Microsoft
Active Directory Service
Studienarbeit für die
Prüfung zum Diplom-Betriebswirt (BA)
im
Ausbildungsbereich Wirtschaft
an der
|
Name: |
Christian Gröger |
|
Geburtsort: |
Bruchsal |
|
Fachrichtung: |
Wirtschaftsinformatik |
|
Kurs: |
WWI97G1 |
|
Ausbildungsstätte: |
SEW-EURODRIVE GmbH & Co. |
|
Betreuender Dozent: |
Frederic Toussaint |
|
Abgabedatum: |
9. November 1999 |
Diese Studienarbeit widmet sich dem Verzeichnisdienst Active Directory, der Bestandteil des Microsoft Serverbetriebssystems Windows 2000 sein wird. Obwohl es Windows 2000 momentan nur als Release Candidate 2 auf dem Markt gibt, halte ich es jetzt schon für wichtig, sich mit dem Thema Verzeichnisdienste auseinanderzusetzen. Die Anzahl der vernetzten Rechnersysteme ist innerhalb der letzten Jahren stark angewachsen und mit ihr auch ihre Komplexibilität. Durch Verbindung der Rechner mit dem Internet sind weitere Softwarekomponenten wie Mail und Internetserver auf den Markt gekommen, die es zu administrieren gilt. Ausserdem hat die weltweite Vernetzung von Firmen über das Internet so große Fortschritte gemacht, dass aus einzelnen, einfach strukturierten LANs große komplexe Netzwerke entstanden sind. Um diese effizient und rational verwalten zu können sind neue Administrationswerkzeuge nötig. Ich erlebe es selber im Alltag, wie für die Administrationen oft eine unübersichtliche Anzahl von verschiedenen Werkzeugen benötigt wird und somit einiges an Konfigurationsarbeit und redundater Datenerfassung anfällt. Die Theorie von Microsofts Active Directory sieht vielversprechend aus: Sollte ein großer Teil in der Praxis genau so realisiert sein, wie Microsoft dies in seinen Whitepapers zu Windows 2000 darstellt, dann ist ein großer Schritt in Richtung "Single Point of Administration" gemacht worden. Voraussetzung hierfür ist natürlich, dass die Anwendungen auch das Active Directory unterstützen, d.h. die reine Installation des Active Directory bewirkt noch keine Erleichterung. Aufgrund Microsofts Marktstellung und der Zusage vieler bedeutenden Hersteller ist jedoch meiner Ansicht nach damit zu rechnen, dass einige Zeit nach dem Erscheinen von Windows 2000 der Trend zum Verzeichnisdienst immer mehr zunimmt. Ein Umstieg auf einen Verzeichnisdienst bedarf weitreichender Planung und Umstellung, deshalb ist es notwendig, dass sich große Unternehmen schon heute Gedanken zu diesem Thema machen. Microsoft bietet schon vor der offiziellen Auslieferung MCSE-Kurse zum Thema Planung und Einrichtung des Active Directory an.
Ich hoffe, dass ich mit dieser Studienarbeit einen einen verständlichen Einblick in das Zukunfstthema "Active Directory" geben kann.
zurück zum Inhaltsverzeichnis
Im Rahmen der zunehmenden Globalisierung und der weltweiten Vernetzung von Computersystemen wird eine einheitliche Verwaltung von Benutzerberechtigungen immer notwendiger. Dabei müssen alle Objekte der unterschiedlichen Netze, wie z.B. Anwendungen, Datenbanken , Speicherressourcen, Drucker, Gateways transparent, d.h. ohne mehrmaliges Eingeben von Benutzername und Passwort für den berechtigten Benutzer erreichbar sein.
zurück zum Inhaltsverzeichnis
Verzeichnisdienste stellen eine zentrale Anlauf- und Auskunftstelle für Netzwerkinformationen dar. Es haben sich im Gebiet der Verzeichnisdienste in den letzten Jahren zwei unterschiedliche Richtungen entwickelt:
Zum einen gibt es einfache Verzeichnisdienste, die meist in Netzwerk-betriebssystemen oder Datenbanken integriert sind. Diese Dienste speichern jedoch meist nur eine Liste von Benutzern mit einigen zugeordneten Zusatzangaben wie Berechtigung oder Passwort. Ein Beispiel für diese Art des Verzeichnisdienstes ist das Domain Name Service (DNS) Modell, bei dem ein Rechnername über diesen Service in eine IP-Adresse umgesetzt wird.
Zum anderen haben sich gerade im Bereich der Telekommunikation sehr komplexe Verzeichnisdienste, wie z.B. der X.500 Standard entwickelt, die wesentlich flexibler als die einfachen Dienste aufgebaut sind.
Solche Verzeichnisdienste verfügen zusätzlich noch über einige weitere Eigenschaften (Nie98, S. 53
):Aufgrund dieser Flexibilität setzten immer mehr Hersteller auf diesen zweiten, komplexeren Ansatz, um für die Zukunft gewappnet zu sein. Microsoft hat in Windows 2000 mit Active Directory diesen Ansatz realisiert.
Aktuelle Standards
X.500 ist der OSI-Standard (Open Systems Interconnection) eines weltweit verteilten Verzeichnisses von Netzwerkbenutzern, Netzwerk-Services etc.
Der X.500 Standard definiert die folgenden Komponenten:
Das Informationsmodell des X.500-Standard stellt eine hierarchische Baumstruktur zur Informationsverwaltung zur Verfügung. Jeder Knoten dieses Baumes besteht aus Attributen. Ein Attribut wiederum hat einen Typ und einen oder mehrere Werte. Der Typ legt die Art der Information fest, die in den Werten abgelegt werden kann.
