Nachdem sich die Erkenntnis durchgesetzt hat, dass der Schritt von Windows NT zu Windows 2000 ausser in wirklich kleinen Netzwerken nicht mit einem einfachen Upgrade zu bewerkstelligen ist, sondern einen komplexen Migrationsprozess erfordert, entsteht auch ein Markt für zusätzliche Werkzeuge, mit denen dieser Prozess unterstützt wird. Mit Fastlane, NetIQ und Bindview gibt es hier inzwischen drei Anbieter dieser Tool-Klasse.
Obwohl man mittlerweile zur Genüge weiss, dass die Migration gut geplant sein will und komplex sein wird, wird noch in erstaunlich wenig Unternehmen mit solchen Werkzeugen gearbeitet oder zumindest der Einsatz geplant. Das hat sicherlich mehrere Gründe. Zum einen stellt Microsoft unter www.microsoft.com/windows2000/downloads mit dem von NetIQ übernommenen ADMT (Active Directory Migration Tool) ein kostenloses Werkzeug für die Migration bereit. Ein weiterer Grund mag die oftmals noch fehlende Budgetierung der Produkte sein, die wiederum dadurch bedingt ist, dass diese Produkte erst vor kurzer Zeit in das Blickfeld der meisten Administratoren gerückt sind - auch wenn alle Hersteller schon seit längerer Zeit Lösungen rund um das Management von Windows NT oder anderen Plattformen anbieten. Nicht zu unterschätzen ist schliesslich auch, dass in erschreckend vielen Firmen die bestehenden NT-Umgebungen noch nicht wirklich professionell verwaltet werden. Der Einsatz von zusätzlichen Administrationswerkzeugen, wie sie im professionellen UNIX- oder gar im Mainframe-Bereich gang und gäbe sind, wird nur langsam als unabdingbar erkannt.
Die mit Windows 2000 gelieferten Werkzeuge sind gerade in grösseren Netzwerken für viele administrative Aufgaben mit Tausenden von Benutzern nicht ausreichend. Sie stellen zwar im Vergleich mit den Verwaltungsprogrammen von Windows NT schon einen gewaltigen Fortschritt dar. Um aber effizient grosse Netzwerke administrieren zu können, wird man an Zusatzwerkzeugen kaum vorbeikommen. Deshalb bieten auch alle drei genannten Hersteller nicht nur Migrationswerkzeuge an, sondern komplette Suiten, mit denen sich von der Vorbereitung über die Durchführung der Migration bis hin zur Administration von Windows-2000-Umgebungen im laufenden Betrieb alle wichtigen Aufgaben lösen lassen.
Diese Vielschichtigkeit mag auch eines der Hemmnisse sein, das vor einer Entscheidung für eines der Produkte steht. Denn wer die Migration beispielsweise mit den Lösungen von Fastlane durchführt, für den ist es naheliegend, die Produkte dieses Herstellers auch später für die laufende Administration des Windows-2000-Netzwerks zu verwenden. Damit wird aber aus einer Entscheidung für ein Migrationswerkzeug eine sehr grundlegende Strategieentscheidung für das zukünftige Systemmanagement.
Die von Microsoft selbst gelieferten Werkzeuge für eine Migration sind dagegen singuläre Lösungen. Neben den Resource-Kit-Tools auf der Windows 2000 Server-CD sind noch movetree.exe und eben das Eingangs bereits erwähnte ADMT zu erwähnen. Movetree.exe steht ebenfalls erst nach der Installation der Resource-Kit-Tools zur Verfügung. Mit diesem Befehlszeilenprogramm können Objekte zwischen Domänen verschoben werden. Die Zieldomäne muss sich dabei im einheitlichen Modus befinden. Das Programm ist in seiner Nutzung vergleichsweise unhandlich und insgesamt eher als Notlösung zu betrachten, die aber gegebenenfalls zur Restrukturierung von Domänen nach der Migration von NT auf Windows 2000 eingesetzt werden kann.
Das ADMT dagegen ist ein durchaus leistungsfähiges, grafisches Werkzeug. Mit dem von NetIQ - ehemals Mission Critical Software - gelieferten Tool können sowohl Objekte aus Windows-NT- wie auch aus Windows-2000-Domänen in andere 2000er Domänen verschoben werden. Auch hier muss sich die Zieldomäne aber im einheitlichen Modus befinden, was generell zügig angestrebt werden sollte. Falls jedoch Domänen für eine Übergangszeit noch im gemischten Modus betrieben werden sollen, ist das natürlich eine Einschränkung. Insofern ist das ADMT zwar ein nützliches Werkzeug, wenn entweder kleinere Netzwerke migriert werden sollen oder wenn es bei der täglichen Administration darum geht, Objekte zwischen Domänen zu verschieben. Es kann aber kein Ersatz für die anderen Produkte sein - und soll es natürlich auch nicht, denn immerhin hat NetIQ ja auch noch eine deutlich umfassendere Lösung im Portfolio.
