28. maaliskuuta 2017

Active Directory vuonna 2017

Vuonna 2000 Microsoft esitteli Windows 2000 -palvelimen mukana hakemistopohjaisen (LDAP) Windows-verkkojen hallintamekanismin nimeltään Active Directory. Se piti sisällään mm. keskitetyn käyttäjätietokannan ja työasemien hallinnan (Group Policy). Ilmestyessään Active Directory oli merkittävä uudistus, mutta mitä teini-ikäiselle Active Directory palvelulle kuuluu vuonna 2017.



Nykyisin tietojärjestelmien toteuttamisessa on kolme vaihtoehtoa, joiden ääripäitä edustavan paikallinen (On-Premises) ja pilvi-toteutus (Cloud). Näiden välistä löytyy vielä hybridi-toteutus, jossa paikallinen ympäristö on yhdistetty pilvipalveluun.

Syntymänsä jälkeen Active Directory on nimetty uudelleen, koska Windows Server 2008 versiossa Microsoft päätti koota kaikki identiteetin hallintapalvelut nimelle Active Directory. Tämän takia Windows-palvelimista löytyy lista rooleista, jotka alkavat Active Directory -nimellä. Vanha Active Directory ominaisuus löytyy kohdasta Active Directory Domain Services (AD DS). Palvelu on kehittynyt ominaisuuksiltaan vuosien mittaan, mutta sen perusominaisuudet ovat pysyneet samoina.

Alkuperäistä Active Directory käytettävyyttä laajensi Active Directory Federation Services (AD FS), joka mahdollisti Active Directory Domain Services -palvelun käyttäjätunnusten hyödyntämisen pilvipalveluissa. Tässä tekniikassa käyttäjätiedot kopioidaan pilveen Azure AD Connect:lla ja varsinainen tunnistautuminen tehdään sitten AD FS:llä.

Saman käyttäjätunnuksen hyödyntäminen on osaltaan mahdollistanut SaaS-palveluiden ja muiden pilvipalveluiden nopean laajenemisen. Tunnetuin näistä palveluista on varmasti Office 365 ja sen mukanaan tuomat palvelut.

Azure AD on hakemistopalvelun pilvipalveluihin suunniteltu versio. Nykyisillään se sisältää useimmiten paikallisesta AD DS:stä Azure AD Connect:lla kopioituja tunnuksia, mutta sitä voidaan käyttää myös itsenäisesti. Azure AD:n heikkoutuna on hallittavuuden puute, koska nykyversiossa ei ole keskitettyjä hallintaominaisuuksia. Toki on nähty toteutukset ratkaisuista, joissa ei enää ole paikallista AD DS -toteutusta (on-premises), vaan toiminto on siirretty pelkästään Azure AD:hen.

Hyödyntääksesi AD Domain (hallittavia) palveluita Azuressa sinulla on nykyisin kolme vaihtoehtoa:
  1. Yhdistä nykyinen järjestelmä (Site-to-Site VPN) Azureen ja käytä nykyisiä Domain Controllereita.
  2. Asenna lisä Domain Controller Azureen virtuaalikoneeksi.
  3. Määritä uusi AD metsä Azureen ja tee sille DC Azure virtuaalikoneina.
Noinkin sen siis voisi nykyisin tehdä, mutta tuosta voi seurata turhaa ylläpitotyötä ja kustannuksia.

Ratkaisuksi hallittavan Active Directory DS:n toteuttamiseksi Azuressa tarjotaan Azure AD Domain Services -palvelua. Se ei ole vielä laajassa käytössä, mutta se tulee olemaan mielenkiintoinen vaihtoehto uudentyyppisten pilvipohjaisten tietojärjestelmien toteuttamisessa. 

Kaikki vaihtoehdot (AD DS, AD FS, Azure AD ja Azure AD DS) ovat toimivia ja tehokkaita ratkaisuja. Tällä hetkellä Azure AD antaa hallittavuudessa tasoitusta verrattuna perinteiseen AD DS-palveluun, mutta Azure AD DS korjaa tämän ongelman.

Tässä ei edes mainittu kaikkia teknologioita ja ominaisuuksia, jotka liittyvät Active Directoryyn. Varmaan kuitenkin huomasit, että kehitysvauhti on kova ja ominaisuuksia tulee jatkuvasti lisää. Lisäinformaatiota aiheesta löytyy kurssitarjonnasta, joten sen kautta on mahdollisuus perehtyä itsellesi ajankohtaisiin aiheisiin.

Tervetuloa koulutukseen oppimaan!

Kari Kuosa
ProTainIT Oy

Tutustu Tieturin Infra-koulutuksiin tästä >>

Ei kommentteja:

Lähetä kommentti

Suositut tekstit