So können z.B. zu Benutzern in Form von Attributen jeweils der Standort, die Funktion, die Telefon- und Fax-Nummer, sowie die E-Mail-Adresse hinterlegt werden. Andere Ressourcen wie Netzwerkdrucker werden über Attribute wie Standort, Etage, Druckertyp und Verantwortlichem inklusive Telefonnummer und E-Mail-Adresse beschrieben. In diesem Fall kann der Benutzer ohne lange zu suchen gezielt den für ihn geeigneten Drucker auswählen und kann im Bedarfsfall den dafür zuständigen Administrator direkt um Hilfe bitten.
zurück zum Inhaltsverzeichnis
Lightweight Directory Protocol (LDAP)
Das Lightweight Directory Access Protocol ist das Standardprotokoll im Internet, das den Zugriff auf die Verzeichnisdienste regelt. LDAP kann auch als Basis für Replikationsmechanismen verwendet werden.
Es entstand ursprünglich als eine vereinfachte Version der X.500 DAP Spezifikation (Directory Access Protocol) die den Zugang zu X.500-basierten Verzeichnisdiensten über TCP/IP ermöglichte. Der Vorteil gegenüber der X.500 Spezifikation ist, dass alle wesentlichen X.500 Elemente realisiert wurden. LDAP besitzt jedoch viel weniger Overhead und ist weitaus leistungsfähiger.
LDAP wird für verschiedene Verzeichnisdienste verwendet und stellt mittlerweile einen Standard bei den Vezeichnisdiensten dar, da viele wichtige Unternehmen wie Microsoft, Sun oder Cisco auf LDAP setzen.
zurück zum Inhaltsverzeichnis
Microsoft Active Directory Service (ADS)
Das Active Directory stellt einen hierarchisch gegliederten Verzeichnisdienst dar, der sich in seiner Struktur grob am bestehenden X.500 Modell orientiert. Active Directory ist Bestandteil von Microsofts neuem Betriebssystem Windows 2000 Server, das momentan nur als Release Candidate, also in einer Vorabversion vorliegt, jedoch voraussichtlich im ersten Quartal 2000 ausgeliefert werden soll.
zurück zum Inhaltsverzeichnis
Das Windows NT Domänenkonzept wird es in der bisherigen Form bei Windows 2000 mit Active Directory nicht mehr geben. Es sind aber für die Abwärtskompabilität und Upgrademöglichkeit einige Elemente aus diesem Konzept in die Struktur des Active Directory eingegangen. Aus diesem Grund wird im Folgenden das NT Domänenkonzept dargestellt.
zurück zum Inhaltsverzeichnis
Windows NT arbeitet mit einer eindimensionalen Architektur bei der sich alle Objekte wie Server, Benutzer, Druckerwarteschlangen auf der selben Ebene Befinden. Dies hat zur Folge, dass die Netzwerkadministration auf jedem Server entsprechend die Benutzer einrichten muß. Aus diesem Grund hat Microsoft das zweidimensionale NT-Domänenmodell eingeführt. Es ermöglicht die Benutzer einmal in der Domäne anzulegen und mit entsprechenden Zugriffsrechten versehen, so das die Benutzer nicht redundant auf jedem einzelnen Server angelegt werden müssen.
Eine Domäne stellt eine logische Einheit im Netzwerk dar, die mindestens einen Domänencontroller enthält. Auf diesem werden die Benutzerdaten und Berechtigungen administriert.
Alle anderen Ressourcen beziehen ihre Informationen von diesem Controller. D.h. meldet sich ein Benutzer "Gates" an einer Arbeitsstaion in der Domäne "Microsoft" an, so wird auf dem Domänencontroller der Domäne "Microsoft" überprüft, ob ein Benutzer Gates existiert, ob sein Passwort korrekt ist und welches Anmeldescript ablaufen soll. Der Benutzer Gates kann jetzt ohne weitere Passwortabfrage auf alle für ihn freigegebenen Ressourcen im Netzwerk zugreifen.
zurück zum Inhaltsverzeichnis
Es kann in einem Unternehmen durchaus sinnvoll sein, mehrere Domänen einzurichten. Zum einen kann man so bestimmte Bereiche wie etwa Produktion und Verwaltung logisch voneinander trennen, zum anderen bietet sich eine logische Trennung an, wenn das Unternehmen mehrere Standorte besitzt und man so Anmeldevorgänge über WAN-Strecken vermeiden möchte. Es kann jedoch vorkommen, dass Benutzer der einen Domäne Zugriff auf Ressourcen einer anderen benötigt. Möchte beispielsweise Hr. Maier aus Bruchsal in der Domäne "SEW" ein Dokument auf einem Farblaserdrucker im Werk Graben in der Domäne "PRODUKTION" ausdrucken, so muß er in der Domäne "PRODUKTION" bekannt sein und eine Berechtigung zum Druck auf diesem Drucker haben.
Um nun redundante Erfassung von Benutzer zu vermeiden, bietet das Domänenkonzept die Möglichkeit anderen Domänen zu "vertrauen". Somit würde im Beispiel der Domänencontroller "PRODUKTION" in der Benutzerdatenbank der Domäne "SEW" prüfen, ob einen Benutzer "Maier" existiert, und ob dieser die Legitimation zum Drucken auf dem Farblaserdrucker erhalten hat. Durch das Vertrauensverhältnis ist es also möglich, einem Benutzer Rechte in einer vertrauten Domäne zu vergeben. Dabei wird zwischen einseitigem und beidseitigem Vertrauen unterschieden. Beim einseitigen Vertrauen vertraut z.B. Domäne B der Domäne A, aber nicht umgekehrt. Beim beidseitigen Vertrauen, gilt das Vertrauen in beide Richtungen. Die Möglichkeit des einseitigen Vertrauens kann in der Praxis durchaus wichtig sein. Möchte beispielsweise die Domäne "Finanzen" Zugriff auf Ressourcen der Domäne "IT" bekommen, so bietet sich ein einseitiges Vertrauen der Domäne "IT" zu "Finanzen" an. Es ist dadurch nämlich ausgeschlossen, dass ein unbefugter Benutzer aus dem IT Bereich Zugriff auf sensible Finanzdaten erhalten kann.
