Monitorování služby Active Directory pomocí produktu MOM

Autor článku:
John Hann

Stručný přehled:

• Sady Management Pack pro správu služby Active Directory

• Tipy pro přizpůsobení produktu MOM

• Optimalizace výstrah

Sady Management Pack jsou důležitou součástí produktu Microsoft Operations Manager (MOM) 2005 a odlišují jej od ostatních produktů pro správu. Sady Management Pack slouží v produktu MOM k seskupování pravidel, sestav, úkolů a zobrazení. Jejich rozsah lze omezit na konkrétní aplikaci nebo službu, například Active Directory. Sady Management Pack pro aplikace společnosti Microsoft jsou vyvíjeny příslušnými produktovými týmy. V produktu MOM jsou tedy využity nejlepší možné znalosti každého produktu. Sady Management Pack lze dále přizpůsobit vašemu IT prostředí. Budete tak mít k dispozici pravidla, která monitorují a spravují daný produkt podle potřeb vašeho konkrétního serverového a aplikačního prostředí.

K dispozici je nejen sada Management Pack pro správu služby Active Directory®, ale také široký výběr sad Management Pack pro sledování stavu adresářových služeb: od základního operačního systému Windows Server® přes služby DHCP (Dynamic Host Configuration Protocol) a DNS, až po službu Replikace souborů (FRS). V následující části najdete podrobný popis těchto sad Management Pack, který vás seznámí s možnostmi produktu MOM při komplexní správě služby Active Directory.

Sada Management Pack pro DHCP

Sada Management Pack pro DHCP monitoruje provoz služby DHCP v operačních systémech Windows NT®, Windows® 2000 nebo Windows Server 2003. Monitorování služby DHCP je užitečné tím, že poskytuje přehled o problémech s připojováním klientských počítačů k síti. Budete také informováni v případě, že bude ve vašem prostředí spuštěn neoprávněný server DHCP. Součástí balíčku ke stažení této sady Management Pack je také průvodce dokumentující pravidla, sestavy i postupy monitorování a nasazení. Další rozsáhlou dokumentaci a pokyny najdete na stránkách produktu MOM 2005 na webu TechNet (http://technet.microsoft.com/opsmgr/bb498231).

V novějších verzích systému Windows poskytuje produkt MOM 2005 více nástrojů a funkcí pro správu služby DHCP. O serveru DHCP v systému Windows Server 2003 je tedy k dispozici více informací než o serveru DHCP v systému Windows NT. V případě serveru DHCP v systému Windows Server 2003 lze například monitorovat množiny oborů, avšak u serveru DHCP v systému Windows 2000 může sada Management Pack monitorovat pouze normální obory. Obory lze z monitorování vyloučit uvedením příslušného parametru v monitorovacím skriptu.

Jak bylo uvedeno, sada Management Pack pro DHCP podporuje server DHCP provozovaný v operačních systémech Windows NT®, Windows® 2000 a Windows Server 2003. Skupiny počítačů jsou naplněny pomocí výpočtů na základě verze operačního systému a toho, zda je na daném serveru spuštěna služba DHCP Server.

Sada Management Pack pro službu DHCP nepodporuje konfigurace s omezenými oprávněními. Agent Action Account musí být v místním počítači členem skupiny Administrators. Monitorování bez agenta je podporováno, v konfiguraci bez agenta však nejsou podporovány úkoly. V tabulce 1 jsou uvedeny sestavy dostupné v rámci sady Management Pack pro službu DHCP.

Sada Management Pack pro DHCP je k dispozici ke stažení na webové stránce http://go.microsoft.com/fwlink/?LinkId=79527.

Sada Management Pack pro DNS

Sada Management Pack pro DNS monitoruje provoz služby DNS v operačních systémech Windows 2000 nebo Windows Server 2003. Služba DNS přispívá podstatnou měrou k celkovému stavu implementace služby Active Directory, a proto má její monitorování pomocí produktu MOM 2005 zásadní důležitost. Sada Management Pack pro DNS monitoruje problémy s překladem adres, databází a registrem, události a chyby za běhu a příslušné čítače výkonu.

