Active Directory macht sich bezahlt

AD-Komplexität schreckt bisher ab

Bei so viel Komplexität zögerten viele Unternehmen bisher, Windows 2000 einzuführen. Microsoft stellt zwar eine TCO-Senkung (Total Costs of Ownership) zwischen 5 und 30 Prozent und einen Return on Investment in neun bis zwölf Monaten in Aussicht, aber diesen Vorteilen stehen Realisierungszeiten zwischen 6 und 18 Monaten gegenüber. Nun allerdings erwartet etwa Markus Huber von der Meta Group Deutschland eine Migrationswelle: "Bis Mitte 2001 wird es zu einem Boom kommen. Derzeit beschäftigen sich viele Großanwender mit dem Thema."

So lang wollten Stefan Scheuring und Peter Metzen von der TLC GmbH in Frankfurt nicht warten. ISS-Leiter Scheuring (Inhouse Service und Support) und Projektleiter Metzen im Systemhaus der DB AG nehmen gerade mit vier Mitarbeitern 60 Server und 2550 Desktop-PCs und Notebooks in das neu eingerichtete Active Directory auf. Das Projekt wurde im Juni 1999 gestartet, seit Dezember 2000 sind die Domain-Controller der Haupt-Domain in den Native Mode umgestellt. Scheuring bestätigt die Analysten-Einschätzung: "Die größte Hürde war die detaillierte Planung des AD und der Sicherheitskonzepte. Dafür hatten wir bisher auch keine Installationsprobleme beim Rollout." Das IT-Team bei TLC musste Mehraufwand in Form von Schulungen in Kauf nehmen und Hardware aufrüsten, um ausreichende Ressourcen für Windows 2000 bereitzustellen. Der permanente Abgleich der AD-Daten, die verteilt auf Domänen-Controllern gespeichert sind, stellt für Metzen kein Problem dar: "Die Site-Struktur begrenzt die Netzbelastung. Wir haben zum Beispiel auf jeder Site den Global Catalog eingerichtet, um den Datenverkehr im Netz gering zu halten." Auch das proprietäre Replikationsprotokoll von Microsoft verursacht keine Schwierigkeiten, obwohl TLC auch Unix-Server einsetzt.

Projektleiter Dirk Szameit (iwa@tuev-nord.de)

Replikationslast ist vertretbar

Das Microsoft-Protokoll macht auch bei der TÜV Nord Gruppe bisher keine Probleme. Jens Sumfleth erläutert: "Selbst bei 64-kBit/s-Leitungen ist die Replikationslast zu verkraften. Manchmal wünschen wir uns allerdings Funktionen zum sofortigen Datenabgleich - etwa beim Anlegen eines Users oder beim Ändern von Gruppen."

Dieses Manko ist einer der Gründe, weshalb die TÜV Nord Gruppe das Active Directory um ein selbst entwickeltes Administrations-Tool erweiterte (siehe Kasten). Kritik am AD kommt hier auch von TLC-Manager Scheuring, der "fehlende Übersicht bei der Benutzerverwaltung" bemängelt, die bei der Verschachtelung von Gruppen auftritt. Sumfleth wiederum kritisiert, dass

- bei der Eingabe eine Command-Line erforderlich ist, um "user logged in", "last password change" und so weiter zu sehen,

- bei der Suche nach Usern im AD nicht angezeigt wird, wer "disabled", also nicht erreichbar ist,

- in File- und Drucker-Share-Namen der Servername enthalten ist,

- Probleme entstehen, wenn Dienste auf andere Rechner verschoben werden (im File-Bereich etwas entschärft durch das Distributed File System),

- eine Testmöglichkeit der Zugriffsrechte von Usern auf ein Verzeichnis fehlt (wegen verschachtelten Security-Groups) und dass

- die Replikation - wie erwähnt - teilweise unbefriedigend gelöst ist.

Gut finden die AD-Kenner bei TLC und der TÜV Nord Gruppe den Global Catalog des Active Directory. Diese Suchmaschine kann Datenbestände nach Attributen von Objekten durchkämmen, zum Beispiel nach Namen, E-Mail-Adressen oder Geräten im Netzwerk.

Während die Bahn-Tochter TLC auf die von Microsoft angebotenen Migrations-Tools verzichtete, hat die TÜV Nord Gruppe bei der Umstellung von NT 4.0 auf Windows 2000 auf ADMT (Active Directory Migration Tool) zurückgegriffen. Nicht eingesetzt wurde in beiden Fällen der AD-Konfigurations-Assistent. Stattdessen verwendete die TÜV Nord Gruppe für Massenimporte ADSI-Scripte und Excel-Tabellen.

Das Domänenkonzept sieht bei der TÜV Nord Gruppe eine Dreigliederung in die Trees "netz.tuev-nord.de", "partner-tuev-nord.de" und "dev.tuev-nord.de" vor. Innerhalb der Trees ist das Directory nach Organisational Units (OU) wie Benutzer, Hardware, Standorte und so weiter aufgeteilt. Zur Konsolidierung der Benutzerdaten wurden Excel-Tabellen verwendet. Die Benutzerkonten und die OU-Struktur erfolgte über Visual-Basic-Skripte, die Installation der Serverbasis mit WINS (Windows Internet Name Service), DHCP (Dynamic Host Configuration Protocol) und DNS (Domain Name Service).

Bei der Migration der File- und Print-Dienste von Banyan mussten bei der TÜV Nord Gruppe 34 File- und Print-Server in 30 Standorten, 76 575 Verzeichnisse, 853 036 Dateien und insgesamt 60 GByte Daten übernommen werden. Der Netzwerk-Rollout der MS-Clients mit automatisierter Konfiguration erfolgte mit Scripts, wozu Banyan- Clients deinstalliert und Netzwerkeinstellungen mit Domänennamen, Arbeitsgruppe und DNS konfiguriert werden mussten. Der Zeitaufwand pro Client betrug zehn Minuten.