Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

25.02.2000 - 

Enttäuschende Microsoft-Vorstellung

Active Directory ignoriert die heterogene Netzwerkrealität

MÜNCHEN (hi) - Das Geschäft mit Verzeichnisdiensten - neudeutsch Directory Services - fand bislang weitgehend unter Ausschluss der Öffentlichkeit statt. Von Novell einmal abgesehen, waren die Namen der meisten Player außerhalb der Networking-Szene kaum bekannt. Mit Microsoft und dem Active Directory tritt nun ein neuer Mitspieler an, der die familiäre Runde, wenn schon nicht technisch, so zumindest in Sachen Marketing durcheinander wirbeln wird.

Eigentlich sind Directories im Networking-Business gute alte Bekannte. Mit X.500 entstand bereits vor Jahren ein erster Verzeichnisdienst, der sich aber aufgrund seiner Komplexität und hoher Hardwareanforderungen nicht auf breiter Front durchsetzen konnte. Einen zweiten, aber nicht unbedingt erfolgreicheren Versuch startete Banyan mit seinem Dienst "Streettalk". Populär, wenn auch nicht durchweg beliebt wurden Verzeichnisdienste dann mit dem Erscheinen von Netware 4.0 und den darin enthaltenen Novell Directory Services (NDS). Mit diesen verband anfangs zahlreiche Systemadministratoren eine regelrechte Hassliebe. Das Produkt sei zu komplex und die Restore-Tools für den Fehlerfall seien schlecht, lauteten zwei häufige Kritikpunkte der Anwender, die sich mit der Bindery ihr altes, flaches Administrationsmodell zurückwünschten.

Die Einwände waren zu Beginn der neunziger Jahre durchaus nachvollziehbar: Die damaligen Netze bestanden in der Regel aus vereinzelten LAN-Lösungen und von Internet, E-Commerce, Mobile Commerce etc., die eine Vernetzung über Unternehmens- und Ländergrenzen hinweg erfordern, wagte damals noch niemand zu träumen.

Ebenso hielt sich der DV-Einsatz am Arbeitsplatz in Grenzen: Die eigene E-Mail-Adresse, die Integration von Computer und Telefonie, die Einbindung in Human-Resource-Systeme, die Verknüpfung mit Scheduling- und Workflow-Komponenten, der Zugriff auf unternehmensweite Betriebswirtschaftssoftware wie etwa SAP/3 waren die Ausnahme und nicht der Regelfall.

Vor diesem Hintergrund ist es aus damaliger Sicht durchaus verständlich, dass sich Microsoft 1992 bei der Entwicklung von Windows NT mit dem Domain-Konzept für ein flaches Administrationsmodell entschied. Doch der Schuss ging nach hinten los: Gerade die Administrierbarkeit erwies sich als größte Schwäche von Windows NT, da das Domain-Konzept den Anforderungen der entstehenden heterogenen Netzwelten mit einer Vielzahl von Applikationen nicht gewachsen war. Tools von Drittherstellern konnten diese nur bedingt verbessern.

Angesichts der Veränderungen in der IT-Landschaft und der anstehenden Konvergenz von Sprach- und Datennetzen wuchs der Wunsch nach strukturierenden Services, die Ordnung in die IT-Landschaft bringen. Ganz oben auf der Wunschliste der Anwender stehen dabei etwa die vereinheitlichte Benutzerverwaltung dieser Umgebungen und ein durchgängiges Sicherheitskonzept (Stichworte: Single Sign-On, zentrale Authentisierung, Unterstützung neuer Applikationen wie E-Payment etc.). Ein Trend, den auch Microsoft-Boss Bill Gates erkannte. 1996 im Zuge des Marketings für Cairo, wie damals der Windows-NT-Nachfolger heißen sollte, versprach er den Anwendern nicht nur ein objektorientiertes Betriebssystem, sondern auch Directory Services, die diesen Anforderungen gerecht werden sollten.

Begrenzter Funktionsumfang

Eine Ankündigung, von der bei den Active Directory Services (ADS), dem Verzeichnisdienst von Windows 2000, nicht mehr viel übrig geblieben ist. Erich Vogel, Geschäftsführer der Heidelberger Connector GmbH, moniert etwa, dass in Windows 2000 relevante Informationen nicht nur im Verzeichnisdienst, sondern nach wie vor auch in der Registry gespeichert sind. Damit muss der Administrator bei Problemen wieder an zwei Orten nach Fehlern suchen. "Hier hatte uns Microsoft ursprünglich den Wegfall der Registry versprochen", stellt Vogel, der unter anderem bei BASF und Veba Directory-Projekte realisiert hat, fest. Mit seiner Enttäuschung steht er nicht alleine da. Auch bei anderen Systemhäusern, Analysten und selbst Konkurrenten überwiegt angesichts der langen ADS-Entwicklungszeit und der geringen Funktionsvielfalt die Skepsis.

