Gli amministratori IT devono monitorare costantemente lo stato di integrità del loro ambiente Active Directory. Questa fase proattiva è importante per garantire che le prestazioni di AD siano ottimizzate e che il team IT non sia sommerso di chiamate all'help desk.
Questo articolo esamina solo quattro dei modi in cui i team IT possono valutare e controllare l’integrità di AD e, se necessario, adottare misure correttive. Questo non è un elenco esaustivo.
Il comando Repadmin /replsummary riassume lo stato di replica di tutti i domain controller in tutti i domini della foresta. È inoltre possibile conoscere l'ultima volta che un DC si è replicato e il motivo per cui ha smesso di replicarsi.
Ecco un esempio di output:
Sono quattro i componenti di sistema fondamentali per il funzionamento efficiente di Active Directory Domain Services: 1) replica DFS, 2) server DNS, 3) messaggistica tra siti e 4) centro di distribuzione delle chiavi Kerberos (vedi la schermata sottostante).
Assicurati che questi componenti funzionino correttamente eseguendo il seguente comando:
$Services='DNS','DFS Replication','Intersite Messaging','Kerberos Key Distribution Center','NetLogon',’Active Directory Domain Services’
ForEach ($Service in $Services) {Get-Service $Service | Select-Object Name, Status}
Di seguito è riportato un esempio di output dopo l'esecuzione di questo comando. Ricorda che stai verificando anche lo stato d’integrità del servizio NetLogon e di Active Directory Domain Services (indicati con NTDS) nel loro complesso. Lo stato di esempio mostra che tutti i servizi sono in esecuzione.
Lo strumento DCDiag può essere utilizzato dagli amministratori IT per verificare diversi aspetti di un domain controller, tra cui il DNS. Una delle cause più comuni per cui AD non funziona è il DNS. Un errore del DNS può a sua volta portare a un errore della replica. L'esecuzione di DCDiag per DNS consentirà agli amministratori IT di verificare lo stato d’integrità dei forwarder DNS, della delega DNS e della registrazione dei record DNS.
Ecco il comando per l'esecuzione:DCDiag /Test:DNS /e /v
Il primo passo per mitigare la vulnerabilità delle associazioni LDAP non sicure consiste nell'identificare se si riscontra questo problema, cosa che si può fare esaminando l'ID evento 2887. L'evento 2887 viene registrato per impostazione predefinita nel DC una volta ogni 24 ore e mostra il numero di associazioni non firmate e testo non crittografato al DC. Qualsiasi numero superiore a zero indica che il DC sta consentendo associazioni LDAP non sicure.
Successivamente, è necessario rilevare tutti i dispositivi e le applicazioni che utilizzano le associazioni non sicure esaminando l'ID evento 2889. L'evento 2889 viene registrato nel DC ogni volta che un computer client tenta un'associazione LDAP non firmata. Mostra l'indirizzo IP e il nome dell'account del computer che ha tentato di autenticarsi tramite un'associazione LDAP non firmata.
Il cmdlet PowerShell per ottenere questo risultato è il seguente:
Get-WinEvent -FilterHashtable @{
LogName = 'Security'
ID = 2889
}
In questo esempio di output, non si vedono associazioni non sicure.