Active Directory是企业后端最重要的基础架构应用,没有之一。AD的安全与可靠几乎影响所有应用。除了符合微软最佳实践的设计以及标准化的运维之外,定期执行一次健康检查,并且在重大项目启动前也进行一次健康检查将会很好的保障整个活动目录持续可靠的为企业应用提供良好的支撑。


微软原厂可以提供专业的AD健康检查服务,使用ADRAP(Risk Assessment Program)程序,运行ADST(Active Directory Snapshot Tool)工具来抓取AD中的各种信息,并最终生成报告。但是第三方厂商或者企业IT自己该如何来做一个专业的AD健康检查呢?


AD健康检查到底应该检查什么?

其实这是一个很复杂的问题,AD的健康状态取决于太多的技术因素和组织/流程因素了。即使通过分析断定AD的配置是健康的,但是如果缺乏良好的运维流程如变更控制等,也将会为稳定的环境带来更多的随机性与不稳定行。那么Active Directory健康检查到底应该覆盖什么?

  1. Active Directory 架构/配置

    a.AD林、域及信任关系

    b.域功能级别,林功能级别

    c.架构符合最佳实践

  2. 域控制器

    a.数量以及物理特性(虚拟化)

    b.域控制器放置位置

    c.FSMO角色放置

    d.物理安全

    d.全局编录配置

    e.时间同步设置

    f.事件日志检查

  3. 站点与服务架构

    a.站点与物理分布的对应关系

    b.站点链路桥接配置

    c.首选桥头配置

    d.站点链接计划与成本配置

    e.IP子网定义与站点关系

    f.连接对象

  4. 命名空间与名称解析

    a.DNS转发与委派

    b.区域配置、复制、安全

    c.DNS区域清理

    d.DHCP动态注册

    e.DHCP服务标识

    f.DHCP配置

  5. 认证与授权策略

    a.密码策略,密码锁定与过期设置

    b.陈旧的对象与密码

    c.永不过期的密码账户管理

    d.Domain, Enterprise Admin Group 特权账户的管理

    e.授权策略

    f.RBAC基于角色的访问控制(RoleBased Access Control

  6. 复制状态健康检查

    a.目录复制与收敛

    b.NTFRS复制

    c.DFSR, SYSVOL复制

  7. 防病毒、补丁、备份与恢复流程

  8. 组策略与组织单元检查


以上是对AD进行全面的健康检查应该覆盖的High-Level的概述,但这只是一个开始。根据环境和规模,一个AD健康检查可能需要5~10个工作日。


Active Directory 评估工具

AD健康检查所依赖的信息不能完全通过手工来收集,微软除了为自家Premier提供了ADST工具外,对外也仍然公开了一系列的工具可以帮助ITPro进行比较专业的分析


  1. ADTD, Active Directory Topology Diagrammer

  2. ADBPA, Active Directory Best Practices Analyzer,

  3. MBSA, Microsoft Baseline Security Analyzer

  4. GPMC, Group Policy Management Console

  5. 命令行工具: dcdiag, nltest, dfsrdiag, repadmin, dnscmd, dsget


除了技术工具外,需要结合访谈,以获取组织信息,原始设计文档,运维流程,管理模式等信息,得出最终的结论。


在后面的文章中,将逐一展开具体的步骤。