V systému Windows 2000 Server je nutné nainstalovat zprostředkovatele WMI (Windows Management Instrumentation) pro službu DNS. To umožní sadě Management Pack pro DNS odesílat dotazy na obor názvů WMI DNS a zjišťovat tak informace potřebné při testování.

Všechny skupiny počítačů jsou naplněny pomocí výpočtů na základě verze operačního systému a toho, zda je na daném serveru spuštěna služba DNS Server. Sada Management Pack pro DNS podporuje omezená oprávnění pouze v systému Windows Server 2003. V systému Windows 2000 musí být agent Action Account členem skupiny Administrators v místním počítači. V systému Windows 2003 musí být agent Action Account členem skupin Users a Performance Monitor Users v místním počítači. Dále musí mít agent Action Account oprávnění Spravovat auditování a protokol zabezpečení (SeSecurityPrivilege) a Povolit místní přihlášení (SeInteractiveLogonRight). V tabulce 2 jsou uvedeny sestavy dostupné v rámci sady Management Pack pro službu DNS.

Marcus Oh, odborník MVP na produkt Microsoft® Systems Management Server (SMS), vyvinul skript, který otestuje server DNS pomocí volání příkazu nslookup. Tím se ověří, zda server DNS správně překládá adresy. Doporučujeme vám prostudovat si jeho článek na blogu na adrese http://marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html, neboť je velmi vhodné integrovat zmíněný skript do sady Management Pack pro DNS.

Sada Management Pack pro DNS je k dispozici ke stažení na webové stránce http://go.microsoft.com/fwlink/?LinkId=79528.

Sada Management Pack pro službu Replikace souborů

Sada Management Pack pro službu Replikace souborů monitoruje provoz služby Replikace souborů v operačních systémech Windows 2000 nebo Windows Server 2003. Řadiče domény používají službu Replikace souborů k replikaci přihlašovacích skriptů a informací o zásadách skupiny. Sada Management Pack pro službu Replikace souborů poskytuje podrobné informace o stavu služby Replikace souborů na každém řadiči domény.

Sada Management Pack pro službu Replikace souborů využívá nástroj Ultrasound, který je k dispozici ke stažení na adrese go.microsoft.com/fwlink/?LinkId=79529. Nástroj Ultrasound vytvoří obor názvů WMI pro službu Replikace souborů na každém řadiči domény. Poznámka: Nástroj Ultrasound vyžaduje databázi a uloží informace o oboru názvů WMI pro účely sledování stavu na každém řadiči domény. Díky informacím poskytovaným nástrojem Ultrasound může sada Management Pack pro službu Replikace souborů monitorovat sady replik, členy, připojení, službu Replikace souborů jako takovou i řídicí službu nástroje Ultrasound.

Nástroj Ultrasound doporučujeme nainstalovat na jiný server než ten, který používáte pro správu. Pravidla nástroje Ultrasound generují události a výstrahy týkající se jiných počítačů. Aby bylo možné správně zpracovat data z nástroje Ultrasound, je nutné na každém serveru s nástrojem Ultrasound povolit v konzole pro správu produktu MOM delegování agentů. V tabulce 3 jsou uvedeny čtyři sestavy dostupné v rámci sady Management Pack pro službu Replikace souborů.

K této sadě Management Pack jsou přidruženy dvě skupiny počítačů: servery Microsoft Ultrasound 1.0 a servery služby Replikace souborů s operačním systémem Windows 2000 Server nebo Windows Server 2003. Všechny skupiny počítačů jsou naplněny pomocí výpočtů na základě verze operačního systému a toho, zda je na daném serveru spuštěna služba Replikace souborů. Do skupiny Ultrasound Servers je přidán nový člen vždy při instalaci nástroje Ultrasound na server.

Jestliže nakonfigurujete sadu Management Pack pro službu Replikace souborů s omezenými oprávněními, úkoly nebudou fungovat, ale ostatní funkce sady Management Pack budou podporovány. Agent Action Account musí mít přístup pro čtení z databáze nástroje Ultrasound a oprávnění spustit uloženou proceduru GetControllerStatusForMOM001. Sada Management Pack pro službu Replikace souborů podporuje monitorování počítačů spravovaných pomocí agenta i bez něj.

