(zurück)

Was ist ein DEN?
 

Directory-enabled networks (DEN)

Je komplexer eine Netzwerkumgebung ist, desto wichtiger ist es, die im Netzwerk vorhandenen Ressourcen von einer zentralen Stelle aus verwalten zu können. Bei heutigen Netzwerken, die sich über mehrere Standorte ausdehnen, oftmals auf verschiedene Länder oder gar Kontinente verteilt sind, ist es nicht mehr praktikabel, die Ressourcen dort zu verwalten, wo sie physikalisch vorhanden sind. Die Ressourcen, von denen hier die Rede ist, können beispielsweise Dateien, Verzeichnisse, Drucker und Scanner sein, im weiteren Sinne aber auch Benutzer und Benutzergruppen. Diese wichtige Anforderung an einen Verzeichnisdienst - die zentrale Verwaltung von Ressourcen - erfüllt das Active Directory. Es dient gewissermaßen als zentraler Informationsspeicher der Netzwerkumgebung in einer verteilten Form und befreit von der Abhängigkeit der physikalischen Standorte.

Das Active Directory bildet einen "Single Point of Administration" für alle Ressourcen – einschließlich der Dateien, Peripheriegeräte, Datenbanken, Web-Zugriffe, Host-Verbindungen, Benutzer und Gruppen. Alle diese Objekte befinden sich in einer Domäne, die zur strukturierten Verwaltung in eine Hierarchie mehrerer organisatorischer Einheiten ("Organizational Units" bzw. "OUs") unterteilt werden kann. Mehrere Domänen lassen sich in einer Baumstruktur zusammenführen. Active Directory trennt dabei nicht mehr zwischen primären Domänen-Controllern und Sicherungs-Domänen-Controllern, sondern arbeitet nur noch mit Domänen-Controllern, was eine weitere Vereinfachung bringt. Administratoren können Änderungen auf jedem dieser Domänen-Controller durchführen. Das Active Directory sorgt dafür, dass entsprechende Updates auf alle anderen Domänen-Controller automatisch repliziert werden.

Der durch das Active Directory zur Verfügung gestellte Domänen-Baum ("Domain-Tree") bietet bei der Administration größere Flexibilität als flache organisierte Strukturen anderer Verzeichnisdienste. Zwar lassen sich auch mit dem Active Directory Single-Tree-Domänen erstellen, aber die Einrichtung eines Domänen-Baums stellt oftmals die bessere Option dar, da eine Hierarchie von Domänen eine feiner abgestufte Verwaltung ohne Beeinträchtigung der Sicherheit gestattet.

Jede Domäne innerhalb des Domänen-Baums besitzt eine Kopie des Directory-Stores, die sämtliche Objekte der Domäne sowie Metadaten über den Domänen-Baum enthält. Hierzu gehört beispielsweise das Schema (die Definition der einzelnen Objektklassen und der darin vorkommenden Attribute), eine Liste aller Domänen im Baum oder Informationen über die Standorte von Katalog-Servern.

Immer komplexer werdende Netzwerke führen dazu, dass klassische Management-Applikationen kaum noch adäquat für die Verwaltung sind. Eine Lösung eröffnet ein Informationsmodell, das das Management aller Beteiligten berücksichtigt. Es enthält beispielsweise Informationen über Profile und Richtlinien, Geräte, Medien und Protokolle. Die Interaktionen zwischen den am Netzwerk beteiligten Elementen müssen sich abbilden lassen, aber die übliche Klassenhierarchie an sich erweist sich dazu kaum geeignet. Das Ziel ist es vielmehr, Richtlinien für das gesamte Netzwerk anstatt lediglich für individuelle Objekte verwalten zu können.

An dieser Stelle befindet man sich auf dem Weg zum "Directory-Enabled Network" (kurz "DEN"), das Interoperabilität mit Hilfe des Verzeichnisdienstes bietet. Innerhalb der Directory-Enabled Network-Architektur definiert das Verzeichnis die Verbindungen, während das Netzwerk die End-to-End-Connectivity zur Verfügung stellt. DEN ermöglicht die Vereinheitlichung der Netzwerkmanagement-Applikationen, definiert und verteilt Richtlinien sowie Verbindungen und gestattet den Einsatz personalisierter Netzwerkdienste. Über das Verzeichnis lässt sich dann zum Beispiel die priorisierte Zuteilung von Bandbreiten etwa an Projektteilnehmer oder für bestimmte Applikationen erledigen, während andere Benutzer sich die dann noch zur Verfügung stehenden Übertragungskapazitäten teilen müssen.

