Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Capitolo 6: Funzionamento dell'infrastruttura
Aggiornato: 29 aprile 2004
Dopo aver implementato e testato l'infrastruttura, è necessario eseguire una serie di attività operative continue per assicurarsi che le soluzioni funzionino sempre correttamente. Questo capitolo, benché non esaustivo, riassume alcune considerazioni operative sui servizi dell'infrastruttura nel presente documento.
Servizi di infrastruttura
Per considerazioni operative dettagliate sul proprio ambiente di gestione identità e accessi, vedere la Microsoft Systems Architecture (MSA) 2.0 Operations Guide (in inglese), sul sito Web Microsoft.com, all'indirizzo: http://www.microsoft.com/resources/documentation/ msa/2/all/solution/en-us/msa20ik/vmhtm250.mspx.
Servizi directory
Il servizio directory Microsoft® Active Directory® è essenziale per tutte le soluzioni di gestione identità e accessi che utilizzano la piattaforma Microsoft. Pertanto le operazioni di Active Directory rappresentano una parte importante di qualsiasi procedura di gestione di queste soluzioni.
Backup di Active Directory
A differenza della maggior parte delle applicazioni, è possibile eseguire il backup di Active Directory insieme allo stato del sistema, utilizzando strumenti di backup come quello di Microsoft® Windows Server™ 2003. Questo strumento è in grado sottoporre a backup l'intero stato del sistema mentre il controller di dominio è in linea. Altre applicazioni di terze parti e utilità di backup aziendali offrono le stesse funzionalità.
È opportuno pianificare backup regolari per tutti i server critici, poiché non è possibile utilizzare il backup da un controller di dominio per ripristinare un altro controller di dominio nell'ambiente.
Monitoraggio di Active Directory
Benché il backup sia una procedura operativa critica per l'infrastruttura, grazie al monitoraggio di Active Directory è possibile identificare e risolvere molti problemi prima che diventino gravi. Monitorare Active Directory consente di risolvere i problemi per tempo, Active Directory e i servizi associati diventano più affidabili e gli utenti possono accedervi più rapidamente.
Il monitoraggio di Active Directory implica varie attività, tra le quali:
Verificare che i controller di dominio siano in grado di comunicare con l'infrastruttura di monitoraggio.
Riesaminare e risolvere tutti i nuovi avvisi ed eventi su ogni controller di dominio.
Riesaminare i rapporti di Active Directory per individuare problemi saltuari e di altro tipo.
Riesaminare l'attività di Active Directory e Microsoft Identity Integration Server 2003, Enterprise Edition, (MIIS 2003) per assicurarsi che le informazioni degli account creati siano corrette e che gli account non siano esclusi dai processi automatizzati.
Per ulteriori informazioni sulla gestione e il supporto di Active Directory, vedere la pagina Active Directory in Windows Server 2003 (in inglese) sul sito Web Microsoft.com, all'indirizzo: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ technologies/directory/activedirectory/default.mspx.
Servizi certificati
Ogni infrastruttura a chiave pubblica (KPI, Public Key Infrastructure) richiede di considerare vari aspetti operativi, compresi backup e ripristino, controllo e monitoraggio e la gestione dei certificati.
È opportuno sottoporre periodicamente a backup tutte le autorità di certificazione (CA, Certification Authority) per assicurarsi che il database, i certificati e le chiavi corrispondenti siano protetti. Ciò è particolarmente importante per le proprie CA, in quanto non sono recuperabili direttamente al di fuori del processo di backup e ripristino.
I Servizi certificati Microsoft registrano le voci significative nel Registro eventi di Windows. Esaminare regolarmente i registri per tenere traccia dell'attività delle autorità di certificazione, in particolare per i certificati emessi e le modifiche apportate all'elenco dei certificati revocati (CRL, Certificate Revocation List).
Prestare molta attenzione alla gestione dei certificati, in modo da essere sicuri che il CRL sia accurato e aggiornato. Occorre inoltre assicurarsi di gestire correttamente i certificati degli utenti, per impedire che scadano mentre gli utenti si trovano fuori ufficio. Infine è opportuno verificare che i certificati CA e IIS 6.0 siano sempre aggiornati e vengano riemessi a intervalli regolari, onde evitare di escludere gli utenti dai servizi ai quali devono accedere.
Per ulteriori informazioni sulla gestione dei certificati, vedere la Windows Server 2003 PKI Operations Guide (in inglese) nel sito Web Microsoft TechNet, all'indirizzo: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/ technologies/security/ws03pkog.mspx.
Servizi proxy e firewall
Occorre monitorare il server Microsoft Internet Security and Acceleration (ISA) non soltanto per identificare i problemi delle prestazioni, ma anche per gli avvisi di protezione. Un server ISA offre una solida struttura di monitoraggio e gestione e consente di accedere ai registri delle attività e ai rapporti di riepilogo. È inoltre possibile configurare un server ISA per l'emissione di avvisi basati sugli eventi che rileva.
Un server ISA è una risorsa critica per la protezione. Prestare molta attenzione quando si esaminano i file di registro del server ISA. Se opportuno, considerare l'attivazione di un sistema di avvisi che notifichi agli operatori gli eventi sospetti.
Altre attività associate al monitoraggio del server ISA comprendono:
Verificare che il server ISA sia funzionante e i relativi servizi abilitati.
Esaminare e risolvere tutti gli avvisi ed eventi generati dal server ISA.
Esaminare i registri e i rapporti del server ISA in merito a problemi di protezione o di altro tipo.
Utilizzare il monitoraggio di rete per tenere traccia del traffico.
Per ulteriori informazioni sul server ISA e sulla gestione e il supporto correnti, vedere la pagina Internet Security and Acceleration Server (in inglese) sul sito Web Microsoft TechNet, all'indirizzo: http://www.microsoft.com/technet/prodtechnol/isa/default.mspx.
Gestione delle patch
Contoso Pharmaceuticals utilizza Software Update Services, incluso in Windows Server 2003 e Windows® XP Professional, per garantire che tutti i server e i client nell'ambiente dispongano dei più recenti aggiornamenti software e per la protezione.
Per ulteriori informazioni su Software Update Services, vedere Gestione delle patch mediante Microsoft Software Update Services (SUS) sul sito Web Microsoft.com, all'indirizzo: http://www.microsoft.com/technet/itsolutions/ techguide/msm/swdist/pmsus/pmsus251.mspx.