Header-Leuchtturm

Telefon  +49 6126 710 796 0

Novell Migration zu Active Directory

Novell und eDirectory sind heute noch bei vielen Unternehmen im Einsatz. Im Bereich der Netzwerkbetriebssysteme war Novell viele Jahre Marktführer. Mit der Einführung von Microsofts Windows NT 3.51 und später Windows2000 mit Active Directory verlor Novell immer mehr an Bedeutung im Netzwerkbetriebssystemmarkt.

Heute verwenden nur noch wenige Unternehmen die Novell eigenen OES Dienste File und Print. Viele Unternehmen gehen den Schritt und lösen ihre Systeme mit einer Novell Migration ab. Eine gewachsene und hochintegrierte Novell Netzwerkbetriebssystemumgebung auf eine Microsoft Netzwerk umzustellen ist eine komplexe Aufgabe.

Der Artikel gliedert sich in:
Herausforderungen der Novell Migration
Projektplanung
Novell Client Migration

Novell Files System Migration

Fazit


Herausforderungen Novell Migration

Die Umstellung von eDirectory auf Active Directory wird häufig für die schwierigste Aufgabe gehalten. Die Gesamtmigration ist zwar von der Directory Umstellung abhängig, jedoch stellt die Umstellung der einzelnen Dienste die größte Herausforderung dar.
Mit dem Wechsel des Directory Service wird auch die "Security-Infrastruktur" ausgewechselt. Das bedeutet, dass jedes Objekt im Netzwerk, neben dem Directory-Eintrag, eine neue Security-Identifikation erhält.
Ab einer gewissen Größenordnung ist eine "Big-Bang"-Umstellung nicht mehr möglich oder sinnvoll. Jeder Dienst, welcher vom eDirectory abhängig ist, muss separat auf das Active Directory portiert und umgestellt werden.

Dienste, die bei einer Novell Umstellung genauer betrachtet werden sollten:

• Novell eDirectory
• Novell File Services
• Novell Client Integration / Login-Skripte
• Novell Print Services
• Novell Mail Services (GroupWise)
• Novell Desktop Management Services (ZEN und ZCM)
• Novell/netIQ IDM
• LDAP-Anwendungen


Herausforderung File Services und Client Integration

Neben dem eDirectory besteht im Bereich File Services und Client Integration die größte Herausforderung.
Novell verfügt im File Service Bereich gern genutzte Funktionen, die bei Microsoft nur eingeschränkt oder mit mehr Aufwand umzusetzen sind.
Beispielsweise sei hier die Möglichkeit des Verzeichnisdurchschreitens erwähnt.

Bei der Client-Integration nutzen viele Anwender in einem reinen Novell-Umfeld die DLU (Dynamic Local User) Funktionalität. Wird diese Funktion genutzt, besteht die Aufgabe die Clients in die AD aufzunehmen und deren lokale Profile mit dem AD-Konto zu berechtigen. Ansonsten würde ein Anwender nach der Migration ein leeres bzw. neues Profil erhalten, was sicherlich keinem Anwender schmeckt.
Neben den technischen besteht häufig auch eine gewisse "kulturelle" Herausforderung, da man zwar das Netzwerkbetriebssystem wechseln muss aber nicht unbedingt wechseln will.

 

Projektplanung Novell Migration

Die Projektplanung bei einer Novell Migration spielt eine entscheidende Rolle. Eine derartige Umstellung hat Auswirkung auf nahezu alle Arbeitsplätze (Austausch der SID), Anwendungen und Dienste.
Ab einer gewissen Größenordnung ist eine schrittweise Migration notwendig. Langjährige Erfahrungen in diesem Bereich sind unbedingt erforderlich, um die Fallstricke einer solchen Umstellung frühzeitig zu erkennen. Das Projektmanagement sollte über genügend Projekt-, Fach- und Kommunikations-kompetenz verfügen, um die Auswirkungen und Einschränkungen während der Migration für die Anwender und das Unternehmen gering zu halten.

