Ein Kollege hier bei Semperis hat mich kürzlich in ein Gespräch mit dem Manager einer großen Active Directory-Umgebung unter Windows Server 2008 R2 verwickelt. Da der Support für Windows Server 2008 und 2008 R2 bald ausläuft (offiziell am 14. Januar 2020), ist die Planung für das Upgrade der Unternehmensstruktur und der 110 Domänencontroller auf Windows Server 2016 (der von diesem Unternehmen gewählte Endstatus) in vollem Gange. Aber eine Komponente des Upgrade-Plans erweist sich als schwierig, und ich werde Ihnen erklären, warum.
Auf das Beste hoffen, für das Schlimmste planen
In dieser Organisation erfordert jede wesentliche Änderung an der IT-Infrastruktur einen genehmigten Projektplan, der Abhilfemaßnahmen für den Fall vorsieht, dass etwas schief geht. Im Falle eines Upgrades bedeutet dies, dass ein Weg gefunden werden muss, um das Upgrade rückgängig zu machen, wenn es aus irgendeinem Grund fehlschlägt oder sich als problematisch erweist (z.B. wenn eine geschäftskritische Anwendung nicht mehr funktioniert). Während das "Zurückgehen" bei vielen Upgrades recht einfach ist, ist dies bei AD nicht der Fall.
Das liegt daran, dass ein AD-Upgrade mehr ist als ein Upgrade (oder ein Neuaufbau) einzelner DCs: Sie nehmen auch Änderungen an jeder Domäne und am gesamten Forest vor, und mindestens eine dieser Änderungen ist unumkehrbar. Stellen Sie sich vor, dass die geschäftskritische Anwendung, die mit der neuen (und sichereren) AD-Funktionalität nicht funktioniert, eine handgeschriebene Dinosaurier-Anwendung ist, deren Entwickler alle schon vor langer Zeit in den Ruhestand gegangen sind. In dieser Situation müssen Sie AD möglicherweise aus einem Backup wiederherstellen und mit der älteren Version arbeiten, bis die Anwendung aktualisiert oder ersetzt werden kann.
Besser... aber es gibt immer noch ein Problem
In der Vergangenheit waren für die Aktualisierung von AD drei irreversible Änderungen erforderlich:
1. Schema: Ein Schema-Upgrade ist erforderlich, bevor Sie den ersten DC im Forest aktualisieren (oder den ersten Up-Level DC einführen). Schema-Änderungen waren schon immer - und sind auch heute noch - unumkehrbar.
2. Domänenfunktionale Ebene (DFL): Sobald alle DCs in einer Domäne aktualisiert (oder aus der Umgebung degradiert) wurden, ist der nächste Schritt im AD-Upgrade-Prozess die Anhebung der DFL. (Eine Ausnahme ist das Upgrade von 2016 auf 2019: Für 2019 gibt es keine Funktionsebene, so dass es keine Notwendigkeit - oder auch nur die Möglichkeit - gibt, die DFL anzuheben).
In der Vergangenheit war die Erhöhung der DFL eine unumkehrbare Änderung. Ab Windows Server 2012 ist es jedoch möglich, die DFL zurückzusetzen. Es gibt einige Vorbehalte, die in den Upgrade-Anleitungen von Microsoft für Windows Server 2012 und Windows Server 2016 beschrieben werden. Aber für die meisten Unternehmen, die AD von 2008 oder 2008 R2 aktualisieren, ist ein Rollback möglich.
3. Forstliche Funktionsstufe (FFL): Sobald alle Domänen in der Gesamtstruktur aktualisiert wurden, ist der nächste Schritt im AD-Upgrade-Prozess die Anhebung der FFL. (Auch hier gibt es eine Ausnahme, wenn Sie ein Upgrade von 2016 auf 2019 durchführen).
Wie bei der DFL war die Anhebung der FFL in der Vergangenheit eine unumkehrbare Änderung, aber jetzt ist ein Rollback möglich. (Hinweis: Ein Rollback auf die FFL 2008 ist nur möglich, wenn der AD-Papierkorb nicht aktiviert wurde).
