NDS for NT компании Novell позволяет осуществлять интегрированное управление сетями NetWare и Windows NT.
ИТОГ ИСПЫТАНИЙ
NDS for NT
Если ваша организация использует обе операционные системы, NetWare и Windows NT, то как администратор вы наверняка хорошо себе представляете, насколько сложнее управлять такой смешанной средой. К примеру, если пользователям необходим доступ и к службам NT, и к службам NetWare, то администратору приходится создавать два бюджета - отдельно для каждой из них.
Если же информацию о пользователе необходимо изменить, то вы должны сделать это дважды - в базе данных NetWare Novell Directory Services (NDS) и в базе имен доменов NT (т. е. в соответствующих базах данных или каталогах, содержащих информацию о бюджетах пользователей для каждой из систем).
Эти сложности сказываются и на пользователях. К примеру, работающий в обеих системах пользователь должен входить в каждую из них отдельно. Во многих случаях администратору приходится поддерживать два различных набора имен и паролей.
Помимо дублирования бюджетов смешанная среда также предполагает, что управление серверами и службами осуществляется в соответствии с двумя различными наборами правил и инструментальных средств в зависимости от того, в какой из двух сетей, NT или NetWare, вы работаете.
Отсутствие интеграции между NetWare и NT послужило причиной разработки нового поколения продуктов для сведения воедино информации об обеих сетях, благодаря которым администраторы смогут управлять смешанной сетью NetWare и NT из одной точки администрирования и избежать дублирования действий в каждой из систем.
Сейчас на рынке имеется три продукта такого рода: Synchronicity for NT компании NetVision, VIA компании Zoomit и NDS for NT компании Novell. Synchronicity реализует модель, аналогичную используемой в NDS for NT, в частности серверы и пользователи NT представляются в виде объектов в базе данных NDS.
В VIA реализован несколько иной подход. Вместо использования NDS в качестве основного каталога VIA реализует "метакаталог" для контроля над другими каталогами. С точки зрения иерархии каталог VIA располагается на самом верхнем уровне, над NDS в NetWare и над базой данных имен в NT.
Если вы хотите поближе познакомиться с VIA и Synchronicity for NT, читайте обзор Т. Хендерсона "Как связать службы каталога без узлов" в ноябрьском номере журнала LAN за прошлый год.
ПУТЬ NOVELL
NDS for NT работает на серверах, точнее, на основном контроллере домена (Primary Domain Controller, PDC), а также на резервных контроллерах (Backup Domain Controllers, BDC). Обычно, когда клиенту Windows NT необходимо получить доступ к информации или службе в домене NT, клиентская машина использует свою библиотеку samlib.dll для взаимодействия с серверной библиотекой samsrv.dll с помощью удаленного вызова процедур. Библиотека сервера NT, samsrv.dll, обращается затем к Security Accounts Manager (SAM) с базой имен доменов и исполняет запрос клиентской машины при условии, что контроллер доменов идентифицировал пользователя, а данный бюджет имеет надлежащие полномочия.
При установке NDS for NT инсталлирует на сервер NT службу IntranetWare Client for Windows NT и заменяет серверную библиотеку samsrv.dll на свою собственную версию. Новая версия samsrv.dll отвечает на запросы клиента NT, перенаправляя запрос в базу данных NDS через IntranetWare Client for Windows NT (см. Рисунок 1). Чтобы этот продукт работал, никакого программного обеспечения на клиенте NT устанавливать не нужно.
NDS for NT заменяет файл SAMSRV.DLL на контроллерах домена Windows NT на свою собственную версию этого файла, который передает запросы пользователей в NDS, в обход базы имен доменов NT.
Процесс установки NDS for NT не вызывает никаких сложностей. Однако если вы не знакомы с механизмом работы и организацией NDS, то лучше подготовиться заранее. Поставляемая с NetWare 4.11 (также известной под именем IntranetWare) документация объясняет механизм работы NDS и подробно описывает, как спланировать ее структуру.