Entsprechend kurz fällt die Liste der Vorteile aus, die das Active Directory in seiner heutigen Form gegenüber dem bisherigen Domain-Konzept aufweist, zumal andere Verzeichnisdienste diese Funktionen bereits seit Jahren bieten:

-Bessere Skalierbarkeit,

-einfachere Benutzerverwaltung

-Applikationsdaten, etwa von Microsofts "Exchange Server", können im Directory gespeichert werden,

-Multimaster-Replikation sowie

-hierarchische Struktur, die ein besseres Abbild der Unternehmensstruktur im Netz erlaubt.

Zwar schuf die Microsoft-Mannschaft mit Active Directory einen hierarchischen Verzeichnisdienst, der sich an die Grundidee von X.500 anlehnt, doch die Praxis sieht anders aus. ADS ist sehr eng mit Windows 2000 verknüpft und weist viele proprietäre Erweiterungen auf. So hält denn auch Vogel "ADS für eine tolle Idee, allerdings fehlt dem Directory die X.500-Unterstützung".

Letztlich besteht für Vogel das Problem darin, dass Microsoft "von einer heilen Netzwelt ausgeht, in der nur Windows NT beziehungsweise Windows 2000 vorkommt". Ein Wunschtraum, der im Widerspruch zur Alltagserfahrung des Directory-Spezialisten steht, "denn ich kenne kaum Kunden, die hochsensible Systeme, die ständig unter Last stehen, auf Windows NT oder Windows 2000 aufsetzen". In der Verbindung zu anderen Systemen in heterogenen Umgebungen sieht Vogel denn auch das größte Handicap der ADS: Denn mit dem Lightweight Directory Access Protocol (LDAP), wie es ADS unterstützt, könne kein physikalisch und logisch verteilter Verzeichnisdienst in heterogenen Umgebungen realisiert werden. Anwendern mit einer solchen Infrastruktur empfiehlt der Praktiker, sich die Produkte von Herstellern wie Siemens, Critical Path (vormals Isocor), ICL, Unisys, Control Data, Nexor etc. anzuschauen. Aber selbst Unternehmen mit guten Voraussetzungen - also vorhandener NT-Infrastruktur - schildert Vogel die Stimmung in Sachen ADS, warten noch ab.

Das ist durchaus verständlich. Wie Gabi Meyer vom Münchner Beratungsunternehmen IC Consult berichtet, sind selbst in NT-Umgebungen umfangreiche Modifikationen vor einer Migration zu ADS notwendig. So erfordert etwa die Einführung des Verzeichnisdienstes den Einsatz eines Domain Name Servers (DNS). Zwar ist dies eine im Internet durchaus übliche Technik, doch Microsoft hält sich nicht an die gängigen Standards. So ist in den Strategiepapieren zu lesen, dass Benutzer des populären "Berkley DNS-Server" upgraden müssen, falls sie ADS einsetzen wollen.

Ein weiterer Schwachpunkt ist der fehlende Support von anderen Betriebssystemen. Selbst die Produkte aus dem eigenen Haus unterstützen ADS nicht vollständig. Um in den Genuss aller ADS-Features zu kommen, müssen Benutzer von Windows 3.11, Windows 95/98 und Windows NT auf die Windows 2000 Workstation migrieren.

Noch problematischer stellt sich die Situation dar, wenn die ADS in heterogenen Netzen genutzt werden sollen: Begehbare Brücken zur Unix- oder Linux-Welt fehlen, und über die Qualität der Tools zur Synchronisation mit dem Konkurrenzverzeichnis NDS streiten sich die Experten. Angesichts solcher Schwächen reiben sich die Metadirectory-Hersteller bereits die Hände. Sie treten mit dem Anspruch an, die verschiedenen Verzeichnisse unter einem Dach zu integrieren.

Aufgrund dieser Schwachpunkte sieht Siemens-Manager Udo Bochum in den ADS keine Bedrohung, "denn Microsofts Verzeichnisdienst operiert nur auf der Betriebssystem-Ebene und ist deshalb für unser Dir X zur Zeit keine Konkurrenz". Auch die Analysten der Gartner Group betrachten ADS nicht als konkurrenzfähiges Produkt und raten von seinem Einsatz ab.

