenfalls ratsam ist es, vor der Migration die Daten zu bereinigen, damit Datenkonflikte vermieden werden. Auch in diesem Bereich gibt es Tools von Drittanbietern, die den Prozess vereinfachen.
5. Mit der Rolle des "Domain-Administrators" sind nur ganz wenige Mitarbeiter (zwei oder drei) zu beauftragen. Hierbei muss es sich um vertrauenswürdige Mitarbeiter handeln.
6. Die Netzwerkadministrationsprozesse sollten für die veränderte AD-Umgebung neu definiert werden. AD wird nicht nur für das NOS (Network Operating System) eingesetzt, sondern auch für andere Applikationen.
7. Wichtig ist auch, dass sich die administrative Architektur in der Domain-Architektur widerspiegelt. Ein Geografie-basierendes Domain-Modell ist interessant für die lokale Administration, aber schwierig für Geschäftsbereiche (Business Units, BUs), in denen User aus mehreren geografischen Standorten involviert sind.
8. Parallele Nutzung im Gegensatz zu In-Place Upgrades: Parallele Nutzung bezieht sich auf den Aufbau einer neuen AD-Umgebung und den schrittweisen Wechsel von Usern und Gruppen hin zu AD. Ein In-Place-Upgrade beinhaltet den Upgrade der NT-Domain-Server direkt auf AD, von oben nach unten.
9. Bereits in den frühen Planungsphasen sollte eine enge Abstimmung zwischen der IT und den Geschäftsbereichen vorhanden sein. Die relevanten Interessensgruppen müssen beim Design und bei der Planung frühzeitig involviert werden.
10. Es wird außerdem empfohlen, einen Directory-Consultant hinzuzuziehen. Das ist die Best-Practice für jegliche Directory-Services-Initiative.
Abb.1: Directory-Planungen
Giga hat Unternehmen, die in den nächsten eineinhalb Jahren AD einführen wollen, nach dem Starttermin gefragt. (Abb. 1) Quelle: Giga Information Group
Abb.2: Einführung von Active Directory: Erwartungen nicht erfüllt
Verfrühter Optimismus: Die Umfrage zeigt, dass die meisten Unternehmen mit Microsoft-Strategie die Komplexität von Windows 2000/XP und Active Directory unterschätzt haben. (Abb. 2) Quelle: Giga Information Group