Neben NetIQ hat auch Fastlane eines seiner Produkte an Microsoft lizenziert. In diesem Fall sind es die Directory Synchronization Services (DSS), die als Teil der Services for NetWare geliefert werden. Jeder der drei Hersteller hat auch Lösungen für die Integration von Windows 2000 und NetWare-Umgebungen sowie für die Migration von NetWare und NDS auf Windows 2000 im Angebot. Am wenigsten überraschend ist das sicherlich bei Bindview, die im NetWare-Umfeld gross geworden sind. Bindview hat mit Entevo vor einiger Zeit einen Hersteller übernommen, um sein Produktspektrum auf die Windows-2000-Welt auszudehnen.
NetIQ vermarktet seine Produkte als Teil der OnePoint-Produktsuite, mit der umfassende Administrationslösungen für Windows-NT- und Windows-2000-Netzwerke geboten werden.
Das für die Migration wichtigste Produkt ist der Domain Migration Administrator (DMA). Er ist in der Lage, Objekte aus NT- und Windows-2000-Domänen in andere Domänen zu übernehmen. Als Zieldomänen werden dabei neben Windows-2000-Domänen im einheitlichen Modus auch solche im gemischten Modus und sogar NT-Domänen unterstützt. Hintergrund für die NT-Unterstützung ist, dass das Werkzeug auch eine Konsolidierung der NT-Domänen erlaubt, wie sie gerade im Vorfeld der eigentlichen Migration zu Windows 2000 in wenig strukturiert gewachsenen NT-Netzwerken sinnvoll sein kann. Ferner wird auch die Migration von Informationen aus der NetWare-Bindery und der NDS unterstützt.
Schon hier wird also deutlich, dass die Lösung einen deutlich breiteren Fokus als das ADMT hat, das ja auf dem DMA aufsetzt. Der DMA bietet aber auch wesentlich umfassendere Reporting-Funktionen. Um diese nutzen zu können, muss aber entweder vorab Microsoft Access oder eine Access-Runtime-Version auf jener Arbeitsstation installiert werden, auf der DMA eingesetzt wird.
Für grössere Netzwerke am bedeutsamsten dürften aber zwei andere Funktionen sein. Zum einen lassen sich durch die Verwendung des COM-Objektmodells die Funktionen des DMA aus Scripts ansteuern. Damit lassen sich wiederkehrende Aufgaben automatisieren und grosse Migrationsprojekte effizient vorbereiten, um sie dann vergleichsweise schnell abwickeln zu können. Zum anderen arbeitet das Produkt stark parallelisiert, so dass eine Vielzahl von Migrationsschritten nebeneinander statt hintereinander ausgeführt werden können, womit sich die Abwicklung solcher Projekte signifikant beschleunigen lässt. Da für die eigentliche Migration oftmals nur ein sehr kurzer Zeitraum - beispielsweise ein Wochenende - sowohl für das Verschieben von Objekten als auch die anschliessenden Tests und die erforderlichen Datensicherungen zur Verfügung steht, spielt Geschwindigkeit hier eine wichtige Rolle.
Seit der Version 6.1 erlaubt der DMA auch die direkte Übernahme von NT-Kennwörtern in das Active Directory. Benutzer müssen damit ihre Kennwörter im Rahmen des Wechsels der Domäne nicht mehr ändern - was sicherlich keine unbedingt zwingende, aber doch interessante Funktion ist. Wichtiger ist hier wohl das Add-On des Server Consolidator ab der Version 6.2. Damit ist es möglich, Datenstrukturen auf Servern im Rahmen des Migrationsprozesses zusammenzufassen. Da der Trend bei Windows 2000 eindeutig hin zu wenigen leistungsfähigen Servern statt einer Vielzahl von Maschinen wie bei Windows NT geht, ist diese Funktion von enormer Bedeutung.
Das zweite Produkt ist der Fastlane DM/Manager. Dieser ist derzeit das einzige von Microsoft offiziell für Windows 2000 zertifizierte Produkt unter den hier vorgestellten Lösungen. Der DM/Manager arbeitet wie die beiden anderen Produkte mit Projekten. In einem solchen Projekt können mehrere Quell- und Zieldomänen eingebunden und die Einstellungen für die Migration konfiguriert und getestet werden. Für die Automatisierung gibt es für den DM/Developer eine eigene Entwicklungsumgebung. Diese unterstützt eine Reihe von offenen Schnittstellen wie ADSI, ODBC und LDAP. Damit kann nicht nur die Migration von NT auf Windows 2000 automatisiert werden, sondern auch die Übernahme von Informationen aus verschiedensten anderen Verzeichnisdiensten. Fastlane hat diese Funktionen selbst genutzt, um die bereits weiter oben erwähnten DSS zu entwickeln.
