L’histoire
Il y a des années, certains d’entre vous s’en souviennent peut-être, Active Directory (AD) était à la mode. Je me souviens de sa sortie avec Microsoft Windows Server 2000 et j’ai écrit des livres entiers sur le sujet, de la conception au développement en passant par la maintenance continue. Au fil du temps, il a perdu son innovation en tant que nouveau jeu glamour, mais il n’a pas perdu sa valeur en tant que fondement de tous les autres aspects de votre réseau et de vos serveurs internes, tels que Exchange.Cela s’applique même à votre cousin du cloud Azure AD. -basé. Rien ne sort l’ensemble de la suite Microsoft 365 comme une panne d’Azure AD car l’authentification et une foule d’autres besoins de serveur y sont associés.
Sans aucun doute, AD est censé simplement “travailler”. Historiquement, ce n’est pas toute l’histoire. Demandez à toute personne qui a chassé l’aiguille dans une botte de foin lorsqu’une application génère des erreurs en raison d’un problème AD sous-jacent qui n’était pas immédiatement visible. Il se manifeste par des tickets de support tournant autour du symptôme (par exemple, “Je ne peux pas utiliser l’application X”), mais rien n’indique immédiatement qu’il s’agit d’un problème de contrôleur de domaine, d’un problème de lecture, d’un problème LDAP Kerberos, etc. . Détecter la cause du problème est presque impossible et peut prendre des jours ou des semaines. Fournir de la visibilité à ces lacunes est l’endroit où ENow brille et rend le groupe simple.
La solution
La première fois que j’ai regardé ENow (il y a des années), cela a résolu un problème courant du jour : le suivi des échanges. Aujourd’hui, ENow a élargi son champ d’action pour résoudre de multiples problèmes de complexité variable, à la fois en interne et dans le cloud. Cependant, ils ont conservé des éléments clés qui profitent aux administrateurs informatiques avec un panneau de contrôle OneLook unifié qui offre une visibilité instantanée sur l’état actuel d’Active Directory. Les problèmes sont littéralement appelés avec de grandes lumières rouges clignotantes sur une piste de pain où vous pouvez analyser pour trouver la cause première de l’alerte.
Parfois, il n’est pas immédiatement évident que la DA est la racine d’un problème. Par exemple, vous avez un problème avec Exchange Server et vous pensez peut-être qu’il s’agit d’un problème de réseau ou de stockage, mais la connexion entre Exchange et AD est si forte qu’il pourrait bien s’agir d’un problème AD. Les listes de diffusion ne s’allongent pas, les files d’attente s’accumulent… est-ce parce que les performances des contrôleurs de domaine (DC) sont étouffées ? Comment savoir si vous n’aviez rien à regarder DC ? Avec les problèmes d’AD, c’est souvent le dernier endroit où vous recherchez le problème, car, encore une fois, la réputation d’AD est censée “fonctionner”. Les problèmes d’AD sous-jacents peuvent étouffer les performances d’AD dans votre environnement, donc la visibilité supplémentaire d’une solution de surveillance est la clé pour trouver une analyse plus rapidement.
En 2020, un problème AD courant qui s’est posé concernait le numéro de sous-réseau DC conçu pour gérer les connexions VPN entrantes. Imaginez une installation prête à gérer un maximum de connexions à 10 % des effectifs de l’entreprise en même temps. Du coup, au quotidien, on lui demande de certifier la gestion des identités de 90% à 100% de l’entreprise qui travaille à domicile et se connecte via VPN. Avoir plus de transparence dans le scénario global grâce à la surveillance et à la création de rapports vous aidera à voir le problème rapidement et à prendre des mesures pour augmenter le nombre de DC sur ce sous-réseau.
