Von: Martin Kuppinger
Microsoft hat viele Elemente von Windows NT auch in das Windows-2000-Verzeichnis "Active Directory" aufgenommen, damit die Migration möglichst leicht fällt. So führt das Active Directory das bekannte Konzept der Domänen fort. Auch verwendet der NT-Nachfolger "Security Identifier" (SID) zur eindeutigen Kennzeichnung von Benutzern, Gruppen und anderen Objekten. Trotzdem kann der Anwender höchstens simple Single-Domain-Netzwerke durch ein einfaches Upgrade aufrüsten. Denn schon bei kleinen Netzen muss er klären, wie er die Sicherheitskonzepte anpasst und in welchem Umfang er die organisatorischen Einheiten für die Strukturierung einer Domäne nutzt.
In größeren Netzwerken sind Änderungen beim Domänenmodell nicht zu vermeiden. Denn NT-Netze sind nicht das Resultat einer optimalen Abbildung von organisatorischen Strukturen, sondern lediglich das Ergebnis des "Machbaren". Und diesbezüglich gibt es bei Windows NT einige Einschränkungen. So lassen sich Domänen intern nicht weiter strukturieren. Ein Äquivalent zu den "organisatorischen Einheiten" des Active Directory gibt es hier nicht. Ein weiterer wichtiger Unterschied ist die bei Windows NT maximal zweistufige Hierarchie, die sich mit Hilfe von Vertrauensstellungen aufbauen lässt.
Das Active Directory eröffnet durch die transitiven Vertrauensstellungen in einem Domänenbaum, durch das Konstrukt des "Forest" und durch die organisatorischen Einheiten ungleich mehr Gestaltungsmöglichkeiten. Hinzu kommt, dass bei Windows NT Rechte der Verwaltung nur dadurch zu delegieren sind, dass entweder mehrere Server einer Domäne gesondert administriert oder dass zusätzliche Domänen gebildet werden. Das hat dazu geführt, dass viele Unternehmen ihre Domänenmodelle den administrativen Anforderungen angepasst haben. Mitunter haben sie Domänen geteilt, um die Einschränkungen in Bezug auf die maximal zu verwaltenden Benutzer in einer Windows-NT-Domäne zu umgehen.
Alle diese Grenzen bestehen im Active Directory nicht mehr. Daher hat es auch keinen Sinn, die Strukturen der alten NT-Netze einfach zu übernehmen. Das Ergebnis wäre ein Aufbau, der nicht annähernd die Möglichkeiten von Windows 2000 und des Active Directory ausnutzt. Das Ziel der Migration muss sein, für die Zukunft möglichst gute Strukturen zu schaffen.
Die technischen Hintergründe
Das bedeutet in der Konsequenz, dass die Planer Domänen umgestalten müssen, indem sie sie aufteilen oder zusammenfassen; eine technisch keineswegs triviale Aufgabe. Windows 2000 bietet dem Anwender mit "movetree.exe" nur ein Befehlszeilenwerkzeug, mit dem er Objekte zwischen Domänen verschieben kann. Um Objekte von einem Forest in einen anderen zu bewegen, muss er Skripte schreiben, und zwar mit "Clone Principal", einem Satz von Werkzeugen mit Support-Tools, die auf der Windows- 2000-CD zu finden sind. Komfortabel bewegt der Administrator Objekte zwischen Domänen aber erst dann, wenn er das "Active Directory Migration Tool" (ADMT) von der Website von Microsoft herunterlädt. Mit diesem von Net-IQ entwickelten Programm stehen eine Reihe von Assistenten bereit, die das Verschieben von Objekten unterstützen. Alle diese Tools setzen aber voraus, dass die Zieldomäne bereits im einheitlichen Modus ist, also alle Domänen-Controller unter Windows 2000 arbeiten und der Modus entsprechend gewechselt wurde. Wer mehr Möglichkeiten benötigt, braucht zusätzliche Werkzeuge von Net-IQ, Fastlane oder Bindview.
