Em 2014 eu escrevi um documento e que continua super atual e acredito que é hora de compartilhar com vocês. Não consultei se todos os links estão ativos, mas o conceito é o que vale nesse artigo. Lembro também que existem muitas soluções que fazem isso automaticamente como o Active Administrator da Quest Software.
Uma parte muito importante na documentação do ambiente de domínio é o status da saúde do Active Directory Domain Services. Essa tarefa pode parecer um tanto quanto complexa porém existem diversas ferramentas que podem nos auxiliar a obter as informações necessárias para a documentação completa da saúde do seu Active Directory.
Uma documentação de Health Check deve conter informações dos seguintes componentes:
- Informações sintéticas do ambiente.
- Topologia e dados de replicação do Active Directory
- Resolução de Nomes
- Saúde do controlador de domínio.
- Dados de atualizações e Service Packs instalados
- Logs de Eventos
- Informações sobre a sincronização de horário.
Neste artigo serão utilizadas diversas ferramentas e linhas de comando assim como referencias técnicas Microsoft para justiçar os dados obtidos e utiliza-los na sua documentação.
A documentação de Health Check é uma evidencia de todo o ambiente, portanto todos os comandos e scripts podem ser redirecionados para uma saída de texto de forma que essas informações coletadas possam ser formatadas em um documento com gráficos, tabelas e descrições detalhadas fornecendo um documento rico em informações e fácil de entender.
Coletando dados de informações sintéticas.
Essa é a parte que resume todo o ambiente do Active Directory, exibe números e uma visão geral da atual situação.
Você pode apresentar dados como:
| Descrição | Valores |
| Quantidade de Florestas / Dominios | |
| Nome de dominio | |
| Nome NetBios do dominio | |
| Niveis Funcionais de Florest/Dominio | |
| Quantidade de Objetos do AD | |
| Quantidade de Controladores de dominio |
Algumas informações são simples de coletar, outras é interessante conhecer alguns comandos e utilitários que vão nos auxiliar nessa tarefa.
Quantidade de objetos do Active Directory
Usando o comando DSQUery associado ao Windows PowerShell essa tarefa pode ser simplificada com o comando:
Quantidade de objetos do Active Directory
O comando DSQUERY é usado para exibir os objetos como usuários, computadores, Ous e grupos. Exemplo
- Dsquery user –limit 0
Usando o Windows Powershell é possivel exibir o total de objetos.
- (Dsquery user –limit 0).count
Repita a operação para todos os outros objetos.
Listar controladores de domínio
- NLTEST /dclist:Contoso.com
Exibir quais DCs possuem Funções másters (FSMO)
- NETDOM Query FSMO
Exibir relações de confiança
- Repadmin /showtrust *
Listar o último Backup
- Repadmin /ShowBAckup *
Coletar data da Instalação e UP Time e versão do Windows de cada DC
- SystemInfo
Ou se preferir usar recursos do Powershell:
- Systeminfo | Select-String “System Boot Time”, “Original Install Date”,”OS Name”
Esse comando deve ser executado em todos os DCs, o ideal é você criar um script que faça todo o trabalho para você. Com o Windows Powershell você pode usar o “ForeEach” junto com o cmdlet “invoke-command” ou pode usar PSExec da SysInternals.
Coletar os níveis funcionais de domínio e de floresta
Muito importante a documentação dos níveis funcionais. Você pode consultar o Guia de noções básicas sobre níveis funcionais de domínio e floresta em http://technet.microsoft.com/pt-br/library/cc771294.aspx
- (Get-ADForest).ForestMode
- (Get-ADDomain).DomainMode
Você pode usar o Active Directory Domains and Trusts para capturar os níveis funcionais do domínio e da floresta.
Nome do computador e endereçamento IP
- IPconfig /all | Select-String “Host name”,”Primary DNS”,IPv4,”Subnet Mask”,Gateway, “DNS Servers”
Você pode usar o comando seguido do parâmetro de redirecionamento que é feito usando o sinal de maior que > seguido do nome de um arquivo de texto.
Exemplo:hostname > nomedocomputador.txt
Topologia e dados de replicação do Active Directory
A apresentação de informações em gráficos ou diagramas facilita o entendimento e ajuda a criar documentos bem mais atraente. Um dica é utilizar o Microsoft Active Directory Topology Diagrammer que conecta ao Active Directory usando LDAP e, em seguida, gera automaticamente um diagrama do Visio de seu Active Directory. Os diagramas podem incluir domínios, sites, servidores, unidades organizacionais, DFS-R, grupos administrativos, grupos de roteamento e conectores e pode ser alterado manualmente no Visio, se necessário.
