Herausgeber: Deutscher Sparkassen und Giroverband, 50. Jahrgang E 1749, Heft 11

Betriebswirtschaftliche Blätter

Fachzeitschrift für Unternehmensführung in der Sparkassen-Finanzgruppe, November 2001, Seite 513


Verwendung von Microsofts Active Directory in der Sparkassen-Finanzgruppe

Jörg Kandels, Michael Rogulla[1], Horst Walther[2]

Das Thema Verzeichnisdienst wird seit der Einführung von Microsofts Active Directory als Bestandteil des Betriebssystems Windows 2000 lebhaft diskutiert. In einem Projekt untersuchte das Informatikzentrum der Sparkassenorganisation (SIZ) Nutzen und Einsatzmöglichkeiten für den bankfachlichen Bereich. Danach liegt die eigentliche Stärke des Produkts vor allem darin, den aus Windows-NT-4.0-Umgebungen bekannten „domain-Wildwuchs“ zu beseitigen. Die technische Administrierbarkeit der domains hat sich durch die Technik deutlich verbessert. Darüber hinausgehende Vorteile für Geldinstitute werden jedoch bis heute eher zurückhaltend ausgeschöpft. Unumgänglich für eine erfolgreiche Active-Directory-Einführung sind klare Konzepte und eine ausreichende Planungsphase. Das SlZ hat für Einführung und Strukturierung von ActiveDirectory-Verzeichnisstrukturen grundlegende Vorgaben und Entscheidungshilfen erarbeitet.

Die Ausgangssituation

Mit dem Erscheinen von Windows 2000 stand der neue Produktbestandteil Active Directory (AD) schnell im Mittelpunkt allgemeiner Untersuchungen des SIZ zu Verzeichnisdiensten. Die ersten Pilotstudien zur AD-Einführung in der Sparkassen-Finanzgruppe hatten bereits begonnen. Deshalb sollte das SIZ-Projekt „Windows 2000: Active Directory“ klären.

Technischer Aspekt

Wie muss die Verzeichnisstruktur gewählt werden?

Der Einsatz von Active Directory bietet die Chance, große Installationen effizient, transparent und nach einheitlichen Richtlinien zu verwalten. Wo bisher eine Vielzahl von unterschiedlichen NT-domains, die über komplexe Vertrauensstellungen („trusts“) verbunden sind, aufwändig administriert werden müssen, lassen sich mit Active Directory und Windows 2000 beliebige domains in einer einheitlichen Struktur zusammenfassen und zentral und kostengünstig verwalten.

Dabei werden die vormals einzelnen domainsin einer neuen hierarchischen Struktur, die durchaus mehrere Ebenen haben kann, zusammengefasst und gemeinsam durch eine Kopf-domain („root domain“) administriert. In der Gesamtstruktur gibt es ein einheitliches Schema, in dem alle Verzeichnisobjekte und Attribute wie Ordner, Drucker, Namen, Adressen usw. eindeutig definiert und zugeordnet sind. Je mehr domains durch ein einziges Schema zusammengefasst werden, desto größer sind die Vorteile der zentralen Administration innerhalb seiner Grenzen. Allerdings steigen mit zunehmender Anzahl domains auch die organisatorischen Schwierigkeiten, da sich alle Beteiligten auf eine gemeinsame Darstellung einigen müssen. Besteht ein Änderungsbedarf, müssen alle Beteiligten dem veränderten Schema zustimmen bzw. die Kompetenz in ein eigens dafür eingerichtetes Gremium, die „Schemakoordinierungsstelle“, legen. Innerhalb eines Schemas gibt es unterschiedliche Modelle für die Verzeichnisstruktur (s. Abb. 1).

Die Modelle unterscheiden sich vor allem hinsichtlich des Aufwands der zentralen Administration, im Umfang des Replikationsverkehrs zum Austausch der Informationen zwischen den domains und den Hardware-Anforderungen an die Server. Die für die individuellen Randbedingungen optimale Lösung muss sorgfältig ausgewählt werden, da nachträgliche Änderungen nur schwer durchführbar sind.