zurück zum Inhaltsverzeichnis
Abbildung 1: Es gibt zwei Arten von Vertrauen: Einseitiges und Gegenseitiges (Nie98, S.205)
SynchronisationEine Domäne muß mindestens einen Domänencontroller besitzen. Dieser Server ist der Primäre Domänen Controller (PDC). Auf ihm ist die SAM gespeichert, in der alle Benutzer und Berechtigungen verwaltet werden. Zusätzlich können aber auch noch weitere Server zu Domänencontrollern definiert werden. Diese sind dann Backupdomaincontroller (BDC) . Backupdomaincontroller besitzen eine Kopie der SAM des PDC, die in definierten Abständen synchronisiert wird. Ein Benutzer, der sich an einer solchen Domäne anmeldet, legitimiert sich also nicht unbedingt am PDC, sondern durchaus auch an einem BDC. Die BDCs dienen also zum einen dazu, die Netzlast vom PDC zu nehmen, zum anderen haben sie als Hauptaufgabe, Backup des PDC zu sein. Sollte der PDC ausfallen, so können sich die Benutzer weiterhin an der Domäne anmelden. Nur administrative Operationen, also das Anlegen und Ändern von Benutzereigenschaften sind auf den BDC nicht möglich. Sie gestatten einen Nur-Lesezugriff. Sollte der PDC für längere Zeit ausfallen, so ist es dem Administrator möglich, einen der BDCs zum PDC zu erhöhen um somit wieder Schreibzugriff auf die SAM zu erhalten. Diese Maßnahme sollte jedoch nur in schwerwiegenden Fällen durchgeführt werden, da sich die spätere Reintegration des alten PDC in diese Domäne sehr schwierig gestaltet.Die Replikationen zwischen dem PDC und den BDCs einer Domäne wird nach dem Master-Slave Prinzip durchgeführt. Das bedeutet, der PDC (Master) repliziert immer direkt auf den BDC, der BDC kann diese Informationen nicht von einem anderen BDC erhalten. Dies stellt gerade bei Domänen, die sich über einen Standort hinweg ausdehnen, ein Problem dar. Hat eine entfernte Niederlassung mehr als ein BDC, wird nicht nur ein BDC, sondern jeder BDC über die WAN-Anbindung aktualisiert, was zu einer redundanten und hohen Netzlast auf der WAN-Strecke führt.
zurück zum Inhaltsverzeichnis
Eine NT Domäne ist in ihrer Flexibilität beschränkt. So gibt es keine Möglichkeit, die Anzahl oder den Inhalt der bestehenden Objekttypen zu erweitern. Auch eine Funktion zum Zusammenführen der Benutzerdatenbank mit Benutzerdatenbanken aus anderen Anwendungen oder Diensten ist nicht vorhanden.
Je nach dem, wie groß die Netzwerkumgebung ist, kann es enormen Aufwand kosten, die richtigen Vertrauensverhältnisse zwischen den Domänen zu definieren, damit die Funktionalität, aber auch die Sicherheit gewährleistet ist. (Mic95, S.670ff)
zurück zum Inhaltsverzeichnis
Aufbau und Struktur des Active Directory
Das Active Directory orientiert sich an grob am X.500 Modell und stellt einen hierarchisch gegliederten Verzeichnisdienst dar und löst so als dreidimensionales Modell das zweidimensionale Domänenkonzept ab. Dennoch wird der Domänenbegriff an sich im neuen Modell weiterverwendet. Nach Ansicht von Morten Nielsen läßt dies auf den Wunsch Microsofts zur Abwärtskompabilität schließen (MOR98, Seite 212).
Das Active Directory integriert die Standards LDAP und DNS. Beide Standards benötigen das TCP/IP Protokoll als Grundlage. Dies sollte bei den Planungen für einen Einsatz des Active Directorys unbedingt beachtet werden. Gerade Benutzer von Novells Netware sind von dieser Voraussetzung betroffen. Mit dem Active Directory wird eine Basis für eine Vielzahl von Anwendungen geschaffen, die es ermöglicht, das Netzwerk zentral zu verwalten.
Jedes Active Directory enthält normalerweise mindestens einen Domänenbaum. Ein Domänenbaum bildet das Netzwerk in einer hierarchisch gegliederten Struktur ab. Dazu bedient es sich einiger Elemente die im folgenden erläutert werden (Wal99, S.268-271):
Ein Objekt ist ein Datensatz von Attributen, die eine Netzwerkressource beschreiben. Der Datensatz eines Benutzers könnte beispielsweise die Attribute "Vorname", "Nachname", "Abteilung", "Telefonnummer" und "E-Mail-Adresse" enthalten.
zurück zum Inhaltsverzeichnis
Manche Objekte können wiederum andere Objekte enthalten. Diese Objekte werden auch als Container bezeichnet. Eine Domäne ist ein Container, da sie weitere Objekte beinhaltet.
zurück zum Inhaltsverzeichnis
Organizational Units (OU)
Eine Organizational Unit (OU) ist ein Containerobjekt, das zur
Strukturierung der Domäne genutzt wird. Eine OU kann z.B. die Benutzernamen
enthalten, eine andere die Applikationen, Freigaben, usw.
Es gibt keine
Beschränkungen, wie tief die OUs geschachtelt werden dürfen, es empfiehlt sich
jedoch, die Schachtelung in einem sinnvollen Rahmen zu halten. Eine
Feinstrukturierung der Computer auf Zimmerebene wäre beispielsweise in den
meisten Fällen überflüssig und würde nur die Übersicht erschweren.
Die OU
Hierarchie kann in jeder Domäne anders aussehen es gibt keine Vorschriften, wie
sie genau aufgebaut sein muß. Vorteilhaft für die Netzwerkadministration ist,
dass Benutzern Rechte für einzelne OUs delegiert werden können. So könnte
beispielsweise der Abteilungsleiter für alle PCs in seiner Abteilung die lokalen
Administratorenrechte delegiert bekommen. Diese Rechte gelten dann nur für die
Rechner innerhalb der OU. In einer NT4 Domäne ist dies so nicht zu
realisieren.
Abbildung 3: Ressourcen können hierarchisch verwaltet werden. (Wal99, S.269)
Baum (Tree)
Ein Baum ist eine Gruppierung oder hierarchische Anordnung mehrerer Windows 2000 Domänen, die sich einen zusammenhängenden Namensraum teilen. Es gibt also eine Hauptdomäne, z.B. sew.com. Die untergeordneten Domänen enthalten immer den Namen der übergeordneten Domäne, also Beispielsweise germany.sew.com und france.sew.com.
Abbildung 4: Domänenmodell mit zusammenhängendem Namensraum
zurück zum Inhaltsverzeichnis
Wald (Forest)
Ein Wald ist eine Gruppierung von mehreren Domänenbäumen, die keinen zusammenhängenden Namensraum besitzen. Dennoch haben die Domänen das gleiche Schema und teilen sich einen Global Catalog. Die Domänen arbeiten weiterhin unabhängig voneinander, aber der Wald ermöglicht Kommunikation und Suchanfragen über die Domänen hinweg.
zurück zum Inhaltsverzeichnis
Site
Microsoft führt mit dem Active Directory den Begriff der Site ein. Eine Site beschreibt ein oder mehrere IP Subnetze, welche über ein schnelles, meist lokales Netzwerk verbunden sind. Sites bilden die physikalische Struktur des Active Directory.
zurück zum Inhaltsverzeichnis
Das Schema enthält die formale Definition der Struktur und des Inhalts des Active Directorys, einschließlich aller Attribute, Objekten und Objektklassen. Hier wird also definiert welches Objekt welche Attribute enthält und welche Wertebereiche sie annehmen können. Auch Muß- und Kannfelder können hier definiert werden. Sobald das Active Directory auf dem ersten Domaincontroller in der Domäne installiert wird, wird ein Standardschema mit gebräuchlichen Objektklassen und Attributen erzeugt. Das Schema kann dann abgeändert und so individuell angepaßt werden. Dies ist über den Schema-Manager in der Microsoft Managementkonsole oder über programmierung der ADSI-Schnittstelle möglich.
zurück zum Inhaltsverzeichnis
Das Active Directory baut auf die DNS Namensauflösung auf. Das
bedeutet, dass alle Domänennamen DNS kompatibel sind. DNS (Domain Name System)
wandelt sprechende Rechnernamen oder Domänennamen in die von den Computern
benötigten TCP/IP-Adressen um.
Die Domänennamen des Active Directory sind
kompatibel zum bestehenden DNS System. Die Windows 2000 Domänencontroller können
als DNS Server dienen. Es ist aber durchaus möglich, einen bestehenden DNS
Server in das Active Directory zu integrieren.
Die Windows 2000 Server
benutzen Dynamic DNS (DDNS). Im Unterschied zu DNS repliziert DDNS Änderungen an
der DNS Datenbank, beispielsweie bei Dynamischer Vergabe von TCP/IP-Adressen
automatisch und stellt somit eine Verbesserung des DNS Standards dar.
Active Directory unterstützt noch weitere, allgemein anerkannte Namensformate (Nie98, S.299):
z.B. /DE/SEW/Server1/Projekte/Studienarbeit/ChristianGroeger
zurück zum Inhaltsverzeichnis
Das Active Directory arbeitet mit einer hierarchischen
Weitervererbung: Alle Änderungen des Verzeichnisschemas oder der
Zugriffsberechtigungen gelten automatisch für die Ebene, in der verändert wurde,
sowie für alle darunterliegenden Ebenen.
Die Vererbung des Active Directory
läuft statisch ab, das bedeutet, dass die vererbten Änderungen an allen
Objekten, die von der Vererbung betroffen sind, vorgenommen werden müssen. So
kann eine Änderung je nach Größe der Struktur sehr große Replikationen
verursachen. Ist die Änderung jedoch einmal durchgeführt so kann der Benutzer
des Active Directory damit schneller arbeiten, als ein Benutzer eines
Verzeichnisdienstes, das dynamisch vererbt. Domänen sollten sich aus diesem
Grund nicht über WAN-Strecken ausbreiten, da sonst die sehr umfangreichen
Replikationen schnell immense Netzlast und damit auch Kosten verursachen.
Vertrauensverhältnisse
Ähnlich wie bei den NT Domänen haben auch die Active Directory
Domänen klare Sicherheitsregeln. Sollen beispielsweise zwei Active Directory
Domänen zu einem Domänenbaum verbunden werden, so müssen sie sich gegenseitig
vertrauen. Im Gegensatz zu dem bisherigen Domänenmodell werden die
Vertrauensverhältnisse transitiv verwaltet. In der Praxis bedeutet dies
folgendes: Wenn die Domäne B der Domäne A vertraut und die Domäne C der Domäne
B, dann vertraut automatisch die Domäne C der Domäne A, auch wenn keine
explizite Vertrauensregelung besteht, die die Domänen C und A miteinander
verbindet.
Durch die Einführung des transitiven Vertrauens konnte die Anzahl
der Vertrauensverhältnisse die notwendig sind, um innerhalb eines ganzen
Domänenbaums volles Vertrauen unter den Domänen zu erreichen von D*(D-1) auf D-1
reduziert werden wobei für D die Anzahl der Domänen einzusetzen ist (Nie98,
S.217). Das Active Directory sorgt ausserdem automatisch dafür, dass bei einer
Neuanmeldung einer Domäne im Domänenbaum automatisch ein transitives
Vertrauensverhältnis zu der nächsten darüberliegenden Domäne im Domänenbaum
errichtet wird. Somit wird dem Administrator einiges an Verwaltungsaufwand
abgenommen.
Die Multimasterreplikation ermöglicht Änderungen in der Domäne
von jedem Windows 2000 Server aus, der als Domänencontroller fungiert, der also
eine beschreibbare Kopie der Domänendatenbank gespeichert hat. Fällt ein
Domänencontroller aus, so können die anderen die gesamte Arbeit übernehmen,
einschließlich der Administration.Da alle Domänencontroller Änderungen an der
Datenbank erlauben, hat Microsoft ein Synchronisationsverfahren entwickelt, das
sich jedoch von der üblichen Synchronisation unterscheidet.
Die meisten
Hersteller benutzen Zeitstempel als Basis für die Replikation. Voraussetzung ist
es hier natürlich, das alle Server die gleiche Uhrzeit und das gleiche Datum
benutzen. Microsoft setzt den Zählmechanismus USN (Update Sequence Number) ein,
der für jedes Objektattribut einen eigenen Zähler erzeugt. Bei einer Änderung
des Attributs wird der Zähler um eins erhöht.
Gleichen sich die
Domänencontroller untereinander ab, so wird das Attribut mit dem höchsten
Zählerstand repliziert. Sollten Änderungen am gleichen Attribut auf zwei
unterschiedlichen Domänencontrollern vorgenommen worden sein, d.h. der
Zählerstand wäre bei 2 Domänencontrollern gleich, so entscheidet auch hier der
Zeitstempel. Der Vorteil dieser Kombination ist, dass sie sicherer arbeitet, als
das Zeitstempelverfahren alleine. So kann auch bei einer falsch laufenden
Serveruhr in einer Vielzahl der Fälle trotzdem korrekt repliziert werden.
Obwohl das Active Directory einige revolutionären Änderungen
mit sich bringt, so gibt es vergleichsweise wenige Änderungen in der
grundlegenden Architektur von Windows NT.
Bei Windows NT werden die
Domänendatenbanken in einer verschlüsselten Datei in Form des Security Account
Manager SAM gespeichert. Jede Interaktion mit der Domäne wird über die SAM
abgewickelt.
Abbildung 5: Die Domänenarchitektur von NT aus technischer Sicht (Nie98, S.220)
Auch in der neuen Architektur wird es aus Kompabilitätsggründen noch die SAM geben. Microsoft weist jedoch darauf hin, dass die SAM nur bis zur vollständigen Implementierung des Active Directory im Unternehmen benutzt werden sollte. In der neuen Architektur werden die Daten in einer JET-Datenbank abgelegt. Microsoft setzt diese Datenbank schon in ihren Produkten Exchange ab Version 4.0 und Access ein. Die JET-Datenbank behebt das Manko der Registrierungsdatenbank, welche nur wenige Rechner- und Benutzerspezifische Daten in fest definierter Größe speichern kann, und außerdem nicht über wichtige Datenbankfunktionen wie z.B. Indizierung verfügt.
Mit der JET-Datenbank können einfach neue Objekttypen und Attribute definiert werden und auch die Anzahl der zu verwaltenden Objekte ist stark angestiegen. Während eine Windows NT Domäne maximal 70.000 - 80.000 Objekte verwalten kann, ist Active Directory in der Lage, mit mehreren Millionen Objekte umzugehen. (Kup98, S. 83)
zurück zum Inhaltsverzeichnis
Die Suchmaschine: Der Global Catalog
Ein Verzeichnisdienst sollte neben vielen anderen Kriterien
auch die Möglichkeit bieten, seine Datenbestände durchsuchen zu lassen. So wie
es mittlerweile möglich ist auf Telefonbuch-CD´s wie D-Info nach Namen und
Nummern zu suchen, können auch Verzeichnisdienste nach bestimmten Attributen von
Objekten durchsucht werden. Es können beispielsweise Namen und E-Mail-Adressen
im Unternehmen gesucht werden. Aber auch Geräte innerhalb des Netzwerkes, die im
Active Directory verwaltet werden, können abgerufen werden können. So ist es
möglich eine Abfrage in der Form: "alle Farblaserdrucker in der zweiten Etage
der Hauptverwaltung" zu starten.
Das Active Directory enthält für diese
Suchfunktionalität einen speziellen Dienst: Den Global Catalog. Dieser Dienst
stellt eine spezielle Datenbank für Suchanfragen dar. Er entspricht also einer
Untermenge des Active Directory bei der nur wenige, für die Suchoperationen
benötigte Eigenschaften von Objekten gespeichert sind. Somit ist es möglich,
Suchanfragen des Benutzers sehr schnell abzuwickeln. Da alle Objekte aller
Domänen im Domänenbaum im Global Catalog gespeichert sind, muß nicht erst eine
zeitintensive und netzwerkbelastende Suche über alle Domänen durchgeführt
werden, sondern es kann zentral an einer Stelle mit geringer Bandbreite
zugegriffen werden. Benutzer einer Domäne können mit Hilfe des Global Catalog
auch Informationen über Objekte anderer Domänen erhalten. Das netzwerkbelastende
"Tree-Walking", also das Durchsuchen des kompletten Baums wird somit
ausgeschlossen.