Les éléments clés surveillés comprennent les catégories et sous-catégories suivantes :
Vérifier ces catégories vous aidera à voir la valeur d’un service qui les surveille sur votre réseau. Certains d’entre eux sont évidents, mais examinons-en quelques-uns. Par exemple, dans AD Core, surveiller le service de temps AD. Une synchronisation précise de l’heure est essentielle pour le service d’annuaire Active Directory, car les problèmes de synchronisation entraînent des échecs d’authentification Kerberos. Les serveurs AD doivent être à moins de cinq minutes les uns des autres. Si les serveurs ne sont pas synchronisés, les clients peuvent ne pas être en mesure de s’authentifier et les contrôleurs de domaine peuvent ne pas être en mesure de jouer. Vous pouvez voir à quel point il serait bon de savoir si un serveur est désynchronisé dès que possible.
Les requêtes LDAP coûteuses, c’est-à-dire les requêtes LDAP inefficaces et à long terme, peuvent être un autre problème qui mérite d’être identifié et d’intervenir. Une requête LDAP peut être exécutée par une variété d’outils (PowerShell, ldapsearch, VB Scripts) et les requêtes standard ne sont généralement pas un problème. Cependant, il y a des moments où une requête LDAP peut prendre beaucoup de temps ou utiliser trop de ressources, et encore une fois, disposer d’un outil capable de la détecter et de l’afficher pour le service informatique peut aider à améliorer les performances globales de l’environnement AD.
Un autre problème de sécurité lié à LDAP se produit lorsque les contrôleurs de domaine autorisent les clients LDAP à communiquer sans connexion ni signature de canal appropriées. Cette vulnérabilité ouvre la porte aux attaques MiTM (middle human). La connaissance des contrôleurs de domaine qui autorisent des connexions LDAP non sécurisées est essentielle pour garantir que ces serveurs sont à jour et correctement configurés.
Les administrateurs constatent rapidement que la localisation des contrôleurs de domaine servant la liaison LDAP au texte brut est la partie facile du statut LDAP dangereux. À l’heure actuelle, Microsoft ne fournit pas de moyen simple de voir quels utilisateurs, appareils ou applications spécifiques demandent des engagements LDAP non sécurisés. L’impact pour l’administrateur est qu’il ne sait pas quels utilisateurs, appareils ou applications cesseront de fonctionner pendant la configuration DC pour éviter les connexions LDAP dangereuses.
La solution ENow aide les administrateurs à échapper à cette situation précaire en signalant les contrôleurs de domaine qui ne rejettent pas les connexions LDAP non sécurisées ainsi qu’un rapport détaillé répertoriant chaque adresse IP et nom d’utilisateur client qui appellent des méthodes LDAP non sécurisées. Ce bouton simple fournit une présentation automatisée permettant à l’administrateur de savoir quels appareils utilisent LDAP non sécurisé au sein de l’organisation et, surtout, qui. Cette approche permet à l’administrateur d’accéder directement à la source et de renforcer les périphériques au sein de l’organisation.
Remarque : Microsoft fournit des instructions pour connecter les canaux LDAP et signer LDAP ici.
Active Directory peut souffrir de problèmes de lecture en raison de problèmes DNS, de problèmes de réseau (paramètres de pare-feu), de synchronisation ou de nombreux autres facteurs pouvant entraîner l’échec de la lecture. C’est là que vous devez être en mesure de voir l’échec, puis d’analyser pour trouver la cause première. La solution de surveillance ENow peut vous aider à faire exactement cela.
Ce sont quelques-unes des nombreuses catégories/scénarios importants qui sont surveillés et qui sont essentiels pour maintenir un environnement AD sain.
La plate-forme comprend également une mine d’informations dans la bibliothèque de rapports dont les administrateurs ont besoin pour gérer AD, telles que les comptes AD verrouillés et les utilisateurs par heure de dernière connexion à partir de DC.