Eine interessante Funktion im Vergleich zu den anderen Produkten ist das leistungsfähige Scheduling. Die Ausführung der Migration kann sehr gezielt gesteuert werden, um beispielsweise Teile davon zeitgesteuert nachts auszuführen. Mit Hilfe einer Undo-Funktion, die sich allerdings in ähnlicher Weise beispielsweise auch beim OnePoint DMA von NetIQ findet, lassen sich Migrationsschritte bei Fehlern auch wieder rückgängig machen. Im direkten Vergleich mit dem NetIQ-Produkt fehlt allerdings ein vergleichbar leistungsfähiger Testmodus.
Das von Entevo übernommene Produkt von Bindview ist ebenfalls Bestandteil einer ganzen Produktsuite. Auch hier wird neben der Migration von Informationen von einer Domäne in eine andere die Konsolidierung von Domänen unterstützt. Der Zugriff auf die Projekte ist allerdings etwas umständlich, da er im ersten Schritt jeweils über Reports oder Assistenten erfolgt, die schrittweise durch die Erstellungs- und Änderungsprozesse für die Projekte führen. Solche Assistenten werden ebenfalls von allen drei Herstellern intensiv genutzt, wobei sich die Bedienung doch deutlich voneinander unterscheidet. Ausserdem wird auch der Test und das Rollback von Migrationsprozessen unterstützt. Diese simulierte Migration erlaubt das Experimentieren mit den angepeilten Strukturen, womit allfällige Störfaktoren zum Vorschein gebracht werden, ohne dass die tatsächliche Umgebung berührt wird.
Wie deutlich wird, unterscheiden sich die Produkte in ihrer Grundfunktionalität nicht wesentlich voneinander. Es bietet sich gerade in grösseren Umgebungen daher unbedingt an, alle drei Lösungen gründlich zu evaluieren. Denn oft sind es Detailfunktionen, die für die eine oder andere Umgebung ausschlaggebend sind, oder schlicht die Bedienung, die bei dem einen Produkt besser und bei dem anderen vielleicht weniger gut gefällt. Hier liegen auch die signifikanten Unterschiede zwischen den Lösungen. Aber auch die unterschiedlich gute Programmierbarkeit der Produkte kann eine Entscheidung deutlich beeinflussen.
Interessant ist bei der Betrachtung der Produkte, dass auch die verschiedenen Produktsuiten in ihrer Funktionalität erhebliche Übereinstimmungen aufweisen. Alle Hersteller unterstützen sowohl Windows NT als auch Windows 2000 als auch NetWare-Umgebungen. Und alle Hersteller bieten auch Produkte für die weitere Administration der Windows-2000-Netzwerke nach dem Migrationsprozess an. Dazu gehören auch Funktionen, mit denen Richtlinien und Regeln für den laufenden Betrieb konfiguriert und durchgesetzt werden können, die teilweise deutlich über die Gruppenrichtlinien von Windows 2000 hinausgehen. Die Aufteilung der Suiten in Einzelprodukte unterscheidet sich zwar von Anbieter zu Anbieter - im Ergebnis hat aber jeder eine umfassende Lösung bereit.
Dabei wird auch deutlich, dass alle drei umfassende Erfahrungen mit der Migration von NT auf Windows 2000 und insbesondere auch der Administration grösserer Netzwerke gesammelt haben. So finden sich teils als Beschreibung, teils auch durch Assistenten unterstützt, Prozessbeschreibungen für die Durchführung des Systemwechsels, mit denen der Administrator unterstützt wird.
Alle Lösungen sind dem ADMT deutlich überlegen. Da sie auch eine effizientere Administration des Netzwerks im laufenden Betrieb nach der Migration - und auch für NT-Umgebungen vor der Migration - ermöglichen, macht es in jedem grösseren Netzwerk Sinn, diese Produktsuiten zu evaluieren. Dabei sollte nicht nur der Migrationsprozess, sondern insbesondere auch die Nutzbarkeit im späteren Betrieb betrachtet werden. Denn die Migration ist relativ schnell abgeschlossen - danach kommt dann aber über Jahre die laufende Administration. Eine wichtige Rolle sollte dabei auch die Verwaltung der Windows-NT-Umgebungen spielen, da gerade in grösseren Netzwerken die Umstellung oft einen sehr langen Zeitraum in Anspruch nimmt und sich auch heute noch die Einführung solcher Administrationswerkzeuge für Windows NT lohnen kann.