Unter dem Dach der DEN-Spezifikation erfolgt eine Integration von Benutzerprofilen, Applikationen und Netzwerkdiensten in den Verzeichnisdienst. Diese Integration wird möglich durch die Verfügbarkeit eines Standard-Schemas für die Speicherung von Netzwerkstatus- Informationen und durch ein erweitertes Modell für die Darstellung von Netzwerkinformationen. Eine solche Integration bietet optimale Bandbreiten-Ausnutzung, Policy-basierendes Management, reduzierte "total Costs of Ownership" (TCO) und einen "Single Point of Administration" für alle Netzwerkressourcen.

DEN erfordert eine Erweiterung der Verzeichnisdienste, da Netzwerkelemente und Dienste komplexe Objekte in einem sich kontinuierlich ändernden Umfeld darstellen. Zur Umsetzung der DEN-Architektur hat sich bereits im September 1997 eine Industrie-Allianz gebildet, die von den Unternehmen Microsoft und Cisco geführt wird. Sie steht allen Herstellern von Netzwerkgeräten und Verzeichnisdiensten sowie Carriern, ISPs, ISVs und anderen interessierten Gruppen offen. Ziel der Initative ist es, ein akzeptiertes und breit implementiertes Informationsmodell für Directory-Enabled Networks zu schaffen. Microsoft und Cisco haben bereits vorgelegt und ein Übereinkommen getroffen, Active Directory als Plattform für das Management von Netzwerkdiensten zu verwenden. Microsofts Active Directory in Windows 2000 wird der erste Verzeichnisdienst sein, der Unterstützung für diese Initiative enthält, während Cisco als erster Netzwerkgeräte-Hersteller eine Referenz-Implementation bietet, die die eigenen Netzwerk-Geräte sowie die Cisco IOS-Netzwerkdienste umfasst.

Ein wichtiges Ziel bei der Entwicklung vom Active Directory war es, eine einheitliche Sicht auf das Netzwerk mitsamt der darin enthaltenen Ressourcen zu bieten. Gleichzeitig galt es, dabei die Anzahl der Verzeichnisse und Name-Spaces, mit denen sowohl Administratoren als auch Benutzer konfrontiert werden, so weit wie möglich zu reduzieren. Tatsächlich ist die Active Directory-Technologie auch für die Zusammenarbeit mit anderen Verzeichnissen sowie deren Management entwickelt worden – unabhängig davon, wo sich diese befinden und auf Grundlage welchen Betriebssystems sie arbeiten.

Ein solches Vorgehen lässt sich nur mit Hilfe entsprechender Standards umsetzen. So ist es nicht verwunderlich, dass das Active Directory zahlreiche Standards, Protokolle und Names-Formate unterstützt. Nahezu alle unterstützten Technologien stammen aus dem Umfeld des Internets und sind deshalb sehr weit verbreitet. So verwendet das Active Directory beispielsweise das "Domain Name System" (DNS) als Namenssystem und tauscht Informationen mit Anwendungen aus, die das "Lightweight Directory Access Protocol" (LDAP) oder das "HyperText Transfer Protocol" (HTTP) unterstützen.

Active Directory integriert somit das Konzept des Internet-Namensraumes mit den Verzeichnisdiensten des Betriebssystems. Aufgrund dessen erfolgt eine Vereinheitlichung des Managements verschiedener Name-Spaces, die heute in heterogenen Umgebungen bereits vielfach existieren. Das Active Directory stellt dabei aber kein X.500-Directory dar. Es verwendet vielmehr LDAP als zugrunde liegendes Zugriffsprotokoll und unterstützt auf diese Weise das X.500-Modell. Damit besteht keine Notwendigkeit, den gesamten X.500-Overhead mitzuschleppen. Dank der Unterstützung von LDAP ist das Active Directory zudem in der Lage, Informationen mit beliebigen Applikationen oder Verzeichnissen auszutauschen, die ihrerseits den Umgang mit LDAP beherrschen. Der Verzeichnisdienst arbeitet also auch über die Grenzen von Betriebssystemen hinweg und integriert mehrere Name-Spaces. Die Verwaltung applikationsspezifischer Verzeichnisse ist ebenso möglich wie das Management betriebssystembasierender Verzeichnisse. Auf dieser Grundlage bildet Active Directory die Basis für ein allgemeines Verzeichnis, das Administratoren von der Bürde befreit, mehrere Name-Spaces separat verwalten zu müssen.

