Active Directoryn dokumentointi/mallintaminen
Tietotekniikka on siitä erikoinen tieteenala, että siinä esiintyy sekä fyysinen maailma, että myös hyvin vahvana osana looginen maailma, jota ei tavallaan nähdä laisinkaan. Sen olemassaoloon on vain uskottava ja myös luotettava, jotta kaikki toimisi. Koko looginen maailma koostuu pienen pienistä palasista, joiden toimintaa voidaan toki tarkastella, mutta mitä suuremmaksi looginen kokonaisuus kasvaa, sitä nopeammin kohti äärettömyyttä kasvaa myös pienten osasten määrä, joista tämä looginen kokonaisuus rakentuu.
Jotta tällaiset loogiset kokonaisuudet olisi jotenkin hallittavissa, on niitä varten tehtävä ohjelmia, jotka ohjaavat fyysisen maailman pieniä rakennuspalikoita halutulla tavalla ja näin muuttavat loogisen kokonaisuuden kokonaiskuvaa pala palalta. Jotta pystyisimme käsittämään ja hahmottamaan tämän loogisen kokonaisuuden olemassaolon on meidän jollain tapaa mallinnettava loogiset rakennuspalikat, joista tämä kokonaisuus koostuu. Loogisen kokonaisuuden mallintaminen on tietyllä tapaa haastavakin prosessi, sillä siitä heijastuu taustalla toimiva työryhmä, joka mallinnuksen on saanut aikaiseksi. Niinpä mallintajien onkin mietittävä asioita mahdollisimman monelta kantilta, jotta mahdollisimman moni ihminen näkisi loogisessa mallintamisessa käytetyt rakennuspalikat samalla tavalla. Jotta lopputuloksesta tulisi mahdollisimman hyvä on mallintamisessa käytettävien loogisten rakennuspalikoiden siis oltava mahdollisimman hyvin eri asiakokonaisuuksia kuvaavia osia.
Active Directoryn mallintaminen
Varmasti kaikki, jotka työskentelevät IT-infrastruktuurien parissa, ovat törmänneet sen dokumentoinnin ja visualisoinnin ongelmiin ja haasteisiin. Kuvitellaan tilanne, jossa 20-vuotta talossa ollut IT-päällikkö lähtee eläkkeelle ja vie suurimman osan tiedoista mukanaan (”Ei meidän firmassa ennenkään ole tarvittu dokumentointia”). Yrityksen johtoryhmä päättää tämän eläköitymisen seurauksena ulkoistaa IT-infrastruktuurin hallinnan ja kehittämisen lähes kokonaan ulkopuoliselle konsulttitalolle. Eikö tässä tilanteessa olisi kohtalaisen fiksua olla joku kätevä työkalu infrastruktuurin mallintamiseen sen sijaan, että kalliilla ostetut konsultit rupeavat käymään läpi excel-taulukoita yrityksen palvelimista, niiden rooleista ja erilaisista ominaisuuksista? Ja tähänhän löytyy varsin helppokäyttöinen työkalu, josta tietääkseni varsin harva on kuullut ja vielä harvempi käyttänyt.
Kyseessä on siis ADTD (Active Directory Topology Diagrammer), joka lukee tietoja Active Directorysta käyttäen siihen ActiveX Data Objekteja (ADO). Datan sisäänluvun jälkeen ADTD muodostaa Visioon graafisen mallin käytössä olevasta AD-infrastruktuurista. Tätä Visioon tuotua graafisen mallin tietoa voidaan lisäksi syventää linkittämällä GPMC:lla (Group Policy Management Console) tehdyt kyselyt XML tai HTML -pohjaisina tiedostoina graafiseen malliin.
ADTD:n avulla voidaan mallintaa esimerkiksi:
-Metsä
-Domain
-Site
-OU
-Server
-Exchange
-Group
-jne.
ADTD osaa lisäksi tuoda varsin yksityiskohtaista tietoa kyselyillään käyttäjän valitsemista kohteista.
Domain
Domain -tasolla voidaan määritellä esimerkiksi, että ADTD piirtää domainit ja metsien ja domainien väliset luottosuhteet, joita muuten jouduttaisiin kaivelemaan Domains and Trusts -työkalulla. Lisäksi domain -tasolla voidaan määritellä etsittäväksi kaikki Global Catalogit, jotka domainissa sijaisee ja laskea kaikki domainin käyttäjäobjektit, jotta saadaan helposti käsitys siitä kuinka paljon käyttäjiä tietyssä domainissa on kiinni ja kuinka paljon rautaa IT-infrastruktuurin pyörittämiseen tarvitaan. Voidaan myös valita etsitäänkö tietoa DNS-palvelimilta vai pelkästään Global Catalogista.
