Der Einsatz von zwei oder drei parallelen Verzeichnisdiensten bereitet vielen Unternehmen Kopfzerbrechen.
Sobald verschiedene Directories nebeneinander existieren, wird der Ruf nach Lösungen für eine einfache Integration immer lauter. Denn eines ist klar: Jeder weitere Verzeichnisdienst bedeutet zunächst einmal auch einen zusätzlichen administrativen Aufwand. Und nicht nur das, auch die Gefahr von Fehlern wächst. Benutzer, die längst entlassen sind und immer noch Zugriffsberechtigungen auf das LAN oder den Mail-Server haben, sind nur ein Beispiel für die Probleme, die entstehen können, wenn Benutzerdaten und andere Informationen in einer Vielzahl von Verzeichnisdiensten gepflegt werden müssen.
Für die Vereinfachung der Verzeichnisstrukturen stehen vier Wege offen: Durch die Reduzierung der Verzeichnisdienste werden Funktionen auf ein einziges Directory übertragen. Weiter lassen per LDAP Aufgaben in einem Verzeichnis zusammenfassen. Für die direkte Replikation stehen schliesslich Point-to-Point-Lösungen sowie Meta-Directories zur Verfügung.
Die Liste möglicher Verzeichnisdienste ist lang. Sie geht vom Benutzermanagement auf Mainframes über LDAP-Server von E-Business- und Intranet-Anwendungen, die Mail-Server, ERP-Systeme und die Human-Resource-Anwendungen bis hin zu LAN-Verzeichnisdiensten wie beispielsweise die klassischen NDS oder die Domänen von Windows NT. Je mehr Verzeichnisdienste es gibt, desto komplexer wird die Administration und desto mehr Fehler werden passieren.
Für diese Integration gibt es nun mehrere methodische Ansätze. Ein Weg ist die Reduktion der Zahl an Verzeichnisdiensten, indem ein einzelner die Funktionen mehrerer der vorhandenen Verzeichnisdienste übernimmt. Das geht nicht in allen Fällen, da viele Systeme mit eigenen, proprietären Lösungen arbeiten, die untereinander kaum verträglich sind.
Da sich aber in den letzten Jahren LDAP als Standard etabliert hat, lässt sich dieser Weg in immer mehr Situationen beschreiten. So sind sowohl das NDS eDirectory als auch das Active Directory leistungsfähige LDAP-Server, womit sich natürlich die Frage stellt, ob der zusätzliche Einsatz von reinen LDAP-Servern für Intranet-, aber auch E-Business-Anwendungen noch Sinn macht. Auch in vielen anderen Konstellationen kann eine solche Integration erfolgen. Ein Beispiel dafür ist die Möglichkeit, durch Konfiguration der Directory Assistance Database vom Lotus Domino Server aus auf andere LDAP-Verzeichnisse zuzugreifen und so das Domino Directory zu umgehen. Allerdings wird bei genauer Betrachtung auch deutlich, dass in diesem gesamten Umfeld ein erheblicher Konfigurationsaufwand erforderlich ist, da die verschiedenen LDAP-Verzeichnisse eine Fülle kleinerer Unterschiede bei ihren Schemata - also den Datenstrukturen des Verzeichnisses - aufweisen.
Dort, wo dieser "Königsweg" nicht möglich ist, gibt es zwei andere Möglichkeiten. Zum einen gibt es eine Reihe von Integrationsprodukten, die als Point-to-Point-Lösungen genau zwei Verzeichnisdienste miteinander verbinden. Zum anderen ist aber auch der Markt der Meta-Directories mittlerweile stark in Bewegung gekommen.
Einer der führenden Anbieter in diesem Segment ist Netvision (www.netvision.com). Mit der Synchronicity-Produktfamilie werden Synchronisationslösungen rund um die NDS angeboten. Dazu gehört mittlerweile auch Synchronicity for Active Directory. Mit diesem Produkt kann eine Synchronisation von Informationen im Active Directory und der NDS erfolgen.
Aber auch Microsoft liefert im Rahmen der Services for NetWare eine entsprechende Lösung aus. Der von Fastlane lizenzierte Microsoft Directory Synchronization Service (MSDSS) ermöglicht ebenfalls die Synchronisation von Informationen zwischen der NDS und dem Active Directory. Eine deutlich einfachere Integrationsmöglichkeit stellen zudem die expliziten Vertrauensstellungen dar, die zwischen Domänen des Active Directory und Windows-NT-Domänen gebildet werden können. Allerdings liegt deren wichtigster Einsatzbereich bei komplexeren Migrationsprojekten mit einer schrittweisen Migration von Systemen.
