La maggior parte dei reparti IT non ha problemi ad ammettere la grande importanza di una Active Directory altamente disponibile. È ormai chiaro che, sebbene i tempi di inattività di Active Directory siano rari, quando si verificano hanno costi devastanti. La maggior parte delle aziende moderne vive e muore grazie alla propria infrastruttura di identità e Active Directory è il fulcro di tale infrastruttura. Eppure, se interpellati, più della metà dei membri dei team IT dichiara di non essere del tutto soddisfatta della soluzione di Active Directory Disaster Recovery (AD DR) in uso. Il che fa sorgere la domanda: se tutti sanno che l'uptime dell'AD è di importanza critica, perché così tanti esperti accettano di convivere con un piano di AD DR poco performante? È come fare paracadutismo senza una polizza di assicurazione sulla vita.
Lettura correlata
L'implementazione di una soluzione AD DR ottimale non è così semplice. Esistono diverse aspettative e priorità che possono portare il personale IT sulla strada sbagliata. Poiché nessuno vuole svegliarsi con un mal di testa di più giorni causato dal downtime di un dominio o di una foresta, abbiamo compilato un elenco di fattori da considerare prima di implementare la soluzione di disaster recovery scelta. È un elenco breve, ma vi aiuterà a stabilire le priorità in un mondo IT con tempo e budget limitati. Ecco alcuni fattori da considerare:
1) Livello di competenza necessario per il recupero
Sembra che il maggiore scollamento tra le aspettative dei team IT e la soluzione AD DR che implementano sia il livello di competenza necessario per ottenere il ripristino completo da un disastro. In molti casi, ci si rende conto (troppo tardi) che le tecnologie esistenti progettate per automatizzare o orchestrare il ripristino da un disastro non automatizzano completamente il processo e sono ancora relativamente complicate. A volte, è persino necessario assumere un esperto di AD per aiutare nel processo di ripristino. Il risultato sono tempi di inattività più lunghi del previsto, team stressati e svuotati che cercano di recuperare, management arrabbiato, utenti finali improduttivi e una buona dose di frustrazione.
È importante avere aspettative solide su ciò che la soluzione AD DR può o non può fare. Anche se si sceglie di utilizzare strumenti nativi, è necessario prepararsi con largo anticipo a uno scenario di disastro e sapere che il ripristino può richiedere fino a diversi giorni, in modo che le aspettative corrispondano alla realtà aziendale. È altrettanto importante comunicare al management le implicazioni dell'utilizzo degli strumenti in uso. Se le competenze interne non sono sufficienti per gestire il processo di ripristino, è necessario comunicarlo ai dirigenti e renderli pienamente consapevoli di ciò che questo significa in termini di disponibilità dell'AD.
In uno scenario ideale, sarete in grado di implementare una soluzione di disaster recovery che automatizzi completamente il processo di ripristino di un dominio o di una foresta dopo un disastro. In questo caso, le competenze del personale entreranno meno in gioco e il processo di ripristino sarà eseguito rapidamente e senza possibilità di errore umano. Va da sé che non tutte le soluzioni AD DR sono in grado di fare questo. Ma se si dispone di una soluzione in grado di farlo, il ripristino non dovrebbe richiedere altro che la conoscenza dello stato passato a cui si desidera ripristinare.
2) Conformità normativa
Una sicurezza e un uptime AD eccellenti hanno un chiaro impatto su ogni azienda. Ma non tutte le aziende sono tenute a fornire gli stessi risultati in base alle stesse normative di conformità. Di solito, a seconda della posizione e del settore della vostra organizzazione, saprete quali risultati dovrete fornire, con quale accuratezza, con quale integrità, ecc. Si tratta di un problema non da poco per i dipartimenti IT di tutto il mondo e ancora di più per i settori regolamentati, come quello sanitario o dei servizi finanziari. La tolleranza per i tempi di inattività o per la sicurezza compromessa sarà prossima allo zero e sarà responsabilità del CIO, del CISO e dei loro dipartimenti fornire risultati.
Per evitare frustrazioni future, dovete assicurarvi con largo anticipo che la soluzione AD DR che sceglierete di utilizzare consentirà alla vostra azienda di essere pienamente conforme alle norme e ai regolamenti imposti. Assicurandovi di poter sempre mantenere le "promesse" di uptime e integrità del vostro sistema di identità, sarete abbastanza tranquilli da sapere che il vostro dipartimento ha fatto la sua parte in un importante aspetto normativo.
3) Continuità operativa e tempi di ripristino
Nel caso di Active Directory, un'infrastruttura critica nella maggior parte delle aziende, non esiste una tecnologia sostitutiva a cui affidarsi in caso di disastro. A differenza di molti altri sistemi dell'organizzazione, i tempi di inattività di Active Directory comportano necessariamente la necessità di ripristinare l'operatività di AD. Pertanto, un fattore critico da tenere in considerazione nel valutare la giusta soluzione di Disaster Recovery AD è il tempo necessario per il ripristino. Il tempo di ripristino influisce sull'ovvio: perdita di fatturato, riduzione della produttività dei dipendenti e costo del processo di ripristino. Ma potrebbe anche causare problemi difficili da valutare in anticipo: danni alla reputazione dell'azienda o alla soddisfazione dei clienti, management arrabbiato o investitori indignati.