NDS for NT поставляется на одном компакт-диске и устанавливается на PDC. Сразу после начала инсталляции NDS for NT удаляет Microsoft Client for NetWare (если он уже установлен) и заменяет его на службу IntranetWare Client for Windows NT. Затем она спрашивает разрешения на замену модуля аутентификации GINA (Graphical Identification and Authentication) в NT на службу аутентификации Novell.
После перезагрузки компьютера придется вновь зарегистрироваться на NT PDC, правда, окно регистрации будет выглядеть иначе. На этот раз вы увидите, что окно входа изменилось. Новое содержит пять закладок: Login, IntranetWare, Windows NT, Script и Variables. Оно позволяет указать, в каком из доменов NT, а также в каком дереве NetWare и на каком сервере вы будете регистрироваться. Кроме того, вы можете зарегистрироваться только в домене NT.
После входа в систему на экране появляется NDS for NT Domain Object Wizard. Данный эксперт помогает ввести информацию о домене NT в каталог NDS для той части сети, где используется NetWare. Эксперт потребует подтвердить ваши полномочия как администратора с полными административными правами на NDS и домен NT.
После регистрации как администратора процедура установки попросит указать, какому дереву NDS будет принадлежать домен NT, а также каков контекст NDS для создаваемого объекта типа "домен". Затем вам нужно указать контекст по умолчанию для новых объектов типа "пользователь".
Концепция деревьев и контекстов идет от NetWare. Если вы не знакомы с ней, то придется прочитать документацию по NetWare 4.11, прежде чем производить миграцию бюджетов NT.
Если пользователи NT уже имеют бюджеты NetWare в каталоге NDS, то Domain Object Wizard может отыскать бюджеты с совпадающими именами. После того как эксперт выдаст список соответствующих бюджетов, вы можете или разрешить объединить эти бюджеты, или отказаться от передачи бюджетов NT в NDS.
Наконец, эксперт позволяет создавать бюджет обслуживающего пользователя (service user) или администратора с правами администрирования новых объектов NT.
После завершения этого этапа Domain Object Wizard отображает окно со сводкой созданных объектов вместе с их местонахождением в дереве каталогов NDS (см. Рисунок 2).
После переноса с помощью Domain Object Wizard информации о бюджетах в NDS, окно со сводкой показывает, какие объекты созданы и где они находятся.
Как уже отмечалось выше, NDS for NT придется установить на все серверы BDC. В противном случае направленный BDC запрос не будет передан в NDS.
ПОСАДИ ДЕРЕВО
Компакт-диск с NDS for NT содержит также программу установки утилиты NetWare Administrator for NT компании Novell. Эту утилиту можно использовать для просмотра и управления объектами в каталоге NDS (с сервера NT). В процессе установки она будет сконфигурирована для работы на вашем сервере NT.
При запуске NetWare Administrator с сервера NT утилита отображает структуру дерева NDS (см. Рисунок 3). Как легко заметить, чисто внешне она очень похожа на обычную утилиту NetWare Administrator, хотя специально предназначена для работы с NT и NDS for NT. С ее помощью вы можете управлять серверами и пользователями, находящимися в каталоге NDS.
Утилита NetWare Administrator работает на контроллерах доменов Windows NT и является основным административным инструментом для NDS for NT.
Например, двойной щелчок на объекте типа "пользователь" приводит к отображению конфигурационного окна для этого пользователя, где вы можете выполнять широкий круг административных задач: например, редактировать сценарии входа в систему, изменять ограничения на защиту, разрешать и запрещать доступ к домену NT и конфигурировать параметры пользователя в домене.
К сожалению, данная утилита не позволяет создавать объекты типа разделяемых файлов и приложений NT для пользователей. В связи с чем вам придется выполнить обычные процедуры NT на сервере. (Как сообщается, Novell работает над "заплаткой", чтобы администратор мог определять разделяемые объекты на серверах NT с помощью NetWare Administrator.) Однако в целом конфигурационное окно пользователя - мощное средство управления, и наиболее привлекательная сторона NDS for NT.
Установив NDS for NT и начав работу с ним, мы воспользовались NetWare Administrator для создания и конфигурации нового пользователя NT в NDS и предоставления пользовательскому бюджету доступа к домену NT. После создания пользователя мы обратились к User Manager в NT и убедились, что новый бюджет появился в базе имен доменов NT.
