Служба каталога

Active Directory распространяется крайне медленно, но настойчивость Microsoft и поддержка LDAP могут изменить ситуацию

Прошло уже три года с момента появления Active Directory, но особой популярностью эта служба каталога, входящая в состав Windows 2000, пока похвалиться не может. Чтобы подтолкнуть процесс ее распространения, Microsoft использует агрессивную ценовую политику, детально проработанные рекомендации по внедрению и улучшает поддержку. А сразу после выпуска .Net Server 2003 корпорация собирается открыть еще один путь применения Active Directory - в качестве сервиса, не связанного с ОС (другими словами, этот компонент сможет работать и без контроллера домена). И тогда организации, доселе никак не решавшиеся развернуть службу каталога, наконец-то получат весомый аргумент для такого шага.

Корпорация International Data (Фреймингхем, шт. Массачусетс) недавно провела опрос, результаты которого свидетельствуют: из всех корпоративных структур, уже использующих Active Directory, только 36,4% подключили к ней все свои серверы; правда, еще 41% респондентов заявили, что собираются сделать это в ближайшие 12 месяцев (см. диаграмму).

Источник корпорация International Data                 

Однако со стратегией. Net корпорации Microsoft эту службу каталога увязывают лишь 8% менеджеров ИТ. Остальных же гораздо больше привлекает возможность сократить расходы на регулирование взаимоотношений с клиентами.

Изменить такие умонастроения Microsoft надеется с помощью AD/AM (Active Directory in Application Mode - Active Directory в режиме приложения), элемент, занимающий ключевое место в планах корпорации по продвижению своих платформ службы каталога в экстрасети и в пространство э-бизнеса.

В отличие от Active Directory, используемой для администрирования доменов и поэтому тесно привязанной к сетевой операционной системе Windows, служба AD/AM не входит в число сервисов ОС и может быть установлена вне контроллеров домена.

Как и в случае с “чистыми” каталогами LDAP, работа по администрированию домена и конкретного каталога AD/AM производится отдельно друг от друга. А то что данный компонент отделен от сервисов ОС, даст организациям возможность запускать сразу несколько его экземпляров на одном и том же сервере. При этом каждый экземпляр можно конфигурировать независимо от других. Так, для хранения прикладных данных, репликация которых требует интенсивного трафика, компания вполне может вместо Active Directory использовать AD/AM и тем самым избежать излишней нагрузки на сетевые ресурсы.

Microsoft обещает выпустить AD/AM сразу после выхода в свет своего Windows .Net Server, запланированного на первую половину следующего года.

Разработку AD/AM многие эксперты считают вынужденной мерой, вызванной неудачами с распространением полномасштабной службы Active Directory на некоторых рынках, включая экстрасети и комплексные приложения. Кроме того, после дебюта AD в Windows 2000 стало ясно, что менеджерам ИТ для работы с этой службой необходима серьезная переподготовка.

“Выпуская три года назад Windows 2000, мы знали, что на распространение этой ОС уйдет какое-то время, - вспоминает Майкл Стефенсон, ведущий производственный менеджер Microsoft, отвечающий за серверы Windows. - Однако оказалось, что при работе с Active Directory клиентам порой очень трудно связать все свои приложения с одной службой каталога. Им на помощь придет Active Directory in Application Mode, которая позволит вести отдельный каталог, тесно взаимодействующий с Active Directory. Они смогут развертывать службу каталога в двух режимах - стандартном и LDAP”.

И все же, по мнению некоторых аналитиков, прежде чем AD/AM начнет серьезно влиять на распространение и эффективность использования Active Directory, должно пройти какое-то время. “Если Microsoft оперативно выпустит свою новинку, проведет ее действенный маркетинг, снабдит всем необходимым инструментарием и документацией, то распространение Active Directory может пойти более активно, - считает Дан Блюм, аналитик корпорации The Burton Group (Мидвейл, шт. Юта). - AD/AM, в частности, упростит развертывание технологии Active Directory с приложениями, которые не слишком хорошо вписываются в доменную систему. При этом и сама Active Directory станет доступнее”.

Однако в нынешние суровые времена менеджерам ИТ приходится обращать внимание на более прозаичные вещи. Учитывая это, Microsoft постаралась сделать как можно более привлекательной цену Active Directory. Таким способом корпорация надеется подтолкнуть к переходу на свою службу каталога нынешних пользователей eDirectory фирмы Novell и Sun ONE Directory Server компании Sun Microsystems (ранее этот сервер каталога носил торговую марку iPlanet).

