Mickey Bresman CEO, Semperis

Beh, sembra piuttosto semplice, no? Se il mio AD non funziona, nessuno può accedere ai propri PC, alle risorse di rete, lanciare applicazioni, ecc. ma alcuni CIO considerano l'AD solo un altro servizio dell'organizzazione.

Cercherò di spiegare perché il Disaster Recovery di Active Directory è così importante e come è possibile analizzare effettivamente quanto importante per la vostra organizzazione, sulla base della mia esperienza con alcuni dei più grandi clienti aziendali con cui ho lavorato.

Prima di tutto, vorrei iniziare con un'affermazione che ho sentito da uno dei miei colleghi di Microsoft: "Active Directory è come l'elettricità, nessuno la apprezza finché c'è, ma nel momento in cui smette di funzionare si scatena l'inferno". Credo che sia l'affermazione più accurata che ho sentito sul Disaster Recovery di Active Directory.

Vediamo quindi quali servizi fornisce Active Directory alla nostra organizzazione:

  • In primo luogo servizi di autenticazione - quando un utente si reca al mattino al proprio PC e digita nome utente e password, il nome utente e l'hash della password vengono inviati al controller di dominio per verificarne la correttezza, dopodiché l'utente è in grado di accedere al proprio PC. Quanto detto per gli utenti, vale anche per gli account dei computer. Quando si avvia un PC membro del dominio, questo viene autenticato allo stesso modo di un utente.
  • Autenticazione e autorizzazione delle risorse - Dopo che l'utente ha ottenuto l'accesso al proprio PC, di solito cerca di accedere alle risorse della rete: file server, web server, sharepoint, DB, ecc. L'autenticazione a tali risorse è gestita dal controller di dominio, sia utilizzando Kerberos (e quindi l'utente richiede e riceve un ticket che concede l'accesso a una specifica risorsa), sia NTLM, quindi le risorse stesse eseguono il "concatenamento" e inoltrano il nome utente e l'hash della password ricevuta dall'utente al controller di dominio per autenticare la sessione. (Nota: è possibile trovare maggiori dettagli sull'autenticazione NTLM in un ottimo post di GuyTe - http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx).
  • Elaborazione dei Criteri di gruppo - Sebbene l'elaborazione dei Criteri di gruppo venga eseguita dal lato client, sono i controller di dominio a fornire ai client (PC e utenti) l'elenco degli oggetti da elaborare.
  • DNS - Anche se non è obbligatorio, molte organizzazioni utilizzano i loro controller di dominio per fornire servizi di risoluzione dei nomi all'organizzazione, sia interni per i server nel dominio, sia esterni (risoluzione dei nomi Internet attraverso forward o root hint).
  • Repository di dati dei servizi di directory - Active Directory è anche un repository di dati che può essere utilizzato da molte applicazioni, a partire da Sharepoint, Exchange e SQL e può essere utilizzato da Oracle, CheckPoint, Cisco o qualsiasi altro fornitore diterze parti che si integri con AD.

Ora che abbiamo trattato tutti i servizi di base (ad un livello molto alto, dato che ognuno di essi potrebbe essere un libro a sé stante J ), vediamo cosa succede se il nostro dominio non è disponibile:

  • Nessun servizio di autenticazione disponibile - nessun utente sarà in grado di effettuare il login ai propri PC, così come i PC stessi potranno autenticarsi e accedere alle risorse di rete.
  • Nessuna autenticazione e autorizzazione delle risorse - Anche se si utilizzano le credenziali memorizzate nella cache su tutti i dispositivi e si è in grado di accedere al desktop, non si è in grado di accedere a nessuna risorsa di rete dell'organizzazione.
  • Nessuna GPO - Molte volte le GPO vengono utilizzate per applicare le impostazioni di sicurezza ai client e ai server dell'organizzazione. L'elaborazione delle GPO non è disponibile e non viene applicata alcuna impostazione sui client; ciò significa che se qualcuno ha modificato un'impostazione di sicurezza (in quanto amministratore locale del proprio PC), questa non verrà riportata alla linea di base dell'organizzazione.
  • Nessun DNS - la risoluzione dei nomi (se ospitata su un DC) non è disponibile, il che significa che i dispositivi non possono accedere al web e/o ad altri servizi della rete.
  • Mancato accesso all'archivio dati - A seconda delle specificità dell'implementazione, l'applicazione può smettere di funzionare completamente (come nel caso di Exchange Server), oppure le funzionalità possono essere ridotte (ad esempio, la soluzione organizzativa VPN non è in grado di autenticare gli utenti che accedono da remoto perché si basa su AD per i servizi di autenticazione).

In uno scenario del genere, si può dire che la vostra attività è in crisi!