Die Wälder des Active Directory

Die größte Herausforderung bei der Einführung von Windows 2000 ist der Schritt vom simplen Domänenmodell zu dem komplexen, hierarchischen Verzeichnisdienst Active Directory. Doch wer sich heute an die Konzeption des Active Directory macht, muss auch an den nächsten Schritt denken: Den Exchange Server 2000.

von Martin Kuppinger

Das gilt natürlich nur dann, wenn der Exchange Server als Basis für die Messaging-Infrastruktur im Unternehmen eingesetzt wird. Sobald aber der Exchange Server 2000 verwendet werden soll, bedeutet das zwangsläufig auch den Schritt zum Active Directory. Der Exchange Server 2000 kann damit nur dann erfolgreich betrieben werden, wenn auch die Herausforderung der Konzeption des Active Directory erfolgreich gemeistert wurde - auf welche die Anforderungen des Exchange Server 2000 wiederum erheblichen Einfluss haben.

Grundregeln für das Active Directory-Design
Das Active Directory ist ein hierarchischer, verteilter Verzeichnisdienst mit hoher Skalierbarkeit. Microsoft hat gemeinsam mit Kunden Tests mit mehr als 64 Millionen Objekten durchgeführt, die vom Active Directory verwaltet wurden. Im Gegensatz zum bisherigen Domänenmodell können Informationen im Active Directory sehr viel besser strukturiert werden. Die Organisationsstruktur des Unternehmens lässt sich feingliedrig abbilden. Dazu werden zum einen Domänen und zum anderen organisatorische Einheiten (OUs für Organizational Units) verwendet. Domänen können in Form von Domänenbäumen und diese wiederum als Forests oder, wie Microsoft sie in unglücklicher Übersetzung bezeichnet, Domänengesamtstrukturen zusammengefasst werden. Innerhalb von Domänen können hierarchische Strukturen mit Hilfe von OUs aufgebaut werden.
Ein Domänenbaum ist eine hierarchische Struktur aus Domänen. Diese Domänen können verwendet werden, um organisatorische Strukturen eines Unternehmens abzubilden. Den gleichen Zweck erfüllen auch die OUs. Dennoch gibt es keine vollständige Austauschbarkeit zwischen diesen Strukurelementen. Denn Domänen des Active Directory fungieren beispielsweise als Grenze für Sicherheitseinstellungen. Während sich administrative Berechtigungen innerhalb einer Domäne über alle OUs hinweg vererben, werden sie nicht über die Grenze einer Domäne hinaus vererbt. Auch Gruppenrichtlinien vererben sich über die OUs hinweg nach unten, nicht aber über die Domäne hinaus.
Zudem hat die Domäne auch großen Einfluss auf die physische Speicherung von Informationen. Jeder Domänencontroller hält immer alle Informationen zu einer Domäne. Das bedeutet auf der einen Seite, dass alle diese Informationen zwischen den Domänencontrollern einer Domäne vererbt werden müssen. Das würde für kleinere Domänen sprechen, weil sich daraus auch weniger Replikationslast zu ergeben scheint. Dem steht aber entgegen, dass bei kleineren Domänen zum einen insgesamt mehr Domänencontroller erforderlich sind und das Risiko wächst, dass in einem räumlich verteilten Netzwerk nicht alle Informationen lokal vorhanden sind. Im Ergebnis sprechen die bei weitem meisten Argumente dafür, tendenziell größere Domänen aufzubauen. Dafür spricht auch, dass das Verschieben von Objekten zwischen Domänen sehr viel schwieriger und aufwendiger als innerhalb einer Domäne ist.
Forests schließlich erlauben die Integration mehrerer Domänenbäume zu einem Netzwerk mit einer gemeinsamen Sicherheitsinfrastruktur, in dem es durchgehende, automatisch definierte Vertrauensstellungen gibt und damit jedem Benutzer jeder Domäne im Forest in jeder anderen Domäne einfach Zugriffsberechtigungen gewährt werden können. Forests werden immer dann gebildet, wenn die Domänen unterschiedliche Namensräume wie http://www.kuppinger.com und http://www.it-networks.com haben, aber dennoch in einem gemeinsamen Netzwerk integriert werden sollen.
Die technische Basis für das Active Directory wird von der Exchange-Technologie gebildet. Microsoft hat diese als Fundament für die Entwicklung seines Verzeichnisdienstes verwendet. Dennoch ist der Schritt von den bisherigen Exchange Server-Verzeichnisstrukturen hin zum Active Directory nicht zu unterschätzen, da die logische Abbildung von Objekten fundamental verändert wurde, wie sich schon an den oben beschriebenen Modellen der Domänenstrukturen, Forests und organisatorischen Einheiten erkennen lässt. Das bedeutet, dass weder bestehende Exchange Server-Lösungen so einfach übernommen werden können noch das Active Directory ohne Berücksichtigung der Einflüsse, die durch den Exchange Server 2000 entstehen, konzipiert werden können. Insbesondere sollte das Konzept des Active Directory so gestaltet werden, dass der Exchange Server 2000 in optimaler Weise eingerichtet werden kann, ohne dass Objekte zwischen Domänen verschoben werden müssen.

