威海職業(yè)學院 趙永華

毋庸贅言，活動目錄AD（Active Directory）是 系統(tǒng)架構(gòu)中的關(guān)鍵組件。在準許訪問應(yīng)用程序數(shù)據(jù)之前，所有業(yè)務(wù)應(yīng)用程序都要通過AD 進行身份驗證，而且要防止關(guān)鍵業(yè)務(wù)應(yīng)用程序意外停機。

例如，內(nèi)部應(yīng)用程序正在處理100 個身份驗證請求時，若域控制器未及時響應(yīng)來自應(yīng)用程序的身份驗證請求，則可能導致業(yè)務(wù)丟失。

同樣，當網(wǎng)管希望盡快將AD 站點中創(chuàng)建的更改復制到所有其他AD 站點時，最大的問題是如何進行檢查。

為此，管理員可以通過編寫PowerShell 腳本來檢查AD 組件。當然，也可以采用一些殊途同歸的管理工具。

AD 風險在哪？

近年來，AD 運行風險日益被重視，為此不少大型機構(gòu)都開始采用多項認證標準例如SOX、PCI、HIPPA 以及GDPR 等，而有關(guān)AD 風險管理的工具產(chǎn)品也紛紛問世。一些已決定遷移到云的公司機構(gòu)，必須考慮AD 運行狀況和風險評估檢查，包括檢查過時的用戶帳戶，禁用的用戶和計算機帳戶以及任何不能復制的孤立對象。

同樣，如果決定在云中實施域控制器，則必須檢查復制以確保其正常運行。

在對產(chǎn)品環(huán)境進行任何重大更改之前，也應(yīng)該對所有AD 組件執(zhí)行全面檢查。有些重大更改依賴于AD 基礎(chǔ)結(jié)構(gòu)和對象，執(zhí)行檢查當然也是為確保AD 正常運行。

另外，當公司進行重組合并時，往往需要將AD 林合并，為此有必要在合并之前對AD運行狀況執(zhí)行檢查。

AD 風險怎樣檢控

目前市場上有多種工具可以檢查AD，例如微軟ADRAP Engagement 和Office 365 IT 運行狀況和風險掃描程序。但并非所有工具都可以對AD 林執(zhí)行完整的運行狀況和風險評估。某些工具雖然找不到AD 檢查功能，但也能夠發(fā)現(xiàn)隱藏的問題。當然，管理員也可以通過PowerShell 腳本程序完成檢查工作。

其實，我們可以使用PowerShell 腳本檢查Active Directory 的每個組件，為此需要知道要運行狀況檢查的相關(guān)組件。

例如，我們在檢查AD 林復制狀態(tài)時，可能會忘記檢查AD 的其他組件，例如組策略，AD 站點等。雖然PowerShell 用于AD 組件的檢查命令非常全面，但要設(shè)計一個對AD 進行徹查的PowerShell 腳本并不容易，很可能需要數(shù)月時間。

例如，使用以下PowerShell 命令可以檢查AD 站點中的復制狀態(tài)：

Get-ADReplication Failure -scope SITE-target Seattle | FT Server,FirstFailureTime,FailureClount,LastError,Partner -AUTO

微軟產(chǎn)品ADRAP 旨在為客戶提供AD 風險評估計劃。ADRAP 程序涵蓋了在AD 環(huán)境中執(zhí)行的所有檢查，還生成了有關(guān)該工具發(fā)現(xiàn)的問題的報告。雖然ADRAP 程序可以使用AD 快照工具發(fā)現(xiàn)所有AD 存在的問題，但它非常昂貴，并且只能用于單個Active Directory 林。如果有多個AD 林，則需要為每個AD 林付費。而且ADRAP 工具有效期只有一年。

市場上還有一款名為O365 IT Health and Risk Scanner 的產(chǎn)品值得關(guān)注。O365 IT 掃描程序旨在對您的Microsoft 生態(tài)系統(tǒng)執(zhí)行完整的運行狀況檢查，包括Active Directory，Hyper-V、Microsoft Exchange、SQL服務(wù)器、Microsoft Azure、Office 365 等。該產(chǎn)品可以執(zhí)行完整的Active Directory 運行狀況和風險檢查，并提供問題和建議來解決問題。

O365 IT Health and Risk Scanner 的一個優(yōu)點是產(chǎn)品的動態(tài)性，它允許管理員創(chuàng)建與任何技術(shù)相關(guān)的健康檢查。O365 IT 健康和風險掃描儀產(chǎn)品正成為IT 管理員，IT 架構(gòu)師和托管服務(wù)提供商的首選，您可以通過單擊技術(shù)標簽添加您選擇的運行狀況檢查，然后創(chuàng)建評估配置文件。

O365 IT 運行狀況和風險掃描程序的另一個顯著特性是有助于在AD 環(huán)境中查找關(guān)鍵和高健康問題和風險，通過使用委派加載項委派運行狀況和風險評估任務(wù)，能夠安排動態(tài)包，并能夠快速生成風險和健康評估報告，并能夠根據(jù)客戶需要執(zhí)行自定義報告。