Поделиться через

Рекомендации по обеспечению высокого уровня доступности и аварийного восстановления для среды бастиона

В этой статье описываются рекомендации по обеспечению высокого уровня доступности и аварийного восстановления при развертывании служб домен Active Directory (AD DS) и Microsoft Identity Manager 2016 (MIM) для управления привилегированным доступом (PAM).

Предприятия сосредоточены на высокой доступности и аварийном восстановлении рабочих нагрузок в Windows Server, SQL Server и Active Directory. Но надежная доступность среды бастиона для управления привилегированным доступом также важна. Среда бастиона является важной частью ИТ-инфраструктуры организации, так как пользователи взаимодействуют со своими компонентами для принятия административных ролей. Дополнительные сведения о высокой доступности в общем можно получить, скачав документ Microsoft High Availability Overview.

Сценарии высокого уровня доступности и аварийного восстановления

При планировании высокого уровня доступности и аварийного восстановления следует учитывать следующие вопросы:

  • Какие функции могут быть затронуты сбоем?
  • Какие функции критически важны для бизнеса и /или критически важны для ИТ-операций?
  • Каковы риски, которые могут привести к сбою в этих системах?

Область этих рекомендаций влияет на общую стоимость развертывания и операций, поэтому организации могут определять приоритеты некоторых функций выше других, а также принимать риск временных сбоев для функций с низким приоритетом. В следующей таблице описано одно потенциальное ранжирование приоритета организации:

Функция Бастиона в лесу Относительный приоритет во время восстановления Смягчение последствий, если функция недоступна
Создание доверия Низкая Дождитесь восстановления среды бастиона
Устранение рисков пользователей и групп Низкая Дождитесь восстановления среды бастиона
Администрирование MIM Низкий Дождитесь восстановления среды бастиона
Активация привилегированных ролей Средняя Выделенные учетные записи с поддержкой смарт-карт для ручного добавления пользователей в административные группы
Управление ресурсами Высокая Выделенные учетные записи с поддержкой смарт-карт для ручного добавления пользователей в административные группы
Мониторинг пользователей и групп в существующем лесу Низкий уровень Дождитесь восстановления среды бастиона

Теперь давайте рассмотрим каждую из этих функций бастионного леса в свою очередь.

Создание доверия

Необходимо обеспечить доверительные отношения между лесами, между доменами существующей лесной области и лесом в окружении бастиона. Это позволяет пользователям, аутентифицирующимся в среде бастиона, администрировать ресурсы в существующих лесах. Для разрешения миграции пользователей из существующих доменов в более ранних версиях Windows Server может потребоваться дополнительная конфигурация.

Для установления доверия требуется, чтобы существующие контроллеры домена леса были в сети, а также компоненты MIM и AD среды бастиона. Если во время создания доверия произошел сбой одного из этих элементов, администратор может повторить попытку после устранения сбоя. Если существующие контроллеры домена леса или среда бастиона были восстановлены после сбоя, MIM также включает командлеты PowerShell Test-PAMTrust и Test-PAMDomainConfiguration, которые могут использоваться для проверки наличия доверия.

Миграция пользователей и групп

После установления доверия в среде бастиона можно создать теневые группы, а также учетные записи пользователей для членов этих групп и лиц, ответственных за утверждение. Это позволяет этим пользователям активировать привилегированные роли и восстановить эффективное членство в группах.

Миграция пользователей и групп требует, чтобы существующие контроллеры домена леса были в сети, а также компоненты MIM и AD среды бастиона. Если существующие контроллеры домена леса недоступны, дополнительные пользователи и группы не могут быть добавлены в среду бастиона, но существующие пользователи и группы не затронуты. Если во время миграции происходит сбой любого из компонентов, администратор может повторить попытку после сбоя.

Администрирование MIM

После миграции пользователей и групп администратор может дополнительно настроить в системе MIM назначения ролей, связывая пользователей в качестве кандидатов на активацию в роли. Они также могут настроить политики MIM для утверждения.

Для администрирования MIM требуется, чтобы компоненты MIM и AD среды бастиона были в сети.

