Windows 2000, NetWare und NDS: Friedliche Koexistenz
Artikel erschienen in Swiss IT Magazine 2002/21
Schon Windows NT 4.0 war ein Betriebssystem, das sich mit seiner Leistungsfähigkeit als Fileserver als ernst zu nehmenden Konkurrent für Novell erwiesen hat. Mit einer damals noch breiten Basis von NetWare-3.2-Installationen und dem Argument Microsofts, dass Windows NT auch einen guten Anwendungsserver abgibt, hat Novell seine Felle schwinden sehen. Gleichzeitig hat der damals noch sehr proprietäre Fokus eine schnelle und einfache Integration der beiden Systemwelten verhindert. So nutzte Novells erster Wurf für einen Windows-NT-Client das damalige ODI-Konzept (Open Driver Interface) statt Microsofts NDIS-Ansatz (Network Device Interface Specification) für den Zugriff auf die Netzwerkadapter. Die Folge war neben einem kaum nutzbaren Client auch, dass die standardmässig mit dem Betriebssystem gelieferten Treiber nicht verwendet werden konnten. Dieser erste Client ist dann auch nie über die Beta-Phase hinaus gediehen, stand aber symptomatisch für die Einstellung von Novell zu Microsoft.
Mittlerweile hat sich viel verändert. Zunehmend mehr Novell-Produkte benötigen nicht mehr zwingend auch einen Novell-Client. Das gilt für viele Funktionen von NetWare 6 wie iFolder und iPrint ebenso wie für ZENworks for Desktops 4. Und da, wo ein Browser unterstützt werden muss, fokussiert sich Novell grundsätzlich erst auf den Internet Explorer, weil dieser marktführend ist. Das Gegeneinander ist zumindest auf Novells Seite - Microsoft unternimmt kaum Integrationsanstrengungen - mittlerweile der Erkenntnis gewichen, dass Novell nur durch sinnvolle Erweiterungen dessen, was Microsoft seinen Kunden bietet, Erfolg haben kann. Daher hat das Unternehmen bei Fileserver- und Storage-Diensten und bei sicheren Infrastrukturen viele Schnittstellen zu den Windows-Betriebssystemen geschaffen.
Bei den Verzeichnisdiensten hatte Microsoft mit dem Release von Windows 2000 und dem Active Directory aus technischer Sicht zumindest eine Patt-Situation geschaffen. Bessere Replikationskonzepte, eine bei allen Detailproblemen gute LDAP-Unterstützung, eine einfachere Modifikation des Schemas und viele andere Funktionen waren Vorteile des Active Directory. Die grössten Stärke der NDS war damals die Unterstützung von unterschiedlichen Betriebssystemplattformen und die langjährige Erfahrung von Novell. Mittlerweile hat sich das Bild aber gewandelt. Novell hat mit NDS 8 nicht nur die Architektur des Verzeichnisdienstes vollkommen geändert, sondern darüber hinaus auch noch LDAP sehr eng und umfassend integriert. Mit den weiteren Zwischenversionen von NDS eDirectory, aktuell ist die Version 8.7, wurden immer weitere Verbesserungen wie eine selektive, gefilterte Replikation eingeführt. Microsoft stagniert dagegen mit dem sich immer weiter nach hinten verschiebenden Release von Windows .NET Server und liegt damit heute technisch deutlich hinter Novell.
Allerdings ist Technologie nicht alles. Denn das Active Directory ist ein in der Praxis bewährter Verzeichnisdienst und lässt sich auch in komplexen Umgebungen effizient einsetzen. Microsoft hat manche Probleme wie die Konfiguration für Umgebungen mit einer Vielzahl kleinerer Zweigstellen durch umfassende Dokumentation und zusätzliche Scripts adressiert. Zudem gibt es eine Reihe von viel eingesetzten Anwendungen, die das Active Directory nutzen - der Microsoft Exchange Server 2000 benötigt es sogar zwingend. So gelingt es Microsoft oft, trotz einer potenziellen Unterlegenheit im direkten Funktionsvergleich als Verzeichnisdienst, mit dem Active Directory zum Zuge zu kommen.
Hier setzt Novell mit DirXML, seinem Meta-Directory-Dienst, an. DirXML kann Informationen aus verschiedenen Verzeichnissen konsolidieren und Änderungen etwa aus einem Active Directory übernehmen und dann wieder an andere Verzeichnisse wie etwa jene von PeopleSoft übergeben. Mittlerweile gibt es eine Reihe von Agents, mit denen die Verbindungen zu vielen wichtigen Systemen - vom Active Directory bis zu PeopleSoft und SAP R/3 HR - hergestellt werden können. Der in der Anfangsphase nicht einfach zu nutzende Agent für das Active Directory liegt mittlerweile in einer aktuellen Version vor, mit der viele der bestehenden Probleme beseitigt wurden. Novell kann auf diese Weise beispielsweise verschiedene Active-Directory-Umgebungen synchronisieren und gleichzeitig Schnittstellen zu anderen Verzeichnisdiensten schaffen. NDS eDirectory wird durch DirXML zu einem Meta-Layer oberhalb des Active Directory.
