Innlegg

Tid for AD – del 3: Endringskontroll og sporbarhet

Sporbarhet/logging og endringskontroll er en forutsetning i mange fagapplikasjoner. For eksempel er det vanlig med krav til detaljert logging på transaksjonsnivå slik at man kan spore hva den enkelte bruker og superbruker foretar seg når det gjelder tilganger og konfigurasjonsendringer.

I infrastrukturverdenen er ikke kravene til sporbarhet like tydelige. Dette selv om sikkerhetsrisikoen og kravene til oppetid stiger proporsjonalt med kompleksiteten i infrastrukturen, og det er større risiko for datalekkasjer og andre sikkerhetshendelser ved bruk av priviligerte kontoer med full administrativ tilgang til SQL databaser, filområder, m.m.

Slik får du kontroll på Active Directory

Løsninger som Exchange, Lync, Sharepoint, fagsystemer, og tynnklient og virtualiseringsløsninger er tett integrert med AD for tilgangsstyring og autorisasjon.

For slike kritiske tjenester er det viktig å ha full kontroll på endringer som gjøres, både ønskede og uønskede. Dessverre ser vi at dette ikke er tilfelle. AD-opprydningsprosjekter, ofte drevet av sikkerhetsrevisjoner, ender opp med å må måtte gjøres på nytt etter en stund fordi man ikke overvåker endringer sentralt og automatisk. Endringer gjøres på kritiske objekter som Group Policies som styrer konfigurasjon for alle PC-er og brukere, høy-privilegerte grupper som Domain Admins, Enterprise Admins etc, uten at dette fanges opp. Som regel er problemet større jo mer distribuert organisasjonen er, eller jo mer ekstern hjelp man har til AD administrasjon.

Hvordan håndtere fil- og SQL-servere

I en Windows infrastruktur holder det ikke å kun ha sporing i AD for å ha kontroll på sikkerheten. Som eksempel kan vi trekke frem en filserver, enten Windows eller NAS. Her settes det rettigheter i filsystemet direkte, samt på share-nivå. Tilgang til filområdene styres som regel av AD grupper, slik at man rapporterer på medlemskap for å dokumentere hvem som har tilgang til hva, noe som gjør at man kun ser deler av bildet. Jeg har vært engasjert av en bedrift der sentralbordoperatøren ved en tilfeldighet oppdaget at hun hadde tilgang til filserverdata med styrerelatert- og konfidensiell informasjon lagret i en mappestruktur. Dette ble meldt til it-helpdesk og eskalert. Ledelsen krevde svar på hvor lenge disse dataene hadde ligget åpent for alle, noe ingen kunne svare på. I etterkant viste det seg at årsaken var trolig at en konsulent under feilsøking på en applikasjon hadde gjort en liten feil (et kryss for mye) ved endring på rettigheter i filsystemet og dermed hadde eksponert store deler av filserveren for «everyone read».

Hadde man hatt sanntidssporing på slike kritiske endringer kunne man fanget denne opp før det skjedde og ikke latt denne uønskede, men kritiske endringen vært uoppdaget. Det samme scenarioet kunne omhandlet SQL, Sharepoint, Exchange, Lync hvor det er viktig med denne type kontroll.

Automatiserte prosesser

Ved å ha en full endringslogg tilgjengelig vil man enkelt analysere om det har vært relevante endringer i forkant av driftsforstyrrelser. Når man da i tillegg kan etablere varsling på endringer som skjer, type avvik, har man kommet et godt steg videre i å sikre oppetid på kritiske tjenester og sikre at det ikke gjøres endringer som leder til datalekkasjer eller andre sikkerhetsavvik.

Kunnskap og ferdigheter tar deg langt. Et verktøy som automatiserer prosessene tar deg lenger. Vårt alternativ, Dell Software Change Auditor, implementeres på få timer og gir umiddelbart sentral oversikt over alle endringer. Dette med sporbarhet på hvem, hva, hvordan, fra hvor og når.

Vil du diskutere temaet nærmere eller ønsker en presentasjon? Ta kontakt på geir.aasen@software.dell.com

Fem vanlige feil ved migrering fra Windows Server 2003

Nedenfor har vi samlet fem av de vanligste feilene som begås ved migrering fra ett serveroperativsystem til et annet.

1.      For dårlig planlegging

Det aller viktigste før man går i gang med en så kritisk prosess som migrering til et nytt operativsystem er planleggingen. Likevel er det mange som ikke forbereder seg og forstår sitt eksisterende miljø før de går i gang med en migreringsprosess. Dette handler om å analysere tilstanden før migreringen starter, og å bestemme hva som skal flyttes over – så vel som hva som ikke får bli med.