 

Novell Client Migration

In vielen Unternehmen wird die DLU Funktion (Dynamic Local User) für die Arbeitsplätze unter Windows genutzt. Hierdurch erhält der Anwender dynamisch einen lokalen Benutzer und ein lokales Profil auf dem Endgerät.
Bei einer Novell zu AD Migration ist es notwendig, dass der Arbeitsplatz in die neue Active Directory Domäne aufgenommen werden muss. Während des Aufnahmeprozesses ins AD ist es notwendig, dass alle SIDs auf die Domänen-SID umgeschrieben werden müssen. Wir nennen diesen Vorgang "ReACLing". Dieser Vorgang dauert je nach Inhalt der Workstation und eingesetztes Migrationswerkzeug zwischen wenigen Minuten bis zu einer halben Stunde. Im Ausnahmefällen auch länger.
Da vielen Anwendern die Möglichkeit des "ReACLings" nicht bekannt ist, werden häufig die Anwender nach einem "join" mit einem neuen Profile versorgt. In größeren Umgebungen ist dieses kritisch, da der Supportaufwand für jeden Anwender bei dieser Art der Umstellung nicht unerheblich ist.
Grundsätzlich gibt es eine Reihe von Migrationswerkzeugen, die dieses Manko umgehen. An erster Stelle ist hier sicherlich der QMM für Novell von Quest zu erwähnen, welcher nach unseren Erfahrungen über die funktionellsten Funktionen verfügt. Dennoch ist auch mit dem QMM eine solche Umstellung nicht unkritisch, da eine sorgfältige Vorbereitung notwendig ist.
In Umfeldern, wo für die eDirectory nach AD Migration auch der netIQ IDM im Einsatz ist, kann auch das Microsoft eigene Migrationswerkzeug ADMT eingesetzt werden. Jedoch sollte den Durchführenden der technische Ablauf in diesem Fall genau bekannt sein. Normalerweise ist ADMT für eine Domain nach Domain Migration entwickelt worden. Durch einige Tricks und Einstellungen kann dieses Werkzeug auch für die Workstation-Migration von Novell eDirectory auf Microsoft Active Directory genutzt werden. Es bietet sich im Vorfeld an ADMT und QMM zu vergleichen.
Sollte sich vor der Migration der Client bereits in der AD befinden, sind in der Regel in diesem Bereich nur Anpassungen notwendig.

 

Novell File System Migration

Die Umstellung eines Novell File Systems auf ein Microsoft File System mit Active Directory stellt neben der Endgerätemigration eine besondere Herausforderung dar. Das Novell File System hat einige Funktionen und Möglichkeiten, welche sich nicht 1:1 auf eine Microsoft basierendes File System, wie beispielsweise ein NetApp System, umsetzen lassen.
In diesem Bericht soll keine Bewertung der unterschiedlichen Funktionen vorgenommen, sondern vielmehr die Herausforderungen verdeutlicht werden.
Da wir ähnliche Herausforderungen in unterschiedlichen Migrationsprojekten hatten, haben wir für einige dieser Probleme unsere Entwicklungsabteilung aktiviert, um hier für den Anwender Lösungen zu schaffen.


Herausforderung Berechtigungsvergabe

Eine der Besonderheiten des Novell File System ist es, das ich einfach auf einer Verzeichnisebene einem Anwender eine Berechtigung vergeben kann und der Weg dorthin für den Anwender sichtbar ist.

In einem Microsoft basierten File System muss ich eine Berechtigung auf den übergeordneten Verzeichnissen haben. Damit dieses auch in aller Schönheit, wie bei Novell funktioniert, ist darüber hinaus noch ABE (Access Based Enumeration) notwendig.

