Nun - das klingt doch ziemlich einfach, oder? Wenn mein AD nicht funktioniert, kann sich niemand an seinen PCs anmelden, auf Netzwerkressourcen zugreifen, Anwendungen starten usw., aber dennoch betrachten einige CIOs AD nur als einen weiteren Dienst im Unternehmen.
Ich werde versuchen, aufzuschlüsseln, warum Active Directory Disaster Recovery so wichtig ist, und wie Sie tatsächlich analysieren können wie wie wichtig sie für Ihr Unternehmen ist. Dabei stütze ich mich auf meine Erfahrungen mit einigen der größten Unternehmenskunden, mit denen ich zusammengearbeitet habe.
Lassen Sie mich zunächst mit einer Aussage beginnen, die ich von einem meiner Kollegen bei Microsoft gehört habe - "Active Directory ist wie Elektrizität, niemand schätzt sie, solange sie da ist, aber in dem Moment, in dem sie nicht mehr funktioniert, bricht die Hölle los". Ich denke, das ist die treffendste Aussage, die ich über Active Directory Disaster Recovery gehört habe.
Schauen wir uns also an, welche Dienste Active Directory unserer Organisation bietet:
- In erster Linie Authentifizierungsdienste – wenn ein Benutzer morgens an seinen PC tritt und seinen Benutzernamen sowie sein Passwort eingibt, werden der Benutzername und der Hash des Passworts an den Domain Controller gesendet Domain Controller deren Richtigkeit zu überprüfen; danach erhält der Benutzer Zugriff auf seinen PC. Was die Benutzer betrifft, gilt dasselbe auch für Computerkonten. Wenn Sie einen PC hochfahren, der Mitglied der Domäne ist, wird dieser auf dieselbe Weise authentifiziert wie ein Benutzer.
- Ressourcen: Authentifizierung und Autorisierung – Nachdem der Benutzer Zugriff auf seinen PC erhalten hat, versucht er in der Regel, auf Ressourcen im Netzwerk zuzugreifen – Dateiserver, Webserver, SharePoint, Datenbanken und vieles mehr. Die Authentifizierung für diese Ressourcen wird vom Domain Controller verwaltet, entweder mithilfe von Kerberos (wobei der Benutzer ein Ticket anfordert und erhält, das ihm Zugriff auf bestimmte Ressourcen gewährt) oder mithilfe von NTLM; in diesem Fall führt die Ressource selbst eine „Verkettung“ durch und leitet den Benutzernamen sowie den Hash des vom Benutzer erhaltenen Passworts an den Domain Controller weiter, Domain Controller die Sitzung zu authentifizieren. (Hinweis: Weitere Details zur NTLM-Authentifizierung finden Sie in einem hervorragenden Beitrag von GuyTe – http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx)
- Verarbeitung von Gruppenrichtlinien - Obwohl die Gruppenrichtlinienverarbeitung auf der Client-Seite erfolgt, sind es die Domänencontroller, die den Clients (PCs und Benutzern) die Liste der zu verarbeitenden Objekte zur Verfügung stellen.
- DNS - ist zwar nicht zwingend erforderlich, aber viele Unternehmen nutzen ihre Domain Controller, um Namensauflösungsdienste für ihr Unternehmen bereitzustellen, sowohl intern für Server in der Domäne als auch extern (Internet-Namensauflösung durch Weiterleitungen oder Root-Hinweise).
- Verzeichnisdienste Daten-Repository - Das Active Directory ist auch ein Datenspeicher, der von vielen Anwendungen genutzt werden kann, angefangen bei Sharepoint, Exchange und SQL, und der von Oracle, CheckPoint, Cisco oder anderenDrittanbietern genutzt werden kann, die sich mit AD integrieren.
Nachdem wir nun alle grundlegenden Dienste behandelt haben (auf einer sehr hohen Ebene, denn jeder dieser Dienste kann ein Buch für sich sein J ), lassen Sie uns sehen, was passiert, wenn unsere Domain nicht verfügbar ist:
- Keine Authentifizierungsdienste verfügbar - kann sich kein Benutzer an seinen PCs anmelden, und auch die PCs selbst können sich nicht authentifizieren und auf Netzwerkressourcen zugreifen.
- Keine Ressourcen-Authentifizierung und -Autorisierung - Selbst wenn Sie zwischengespeicherte Anmeldeinformationen für alle Ihre Geräte verwenden und auf Ihren Desktop zugreifen können, haben Sie keinen Zugriff auf die Netzwerkressourcen im Unternehmen.
- Keine GPOs - In vielen Fällen werden GPOs verwendet, um Sicherheitseinstellungen auf Clients und Servern im Unternehmen durchzusetzen. Die GPO-Verarbeitung ist nicht verfügbar, und es werden keine Einstellungen auf den Clients durchgesetzt. Das bedeutet, dass, wenn jemand eine Sicherheitseinstellung geändert hat (da er ein lokaler Administrator auf seinem PC ist), diese nicht auf die organisatorische Baseline zurückgesetzt wird.
- Kein DNS - Die Namensauflösung (falls auf einem DC gehostet) ist nicht verfügbar, d.h. Ihre Geräte können nicht auf das Internet und/oder andere Dienste im Netzwerk zugreifen.
- Kein Zugriff auf das Daten-Repository - Je nach den Besonderheiten der Implementierung kann die Anwendung entweder komplett ausfallen (wie im Fall von Exchange Server) oder die Funktionalität kann eingeschränkt sein (z.B. kann eine organisatorische VPN-Lösung keine Fernzugriffsbenutzer authentifizieren, da sie auf AD für Authentifizierungsdienste angewiesen ist).
In einem solchen Szenario kann man mit Sicherheit sagen, dass Ihr Geschäft am Boden liegt!