Organisational Unit
OU-tasolla voidaan lähinnä määritellä piirretäänkö kaikkien domainien kaikki organisatoriset yksiköt vai vain osa ja kuinka syvälle OU:iden piirtäminen ulotetaan OU:iden nestaus -hierarkiassa. OU:ihin voidaan lopuksi lisäksi linkittää GPMC:llä tai muulla tapaa haettua tietoa esimerkiksi niihin vaikuttavista GPO:ista (Group Policy Object) HTML tai XML -formaatissa (upottamalla se vision vbs-tiedostoon).
Site
Site -tasolla mallintamisen ominaisuudet ovat myöskin kohtalaisen monipuoliset ADTD:n tuodessa hakiessa tietoa saittien välisistä linkeistä (IP/SMTP), replikoinneista (KCC/ISTG), sekä myös tietoa saitteihin kohdistuvista aliverkoista.
Muut kohteet
Jotta mielenkiinto ADTD:tä kohtaan kasvaisi entisestään tuo se näytille myös muuta tietoa AD-infrastruktuurista. Muutamina näistä mainittakoon esimerkiksi: tietoa Exchange:sta, Application -partitioista, ryhmistä, sekä varsin hyödyllisen näkymän FSMO -rooleista (Flexible Single Master Operations).
Joten jos kaipaat IT-infrastruktuuriisi kokonaisvaltaisempaa näkymää Active Directoryn näkökulmasta on ADTD ehdottomasti kokeilemisen arvoinen työkalu.
Mallintamisesta takaisin hallintaan
Tietyn rajan jälkeen loogisen kokonaisuuden hallitseminen alkaa olemaan niin hankalaa, että olisi suotavaa siirtyä hallitsemaan sitä jo mallinnetulla kokonaisuudella. Tällä tarkoitan tilanteita, joissa loogisista kokonaisuuksista on syntynyt niin monimutkaisia, ettei niiden käyttäytymistä enää pystytä helposti käsittämään ja tilanteita, joissa kokonaisuuden hahmottaa paljon helpommin kokonaiskuvalla, kuin millään muulla. Tässä tulee yksinkertaisesti vastaan sellainen tilanne, ettei ihmisen ole järkevää alkaa mallintamaan omaan muistiinsa järjestelmän eri osa-alueita pala palalta eri osista, vaan sen tarkasteleminen ja hallinta käy huomattavasti helpommin visuaalisesti mallinnetulla kokonaisuudella. Tästä herääkin kysymys miksi alati kasvavissa Active Directory -ympäristöissä ja monimutkaistuvissa infrastruktuureissa ei ole jo aiemmin otettu tällaista ominaisuutta ja näkökulmaa käyttöön?
Mallinnuksen tuloksena syntynyt rajapinta
Ideana tässä mallinnuksen jälkeen syntyneessä rajapinnassa on siis keskittää hallintaa aivan uudella tasolla hallitsemalla lähes koko infrastruktuuria yhdellä ainoalla työkalulla (vertaa Windows Server 2008:ssa palvelimen hallintaa Server Manager -työkalulla). Työkalun itsessään ei tarvitse tehdä kaikkea raakaa työtä vaan se voi toimia vain rajapintana jo olemassa oleville työkaluille (pyörää ei kannata keksiä uudelleen). Työkalu tarjoaisi yksinkertaisesti visuaalisen kuvan koko infrastruktuurista antaen ylläpitäjän liikkua infrastruktuurissa eri perspektiiveissä koko infrastruktuurin laajuudella (kuten ADTD:n luomassa visio -mallissa) nähden äärimmäisissä tapauksissa esimerkiksi lintuperspektiivistä koko yrityksen AD-infrastruktuurin ja toisessa ääripäässä Active Directory Scheman objektien attribuutit. Hienoutena olisi, että kaikkea pystyisi muokkaamaan saittien replikointiaikatauluista scheman attribuutteihin.
GUI:n ollessa samaan tapaan dynaaminen, kuin mitä Office 2007:ssa on totuttu, saadaan omilla tasoilla näytettyä omia työkaluja ja toimintoja (esim. infra-, site- ja palvelintasot). Näin vältytään valikoiden kohtuuttomalta paisumiselta ja hallinnan vaikeudelta.