“Сегодня для многих организаций важную роль играет цена, а Microsoft предлагает свою службу каталога очень недорого, - говорит Блюм. - Active Directory можно получить за 2000 долл., тогда как при работе с системами Sun и Novell, стоит превысить порог в 200 000 записей, и вам тут же придется платить за каждого пользователя отдельно”.

Источник корпорация International Data                                                      

Именно привлекательная схема ценообразования подтолкнула к переходу на Active Directory BlueCross BlueShield of South Carolina (Колумбия, шт. Южная Каролина) - компанию, занимающуюся медицинским страхованием, Web-портал которой в 1999 г. получил сразу восемь наград за организацию самостоятельной работы клиентов с приложениями. В начале нынешнего года она осуществила переход с iPlanet Directory Server на службу каталога Microsoft.

Эта организация обслуживает около миллиона клиентов в Южной Каролине. Вместе со страховым полисом те получают возможность просматривать свою медицинскую информацию на Web-узле компании. Это, естественно, приводит к постоянному росту каталога, а в таких условиях стоимость лицензирования iPlanet Directory Server может подскочить до небес.

В феврале нынешнего года Брай Керри, директор развернутой в BlueCross системы .Net (которая, по ее словам, не имеет ничего общего с одноименным программным обеспечением Microsoft), начала искать альтернативу используемой службе каталога и в конце концов решила перейти на Windows 2000 с Active Directory. Это, по ее расчетам, должно было уберечь компанию от быстрого увеличения расходов в будущем.

Переход на новую службу каталога начался в мае и проводился с помощью системы управления идентификацией DirectorySmart фирмы OpenNetwork Technologies. К концу июня все работы были завершены, и теперь, когда пользователь подключается к Web-узлу BlueCross BlueShield of South Carolina, Web-серверы iPlanet сразу же обращаются к Active Directory.

Кроме цены, важную роль в решении о переходе на Active Directory сыграла ее совместимость с LDAP 3.0. Что же касается AD/AM, то Керри привлекает возможность устанавливать службу каталога без привязки к конкретной сетевой ОС, хотя доводы Microsoft ее пока полностью не убедили. На данный момент использование серверных продуктов линии .Net в планы компании не входит.

С другой стороны, организации могут воздержаться (по крайней мере на ближайшее время) от перехода на .Net и AD/AM из-за условий лицензирования Microsoft. Наглядным примером здесь служит фирма Edmunds.com (Санта-Моника, шт. Калифорния), которая в марте нынешнего года завершила развертывание Active Directory (в качестве службы каталога на базе сетевой ОС) и Microsoft Exchange 2000.

Как рассказал нам сетевой менеджер компании Оскар Меджиа, весь переход занял около шести недель и проводился на основании документации Microsoft с привлечением пакета программ Domain Migration Administrator корпорации NetIQ. Сейчас фирма применяет Active Directory в своей ЛВС, а функции LDAP, заложенные в Exchange 2000, собирается использовать для аутентификации пользователей своей интрасети. При регистрации в сети Edmunds.com имя пользователя и пароль не шифруются, поэтому для защиты процесса аутентификации здесь будет служить алгоритм Secure Socket Layer.

Ни на .Net Server 2003, ни на AD/AM Меджиа пока переходить не собирается, поскольку совсем недавно он оплатил лицензию на Windows 2000 в рамках предлагаемого Microsoft плана лицензирования Software Assurance. Его фирма хотя и проводит тестирование .Net Server, в течение ближайших двух лет будет вынуждена пользоваться Windows 2000 - таковы условия лицензии.

“Мы перешли на Active Directory и Exchange 2000 только в марте, и условия лицензирования этих продуктов делают развертывание .Net Server экономически невыгодным, - поясняет Меджиа. - Да и хочется, чтобы наши сотрудники сначала опробовали новинку”.

Многие менеджеры давно уже присматриваются к Active Directory, задаваясь вопросом: не приступить ли к развертыванию этой платформы сразу после выпуска Windows .Net Server? Эксперты считают, что торопиться не стоит. План перехода должен строиться с учетом темпов развертывания .Net Server и других систем, включая Exchange 2003, для работы которых необходима эта служба каталога.

Освоение Active Directory набирает скорость в организациях, совершающих переход на Exchange 2000. Взять хотя бы стадион Lambeau Field, существующий уже 43 года. В течение последних двух лет производится его реконструкция в рамках трехгодичного плана, затрагивающая среди прочего и техническую инфраструктуру. При этом планируется переход на платформу Exchange 2000, что и подтолкнуло руководство футбольного клуба Green Bay Packers из Национальной футбольной лиги США к развертыванию Active Directory.