Active Directory stellt einen skalierbaren, fehlertoleranten und replizierbaren Naming-Service für Microsoft-Netzwerke dar und macht einen anderen Namensdienst – den "Windows Internet Naming Service" (WINS) – grundsätzlich überflüssig. Allerdings wird WINS in Umgebungen wo das Browsen im Netzwerk erforderlich ist oder wo z.B. Microsoft Exchange Server 4.x oder 5.x betrieben werden nach wie vor erforderlich sein. Zur Auflösung aussagekräftiger Namen in IP-Adressen kommt im Active Directory eine moderne DNS-Variante in Form des "dynamischen DNS" (DDNS) zum Einsatz. Allerdings setzt das Active Directory dafür auch einen dynamischen DNS-Server voraus. Ein solcher zählt zum Lieferumfang von Windows 2000 Server, doch können Administratoren auch auf moderne BIND-Varianten (8.1.x) ausweichen, die mit DDNS ebenfalls serienmäßig korrespondieren. Abhängig von der Beschaffenheit der bereits vorhandenen DNS-Server sollten Administratoren eine Integrations- oder unter Umständen gar Migrationsstrategie der Namens-Servers in ihrem Unternehmen ausarbeiten, um so für eine konsistente Umgebung zu sorgen.

Active Directory basiert auf einer ausgefeilten, wenn auch mitunter komplex anmutenden Kombination von DHCP, DDNS, LDAP und Kerberos v5. Damit offeriert Microsoft einen kompletten, auf Standards basierenden Verzeichnisdienst. Dem Siegeszug von Intranet und Internet ist es zu verdanken, dass das Gros dieser Dienste inzwischen für viele Administratoren keine unbekannte Größe mehr ist. Über den BOOTP-Nachfolger "DHCP" (Dynamic Host Configuration Protocol) vergeben Administratoren von zentraler Stelle aus Bereiche von IP-Adressen, die dann Clients (in der Regel Arbeitsplatz-Rechner) nach Bedarf anfordern und auch wieder freigeben. Die manuelle, sprich arbeitsaufwendige Konfiguration von Clients für feste IP-Adressen gehört somit der Vergangenheit an. DNS nimmt eine Auflösung leichtgängiger, für Benutzer einfach zu merkender Namen in die für Computer erforderlichen IP-Adressen vor. Unterstützt von DDNS trägt DHCP die momentan vergebenen IP-Adressen inklusive der Namen der involvierten Clients automatisch in der DNS-Datenbank ein. LDAP wiederum führt standardisierte Zugriffe auf Verzeichnisse bzw. deren Inhalt durch, was die Nutzung unterschiedlicher Directories wesentlich vereinfacht.

Eher weniger bekannt dagegen dürfte "Kerberos" sein, das für heute unverzichtbare Sicherheitsfunktionen verantwortlich zeichnet. Dieses Verfahren arbeitet im Wesentlichen mit einer flachen Datenbankstruktur für Personen und Encryption-Keys, wobei das Active Directory automatisch Vertrauensstellungen ("Trusts") zwischen Kerberos-Bereichen erstellt. Für den Anwender geschieht das vollkommen transparent, so dass er sich keine weiteren Gedanken über die hinter dem Active Directory steckende Technik machen muss. Kerberos-Bereiche sind innerhalb des Verzeichnisses als Domänen repräsentiert und korrespondieren zu DNS-Subdomänen.

Das Active Directory kann dabei auch Vertrauensstellungen zwischen kompletten Verzeichnis-Bäumen erstellen, um so einen "Wald" (Forrest) zu bilden. Hierbei handelt es sich um einem eleganten Weg, mehrere Verzeichnisse innerhalb eines Unternehmens zu verbinden. Zusammen mit dem globalen DNS-Naming ist das Active Directory damit in der Lage, auf Wunsch Business-to-Business-Trusts zwischen Active Directory-Bäumen über das Internet hinweg vorzunehmen.

Darüber hinaus bietet Microsofts Verzeichnisdienst Programmierschnittstellen ("Application Programming Interfaces", APIs), die eine Kommunikation mit anderen Verzeichnisdiensten ermöglichen. Die meisten Programmiertools des Herstellers kommen mit dem Active Directory zurecht, so dass eine Abstimmung auf eigene Anforderungen relativ leicht umsetzbar ist. Ferner ist – aufgrund der Bedeutung, die das Active Directory am Markt erlangen dürfte – davon auszugehen, dass auch zahlreiche Third-Party-Hersteller ihre Produkte auf das Active Directory abstimmen werden und so eine Integration in den Verzeichnisdient erlauben.

 

Weitere Informationen:

Sichere Netzwerke mit directory-enabled firewalls (PDF 45KB)

Internet Security und Acceleration Server

zurück