Службы Microsoft обеспечивают их мирное сосуществование с Win2K, но не миграцию
Генри Балтазар (PC Week Labs)
Пакеты Services for NetWare (SFN) и Services for Unix (SFU) корпорации Microsoft обладают функциями, позволяющими использовать серверы Windows 2000 параллельно с серверами под управлением Unix и сетевой ОС фирмы Novell. Однако они - отнюдь не лучшие средства для организаций, которые хотели бы полностью перейти с этих сетевых платформ на Windows.
Как подтвердили испытания в Тестовом центре PC Week Labs, последние выпуски бета-версий SFN 5.0 и SFU 2.0 успешно консолидируют функции управления ОС NetWare 5.0 и Unix в службе каталогов Microsoft Active Directory, превращая ее в единую административную консоль для всех трех сетевых ОС.
SFN 5.0 и SFU 2.0 предполагается выпустить примерно через три месяца после коммерческого выхода Windows 2000, состоявшегося 17 февраля. Прейскурантная стоимость групповой лицензии на SFN 5.0 составит $149, а SFU 2.0 будет продаваться из расчета $149 за один сервер.
Консолидация управления - важная и желанная цель каждого ИТ-администратора, однако следует понимать, что при этом возрастает ответственность за защищенность корпоративной сети.
SFU позволяет сосредоточить управление NIS в рамках Active Directory
SFN дает возможность управлять NDS и Active Directory с помощью единого интерфейса
Помимо единого управления SFN 5.0 и SFU 2.0 обеспечивают функции файловых служб для клиентов NetWare (используя bindery - эмуляцию системной базы данных этой сетевой ОС) и клиентов Unix. В последнем случае поддерживаются протоколы файловой системы NFS (Network File System).
Среди NFS-сервисов SFU 2.0 больше всего впечатляет шлюз Gateway for NFS, который позволяет Windows-клиентам пользоваться разделяемыми ресурсами NFS, экспортированными NFS-серверами Unix.
Правда, Microsoft реализовала эту функцию в довольно неуклюжей форме. Файлы, запрашиваемые у NFS Unix, пересылаются через сервер шлюза Windows 2000 - NFS и лишь затем доставляются клиенту. Поскольку в данном случае приходится обрабатывать огромные объемы транспортируемых данных, мы советуем ИТ-администраторам устанавливать такие шлюзы лишь на серверах с невысоким объемом трафика.
Наиболее полезна способность обоих пакетов дублировать пользовательскую учетную информацию из сетей Unix и NetWare и переносить ее в Active Directory.
Введя пользовательские регистрационные записи в Active Directory, мы могли управлять клиентами под Unix, NetWare и Windows 2000 с административной консоли Active Directory. Однако для Windows 2000 нет ни опций моделирования (modell ing), ни профилирования (profiling).
С точки зрения NetWare нам понравилось, что SFN 5.0 предоставляет две опции синхронизации. При их тестировании мы использовали мастер-функции консоли MSDSS (Microsoft Directory Synchronization Service). Пакет SFN 5.0 совместим с системными БД старых версий NetWare и со всеми существующими вариантами службы каталогов NDS (Novell Directory Services). В окончательной версии SFN 5.0 появится поддержка только что выпущенной NDS 8.
SFN 5.0 предусматривает несколько вариантов синхронизации каталогов. Эти процедуры состоят из сеансов разного масштаба - от структурного подразделения (OU, organizational unit) до группы объектов, что предоставляет ИТ-администраторам возможность гибкого управления процессом. SFN 5.0 поддерживает до 128 одновременных сеансов на одном сервере службы синхронизации MSDSS.
Для начала мы проверили способность SFN 5.0 осуществлять однонаправленную синхронизацию от Active Directory к каталогам NDS на сервере NetWare 5.0. С помощью MSDSS мы смогли перенести пользовательские регистрационные записи, созданные в Active Directory, в раздел дерева NDS, связанный с заданным структурным подразделением.
В этой модели, которую Microsoft именует “синхронизацией с отправкой” (forward synchronization), произведенные в Active Directory изменения дублируются в NDS, причем очень важно, что перенос пользовательской информации Active Directory не требует каких-либо расширений схемы NDS.