Затем мы вошли в сеть под именем этого пользователя из клиента Windows 3.11, введя имя пользователя и пароль, и получили доступ к домену NT. Кроме того, после удаления пользователя из NDS бюджет был удален и из User Manager.
Документация для NDS for NT утверждает, что вы можете по-прежнему использовать User Manager в NT для создания бюджетов пользователей, и они автоматически станут объектами базы данных NDS. Чтобы проверить данное утверждение, мы создали нового пользователя с помощью User Manager, и этот объект появился в базе данных NDS. Мы зарегистрировались из клиента Windows 3.11 и убедились, что все работает как надо. Кроме того, после удаления пользователя в User Manager соответствующие изменения были сделаны и в NDS.
После описанных маневров мы вышли из NT PDC, чтобы проверить, как служба NDS будет себя вести в этих обстоятельствах. Вначале мы зарегистрировались из клиента Windows, причем NDS подтвердила введенный бюджет и пароль. Кроме того, мы по-прежнему имели доступ к своим разделяемым файлам.
Затем мы создали несколько новых бюджетов пользователей в NDS с помощью NetWare Administrator на компьютере с операционной системой Windows 95 (данный ПК служил в качестве основной рабочей станции для администрирования NetWare). Когда мы попытались войти в качестве одного из новых пользователей, сеть не идентифицировала указанный бюджет.
После прочтения документации мы узнали, что для управления объектами NDS for NT утилиту NetWare Administrator for NT необходимо использовать на компьютере с NT, где работает служба IntranetWare Client for NT.
Поэтому, как бы странно это ни звучало, NDS for NT позволяет вам управлять смешанной сетью из одной точки, и эта точка - не что иное, как контроллер домена NT.
ХОЗЯИН ДОМЕНОВ
Помимо централизации администрирования сети NDS for NT также предназначена для упрощения управления пользователями домена NT. Как правило, сеть NT состоит из одного или нескольких доменов. Домен - это взаимосвязанное множество пользователей, компьютеров, серверов и служб помимо прочих ресурсов. Каждый домен имеет собственную базу данных с информацией о пользователях и ресурсах и существует независимо от других доменов в сети.
Поскольку каждый домен имеет свой каталог и действует независимо от других доменов, пользователь, когда ему необходим доступ к нескольким доменам, должен иметь пользовательский бюджет в каждом из этих доменов.
Очевидно, это означает дополнительную нагрузку на администратора сети. К примеру, пусть User - член Domain 1, но ему требуется доступ к службам и информации в Domain 3 и Domain 4, для чего понадобилось бы создавать бюджет пользователя в каждом из этих доменов. В результате, чтобы предоставить одному пользователю доступ к двум другим доменам, вы должны выполнить одну и ту же задачу - создать User - дважды. Однако Windows NT предлагает альтернативный способ решения этой задачи. Вместо того чтобы дважды, в Domain 3 и Domain 4, создавать одного и того же пользователя, вы можете установить "доверительные отношения" между тремя доменами. Доверительные отношения - отличительная особенность Windows NT. По существу при доверительных отношениях вы предоставляете право ("доверяете") пользователям одного домена обращаться к службам другого домена.
В нашем примере пользователю User, относящемуся к Domain 1, нужен доступ к Domain 3 и Domain 4. Чтобы предоставить пользователю такой доступ, вы можете с помощью контроллера Domain 3 сконфигурировать домен так, чтобы он доверял Domain 1.
Затем вы должны проделать то же самое и для Domain 4. Теперь оба, Domain 3 и Domain 4, доверяют Domain 1, т. е. User теперь может обращаться к службам в Domain 3 и Domain 4. Короче говоря, чтобы предоставить пользователю User доступ к трем доменам, вам необходимо определить два доверительных отношения.
NDS for NT существенно упрощает предоставление пользователям доступа к различным ресурсам и службам через домены NT. Просто запустив NetWare Administrator, выбрав нужного пользователя и воспользовавшись функцией Domain Access, вы можете указать, к каким доменам пользователь должен получить доступ.