Der Benutzer erhält bei Suchanfragen nur Objekte angezeigt,
für die er auch eine Berechtigung besitzt. Somit ist gewährleistet, dass nicht
jedem die Komponenten des gesamten Domänenbaums offengelegt wird. Der Global
Catalog-Dienst wird auf spezifischen Servern, die als Domänencontroller
innerhalb der Netzwerkumgebung arbeiten, ausgeführt. Es sollte jedoch nicht
jeder Domänencontroller zwangsweise auch den Global Catalog Dienst installiert
haben, da sich ansonsten durch ständige Replikation die Bandbreite des
Netzwerkes stark verringern würde. Es ist jedoch auf jeden Fall empfehlenswert,
an jedem Standort des Unternehmens bzw. in bestimmten Sites einen Global Catalog
führen zu lassen. Somit ist sichergestellt, das die Clients im lokalen Netzwerk
auf den Suchdienst zugreifen können und nicht auf entfernte Server über teure
und langsamere WAN-Strecken zugreifen zu müssen.
Die Schnittstelle Active Directory Service Interface (ADSI)
Microsoft bietet mit ADSI (Active Directory Service Interface)
eine Schnittstellenspezifikation für das Active Directory an.
Das ADSI
stellt eine einfach gehaltene und objektorientierte Schnittstelle zum Active
Directory dar. Durch das ADSI können Programmierer mit Hilfe von gängigen
Programmiersprachen wie C++, Visual Basic und Java ihrer Programme Active
Directory tauglich machen. Administratoren können über Scriptsprachen wie Perl
oder Java gezielte Zugriffe auf das Active Directory programmieren. ADSI ist
jedoch nicht nur auf das Active Directory begrenzt, sondern stellt einen offenen
Rahmen dar, in den auch weitere Typen von Verzeichnisdiensten aufgenommen werden
können. Es setzt auf einem abstrakten Modell des jeweiligen Verzeichnisdienstes
auf und präsentiert es in Form einer einheitlichen Schnittstelle. So können über
eine einzige Schnittstelle Ressourcen angefordert, aufgezählt und in einem
Verzeichnisdienst administriert werden, unabhängig davon, in welcher
Netzwerkumgebung man sich befindet.
Für die Benutzer und Entwickler stellt
dies einen großen Vorteil da: sie brauchen sich nicht mehr darum zu kümmern,
welcher Verzeichnisdienst ihrer Applikation zugrunde liegt. Auch tiefgreifende
Veränderungen (z.B. Umstieg auf einen neuen Dienst) ziehen keine
Programmänderungen nach sich, solange es für den Verzeichnisdienst einen
ADSI-Provider gibt.
ADSI wurde für den Einsatz von komplexen
Verzeichnisdiensten entwickelt. Es ist aber durchaus möglich auch auf
Netzwerkumgebungen zuzugreifen die nicht über einen eigentlichen
Verzeichnisdienst verfügen, wie z.B. die NT-Domänen oder die Netware Bindery
(Novell Netwareversionen kleiner Version 4.x)
ADSI teilt sich in 2 Teile: Zum
einen das ADSI Programm und zum anderen der ADSI Seviceprovider. Beide können
auf dem lokalen PC verarbeitet werden. Es ist somit nicht notwendig
ADSI-Komponenten auf den Servern zu installieren. Meldet das ADSI einen
Programmaufruf so läuft dieser immer über die eigene API des Servers, und das
ADSI ist für den Server nicht transparent. Auch wenn Microsoft ADSI als primäre
Schnittstelle für das Active Directory entwickelt hat, ist es durchaus möglich
auch auf anderen Wegen auf das Active Directory zuzugreifen. So unterstützt ADS
auch das LDAP C API (RFC1832) oder das MAPI-Protokoll.
Als Beispiel für die ADSI-Programmierung eignet sich die Benutzerverwaltung unter Windows NT. Während diese z.B. bei Unix über Skripts abläuft, muß man bei Windows NT bisher Anwendungen wie den Benutzermanager benutzen. In manchen Fällen, ist diese Software jedoch nicht flexibel genug. Gerade für Batchabläufe oder eigene, kleine Programme gab es bisher kaum Möglichkeiten auf die SAM zuzugreifen.
Mit Hilfe von ADSI können jetzt eigene, auf den Bedarfsfall zugeschnittene Lösungen programmiert werden. Das folgende Beispiel zeigt das Anlegen eines Benutzers mit Hilfe von Visual Basic:
Dim Container as IADsContainer Dim NewUser as IADsUser ' Bindung zu bekanntem Container herstellen ' über die von ADSI Router und Support Komponente ' zur Verfügung gestellte Funktion GetObject Set Container = GetObject("WinNT://Domäne") ' Erzeuge neue Benutzerhülle Set NewUser = Container.Create("user", "Benutzer") ' Schreibe Information in den Directory Service NT NewUser.SetInfo ' Wende Methode auf den Benutzer an: Setze Paßwort NewUser.SetPaßword("Paßwort")Quelle: (Beis97)
zurück zum Inhaltsverzeichnis
Wie schon beschrieben enthält das Active Directory viele Elemente, die die Abwärtskompabilität zu Windows NT gewährleisten sollen. So ist Windows 2000 vollständig abwärtskompatibel zur der existierenden Anmeldevorgehensweise, dem Sicherheitskonzept und der Serverreplikation. Der Umstieg von einer NT Domäne auf das Active Directory kann fließend durchgeführt werden.