Данная опция пригодится компаниям, планирующим некоторое время сохранить NDS, но сделать так, чтобы права пользователей определялись в Active Directory и зеркально отображались в NDS.
Далее мы протестировали возможность осуществлять с помощью SFN 5.0 сеансы двунаправленной синхронизации. Эта опция позволяет ИТ-администраторам по своему выбору управлять правами всех пользователей как из NDS, так и из Active Directory. В любом случае добавления или изменения в пользовательских регистрационных записях отображаются в обоих каталогах.
Прежде чем начать двунаправленную синхронизацию, следует определить, какая информация должна дублироваться и в Active Directory, и в NDS и в какие области того и другого каталога она должна помещаться.
В MSDSS имеется утилита, позволяющая администраторам контролировать размещение атрибутов импортируемых объектов в схеме каталогов. Эта утилита очень важна, так как большинство приложений, работающих в среде NetWare, расширяет схему NDS, создавая дополнительные объекты и атрибуты, которые нужно вручную отображать в Active Directory.
У нас синхронизация каталогов никаких затруднений не вызвала; дублируемые данные разместились в обоих каталогах без изменений схемы; тем не менее администраторы при выполнении этой операции должны быть осторожны, поскольку небрежность при отображении объектов может привести к разрушению или потере важной информации.
Консолидация NIS
SFU 2.0 позволяет ИТ-администраторам связать Windows 2000 и Active Directory со службой NIS (Network Information System) среды Unix - распределенной базой данных, используемой для управления сетью Unix-клиентов.
В комплекте SFU 2.0 имеется NIS-сервер, и мы его инсталлировали на контроллер домена Windows 2000. Процедура настройки сервера оказалась довольно простой, после чего контроллер домена приобрел способность к аутентификации Linux- и Solaris-клиентов.
Используя мастер-функцию NIS to Active Directory Migration Wizard, мы смогли импортировать учетную информацию Unix-клиентов из локальных файлов паролей и исходных файлов NIS в Active Directory.
Одним из главных преимуществ консолидации управления является возможность двусторонней синхронизации паролей (учетные записи Unix и Windows 2000 могут иметь одни и те же пароли).
Однако прежде чем использовать подобную функцию, ИТ-администраторы должны согласовать политику для паролей в Windows и Unix, учитывая, что пароли в Unix-сетях подчинены более строгим правилам, чем в Windows. Например, они не должны совпадать со словарными единицами английского языка и имеют чувствительность к регистру букв. Когда мы попытались в нашей сети записать пароль в форме обычного слова, то сервер NIS, действующий на Linux-сервере, отказался его принять.
SFU 2.0, так же, как и SFN 5.0, позволяет управлять клиентами через административную консоль Active Directory (раздел User and Computer), и поэтому управление учетными записями можно сосредоточить в одном месте.
Унаследованные службы файлов
SFN 5.0, как и прошлые версии этого продукта, позволяет эмулировать системную базу данных NetWare, благодаря чему серверы под Windows 2000 могут выполнять функции файловых служб для унаследованных клиентов NetWare-сетей. Новинкой SFN 5.0 является средство переноса файлов, выбирающее файлы из томов NetWare и дублирующее их в файловых томах Windows 2000.
Настоятельно рекомендуем сетевым администраторам не использовать это средство до тех пор, пока они полностью не откажутся от применения NetWare для управления правами доступа. В противном случае для поддержания защиты администраторам придется управлять обеими ОС.
В SFU 2.0 входит сервер NFS, обеспечивающий функционирование служб файлов для Solaris- и Linux-клиентов.
С техническим аналитиком Генри Балтазаром можно связаться по адресу: henry_baltazar@zd.com.
Windows 2000Advance Server улучшает взаимодействие с платформой Mac
Выпустив Windows 2000 Advance Server, корпорация Microsoft продолжила линию на совместимость Macintosh-клиентов с серверами Windows NT, заложенную в NT-серверы начиная с версии 3.51, и ИТ-менеджеры по достоинству оценят простоту настройки межплатформного взаимодействия.