Вдобавок, при необходимости изменить пользовательский бюджет в NT, вам придется внести изменения на соответствующем контроллере домена этого пользователя. С помощью NDS for NT вы можете проделать данную операцию на рабочей станции с NetWare Administrator for NT вне зависимости от того, к какому домену или доменам принадлежит пользователь.
ОТКЛЮЧЕНИЕ СЕТИ
Возникает единственный вопрос: как все будет работать, если что-то произойдет с той частью сети, которой управляет NetWare, и NT PDC не сможет получить доступ к NDS или любой из ее реплик?
Мы решили отключить сервер NetWare, чтобы выяснить, что же случится с доменами и пользователями NT. Поэтому, зарегистрировавшись как администратор с NT PDC, мы отключили сервер NetWare от сети.
На NT PDC, где в это время работал User Manager, мы не смогли получить доступ ни к одному из бюджетов пользователей в домене. Мы вышли из User Manager и запустили его вновь. Программа выдала сообщение Windows о том, что указанная сеть недоступна, и предложила выбрать другой домен для администрирования. При попытке выбрать домен, который мы включили в NDS, мы опять не смогли получить доступ, и приложение закрылось.
На клиенте Windows мы обнаружили, что все диски на сервере NT стали недоступны. Поэтому мы вышли из Windows, перезапустили операционную систему и попытались войти в сеть. Появившееся сообщение уведомило, что ни один из серверов не подтвердил указанный пароль, так что доступ в сеть мы не получили.
Далее мы перезапустили NT PDC (он был по-прежнему отключен от сети NetWare) с тем, чтобы проверить, может ли он работать так же, как работал до объединения с NDS. Ответ оказался отрицательным: клиент не смог зарегистрироваться в сети NT. Даже при регистрации в NT PDC с бюджетом администратора мы не смогли администрировать домен NT.
Эти эксперименты показывают, что после установки NDS for NT ваша сеть NT становится полностью зависимой от NDS. Вы не можете работать с серверами NT отдельно от NDS, как это было ранее. В результате серверы становятся частью сети NetWare. Чтобы вернуть сеть NT в исходное состояние, вам необходимо произвести деинсталляцию NDS for NT.
НАЗАД К NT
NDS for NT можно деинсталлировать двумя способами. Во-первых, вы можете деинсталлировать ее из NT PDC и вернуть домен в исходное состояние, соответствующее его состоянию до установки NDS for NT. В этом случае домен не обновляется, т. е. в него не вносится информация, добавленная во время использования NDS for NT.
Второй способ позволяет удалить NDS for NT, но занести в базу имен доменов NT информацию о новых объектах NDS, которые вы добавили в домен. отметим, что, если вы решили отказаться от переноса определенных объектов доменов NT в NDS во время установки NDS for NT, программа деинсталляции удалит эти объекты при выборе второго способа.
Кроме того, если вы деинсталлируете NDS for NT с резервных контроллеров домена, операция деинсталляции удаляет все файлы и информацию NDS for NT с этих серверов, в силу чего информацию в базе имен BDC придется ресинхронизировать с информацией в базе имен PDC.
Мы воспользовались первым способом, чтобы выяснить, действительно ли NDS for NT можно удалить так просто, как это описывает документация. Мы выполнили деинсталляцию с помощью Domain Object Wizard из группы программ в IntranetWare
на сервере NT. После перезагрузки сервера система по-прежнему воспроизводила окно регистрации NDS for NT, так что мы могли войти или в дерево NDS, или в домен NT, или в оба из них. Войдя на сервер NT, мы убедились, что база имен доменов вернулась в исходное состояние, и ни один из новых пользователей, созданных в NDS, не появился в User Manager.
Отметим, что утилита NetWare Administrator остается на сервере NT. Мы воспользовались ею для доступа к дереву NDS и обнаружили, что оно по-прежнему содержало созданные нами новые объекты пользователей.
Суммируя сказанное, отметим, что программа деинсталляции возвращает в исходное состояние базу имен доменов NT, но не NDS.