Det er også noen som unnlater å identifisere applikasjoner som er avhengige av Active Directory før overgangsprosjektet starter opp. Det kan naturlig nok få uheldige konsekvenser, både for enkeltbrukere og for virksomheten som helhet.

2.      Undervurdering av effekt på brukere og organisasjon

Uavhengig av om du velger å restrukturere hele Active Directory-miljøet ditt ved å flytte alle ressurser inn i et nytt miljø ved hjelp av et AD-migreringsverktøy, eller om du legger til Windows Server 2012-domenekontrollere i ditt gamle Active Directory-miljø, er det viktig å være klar over hvordan brukerne kan bli påvirket.

Migrering, konsolidering og restrukturering av filserverdata bør ikke føre til nedetid for brukerne, og selv om selve prosjektet for det meste bør gjennomføres i arbeidstiden, kommer du langt ved å ha en helhetlig strategi for å drifte gamle og nye ressurser samtidig.

3.      Inkonsekvent eller fraværende sameksistens-strategi

Hvis migreringen får negative konsekvenser for brukerne henger det ofte sammen med en inkonsistent, eller i verste fall fraværende, strategi for hvordan gamle og nye ressurser skal fungere sammen i migreringsperioden. For enkelte stopper det imidlertid ikke der.

Dersom sameksistens-strategien din under migreringen ikke er god nok kan du i verste fall også komme i en situasjon hvor de aller nyeste data fra brukerne for eksempel ikke blir med til det nye miljøet. Usynkroniserte mapper, tap av produktivitet, og tillatelser som må opprettes på nytt for alle brukerne er andre litt for vanlige problemer som oppstår etter en migreringsprosess er utført.

4.      Utilstrekkelig databeskyttelse

Databeskyttelse som ikke blir ivaretatt godt nok er viktig nok til å fortjene å nevnes for seg. Migreringsprosjekter innebærer nemlig mye endringer og dermed høyere risiko for kritiske feil i Active Directory og andre systemer. Det er derfor viktig å ha en god gjenopprettelsesstrategi, slik at man enkelt kan rulle tilbake dersom uhellet skulle være ute.

5.      Mangelfull optimalisering av det nye miljøet

Et siste punkt jeg vil nevne er mangelfull optimering av det nye miljøet. Når du på forhånd har gjort jobben med kartlegging av hvilke verktøy som må byttes ut, kompatibilitetstesting av programmer som skal være med videre, og undersøkelse av hvilke applikasjoner som snakker med domenekontrollerne, er det nemlig lett å glemme oppfølgingen som må til etterpå. Det handler for eksempel om å utnytte nye muligheter i Windows Server 2012 til det fulle, men også enklere ting som å fjerne det du ikke vil ha bruk for fremover.

Nye muligheter

For våre kunder har vi i Dell migrert mer enn 50 millioner Active Directory-kontoer, og flyttet mer enn 40 millioner e-postbokser til Microsoft Exchange. Vår programvare håndterer i dag mer enn 86 millioner Active Directory-kontoer, og har to ganger blitt kåret til Microsoft ISV Partner of the Year. Basert på vår erfaring har vi utviklet migreringsmetodikken Dell ZeroIMPACT for å unngå disse og andre fallgruver.

Hvis du vil vite mer, eller behøver råd eller assistanse i forbindelse med migrering for din virksomhet, kan du ta kontakt med meg på Geir.Aasen@software.dell.com for å finne ut hva vi eller våre partnere kan bistå med.

Så mye sparer dere på Lync!

Lync er en stor suksess og svært utbredt i Norge. I mange tilfeller erstatter det tradisjonell telefoni(PBX) og brukes også til videokonferanser. Populariteten kommer fordi klienten er direkte integrert med arbeidsflaten og hverdagen til brukerne.

Vi havner ofte i diskusjoner med våre kunder rundt hvordan de har lykkes med å innføre Lync i sin organisasjon. Ofte stilte spørsmål er:

  • Bruker alle avdelinger og utekontorer Lync som planlagt?
  • Hvis noen ikke bruker det, er det på grunn av kvalitet på samtaler/videokonferanser?
  • Hva sparer vi på å bruke Lync?
  • Hvordan kan vi øke besparelsene ved å bruke Lync mer?

