Ist die Rede vom Zustand eines Active Directory sind in der Regel mehrere Faktoren involviert:  können Anwender sich im Netzwerk anmelden, stehen einzelne Domain Controller zur Verfügung und wird das AD Datenbankschema innerhalb des Unternehmens synchronisiert. All diese Faktoren können – und sollten – berechnet und bemessen werden.

Bei näherem Hinsehen liegt die Definition des AD Zustands jedoch immer beim Betrachter selbst. Leitende Angestellte bewerten den Zustand eines AD’s  anhand einer günstigen Kosten/Nutzen Relation, Anwender anhand der Ansprechbarkeit des Systems. Security Mitarbeiter legen Wert darauf, dass korrekte Konfigurationswerte vorliegen, um das Active Directory vor Schwachstellen zu schützen.

Lassen Sie uns vier primäre Aspekte, die für ein korrekt funktionierendes AD System verantwortlich sind, näher betrachten:

·          Struktur und Konfiguration

·          Security Einstellungen, Identitätsmanagement und Einhalten spezifischer Regelungen

·          Daten Integrität

·          Operationale Verfügbarkeit und korrekte Grössenbestimmung

Die optimale Verwaltung eines Active Directory erfordert natürlich auch Beratung in diesen wichtigen Bereichen. Man sollte jedoch nicht vergessen, dass die Verwaltung aller verteilten Systeme manchmal eine Wissenschaft für sich ist. Frühe Problemerkennung und verlässliche Metriken vereinfachen diese Aufgaben, letztendlich existiert jedoch kein wirklicher Ersatz für ein gutes Verständnis der Architektur, Planung und fortlaufende Analyse.

Die Validation der AD Struktur ist vielleicht nur das Bereitstellen entsprechender Kapazitäten, aber haben Sie auch die instabilen Wide Area Links zu Niederlassungen in Betracht gezogen? Was, wenn Ihr Unternehmen mit einer anderen Organisation fusioniert? Haben Sie freie Kapazitäten für Inhaber kritischer AD Rollen?

Kapazitätsplanung, korrekte Grössenbestimmung einer AD Umgebung und die Aufstellung wichtiger Elemente stellen komplexe Aufgaben dar. Die Frage, wo fundamentale Elemente wie z.B. ein Domain Controller hingehören, ist alles andere als einfach zu verstehen und zu beantworten. Eine schier unendliche Anzahl Konzepte und Bewertungen gilt es zu verstehen:

·          Welche Bandbreite steht für Inter-Site Links zur Verfügung?

·          Wie viele Anwender existieren in Ihrer Umgebung? Auf welche Anwendungen greifen diese zu? Wie oft werden Passwörter geändert?

Automatisches Sammeln von Daten: Viele der für ein besseres Verständnis von Performance und Grössenbestimmung notwendigen Daten können vor dem endgültigen Einsatz eines Active Directory erhoben werden. Architektonische Handbücher empfehlen, sämtliche Evaluierungen mit aktivierter Überwachungsfunktion durchzuführen. Sie sind somit in der Lage, notwendige Metriken zu sammeln und erhalten ein detailliertes Bild über die Performance Ihres Systems, mögliche Auswirkungen verschiedener Anwendungen auf Ihre Umgebung und korrekte Konfiguration Ihrer Struktur.

Auf manche Informationen können Sie problemlos zugreifen, z.B. über Objekt Counter, Platten Tools, etc. Andere Informationen jedoch wie z.B. Anzahl Objekte und Eigenschaften erfordern einen programmatischen Ansatz wie z.B. über ADSI Query.

Diese Metriken sollten Sie jedoch nicht einschüchtern. Sie können NetIQ’s AppManager problemlos konfigurieren, um mit Hilfe vorhandener Instrumente (sog. Knowledge Scripts) entsprechende Informationen zu sammeln oder aber die vorhandenen Überwachungsfunktionen um generische Überwachung und Scripts zum Sammeln von Daten  erweitern

Security ist ein wichtiger Aspekt bei der Betrachtung des AD Zustands und sollte kurz reflektiert werden.