NDS eDirectory kann ebenso wie DirXML auch auf Windows-2000-Servern laufen. Die Abhängigkeit von NetWare als Betriebssystem hat Novell schon vor einigen Jahren beendet. Wer also einerseits die NDS, andererseits aber auch Windows 2000 beispielsweise als Anwendungsserver nutzt, kann beide Systeme integrieren. Dabei wird mittlerweile auch kein NetWare-Server mit den NDS innerhalb eines NDS-Baums benötigt, wie es noch in den ersten Releases der Fall war. Allerdings stehen einige der ausgefeilteren Management-Tools wie DStrace oder DSrepair bei Windows 2000 nur in eingeschränkter Funktionalität zur Verfügung. Insofern ist ein Betrieb von NDS eDirectory ohne NetWare-Server auch heute noch eher eine theoretische als eine praktische Option.
Ein weiteres zentrales Thema von Microsoft bei der Einführung von Windows 2000 war das damals als IntelliMirror bezeichnete Client-Management. Mit den Gruppenrichtlinien, integrierter Softwareverteilung und vielen anderen Funktionen wie der automatischen Installation des Betriebssystems hat Microsoft damals Massstäbe gesetzt.
Novell reagierte darauf mit der ZENworks-Plattform, die ebenfalls auf das Client-Management ausgerichtet ist. Nachdem in den ersten Releases vor allem die Unterstützung aller Windows-Plattformen ab Windows 3.1 ein zentrales Argument war, hat Novell nach und nach auch von der Funktionalität aufgeholt und spätestens ab ZENworks 3.2 in Verbindung mit den Preboot Services für die automatische Systeminstallation auch technisch die Nase vorn gehabt. Funktionen wie die Gruppenrichtlinien werden voll unterstützt. Einen Haken gibt es bei diesem Release aber noch: ZENworks for Desktops 3.2 funktioniert nur mit einem installierten Novell-Client auf den Windows-Betriebssystemen.
Erst mit dem nun angekündigten Release 4 von ZENworks for Desktops ändert sich das. Hier werden auch Clients unterstützt, die über keine solche Komponente verfügen. Die Softwareinstallation kann über den Browser mit Hilfe eines kleinen ActiveX-Control erfolgen. Und auch für die Fernsteuerung von Clients muss nur wenig zusätzliche Software installiert werden. Die Authentifizierung am NDS eDirectory kann aber über die von Microsoft verwendeten Protokolle wie NTLM (Windows-NT/LAN-Manager-Authentifizierung) erfolgen.
In Ergänzung zu diesen Client-Diensten wird auch die nächste Version von ZENworks for Servers, kurz ZFS 3, Windows 2000 unterstützen. Dann können beispielsweise Installationsdateien mit Hilfe von ZFS über verschiedene Windows-2000-Server im Netzwerk verteilt und für einen lokalen Zugriff bereitgestellt werden.
Ein weiteres Beispiel für die Öffnung von Novell und die Fokussierung auf Integrationsdienste, die auch im Zusammenspiel mit Windows 2000 sehr gut funktionieren, ist NetWare 6. Novells Netzwerkbetriebssystem, als zentrale Lösung für Storage- und Infrastrukturdienste im LAN positioniert, kennt Funktionen wie iFolder und Native File Access. Novell iFolder ist eine über einen Windows-Client oder den Browser nutzbare Verzeichnisstruktur, die auf NetWare-Servern gehalten wird und die den Zugriff sowohl innerhalb interner, heterogener Netzwerke als auch über das Internet erlaubt. Dabei muss auf den Windows-Rechnern keine Client-Software von Novell installiert sein.
Noch interessanter ist der Native File Access, der Apple Macintosh, Unix-Systeme über NFS und Windows unterstützt wird. Der Native File Access für Windows verwendet das CIFS (Common Internet File System) als Protokoll für die Kommunikation zwischen Client und Fileserver und nicht Novells eigenes NCP (NetWare Core Protocol). CIFS wird von Microsoft als SMB (Server Message Blocks) bezeichnet.
Kurz gesagt, verhält sich ein NetWare-Server damit so wie ein Windows-Server. Auch die Authentifizierung über NTLM wird dabei unterstützt. Dabei können auch Vertrauensstellungen zu Active-Directory-Domänen für die Authentifizierung definiert werden, falls NetWare 6 primär als Fileserver zum Einsatz kommt. Die Installation und die Konfiguration des Native File Access sind zwar noch etwas tricky und fordern intensive Beschäftigung mit der Dokumentation, um beispielsweise die erforderlichen "einfachen" Kennwörter zu konfigurieren, die für die Anmeldung über andere Wege als den konventionellen Novell-Client erforderlich sind. Aber mit dem Support Pack 1 für den Native File Access sind zumindest die gröbsten Fehler beseitigt, so dass diese Technologie produktiv eingesetzt werden kann - mit NetWare 6 und ihren hervorragenden Cluster-Diensten und anderen interessanten Funktionen als Fileserver, der sich so verhält, als ob er unter Windows 2000 laufen würde.