Zusammengefasst lässt sich für die Sparkassen-Finanzgruppe empfehlen, die AD-Schemata in ihren Ausmaßen und Schemagrenzen so zu definieren, dass sich alle Institute bzw. Niederlassungen, die zu einem Betreuungsgebiet gehören, in einem einzigen Schema wiederfinden. Die Schemagrenze entspricht damit dem heutigen Betreuungsgebiet eines Verbandsrechenzentrums einschließlich aller angeschlossenen Institute oder einer Landesbank einschließlich sämtlicher angeschlossenen Niederlassungen. Die optimale Verzeichnisstruktur innerhalb des Schemas (Single Domain, Tree oder Forest muss unter den jeweiligen individuellen Randbedingungen festgelegt werden. In der Studie hat sich der Tree als vorteilhaft erwiesen.

Ist Active Directory als Meta-Verzeichnis geeignet?

Organisationen, die ihre Betriebssysteme von Windows NT 4.0 auf Windows 2000 umstellen, werden möglicherweise auch Active Directory nutzen. Für sie stellt sich die Frage, ob AD, allein oder ergänzt durch die Microsoft Metadirectory Services, als umfassender Meta-Verzeichnisdienst eingesetzt werden kann. Deren wesentliche Merkmale sind:

Microsoft bietet zwar Werkzeuge und eine LDAP-Schnittstelle zum Abgleich mit einigen Verzeichnisdiensten sowie mit Unix an. Damit wird AD aber noch nicht zu einem Meta-Verzeichnisdienst. Dafür hat Microsoft ein anderes Produkt, Microsoft Metadirectory Services (MMS), vorgesehen.

MMS verfügt redundant über solche Daten, die der Meta-Verzeichnisdienst nach einem definierten Regelsatz über Konnektoren von den angeschlossenen Verzeichnissen gesammelt hat. MMS verwendet intern weiterhin den von der Firma Zoom entwickelten Verzeichnisdienst nach X.500-Standard. Er ist auf zwei Gigabyte limitiert und aus diesem Grund für den übergreifenden Einsatz in der Sparkassen-Finanzgruppe derzeit nicht zu empfehlen. Sobald die Version 3.0 der MMS auf den Markt kommt, empfiehlt das SIZ eine erneute Untersuchung und einen Vergleich mit anderen Meta-Verzeichnisdiensten. Um mehrere Forests untereinander zu synchronisieren, sollte der „Microsoft Metadirectory Services - Interforest Toolkit‘, eine spezielle Version der MMS, untersucht werden.

DDNS - Fragen der Koexistenz

Windows 2000 liefert unter der Bezeichnung DDNS („Dynamic Domain Name System“) eine moderne Implementierung des Domain Name System (DNS). Es verwendet DNS als allgemeinen Dienst, um Internet-Namen aufzulösen. Namen werden dabei in IP-Adressen umgewandelt. Daneben dient DNS dem Auffinden von Diensten und Servern. DDNS tritt damit an die Stelle von WINS („Windows Internet Naming Service“) in NT 4.0 und übernimmt künftig noch weitere Funktionen.

Unerheblich ist dabei, ob die DNS-Dienste von dem in Windows-2000-Servern integrierten Tool erbracht werden oder von DNS-Servern anderer Hersteller. In der Praxis muss aber sehr sorgfältig geprüft werden, wie das Microsoft-DNS mit Produkten anderer Hersteller harmoniert. Als Ergebnis der Untersuchung empfiehlt das SIZ in einem reinen Windows- 2000-Umfeld, die AD-integrierte DDNS-Variante zu implementieren. Der gemischte DNS-Betrieb auf Unix- und Windows 2000-Basis ist ebenfalls möglich, jedoch an bestimmte Rahmenbedingungen geknüpft. Falls anstelle des DDNS ein Berkeley Internet Name Domain - DNS (BIND-DNS) eingesetzt werden soll, empfiehlt es sich, nur Bind-Versionen ab 8.2.3 zu verwenden.

Bankfachlicher Aspekt

Active Directory spielt seine Stärken somit in der Administration von Windows-2000-domains aus. Allein dieser Aspekt liefert nach aktuellen Analysen der Marktforscher von Giga einen Return on Investment (ROl) von 18 Monaten. Wie sieht es jedoch mit dem eher fachlich geprägten Nutzen aus? Ist es sinnvoll, auf Active Directory als unternehmensweiten Verzeichnisdienst zu setzen?