La magie
Toute technologie individuelle peut être surveillée à l’aide d’une solution silencieuse. Regarder AD dans un environnement sous vide est agréable, mais regarder AD en combinaison avec de nombreuses autres solutions (sur site et dans le cloud) vous permet d’avoir une vue d’ensemble en même temps. Cela devrait commencer par le DC en bas, la fondation. Et construire à partir de là. C’est là que réside la magie dans la suite de solutions ENow. Une phrase souvent erronée d’Henry David Thoreau est « c’est bien de construire vos châteaux dans le ciel tant que vous gardez les pieds sur terre ». Sa ligne initiale était plus éloquente, mais elle a le même sens : « Si vous avez construit des châteaux dans les airs, votre travail ne doit pas être perdu. il doit y avoir. Maintenant, posez les fondations sous eux. “-Henry David Thorau.
C’est le problème… si le service d’annuaire Active Directory prend en charge l’intégralité de l’annuaire du serveur Microsoft (sur site ou dans le cloud) en tant que point fondamental, il est alors logique que vous souhaitiez surveiller ces serveurs AD, leurs protocoles sous-jacents (LDAP), divers services (DNS, etc.), le système d’exploitation de ces serveurs (patchs et mises à jour) et les composants AD de base (heure, lecture).
Surveillance et rapports ENow : le verdict
Disposer d’une solution telle qu’ADow AD et ENow AD Reporting permettra non seulement à votre environnement AD de fonctionner en douceur, mais il s’intégrera également à la gamme complète d’outils de surveillance supplémentaires pour Exchange, Office 365 et plus encore. Une information complète à travers une vitre n’est pas seulement utile pour les responsables informatiques qui veulent faire leur travail, mais aussi pour les décideurs informatiques (tels que le DSI ou le CTO) car elle assure une meilleure continuité organisationnelle.
Lors des tests de produits, TechGenix a un système de notation entre zéro et cinq étoiles, cinq étoiles étant le score parfait. J’attribue à Active Directory Monitoring and Reporting d’ENow une note de 4,5, ce qui est une étoile d’or.
Note : 4.5 / 5
Vues de la publication :
3
L’histoire
Il y a des années, certains d’entre vous s’en souviennent peut-être, Active Directory (AD) était à la mode. Je me souviens de sa sortie avec Microsoft Windows Server 2000 et j’ai écrit des livres entiers sur le sujet, de la conception au développement en passant par la maintenance continue. Au fil du temps, il a perdu son innovation en tant que nouveau jeu glamour, mais il n’a pas perdu sa valeur en tant que fondement de tous les autres aspects de votre réseau et de vos serveurs internes, tels que Exchange.Cela s’applique même à votre cousin du cloud Azure AD. -basé. Rien ne sort l’ensemble de la suite Microsoft 365 comme une panne d’Azure AD car l’authentification et une foule d’autres besoins de serveur y sont associés.
Sans aucun doute, AD est censé simplement “travailler”. Historiquement, ce n’est pas toute l’histoire. Demandez à toute personne qui a chassé l’aiguille dans une botte de foin lorsqu’une application génère des erreurs en raison d’un problème AD sous-jacent qui n’était pas immédiatement visible. Il se manifeste par des tickets de support tournant autour du symptôme (par exemple, “Je ne peux pas utiliser l’application X”), mais rien n’indique immédiatement qu’il s’agit d’un problème de contrôleur de domaine, d’un problème de lecture, d’un problème LDAP Kerberos, etc. . Détecter la cause du problème est presque impossible et peut prendre des jours ou des semaines. Fournir de la visibilité à ces lacunes est l’endroit où ENow brille et rend le groupe simple.
La solution
La première fois que j’ai regardé ENow (il y a des années), cela a résolu un problème courant du jour : le suivi des échanges. Aujourd’hui, ENow a élargi son champ d’action pour résoudre de multiples problèmes de complexité variable, à la fois en interne et dans le cloud. Cependant, ils ont conservé des éléments clés qui profitent aux administrateurs informatiques avec un panneau de contrôle OneLook unifié qui offre une visibilité instantanée sur l’état actuel d’Active Directory. Les problèmes sont littéralement appelés avec de grandes lumières rouges clignotantes sur une piste de pain où vous pouvez analyser pour trouver la cause première de l’alerte.