Regn hjem investeringen i Lync

Nå i oktober har vi vist frem et spennende nytt produkt: Unified Communications Command Suite – Analytics(UCCS-A). Vi vet at i kjølvannet av investeringer og store prosjekter er det ofte ønske om å synliggjøre faktiske resultater. Uten adopsjon av Lync-tjenester som tale, video og chat gjennom kultur- og holdningsendring er det vanskelig å redusere kostnader som forventet. Dette er et eksempel på hvor UCCS  kan hjelpe. Ved å samle data fra Active Directory, Lync CDR (Call Detail Records) og Lync QoE(Quality of Experience) databasene, kan vi presentere et fantastisk grensesnitt som gir fullverdige analyser på detaljnivå av Lync- og Exchange-bruk i organisasjonen (klikk for større bilde).

UCCS Lync QoE summary

Løsningen er tilpasset touch og personlige dashboards, rollebasert er tilgjengelig avhengig
av hva man ønsker å se (klikk for større bilde):

UCCS Lync Feature adoption

Ta kontakt på Geir.Aasen@software.dell.com for en uforpliktende presentasjon av løsningen.

Tid for AD – del 2: Hvordan modernisere og forenkle AD?

Active Directory (AD) er for de fleste den viktigste kilde for autentisering og autorisering til applikasjoner og systemer. Det gjør det viktig å sikre kvaliteten på innholdet, samtidig som man har en effektiv administrasjon. En vanlig situasjon er at alle endringer i AD som brukerkonto aktivering/deaktivering samt medlemskap i grupper, styres av brukerstøtte eller administrator. Dette kan fungere greit for små virksomheter; i større miljøer blir det tungvint. Problemet er ofte at brukerstøtte ikke har noe forhold til hvem som skal ha tilgang til hva, eller forretningsdriveren bak opprettelse av en midlertidig brukerkonto. I tillegg er det en utfordring at det ikke er noe validering av data som legges slik at attributter og navn kan få ekstra punktum, mellomrom eller stavefeil uten at dette verifiseres og korrigeres. I en stresset hverdag gjøres feil som resulterer i feil i AD.

Ny måte å autorisere tilgang

En teknologi som kommer for fullt er DAC (Dynamic Access Control). Dette er en «ny» måte å autorisere tilgang på der tilgang bestemmes av attributter på brukerobjektene. Skal man ta i bruk dette og stole på at autorisering gjøres på rett grunnlag må man ha god datakvalitet i AD. Funksjonalitet som oppdaterer gruppemedlemsskap på grunnlag av attributter på brukerobjektene stiller tilsvarende krav, dette er ofte en del av Identity Management løsninger.

En tilnærming til å bedre kvalitet og smidigere administrasjon er å opprette automatisk provisjonering av AD objekter fra en HR master database (IAM løsning). Dette kan i mange tilfeller løse mye av problemene, men er tidkrevende prosjekter som tar lang tid å etablere. I tillegg vil det alltid være behov for administrasjon i AD på «utsiden» av denne løsningen, som må kontrolleres

Enklere admin, økt kontroll

En proaktiv og raskere tilnærming er å bruke en løsning som ligger som et lag i forkant av AD, og som er i stand til å validere, automatisere og spore endringer. En slik løsning har også et webgrensesnitt hvor man veldig enkelt kan delegere ut tilgang til deler av AD til personer utenfor it-avdelingen. Man mister ikke kontrollen ved å gjøre dette, fordi løsningen vil validere dataene som legges inn mot et policy/regelsett der gitte attributter må fylles ut, og at en liste med forhåndsdefinerte verdier for grupper og avdelinger velges. I tillegg kan det gå en godkjenningsanmodning på alle disse endringene til AD ansvarlig som ser gjennom og godkjenner før endringene faktisk skrives til AD. En slik løsning dekker også Exchange, Lync og Office 365. Alle endringer som gjøres i en slik løsning lagres i en database slik at man enkelt kan ta ut rapporter i forbindelse med endringsmøter eller feilsøking.

Høres det interessant ut? Ta kontakt på geir_aasen@software.dell.com for en nærmere gjennomgang!

Tid for Active Directory, Del 1: Tilgjengelighet

AD er blant de viktigste tjenestene i en it-infrastruktur. Samtidig ofte også blant de mest neglisjerte, selv om stadig flere blir flinkere til å pleie sitt AD. Dette skyldes blant annet at bruk av skytjenester   vokser og dette krever som kjent en helt annen kontroll på det interne brukermiljøet for å oppnå tilstrekkelig sikkerhet. Det første brukerne møter på starten av arbeidsøkten er en AD-pålogging. Får ikke vedkommende logget inn, eller mangler autorisasjon til applikasjonene sine blir produktiviteten sterkt nedsatt.

