Mickey Bresman Director General, Semperis

Suena bastante sencillo, ¿verdad? Si mi AD no funciona, nadie puede conectarse a sus PC, acceder a los recursos de red, iniciar aplicaciones, etc., pero algunos CIO siguen considerando AD como un servicio más de la organización.

Intentaré desglosar por qué la recuperación ante desastres de Active Directory es tan importante, y cómo se puede analizar realmente cómo importante es para tu organización, basándome en mi experiencia con algunos de los clientes empresariales más grandes con los que he trabajado.

En primer lugar, permítanme comenzar con una afirmación que he oído a uno de mis colegas de Microsoft: "Active Directory es como la electricidad, nadie la aprecia mientras está ahí, pero en el momento en que deja de funcionar se desata el infierno". Creo que es la afirmación más acertada que he oído sobre la recuperación ante desastres de Active Directory.

Veamos qué servicios proporciona Active Directory a nuestra organización:

  • Ante todo servicios de autenticación - cuando un usuario llega por la mañana a su PC y teclea su nombre de usuario y contraseña, el nombre de usuario y el hash de la contraseña se envían al Controlador de Dominio para verificar que son correctos, tras lo cual el usuario puede acceder a su PC. Dicho esto sobre los usuarios, lo mismo se aplica a las cuentas de los ordenadores. Cuando se arranca un PC miembro del dominio, se autentica del mismo modo que un usuario.
  • Autenticación y autorización de recursos - Una vez que el usuario ha obtenido acceso a su PC, normalmente intenta acceder a los recursos de la red: servidores de archivos, servidores web, sharepoint, DB, etc. La autenticación de esos recursos es gestionada por el Controlador de Dominio, bien utilizando Kerberos (y entonces el usuario solicita y recibe un ticket que le concede acceso a un recurso específico), o NTLM, entonces el propio recurso realiza el "encadenamiento", y reenvía el nombre de usuario y el hash de la contraseña recibida del usuario al Controlador de Dominio para autenticar la sesión. (Nota: Puedes encontrar más detalles sobre la autenticación NTLM en un gran post de GuyTe - http://blogs.technet.com/b/isrpfeplat/archive/2010/11/05/optimizing-ntlm-authentication-flow-in-multi-domain-environments.aspx)
  • Procesamiento de la directiva de grupo - Aunque el procesamiento de la directiva de grupo se realiza en el lado del cliente, los controladores de dominio son los que proporcionan a los clientes (PC y usuarios) la lista de objetos que necesitan procesamiento.
  • DNS - aunque no es obligatorio, pero muchas organizaciones están utilizando sus Controladores de Dominio para proporcionar servicios de resolución de nombres a su organización, tanto internos para servidores en el dominio, como externos (resolución de nombres de Internet a través de reenvíos o root hints).
  • Repositorio de datos de servicios de directorio - El Directorio Activo es también un repositorio de datos que puede ser consumido por muchas aplicaciones, empezando por Sharepoint, Exchange y SQL y puede ser utilizado por Oracle, CheckPoint, Cisco o cualquier otro proveedor deterceros que se integre con AD.

Ahora que hemos cubierto todos los servicios básicos (en un nivel realmente alto, ya que cada uno de ellos puede ser un libro por sí mismo J ), veamos qué ocurre si nuestro dominio no está disponible:

  • Sin servicios de autenticación disponibles - ningún usuario podrá iniciar sesión en sus PC, así como los propios PC autenticarse y acceder a los recursos de la red.
  • Sin autenticación y autorización de recursos - aunque utilices credenciales almacenadas en caché en todos tus dispositivos y puedas acceder a tu escritorio, no podrás acceder a ninguno de los recursos de red de la organización.
  • Sin GPO - Muchas veces, los GPO se utilizan para aplicar la configuración de seguridad en los clientes y servidores de la organización. El procesamiento de GPO no está disponible, y no se aplicará ninguna configuración en los clientes, lo que significa que si alguien ha cambiado una configuración de seguridad (ya que es un administrador local en su PC), esto no se revertirá a la línea de base de la organización.
  • Sin DNS - la resolución de nombres (si está alojada en un DC) no está disponible, lo que significa que sus dispositivos no pueden acceder a la web, y/o a otros servicios de la red.
  • Sin acceso al repositorio de datos - Dependiendo de las particularidades de la implementación, la aplicación puede dejar de funcionar por completo (como en el caso de Exchange Server), o la funcionalidad puede verse reducida (por ejemplo: la solución VPN de la organización no puede autenticar a los usuarios de acceso remoto, ya que depende de AD para los servicios de autenticación).

En tal situación, es seguro que su negocio ha caído.