Während zwei der drei "Point of no Return"-Schritte nun umkehrbar sind, erfordert das Upgrade von AD immer noch ein irreversibles Schema-Upgrade. Das ist der Moment, in dem Sie innehalten, bevor Sie die Taste zum Fortfahren drücken. Und wenn Sie ein AD aktualisieren, das Sie geerbt haben oder das schon eine Weile im Einsatz ist, werden Sie vielleicht noch etwas länger warten.
Risikominderung
Wenn Ihr AD gesund ist, ist ein Upgrade des Schemas im Allgemeinen kein Problem. Das Management hört jedoch nicht gerne, dass es keinen Weg zurück gibt. Und seien wir ehrlich: Jeder AD-Administrator, der diesen Titel verdient, zögert, bevor er die Taste drückt, um einen unumkehrbaren Schritt zu starten.
Wenn Sie eine Risikobewertungsmatrix erstellen, fällt das Risiko in die Kategorie "geringe Wahrscheinlichkeit, aber hohe Auswirkung" und sollte daher einen Plan zur Risikominderung enthalten. Für ein AD-Upgrade bedeutet Risikominderung die Wiederherstellung von Wäldern.
Ein herausforderndes Unterfangen
Hier ist das Problem: Die Wiederherstellung eines Forest ist keine einfache Aufgabe. Wahrscheinlich sichern Sie die DCs regelmäßig, aber DC-Backups reichen nicht aus - Sie benötigen auch detaillierte Informationen über Ihre AD-Topologie sowie eine zuverlässige Methode zur Wiederherstellung. Es gibt kein natives Tool für die Wiederherstellung eines Forest, und der von Microsoft beschriebene manuelle Prozess ist sehr anspruchsvoll. Meiner Erfahrung nach haben nur wenige AD-Teams jemals versucht, einen Forest wiederherzustellen, selbst in einer Laborumgebung.
Die gute Nachricht ist, dass es Tools von Drittanbietern gibt, mit denen Sie die Wiederherstellung automatisieren und sicherstellen können, dass Sie über die notwendigen Backups für die Wiederherstellung Ihrer AD-Umgebung verfügen. Semperis AD Forest Recovery ist ein solches Tool:
Semperis automatisiert die Wiederherstellung von Forests und bietet damit die erforderliche Abhilfemaßnahme für Ihren AD-Upgrade-Plan. Die Anywhere Recovery- und IP-Mapping-Funktionen von Semperis erleichtern auch Upgrade-Tests im Labor vor dem Produktions-Upgrade.
Ein dauerhaftes Sicherheitsnetz
Natürlich ist ein Upgrade nicht das Einzige, was Ihr AD in Gefahr bringt. Cyberangriffe sind eine ständige Bedrohung. Ein aktueller Artikel auf Wired.com beschreibt zum Beispiel, wie ein Angreifer alle DCs für die Olympischen Winterspiele 2018 in Seoul, Südkorea, ausgeschaltet hat.
Nicht alle AD-Wiederherstellungstools schützen vor dieser Art von Bedrohung. Sie können zum Beispiel Malware in Systemstatus- und Bare-Metal-Backups einschleusen oder Probleme bei der Wiederherstellung auf einer anderen virtuellen oder physischen Hardware haben. Daher ist es wichtig, ein Tool zu wählen, das Cyber-Szenarien (Ransomware, Wiper-Angriffe usw.) abdeckt und nicht nur betriebliche Szenarien (wie Schema-Upgrades oder administrative Fehler, DIT-Korruption, AD-Softwarefehler usw., die in den Anfängen von AD ein Problem waren).
Während ein AD-Upgrade den Anstoß (oder die Gelegenheit) für die Anschaffung eines AD-Wiederherstellungs-Tools geben könnte, kann das richtige Tool noch lange nach dem Upgrade von Nutzen sein. In diesem Beitrag von Ed Amoroso, Cybersicherheitsexperte und ehemaliger Chief Security Officer bei AT&T, erfahren Sie mehr.
