Lo scorso mese ho avuto molte discussioni con molte persone sul backup e il ripristino di Active Directory. Gli argomenti più ovvi da trattare sono il disaster recovery e il forest recovery. Naturalmente ne abbiamo parlato, ma in molte delle discussioni del mese scorso ci siamo concentrati maggiormente su quella che definirei "resilienza alle modifiche", ovvero la capacità di ripristinare rapidamente le modifiche apportate dagli amministratori di Active Directory.
Credo che questo sia un argomento spesso trascurato.
Per capire perché questo è un aspetto interessante della storia, basta osservare ciò che Microsoft offre in Windows Server e ciò che offrono le tipiche soluzioni di backup e ripristino di Active Directory. A questo punto, diventa davvero facile capire come essere davvero intelligenti nel ripristinare le modifiche in Active Directory.
Nota:
Discutere queste soluzioni è ciò che Darren ed io abbiamo fatto ampiamente nel nostro webcast gratuito del 27 giugno su "Scegliere il giusto tipo di soluzione per il backup e il ripristino di Active Directory", quindi se preferite ascoltarci, piuttosto che leggere i prossimi tre paragrafi, sintonizzatevi pure!
Cosa offre Microsoft
Microsoft offre tre tecnologie utili per gli amministratori di Active Directory in Windows Server:
1. Backup del server Windows
2. Il cestino di Active Directory
3. L'opzione "Proteggi dalla cancellazione accidentale".
Gli oggetti in Active Directory sono contraddistinti da identificatori di sicurezza univoci (sID). Quando si elimina un oggetto, ma lo si ricrea con lo stesso nome, nome utente e così via, non sarà lo stesso oggetto. Questo perché il sID non sarà lo stesso. Poiché l'oggetto originale è stato rimosso dal database, ha portato con sé il suo sID. Un nuovo oggetto avrebbe sempre un sID diverso, nonostante tutti gli altri attributi gestibili siano gli stessi dell'originale. Il sID, tuttavia, è l'attributo utilizzato in molti meccanismi di concessione (o negazione) dell'accesso, come l'appartenenza a un gruppo e le liste di controllo degli accessi (ACL).
Backup del server Windows
La rianimazione degli oggetti di Active Directory e il ripristino da backup consentivano di ripristinare gli oggetti nella situazione sopra descritta, nel periodo precedente a Windows Server 2008. Sysinternals offre uno strumento per realizzare il primo e Microsoft, fortunatamente, fornisce uno strumento di backup e ripristino con Windows Server: Windows Server Backup.
Windows Server Backup può essere utilizzato per creare backup del database di Active Directory, indicato anche con il nome di file ntds.dit o semplicemente "il dit". Lo stesso strumento può essere utilizzato per creare supporti di avvio di ripristino bare metal per ripristinare un controller di dominio in modo supportato.
È importante notare che Windows Server Backup utilizza le copie ombra dei volumi, in questa fase. Ciò consente a Windows Server Backup di creare un backup coerente senza che gli utenti finali notino alcun tempo di inattività. Inoltre, quando si ripristina un controller di dominio con Windows Server Backup, vengono apportate diverse modifiche e controlli per garantire un ripristino corretto tra tutti gli altri controller di dominio dell'ambiente. È intrinsecamente diverso dalle istantanee come quelle che molti amministratori ignari erano soliti fare con strumenti come Acronis TrueImage, uno degli strumenti preferiti dal settore per distruggere Active Directory...
L'opzione "Proteggi dalla cancellazione accidentale
Con Windows Server 2008, Microsoft ha introdotto un'opzione negli strumenti di gestione di Active Directory, denominata "Protezione dall'eliminazione accidentale". Sebbene questa funzionalità appaia come una semplice opzione nelle interfacce grafiche Utenti e computer di Active Directory(dsa.msc) e Centro amministrativo di Active Directory(dsac.exe), sotto il cofano viene applicata una serie di voci di controllo dell'accesso (ACE) "Negate" all'oggetto stesso e al suo oggetto padre per il principio di sicurezza "Tutti".
Quando si utilizza un qualsiasi strumento per eliminare l'oggetto, l'azione fallisce e si nota un problema di autorizzazione. Per prima cosa, l'opzione deve essere rimossa, prima che l'oggetto possa essere effettivamente rimosso. In questo modo si evitano molti momenti di "Oops" per i gestori di sistemi Active Directory che utilizzano strumenti grafici. La sua vera forza si manifesta quando alcuni oggetti sono esclusi dai momenti di "Oops" a livello di directory quando gli amministratori utilizzano PowerShell o altri strumenti di scripting e bulk.
Il cestino di Active Directory
A partire da Windows Server 2008 R2 Forest Functional Level (FFL), Microsoft offre una soluzione per gli oggetti eliminati, oltre alla rianimazione e al ripristino dal backup, sotto forma di Cestino di Active Directory.