Активация привилегированных ролей

Когда пользователь хочет активировать привилегированную роль, он должен пройти проверку подлинности в домене среды бастиона и отправить запрос в MIM. MIM включает ИНТЕРФЕЙСы SOAP и REST API, а также пользовательские интерфейсы в PowerShell и на веб-странице.

Активация привилегированных ролей требует, чтобы компоненты MIM и AD среды бастиона были в сети.

Управление ресурсами

После успешной активации пользователя в роли контроллер домена может создать билет Kerberos, который могут использовать контроллеры в существующих доменах, и который распознает новые временные членства пользователя в группах.

Для управления ресурсами требуется, чтобы контроллер домена для домена ресурсов был в сети, а также контроллер домена в среде бастиона. После активации пользователя выдача билета Kerberos не требует, чтобы MIM или SQL были в сети в среде бастиона. Обратите внимание, что для этого требуется MIM PAM и Windows Server использовать Windows Server 2016 или более поздней версии в качестве функционального уровня для среды бастиона, чтобы AD DS могли удалить временное членство.)

Мониторинг пользователей и групп в существующем лесу

MIM также включает службу мониторинга PAM, которая регулярно проверяет пользователей и группы в существующих доменах и обновляет базу данных MIM и AD соответствующим образом. Эта служба не должна быть подключена к сети для активации ролей или во время управления ресурсами.

Мониторинг требует, чтобы существующие контроллеры домена леса были в режиме онлайн, а также чтобы компоненты среды бастиона MIM и AD были в сети.

Параметры развертывания

Обзор среды иллюстрирует базовую топологию, подходящую для обучения технологии, которая не предназначена для обеспечения высокой доступности. В этом разделе описывается, как расширить эту топологию для обеспечения высокой доступности для организаций с одним сайтом, а также с несколькими существующими сайтами.

Сеть

Сетевой трафик между компьютерами в среде бастиона должен быть изолирован от существующих сетей, таких как использование другой физической или виртуальной сети. В зависимости от рисков среды бастиона может потребоваться также наличие независимых физических соединений между компьютерами. Некоторые технологии отказоустойчивого кластера имеют дополнительные требования к сетевым интерфейсам.

Компьютеры, на которых размещаются службы домен Active Directory и на которых размещаются службы MIM в среде бастиона, требуют двунаправленного подключения к ресурсам в существующем лесу:

  • пользователи, прошедшие проверку подлинности контроллерами домена леса PRIV
  • пользователи могут запросить активацию
  • пользователи должны иметь билеты Kerberos, потребляемые ресурсами в существующем лесу
  • MIM для мониторинга существующих доменов леса
  • MIM для отправки электронной почты через почтовые серверы, расположенные в существующем лесу.

Минимальные топологии высокого уровня доступности

Организация может выбрать, какие функции в среде бастиона требуют высокой доступности, с помощью следующих ограничений:

  • Для любой функции, предоставляемой средой бастиона, требуется по крайней мере два контроллера домена.
  • Для запросов на активацию требуется по крайней мере два компьютера, на котором размещена служба MIM, а также требуется высокий уровень доступности для SQL Server.
  • Для высокого уровня доступности SQL Server с отказоустойчивыми кластерами требуется по крайней мере два сервера, предоставляющие SQL Server, и они не могут совпадать с контроллером домена.
  • Служба MIM не должна быть установлена на контроллере домена, чтобы свести к минимуму область атаки каждого сервера.

Наименьшая топология высокого уровня доступности для всех функций в среде бастиона включает по крайней мере четыре сервера и общее хранилище. Два сервера должны быть настроены в качестве контроллеров домена, предоставляя службы домен Active Directory. Остальные два сервера можно настроить как отказоустойчивый кластер, предоставляющий SQL Server, и предоставить службу MIM.

Кроме того, типичное развертывание среды бастиона также включает в себя привилегированную рабочую станцию администрирования для управления этими серверами, а также компонент мониторинга

На следующей схеме показана одна из возможных архитектур:

топология бастиона — схема

Дополнительные серверы можно настроить для каждой из этих функций, чтобы обеспечить более высокую производительность в условиях нагрузки или для географической избыточности, как описано в следующих разделах.