Einflussfaktoren des Exchange Server 2000
Zwischen dem Exchange Server 2000 und dem Active Directory gibt es eine Vielzahl von Abhängigkeiten. Das beginnt damit, dass der Exchange Server 2000 das Schema des Active Directory um gut 150 Objektklassen und über 800 Attribute erweitert. Rund 275 dieser Attribute - die Zahlen können sich bis zur Final-Version noch etwas verändern - werden im Global Catalog gespeichert. Dieser stellt einen Meta-Index für einen Forest des Active Directory dar und speichert wichtige Informationen aus allen Domänen innerhalb des Forests. Es gibt in der Regel einen Global Catalog-Server pro Site.
Der Exchange Server 2000 setzt einen direkten Zugriff auf einen Global Catalog-Server über eine LAN-Verbindung voraus, um effizient kommunizieren zu können. Dabei ist es auch wichtig, den Site-Begriff des Active Directory zu verstehen. Sites repräsentieren im Active Directory wirklich nur Standorte im Sinne der physischen Struktur des Netzwerks und sind von der logischen Struktur völlig unabhängig. Domänen können sich über mehrere Sites erstrecken, ebenso wie es in einer Site mehrere Domänen geben kann. Der Site-Begriff des Active Directory darf also unter keinen Umständen mit dem von früheren Exchange Server-Versionen verwechselt werden.
Der Global Catalog dient nun auch als Basis für die Global Address List. Während diese bisher auf Basis aller vom Exchange Server verwalteten Benutzer erzeugt wurde, finden sich hier nun Informationen aus dem Global Catalog. Da dieser wiederum Teilinformationen aus allen Domänen eines Forests konsolidiert, sind in der Global Address List also alle Benutzer eines Forests zu finden. Eine Exchange-Organisation kann sich nicht über mehrere Forests erstrecken. Hier kommt noch hinzu, dass mehrere Forests des Active Directory nicht nachträglich kombiniert werden können, wenn sich das Schema - also das intern verwendete Datenmodell - unterscheidet.
Unproblematisch sind dagegen die Abhängigkeiten zwischen den Namen. Aus Sicht der Benutzer sollten die UPN (User Principal Names) von Anwendern zwar identisch mit den eMail-Adressen sein. UPNs sind einheitliche Namen, die für die Anmeldung, aber auch die Identifikation von Benutzern verwendet werden können und beispielsweise die Form mkuppinger@it-networks.com haben. Diese müssen aber nicht unbedingt identisch mit den beim Exchange Server 2000 verwendeten eMail-Adressen sein.
Auch die Replikation des Exchange Server wird über das Active Directory durchgeführt. Das ist auch logisch, da alle Informationen des Exchange Server im Active Directory gespeichert werden. Teile der Informationen sind dabei nur innerhalb einer Domäne direkt verfügbar. Dabei handelt es sich allerdings um Informationen, die insbesondere für systeminterne Zwecke benötigt werden. Die Informationen wie Benutzername oder eMail-Adresse, die überall innerhalb einer Exchange Server-Organisation benötigt werden, werden dagegen auch im Global Catalog gespeichert und damit auch über die Grenze einer Domäne hinweg repliziert.
Die größten Abhängigkeiten zwischen dem Exchange Server 2000 und dem Active Directory liegen damit in zwei Bereichen. Zum einen muss die Struktur von Forests an die geplanten Organisationen des Exchange Server angepasst werden. Alle Domänen, deren Benutzer innerhalb eines auf dem Exchange Server 2000 basierenden Mail-Systems arbeiten sollen, müssen in einem Forest zusammengefasst werden. Anders formuliert: Der Exchange Server 2000 zwingt zu einer - ohnehin unbedingt empfehlenswerten - unternehmensweiten Konzeption für das Active Directory. Zum anderen muss sichergestellt sein, dass die Server, auf denen der Exchange Server 2000 ausgeführt wird, lokalen Zugriff zu Global Catalog Servern haben.
Dagegen hat der Exchange Server 2000 keine signifikanten Auswirkungen auf die Frage, ob beispielsweise mit Domänen oder organisatorischen Einheiten gearbeitet werden sollte oder wie das Active Directory logisch aufgebaut wird. Hier gilt, dass sich die Struktur des Active Directory an der Struktur der Organisation orientieren sollte. Davon profitieren dann sowohl der Exchange Server, der dann ebenfalls auf den organisatorischen Strukturen aufsetzt, als auch andere Anwendungen wie beispielsweise interne "Who is Who"-Lösungen, die auf dem Active Directory basieren.
Zusammenfassend könnte man auch sagen, dass die Einführung des Exchange Server 2000 dann verhältnismäßig unproblematisch sein wird, wenn man die generellen Designregeln für die Strukturierung des Active Directory beachtet hat und in einem unternehmensweiten Projekt mit nur einem Forest gearbeitet wurde. Designfehler im Active Directory schlagen dagegen auch auf den Exchange Server 2000 durch.

Martin Kuppinger ist geschäftsführender Gesellschafter der Ludwigsburger IT-Networks GmbH, einem auf Wissens- und Informationsmanagementlösungen spezialisierten Unternehmen, das unter anderem MCSP und Lotus Business Partner ist. Er hat bei Microsoft Press bereits drei Bücher zu Windows 2000, darunter "Windows 2000 Migrationsplanung" und "Windows 2000 Server. Das Handbuch" veröffentlicht.

IT-Networks GmbH
Martin Kuppinger
Schlossdomäne Monrepos 7
71634 Ludwigsburg
martin@kuppinger.com
www.it-networks.com
Tel. 07141-22152-0
Fax 07141-22152-21