Los directores de informática y muchos otros ejecutivos corporativos están interesados en conocer el futuro de los servicios de directorio porque desempeñan un papel importante en la infraestructura de los sistemas informáticos distribuidos modernos. El uso del Active Directory (AD) de Microsoft está creciendo, y las preguntas sobre la tecnología están aumentando. Gartner habló sobre los principales problemas con AD, incluidos el éxito de la aplicación, las dificultades comunes, la selección del tiempo, la estructura organizativa y los problemas técnicos.
Active Directory Descripción general
Ya sea centralizado o descentralizado, tocó todos los rincones del servicio de directorio de la empresa, y con frecuencia se extiende más allá del negocio a los socios comerciales y clientes. Desde el lanzamiento de Windows 2000 en febrero de 2000, Microsoft se ha establecido como un proveedor de procesamiento distribuido para empresas. Microsoft reconoce el crecimiento de la computación distribuida basada en la tecnología de Internet y utiliza Windows 2000 para modificar su estructura de directorios para adaptarse a un mundo orientado a la red. AD es el servicio de directorio de Microsoft y una parte fundamental del sistema Windows 2000.
AD es un sistema de directorio empresarial que automatiza el control y la coordinación de los datos del usuario, la seguridad y los recursos distribuidos. El espacio de nombres jerárquico de AD y el modelo de distribución basado en la autenticación Kerberos son fundamentales para que Microsoft logre el objetivo de construir servidores Windows en computación distribuida en toda la empresa. Desde una ubicación centralizada, AD puede ayudar a los administradores a administrar una red corporativa, incluso si el negocio es a través de ciudades, países o hemisferios.
AD reemplaza la estructura de dominio recta e inflexible de Windows NT con un servicio de directorio distribuido jerárquico para controlar los recursos en Internet o intranet. AD se basa en estándares orientados a Internet, como el Protocolo ligero de acceso a directorios (LDAP) y el Sistema de nombres de dominio (DNS). Está diseñado para proporcionar acceso global a una variedad de información almacenada. A través de una interfaz empresarial, AD ayuda a los administradores a controlar clientes, servidores, usuarios y recursos de red. Su estructura jerárquica proporciona acceso distribuido y de múltiples maestros para la gestión de elementos como aplicaciones, clientes, servidores y cuentas de usuario.
Producción y aplicación de AD en Windows 2000
La aplicación de producción de AD en Windows 2000 es muy exitosa. Algunas compañías han aplicado AD para adaptarse a la cantidad de usuarios internos, desde cientos hasta 175,000 en un solo dominio global. De hecho, Gartner ha confirmado que una empresa utiliza AD como un directorio de extranet (LDAP) que administra 3.5 millones de usuarios. La evaluación general de Gartner de las aplicaciones AD es: Hasta ahora, no está mal.
Defectos comunes en aplicaciones de AD
Los contratiempos más comunes encontrados por las compañías de Gartner son: No se pueden explicar las perspectivas políticas del diseño y la aplicación de AD
El acalorado debate continúa apuntando a las unidades organizativas en la fusión de los límites de dominio, los límites de dominio a bosque y la resolución de DNS que no son de Windows. Estos debates pueden causar retrasos significativos en el diseño y la aplicación.
No se pueden analizar completamente los requisitos de replicación de AD
Falta de análisis completo de los requisitos de replicación de AD según el ancho de banda de la red existente y la configuración del controlador de dominio (especialmente los controladores de dominio principales) El fracaso Si el AD no puede completar de manera confiable su ciclo de replicación, no funcionará correctamente.
Las unidades organizativas o los grupos están demasiado anidados
Las unidades organizativas anidadas o los grupos que son demasiado profundos pueden provocar políticas de grupo excesivamente complejas o un rendimiento deficiente durante el procesamiento de las políticas de grupo al iniciar sesión. Algunas compañías que han diseñado políticas grupales muy complejas tienen que ajustarse después de la aplicación debido a un desempeño deficiente o resultados impredecibles. Gartner recomienda que las empresas no utilicen más de cinco niveles de unidades organizativas anidadas.
Selección de tiempo y características
Si una empresa no ha usado AD todavía, ¿debe esperar para usar la versión de Windows .NET 2003 de AD? Esta decisión debe basarse en la selección de tiempo y los requisitos funcionales de AD.
Windows .NET 2003 AD se lanzará en el segundo trimestre de 2003 (posibilidad de 0.9)
Gartner cree que AD es directamente aplicable a pequeñas empresas de empresas de tipo B (usuarios principales de tecnología) 5000 usuarios) de la aplicación. Sin embargo, Gartner recomienda que las empresas de Tipo B esperen 60 días antes de aplicar un controlador de dominio de Windows 2000 a un controlador de dominio de Windows .NET 2003 AD. Gartner también recomienda que las empresas Tipo B esperen 60 días antes de una aplicación de tamaño mediano (hasta 25,000 usuarios), y esperen 90 días antes de aplicar un entorno de Windows .NET 2003 AD grande (más de 25,000 usuarios). Gartner recomienda que las empresas de Tipo C (usuarios conservadores de tecnología) esperen seis meses antes de solicitar cualquier tamaño. Esto significa que para la mayoría de las empresas, el uso generalizado de Windows .NET 2003 AD debe planificarse para la segunda mitad de 2003.