Ein Windows 2000 Server, der als Domänencontroller definiert ist, kann gleichzeitig als NT4 PDC oder BDC fungieren. In diesem Fall hält der Server zusätzlich zu den Active Directory Informationen noch die Benutzerdatenbank der NT Domäne bereit und verhält sich der Domäne gegenüber als NT4 Server. Die Funktionalität als Windows 2000 Domänencontroller ist nicht eingeschränkt. Allerdings empfiehlt Microsoft eine Installation eines solchen Doppelservers nur auf entsprechend großen Hardwareplattformen. Als Faustregel gilt: Hardwareanforderung des Windows2000 System + Hardwareanforderung des NT4 System = optimal.
Auch Vertrauensverhältnisse zwischen der Active Directory Domäne und dem NT4 Netzwerk sind realisierbar.
Vorteilhaft bei der Migration ist, dass man wirklich langsam migrieren kann und nicht ganze Domänen für die Zeit der Umstellung abhängen muß.
Entschließt man sich eine bestehende Domäne zum Active Directory zu migrieren, so sollte man jedoch einige Punkte beachten:
Streettalk Directory Service ist ein Produkt der Firma Bayan Systems und Bestandteil des Netzwerkbetriebssystems Bayan Vines. Dieser Verzeichnisdienst läuft auch mit anderen Betriebssystemen und Plattformen wie Novell Netware, AIX, Solaris, SCO-Unix und Windows NT.
Streettalk gibt es schon seit ca. 10 Jahren und gilt als einer der ältesten Verzeichnisdienste (Nil98). Streettalk hat eine sehr gute Suchfunktion implementiert, benötigt jedoch eine hohe Netzwerkbandbreite und ist im Vergleich zu NDS oder ADS um einiges langsamer. Die größte Beschränkung von StreetTalk ist jedoch die Einschränkung, dass Objekte nur dreistufig geschachtelt werden können. Somit haben gerade große Unternehmen Probleme, ihre Infrastruktur auf dieses System zu übertragen. Auch die Unterstützung von namhaften Serverapplikationsherstellen fehlt Streettalk noch. Bayan bemüht sich zwar um Partnerschaften mit Oracle und SAP, es ist jedoch fraglich, ob diese Unternehmen Bayan bei der Etablierung auf dem Verzeichnisdienstmarkt unterstützen werden.
zurück zum Inhaltsverzeichnis
Novell Directory Service (NDS)
Novell hat in seinem Serverbetriebsystem Netware 4 den
Verzeichnisdient NDS (Novell Directory Service) integriert. Dieser
Verzeichnisdienst ist mittlerweile auch für verschiedene andere
Betriebssystemplattformen erhältlich, wobei es immer mindestens einen Netware 4
Server im Netzwerk geben muß. Im Gegensatz zu Bayan wird dieser
Verzeichnisdienst auch schon von einigen großen Herstellern wie HP, IBM, Intel,
CA und Seagate unterstützt. Probleme hat der NDS Baum, wenn er Gruppen mit mehr
als 500 Benutzern verwalten soll. So ist es mit NDS zwar möglich viele Tausend
Benutzer zu verwalten, allerdings sollte die Struktur nicht zu flach gegliedert
sein. Eine Ideale Form für das NDS stellt daher das Dreieck dar. (Nie98,
S.89)
Probleme gibt es auch bei der Zusammenführung zweier NDS-Bäume. Wenn
bei beiden Bäumen das Schema nicht gleich ist, können die Bäume nicht
zusammengefügt werden. Die größte Schwachstelle von NDS liegt jedoch darin, dass
NDS für den Benutzer kein integriertes Suchwerkzeug wie beispielsweise den
Global Catalog anbietet.
Der momentane Gegenspieler von Microsofts Active Directory ist
der Novell Directory Service (NDS), den Novell in ihrem Serversystem Novell
Netware 4.x integriert hat.
Während Active Directory momentan nur in einer
Betaversion vorliegt, ist NDS schon seit geraumer Zeit im Einsatz.
Die folgende Tabelle stellt die Unterschiede zwischen beiden Verzeichnisdiensten im direkten Vergleich dar:
|
Active Directory |
Novell Directory Service | |
|
Vererbung |
- Zentrale Vergabe der
Be-rechtigungen im Verzeichnisbaum
Vererbung von Zugriffsrechten im Dateisystem |
- Vererbung über den
gesamten Baum
- Filter für die Vererbung können gesetzt werden |
|
Catalog Service |
Der global Catalog bietet Informationen über alle Domänen im Domänenbaum | Bisher noch keine Implementierung |
|
Replikation |
-
Multi-Master-Replikation innerhalb der Domäne bzw. des Baums
- Replikationen zu NT 4.0 Domänencontrollern |
- Single-Master
Replikation innerhalb einer Partition
- Komplexe Synchronisation über Zeitstempel und Zeitsynchronisation |
|
Objekthandeling |
- Das Verschieben von
Objekten innerhalb einer Domäne und innerhalb eines Baumes ist möglich.
- Domänen können ebenfalls umbenannt bzw. verschoben werden |
Verschieben und Umbenennen von Objekten innerhalb des NDS Baums |
| Mischen von Domänen | Momentan nur mit Zusatzwerkzeugen von Drittherstellen | Über das mitgelieferte Programm "DSMERGE" möglich |
|
Plattformen |
Windows 2000 | Netware, Windows NT, Unix, OS/390 |
|
Clients |
alle 32-Bit Windows Clients, weitere durch Emulation der NT 4-Funktionalität | Windows 9x, NT, OS/2, MacOS, SCO Unix, HP-UX, AIX, Caldera Open Linux, SUN Solaris, Fujitsu DS(90 IBM OS7400, IBM MVS |
Tabelle 1, Vergleich Microsoft ADS- NDS (Kup98, S.86)
zurück zum Inhaltsverzeichnis
Streettalk und NDS gelten bisher als die beiden einzigen Verzeichnisdienste, die auf dem Markt wirklich akzeptiert worden sind. Allerdings ist der Umsatz in diesem Marktsegment noch relativ schwach. Microsofts Active Directory wird hier in Zukunft wohl einiges verändern.