Развертывания, поддерживающие несколько сайтов

Выбор правильной топологии развертывания для ресурсов, развернутых на нескольких сайтах, зависит от трех факторов:

  • Цели и риски для обеспечения высокой доступности и аварийного восстановления
  • Возможность оборудования для размещения среды бастиона
  • Модель административной работы для каждого сайта.

Одним из самых простых подходов будет размещение среды бастиона на конкретном объекте. В обычных условиях пользователи будут подключаться к развертыванию MIM в среде бастиона этого сайта и запрашивать активацию, а активации будут влиять на ресурсы на каждом сайте. Если сетевой канал поврежден или сайт, на котором размещена среда бастиона, недоступен, автономные учетные данные можно получить на другом сайте, чтобы выполнить временное администрирование до повторного подключения сети. Этот подход может подходить для ситуаций, когда местное администрирование определенного сайта, например филиала, ожидается редким и будет ограничено тем, чтобы снова подключить этот сайт к остальной части сети организации.

Один бастион для топологии с несколькими сайтами — схема

Для обеспечения высокой доступности и аварийного восстановления на сайтах также можно развернуть компоненты среды бастиона на каждом сайте, совместно использовать общий каталог PRIV и общую базу данных SQL. В этой топологии, в случае разрыва сетевого соединения, пользователи в каждом месте могут продолжать работать независимо.

Многофакторная топология для многосайтовой топологии — схема

Одним из ограничений этого подхода к развертыванию является то, что ДЛЯ SQL Server требуется кластер, охватывающий оба сайта, которые могут быть сложными для развертывания. В этой ситуации рассмотрите в качестве альтернативы только репликацию Active Directory (лес PRIV) среды бастиона. В случае разрыва сети между сайтами пользователи сайта B, которые ранее активировали свои привилегированные роли, смогут продолжать работать для администрирования ресурсов на сайте B.

Реплицированный бастион для топологии с несколькими сайтами — схема

Если каждый сайт представляет собой отдельную административную границу, то также можно развернуть несколько независимых сред бастиона. Хотя каждая среда бастиона будет иметь одинаковое программное обеспечение, доменные имена каждого из них будут отличаться, и между каталогами и базами данных каждой среды бастиона не было бы общего. Пользователь, который хочет управлять ресурсами на определенном сайте, активирует учетную запись пользователя в среде бастиона на этом сайте.

Независимые бастионы для многосайтовой топологии — схема

Наконец, возможны более сложные развертывания, так как несколько сред бастиона могут быть настроены независимо для управления ресурсами в определенном домене.

Комплексный бастион для многосайтовой топологии — схема

Среда хостинга бастионов

Некоторые организации также рассматривают возможность создания инфраструктуры бастиона, отдельной от любого из их существующих объектов. Программное обеспечение среды бастиона может размещаться на платформе виртуализации в сетях организации или во внешнем поставщике услуг размещения. При оценке этого подхода следует учитывать следующее:

  • Чтобы защититься от атак, исходящих из существующих доменов, администрирование среды бастиона должно быть изолировано от административных учетных записей существующего домена.
  • Для среды бастиона требуется подключение TCP/IP к контроллерам домена в существующем домене. Список портов можно найти в разделе "Настройка брандмауэра для доменов и доверия".
  • Для виртуализированного развертывания служб домен Active Directory требуются определенные функции платформы виртуализации, как описано в разделе "Развертывание и конфигурация виртуализированного контроллера домена".
  • Для развертывания с высоким уровнем доступности SQL Server для службы MIM требуется специализированная конфигурация хранилища, описанная в разделе хранилища базы данных SQL Server. В настоящее время не все поставщики услуг размещения могут предлагать размещение Windows Server с конфигурациями дисков, подходящими для отказоустойчивых кластеров SQL Server.

Подготовка к развертыванию и процедуры восстановления

Для подготовки к развертыванию среды бастиона, готовой к высокой доступности или аварийному восстановлению, необходимо учитывать, как установить Windows Server Active Directory, SQL Server, его базу данных на общем хранилище, а также службу MIM и её компоненты PAM.