Sada Management Pack pro službu Replikace souborů je k dispozici ke stažení na webové stránce http://go.microsoft.com/fwlink/?LinkId=79530.

Sada Management Pack pro systém Windows Server

Sada Management Pack pro základní operační systém Windows Server slouží k monitorování systémů Windows NT 4.0 Server, Windows 2000 Server a Windows Server 2003. Sada Management Pack pro základní operační systém poskytuje informace o stavu operačního systému na řadičích domény a monitoruje také hlavní služby v systému. Sada Management Pack informuje o stavu hlavních služeb systému Windows, výkonu procesoru a paměti, volném místu na disku i latenci disku. Pravidla monitorování v této sadě Management Pack se částečně překrývají s jinými sadami popsanými v tomto článku, ale přesto poskytují výborný podrobný přehled o stavu řadiče domény.

V tabulce 4 jsou uvedeny sestavy dostupné v rámci sady Management Pack pro základní operační systém. Podobně jako v případě jiných sad Management Pack jsou skupiny počítačů naplněny výpočtem na základě verze operačního systému.

Pokud nakonfigurujete sadu Management Pack pro základní operační systém s omezenými oprávněními, bude v systému Windows 2000 vyžadováno přidání účtu Action Account do skupiny Administrators v místním počítači. V systému Windows 2003 musí být agent Action Account členem skupin Users a Performance Monitor Users v místním počítači a mít oprávnění Spravovat auditování a protokol zabezpečení (SeSecurityPrivilege) a Povolit místní přihlášení (SeInteractiveLogonRight). Většina funkcí sady Management Pack pro základní operační systém (s výjimkou úkolů) je podporována i v počítačích monitorovaných bez agenta.

Sada Management Pack pro základní operační systém je k dispozici ke stažení na webové stránce http://go.microsoft.com/fwlink/?LinkId=79531.

Sada Management Pack pro službu Active Directory

Sada Management Pack pro službu Active Directory má velký rozsah a její pravidla podporují systémy Windows 2000 Server a Windows Server 2003. Součástí sady Management Pack pro službu Active Directory je pět oblastí pravidel: monitorování na straně klienta, monitorování vztahů důvěryhodnosti, monitorování replikace, rozpoznávání topologie a dále pravidla týkající se operačních systémů Windows 2000 Server a Windows Server 2003. Jak bylo uvedeno, v novějších verzích systému Windows je k dispozici více nástrojů, a tedy další možnosti monitorování. Sada Management Pack například podporuje monitorování vztahů důvěryhodnosti v systému Windows Server 2003, ale nikoli v systému Windows 2000.

Sada Management Pack pro službu Active Directory vytvoří několik skupin, které slouží k uplatňování různých pravidel v konkrétních počítačích. Pravidla pro monitorování na straně klienta využívají skupinu Active Directory Client Side Monitoring. Chcete-li monitorovat počítače, do kterých byl nainstalován agent MOM, přidejte je do této skupiny, kterou lze také použít ke správě těchto pravidel. Do této skupiny je vhodné přidat několik stolních počítačů, pro které byla zakoupena licence na agenta, a také některé servery Exchange. Exchange Server často využívá službu Active Directory, a poslouží vám tedy jako včasný indikátor potenciálních potíží. Stolní počítače v této skupině vám pomohou posoudit, jak se případné potíže projevují uživatelům. Pravidla pro monitorování na straně klienta testují pomocí skriptů připojení k řadičům domény, odesílání dotazů prostřednictvím protokolu LDAP a chyby v sestavách. Důležité upozornění: Pravidla pro monitorování na straně klienta lze použít pouze u počítačů spravovaných pomocí agenta, které mají povoleno delegování, ale nejsou řadičem domény.