Sowohl Novell iFolder als auch die verteilte, plattformunabhängige Druckunterstützung iPrint sowie Native File Access sind als Add-ons auch für NetWare 5.1 erhältlich.
Eine Integration von Sicherheitsinfrastrukturen hat Novell schon früh versucht. Ein Beispiel dafür waren die NDS for NT, die in der ersten Version schlicht Authentifizierungsanforderungen an NetWare-Server mit der NDS weitergeleitet haben. Einige dieser Entwicklungen haben Eingang in heute noch von Novell angebotene, aber wesentlich weiter entwickelte und sinnvollere Lösungen gefunden.
Mit dem NDS eDirectory geliefert werden die Certificate Services. Damit lassen sich CAs (Certificate Authorities) als zentrale Bestandteile einer PKI (Public Key Infrastructure) aufsetzen. Die Certificate Services 2.0 von Novell sind allerdings funktional denen von Windows 2000 insgesamt unterlegen. Darüber hinaus stellt sich das Problem, dass die Verteilung von Zertifikaten über Gruppenrichtlinien und in die Windows-eigenen Zertifikatsspeicher bei Windows 2000 besser gelöst ist.
Novell setzt hier auf eine zentrale Speicherung auf den Servern. Bedauerlich ist dabei generell die schwache Integration zwischen unterschiedlichen Zertifikatsdiensten. Wer hier in einem heterogenen Umfeld von CAs und die Zertifikate nutzenden Systemen arbeitet, kommt im Einzelfall um die intensive Analyse beispielsweise der TIDs (Technical Information Documents) in Novells Knowledgebase oder den Artikeln der Microsoft Knowledge Base kaum herum.
Deutlich interessanter sind aber Produkte wie Novell Account Management (NAM), NDS Authentication Services, die Novell Modular Authentication Services (NMAS), Novell SecureLogin und der integrierenden Produkt-Suite Novell SecureAccess. Selbst Novell-Experten fällt es zwar zunehmend schwer, die verschiedenen Anwendungen auseinanderzuhalten. Doch gemeinsam ist ihnen allen eines: Sie vereinfachen die sichere Verwaltung und Authentifizierung von Benutzern in heterogenen Umgebungen. Das geht von der zentralen Verwaltung von Benutzerkonten und Authentifizierungsinformationen im NDS eDirectory über NAM, in das auch die frühen Entwicklungen der NDS for NT eingeflossen sind, über die Single-Sign-on-Lösung NAM auf der Ebene von Betriebssystem-Clients bis hin zu den NMAS, mit denen zusätzliche Authentifizierungsverfahren wie beispielsweise biometrische Verfahren eingebunden werden können. Novell SecureLogin fokussiert dann schliesslich auf das Single Sign-on im Zusammenspiel mit unterschiedlichen Anwendungen. Das Spektrum reicht hier vom Lotus-Notes-Client bis hin zu Terminalemulationen von unterschiedlichsten Herstellern.
Alle diese Lösungen sorgen dafür, dass Benutzer nur einmal im NDS eDirectory angelegt werden müssen und sich dann bei einer Vielzahl unterschiedlichster Systeme mit genau dem Kennwort aus der NDS anmelden können. Das erleichtert sowohl das Management als auch das Arbeiten von Benutzern.
Novell hat bei diesen Lösungen mittlerweile für eine sehr breite Unterstützung unterschiedlicher Systeme gesorgt und ist für den Einsatz in heterogenen Umgebungen wesentlich besser gerüstet als Microsoft mit Windows 2000, wo beispielsweise so umfassende Single-Sign-on-Funktionen fehlen. Allerdings darf man die Komplexität dieser Systeme nicht unterschätzen. Der Konfigurationsaufwand beispielsweise für NMAS und viele kleine Detailprobleme wie das Zusammenspiel mit der richtigen Version der Verschlüsselungsfunktionen machen die Administration zum Teil doch sehr aufwendig und führen immer wieder zu Fehlern, die nur schwer nachzuvollziehen und zu beheben sind.
Eine "richtige" Zusammenstellung von Microsoft- und Novell-Komponenten gibt es nicht. Zu gross sind die Unterschiede in den Anforderungen, die in verschiedenen Unternehmen bestehen. Allerdings muss man heute feststellen, dass sich einerseits Novell-Lösungen zunehmend in Windows-Umgebungen integrieren und dass andererseits Novell wahrscheinlich der leistungsfähigste Anbieter von Integrationslösungen auch für Windows-Umgebungen ist. Ersteres wird exemplarisch durch die Entwicklungen bei NetWare 6 und bei ZENworks for Desktops, letzteres vor allem durch DirXML und die Lösungen für die Implementierung von Sicherheitsinfrastrukturen belegt.