Как выполнить оценку работоспособности и рисков Active Directory

Опубликовано: 15 Марта, 2023
Как выполнить оценку работоспособности и рисков Active Directory

Active Directory является важным компонентом для организации. Все бизнес-приложения используют подсистему аутентификации Active Directory, прежде чем можно будет разрешить доступ к данным приложения. Active Directory — это базовый компонент, который должен работать эффективно, чтобы избежать простоев критически важных бизнес-приложений. Например, если приложение собственной разработки обрабатывает 100 запросов на проверку подлинности, а контроллер домена не отвечает своевременно на запросы проверки подлинности, поступающие от приложений, это может привести к потере бизнеса. Точно так же вы ожидаете, что изменения, созданные на сайте Active Directory, будут реплицированы на все другие сайты Active Directory как можно скорее. Большой вопрос, как вы выполняете эти проверки? Как Microsoft MVP в службах каталогов, я провел много мероприятий с локальными и глобальными клиентами по оценке работоспособности Active Directory. Раньше я разрабатывал отдельные сценарии PowerShell для проверки определенного компонента Active Directory. Тем не менее, я работал со многими другими автоматизированными инструментами, которыми могу поделиться с вами, чтобы вы могли выбрать лучший из них в зависимости от ваших требований.

Зачем проводить оценку рисков Active Directory?

Существует несколько причин, по которым необходимо проводить оценку риска и работоспособности Active Directory, как указано ниже:

  • Цели аудита и соответствия: для крупных организаций становится необходимым, чтобы организации соответствовали стандартам SOX, PCI, HIPPA и GDPR. Многие продукты для оценки рисков Active Directory следуют рекомендациям, предусмотренным стандартами соответствия.
  • Перед переходом в облако: Если ваша организация решила перейти в облако, вы должны рассмотреть возможность проверки работоспособности Active Directory и оценки рисков. Прежде чем вы решите перейти в облако, необходимо выполнить проверку работоспособности Active Directory, включающую проверку устаревших учетных записей пользователей, отключенных учетных записей пользователей и компьютеров, а также любых потерянных объектов, которые нельзя реплицировать в хранилище. Точно так же, если вы решите реализовать контроллеры домена в облаке, вы должны проверить репликацию, чтобы убедиться, что она работает правильно.
  • Прежде чем вносить большие изменения в производственную среду: Прежде чем вносить какие-либо большие изменения в рабочую среду, рекомендуется выполнить тщательную проверку всех компонентов Active Directory. Проверки, которые вы выполняете, обеспечивают работоспособность Active Directory, прежде чем вносить большие изменения, такие как внедрение технологии, которая сильно зависит от инфраструктуры и объектов Active Directory.
  • Слияние с другой компанией: вам также может потребоваться выполнить проверку работоспособности Active Directory, прежде чем ваш рабочий лес Active Directory будет объединен с лесом Active Directory другой компании.

Доступные методы проверки работоспособности Active Directory

В зависимости от ваших требований доступно несколько методов, таких как использование сценариев Microsoft PowerShell, Microsoft ADRAP Engagement и сканера ИТ-состояния и рисков Office 365. Хотя на рынке доступно несколько инструментов, которые могут предложить несколько проверок, не все инструменты могут выполнять полную оценку работоспособности и рисков лесов Active Directory. Например, некоторые инструменты могут не включать проверки работоспособности, которые, безусловно, необходимы, а некоторые продукты могут фактически обнаруживать скрытые проблемы, что, в свою очередь, помогает избежать сбоев в работе службы.

Использование сценариев PowerShell

Вы можете использовать сценарии PowerShell для проверки каждого компонента Active Directory, но вам необходимо знать все компоненты, которые вы хотели бы проверить в рамках проверки работоспособности. Например, вы могли решить проверить состояние репликации леса Active Directory, но могли забыть проверить другие компоненты Active Directory, такие как групповая политика, сайты Active Directory и т. д. Хотя Microsoft предоставляет необходимые командлеты PowerShell для проверки определенного компонента Active Directory, разработка сценария PowerShell, содержащего проверки важных аспектов Active Directory, может занять несколько месяцев. Например, с помощью приведенной ниже команды PowerShell вы можете проверить статус репликации на сайте Active Directory:

Get-ADReplicationFailure -scope SITE -целевой Сиэтл | Сервер FT, FirstFailureTime, FailureClount, LastError, Partner -AUTO

Взаимодействие с Microsoft ADRAP

Microsoft предлагает программу оценки рисков Active Directory для ведущих клиентов. Программа ADRAP охватывает все проверки, которые необходимо выполнить в среде Active Directory, а также создает отчет о проблемах, обнаруженных с помощью инструмента. Программа ADRAP выполняется инженером Microsoft Premier, имеющим квалификацию в процессе оценки. Хотя программа ADRAP может выявить все проблемы с Active Directory с помощью средства моментальных снимков Active Directory, она довольно дорогая и может использоваться только для одного леса Active Directory. В дополнение к ограничению одного леса инструмент ADRAP недоступен для клиентов, у которых нет основного контракта. Если у вас несколько лесов Active Directory, вам придется платить за каждый лес Active Directory. Также стоит отметить, что инструмент ADRAP можно использовать только в течение одного года.

O365 ИТ-сканер здоровья и рисков

На рынке доступен отличный продукт под названием O365 IT Health and Risk Scanner. O365 IT Scanner предназначен для полной проверки работоспособности вашей экосистемы Microsoft, которая включает Active Directory, Hyper-V, Microsoft Exchange, серверы SQL, Microsoft Azure, Office 365 и т. д. Продукт может выполнять полную проверку работоспособности и рисков Active Directory, а также предоставлять проблемы и рекомендации по их устранению. Преимущество O365 IT Health and Risk Scanner заключается в том, что этот продукт является динамичным. Это позволяет вам создавать свои собственные проверки работоспособности, связанные с любой технологией. Продукт O365 IT Health and Risk Scanner становится лучшим выбором для ИТ-администраторов, ИТ-архитекторов и поставщиков управляемых услуг. Как вы можете видеть на снимке экрана ниже, вы можете добавить проверки работоспособности по своему выбору, щелкнув метки технологий, а затем создав профиль оценки:

Я использовал ИТ-сканер O365 для многих наших клиентов и считаю его весьма полезным. Некоторые из примечательных функций O365 IT Health and Risk Scanner помогают находить критические и серьезные проблемы со здоровьем и риски в среде Active Directory, возможность делегировать задачи оценки работоспособности и риска с помощью надстройки делегирования, возможность планировать динамическое пакетов и иметь возможность быстро создавать отчет об оценке риска и состояния здоровья, а также иметь возможность настраивать отчет в соответствии с вашими потребностями.

Оценка работоспособности и рисков Active Directory: обязательная процедура

Мы предоставили обзор того, почему необходимо выполнять оценку работоспособности и рисков Active Directory для рабочего леса Active Directory. Мы предоставили доступные методы, которые можно использовать для оценки работоспособности и рисков лесов Active Directory. В то время как инструмент Microsoft ADRAP может выполнять оценку Active Directory, O365 IT Health and Risk Scanner может выполнять оценку работоспособности и рисков всей экосистемы Microsoft.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023