Windows Server

Windows Server содержит встроенную функцию для обеспечения высокой доступности, что позволяет нескольким компьютерам работать вместе в качестве отказоустойчивого кластера. Кластеризованные серверы подключены физическими кабелями и программным обеспечением. При сбое одного или нескольких узлов кластера другие узлы начинают обеспечивать обслуживание (процесс, известный как переключение на резервный узел). Дополнительные сведения см. в обзоре отказоустойчивой кластеризации.

Убедитесь, что операционная система и приложения в среде бастиона получают обновления для проблем с безопасностью. Для некоторых из этих обновлений может потребоваться перезапуск сервера, поэтому согласуйте время применения обновлений на серверах, чтобы избежать длительных простоев. Можно использовать Cluster-Aware Updating для серверов в отказоустойчивом кластере Windows Server.

Серверы в среде бастиона будут присоединены к домену и зависят от доменных служб. Убедитесь, что они по ошибке не настроены с зависимостью от конкретного контроллера домена для таких служб, как DNS.

Среда Бастиона Active Directory

Службы Windows Server домен Active Directory изначально включают поддержку обеспечения высокой доступности и аварийного восстановления.

Подготовка

Обычное рабочее развертывание управления привилегированным доступом включает по крайней мере два контроллера домена в среде бастиона. Инструкции по настройке первого контроллера домена в среде бастиона включены в шаг 2 статьи о развертывании, Подготовка контроллера домена PRIV.

Процедуру добавления дополнительного контроллера домена можно найти на странице установки контроллера домена реплики Windows Server 2012 в существующем домене (уровень 200).

Примечание.

Если контроллер домена должен размещаться на платформе виртуализации, такой как Hyper-V, просмотрите предостережения в развертывании и настройке виртуализированного контроллера домена.

Восстановление

После сбоя убедитесь, что перед перезапуском других серверов в среде бастиона доступен по крайней мере один контроллер домена.

В домене Active Directory распределяет роли гибкой одной главной операции (FSMO) между контроллерами домена, как описано в разделе "Как работают мастера операций". Если контроллер домена вышел из строя, может потребоваться передача одной или нескольких ролей контроллера домена, назначенных этому контроллеру домена.

После определения того, что контроллер домена не будет возвращен в рабочую среду, обязательно проверьте, назначены ли какие-либо роли контроллеру домена и переназначите их по мере необходимости. Инструкции можно найти в разделе "Просмотр текущих владельцев ролей мастера операций" и в связанных с ним статьях.

Также рекомендуется проверить параметры DNS компьютеров, присоединенных к среде бастиона, а также контроллеры домена в доменах CORP, которые имеют отношение доверия к этому контроллеру домена, чтобы убедиться, что ни один из них не закодирован с зависимостью от IP-адреса компьютера контроллера домена.

Хранилище базы данных SQL Server

Для развертывания с высокой доступностью требуются отказоустойчивые кластеры SQL Server, и экземпляры таких кластеров зависят от общего хранилища между всеми узлами для хранения баз данных и журналов. Общее хранилище может быть в виде дисков кластера отказоустойчивой кластеризации Windows Server, дисков в сети хранилища (SAN) или общих папок на сервере SMB. Обратите внимание, что они должны быть выделены для среды бастиона; Совместное использование хранилища с другими рабочими нагрузками за пределами среды бастиона не рекомендуется, так как это может поставить под угрозу целостность среды бастиона.

SQL Server

Служба MIM требует развертывания SQL Server в среде бастиона. Для обеспечения высокой доступности можно развернуть SQL с использованием экземпляра отказоустойчивого кластера (FCI). В отличие от автономных экземпляров, в FCI высокая доступность SQL Server защищена наличием избыточных узлов в FCI. В случае сбоя или запланированного обновления владение группой ресурсов перемещается на другой узел отказоустойчивого кластера Windows Server.

Если вам нужна только поддержка аварийного восстановления, но не высокая доступность, то можно использовать доставку журналов, репликацию транзакций, репликацию моментальных снимков или зеркальное отображение базы данных вместо отказоустойчивой кластеризации.

Подготовка

При установке SQL Server в среде бастиона он должен быть независимым от любого SQL Server, уже присутствующего в лесах CORP. Кроме того, рекомендуется развернуть SQL Server на выделенном сервере, отличном от контроллера домена. Дополнительные сведения описаны в руководстве по SQL Server для экземпляров AlwaysOn отказоустойчивого кластера.

