Von: Dr. Manfred Buchner
Zwei zentrale Standorte, 33 Niederlassungen, mehr als 3000 User, ein Großteil davon mit mobilen Geräten. Als der TÜV Nord und der TÜV Hannover/Sachsen-Anhalt zusammengeführt wurden, hätten die Voraussetzungen für die neue IT-Struktur der TÜV Nord Gruppe kaum komplizierter ausfallen können. Doch damit nicht genug: Jens Sumfleth, Projektleiter für die Umstellung auf Windows 2000, wagte sich bereits Mitte 1999 auch an die Einführung des Active Directory Service (AD). "Niemand hatte damals praktische Erfahrungen damit, nicht einmal Microsoft selbst", beschreibt der IT-Spezialist seine Situation. Sein Ziel stand von Anfang an fest: "Wir wollen mit AD den Single Point of Administration erreichen."
Die TÜV Nord Gruppe registriert auch Mitarbeiter ohne PC im Active Directory. "Wir speisen damit unser zentrales Telefonbuch im Intranet", erklärt Sumfleth. Verzeichnisdienste entwickeln sich immer mehr zu unternehmensweiten, Web-basierten Informationspools. Neil Mac Donald, Analyst bei Dataquest, empfiehlt deshalb, Directory Services in Internet-Strategien einzubeziehen. Die Meta Group rät zu exakter Planung: "Seinen Nutzen kann das Active Directory nur ausspielen, wenn das Unternehmen seine Geschäftsprozesse exakt abbilden kann und wenn auf dieser Basis Verzeichnisse eingerichtet werden." Die Gartner Group schließlich warnt vor "irreversiblen Fehlern" bei der AD-Implementierung und prophezeit, dass 60 Prozent der Projekte nach 18 Monaten überarbeitet werden müssen, weil mangels Erfahrung beispielsweise Objektklassen unvollständig angelegt sind oder weil die Administratoren eine zentrale Verwaltung bislang weitgehend autonomer NT-Domänen nicht akzeptieren.
AD-Komplexität schreckt bisher ab
Bei so viel Komplexität zögerten viele Unternehmen bisher, Windows 2000 einzuführen. Microsoft stellt zwar eine TCO-Senkung (Total Costs of Ownership) zwischen 5 und 30 Prozent und einen Return on Investment in neun bis zwölf Monaten in Aussicht, aber diesen Vorteilen stehen Realisierungszeiten zwischen 6 und 18 Monaten gegenüber. Nun allerdings erwartet etwa Markus Huber von der Meta Group Deutschland eine Migrationswelle: "Bis Mitte 2001 wird es zu einem Boom kommen. Derzeit beschäftigen sich viele Großanwender mit dem Thema."
So lang wollten Stefan Scheuring und Peter Metzen von der TLC GmbH in Frankfurt nicht warten. ISS-Leiter Scheuring (Inhouse Service und Support) und Projektleiter Metzen im Systemhaus der DB AG nehmen gerade mit vier Mitarbeitern 60 Server und 2550 Desktop-PCs und Notebooks in das neu eingerichtete Active Directory auf. Das Projekt wurde im Juni 1999 gestartet, seit Dezember 2000 sind die Domain-Controller der Haupt-Domain in den Native Mode umgestellt. Scheuring bestätigt die Analysten-Einschätzung: "Die größte Hürde war die detaillierte Planung des AD und der Sicherheitskonzepte. Dafür hatten wir bisher auch keine Installationsprobleme beim Rollout." Das IT-Team bei TLC musste Mehraufwand in Form von Schulungen in Kauf nehmen und Hardware aufrüsten, um ausreichende Ressourcen für Windows 2000 bereitzustellen. Der permanente Abgleich der AD-Daten, die verteilt auf Domänen-Controllern gespeichert sind, stellt für Metzen kein Problem dar: "Die Site-Struktur begrenzt die Netzbelastung. Wir haben zum Beispiel auf jeder Site den Global Catalog eingerichtet, um den Datenverkehr im Netz gering zu halten." Auch das proprietäre Replikationsprotokoll von Microsoft verursacht keine Schwierigkeiten, obwohl TLC auch Unix-Server einsetzt.
Projektleiter Dirk Szameit (iwa@tuev-nord.de)
Replikationslast ist vertretbar
Das Microsoft-Protokoll macht auch bei der TÜV Nord Gruppe bisher keine Probleme. Jens Sumfleth erläutert: "Selbst bei 64-kBit/s-Leitungen ist die Replikationslast zu verkraften. Manchmal wünschen wir uns allerdings Funktionen zum sofortigen Datenabgleich - etwa beim Anlegen eines Users oder beim Ändern von Gruppen."