Ein Active Directory enthält eine grosse Anzahl unterschiedlicher – wenn nicht alle – Security Konfigurationen eines Unternehmens. Eine korrekte Überprüfung ist daher unerlässlich, um Risiken zu minimieren, im besonderen in Unternehmen, die administrative Berechtigungen an eine grosse Zahl technischer Mitarbeiter vergeben bzw. die Verwaltung von Anwender und Computer Accounts delegieren. Sicheres Verständnis folgender Elemente ist für einwandfreie Security und das Einhalten unternehmerischer Regeln und Vorschriften unabdingbar:

·          Zugehörigkeit zu Security Gruppen

·          Berechtigungen für den Zugriff auf Ressourcen wie z.B. Directories, Dateien und  Anwendungen

·          Group Policy Einstellung

·          Einstellungen des Passwort Managements für Lockout, Passwort Sicherheit und Intervalle, in denen Passwörter geändert werden (sollen).

NetIQ bietet unterschiedliche Tools, mit denen Sie den Security-relevaten Zustand Ihres AD bestimmen können. Die NetIQ Security Administration Suite ermöglicht Audit und Change Kontrolle für die Verwaltung Ihrer Rechner und Anwenderidentitäten und automatisiertes AD Management, so können die Anwender z.B. bestimmte Transaktionen eigenständig ausführen und Passwörter selbständig wiederherstellen.

Bevor wir uns mit der Betriebsbereitschaft Ihres AD’s befassen sollten wir eine dritte Grösse des AD Zustands betrachten: Datenintegrität.

Wichtige Elemente hierbei sind Speicherplatzkapazität und Verfügbarkeit von Speicher Subsystemen. Weitere, in Betracht zu ziehende Elemente sind in nachfolgender Tabelle aufgeführt:

Datenintegrität innerhalb eines AD Systems bedeutet in diesem Zusammenhang einheitliche Daten auf sämtlichen Domain Controllern in Ihrer Umgebung. Fehlerhafte Replikationen von System Volumes oder Objekten/Schemata führen zu instabilen oder nicht verfügbaren Anwenderattributen, Zugangskontrolle und Security. Verfälschte Daten müssen unverzüglich erkannt und korrigiert werden.

Mit der NetIQ AppManager Suite können Sie Speicherplatzprobleme (z.B. Verfügbarkeit und Kapazität) rasch erkennen und beheben, und erhalten eine Bestätigung über die erfolgreich ausgeführte Replikaton von System Volumes (FRS) und Objekten. 

Darüber hinaus sollte Ihr AD einheitlich mit Objekten und deren Attributen bestückt werden. Dieser wichtige,  administrative Bestandteil der Datenintegrität kann mit der NetIQ Security Administration Suite abgedeckt werden.

Die Betrachtung des Zustandes Ihres Active Directory umfasst viele unterschiedliche Aspekte. Microsoft’s Active Directory – oder andere Directory Dienste – sind verteilte Netzwerk Anwendungen. Die Anwendung und alle Belange der Betriebsbereitschaft sind in sich abgeschlossene Bereiche und ermöglichen andere Funktionen innerhalb einer Unternehmung.

Der Begriff “Zustand” bedarf aus diesem Grund näherer Erläuterung. Ein Active Directory ermöglicht Anwendern eines Unternehmens, auf das Netzwerk zuzugreifen. Sobald Anwender unter Einhaltung entsprechender Security Einstellungen und Regeln authentisiert wurden, müssen diese auf wichtige Anwendungen zugreifen können. Die Anwendungen wiederum müssen zwecks Zugangskontrolle und Einstellungen der Datenkonfiguration auf das Active Directory zugreifen können.

Wie wir gesehen haben reicht die Behauptung, Ihr Active Directory befindet sich in einem guten Zustand - da Domain Controller und zugrundeliegende Server Hardware in Betrieb sind - nicht aus. Daten müssen synchronisiert werden. Security bestätigt. Kommunikation zwischen einzelnen Domains bzw. Niederlassungen reibungslos funktionieren.

Letztendlich könnte man behaupten dass der einzige Wert, den Zustand eines AD zu bemessen, die Betriebsbereitschaft sei. Dies trifft nur in mancher Hinsicht zu. Nicht verfügbare Domain Controller, fehlerhafte Replikationen und nicht aufrecht erhaltene AD Roles können zu fehlerhafter Security, Daten und Struktur Ihres AD führen.