scirocco790 11 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 Folgendes: Ich möchte unser AD mal komplett checken, ob sich evtl. über die Zeit irgendwelche Fehler eingeschlichen haben. Ich bin bisher folgendermaßen vorgegangen: - Logs auf den Servern nach Auffälligkeiten gecheckt: Passt! - NSLookup um die DNS Abfragen auf allen DNS Servern zu testen: Passt! - DCDiag auf allen DC´s laufen lassen: Passt! Jetzt fällt mir aber soweit schon mal nix mehr ein. Was sollte man noch checken? Oder reicht das soweit? Wirklich Probleme bestehen in unserem AD übrigens keine... Ich möchte mir eben nur einen Routinecheck ausarbeiten, den ich ab und an mal durchziehe. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 schau dir den Opererationsguide zu AD an, da steht alles drinnen, was Microsoft empfiehlt Download details: Active Directory Operations Guide Version 1.5 cu blub Zitieren Link zu diesem Kommentar
NilsK 2.801 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 Moin, mindestens so spannend wie die technischen Prüfungen (i.W. das, was du schon gemacht hast) sind logische Prüfungen: Ungenutzte Accounts, Kennwortrichtlinien, sicherheitskritische Optionen ("Kennwort läuft nie ab" usw.) usw. usf. Ich plane, bei Gelegenheit mal eine Skriptsammlung zu veröffentlichen, die ein paar solcher Standards automatisiert überprüft. (Ja, das wird viele Consultants um Einnahmequellen bringen. :D) Gruß, Nils Zitieren Link zu diesem Kommentar
scirocco790 11 Geschrieben 6. April 2010 Autor Melden Teilen Geschrieben 6. April 2010 @blub: Der Operations Guide ist nicht schlecht. Kannte ich gar nicht. Danke! Eine Frage noch in die Runde: Kann man eigentlich davon ausgehen, das wenn in den Ereignislogs der DC´s soweit nichts auffälliges drin ist, alles korrekt läuft? Ich meine ja! Oder hat da schon mal jemand Erfahrungen mit Fallstricken gemacht? :confused: @NilsK: So groß, das mir da was durch die Lappen geht ist unser AD auch wieder nicht... Da bin ich pingelig. Aber Du hast natürlich recht. Macht Sinn. Zitieren Link zu diesem Kommentar
NilsK 2.801 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 Moin, Eine Frage noch in die Runde: Kann man eigentlich davon ausgehen, das wenn in den Ereignislogs der DC´s soweit nichts auffälliges drin ist, alles korrekt läuft? Ich meine ja! im Wesentlichen ja. (Genauer kann man das in der IT leider nie sagen.) Gruß, Nils Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 Ich plane, bei Gelegenheit mal eine Skriptsammlung zu veröffentlichen, die ein paar solcher Standards automatisiert überprüft. (Ja, das wird viele Consultants um Einnahmequellen bringen. :D) Gruß, Nils Kennst du die Quality Assurance Scripts? Active Directory Branch Office Guide Series Adscript.exe Die müssten nur mal auf Powershell gehoben werden. Inhaltlich sind die Klasse! Wenn die bekannter wären, könnte man sich manch teure Monitoringlösung sparen. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 Vor einigen Jahren habe ich mal zufällig Dokumente zu einem Microsoft "AD Health Check" entdeckt. Soweit ich mich erinnere war dies eine Sammlung diverser Skripte, welche Microsoft Techniker in Großkunden Umgebungen für AD Health Checks verwendeten. Ohne jetzt erneut danach zu suchen, vielleicht weiß jemand anderes mehr darüber? Die Neugier lies nicht locker: http://download.microsoft.com/download/5/8/e/58ededaf-4de0-4fd3-b500-8a8f6bbfe1f4/Active%20Directory%20Health%20Check%20Program.pdf Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 6. April 2010 Melden Teilen Geschrieben 6. April 2010 Microsoft Services bietet solche Dienstleistungen auch unter dem Namen ADRAP (Risk Assessment Programm für Active Directory) an. Für Firmen mit wirklich komplexer AD Infrastuktur ist das Teil echt klasse. Der dadurch generierte Report zeigt genau die Schwachstellen bzw. fehlerhafte und unvollständige Konfigurationen und idR gleich die passende Lösung dazu. Für kleinere Firmen lohnt sich das allerdings nicht wirklich. Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 9. April 2010 Melden Teilen Geschrieben 9. April 2010 NilsK hat gestern einen IMHO sehr interessanten Artikel zu ADRAP veröffentlicht faq-o-matic.net Wie man einen Microsoft ADRAP überlebt. ;) Der Artikel enthält viele nützliche Tipps für den regulären AD Betrieb, auch wenn man keinen ADRAP Audit im Fokus hat. Zitieren Link zu diesem Kommentar
NilsK 2.801 Geschrieben 9. April 2010 Melden Teilen Geschrieben 9. April 2010 Moin, nur der Ehre halber: Der Artikel selbst ist von Philipp Föckeler (der auch hier im Board aktiv ist). Aber danke für die Rückmeldung! Gruß, Nils Zitieren Link zu diesem Kommentar
NilsK 2.801 Geschrieben 9. April 2010 Melden Teilen Geschrieben 9. April 2010 ... und wo wir grad so schön dabei sind: AD Design Metrics BPuhl’s Blog Gruß, Nils Zitieren Link zu diesem Kommentar
BrainStorm 10 Geschrieben 9. April 2010 Melden Teilen Geschrieben 9. April 2010 AD Design Metrics BPuhl’s Blog Das triffts ziemlich genau ;) Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Ungenutzte Accounts, Kennwortrichtlinien, sicherheitskritische Optionen ("Kennwort läuft nie ab" usw.)usw. usf. Aber sowas kann doch zum einen durch den Einsatz eines sinnvollen IdM-Systems und dem dahinterliegenden Reporting garnicht passieren. ;) Zitieren Link zu diesem Kommentar
NilsK 2.801 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Moin, erstens kann es doch (ein sinnvolles System wird noch lange nicht sinnvoll betrieben), und zweitens: Wie groß war noch mal der Anteil IDM-verwalteter Systeme an der Gesamtzahl der ADs? ;) Gruß, Nils Zitieren Link zu diesem Kommentar
phoenixcp 10 Geschrieben 14. April 2010 Melden Teilen Geschrieben 14. April 2010 Du hast ja völlig recht Nils. Aber die Vorlage musste ich einfach aufnehmen. ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.