MSDSS ist eine Lösung, die allerdings in den bisher vorliegenden Beta-Versionen nicht voll zu überzeugen vermag. Es können nur vergleichsweise wenig Informationen zwischen der NDS und dem Active Directory synchronisiert werden. Zwar ist ein differenziertes Mapping zwischen den hierarchischen Strukturen der NDS und den sich davon typischerweise unterscheidenden Strukturen im Active Directory möglich. Der Austausch von Informationen beschränkt sich aber im wesentlichen auf Benutzerdaten. In Anbetracht der Tatsache, dass Verzeichnisdienste aber mehr und mehr andere Informationen über Systeme im Netzwerk - man denke hier nur an Directory Enabled Networking (DEN) - oder für E-Business-Anwendungen enthalten, ist das nicht wirklich ausreichend.
Lösungen für die Point-to-Point-Verbindung von zwei Verzeichnisdiensten sind ohnehin nur dann sinnvoll, wenn es eine kleine Zahl von Verzeichnisdiensten gibt, die integriert werden sollen.
Sobald mehrere solche Lösungen parallel eingesetzt werden, steigt die Anzahl erforderlicher Produkte ebenso wie die Komplexität der Gesamtlösung massiv an. Hier kommen dann die Meta-Directories ins Spiel. Die grösste Bedeutung werden sie wohl haben, wenn eine vorübergehende Kopplung von zwei Verzeichnisdiensten im Rahmen eines Migrationsprojekts erforderlich ist. Auf längere Sicht gesehen wird ihre Bedeutung aber zweifelsohne massiv abnehmen.
Auch wenn weiter oben die Integration von Funktionen als Königsweg bezeichnet wird, spricht doch auch vieles für den Einsatz von Meta-Directories. Alle diese übergreifenden Produkte basieren auf einem zentralen, leistungsfähigen Verzeichnisdienst. Sie stellen dann Connectoren zu anderen Verzeichnisdiensten bereit, womit sich im Ergebnis ein Hub-Konzept ergibt. Im Gegensatz zu Point-to-Point-Lösungen gibt es aber eine einheitliche Administration der Connectoren - unter dem Strich handelt es sich um eine Lösung aus einer Hand. Allerdings sind alle derzeit am Markt verfügbaren Produkte recht komplex und erfordern einen erheblichen Anpassungs- und Konfigurationsaufwand.
Das führende Unternehmen in diesem Bereich ist derzeit zweifelsohne Siemens mit seiner DirX-Produktfamilie. Siemens bietet eine Vielzahl von Connectoren zu unterschiedlichsten Systemen, darunter auch dem Active Directory an. Ein weiterer Anbieter ist nach der Übernahme von Isocor auch Critical Path (www.cp.net). Mit dem InJoin Directory Server als zentralem Repository und dem InJoin Meta-Directory für die Synchronisation von Informationen zwischen Verzeichnisdiensten wird eine leistungsfähige und mittlerweile in etlichen Projekten genutzte Plattform angeboten. Beide Produkte unterstützen neben dem Active Directory eine Vielzahl weiterer Systeme unterschiedlichster Prägung.
Neben diesen beiden Marktführern adressieren auch Novell, Microsoft und IBM diesen Markt. Während IBM dabei derzeit noch stark projektorientiert arbeitet und Microsoft nach der Zoomit-Akquisition noch einige Arbeit bis zu einem marktfähigen Produkt vor sich hat, steht das Release von Novells DirXML-Meta-Directory unmittelbar bevor. DirXML ist ein Integrationsprodukt, das die NDS als zentrales Repository verwendet und unter anderem mit Connectoren zum Active Directory ausgeliefert wird. Allerdings ist die Gesamtzahl der Connectoren mit nur fünf zu Beginn noch sehr begrenzt und ausschliesslich auf den LAN- und Messaging-Markt beschränkt. Verbindungen beispielsweise zu ERP-Systemen fehlen noch.
Microsoft wird mit Zoomit das Gegenstück zu diesem Produkt schaffen. Dabei wird - wie nicht anders zu erwarten - das Active Directory als zentraler Verzeichnisdienst verwendet. Die Redmonder wollen allerdings von Beginn an mit einer deutlich höheren Zahl an Connectoren aufwarten können. Derzeit gibt es aber noch keine offiziellen Ankündigungen, so dass sowohl in Bezug auf Funktionalität als auch Termine noch keine Aussagen getroffen werden können.
Generell sollte in Firmen mit parallel laufenden Verzeichnisdiensten zunächst eine Strategie entwickelt werden. Darin muss sowohl die Rolle des Active Directory und die Strategie in Bezug auf Meta-Directories als auch die Frage, in welchen Einsatzsituationen welche Verzeichnisdienste als LDAP-Server dienen sollen, geklärt werden.
Ohne eine solche Strategie macht der Aufwand, der für die Konzeption und Einrichtung des Active Directory zu leisten ist, nur wenig Sinn.