Восстановление

Если SQL Server настроен для аварийного восстановления с помощью доставки журналов, необходимо выполнить действия для обновления SQL Server во время восстановления. Кроме того, требуется перезапуск каждого экземпляра службы MIM.

Если SQL Server отказал или подключение между SQL Server и службой MIM было потеряно, то после восстановления работы SQL Server рекомендуется перезапустить все экземпляры службы MIM. Это обеспечит повторное подключение службы MIM к SQL Server.

MIM Service (Служба MIM)

Служба MIM требуется для обработки запросов на активацию. Чтобы компьютер, на котором размещена служба MIM, можно отключить для обслуживания во время получения запросов активации, можно развернуть несколько компьютеров службы MIM. Обратите внимание, что служба MIM не участвует в операциях Kerberos после добавления пользователя в группу.

Подготовка

Рекомендуется развернуть службу MIM на нескольких серверах, присоединенных к домену PRIV. Сведения о высокой доступности см. в документах Windows Server для требований к оборудованию для отказоустойчивой кластеризации и вариантов хранения, а также создания отказоустойчивого кластера Windows Server 2012.

Для рабочего развертывания на нескольких серверах можно использовать балансировку нагрузки сети (NLB) для распределения нагрузки обработки. У вас также должен быть один псевдоним (например, записи типа A или CNAME), чтобы пользователю было видно одно общее имя.

Внимание

Если вы используете технологию балансировки нагрузки, отличной от функции NLB в Windows Server 2012 R2 или более поздней версии, убедитесь, что решение перенаправит один сеанс на один и тот же сервер, а не на случайный сервер.

В развертывании MIM с несколькими серверами каждая служба MIM имеет имя внешнего узла, имя службы и имя секции службы. Значением по умолчанию имени службы является имя компьютера, а значение по умолчанию внешнего имени узла и имени секции службы настраиваются во время установки службы MIM на экране, который запрашивает адрес сервера службы MIM. Эти три имена хранятся в файле %ProgramFiles%\Microsoft Forefront Identity Manager\Service\Microsoft.ResourceManagementService.exe.config-файл в виде атрибутов externalHostNameserviceNameи servicePartitionNameresourceManagementService узла конфигурации.

Когда служба MIM получает запрос, имя секции службы хранится в качестве атрибута в этом запросе. Впоследствии только другие установки службы MIM, имеющие то же имя секции службы, могут взаимодействовать с этим запросом. Таким образом, если сценарий PAM включает ручные утверждения или другую долгосрочную обработку запросов, убедитесь, что каждая служба MIM имеет тот же servicePartitionName атрибут в этом файле конфигурации.

Восстановление

После сбоя убедитесь, что перед перезапуском службы MIM в среде бастиона доступны по крайней мере один контроллер домена Active Directory и SQL Server.

Экземпляр рабочего процесса может быть завершен только сервером службы MIM, который имеет то же имя секции службы и имя службы, что и сервер службы MIM, который запустил его. Если конкретный компьютер выходит из строя при размещении службы MIM, которая обрабатывала запросы, и его невозможно восстановить, необходимо установить службу MIM на новом компьютере. В новой службе MIM после установки измените файл конфигурации resourcemanagementservice.exe.config и задайте serviceNameservicePartitionName атрибуты нового развертывания MIM так же, как имя узла и имя секции службы компьютера, который завершился сбоем.

Компоненты PAM MIM

Установщик службы MIM и портала также включает дополнительные компоненты PAM, включая модули PowerShell и две службы.

Подготовка

Компоненты управления привилегированным доступом должны быть установлены на каждом компьютере в среде бастиона, где установлена служба MIM. Их нельзя добавить позже.

Восстановление

После восстановления после сбоя убедитесь, что служба MIM работает по крайней мере на одном сервере. Затем убедитесь, что на этом сервере также запущена служба мониторинга MIM PAM, используя net start "PAM Monitoring service".

Если уровень функциональности леса бастиона не был в Windows Server 2012 R2, убедитесь, что служба компонентов PAM MIM также запущена на этом сервере с помощью команды net start "PAM Component service".