Jak provést migraci domény Active Directory pro nástroj Dell Security Server

• Dell Security Management Server (dříve Dell Data Protection | Enterprise Edition) je spuštěn a připojen k doméně.
• Do části „domain“ v konzoli WebUI byla přidána stávající doména.
• Koncové body byly aktivovány na serveru.
• Je vyžadována migrace domény.
• Plánujeme také migraci historie SID objektů AD.
• Koncové body mají plnou konektivitu se serverem a před zahájením procesu migrace domény mohou načíst zásady ve staré doméně.
• Šifrovaná data na koncových bodech jsou plně přístupná, koncové body jsou aktivovány a lze je deaktivovat a znovu aktivovat. Pomocí rychlé aplikace WSDeactivate na libovolném koncovém bodu můžeme ověřit, zda k aktivaci dochází bez problémů.

Celkový postup není příliš složitý, je však třeba pochopit, že pokud se celý proces neprovede správně, může dojít ke ztrátě dat nebo může být nutné obnovit počítače. I když lze tento proces provést u libovolné verze nástroje Dell Security Management Server a klienta, společnost Dell Technologies doporučuje, aby byla nainstalována alespoň verze 8.3.0 klienta a 8.5 serveru, protože od té doby bylo provedeno několik vylepšení, která usnadňují celkový proces migrace na straně nástroje Dell Security Management Server. Níže je uveden přehled toho, jak celý proces funguje, a některé nejčastější dotazy.

Prvním krokem je pochopit, zda je migrace domény nutná. Existují situace, kdy společnost například přechází na sadu Office 365, kde stačí přidat alias a nastavit jej jako primární UPN pro uživatele AD. Nejedná se o skutečnou migraci domény a u serveru Dell Data Protection | Enterprise Edition není vyžadována žádná jiná akce než přidání nového aliasu do seznamu aliasů domény v části Settings, Domain Alias List . Pokud je vytvořena nová doména a objekty služby AD je třeba přesunout ze staré vyřazené domény do nové, je třeba naplánovat migraci domény.

Kdykoli je naplánována migrace domény, prvním krokem je zvážit, zda migrovat také historii SID. Aby byla migrace domény na straně Dell Security Management Server úspěšná, je nutné zachovat historii SID, jinak budou objekty AD na serveru Dell Security Management Server považovány za nové, a tudíž po opětovné aktivaci nebudeme moci využívat stejné šifrovací klíče. Společnost Dell vyžaduje migraci historie SID. Nebudeme se zabývat tím, jak se migrace domény provádí, protože to není úloha Dell Data Protection | Encryption, ale existuje několik nástrojů, například ADMT od společnosti Microsoft, které umožňují organizaci migraci domény A do domény B. Jak bylo uvedeno výše, migrace historie SID je nutná, abychom zachovali perzistenci klíčů. Migrace historie SID znamená, že do atributu historie SID ve službě AD přidáváme staršího uživatele SID před migrací, což zaručuje kontinuitu migrovaných objektů.

Pravidlo na straně AD:

• Při přejmenování jakéhokoli objektu se hodnota atributu objectSID (SID) nezmění. Když přesunete objekt z jedné domény do druhé, musí se změnit identifikátor objectSID, jelikož jeho část je specifická pro doménu, a starý identifikátor SID se přidá do atributu SIDHistory (za předpokladu, že je migrován). Můžete zobrazit SIDHistory pomocí nástroje ADSI Edit (zobrazení v šestnáctkové nebo desítkové soustavě). Pokud nejsou k dispozici žádné hodnoty, neexistuje historie SID nebo nebyl objekt nikdy přesunut z jiné domény.
• SIDhistory je k dispozici pouze při migraci účtů mezi doménami nebo strukturami.

Níže naleznete snímek obrazovky s informacemi, jak zjistit, zda byl atribut SIDHistory migrován pomocí editoru atributů:

Jakmile potvrdíme, že došlo také k přesunu SIDHistory migrovaných uživatelů a počítačů, můžeme pokračovat v konfiguraci nástroje Dell Security Management Server. Pokud potřebujete další informace o tom, jak provést migraci domény a jak zachovat historii SID, přečtěte si následující dokumentaci společnosti Microsoft:

• https://www.microsoft.com/en-us/download/details.aspx?id=19188
• https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/cc974384(v=ws.10).aspx

Níže je uveden postup při migraci domény v nástroji Dell Security Management Server.