Proaktiv eller reaktiv feilretting?

AD består av mange ulike mekanismer avhengige av hverandre som directory replikering, SYSVOL replikering, DNS, og tidssynkronisering. Kerberos-protokollen som autentiserer brukere og maskiner er sensitiv til tidsforskjeller. Replikeres ikke directory eller SYSVOL til en eller flere domenekontrollere eller sites kan man få mystiske problemer med tilganger, passord eller applikasjoner relatert til GPO innstillinger, som kan være komplisert å feilsøke på. Denne type feil kan gjemme seg i lang tid uten at man opplever direkte nedetid. Det arter seg ofte som ytelsesproblemer i applikasjonene, som man lever med uten å vite at man faktisk har AD-problemer. For å løse dette kan man benytte konsulenter for en helsesjekk, eller etablere gjennomprøvde løsninger for overvåkning og automatiske helsesjekker som kjøres jevnlig for å være proaktiv og ha kontroll selv i eget hus.

Katastrofegjenoppretting

De fleste vi diskuterer AD-modernisering med tar systemvide sikkerhetskopier av en eller flere domenekontrollere. Sikkerhetskopieringen er  i seg selv er enkelt å få til. Utfordringen er gjenoppretting når noe går veldig galt. Microsoft forenklet gjenoppretting av slettede objekter fra og med Windows 2008R2, med recycle bin. Dette krever imidlertid at hele AD forest/domenet er oppgradert og at dette aktiveres spesielt (merk at dette kun gjenoppretter slettede objekter, ikke endrede objekter). En annen utfordring er at kombinasjoner av domenemodeller, versjoner av Active Directory, Windows etc. krever ulike gjenopprettingsprosesser avhengig av hva slags objekter man ønsker å hente tilbake. Dette er ikke lett å forholde seg til i stressede situasjoner og ofte må man hente inn eksterne eksperter som ikke nødvendigvis er tilgjengelig på kort varsel.Vi har snakket med kunder som har hatt driftsforstyrrelser i flere dager på grunn av uhell med IDM, løsning, skript, eller rett og slett feil begått av en sliten AD-ansvarlig med Powershell. Selv de beste gjør feil.

Hele nøkkelen her er å ha en recovery løsning som støtter alle relevante AD versjoner og scenarioer. Dermed kan man raskt sammenligne backup med produksjons-AD og bestemme eksakt hva man behøver å gjenopprette. Tar man for mye, for eksempel en hel OU struktur, kan man introdusere større problemer enn man i utgangspunktet hadde, noe som er kjedelig dersom man kunne klart seg med å kun skrive tilbake eksempelvis SMTP-adresser kun for de berørte brukerne. Merk at det er tiden en slik recovery tar fra faktisk å finne ut hva som bør / må restores til at dette er restoret og replikert til alle domenekontrollere som er den største utfordringen. Å kunne forenkle prosedyren og redusere tiden betraktelig er av stor verdi for en såpass kritisk tjeneste som Active Directory.

Full korrupsjon av AD!

Det verst tenkelige scenarioet er korrupsjon. Det er dessverre kunder som har opplevd at AD har blitt korrupt på en slik måte at Microsoft support ikke har noen annen mulighet enn å anbefale en Forest Recovery prosedyre. Dette er en komplisert og tidkrevende jobb som få i Norge har erfaring med eller har kompetanse til. Microsoft har dokumentert stegene i prosessen og noen har brukt dette til å teste dette i en lab som speiler produksjon for å se hvor lang tid dette vil ta i eget miljø. Vi har større kunder som har rapportert at de brukte en uke på å få sitt miljø tilbake i full produksjon. I mindre miljøer med enklere struktur og færre domenekontrollere går dette selvfølgelig raskere, men tenk på at i disse situasjonene er ofte hele eller store deler av virksomheten ute av spill fordi brukerne ikke får tilganger. Derfor må man vite hvor lang tid en slik prosess tar i sitt eget miljø og så vite hvordan redusere denne tiden. Hver time koster enorme summer fordi det er så mange applikasjoner som er avhengig av AD for å fungere. Ved å automatisere Forest Recovery er det ikke uvanlig å halvere tiden det tar å få opp AD igjen.

Dette var en introduksjon til hvordan vi adresserer AD tilgjengelighet som del av et moderniseringsprogram. I neste innlegg skal vi se nærmere på hvordan vi kan sikre kvalitet på innholdet og modernisere/forenkle administrasjon.

Ønsker du en AD-dialog i mellomtiden er du velkommen til å kontakte meg på Geir.Aasen@software.dell.com