Pravidla pro monitorování vztahů důvěryhodnosti využívají skupinu Active Directory Trust Monitoring. Do této skupiny jsou umístěny počítače se systémem Windows Server 2003 a slouží k testování vztahů důvěryhodnosti. Systém Windows Server 2003 má obor názvů WMI pro účely monitorování vztahů důvěryhodnosti. Pravidla pomocí skriptu odesílají dotazy na zmíněný obor názvů WMI. Pokud jsou zjištěny chyby ve vztazích důvěryhodnosti s jinými doménami, odešlou pravidla výstrahu.

Mnoho pravidel sady Management Pack pro službu Active Directory platí výhradně pro systém Windows 2000 Server, nebo výhradně pro Windows Server 2003. Tato pravidla odpovídají rozdílům v implementaci služby Active Directory v těchto dvou operačních systémech. Většinu funkcí sady Management Pack pro službu Active Directory však tvoří kombinovaná pravidla platná pro oba operační systémy. Mezi ně patří skripty testující připojení mezi řadiči domény, ověřující servery s rolí FSMO (Flexible Single Master Operation), velikost databáze stromu adresářových informací a zpracování zásad skupiny nebo testující Kontrolu konzistence znalostí (KCC) a službu Mezisíťové zasílání zpráv.

Monitorování replikace tvoří jádro sady Management Pack pro službu Active Directory. Ke konfiguraci řadičů domény pro účely monitorování replikace slouží dvě skupiny: Active Directory Replication Latency Data Collection (Sources) a Active Directory Replication Latency Data Collection (Targets). Pro každého člena těchto dvou skupin je vypočítána replikační latence. Informace o době nutné k replikaci na jednotlivé servery v obou skupinách jsou zobrazeny formou čítačů výkonu. Poté je vypočítána replikační latence v rámci celé rozlehlé sítě. Jestliže překročí definovaný limit, je vygenerována sestava a výstraha. Poznámka: V systému Windows 2000 Server je nutné nainstalovat obor názvů WMI pro účely monitorování replikace.

Funkce pro rozpoznávání topologie v sadě Management Pack pro službu Active Directory umožňují vytvářet diagramy vaší implementace. Tyto užitečné diagramy lze exportovat do aplikace Microsoft Office Visio®. Diagramy jsou generovány v reálném čase, takže aktualizovaná verze je vždy k dispozici za několik vteřin.

Konzola MOM 2005 Operator Console nabízí mezi zobrazeními diagramů tři diagramy sady Management Pack pro službu Active Directory. Na diagramu Broken Connection Objects (Objekty s přerušeným připojením, viz obrázek 5) budou zobrazena všechna připojení v chybovém stavu. V případě, že nedochází k žádným chybám připojení, může být tento diagram prázdný.

Obrázek 5: Přerušená připojení jsou zvýrazněna v zobrazení diagramu

Na diagramu Connection Objects (Objekty s připojením) jsou zvýrazněna připojení mezi řadiči domény. Diagram Site Links (Propojení lokalit) zobrazí všechny lokality služby Active Directory, ve kterých jsou zapouzdřeny příslušné řadiče domény v dané lokalitě, a propojení mezi lokalitami.

Produkt MOM vytváří diagramy pro tato zobrazení dynamicky, a je tedy možné je exportovat do aplikace Visio, která usnadní jejich další úpravy a přizpůsobení. Na obrázku 6 je například znázorněn diagram propojení lokalit během úprav v aplikaci Visio.

Obrázek 6: Úpravy diagramu propojení lokalit v aplikaci Visio (Klepnutím na obrázek jej otevřete zvětšený v novém okně.)

V tabulce 7 jsou uvedeny sestavy dostupné v rámci sady Management Pack pro službu Active Directory. Skupiny počítačů přidružené k této sadě Management Pack jsou uvedeny v tabulce 8. Je zřejmé, že skupiny počítačů využívané sadou pro službu Active Directory je nutno naplnit explicitním přidáním členů. Naproti tomu skupiny počítačů využívané sadou pro systém Windows jsou naplněny výpočetně na základě verze operačního systému a toho, zda je daný počítač řadičem domény.

Sadu Management Pack pro službu Active Directory lze na řadičích domény se systémem Windows Server 2003 nakonfigurovat s omezenými oprávněními. Tato sada Management Pack nepodporuje monitorování bez agenta. V systému Windows 2000 Server musí být agent Action Account členem skupiny Administrators v místním počítači nebo skupiny Domain Admins. Agent Action Account na řadičích domény se systémem Windows Server 2003 vyžaduje v konfiguraci s omezenými oprávněními další oprávnění: členství ve skupinách Users a Performance Monitor Users, přístup k protokolům událostí a oprávnění SeSecurityPrivilege, SeAuditPrivilege a SeInteractiveLogonRight. Dále je požadována následující úroveň přístupu: plný přístup ke kontejneru CN=MomLatencyMonitors Container v adresáři Active Directory pro účely monitorování replikace, přístup ke čtení z adresářů, v nichž jsou uloženy soubory databáze NTDS.dit a protokolů, a přístup ke čtení tohoto klíče v registru:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

Chcete-li monitorovat vztahy důvěryhodnosti v systému Windows Server 2003, pamatujte, že skript AD Monitor Trusts vyžaduje, aby agent Action Account byl členem skupiny Domain Admin nebo Administrators.

Sada Management Pack pro službu Active Directory je k dispozici ke stažení na webové stránce http://go.microsoft.com/fwlink/?LinkId=79540.

Přizpůsobení produktu MOM pro Active Directory

Sadu Management Pack pro službu Active Directory je nutné nakonfigurovat. V opačném případě bude konzola přeplněna výstrahami. Nejrušnější situaci pro sadu Management Pack pro službu Active Directory představuje restartování řadiče domény. V takovém případě je vždy generováno velké množství výstrah. Tomuto chování bohužel není snadné zabránit. Nejlepší možností je snížit počet výstrah v době plánované údržby přechodem do režimu údržby v produktu MOM. Režim údržby byl navržen s cílem automaticky přijímat výstrahy týkající se řadičů domény, aby nedocházelo k přeplnění konzoly.

Nezapomeňte nakonfigurovat skupinu Active Directory Client Side Monitoring přidáním vhodných serverů a klientských počítačů. Pravidla využívající tuto skupinu zjišťují stav serverů s rolí FSMO a připojení k nim.

Pravidla testující výkon využívají mezní hodnoty pro vazbu na server s rolí FSMO pomocí protokolu LDAP. Kvalita připojení je ověřována pomocí příkazu PING a dotazu DNS. Tato pravidla naleznete v části týkající se výkonu a dostupnosti služby Active Directory (Active Directory Availability). Doporučujeme nastavit citlivost výstrah vhodnou úpravou těchto mezních hodnot. Vazba FSMO například využívá hodnoty atributů, které jsou uvedeny v sekundách. Tuto metodu generování výstrah používají pravidla zjišťující výkon všech serverů s rolí FSMO.

Je důležité seznámit se s principy nastavení v dialogovém okně Alert Severity Calculation for State Rule (Výpočet závažnosti výstrah pro stavové pravidlo). V tomto dialogovém okně se testují hodnoty atributů pomocí podmínek typu If-Else a podle výsledku se nastavuje závažnost výstrahy (viz obrázek 9). Jakmile pravidlo zjistí hodnotu čítače výkonu Last Bind, který byl vytvořen skriptem AD Op Master Response, porovná tuto hodnotu s podmíněnými mezními hodnotami, které byly nastaveny v tomto dialogu. Jednotlivé výstrahy bude nutné nakonfigurovat podle potřeb vašeho prostředí.

Obrázek 9: Nastavení pravidel pro závažnost výstrah (Klepnutím na obrázek jej otevřete zvětšený v novém okně.)

Berte v úvahu plán replikace každého řadiče domény. Pokud má daný řadič domény jiný plán než ostatní, zkreslí výsledky replikační latence, takže bude nutné zvýšit mezní hodnoty výstrah. Parametry replikačních skriptů bude nutné přizpůsobit potřebám vašeho prostředí. Důležité upozornění: Pokud je některý z řadičů domény mimo provoz nebo na něm došlo k problémům s replikací, každý jiný řadič domény ve skupině může ohlásit neúspěšnou replikaci na tento řadič, a to i v případě, že se nejedná o přímé replikační partnery. Z toho důvodu může i v případě, že daný řadič domény uvedete do režimu údržby, docházet k tomu, že ostatní řadiče hlásí neúspěšnou replikaci.

Monitorování replikace je oblastí, které při optimalizaci sady Management Pack pro službu Active Directory doporučujeme věnovat nejvíce pozornosti. Sadu Management Pack bude třeba ve vašem prostředí provozovat po několik týdnů a zjistit, jaké výstrahy jsou generovány. Jakmile budou patrné určité trendy, určete pomocí sestav hodnoty latence a nastavte podle nich mezní hodnoty.

V neposlední řadě doporučujeme využít informací, které poskytuje nástroj Alert Tuning Solution Accelerator (US).

Výhled do budoucna

Produkt MOM 2005 a sada Management Pack pro službu Active Directory umožňují účinné a efektivní monitorování implementace služby Active Directory ve vaší organizaci. Díky sadám Management Pack pro služby Active Directory, DHCP, DNS a Replikace souborů a pro základní operační systém Windows Server získáte lepší přehled o infrastruktuře, a můžete tedy lépe chránit infrastrukturu služby Active Directory i uživatele. Na základě rozsáhlých dat, která budou shromážděna v datovém skladu sestav, můžete analyzovat výkon a události a snadněji tak stanovit trendy výkonu a plánovat kapacitu.

Mnoho sad Management Pack včetně těch, které byly popsány v tomto článku, naleznete v katalogu sad Management Pack (US).

Příští aktualizace sady Management Pack pro službu Active Directory bude obsahovat obvyklé opravy chyb a mírné úpravy některých mezních hodnot. Zajímavější jsou však funkce plánované pro příští verzi tohoto produktu nazvanou System Center Operations Manager 2007. Mezi ně patří: možnost monitorovat několik doménových struktur v rámci jediné konfigurační skupiny, definovat skupiny řadičů domény (přičemž každá může mít vlastní očekávanou latenci replikace s ostatními skupinami) a monitorovat řadiče domény s příští verzí operačního systému Windows Server. Podrobnosti najdete na webu produktu MOM na adrese http://microsoft.com/mom.

John Hann pracuje s produktem MOM od verze MOM 2000 a od roku 2004 je odborníkem MVP na tento produkt. Publikuje na webech MyITForum.com, MOMCommunity.com a LearnMOM.com. Můžete se na něj obrátit prostřednictvím jeho blogu (US).

Zdroj: Časopis TechNet Magazine (US), únor 2007 (US)
Vaše připomínky budou vítány. Pošlete nám prosím svůj názor (US).

© 2006 Microsoft Corporation a CMP Media, LLC. Všechna práva vyhrazena. Reprodukování tohoto textu v jakémkoli rozsahu bez předchozího svolení je zakázáno.

 Top of page

Související články z časopisu TechNet Magazine:

• System Management: Monitoring Security Events with MOM by John Orefice (Správa systémů: Monitoring událostí zabezpečení v produktu MOM. Autor: John Orefice. Číslo 9/2006) (US)
• Security: 19 Smart Tips for Securing Active Directory by Sean Deuby (Zabezpečení: 19 užitečných tipů pro zabezpečení služby Active Directory. Autor: Sean Deuby. Číslo: 5/2006) (US)
• System Management: Five Solution Accelerators to Lend MOM a Helping Hand by Steve Rachui (Správa systémů: Pět nástrojů Solution Accelerator pomáhá při práci s produktem MOM. Autor: Steve Rachui. Číslo: 3/2006) (US)
• Beta Box: System Center Operations Manager 2007 by Stewart Cawthray (Beta Box: System Center Operations Manager 2007. Autor: Stewart Cawthray. Číslo: 9/2006) (US)
• System Management: Cut Through the Noise: Better Reporting with MOM and SMS by Richard Threlkeld (Správa systémů: Jak poznat relevantní data? Lepší sestavy v produktech MOM a SMS. Autor: Richard Threlkeld. Číslo: 3/2006) (US)

 Top of page