Windows 2000 Server поддерживает сетевой протокол AppleTalk, имеет службы FSM (File Server for Macintosh) для публикации разделяемых файлов и PSM (Print Server for Macintosh), обеспечивающую общий доступ пользователей Windows и Mac к сетевым принтерам. При испытаниях продукта в PC Week Labs надлежащая настройка сервера Windows 2000 гарантировала нам легкий доступ Mac-клиента к нему через обычное диалоговое окно Chooser.
Microsoft комплектует Windows 2000 Advance Server службами для Mac-клиентов и предлагает встроенный механизм автоматического разрешения соглашений о файловых именах Windows и Mac OS, благодаря которому пользователи обеих систем могут правильно читать на своих ПК имена файлов.
Хотя продукт предусматривает несложную трехступенчатую схему установки и настройки, хотелось бы иметь мастер-программу, превращающую ее в одну простую процедуру. В предлагаемой версии перед инсталляцией Mac-служб в Windows нужно сначала установить и сконфигурировать протокол AppleTalk, а затем файловые сервисы и поддержку службы сетевой печати для Mac.
AppleTalk без особого труда устанавливается из диалогового окна Network and Dial-Up Connections. Затем мы настроили маршрутизацию AppleTalk из консоли Routing and Remote Access, в результате чего Mac-клиенты стали видеть сервер Windows 2000.
После инсталляции AppleTalk мы установили серверы FSM и PSM с помощью мастера Windows Components и завели учетные записи пользователей Mac на сервере Windows 2000 аналогично тому, как ведутся записи для пользователей Windows. Поскольку FSM и PSM получают учетную информацию из службы каталогов Windows 2000, Mac-клиенты не смогут подключиться к этим серверам при отсутствии для них учетной записи на сервере Windows 2000.
Чтобы обеспечить защищенную аутентификацию Mac-пользователей, в папке Extensions каждого Mac-клиента должен быть установлен модуль UAM (user authentication module). Если это сделано, Mac-клиенты смогут использовать ту же схему аутентификации, что и Windows-клиенты, и таким образом административная поддержка упростится. Херб Бетони
Резюме для руководителей
Services for NetWare 5.0
Microsoft Services for NetWare 5.0 позволяет ИТ-администраторам синхронизировать клиентскую информацию, хранящуюся в Active Directory и в NDS. Предлагаемые Microsoft средства миграции вполне работоспособны, но не имеют таких важных функций, как моделирование и профилирование.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Освоение администраторами NetWare функций Active Directory взамен привычной NDS потребует немалых дополнительных затрат. Непростым окажется и планирование инфраструктуры каталогов - в итоге процесс миграции может занять от нескольких месяцев до года и даже больше.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. В дальнейшем Services for NetWare 5.0 позволит ИТ-менеджерам управлять правами пользователей на основе единого интерфейса, что сократит затраты на администрирование.
( + ) Консолидирует управление пользователями; помогает в переносе файлов.
( - ) Отсутствуют функции моделирования и профилирования.
Корпорация Microsoft, Редмонд, шт. Вашингтон, (800) 426-9400, www.microsoft.com.
Методика оценки: www.pcweek.com/reviews/meth.html.
Services for Unix 2.0
Microsoft Services for Unix 2.0 дает ИТ-администраторам возможность органично встроить серверы, работающие под Windows 2000, в Unix-сети. Входящий в состав пакета NIS-сервер можно использовать для аутентификации Solaris- и Linux-клиентов, а средства миграции позволяют серверам под Windows 2000 добавлять NIS-информацию непосредственно в Active Directory.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Unix-администраторам придется потратить немало времени на освоение новых интерфейсов Active Directory для управления пользователями. Потребуется серьезная организационная работа по оптимальному размещению NIS-серверов и обеспечению взаимного дублирования.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Services for Unix 2.0 позволит ИТ-администраторам легко управлять пользователями на основе единого интерфейса.
( + ) Хорошо интегрируется с NIS; консолидирует управление пользователями.
( - ) Неуклюжая реализация шлюза для NFS; отсутствуют функции моделирования и профилирования.
Корпорация Microsoft, Редмонд, шт. Вашингтон, (800) 426-9400, www.microsoft.com.
Методика оценки: www.pcweek.com/reviews/meth.html.