Die Ursache für die Komplexität beim Verschieben von Objekten liegt in der SID. Die SID eines Benutzerobjekts besteht, wie auch bei Gruppen und anderen Objekten, aus der SID der Domäne und einem "Relative Identifier" (RID). Wenn der Administrator ein Objekt in eine andere Domäne verschiebt, muss er auch die SID ändern, weil sich die SID der Domäne ändert. An der SID hängen aber beispielsweise die Gruppenzugehörigkeiten und die Zugriffsberechtigungen im System. Microsoft löst das im einheitlichen Modus durch ein zusätzliches Attribut, die "SID history", die die SIDs eines Benutzers aus früheren Domänen speichert. Mit ihrer Hilfe erhält der Benutzer Zugriffsberechtigungen für mehrere SIDs.
Globale Gruppen dürfen nur Benutzer aus der lokalen Domäne enthalten. Verschiebt der Verwalter einen Benutzer in eine andere Domäne, muss er ihn entweder aus den globalen Gruppen entfernen oder die globale Gruppe mitverschieben. Dabei transferiert er jedoch auch alle anderen Mitglieder der globalen Gruppe. Microsoft spricht hier von "Closed Sets".
Zusätzliche Werkzeuge
Die komplexen Abhängigkeiten bei der Migration lassen sich nur mit speziellen Werkzeugen beherrschen. Das Microsoft-Tool ADMT ist dabei die einfachste Möglichkeit. Mit seiner Hilfe verschiebt der Anwender Objekte zwischen Domänen und führt auch Zugriffsberechtigungen nach. Anschließend testet er die Operationen. Das Tool protokolliert die Ergebnisse der Tests, mit deren Hilfe der Verwalter das System so anpasst, dass die Umstellung korrekt verläuft. Allerdings unterstützt auch das ADMT nur Zieldomänen im einheitlichen Modus. Für die laufende Administration ist das Tool zwar nützlich. Um aber eine komplexe Migration in einem größeren Netzwerk durchzuführen, reicht es nicht aus. Hier kommen die Suiten von Bindview, Fastlane und Net-IQ ins Spiel. Alle drei Hersteller bieten nicht nur Werkzeuge für die Migration an, sondern auch Produkte, mit denen der Kunde seine Windows-NT-Umgebungen konsolidiert, Informationen von Netware-Servern und dem Netware-Verzeichnis "Novell Directory Services" (NDS) in das Active Directory übernimmt und Windows 2000 nach der Migration administriert.
Der "One Point Domain Migration Administrator" (DMA) von Net-IQ ist der "große Bruder" des ADMT - allerdings mit einem größeren Funktionsumfang. Der Hersteller hat vor einiger Zeit das Unternehmen Mission Critical Incorporated übernommen und damit sein Portfolio stark erweitert. Es enthält jetzt Tools für umfassende Reports und hat ausgefeilte Ansätze für die Übernahme von Kennwörtern in das Active Directory. Die Werkzeuge unterstützen außerdem Domänen im gemischten Modus und sogar NT-Domänen als Ziel. Besonders interessant ist daneben in der Produktsuite von Net-IQ der "Server Consolidator", mit dem der Anwender NT- und Windows-2000-Server konsolidiert und damit die Anzahl der Serversysteme verringert. Der "DM/Manager" von Fastlane ist ein vergleichbares Produkt, das mit einem projektorientierten Ansatz arbeitet. Wie beim DMA von Net-IQ kann der Ablauf der Migration durch Skripte und Anwendungen angepasst werden. Auch Fastlane ist ein Lieferant von Microsoft - das Unternehmen hat den "Directory Synchronization Service" (DSS) für die Synchronisation von NDS und Active Directory als Teil der "Microsoft Services for Netware" entwickelt. Im Vergleich mit dem Produkt von Net-IQ fehlt ein leistungsfähiger Testmodus, mit dem der Anwender die Auswirkungen der Migration prüfen kann.
Auch das Produkt "Bv-admin for Windows 2000 Migration" von Bindview hat ähnliche Funktionen. Bindview hat den Hersteller Entevo übernommen und damit sein bisher auf Netware bezogenes Produktspektrum zu Windows 2000 hin erweitert. Das Tool hilft dem Administrator beim Konsolidieren insbesondere von Domänen. Darüber hinaus hat Bindview noch immer einen umfassenden Satz von Werkzeugen für Netware im Portfolio. (kpl)
Zur Person
Martin Kuppinger
ist geschäftsführender Gesellschafter der IT-Networks GmbH und freier Journalist.