При выборе технологии клубам приходится ориентироваться на используемые в лиге средства, чтобы обеспечить полную совместимость с ними. В прошлом году НФЛ объявила о своем намерении перейти на Microsoft .Net Framework и о реализации в этой связи Active Directory. В результате всем футбольным клубам, включая Packers, нужно было выбирать, идти ли им в ногу с головной организацией или создавать собственные системы, а затем проводить их репликацию с системой НФЛ.

Сейчас в центральном офисе используется среда Exchange 5.5, а в общедоступные папки глобального каталога можно вносить перекрестные ссылки о каждом служащем НФЛ и всех 32 футбольных клубов. После перехода на Exchange 2000 и Active Directory, как отметил директор информационных услуг Packers (Грин-Бей, шт. Висконсин) Уэйн Вичлаж, лига надеется реплицировать сходные среды и функции в более широких масштабах.

В настоящее время Вичлаж использует контроллеры доменов Windows NT 4.0, а Active Directory собирается развертывать ради таких функций, как единый вход в систему и аутентификация. Единый вход он намерен обеспечить для всех приложений сетевой ОС, однако должен ли при этом открываться и выход в интрасеть НФЛ, пока не решил.

Немаловажно и то, что Active Directory выпускается уже три года. За этот срок, как считают эксперты, технология обрела достаточную зрелость и вполне пригодна даже для тех организаций, которые не любят возиться с “сырыми” продуктами.

“Нам придется переходить на Active Directory. Если уж вы начали работать с каталогами Microsoft, от них никуда не деться, - признается Вичлаж. - В деловом мире просто нереально сразу бросаться на каждый новый продукт. В лучшем случае вы оказываетесь хотя бы на шаг позади”.

К UDDI да немножко бы LDAP

Совсем недавно казалось, будто LDAP - новость дня вчерашнего, однако сегодня эта спецификация вновь попала в центр внимания. Все объясняется просто: производители решили увязать ее со стандартом UDDI.

Этот стандарт, полное название которого звучит как Universal Description, Discovery and Integration (универсальное описание, обнаружение и интеграция), был разработан в 2000 г. такими маститыми производителями, как Ariba, IBM, Microsoft, Intel и SAP. Он предлагает средства описания Web-сервисов и интерфейсы, необходимые для взаимодействия бизнес-приложений через Интернет.

Со своей стороны, протокол LDAP обладает целым рядом достоинств: он, по оценкам специалистов, от нынешних стандартов Web-услуг отличается зрелостью, обеспечивает надежность, хорошо масштабируется и безопасен.

Начнем с области стандартизации. Здесь фирма Novell представила в группу IETF свое предложение, призванное формализовать роль LDAP в Web-сервисах за счет расширения LDAP-схемы для описания порядка представления данных UDDI в каталогах LDAP.

На производственном же фронте фирма Sun Microsystems предусмотрела в своем сервере Sun ONE Registry Server возможность хранения репозиториев UDDI в рамках каталогов LDAP.

По словам Алана Ньюджента, главного инженера Novell, его компания также вынашивает планы выпуска серверных продуктов UDDI. Они должны стать частью платформы eDirectory нового поколения, выпуск которой ожидается в следующем году. “Нельзя сказать, что на разработку полнофункциональной версии UDDI сегодня направлено много сил, - признается Ньюджент. - Однако по мере развития Web-сервисов эта спецификация приобретает все большее значение”.

И все же при том, что многие уверены в больших перспективах UDDI, мало кто рассматривает LDAP в качестве ключевого фактора для успеха этой технологии.

Например, отраслевые тяжеловесы IBM и Microsoft предлагают реализацию UDDI на основе своих реляционных баз данных. Так, IBM включила WebSphere UDDI Registry в СУБД DB2, а работа UDDI-сервера Microsoft, интегрированного в .Net Server, целиком и полностью зависит от SQL Server.

В будущем интеграция LDAP с UDDI станет одним из ключевых вопросов развития Web-сервисов. Пока же, как считают эксперты, эта проблема больше затрагивает производителей, разрабатывающих свои планы, чем менеджеров ИТ, которые развертывают внутренние реестры UDDI.

“Если корпорация всерьез занялась внутренней реализацией Web-сервисов, она не оставит без внимания и UDDI как средство обнаружения приложений, - считает Дан Блюм, аналитик корпорации The Burton Group (Мидвейл, шт. Юта). - Но сегодня при разработке современных Web-сервисов приходится применять так много заказных технологий, что вопрос включения UDDI в LDAP-каталог или базу данных оказывается где-то на периферии внимания”.