Einige weitere Hersteller von Verzeichnisdiensten, auf die im Rahmen dieser Studienarbeit nicht weiter eingegangen werden soll, da sie keine große Bedeutung auf dem Markt der Verzeichnisdienste haben, sind:
Diese Studienarbeit stellt eine kurze Einführung in das Active
Directory dar. Alle Angaben beziehen sich auf die Aussagen von Literatur, denen
die Beta-Version des Active Directory zu Grunde lag. Aus diesem Grund könnten
sich einige Details des Active Directory bei der Auslieferung von Windows 2000
von den hier beschriebenen unterscheiden. Die Grundstruktur und Grundgedanken,
die ich aber mit dieser Praxisarbeit vermitteln wollte, werden jedoch auf jeden
Fall identisch sein. So wird das Active Directory den Sinn und Zweck haben, eine
zentrale Netzwerkadministration einzurichten und das physikalische Netzwerk in
einer hierarchischen Struktur abzubilden, so dass administrative Aufgaben
schneller und einfacher erledigt oder deligiert werden können.
Jedoch kann
erst der richtige Praxiseinsatz von Active Directory in Unternehmen mit mehreren
Domänenbäumen und tausenden von Benutzern und Objekten die Leistungsfähigkeit
von Active Directory beweisen. Bis dahin kann man nur die bisher verwirklichten
Funktionen der Betaversionen bewerten und die sehen sehr vielversprechend aus.
Sicher ist, dass Microsoft auf jeden Fall Active Directory auf dem Markt als
neuen Standard etablieren wird. Dafür sprechen einige Gründe: Zum einen kann
Microsoft aufgrund seiner Marktposition sehr weit verbreiten. Zum anderen
entwickelt Microsoft ja nicht nur Netzwerkbetriebssysteme, sondern kann als
Hersteller der weitverbreiteten Office- und Backofficeprodukte ADS optimal
unterstützen und wird so die Weiterverbreitung von ADS noch schneller
voranbringen. Nachdem Cisco Systems als bedeutender Hersteller von
Netzwerktechnik in ihre Netzwerkprodukte ADS Unterstützung integriert, ist davon
auszugehen, dass auch andere Unternehmen nachziehen werden. Doch nicht nur
marktpolitische Gründe werden zum Erfolg von ADS beitragen: das Konzept ist gut
und durch die Integration von Standards wie TCP/IP, LDAP und DNS ist die
Integration von bestehenden Sytemen und die Erstellung von neuer Software für
ADS einfach und empfehlenswert. Die Zukunft von NDS hingegen ist nach der
Einführung von ADS eher fraglich. In den letzten Jahren hat Novell einen großen
Marktanteil auf dem Servermarkt verlohren. Wie es scheint, scheint auch bei den
Verzeichnisdiensten Mircosoft zu gewinnen, da es besser Unterstützung der ADS
durch seine Officeprodukte anbieten kann und daher ADS für den Anwender
attraktiv macht. Denn was nützt dem Käufer das beste Verzeichnisdienstsystem,
wenn es keine Anwendungen gibt, die auf ihm aufsetzten ?
Bücher
| Nie98 | Morten Strunge Nielsen, "Ausblick auf Windows NT5", Sybex
Verlag, Auflage 1/98, ISBN: 3-8155-7280-0 |
| Wal99 | Rick Wallace, "Microsoft Windows 2000 Beta Trainigs Kit", Microsoft
Press, Auflage 1/99, ISBN: 0-7356-0644-7 |
| Mic95 | Microsoft Corporation "Die Technische Referenz Microsoft Windows
NT",Microsoft Press, Auflage 10/95, ISBN: 3-86063-214-0 |
| Mic99 | Microsoft Corporation "Microsoft Windows 2000 corporate Preview Guide",Microsoft Corporation, 1/99 |
Zeitschriften
| Kup98 | Martin Kuppinger "Aktiv-Dienst", Windows Guide Ausgabe 4/98 |
| Beis97 | Michael Beigel, Christian Segor "Unter einem Hut", iX Heft 8/97verfügbar auch im Internet http://www.heise.de/ix/artikel/1997/08/122/artikel.html |
Whitepaper
| WP198 | Microsoft Whitepaper "Windows NT Active Directory", Quelle Technet September 1999 |
Webseiten
| MS1WEB | Active Directory, http://www.microsoft.com/switzerland/de/technet/active1.asp |
| CONWEB | Connector Ausgabe Nr. 14, Zugriff über www.connector.de |
| FAQWEB | http://www.microsoft.com/NTServer/nts/techdetails/overview/Directoryfaq.asp |
| NOVWEB | Produktbeschreibung NDS http://www.novell.de/prodinfos/nds/collateral/nds8_pb.pdf |
| ALLWEB | Weitere Informationsseiten im Internet |
| ADS | Active Directory Service |
| ADSI | Active Directory Service Interface |
| BDC | Backup Domain Controller |
| DAP | Directory Access Protocol |
| DDNS | Dynamic Domain Name System |
| DNS | Domain Name System |
| JET | Joint Engine Technologie |
| LAN | Local Area Network |
| LDAP | Lightweight Directory Protocol |
| MCSE | Microsoft Certified Software Engenierer |
| MMC | Microsoft Management Console |
| NDS | Novell Directory Service |
| NT | New Technology |
| OSI | Open Systems Interconnection |
| OU | Orgnisazational units |
| PDC | Primary Domain Controller |
| SAM | Security Account Manager |
| TCP/IP | Transmission Control Protocol/Internet Protocol |
| UNC | Universal Naming Convention |
| WAN | Wide Area Network |