Windows .NET 2003 incluye correcciones de defectos y mejoras en AD
Las empresas deben evaluar las nuevas características de Windows .NET 2003 AD para determinar si tienen una aplicación de AD para ellas Valor Si no hay un valor real, las compañías deberían considerar la aplicación de Windows 2000 AD y la actualización a Windows .NET AD en el futuro (como en 2004). Tenga en cuenta que el valor de mezclar los controladores de dominio Windows 2000 y Windows .NET 2003 AD es limitado. La empresa debe alcanzar un estado estable de esta versión o esa versión.
Uso de la estructura organizativa para hacer frente a las solicitudes de cambio planificadas
Debido a que la empresa está muy alejada de la estructura política de la organización del sector público, no hay una respuesta única para esta pregunta. Tres formas efectivas de crear un mecanismo de control de cambios de AD son: permitir que el equipo del directorio o el diseñador del directorio se encarguen de la solicitud modificada
Este método es más efectivo cuando el equipo y el diseñador del directorio forman parte de un departamento de SI global.
Para un entorno de múltiples dominios, cree una versión de administración
Los administradores de dominios incluidos deben aceptar cualquier cambio sin disentir. Obviamente, esto solo funciona bien cuando el número de dominios es limitado.
Creación de una versión representativa diferente
Incluye representantes de seguridad, redes, administración de Windows, mesa de ayuda y desarrollo de aplicaciones. En este caso, la aprobación constante es innecesaria, aunque esto es ideal.
Administración de herramientas de terceros para AD
Muchas empresas pueden usar herramientas y dispositivos de Microsoft (incluidos los que se encuentran en el Kit de recursos de Windows 2000) para administrar su entorno de AD. Sin embargo, existen algunas herramientas regionales especiales de terceros que pueden proporcionar un valor adicional: Informes y auditorías de seguridad:
Administración de la implementación de múltiples dominios o bosques múltiples Monitoreo de políticas de grupo de aplicaciones y aplicaciones Ejecución de AD Health Execution One Modelo de administración basado en tareas (en relación con el modo jerárquico de AD)
Los vendedores que proporcionan herramientas en esta área incluyen el software Aelita, BindView, FullArmor, NetIQ, NetPro y Quest.
La estandarización en AD para satisfacer todas las necesidades del catálogo
La estandarización en AD para satisfacer todas las necesidades del catálogo puede no ser posible. Los sistemas operativos y las aplicaciones a menudo están vinculados a directorios específicos. Por ejemplo, NetWare requiere eDirectory, las aplicaciones de Oracle requieren directorios de Internet de Oracle, Lotus Notes requiere directorios de Notes, etc. Gartner recomienda encarecidamente que las empresas integren directorios, en lugar de tratar de "colocar la aplicación en el directorio".
Usar AD como un directorio LDAP para toda la empresa
Hacer esto Depende de la aplicación que acceda al directorio. Hay dos consideraciones aquí.
Aunque AD admite LDAP v.3, tiene muchas adiciones, extensiones e interpretaciones a la especificación LDAP. Los programadores que escriben aplicaciones para escanear directorios pueden optar por aplicar aspectos opcionales de la especificación que no son compatibles con AD. Este problema no es exclusivo de AD. En el mercado actual, los directorios que no están activados para LDAP son intercambiables. Las empresas deben probar la compatibilidad de la aplicación con el directorio de destino.
Incluso cuando una aplicación es compatible con AD, es posible que el vendedor no la admita. La mayor mentira en el mundo de los directorios es que un proveedor de software afirma que sus productos son compatibles con "cualquier" directorio LDAP. La verdad es que cada proveedor de software está preparado para admitir solo un número limitado de directorios.
Gartner cree que las aplicaciones que no son compatibles con los proveedores de software son demasiado riesgosas para la mayoría de las empresas. Y tenga en cuenta que el soporte general de LDAP para AD continuará mejorando. La versión de Windows .NET 2003 incluye algunas características nuevas de LDAP, y Gartner espera que Microsoft lance una versión mejorada de AD llamada Modo de aplicación para soporte LDAP independiente en la segunda mitad de 2003.
Línea inferior
La aplicación de AD a la ubicación actual es muy fluida. A medida que surgen nuevas versiones, las compañías deben ajustar cuidadosamente sus requisitos de aplicación a los límites de fecha del lanzamiento de AD en Windows .NET 2003 AD y los modelos de aplicación. Las empresas también deben recordar que la aplicación exitosa de AD o cualquier producto de catálogo debe centrarse en la compatibilidad de la aplicación y la estructura política en la empresa.