Bestärkt durch die vereinte Branchenkritik an Microsofts Directory-Sprössling (selbst aus dem Lager der Hardwarehersteller sind kritische Töne zu hören), gibt sich Novell-Manager Michael Naunheim siegessicher: "Wir begrüßen den Markteintritt des Active Directory, denn Microsoft schlägt zumindest die Werbetrommel für Verzeichnisdienste." Natürlich hoffen die Düsseldorfer, dass davon ihre NDS profitieren: "Schließlich haben wir mit über 60 Millionen NDS-Anwendern bereits unsere Kompetenz bewiesen", ergänzt Naunheim.

Novell betont die große Anzahl an IT-Unternehmen (3Com, Lucent etc.), die die NDS unterstützen, während Microsoft mit Cisco nur einen ernst zu nehmenden ADS-Partner habe. Ferner verweisen die Netzwerker gerne auf die Skalierbarkeit ihrer NDS in der aktuellen Version 8.0, die bis zu einer Milliarde Objekte, verteilt auf sechs Server, verwalte. Microsoft dagegen empfiehlt bereits bei 5000 Usern eine Segmentierung in Gruppen.

Allerdings sind die Aussagen über die Skalierbarkeit von Verzeichnisdiensten mit Vorsicht zu genießen. Siemens-Manager Bochum, dessen Verzeichnisdienst Dir X Benutzerzahlen im einstelligen Millionenbereich managt, gibt zu bedenken: "Nicht alleine die Zahl der Benutzer ist zu vergleichen, sondern es ist darauf zu achten, wie groß die Informationen sein dürfen, die mit den Benutzern verknüpft sind." Hinsichtlich der Skalierbarkeit von ADS äußern sich die meisten Beteiligten bisher vorsichtig. "Es fehlen noch praktische Erfahrungswerte auf Systemen unter Last im Alltagsbetrieb", erklärt Vogel die Zurückhaltung.

Vogel, der die NDS 8.0 als gutes Produkt lobt, bemängelt aber auch hier die fehlende Offenheit zu anderen Systemen. "Letztlich sind die NDS ähnlich wie ADS ebenfalls eng mit dem Netz-Betriebssystem verbunden und deshalb eigentlich nur in Novell-Shops eine gute Lösung." In die gleiche Kerbe schlägt die Burton Group. Sie kommt zu dem Schluss, dass "Novells Metadirectory-Strategie noch nicht vollständig ist". Einen Hoffnungsschimmer am Horizont sehen die Analysten in Novells "Dir-XML"-Plänen, die auf der Extensible Markup Language (XML) beruhen.

Gerade die Verknüpfung mit anderen Verzeichnisdiensten preisen Hersteller wie Siemens oder Critical Path (Isocor) als Vorteil ihrer Metadirectories an. Über Konnektoren werden Informationen aus den Human-Resource-Systemen, Mail-Servern, Betriebssystemen, Kassensystemen, Hosts etc. im zentralen Verzeichnisdienst gespeichert. Eine Argumentation, die Managerin Meyer teilt, "denn ein Directory ohne Verknüpfung ist lediglich eine andere Datenquelle im Netz, ohne sonderlichen Mehrwert".

Gleichzeitig weist sie auf ein weiteres Problem hin, "denn mit der Integration eines Directory in ein Betriebssystem ist es nicht getan. Um die Funktionen sinnvoll zu nutzen, sind sorgfältige Planungsarbeiten erforderlich." Eine Mahnung, die Vogel aus der Praxis nur bestätigen kann: "Bis zur Pilotphase bei der Umstellung einer Benutzerverwaltung von RAC F, Unix, NDS und Lotus auf einen Verzeichnisdienst waren allein vier Monate Arbeit nötig." Entsprechend stark betonen deshalb etwa Novell, Critical Path (Isocor) oder Siemens die Consulting-Leistungen, die sie zu ihren Verzeichnissen offerieren, während sich Microsoft diesbezüglich noch bedeckt hält. Unisono warnen Hersteller und Berater davor, zu glauben, unter Windows 2000 könne man mit einigen Mausklicks ein Directory aufsetzen.