Parfois, il n’est pas immédiatement évident que la DA est la racine d’un problème. Par exemple, vous avez un problème avec Exchange Server et vous pensez peut-être qu’il s’agit d’un problème de réseau ou de stockage, mais la connexion entre Exchange et AD est si forte qu’il pourrait bien s’agir d’un problème AD. Les listes de diffusion ne s’allongent pas, les files d’attente s’accumulent… est-ce parce que les performances des contrôleurs de domaine (DC) sont étouffées ? Comment savoir si vous n’aviez rien à regarder DC ? Avec les problèmes d’AD, c’est souvent le dernier endroit où vous recherchez le problème, car, encore une fois, la réputation d’AD est censée “fonctionner”. Les problèmes d’AD sous-jacents peuvent étouffer les performances d’AD dans votre environnement, donc la visibilité supplémentaire d’une solution de surveillance est la clé pour trouver une analyse plus rapidement.
En 2020, un problème AD courant qui s’est posé concernait le numéro de sous-réseau DC conçu pour gérer les connexions VPN entrantes. Imaginez une installation prête à gérer un maximum de connexions à 10 % des effectifs de l’entreprise en même temps. Du coup, au quotidien, on lui demande de certifier la gestion des identités de 90% à 100% de l’entreprise qui travaille à domicile et se connecte via VPN. Avoir plus de transparence dans le scénario global grâce à la surveillance et à la création de rapports vous aidera à voir le problème rapidement et à prendre des mesures pour augmenter le nombre de DC sur ce sous-réseau.
Les éléments clés surveillés comprennent les catégories et sous-catégories suivantes :
Vérifier ces catégories vous aidera à voir la valeur d’un service qui les surveille sur votre réseau. Certains d’entre eux sont évidents, mais examinons-en quelques-uns. Par exemple, dans AD Core, surveiller le service de temps AD. Une synchronisation précise de l’heure est essentielle pour le service d’annuaire Active Directory, car les problèmes de synchronisation entraînent des échecs d’authentification Kerberos. Les serveurs AD doivent être à moins de cinq minutes les uns des autres. Si les serveurs ne sont pas synchronisés, les clients peuvent ne pas être en mesure de s’authentifier et les contrôleurs de domaine peuvent ne pas être en mesure de jouer. Vous pouvez voir à quel point il serait bon de savoir si un serveur est désynchronisé dès que possible.
Les requêtes LDAP coûteuses, c’est-à-dire les requêtes LDAP inefficaces et à long terme, peuvent être un autre problème qui mérite d’être identifié et d’intervenir. Une requête LDAP peut être exécutée par une variété d’outils (PowerShell, ldapsearch, VB Scripts) et les requêtes standard ne sont généralement pas un problème. Cependant, il y a des moments où une requête LDAP peut prendre beaucoup de temps ou utiliser trop de ressources, et encore une fois, disposer d’un outil capable de la détecter et de l’afficher pour le service informatique peut aider à améliorer les performances globales de l’environnement AD.
Un autre problème de sécurité lié à LDAP se produit lorsque les contrôleurs de domaine autorisent les clients LDAP à communiquer sans connexion ni signature de canal appropriées. Cette vulnérabilité ouvre la porte aux attaques MiTM (middle human). La connaissance des contrôleurs de domaine qui autorisent des connexions LDAP non sécurisées est essentielle pour garantir que ces serveurs sont à jour et correctement configurés.
Les administrateurs constatent rapidement que la localisation des contrôleurs de domaine servant la liaison LDAP au texte brut est la partie facile du statut LDAP dangereux. À l’heure actuelle, Microsoft ne fournit pas de moyen simple de voir quels utilisateurs, appareils ou applications spécifiques demandent des engagements LDAP non sécurisés. L’impact pour l’administrateur est qu’il ne sait pas quels utilisateurs, appareils ou applications cesseront de fonctionner pendant la configuration DC pour éviter les connexions LDAP dangereuses.
