Active Directoryは、組織にとって重要なコンポーネントです。 すべてのビジネスアプリケーションは、アプリケーションデータへのアクセスを許可する前に、Active Directory認証サブシステムを使用します。 Active Directoryは、重要なビジネスアプリケーションのダウンタイムを回避するために効果的に動作する必要がある基本コンポーネントです。 たとえば、社内で設計されたアプリケーションが100件の認証要求を処理し、ドメインコントローラがアプリケーションからの認証要求に適時に応答しな 同様に、Active Directoryサイトで作成された変更は、できるだけ早く他のすべてのActive Directoryサイトにレプリケートされることが予想されます。 大きな問題は、これらのチェックをどのように実行するかです。 ディレクトリサービスのMICROSOFT MVPとして、私はActive Directoryの正常性評価に関するローカルおよびグローバルな顧客と多くの契約を行ってきました。 以前は、Active Directoryの特定のコンポーネントをチェックするために個々のPowerShellスクリプトを設計していました。 しかし、私はあなたと共有できる他の多くの自動化されたツールを使って作業したので、あなたの要件に基づいて最高のものを選ぶことができます。
Active Directoryのリスク評価を実行する理由
Active Directoryのリスクと正常性の評価を行う必要がある理由については、以下のようにいくつかの理由があります:
- 監査およびコンプライアンスの目的: 大規模な組織では、組織がSOX、PCI、HIPPA、およびGDPRの基準に準拠していることが確実に必要になります。 Active Directoryリスク評価製品の多くは、コンプライアンス基準で提供されているガイドラインに従っています。
- クラウドに移行する前に:組織がクラウドに移行することを決定した場合は、Active Directoryの正常性とリスク評価のチェックを検討する必要があります。 クラウドに移動する前に、古いユーザーアカウント、無効なユーザーアカウントとコンピューターアカウント、およびcouldに複製してはならない孤立したオブジェク 同様に、クラウドにドメインコントローラを実装する場合は、レプリケーションが正常に動作していることを確認する必要があります。
- 運用環境で大きな変更を行う前に:運用環境で大きな変更を行う前に、すべてのActive Directoryコンポーネントについて徹底的なチェックを実行することをお勧 実行するチェックでは、Active Directoryインフラストラクチャとオブジェクトに大きく依存するテクノロジの実装など、大きな変更を行う前に、Active Directoryが正常で
- 別の会社とのマージ:運用Active Directoryフォレストを別の会社のActive Directoryフォレストとマージする前に、Active Directoryヘルスチェックを実行する必要がある場合もあります。
Active Directoryヘルスチェックに使用可能な方法
Microsoft PowerShellスクリプト、Microsoft ADRAP Engagement、Office365IT Health and Risk Scannerの使用など、要件に基づいて使用可能な方法がいくつかあります。 いくつかのチェックを提供することができますが、すべてのツールがActive Directoryフォレストの完全な正常性とリスク評価を実行できるわけではありません。 たとえば、一部のツールには確かに必要なヘルスチェックが含まれていない場合があり、一部の製品は実際に隠された問題を発見することができます。
PowerShellスクリプトの使用
PowerShellスクリプトを使用してActive Directoryの各コンポーネントを確認できますが、ヘルスチェックの一部として確認するすべてのコンポーネ たとえば、Active Directoryフォレストレプリケーションの状態を確認することにしたが、グループポリシー、Active DirectoryサイトなどのActive Directoryの他のコンポーネントの確認を忘れ Microsoftは、特定のActive Directoryコンポーネントをチェックするために必要なPowerShellコマンドレットを提供していますが、Active Directoryの重要な側面で実行されるチェックを含 例として、以下のPowerShellコマンドを使用すると、Active Directoryサイトでレプリケーションの状態を確認できます:
Get-ADReplicationFailure -scope SITE -target Seattle | FT Server, FirstFailureTime, FailureClount, LastError, Partner -AUTO
Microsoft ADRAP Engagement
マイクロソフトは、プレミア顧客向けにActive Directoryリスク評価プログラムを提供しています。 ADRAPプログラムは、Active Directory環境で実行されるすべてのチェックをカバーし、ツールによって発見された問題に関するレポートを生成します。 ADRAPプログラムは、評価プロセスの資格を持つMicrosoft Premier Field Engineerによって実行されます。 ADRAPプログラムは、Active Directoryスナップショットツールを使用してすべてのActive Directoryの問題を検出できますが、非常に高価であり、単一のActive Directoryフォレストにのみ使 単一フォレストの制限に加えて、adrapツールはプレミア契約を持っていないお客様には利用できません。 複数のActive Directoryフォレストがある場合は、Active Directoryフォレストごとに料金を支払う必要があります。 また、ADRAPツールは一年間しか使用できないことにも言及する価値があります。
O365IT Health and Risk Scanner
O365IT Health and Risk Scannerと呼ばれる市場で入手可能な優れた製品があります。 O365ITスキャナーは、Active Directory、Hyper-V、Microsoft Exchange、SQL server、Microsoft Azure、Office365などを含むMicrosoftエコシステムの完全なヘルスチェックを実行するように設計されています。 製品は、Active Directoryの正常性とリスクの完全なチェックを実行し、問題を修正するための問題と推奨事項を提供できます。 O365IT Health and Risk Scannerの良い点の1つは、製品が動的であることです。 それはあなたが任意の技術に関連する独自の健康チェックを作成することができます。 O365IT Health and Risk Scanner製品は、IT管理者、ITアーキテクト、マネージドサービスプロバイダーにとって最初の選択肢になりつつあります。 以下のスクリーンショットに示すように、技術ラベルをクリックして任意のヘルスチェックを追加し、評価プロファイルを作成することができます:
私は多くのお客様にO365ITスキャナを使用しており、非常に便利です。 O365It Health and Risk Scannerの注目すべき機能のいくつかは、Active Directory環境における重大で高い正常性の問題とリスクの発見、委任アドオンを使用して正常性とリスク評価タスクを委任する機能、動的パックをスケジュー
Active Directoryの正常性とリスク評価: Must-do
運用Active Directoryフォレストに対してActive Directoryの正常性とリスクの評価を実行する必要がある理由の概要を説明しました。 Active Directoryフォレストの正常性とリスクの評価を実行するために使用できる方法を提供しました。 Microsoft ADRAPツールはActive Directory評価を実行できますが、O365IT Health and Risk ScannerはMicrosoftエコシステム全体の正常性とリスク評価を実行できます。
注目画像: