Come eseguire la migrazione di un dominio Active Directory per Dell Security Server

• Dell Security Management Server (in precedenza Dell Data Protection | Enterprise Edition) è attivo e unito al dominio.
• Un dominio esistente è stato aggiunto alla sezione "domain" nella console dell'interfaccia utente web.
• Gli endpoint sono stati attivati sul server.
• È necessario eseguire una migrazione del dominio.
• Pianifichiamo anche la migrazione della cronologia SID degli oggetti AD.
• Gli endpoint dispongono di connettività completa al server e possono recuperare le policy sul dominio precedente prima di avviare il processo di migrazione del dominio.
• I dati crittografati negli endpoint sono completamente accessibili, gli endpoint sono attivati ed è possibile disattivarli e riattivarli. Possiamo confermare che le attivazioni avvengono senza alcun problema eseguendo un rapido WSDeactivate di qualsiasi endpoint.

I passaggi complessivi non sono troppo complessi, ma è necessario sapere che, se l'intero processo non viene eseguito correttamente, i dati potrebbero andare perduti o potrebbe essere necessario il ripristino dei computer. Infine, sebbene sia possibile eseguire questo processo su qualsiasi versione di Dell Security Management Server e del client, Dell Technologies consiglia che siano installati almeno il client 8.3.0 e il server 8.5, poiché sono stati apportati vari miglioramenti che semplificano il processo di migrazione generale sul lato Dell Security Management Server. Di seguito viene fornita una panoramica del funzionamento generale del processo e alcune delle domande più importanti.

Il primo passo è capire se sia necessario eseguire una migrazione del dominio. In alcuni casi, ad esempio, quando un'azienda passa a Office 365, è sufficiente aggiungere un alias e impostarlo come UPN primario per gli utenti AD. Non si tratta di una vera e propria migrazione del dominio e non è necessario eseguire altre azioni sul server Dell Data Protection | Server Enterprise Edition se non aggiungere il nuovo alias all'elenco di alias di dominio nella sezione Settings, Domain Alias List. Se si crea un nuovo dominio e occorre spostare gli oggetti AD dal precedente dominio disattivato al nuovo, è necessario pianificare la migrazione del dominio.

Ogni volta che si pianifica la migrazione di un dominio, è innanzitutto necessario considerare anche la migrazione della cronologia SID. Per completare correttamente la migrazione del dominio sul lato Dell Security Management Server, è necessario conservare la cronologia SID, altrimenti gli oggetti AD verranno considerati nuovi per Dell Security Management Server e di conseguenza, dopo la riattivazione, non sarà possibile utilizzare le stesse chiavi di crittografia. Dell richiede la migrazione della cronologia SID. Non illustreremo la procedura per eseguire la migrazione di un dominio in quanto non si tratta di un'attività relativa a Dell Data Protection | Encryption, ma esistono vari strumenti, ad esempio ADMT di Microsoft, che consentono a un'organizzazione di eseguire la migrazione di un dominio A a un dominio B. Come indicato in precedenza, è necessario eseguire la migrazione della cronologia SID per mantenere la persistenza in termini di chiavi. La migrazione della cronologia SID significa l'aggiunta del precedente SID utente pre-migrazione all'attributo della cronologia SID in AD, garantendo la continuità degli oggetti migrati.

Come regola sul lato AD:

• Quando un oggetto viene rinominato, il valore dell'attributo objectSID (il SID) non viene modificato. Quando si sposta un oggetto da un dominio a un altro, l'attributo objectSID deve cambiare, in quanto parte di esso è specifico del dominio, e il precedente SID viene aggiunto all'attributo SIDHistory (supponendo che ne sia stata eseguita la migrazione). È possibile visualizzare SIDHistory utilizzando ADSI Edit (può essere visualizzato in formato esadecimale o decimale). Se non sono presenti valori, non è presente alcuna cronologia SID o l'oggetto non è mai stato trasferito da un altro dominio.
• SIDhistory è disponibile solo quando si esegue la migrazione degli account tra domini o foreste.

Di seguito è riportata una schermata in cui viene spiegato come determinare se SIDHistory è stato migrato utilizzando l'editor degli attributi:

Una volta confermato che gli attributi SIDHistory degli utenti e dei computer migrati sono stati spostati, è possibile procedere con la configurazione di Dell Security Management Server. Se sono necessarie ulteriori informazioni su come eseguire la migrazione del dominio e su come conservare la cronologia SID, consultare la seguente documentazione Microsoft:

• https://www.microsoft.com/en-us/download/details.aspx?id=19188
• https://technet.microsoft.com/en-us/library/cc974332(v=ws.10).aspx
• https://technet.microsoft.com/en-us/library/cc974384(v=ws.10).aspx

Di seguito è riportato ciò che accade durante la migrazione di un dominio sul lato Dell Security Management Server.