Netzdirectory-Know-how mit Zoomit gekauft

Bei aller Kritik an dem Active Directory glauben jedoch Vogel und Meyer an eine Weiterentwicklung des Microsoft-Verzeichnisdienstes, der dann wohl eine bessere Integration anderer Systeme offerieren dürfte. Ein Indiz dafür, dass wohl selbst Microsoft nicht davon überzeugt ist, mit dem Active Directory den großen Wurf gelandet zu haben, dürfte eine Firmenübernahme im Sommer 1999 sein: Als sich Windows 2000 und das Active Directory bereits in der fortgeschrittenen Betaphase befanden, kaufte Microsoft mit Zoomit einen Metadirectory-Anbieter. Angesichts dieser Tatsache dürften die etablierten Directory-Hersteller wenig Grund haben, sich auf ihren Lorbeeren auszuruhen. Siemens-Manager Bochum räumt denn auch freimütig ein, "nur im Zeitraum bis 2003 in Active Directory keinen ernsthaften Konkurrenten zu sehen".

Die Kinderkrankheiten des Active Directory

Die im Folgenden zusammengetragenen Schwachstellen beruhen auf Angaben von Microsoft, den Aussagen von Mitbewerbern sowie ersten Erfahrungen und Einschätzungen von Beratern und Analysten.

- Active Directory ist zu einseitig auf das hauseigene Betriebssystem ausgerichtet. Um die volle Funktionalität auszuschöpfen, sind Windows 2000 Workstations erforderlich, da nur sie den vollen Zugriff auf den Verzeichnisdienst haben. Selbst Microsoft-eigene Clients wie Windows 95/98 oder Windows NT können neue ADS-Funktionen wie etwa die "Group Policies" nicht nutzen.

- Eine Unterstützung der ADS auf anderen Plattformen wie Solaris, Unix, Linux etc. fehlt derzeit noch.

- Die "Trusted Relationships", ähnlich wie früher im Domain-Konzept, erfordern eine Zeitsynchronisation im Netz. Fällt diese aus, haben Anwender eventuell keinen Zugriff auf Netzressourcen.

- Das Umbenennen von Domänen, Gruppen im Active Directory, ist so gut wie unmöglich. Um etwa im Falle einer Unternehmensverschmelzung eine Domäne anders zu betiteln, empfiehlt Microsoft das Anlegen einer neuen und danach das Verschieben der Mitglieder und Objekte aus der alten in die neue Domäne. Die alte ist danach zu löschen. Ebenso ist laut Microsoft die Verschmelzung zweier Verzeichnisbäume nicht realisierbar.

- Die Datenkonsistenz im Active Directory selbst erscheint fragwürdig. So werden eventuell beim Löschen eines Anwenders Referenzen auf ihn in anderen Directory-Objekten nicht gelöscht.

- Die Rückwärtskompatibilität zu Windos NT erfordert einen Betrieb der ADS im gemischten Modus. Dieser liefert aber nicht alle Features, zum Beispiel fehlt "Nested Group". Umgekehrt laufen Applikationen, die einen Windows NT Backup Domain Controller erfordern, nicht im Native Mode der Active Directory Services.

- Der Informationsaustausch mit anderen Systemen erfolgt über LDAP und nicht via X.500. ADS eignet sich daher nicht zum Aufbau echter verteilter und heterogener Umgebungen.

- Die Skalierbarkeit des Verzeichnisdienstes hat Grenzen. Eine ADS-Gruppe sollte nicht mehr als 5000 Benutzer beinhalten. Große Unternehmen sind deshalb in mehrere Benutzer-Untergruppen aufzuteilen.

- Das ADS unterstützt nicht alle derzeit üblichen LDAP-Features und Attribute wie etwa "inetorgperson". Allerdings ist diese Funktion, obwohl sie viele LDAP-Applikationen nutzen, im Standard auch nicht definiert.

- Active Directory erfordert die Verwendung eines Domain Name Servers (DNS). Zwar liefert Microsoft einen eigenen DNS-Server mit ADS aus, doch zu anderen DNS-Servern ist das Produkt nicht unbedingt kompatibel, da es proprietäre Erweiterungen enthält. So empfiehlt die Gates-Company etwa für den Berkeley Server in der Version 8.1.1 ein Upgrade, um Abstürze zu vermeiden.

- Beim Einsatz von ADS schaltet Windows 2000 den Disk-Cache ab. Dies führt bei anderen Applikationen, die auf dem gleichen Windows 2000 Server laufen, zu Performance-Einbrüchen.

- Die ADS weist möglicherweise ein Sicherheitsproblem bezüglich der Rechtevergabe für Administratoren auf (siehe CW 7/00, Seite 6).

Abb.: Der Netzbetriebssystem-Markt

Trotz hoher Windows-Verkaufszahlen dürfte ADS nur bedingt zum Einsatz kommen. Quelle: IDC 1999