如何檢控AD 運行風險

威海職業學院 趙永華

毋庸贅言，活動目錄AD（Active Directory）是 系統架構中的關鍵組件。在準許訪問應用程序數據之前，所有業務應用程序都要通過AD 進行身份驗證，而且要防止關鍵業務應用程序意外停機。

例如，內部應用程序正在處理100 個身份驗證請求時，若域控制器未及時響應來自應用程序的身份驗證請求，則可能導致業務丟失。

同樣，當網管希望盡快將AD 站點中創建的更改復制到所有其他AD 站點時，最大的問題是如何進行檢查。

為此，管理員可以通過編寫PowerShell 腳本來檢查AD 組件。當然，也可以采用一些殊途同歸的管理工具。

AD 風險在哪？

近年來，AD 運行風險日益被重視，為此不少大型機構都開始采用多項認證標準例如SOX、PCI、HIPPA 以及GDPR 等，而有關AD 風險管理的工具產品也紛紛問世。一些已決定遷移到云的公司機構，必須考慮AD 運行狀況和風險評估檢查，包括檢查過時的用戶帳戶，禁用的用戶和計算機帳戶以及任何不能復制的孤立對象。

同樣，如果決定在云中實施域控制器，則必須檢查復制以確保其正常運行。

在對產品環境進行任何重大更改之前，也應該對所有AD 組件執行全面檢查。有些重大更改依賴于AD 基礎結構和對象，執行檢查當然也是為確保AD 正常運行。

另外，當公司進行重組合并時，往往需要將AD 林合并，為此有必要在合并之前對AD運行狀況執行檢查。

AD 風險怎樣檢控

目前市場上有多種工具可以檢查AD，例如微軟ADRAP Engagement 和Office 365 IT 運行狀況和風險掃描程序。但并非所有工具都可以對AD 林執行完整的運行狀況和風險評估。某些工具雖然找不到AD 檢查功能，但也能夠發現隱藏的問題。當然，管理員也可以通過PowerShell 腳本程序完成檢查工作。

其實，我們可以使用PowerShell 腳本檢查Active Directory 的每個組件，為此需要知道要運行狀況檢查的相關組件。

例如，我們在檢查AD 林復制狀態時，可能會忘記檢查AD 的其他組件，例如組策略，AD 站點等。雖然PowerShell 用于AD 組件的檢查命令非常全面，但要設計一個對AD 進行徹查的PowerShell 腳本并不容易，很可能需要數月時間。

例如，使用以下PowerShell 命令可以檢查AD 站點中的復制狀態：

Get-ADReplication Failure -scope SITE-target Seattle | FT Server,FirstFailureTime,FailureClount,LastError,Partner -AUTO

微軟產品ADRAP 旨在為客戶提供AD 風險評估計劃。ADRAP 程序涵蓋了在AD 環境中執行的所有檢查，還生成了有關該工具發現的問題的報告。雖然ADRAP 程序可以使用AD 快照工具發現所有AD 存在的問題，但它非常昂貴，并且只能用于單個Active Directory 林。如果有多個AD 林，則需要為每個AD 林付費。而且ADRAP 工具有效期只有一年。

市場上還有一款名為O365 IT Health and Risk Scanner 的產品值得關注。O365 IT 掃描程序旨在對您的Microsoft 生態系統執行完整的運行狀況檢查，包括Active Directory，Hyper-V、Microsoft Exchange、SQL服務器、Microsoft Azure、Office 365 等。該產品可以執行完整的Active Directory 運行狀況和風險檢查，并提供問題和建議來解決問題。

O365 IT Health and Risk Scanner 的一個優點是產品的動態性，它允許管理員創建與任何技術相關的健康檢查。O365 IT 健康和風險掃描儀產品正成為IT 管理員，IT 架構師和托管服務提供商的首選，您可以通過單擊技術標簽添加您選擇的運行狀況檢查，然后創建評估配置文件。

O365 IT 運行狀況和風險掃描程序的另一個顯著特性是有助于在AD 環境中查找關鍵和高健康問題和風險，通過使用委派加載項委派運行狀況和風險評估任務，能夠安排動態包，并能夠快速生成風險和健康評估報告，并能夠根據客戶需要執行自定義報告。