Você pode baixar o ADTD no site da Microsoft http://www.microsoft.com/en-us/download/details.aspx?id=13380
Com o ADTD é possivel desenhar o dominio, Ous e suas GPOs, Sites com subnets e links, A organização do Exchange server, Partições de aplicações e dados de replicação.
Active Directory Replication Status Tool
O Active Directory Replication Status Tool (ADREPLSTATUS) analisa o status de replicação dos controladores de domínio em um domínio ou floresta do Active Directory.É semelhante ao repadmin / showrepl * / CSV importado no Excel, mas com melhorias significativas e um visual muito bem elaborado.
Você pode baixar o ADRS no site da Microsoft http://www.microsoft.com/en-us/download/details.aspx?id=30005
A guia Detected Errors Summary apresenta o código de erro, a mensagem e o artigo da Microsoft referente ao erro.
Sincronização de horário
A sincronização de horário é um processo muito importante para todo o Active Directory. Tudo o que acontece relacionado a Logon, Politicas, Replicação é baseado em horário e é muito importante para a saúde do AD que os DCs estejam todos sincronizados no horário.
O comando abaixo exibe detalhes do serviço de horário entre todos os DCs,
- W32tm /monitor /domain:nomedodominio
Para entender melhor os resultados apresentado na saída do comandos consulte a página de referência: http://technet.microsoft.com/en-us/library/cc773013(v=ws.10).aspx
Exibe um status do serviço de horário do Windows
- W32TM /query /status
Exibe o fuso horário padrão.
- W32TM /TZ
Resolução de Nomes
Como parte integrante da documentação do Active Directory o DNS é o alicerce da infraestrutura da rede de domínio Microsoft Windows.
Você pode enumerar informações do DNS usando o comando:
Enumerar dados do DNS
- NSLookup –d2 NomedeDominio
O parâmetro -d2 faz com que o Nslookup seja executado no modo de debug e exibe as querys feitas na enumeração dos dados.
Outro comando importante na enumeração de informações de resolução de nomes de domínio é o comando DNSLint.
O DNSLint possui três funções que verificam os registros do sistema de DNS e gera um relatório em HTML.
Este deve ser baixado do site da Microsoft http://support.microsoft.com/kb/321045/pt-br
O comando pode a ser utilizado deve conter a chave /AD para enumerar informações sobre o domínio do Active Directory.
Verificar os registros de DNS do AD
- DNSLint /AD /S localhost /v
Conclusão
Este artigo apresenta uma lista básica de ferramentas que podem ajudar a diagnosticar problemas do Active Directory como resolução de nomes, replicação ou sincronismo de horário e ajuda na criação de uma documentação com dados que fornecem informações que são uteis na documentação do tipo Active Directory Health Check
Links de referencia
- Microsoft Active Directory Topology Diagrammer
http://www.microsoft.com/en-us/download/details.aspx?id=13380 - Active Directory Replication Status Tool
http://www.microsoft.com/en-us/download/details.aspx?id=30005 - Crescimento (Sizing) do banco de dados do Active Directory.
http://technet.microsoft.com/library/cc961779.aspx - ADtest (Active Directory Performance Testing Tool )
http://www.microsoft.com/downloads/en/details.aspx?FamilyID=4814fe3f-92ce-4871-b8a4-99f98b3f4338&displaylang=en - ADMAP(AD Microsoft Assessment & Planning tool kit)
http://technet.microsoft.com/en-us/library/bb977556.aspx
Essa documentação é excelente, só estou vendo agora que passei a seguir você e também estou iniciando em Segurança da Informação seguindo a maioria das suas recomendações, já fiz seu curso de LGPD e estou fazendo o outro It Security Specialist já comprei o seu livro LGPD entre outras indicações. Mas voltando ao assunto acredito que a Microsoft não disponibiliza mais o ADTD pois o link não funciona mais, se souber de algum canal que possa fazer download seria otimo.
Obrigado
Abraços.
Obrigado pelo apoio Fabio. É verdade, o link não funciona mais. Se achar posto uma alteração. Forte abraço.
Como verificar a integridade do meu AD antes de migrado?
Seguindo os passos do artigo e também fazendo uma sanitização que é apagar usuários que nunca logaram, que nunca mudaram a senha, usuário dsabilitados, remover usuários de grupos que não precisam estar… isso ajuda muito.