Dieses Manko ist einer der Gründe, weshalb die TÜV Nord Gruppe das Active Directory um ein selbst entwickeltes Administrations-Tool erweiterte (siehe Kasten). Kritik am AD kommt hier auch von TLC-Manager Scheuring, der "fehlende Übersicht bei der Benutzerverwaltung" bemängelt, die bei der Verschachtelung von Gruppen auftritt. Sumfleth wiederum kritisiert, dass
- bei der Eingabe eine Command-Line erforderlich ist, um "user logged in", "last password change" und so weiter zu sehen,
- bei der Suche nach Usern im AD nicht angezeigt wird, wer "disabled", also nicht erreichbar ist,
- in File- und Drucker-Share-Namen der Servername enthalten ist,
- Probleme entstehen, wenn Dienste auf andere Rechner verschoben werden (im File-Bereich etwas entschärft durch das Distributed File System),
- eine Testmöglichkeit der Zugriffsrechte von Usern auf ein Verzeichnis fehlt (wegen verschachtelten Security-Groups) und dass
- die Replikation - wie erwähnt - teilweise unbefriedigend gelöst ist.
Gut finden die AD-Kenner bei TLC und der TÜV Nord Gruppe den Global Catalog des Active Directory. Diese Suchmaschine kann Datenbestände nach Attributen von Objekten durchkämmen, zum Beispiel nach Namen, E-Mail-Adressen oder Geräten im Netzwerk.
Während die Bahn-Tochter TLC auf die von Microsoft angebotenen Migrations-Tools verzichtete, hat die TÜV Nord Gruppe bei der Umstellung von NT 4.0 auf Windows 2000 auf ADMT (Active Directory Migration Tool) zurückgegriffen. Nicht eingesetzt wurde in beiden Fällen der AD-Konfigurations-Assistent. Stattdessen verwendete die TÜV Nord Gruppe für Massenimporte ADSI-Scripte und Excel-Tabellen.
Das Domänenkonzept sieht bei der TÜV Nord Gruppe eine Dreigliederung in die Trees "netz.tuev-nord.de", "partner-tuev-nord.de" und "dev.tuev-nord.de" vor. Innerhalb der Trees ist das Directory nach Organisational Units (OU) wie Benutzer, Hardware, Standorte und so weiter aufgeteilt. Zur Konsolidierung der Benutzerdaten wurden Excel-Tabellen verwendet. Die Benutzerkonten und die OU-Struktur erfolgte über Visual-Basic-Skripte, die Installation der Serverbasis mit WINS (Windows Internet Name Service), DHCP (Dynamic Host Configuration Protocol) und DNS (Domain Name Service).
Bei der Migration der File- und Print-Dienste von Banyan mussten bei der TÜV Nord Gruppe 34 File- und Print-Server in 30 Standorten, 76 575 Verzeichnisse, 853 036 Dateien und insgesamt 60 GByte Daten übernommen werden. Der Netzwerk-Rollout der MS-Clients mit automatisierter Konfiguration erfolgte mit Scripts, wozu Banyan- Clients deinstalliert und Netzwerkeinstellungen mit Domänennamen, Arbeitsgruppe und DNS konfiguriert werden mussten. Der Zeitaufwand pro Client betrug zehn Minuten.
Der Terminalservice bringt Sicherheit
Die Fernadministrationsfunktion der Server im Remote-Verwaltungsmodus von Active Directory hat beide AD-Frühumsteller überzeugt. Nach Einschätzung von Metzen bringt sie hohen Nutzen, da sie von Drittprodukten wie SMS, PC-Anywhere oder PC-Duo unabhängig macht. "Der Terminalservice erhöht zudem die Sicherheit", meint der Service-Leiter. Auch Jens Sumfleth ist angetan: "Besonders toll ist das ActiveX-Plugin für den Browser. Damit benötigt man keinen Terminal-Service-Client mehr."
Angaben über konkrete Einsparungen wollen sowohl TLC als auch die TÜV Nord Gruppe nicht machen, obwohl die Erfahrungen bei beiden Active-Directory-Einführungen durchaus positiv sind und beide Organisationen geringeren Aufwand bei der Installation und Administration von Servern und Clients erwarten. Bärbel Nissen vom Evangelischen Christophoruswerk in Duisburg ist weniger zurückhaltend. Die EDV-Leiterin hat rund 200 Clients und neun NT-Server innerhalb von vier Monaten auf Windows 2000 umgestellt und AD eingerichtet. "Statt 18-Stunden-Arbeitstagen sind bei mir nun acht Stunden die Regel und freie Wochenenden", freut sich die Spezialistin. Die freie Kapazität investiert die engagierte IT-Frau jetzt in die Betreuung der Pflegebedürftigen. (jo)
Zur Person
Dr. Manfred Buchner
ist freier Journalist. Seine Themenschwerpunkte sind Firmenreportagen über IT-Systeme, Internet-Trends und Technologieforschung.