Die wichtigsten Vorzüge eines unternehmensweiten Verzeichnisdienstes sind im Folgenden aufgelistet und treffen mit gewissen Einschränkungen auch für AD zu:

Grundlage für größtmöglichen Nutzen von Kauf- oder eigenentwickelten Anwendungen, die auf Verzeichnisdienste aufsetzen.

Diese potenziellen Vorteile lassen sich jedoch nicht wie erhofft umsetzen. Im Laufe des vergangenen Jahres hat sich nicht nur bei der Sparkassen-Finanzgruppe eine gewisse Ernüchterung breit gemacht. Aktuelle Untersuchungen belegen, dass weltweit nur ein Drittel aller Windows-2000-Server die Vorteile von Active Directory nutzen. Darüber hinaus erlitten verschiedene Unternehmen bereits „Schiffbruch“, die leichtfertig eine zu groß angelegte, unternehmensweite Einführung von Active Directory begonnen hatten. Unterschätzt wird typischerweise die Bedeutung einer vorangehenden Planungsphase, das notwendige Spezialwissen und der zusätzliche Bedarf an Netzwerkbandbreite für den Replikationsverkehr. Aus diesen Gründen gibt es bis heute weltweit nur wenige Unternehmen, die Active Directory einsetzen und das oben geschilderte zusätzliche Nutzungspotenzial ausschöpfen.

Kosten von Active Directory

Grundlage der durchgeführten groben Kostenanalyse ist die abgeschlossene Implementierung von Active Directory bei der Siemens AG. Mit der weltweiten Vernetzung aller Niederlassungen und den über 300 000 Arbeitsplätzen sind die bei Siemens gestellten Anforderungen denen der Sparkassen-Finanzgruppe vergleichbar.

Das Ergebnis ist in Abbildung 2 illustriert. Die Personalkosten sind dabei ein entscheidender Kostenfaktor. Neben der Anzahl der beteiligten Mitarbeiter spielt die erforderliche hohe Qualifikation für AD, die bisher am Markt noch nicht stark ausgeprägt ist, eine große Rolle. Zu etwa einem Drittel schlagen die zusätzlichen Hardware- und Software-Kosten zu Buche, die für die zentrale Steuerung des gesamten Verzeichnisschemas benötigt werden.

Die Analyse enthält zwei Modelle:

>

Die jährlichen Kosten für den zentralen Betrieb wurden auf insgesamt rund 4 Mio. Euro geschätzt, wogegen die jährlichen Kosten für den dezentralen Betrieb sich insgesamt auf etwa 12 Mio. Euro belaufen dürften. Als Ergebnis bleibt deshalb festzuhalten: Je zentraler das Active Directory organisiert ist, desto kostengünstiger werden Einführung und Betrieb. Neben dem Kosten-Faktor müssen allerdings technische und organisatorische Faktoren für eine Entscheidungsfindung mit herangezogen werden.

Empfehlung

Parallel zum Trend zu Kooperationen und Fusionen innerhalb der Sparkassen-Finanzgruppe ist eine stärkere Zusammenarbeit der Informatikunternehmen unterhalb der Fusionsschwelle zu erwarten. Eine darauf ausgerichtete Active-Directory-Struktur mit einem einheitlichen Schema begünstigt eine künftige gemeinsame Entwicklung. Inkompatible Active-Directory-Strukturen mit unterschiedlichen Schemata behindern hingegen eine Zusammenarbeit und können zu hohem Integrationsaufwand führen.

Werden der mittelfristige Nutzen, die kurzfristige Umsetzbarkeit sowie die wirtschaftlichen Faktoren abgewogen, empfiehlt das SIZ, umgehend eine Active Directory-Struktur aufzubauen, die zumindest den heutigen Betreuungsgebieten in der Sparkassen-Finanzgruppe entspricht.

Sinnvolle Administrationseinheiten sind:

Notwendig ist beim Active Directory erstmals, das Schema mittels der so genannten Schemakoordinierungsstelle dauerhaft zusammenzuhalten. Derzeit erarbeitet das SIZ in einem Folgeprojekt eine Konzeption für Aufbau und Funktionsweise dieses Gremiums.

[1] Jörg Kandels und Michael Rogulla sind Produktmanager im Ressort Grundlagen im Informatikzentrum der Sparkassenorganisation (SlZ) in Bonn.

[2] Dr. Horst Walther ist Geschäftsführer der SiG Software Integration GmbH in Hamburg

Horst Walther, Hamburg