威海職業(yè)學(xué)院 趙永華

毋庸贅言，活動目錄AD（Active Directory）是 系統(tǒng)架構(gòu)中的關(guān)鍵組件。在準(zhǔn)許訪問應(yīng)用程序數(shù)據(jù)之前，所有業(yè)務(wù)應(yīng)用程序都要通過AD 進(jìn)行身份驗證，而且要防止關(guān)鍵業(yè)務(wù)應(yīng)用程序意外停機(jī)。

例如，內(nèi)部應(yīng)用程序正在處理100 個身份驗證請求時，若域控制器未及時響應(yīng)來自應(yīng)用程序的身份驗證請求，則可能導(dǎo)致業(yè)務(wù)丟失。

同樣，當(dāng)網(wǎng)管希望盡快將AD 站點中創(chuàng)建的更改復(fù)制到所有其他AD 站點時，最大的問題是如何進(jìn)行檢查。

為此，管理員可以通過編寫PowerShell 腳本來檢查AD 組件。當(dāng)然，也可以采用一些殊途同歸的管理工具。

AD 風(fēng)險在哪？

近年來，AD 運行風(fēng)險日益被重視，為此不少大型機(jī)構(gòu)都開始采用多項認(rèn)證標(biāo)準(zhǔn)例如SOX、PCI、HIPPA 以及GDPR 等，而有關(guān)AD 風(fēng)險管理的工具產(chǎn)品也紛紛問世。一些已決定遷移到云的公司機(jī)構(gòu)，必須考慮AD 運行狀況和風(fēng)險評估檢查，包括檢查過時的用戶帳戶，禁用的用戶和計算機(jī)帳戶以及任何不能復(fù)制的孤立對象。

同樣，如果決定在云中實施域控制器，則必須檢查復(fù)制以確保其正常運行。

在對產(chǎn)品環(huán)境進(jìn)行任何重大更改之前，也應(yīng)該對所有AD 組件執(zhí)行全面檢查。有些重大更改依賴于AD 基礎(chǔ)結(jié)構(gòu)和對象，執(zhí)行檢查當(dāng)然也是為確保AD 正常運行。

另外，當(dāng)公司進(jìn)行重組合并時，往往需要將AD 林合并，為此有必要在合并之前對AD運行狀況執(zhí)行檢查。

AD 風(fēng)險怎樣檢控

目前市場上有多種工具可以檢查AD，例如微軟ADRAP Engagement 和Office 365 IT 運行狀況和風(fēng)險掃描程序。但并非所有工具都可以對AD 林執(zhí)行完整的運行狀況和風(fēng)險評估。某些工具雖然找不到AD 檢查功能，但也能夠發(fā)現(xiàn)隱藏的問題。當(dāng)然，管理員也可以通過PowerShell 腳本程序完成檢查工作。

其實，我們可以使用PowerShell 腳本檢查Active Directory 的每個組件，為此需要知道要運行狀況檢查的相關(guān)組件。

例如，我們在檢查AD 林復(fù)制狀態(tài)時，可能會忘記檢查AD 的其他組件，例如組策略，AD 站點等。雖然PowerShell 用于AD 組件的檢查命令非常全面，但要設(shè)計一個對AD 進(jìn)行徹查的PowerShell 腳本并不容易，很可能需要數(shù)月時間。

例如，使用以下PowerShell 命令可以檢查AD 站點中的復(fù)制狀態(tài)：

Get-ADReplication Failure -scope SITE-target Seattle | FT Server,FirstFailureTime,FailureClount,LastError,Partner -AUTO

微軟產(chǎn)品ADRAP 旨在為客戶提供AD 風(fēng)險評估計劃。ADRAP 程序涵蓋了在AD 環(huán)境中執(zhí)行的所有檢查，還生成了有關(guān)該工具發(fā)現(xiàn)的問題的報告。雖然ADRAP 程序可以使用AD 快照工具發(fā)現(xiàn)所有AD 存在的問題，但它非常昂貴，并且只能用于單個Active Directory 林。如果有多個AD 林，則需要為每個AD 林付費。而且ADRAP 工具有效期只有一年。

市場上還有一款名為O365 IT Health and Risk Scanner 的產(chǎn)品值得關(guān)注。O365 IT 掃描程序旨在對您的Microsoft 生態(tài)系統(tǒng)執(zhí)行完整的運行狀況檢查，包括Active Directory，Hyper-V、Microsoft Exchange、SQL服務(wù)器、Microsoft Azure、Office 365 等。該產(chǎn)品可以執(zhí)行完整的Active Directory 運行狀況和風(fēng)險檢查，并提供問題和建議來解決問題。

O365 IT Health and Risk Scanner 的一個優(yōu)點是產(chǎn)品的動態(tài)性，它允許管理員創(chuàng)建與任何技術(shù)相關(guān)的健康檢查。O365 IT 健康和風(fēng)險掃描儀產(chǎn)品正成為IT 管理員，IT 架構(gòu)師和托管服務(wù)提供商的首選，您可以通過單擊技術(shù)標(biāo)簽添加您選擇的運行狀況檢查，然后創(chuàng)建評估配置文件。

O365 IT 運行狀況和風(fēng)險掃描程序的另一個顯著特性是有助于在AD 環(huán)境中查找關(guān)鍵和高健康問題和風(fēng)險，通過使用委派加載項委派運行狀況和風(fēng)險評估任務(wù)，能夠安排動態(tài)包，并能夠快速生成風(fēng)險和健康評估報告，并能夠根據(jù)客戶需要執(zhí)行自定義報告。