Dieses zu organisieren stellt die Administratoren vor eine fast unlösbare Aufgabe. Es muss vor der Migration irgendwie organisiert werden, dass der Anwender auf den übergeordneten Verzeichnisebenen die notwendige Berechtigung erhält.
Wir haben hierfür einen intelligenten Service (TraversFolderService) entwickelt, der dafür sorgt, dass der Anwender an der richtigen Stelle das "Durchschreitungs- und Sichtrecht" erhält. Somit können handelsübliche Migrationswerkzeuge eingesetzt werden. Der Service eignet sich auch sehr gut in normalen Microsoft Umfeldern, da er die Logik der Berechtigungsvergabe im File-Systemen erheblich erleichtert. Im Prinzip funktioniert dann alles ähnlich wie bei einem Novell System. Ich nehme einfach den Anwender in die AD-Berechtigungsgruppe auf und der Rest regelt sich von "selbst". Selbst beim Ausfall des Services funktioniert alles weiter.

Die zweite "schöne Möglichkeit" bei Novell ist, dass Berechtigungen im File-System auch auf Organisationseinheiten vergeben werden können. Dieses ist zwar auch mit den neueren File-Systemen von Microsoft (DAC-Dynamic Access Control) auch möglich, jedoch sind heute die Anforderungen an die Infrastruktur und die Client-Umgebung noch sehr umfangreich.

Um die hohen Anforderungen von DAC zu umgehen und dem Anwender eine Lösungsmöglichkeit zu geben, nutzen wir häufig unseren DynamicGroup-Service. Hierbei handelt es sich um einen Service, welcher auf Basis von speziellen Filtern und Regeln dynamisch Berechtigungsgruppen bilden kann.
Beide angesprochenen Herausforderungen der Novell Funktionen bei der Umsetzung würden einer reinen Microsoft Umgebung auch gut stehen.

 

Fazit

Der Auslöser für eine Novell Migration ist im Wesentlichen Anwendungskompatibilität. Viele Systeme, wie beispielsweise File-Systeme, Print-Systeme, Softwareverteilungs-Systeme haben im Novell-Umfeld nur eine eingeschränkte Funktionalität. Im Bereich CITRIX und Terminalserver ist eine Unterstützung mit aktuellen Softwareversionen häufig nicht gegeben. Diese Einschränkungen veranlassen viele Unternehmen sich ihrer bestehenden Novell OES Landschaft mit eDirectory zu entledigen.
Der Aufwand und die Komplexität eines solchen Projektes sollte nicht unterschätzt werden. In der Regel handelt es sich um ein Projekt, dass bei mehr als 1.000 Anwender schnell ein Jahr Laufzeit hat.

News

  • Active Directory Consulting Dortmund

    AD Consulting, Migration und Identity Management von Dortmund bis Bielefeld

    mehr...
  • Active Directory Inter-Forest-Migration mit ADMT

    Zusammenführung von User Accounts in Düsseldorf

    mehr...
  • File Migration bei Klinikum im Raum Nürnberg

    Konzeption und Einführung von DFS für Krankenhaus

    mehr...
  • AD Konsolidierung im Rhein-Main-Gebiet

    AD Migrationen mit Dell Migration Manager for Active Directory

    mehr...
  • Migration von Novell OES2 File Service

    Störungsfreie Novell Migration und DFS Einführung bei Versicherungsunternehmen.

    mehr...
  • 1.000 Postfächer pro Tag migrieren

    Mailbox-Massenmigration mit QMM for Exchange in Frankfurt

    mehr...
  • AD Konsolidierung und DFS Einführung in Hamburg

    Active Directory Consulting Projekt im Bankenumfeld.

    mehr...
  • Active Directory Migration mit ADMT

    Die FirstAttribute AG wurde als Spezialist für die Active Directory Migration und die Exchange Migration von einem Maschinenbauunternehmen aus dem Würzburger Raum beauftragt.

    mehr...
  • Active Directory Migration mit Quest Migration Manager

    Klinikverbund im Münchner Osten setzt auf das KnowHow der FirstAttribute AG für die Active Directory Migration und Exchange Migration.

    mehr...
  • Active Directory Migration mit mehr als 100.000 Objekten

    Die Spezialisten der FirstAttribute AG unterstützen einen der größten IT-Dienstleister aus der Chemieindustrie bei der Active Directory Migration.

    mehr...

©2016 FirstAttribute AG - Alle Rechte vorbehalten.

Realisierung Site Point GmbH

Impressum