La tecnologia alla base del Cestino di Active Directory è un nuovo attributo: isRecycled. In precedenza, quando un oggetto, come un computer o un utente, viene eliminato, l'attributo isDeleted viene impostato su true. Con il Cestino di Active Directory abilitato, dopo la scadenza della durata del riciclo, anche l'attributo isRecycled viene impostato su true. Quindi, una volta scaduto il tempo di vita della tomba, l'oggetto viene realmente rimosso dal database. Quando è impostato solo l'attributo isDeleted, l'oggetto è recuperabile attraverso il Cestino di Active Directory. Tutti gli strumenti di gestione di Microsoft filtrano gli oggetti con l'attributo isDeleted impostato su true, ma quando si utilizza il Centro amministrativo di Active Directory(dsac.exe) su Windows Server 2012 o superiore, o il modulo PowerShell di Active Directory, è possibile ripristinare questi oggetti con facilità, insieme ai loro sID e quindi all'accesso originale.
Cosa offrono le tipiche soluzioni di backup e ripristino di Active Directory
Se guardiamo agli strumenti e alle tecnologie offerte da Microsoft, emerge un quadro desolante: Funzionano tutti a livello di oggetto, ma non a livello di attributo. Non so voi, ma io non uso il pulsante di cancellazione sulla mia tastiera tanto spesso quanto gestisco attributi tipici come le appartenenze a gruppi, gli indirizzi e-mail e i nomi dei display.
Ora, quando voglio ripristinare una di queste modifiche, di solito devo ripristinare un backup e creare un file nel formato Lightweight Directory Interchange Format (LDIF) con le differenze che voglio ripristinare.
Ci vuole tempo, molto tempo.
Questa è quella che io chiamo la sfida della resilienza al cambiamento.
Le tipiche soluzioni di backup e ripristino hanno alleviato un po' il dolore rendendo più facile il ripristino (di prova) o facilitando la scelta degli attributi da ripristinare in un'interfaccia grafica, mantenendo la coerenza del database.
Ripristini (di prova) più semplici
Una delle soluzioni di backup e ripristino che rende davvero semplice l'esecuzione di ripristini e test di ripristino, secondo me, è Azure Site Recovery Services. Con questa soluzione, non è necessario denunciare l'hardware identico per il ripristino e non è nemmeno necessario lo stesso hypervisor per eseguire un ripristino. Tutto ciò che serve è un abbonamento ad Azure Infrastructure-as-a-Service e si paga a consumo per lo storage e per le macchine virtuali che si avviano, ma solo per il tempo effettivamente necessario, che di solito è solo di un paio d'ore.
Selezioni più semplici
Tra gli strumenti che semplificano la selezione degli attributi da ripristinare, spicca l'Agente di Veeam per Microsoft Active Directory. L'interfaccia grafica (GUI) consente di selezionare singoli attributi, ma gli amministratori esperti di Active Directory possono anche utilizzare filtri basati su Lightweight Directory Access Protection (LDAP). L'agente crea quindi il file LDIF e lo applica. Viene creato anche un altro file LDIF da annullare, se necessario.
Come essere davvero intelligenti con la resilienza alle modifiche di Active Directory
Discutendo con Darren, ho appreso che esiste un modo più intelligente per affrontare la sfida della resilienza al cambiamento.
Sarò il primo ad ammettere che, anche se ha senso mantenere i backup (memorizzati nella cache) sui controller di dominio in termini di disaster recovery e recupero delle foreste, tuttavia in termini di resilienza alle modifiche, avere un flusso in tempo reale delle modifiche è meglio!
Invece di dover individuare i backup, ripristinare (per prova) il controller di dominio, scegliere gli attributi da ripristinare, armeggiare con i file LDIF e preoccuparsi degli scenari di annullamento, Directory Services Protector for Active Directory di Semperis fa tutto il lavoro per voi. Poiché DS Protector raccoglie le modifiche in tempo reale, compreso il momento precedente al vostro "Oops!", potete tornare allo stato precedente in pochi secondi. Altrimenti si finisce per passare ore e ore su meccanismi e tecnologie di Active Directory di cui non si voleva sapere nulla prima.
Poiché Directory Services Protector di Semperis tiene traccia di tutti i cambiamenti che avvengono, è possibile annullare una modifica, testarne l'effetto e, se non si è soddisfatti, ripristinare semplicemente lo stato precedente. Sì, potete avere la botte piena e la moglie ubriaca!
Ulteriori letture
Se volete saperne di più, vi invito a leggere il whitepaper gratuito di 17 pagine che abbiamo creato sulla base delle discussioni e del webcast, intitolato "Picking the right type of solution for Active Directory Backup and Restore".
