Novell zu Active Directory Migration
Aufwand und Komplexität sollten nicht unterschätzt werden
Novell und eDirectory sind noch immer bei einigen Unternehmen im Einsatz. Im Bereich der Netzwerkbetriebssysteme war Novell viele Jahre Marktführer, verlor jedoch seit der Einführung von Microsofts Windows 2000 mit Active Directory an Bedeutung.
Unternehmen lösen sich nun durch eine Migration von den Novell-eigenen OES-Diensten File und Print und auch eDirectory. Eine gewachsene und hochintegrierte Novell Netzwerkbetriebssystemumgebung auf eine Microsoft Netzwerk umzustellen ist eine komplexe Aufgabe.
Herausforderungen Novell Migration
Die Umstellung der einzelnen Dienste bei einer Migration von eDirectory nach Active Directory ist häufig die schwierigste Aufgabe.
Mit dem Wechsel des Directory Service wird auch die „Security-Infrastruktur“ ausgewechselt: jedes Objekt im Netzwerk erhält neben dem Directory-Eintrag auch eine neue Security-Identifikation.
Ab einer gewissen Größenordnung ist eine „Big-Bang“-Umstellung nicht mehr möglich oder sinnvoll. Jeder Dienst, welcher vom eDirectory abhängig ist, muss dann separat auf das Active Directory portiert und umgestellt werden.
Relevante Dienste bei einer Novell Umstellung
• Novell eDirectory
• Novell File Services
• Novell Client Integration / Login-Skripte
• Novell Print Services
• Novell Mail Services (GroupWise)
• Novell Desktop Management Services (ZEN und ZCM)
• Novell/netIQ IDM
• LDAP-Anwendungen
File Services und Client Integration
Auch die Bereich File Services und Client Integration stellen eine Herausforderung dar.
Novell verfügt im File Service Bereich über beliebte Funktionen, die bei Microsoft nur eingeschränkt oder mit mehr Aufwand umzusetzen sind.
Ein Beispiel ist die Möglichkeit des Verzeichnisdurchschreitens.
In einem reinen Novell-Umfeld nutzen viele Anwender bei der Client-Integration die DLU (Dynamic Local User) Funktion. Ist das der Fall, müssen die Clients in das AD aufgenommen und deren lokale Profile mit dem AD-Konto berechtigt werden. Ansonsten würde ein Anwender nach der Migration ein leeres bzw. neues Profil erhalten.
Neben der technischen besteht häufig auch eine „kulturelle“ Herausforderung, da man das Netzwerkbetriebssystem oft gegen den eigenen Willen wechseln muss.
Projektplanung Novell Integration
Die Projektplanung bei einer Novell Migration spielt eine entscheidende Rolle. Eine derartige Umstellung hat Auswirkung auf nahezu alle Arbeitsplätze (Austausch der SID), Anwendungen und Dienste.
Ab einer gewissen Größenordnung ist eine schrittweise Migration notwendig.
Aufgrund unserer langjährigen Erfahrung in diesem Bereich können wir mögliche Fallstricke einer solchen Umstellung frühzeitig erkennen. Unser Projektmanagement verfügt über umfangreiche Projekt-, Fach- und Kommunikationskompetenz, um die Auswirkungen und Einschränkungen während der Migration für die Anwender und das Unternehmen gering zu halten.
Novell Client Migration
In vielen Unternehmen wird die DLU (Dynamic Local User) Funktion für Arbeitsplätze unter Windows genutzt. Hierdurch erhält der Anwender dynamisch einen lokalen Benutzer und ein lokales Profil auf dem Endgerät.
Bei einer Novell zu AD Migration ist es notwendig, dass der Arbeitsplatz in die neue Active Directory Domäne aufgenommen wird. Während dieses Prozesses ist es notwendig, dass alle SIDs auf die Domänen-SID umgeschrieben werden. Dieser Vorgang des „ReACLing“ dauert je nach Workstation-Inhalt und eingesetztem Migrationswerkzeug in der Regel zwischen wenigen Minuten und einer halben Stunde.
Da vielen Anwendern die Möglichkeit des „ReACLings“ nicht bekannt ist, werden sie nach einem „join“ häufig mit einem neuen Profil versorgt. In größeren Umgebungen ist dies kritisch, da der Supportaufwand für jeden Anwender erheblich ist.
