Active Directory 健康檢查
Active Directory是企業後端最重要的基礎架構應用,沒有之一。AD的安全與可靠幾乎影響所有應用。除了符合微軟最佳實踐的設計以及標準化的運維之外,定期執行一次健康檢查,並且在重大項目啟動前也進行一次健康檢查將會很好的保障整個活動目錄持續可靠的為企業應用提供良好的支撐。
微軟原廠可以提供專業的AD健康檢查服務,使用ADRAP(Risk Assessment Program)程序,運行ADST(Active Directory Snapshot Tool)工具來抓取AD中的各種信息,並最終生成報告。但是第三方廠商或者企業IT自己該如何來做一個專業的AD健康檢查呢?
AD健康檢查到底應該檢查什麽?
其實這是一個很復雜的問題,AD的健康狀態取決於太多的技術因素和組織/流程因素了。即使通過分析斷定AD的配置是健康的,但是如果缺乏良好的運維流程如變更控制等,也將會為穩定的環境帶來更多的隨機性與不穩定行。那麽Active Directory健康檢查到底應該覆蓋什麽?
Active Directory 架構/配置
a.AD林、域及信任關系
b.域功能級別,林功能級別
c.架構符合最佳實踐
域控制器
a.數量以及物理特性(虛擬化)
b.域控制器放置位置
c.FSMO角色放置
d.物理安全
d.全局編錄配置
e.時間同步設置
f.事件日誌檢查
站點與服務架構
a.站點與物理分布的對應關系
b.站點鏈路橋接配置
c.首選橋頭配置
d.站點鏈接計劃與成本配置
e.IP子網定義與站點關系
f.連接對象
命名空間與名稱解析
a.DNS轉發與委派
b.區域配置、復制、安全
c.DNS區域清理
d.DHCP動態註冊
e.DHCP服務標識
f.DHCP配置
認證與授權策略
a.密碼策略,密碼鎖定與過期設置
b.陳舊的對象與密碼
c.永不過期的密碼賬戶管理
d.Domain, Enterprise Admin Group 特權賬戶的管理
e.授權策略
f.RBAC基於角色的訪問控制(RoleBased Access Control)
復制狀態健康檢查
a.目錄復制與收斂
b.NTFRS復制
c.DFSR, SYSVOL復制
防病毒、補丁、備份與恢復流程
組策略與組織單元檢查
以上是對AD進行全面的健康檢查應該覆蓋的High-Level的概述,但這只是一個開始。根據環境和規模,一個AD健康檢查可能需要5~10個工作日。
Active Directory 評估工具
AD健康檢查所依賴的信息不能完全通過手工來收集,微軟除了為自家Premier提供了ADST工具外,對外也仍然公開了一系列的工具可以幫助ITPro進行比較專業的分析
ADTD, Active Directory Topology Diagrammer
ADBPA, Active Directory Best Practices Analyzer,
MBSA, Microsoft Baseline Security Analyzer
GPMC, Group Policy Management Console
命令行工具: dcdiag, nltest, dfsrdiag, repadmin, dnscmd, dsget
除了技術工具外,需要結合訪談,以獲取組織信息,原始設計文檔,運維流程,管理模式等信息,得出最終的結論。
在後面的文章中,將逐一展開具體的步驟。
Active Directory 健康檢查