Nun - das klingt doch ziemlich einfach, oder? Wenn mein AD nicht funktioniert, kann sich niemand an seinen PCs anmelden, auf Netzwerkressourcen zugreifen, Anwendungen starten usw., aber dennoch betrachten einige CIOs AD nur als einen weiteren Dienst im Unternehmen.
Ich werde versuchen, aufzuschlüsseln, warum Active Directory Disaster Recovery so wichtig ist, und wie Sie tatsächlich analysieren können wie wie wichtig sie für Ihr Unternehmen ist. Dabei stütze ich mich auf meine Erfahrungen mit einigen der größten Unternehmenskunden, mit denen ich zusammengearbeitet habe.
Lassen Sie mich zunächst mit einer Aussage beginnen, die ich von einem meiner Kollegen bei Microsoft gehört habe - "Active Directory ist wie Elektrizität, niemand schätzt sie, solange sie da ist, aber in dem Moment, in dem sie nicht mehr funktioniert, bricht die Hölle los". Ich denke, das ist die treffendste Aussage, die ich über Active Directory Disaster Recovery gehört habe.
Schauen wir uns also an, welche Dienste Active Directory unserer Organisation bietet:
- In erster Linie Authentifizierungsdienste - Wenn ein Benutzer morgens an seinen PC kommt und seinen Benutzernamen und sein Kennwort eingibt, werden der Benutzername und der Hash des Kennworts an den Domänencontroller gesendet, um zu überprüfen, ob sie korrekt sind. Danach kann der Benutzer Zugang zu seinem PC erhalten. Was für die Benutzer gilt, trifft auch auf die Computerkonten zu. Wenn Sie einen PC, der Mitglied der Domäne ist, hochfahren, wird er auf die gleiche Weise authentifiziert wie ein Benutzer.
- Ressourcen Authentifizierung und Autorisierung - Nachdem sich der Benutzer Zugang zu seinem PC verschafft hat, versucht er in der Regel, auf Ressourcen im Netzwerk zuzugreifen - Dateiserver, Webserver, Sharepoint, DB und so weiter. Die Authentifizierung für diese Ressourcen wird vom Domänencontroller verwaltet, entweder mit Kerberos (der Benutzer fordert ein Ticket an und erhält ein solches, das ihm den Zugriff auf eine bestimmte Ressource gewährt) oder mit NTLM. Die Ressourcen selbst führen dann eine "Verkettung" durch und leiten den Benutzernamen und den Hash des vom Benutzer erhaltenen Kennworts zur Authentifizierung der Sitzung an den Domänencontroller weiter. (Hinweis: Weitere Einzelheiten zur NTLM-Authentifizierung finden Sie in einem großartigen Beitrag von GuyTe - http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx)
- Verarbeitung von Gruppenrichtlinien - Obwohl die Gruppenrichtlinienverarbeitung auf der Client-Seite erfolgt, sind es die Domänencontroller, die den Clients (PCs und Benutzern) die Liste der zu verarbeitenden Objekte zur Verfügung stellen.
- DNS - ist zwar nicht zwingend erforderlich, aber viele Unternehmen nutzen ihre Domain Controller, um Namensauflösungsdienste für ihr Unternehmen bereitzustellen, sowohl intern für Server in der Domäne als auch extern (Internet-Namensauflösung durch Weiterleitungen oder Root-Hinweise).
- Verzeichnisdienste Daten-Repository - Das Active Directory ist auch ein Datenspeicher, der von vielen Anwendungen genutzt werden kann, angefangen bei Sharepoint, Exchange und SQL, und der von Oracle, CheckPoint, Cisco oder anderenDrittanbietern genutzt werden kann, die sich mit AD integrieren.
Nachdem wir nun alle grundlegenden Dienste behandelt haben (auf einer sehr hohen Ebene, denn jeder dieser Dienste kann ein Buch für sich sein J ), lassen Sie uns sehen, was passiert, wenn unsere Domain nicht verfügbar ist:
- Keine Authentifizierungsdienste verfügbar - kann sich kein Benutzer an seinen PCs anmelden, und auch die PCs selbst können sich nicht authentifizieren und auf Netzwerkressourcen zugreifen.
- Keine Ressourcen-Authentifizierung und -Autorisierung - Selbst wenn Sie zwischengespeicherte Anmeldeinformationen für alle Ihre Geräte verwenden und auf Ihren Desktop zugreifen können, haben Sie keinen Zugriff auf die Netzwerkressourcen im Unternehmen.
- Keine GPOs - In vielen Fällen werden GPOs verwendet, um Sicherheitseinstellungen auf Clients und Servern im Unternehmen durchzusetzen. Die GPO-Verarbeitung ist nicht verfügbar, und es werden keine Einstellungen auf den Clients durchgesetzt. Das bedeutet, dass, wenn jemand eine Sicherheitseinstellung geändert hat (da er ein lokaler Administrator auf seinem PC ist), diese nicht auf die organisatorische Baseline zurückgesetzt wird.
- Kein DNS - Die Namensauflösung (falls auf einem DC gehostet) ist nicht verfügbar, d.h. Ihre Geräte können nicht auf das Internet und/oder andere Dienste im Netzwerk zugreifen.
- Kein Zugriff auf das Daten-Repository - Je nach den Besonderheiten der Implementierung kann die Anwendung entweder komplett ausfallen (wie im Fall von Exchange Server) oder die Funktionalität kann eingeschränkt sein (z.B. kann eine organisatorische VPN-Lösung keine Fernzugriffsbenutzer authentifizieren, da sie auf AD für Authentifizierungsdienste angewiesen ist).
In einem solchen Szenario kann man mit Sicherheit sagen, dass Ihr Geschäft am Boden liegt!