La solution ENow aide les administrateurs à échapper à cette situation précaire en signalant les contrôleurs de domaine qui ne rejettent pas les connexions LDAP non sécurisées ainsi qu’un rapport détaillé répertoriant chaque adresse IP et nom d’utilisateur client qui appellent des méthodes LDAP non sécurisées. Ce bouton simple fournit une présentation automatisée permettant à l’administrateur de savoir quels appareils utilisent LDAP non sécurisé au sein de l’organisation et, surtout, qui. Cette approche permet à l’administrateur d’accéder directement à la source et de renforcer les périphériques au sein de l’organisation.
Remarque : Microsoft fournit des instructions pour connecter les canaux LDAP et signer LDAP ici.
Active Directory peut souffrir de problèmes de lecture en raison de problèmes DNS, de problèmes de réseau (paramètres de pare-feu), de synchronisation ou de nombreux autres facteurs pouvant entraîner l’échec de la lecture. C’est là que vous devez être en mesure de voir l’échec, puis d’analyser pour trouver la cause première. La solution de surveillance ENow peut vous aider à faire exactement cela.
Ce sont quelques-unes des nombreuses catégories/scénarios importants qui sont surveillés et qui sont essentiels pour maintenir un environnement AD sain.
La plate-forme comprend également une mine d’informations dans la bibliothèque de rapports dont les administrateurs ont besoin pour gérer AD, telles que les comptes AD verrouillés et les utilisateurs par heure de dernière connexion à partir de DC.
La magie
Toute technologie individuelle peut être surveillée à l’aide d’une solution silencieuse. Regarder AD dans un environnement sous vide est agréable, mais regarder AD en combinaison avec de nombreuses autres solutions (sur site et dans le cloud) vous permet d’avoir une vue d’ensemble en même temps. Cela devrait commencer par le DC en bas, la fondation. Et construire à partir de là. C’est là que réside la magie dans la suite de solutions ENow. Une phrase souvent erronée d’Henry David Thoreau est « c’est bien de construire vos châteaux dans le ciel tant que vous gardez les pieds sur terre ». Sa ligne initiale était plus éloquente, mais elle a le même sens : « Si vous avez construit des châteaux dans les airs, votre travail ne doit pas être perdu. il doit y avoir. Maintenant, posez les fondations sous eux. “-Henry David Thorau.
C’est le problème… si le service d’annuaire Active Directory prend en charge l’intégralité de l’annuaire du serveur Microsoft (sur site ou dans le cloud) en tant que point fondamental, il est alors logique que vous souhaitiez surveiller ces serveurs AD, leurs protocoles sous-jacents (LDAP), divers services (DNS, etc.), le système d’exploitation de ces serveurs (patchs et mises à jour) et les composants AD de base (heure, lecture).
Surveillance et rapports ENow : le verdict
Disposer d’une solution telle qu’ADow AD et ENow AD Reporting permettra non seulement à votre environnement AD de fonctionner en douceur, mais il s’intégrera également à la gamme complète d’outils de surveillance supplémentaires pour Exchange, Office 365 et plus encore. Une information complète à travers une vitre n’est pas seulement utile pour les responsables informatiques qui veulent faire leur travail, mais aussi pour les décideurs informatiques (tels que le DSI ou le CTO) car elle assure une meilleure continuité organisationnelle.
Lors des tests de produits, TechGenix a un système de notation entre zéro et cinq étoiles, cinq étoiles étant le score parfait. J’attribue à Active Directory Monitoring and Reporting d’ENow une note de 4,5, ce qui est une étoile d’or.
Note : 4.5 / 5
Vues de la publication :
3
Post Views:
84