ЛЕС ДЛЯ ДЕРЕВЬЕВ
Последнее время Microsoft и Novell дебатируют друг с другом по поводу NDS for NT. Споры в основном касаются будущего службы каталогов для смешанных сетей NetWare и Windows NT. Основной вопрос в том, насколько разумно для компании объединять свои серверы NT с каталогом NetWare, когда Microsoft уже разрабатывает собственную службу каталогов для NT, названную Active Directory. Короче говоря, если вы управляете смешанной сетью с NT и NetWare, что лучше - использовать NDS for NT или обойтись без нее?
С чисто практической точки зрения NDS for NT - неплохая идея, причем она работает прямо сейчас. С помощью утилиты NetWare Administrator для Windows NT вы можете управлять многими, хотя и не всеми, аспектами бюджетов пользователей и бюджетов серверов для сетей NT и NetWare внутри одного каталога - NDS. Только одно это обстоятельство способно значительно упростить работу администраторов сетей, уже использующих обе системы.
Что касается дискуссии между Microsoft и Novell, при ближайшем рассмотрении некоторые аргументы сторон рассыпаются в прах. Сначала Microsoft отказывается от поддержки пользователей NT, уже установивших NDS for NT. Но затем компания идет на попятную и заявляет о поддержке использующих этот продукт потребителей, но только в тех случаях, когда вопросы связаны с кодом NT, созданным специалистами Microsoft.
Microsoft заявляет, что NDS for NT может воспрепятствовать обновлению серверов NT до версии NT 5.0. Но NDS for NT возвращает управление обратно Security Accounts Manager и базе данных имен доменов NT (с учетом или без учета изменений бюджетов, сделанных в NDS), в силу чего модернизация не должна вызывать проблем.
Что касается вопроса, насколько хорошим решением окажется Active Directory по сравнению с NDS for NT, то ответить на него можно будет лишь после появления Active Directory. Проблема на самом деле формулируется так: готовы ли вы ждать появления этой версии. Если да, то, возможно, стоит и повременить. Если же решение необходимо вам немедленно, обратите внимание на NDS for NT.
Ли Че - научный редактор Network Magazine. С ним можно связаться по адресу: lchae@mfi.com.
ИТОГ ИСПЫТАНИЙ
NDS for NT
Novell
Россия, 121059, Москва, 2-я Бережковская наб.,
гостиница "Рэдиссон-Славянская",
Америком офис 509, 7-095-941-8075, www.novell.ru.
Цель. Использование одной службы каталогов для управления смешанной сетевой средой NetWare и Windows NT.
Вопросы. Будет ли Microsoft поддерживать пользователей NT, установивших NDS for NT? Заменит ли Active Directory, выпуск которого Microsoft запланировала на конец 1998 - начало 1999 года, утилиту NDS for NT? Скажется ли использование этого продукта на возможности модернизации до NT 5.0?
Тестируемый продукт или реализация. NDS for NT компании Novell.
Альтернативные решения. Synchronicity for NT компании NetVision; VIA компании Zoomit.
Преимущества. NDS for NT компании Novell позволяет администрировать несколько доменов NT и серверов NetWare с одной административной консоли. Она упрощает предоставление пользователям доступа к нескольким доменам, а также избавляет от необходимости создавать лишние бюджеты для каждого домена или конфигурации и управлять доверительными отношениями. Единый доступ дает пользователям возможность обращаться к серверам и ресурсам NetWare и NT.
Недостатки. NT становится зависимой от NDS и NetWare в том, что касается обслуживания запросов пользователей. Если NDS не работает, то NT не может обслуживать пользователей. Вам придется потратить много времени на изучение и настройку, если вы недостаточно хорошо разбираетесь в работе сети NetWare и еще не используете сервер IntranetWare (NetWare 4.11). Кроме того, продукт стоит дорого.
Цена. NDS for NT предлагает схему оплаты в зависимости от числа лицензий. Версия для пяти пользователей стоит 345 долларов, версия на 10 пользователей - 680 долларов, на 25 пользователей - 1675 долларов, на 50 пользователей - 3300 долларов, на 100 пользователей - 6500 долларов, и на 250 пользователей - 16 250 долларов.