Otetaan esimerkki, joka selventää hieman ajatusta mallintamisen avulla synnytetyn visuaalisen ympäristön avulla hallitsemisesta…
Esimerkki…
Oletetaan, että yrityksellä on yksi metsä, joka koostuu äiti-domainista ja tämän neljästä lapsi-domainista. Jokainen etätoimipiste hallitsee yhtä lapsi-domainia ja päätoimipiste äiti-domainia. Jokainen toimipiste sijaitsee omassa saitissaan ja jokaisessa saitissa on kaksi Domain Controlleria. Jotta esimerkkiin tulisi edes hiukan järkeä otetaan jokaiseen toimipisteeseen lisäksi vielä 20 member serveriä, joilla on erinäisiä rooleja. Näin saadaan 110 palvelinta käsittävä kokonaisuus, jonka hallinta alkaa jo olemaan kohtalaisen hankalaa pieneltä IT-tiimiltä. Tällaisessa ympäristössä on yleensä osaavia IT-asiantuntijoita päätoimipisteessä, sekä perusteet osaavia järjestelmän ylläpitäjiä etätoimipisteissä. Etätoimipisteiden hallinnoimisessa ei yleensä ole kovinkaan suuria haasteita ja murheita, sillä luonnollisesti suurin osa IT-infrastruktuurista ja sen mukanaan tuomista haasteista on keskittynyt päätoimipisteen konehuoneeseen (Exchange, Sharepoint, Softgrid jne…).
Tässä vaiheessa astuu mukaan visuaalisesti mallinnetun ympäristön avulla hallittava looginen kokonaisuus, joka helpottaa IT-tiimin työtä huomattavasti.
Kuvaan on luonnosteltu edellämainitun ympäristön malli, jonka yhden saitin yhdelle palvelimelle tulisi tietynlainen vika, josta palvelin on konfiguroitu hälyttämään ylläpitäjiä. Mallinnuksen jälkeen syntyneen interaktiivisen rajapinnan kautta nähtäisiin esimerkisi vilkkuvana varoituskolmiona järjestelmän vika. Tästä rajapinnasta voitaisiin klikata auki ensin saitti ja sieltä sitten haluttu palvelin ja siirryttäessä tarpeeksi syvälle, saisimme näkymän, josta olisi helposti luettavissa logi ja ilmoitus palvelimeen tulleesta viasta.
Tätä samaa mallia voitaisiin käyttää Active Directory -ympäristöissä myös käyttäjien, ryhmien ja oikeuksien hallintaan.
Kuvitellaan esimerkiksi nykyinen tilanne. järjestelmäasiantuntijoilla ja järjestelmän ylläpitäjillä on käytössään oikeastaan vain ADUC (Active Directory Users and Computers), jonka avulla käyttäjiä ja ryhmiä hallitaan. Jos mietitään tilannetta, jossa meillä on esimerkiksi käyttäjä Mia, joka kuuluu ryhmiin “KaikkiKäyttäjät”, “Oulu” ja “konsultit”. Lisäksi hän kuuluu vielä ryhmään nimeltä “infrakonsultit”, joka on konsultit -ryhmän jäsen. Mian ryhmät näemme hänen oman käyttäjäobjektinsa “member of” -välilehdeltä, mutta kun pitää ruveta miettimään kokonaisuutta, eli ryhmien kuulumista toisiin ryhmiin ja erilaisia periytyviä oikeuksia, niin eikö olisi helpompaa hallita tällaistakin kokonaisuutta yhdellä GUI -rajapinnalla, josta näkisi vuokaavio -tyylisesti kaiken Miaan liittyvän tiedon? Helpottuisi varmasti yrityksen sisäisen tietoturvan hallinta ja kokonaiskuvan näkeminen. Lisäksi isoissa organisaatioissa vältyttäisiin käyttäjäinfrastruktuurin hallinnan mukanaan tuomalta monimutkaisuudelta ja säästettäisiin huomattavasti aikaa suunniteltaessa uusia ryhmiä ja käyttäjiä.
Tiettyyn rajaan asti tuollaisia on varmasti mietittykin ja varmasti osittain samanlaisia sovelluksia löytyy kolmannelta osapuolelta. Ehkä jonain päivänä näemme myös tällaisia kokonaiskuvaa hahmottavia työkaluja Microsoftin puolelta järjestelmiin integroituna.
-Mika-