1. Sul lato client:
   • Risolviamo l'UPN degli utenti nel SID. Cerchiamo il loro SID nel file del vault. Non lo troviamo.
   • Decidiamo che si tratta di un nuovo utente e contattiamo il Security Server, passando la password UPN come una tipica richiesta di attivazione.
2. Sul lato server:
   • Riceviamo la richiesta di attivazione. Contattiamo Active Directory e cerchiamo l'UPN. Quindi valutiamo l'utente; nell'ambito di questo processo di valutazione, notiamo che il SID nella tabella Entity non corrisponde al SID in AD. Esaminiamo SIDHistory per verificare la presenza del SID nella tabella Entity. Se non lo troviamo, generiamo un'eccezione e l'attivazione non riesce, in quanto tale SCID esiste già. Quando troviamo il SID, aggiorniamo la tabella Entity con il nuovo SID (nella parte UID, la prima parte è il dominio e lo aggiorniamo, quindi aggiorniamo la parte relativa al dominio dell'endpoint).
   • Poi passiamo al client le precedenti chiavi, la policy, il DCID e così via (come se si trattasse di una riattivazione).
3. Di nuovo sul client:
   • L'endpoint riceve queste informazioni e aggiunge una voce nel file credsys.vlt che indica che l'utente è attivato; a quel punto l'utente viene connesso come di consueto.

Un aspetto chiave sul lato Dell Security Management Server è capire se è necessario aggiungere un nuovo dominio nell'interfaccia utente web affinché tutto funzioni correttamente con i precedenti e i nuovi utenti durante l'attivazione o la riattivazione.

Nella migrazione di un dominio, non aggiungiamo il nuovo dominio alla console di Dell Security Management Server SE contiene il dominio root padre del precedente e del nuovo dominio migrato. È sufficiente aggiungere il nuovo dominio sotto forma di alias nella sezione "Settings", "Domain Alias List" (presumendo che esista un trust bidirezionale tra il dominio padre e il nuovo dominio figlio). L'account di servizio per il dominio root deve essere configurato possibilmente nel dominio padre. Se invece stiamo migrando un dominio A.local a B.local e i due domini non sono figli dello stesso dominio root o appartengono a una foresta diversa, abbiamo bisogno di un nuovo dominio aggiunto nella nostra console, in quanto è necessario associare tutti gli endpoint esistenti al nuovo dominio e a un nuovo account di servizio.

La comprensione dei punti sopra indicati per la corretta configurazione di Dell Security Management Server è un aspetto chiave, in quanto in caso contrario si riscontreranno vari problemi dopo la migrazione. È fondamentale conoscere il tipo di trust che esiste tra questi domini e i relativi domini root (se presenti) e quale sia l'elenco dei domini correnti nella console di Dell Security Management Server. La regola è semplice: se si dispone di un qualche tipo di trust tra padre/figlio, è sufficiente che sul server Dell Data Protection | Enterprise Edition siano presenti il dominio root e gli alias. In caso contrario, è necessario aggiungere tanti domini figlio in Dell Security Management Server quanti sono i sottodomini reali e questa regola si applica anche alla migrazione di un dominio.

Infine, più in generale, non dovremmo *mai* aggiungere contemporaneamente un dominio figlio e padre in quanto non è consigliabile avere lo stesso utente potenzialmente visibile a entrambi i livelli. Inoltre, la rimozione di un dominio non è (ancora) un'attività completamente supportata sul lato Dell Security Management Server.

Se il client esegue la versione 8.2.1 o una versione precedente e il server esegue la versione 8.3.1 o una versione precedente, WSDeactivate è un passaggio obbligatorio in quanto la parte relativa al dominio dell'endpoint sul lato server non è stata rinominata automaticamente. Ciò non vale per le build più recenti di Dell Security Management Server o dell'endpoint.

I domini precedenti non possono essere rimossi dal database di Dell Security Management Server manualmente o utilizzando la console. Questo perché Dell Security Management Server cerca un utente o un gruppo e quindi ne determina l'appartenenza al dominio. Per questo motivo, quando un dominio viene rimosso, devono essere rimossi anche tutti gli oggetti che fanno parte di tale dominio. Nessuna opzione è supportata in questa fase. Dell sta ricercando il modo per modificare questo comportamento nelle build future di Dell Security Management Server, anche se in questa fase non si tratta di un'attività supportata o valida. Come nota a margine, se scegliamo di contrassegnare (manualmente) il dominio come rimosso nel database, inizieremo a ricevere un errore generato nei registri del server ogni 15 minuti per tutti gli utenti e i gruppi orfani associati.

In caso di disinstallazione dello Shield su un endpoint migrato, sono necessari gli stessi passaggi richiesti per applicare una riattivazione normale (non di dominio) sullo stesso ID Shield. Nei file crittografati comuni, è necessario applicare lo stesso DCID nel registro prima di consentire la riattivazione dell'endpoint in Dell Data Protection | Enterprise Edition Server o Dell Security Management Server. Per eventuali domande, contattare il team del supporto tecnico per ulteriore assistenza.

No, non è necessaria una nuova licenza del dominio a partire da Dell Data Protection | Enterprise Edition Server 8.x. Su versioni precedenti di Dell Data Protection | Enterprise Edition Server, è invece necessaria una nuova licenza. Per ulteriori informazioni, contattare il team del supporto tecnico.