Se possibile, dovreste scegliere la soluzione AD DR che vi permetta di essere operativi il più rapidamente possibile dopo qualsiasi tipo di disastro. Il risultato di un downtime di un'ora non è ideale, ma di solito è gestibile e la vostra azienda si riprenderà rapidamente. Statisticamente, un downtime AD di 1-2 giorni ha un'alta probabilità di causare danni irreversibili e di provocare una perdita aziendale significativa. Prima di scegliere una tecnologia, è necessario verificare che sia in grado di rimettervi in sesto rapidamente e, in questo caso, anche la differenza tra due ore e quattro ore può avere un forte impatto sull'azienda.
4) Backup di Active Directory
Esistono molte soluzioni di backup per AD, compresa quella di Windows Server. La maggior parte delle aziende ha già implementato una soluzione di backup per AD. Le soluzioni di backup che non sono specifiche per Active Directory non sono ideali in questo caso, perché il ripristino di Active Directory pone alcune sfide uniche. Se state pensando di scegliere una soluzione di disaster recovery per AD, dovete verificare che la soluzione offra un backup di Active Directory in grado di soddisfare le vostre esigenze di ripristino aziendale, perché questi backup saranno il punto di partenza del processo di ripristino in caso di disastro. Se volete approfondire cosa significa, abbiamo creato un video tutorial di 20 minuti sul backup di AD. In breve, è necessario assicurarsi di disporre di quanto segue:
- I backup vengono eseguiti automaticamente una volta impostate le preferenze.
- I backup sono abbastanza frequenti o vengono effettuati quando vengono apportate delle modifiche.
- Il sistema può essere impostato per eliminare i backup più vecchi che non si possono o non si devono utilizzare.
- Non è necessario affidarsi a una raccolta di backup di DC dello stato del sistema. Questi non vi serviranno se avete bisogno di un ripristino completo della foresta (pensate alle partizioni delle applicazioni, alle partizioni dei domini, al DNS integrato in AD, ecc.)
- Utilizzare prodotti di backup AD Aware e non affidarsi a snapshot o dischi, che non sono AD Aware e non sono supportati da Microsoft.
5) Manutenzione necessaria
Le diverse soluzioni di AD DR richiedono diversi livelli di manutenzione. Se scegliete di pagare per una tecnologia che vi aiuti a riprendervi da un disastro, volete assicurarvi che non lo faccia:
- Intasare l'agenda di lavoro con compiti aggiuntivi per i quali non si ha il tempo di lavorare.
- Esigono che ci si ricordi di compiere azioni periodiche che potrebbero essere altrimenti automatizzate.
- Richiedono la manutenzione manuale di qualsiasi componente
Quando scegliete una tecnologia AD DR, non lo fate solo per la tranquillità e la consapevolezza di poter recuperare rapidamente e facilmente da qualsiasi disastro. Volete anche che la soluzione scelta vi liberi di una parte del carico di lavoro e vi permetta di occuparvi di altre priorità.
6) Costo e ROI
Per molte organizzazioni, una sola ora di possibile downtime dell'AD potrebbe essere più costosa di alcune delle tecnologie di AD DR disponibili oggi sul mercato. Tuttavia, ci soffermeremo sull'aspetto dei costi. L'implementazione della soluzione di AD DR più efficace e facile da usare non significa che dobbiate spendere una fortuna.
Secondo recenti indagini, il costo dei tempi di inattività per componenti critici come l'AD è compreso tra 25.000 e 150.000 dollari all'ora. Gartner ritiene che queste stime siano un po' ottimistiche e che il costo reale dei tempi di inattività sia molto più alto, fino a 300.000 dollari. Sebbene le probabilità di un disastro di un dominio o di un'intera foresta siano piuttosto basse, è facile capire perché sia molto più conveniente pagare per la "polizza assicurativa" di ripristino rapido fornita da una solida soluzione di DR AD.
Scegliere la soluzione giusta per le esigenze di disaster recovery di Active Directory della vostra azienda non è semplice. Ma una volta prese in considerazione tutte le informazioni necessarie, dovrebbe essere facile dimostrare al management come l'implementazione di questa tecnologia possa più che ripagarsi nel lungo periodo. Come ulteriore vantaggio, potrebbe anche rendere la vostra vita molto più facile in caso di disastro. Semperis offre la soluzione leader per il disaster recovery di Active Directory: Semperis Active Directory Forest Recovery. Offre una soluzione di backup e ripristino completamente automatizzata a un costo inferiore a quello di un'ora di inattività. Se, tuttavia, dovete affidarvi a strumenti nativi e al ripristino manuale - l'altra estremità dello spettro dei piani di ripristino di AD - assicuratevi di leggere e prepararvi utilizzando la guida Microsoft passo per passo. Se la si guarda per la prima volta solo dopo che si è verificato un disastro, potrebbe risultare eccessiva e difficile da seguire.