1. Na straně klienta:
   • Přeložíme UPN uživatele na SID. V souboru trezoru vyhledáme jejich SID. Nenašli jsme jej.
   • Rozhodneme, že se jedná o nového uživatele, kontaktujeme server zabezpečení a předáme UPN a heslo jako typický požadavek na aktivaci.
2. Na straně serveru:
   • Obdržíme žádost o aktivaci. Kontaktujeme službu Active Directory a vyhledáme UPN. Poté můžeme uživatele posoudit a v rámci tohoto procesu posouzení si všimneme, že SID v tabulce Entity neodpovídá SID ve službě AD. Prověříme SIDHistory , zda není SID uvedeno v naší tabulce Entity. Pokud jej nenajdeme, vyvoláme výjimku a aktivace se nezdaří, protože už takové SCID máme. Když nalezneme SID, aktualizujeme tabulku Entity pomocí nového SID (v části UID je první část doména a my ji aktualizujeme a aktualizujeme část domény koncového bodu).
   • Poté předáme klientovi staré klíče, zásady, DCID atd. (jako by se jednalo o reaktivaci).
3. Zpět na klientovi:
   • Koncový bod obdrží tyto informace a přidá záznam v souboru credsys.vlt, že uživatel je aktivován a uživatel je v tomto okamžiku přihlášen jako obvykle.

Klíčovým bodem na straně nástroje Dell Security Management Server je pochopit, zda je třeba v rámci WebUI přidat novou doménu, aby vše fungovalo s novými a starými uživateli při aktivaci nebo reaktivaci.

V případě migrace domény novou doménu nepřidáme do konzole Dell Security Management Server, POKUD je k dispozici nadřazená kořenová doména staré a nové migrované domény. Stačí přidat novou doménu ve formě aliasu v části „Settings“, „Domain Alias List“. (A předpokládáme, že mezi nadřazenou a novou podřízenou doménou existuje obousměrná důvěra.) Servisní účet kořenové domény by měl být nastaven pravděpodobně v nadřazené doméně. Pokud místo toho migrujeme doménu A.local na B.local a tyto dvě domény nejsou podřízené ze stejné kořenové domény nebo patří do jiné doménové struktury, potřebujeme novou doménu, která je přidána v naší konzoli, protože je nutné vytvořit vazbu všech existujících koncových bodů s novou doménou a novým servisním účtem.

Pochopení výše uvedeného ohledně správné konfigurace nástroje Dell Security Management Server je klíčovým bodem, protože jinak budeme po migraci čelit několika problémům. Pochopení typu důvěry mezi těmito doménami a jejich kořenovými doménami (pokud nějaké jsou) a toho, jaký je jejich aktuální seznam domén v konzoli Dell Security Management Server, je také zásadní. Pravidlo je jednoduché: máte-li mezi nadřazenou/podřízenou doménou určitou důvěru, pak stačí, abyste na serveru Dell Data Protection | Enterprise Edition měli kořenovou doménu a aliasy. Jinak je v nástroji Dell Security Management Server nutné přidat co nejvíce podřízených domén jako jejich skutečné subdomény a toto pravidlo platí i pro migraci domény.

Nakonec bychom obecně *nikdy* neměli přidávat současně podřízenou a nadřazenou doménu, protože potenciální viditelnost stejného uživatele na obou úrovních způsobuje problémy. Odebrání domény není (zatím) plně podporovanou úlohou na straně nástroje Dell Security Management Server.

Pokud je klient ve verzi 8.2.1 nebo starší a server ve verzi 8.3.1 nebo starší, WSDeactivate je nutný krok, jelikož jsme část domény koncového bodu na straně serveru automaticky nepřejmenovali. To neplatí u nejnovějších sestavení našeho nástroje Dell Security Management Server nebo koncového bodu.

Staré domény nelze odstranit z databáze Dell Security Management Server ručně nebo pomocí konzole. Důvodem je, že nástroj Dell Security Management Server vyhledá uživatele nebo skupinu a poté určí jejich členství v doméně. Proto musí při odebrání domény dojít také k odebrání všech objektů, které jsou součástí dané domény. Ani jedna z možností není v této fázi podporována. Společnost Dell zkoumá, jak toto chování změnit v budoucích sestaveních nástroje Dell Security Management Server, i když v této fázi se nejedná o podporovaný nebo použitelný úkol. Pokud se případně rozhodneme označit (ručně) doménu jako odebranou v databázi, začneme registrovat chybovou zprávu, která se zaznamenává v protokolech serveru každých 15 minut pro všechny přidružené osamocené uživatele a skupiny.

Pokud bude nástroj Shield odinstalován na migrovaném koncovém bodě, je zde nutné provést stejný postup, který je nutný k vynucení normální (nedoménové) reaktivace pod stejným Shield ID. U běžných šifrovaných souborů je nutné vynutit stejné DCID v registru, než umožníme koncovému bodu opětovnou aktivaci pomocí nástroje Dell Data Protection | Enterprise Edition Server nebo Dell Security Management Server. V případě jakýchkoli dotazů se obraťte na tým technické podpory, který vám poskytne další pomoc.

Ne, od verze 8.x nástroje Dell Data Protection | Enterprise Edition Server není vyžadována nová licence domény. U starších verzí nástroje Dell Data Protection | Enterprise Edition Server je stále vyžadována nová licence. Další informace vám poskytne tým technické podpory.