Grundsätzlich gibt es eine Reihe von Migrationswerkzeugen, die dieses Problem umgehen.
QMM (Quest): Der QMM verfügt nach unseren Erfahrungen über die besten Funktionen. Der Einsatz verlangt jedoch sorgfältige Vorbereitungen.
ADMT (Microsoft): Für Umfelder geeignet, in denen für die eDirectory nach AD Migration der netIQ IDM im Einsatz ist. Normalerweise ist ADMT für eine Domain nach Domain Migration entwickelt worden. Durch einige Tricks und Einstellungen kann dieses Werkzeug jedoch auch für die Workstation-Migrationen von eDirectory nach Microsoft Active Directory genutzt werden.
Hier finden Sie einen Vergleich von ADMT und QMM.
Sollte sich der Client vor der Migration bereits in der AD befinden, sind in diesem Bereich meist nur Anpassungen notwendig.
Novell File System Migration
Die Umstellung eines Novell File Systems auf ein Microsoft File System mit Active Directory stellt eine weitere Herausforderung dar. Das Novell File System hat einige Funktionen, welche sich nicht 1:1 auf ein Microsoft basierendes File System, wie beispielsweise ein NetApp System, umsetzen lassen.
In diesem Bericht werden Herausforderungen der unterschiedlichen Funktionen verdeutlicht, auf die wir in verschiedenen Migrationsprojekten gestoßen sind. Unsere Entwicklungsabteilung hat daraufhin Lösungen für den Anwender geschaffen.
Vergabe von Berechtigungen auf Verzeichnisebene
Bei Novell ist es möglich, Berechtigungen auf Verzeichnisebene zu vergeben. In einem Microsoft basierten File System muss eine Berechtigung jedoch auch auf den übergeordneten Verzeichnissen vorhaben sein. Dies vor der Migration sicher zu stellen, stellt die Administratoren vor eine fast unlösbare Aufgabe. Um die Ansehnlichkeit wie bei Novell umsetzten zu können, ist darüber hinaus noch ABE (Access Based Enumeration) notwendig.
Unser intelligenter Service TraversFolderService) sorgt dafür, dass der Anwender an der richtigen Stelle das „Durchschreitungs- und Sichtrecht“ erhält. Somit können handelsübliche Migrationswerkzeuge eingesetzt werden. Der Service eignet sich auch sehr gut in normalen Microsoft Umfeldern, da er die Logik der Berechtigungsvergabe im File-Systemen erheblich erleichtert. Im Prinzip funktioniert dann alles ähnlich wie bei einem Novell System: der Anwender wird in die AD-Berechtigungsgruppe aufgenommen und der Rest regelt sich von „selbst“. Selbst beim Ausfall des Services funktioniert alles weiter.
Vergabe von Berechtigungen auf Organisationseinheiten
Novell ermöglicht eine Vergabe von Berechtigungen im File-System auch auf Organisationseinheiten. Dies ist zwar auch mit den neueren File-Systemen von Microsoft (DAC-Dynamic Access Control) möglich, jedoch sind die Anforderungen an die Infrastruktur und die Client-Umgebung noch sehr umfangreich.
Um diese hohen Anforderungen zu umgehen, nutzen wir häufig unseren DynamicGroup-Service. Hierbei handelt es sich um einen Service, der auf Basis von speziellen Filtern und Regeln dynamisch Berechtigungsgruppen bilden kann.
Fazit
Der Auslöser für eine Novell Migration ist im Wesentlichen Anwendungskompatibilität:
- Systeme wie beispielsweise File-Systeme, Print-Systeme und Softwareverteilungs-Systeme haben im Novell-Umfeld nur eine eingeschränkte Funktionalität.
- Im Bereich CITRIX und Terminalserver ist eine Unterstützung mit aktuellen Softwareversionen häufig nicht gegeben.
Diese Einschränkungen veranlassen viele Unternehmen sich ihrer bestehenden Novell OES Landschaft mit eDirectory zu entledigen.
Der Aufwand und die Komplexität eines solchen Projektes sollte nicht unterschätzt werden. In der Regel handelt es sich um Projekte, für die bei mehr als 1.000 Anwendern schnell ein Jahr Laufzeit veranschlagt werden sollte.
Weitere Infos
Sie haben Fragen zu einer Novell Migration? Sehr gerne helfen wir Ihnen weiter und freuen uns über Ihren Anruf oder Ihre Email!