• Artikel

Windows-Verwaltung

Überwachen von Active Directory mittels MOM

John Hann

 

Kurz zusammengefasst:

  • Management Packs für Active Directory
  • Tipps zum Anpassen von MOM
  • Alert Tuning

Management Packs sind zentraler Bestandteil des Microsoft Operations Managers (MOM) 2005 und machen den Unterschied zu anderen Verwaltungsprodukten aus. Mithilfe von Management Packs fügt MOM Regeln, Berichte, Aufgaben und Ansichten zu einem Ganzen zusammen. Mit diesen Packs kann der Anwendungsbereich von MOM auf eine bestimmte Anwendung

oder einen bestimmten Dienst wie z. B. Active Directory begrenzt werden. Die Management Packs werden von Microsoft-Produktteams für die von ihnen entwickelten Anwendungen erstellt. Dadurch wird sichergestellt, dass das detaillierte Wissen dieser Teams über das Produkt auch in MOM enthalten ist. Außerdem können Management Packs angepasst werden, damit die Packs exakt in Ihre IT-Umgebung integrierbar sind. Sie verfügen dadurch über Regeln, die das Produkt auf der Basis Ihrer konkreten Server- und Anwendungsumgebung überwachen und verwalten.

Es gibt nicht nur ein bestimmtes Management Pack für Active Directory®, sondern es gibt eine unüberschaubare Zahl von Management Packs für das Messen des Zustands von Verzeichnisdiensten, angefangen vom Basisbetriebssystem Windows Server® bis zu DHCP (Dynamic Host Configuration Protocol), DNS und zum Dateireplikationsdienst (File Replication Service, FRS). Schauen wir uns diese Management Packs genauer an, um Ihnen ein besseres Verständnis über die End-to-End-Verwaltung von Active Directory zu vermitteln, die durch MOM möglich ist.

DHCP-Management Pack

Das Management Pack für den DHCP-Dienst überwacht den DHCP-Dienst unter Windows NT®, Windows® 2000 und Windows Server 2003. Das Überwachen von DHCP ist eine gute Sache. Dadurch erkennen Sie, wenn Clients Probleme beim Aufbau einer Verbindung zum Netzwerk haben. Sie werden außerdem auf nicht autorisierte DHCP-Server aufmerksam gemacht, die in Ihrer Umgebung ausgeführt werden. Das Downloadpaket für dieses Management Pack enthält ein Handbuch, in dem die Regeln und die Berichte sowie Überwachungsszenarios und die Bereitstellung dokumentiert sind. Eine Fundgrube zusätzlicher Dokumentationen und Anleitungen finden Sie auf der TechNet-Website zu MOM 2005 (auf Englisch) (microsoft.com/technet/prodtechnol/mom/mom2005).

Je aktueller die Version von Windows ist, unter der Sie den DHCP-Dienst ausführen, desto mehr Ausstattung und Funktionalität bietet MOM 2005 für die Verwaltung dieser Umgebung. Daher werden Sie über einen DHCP-Server unter Windows Server 2003 mehr Informationen erhalten als über einen DHCP-Server unter Windows NT. So können z. B. bei einem DHCP-Server unter Windows Server 2003 die Bereichsgruppierungen dieses Servers überwacht werden, bei einem DHCP-Server unter Windows 2000 hingegen werden lediglich die normalen Bereiche überwacht. Sie können Bereiche von der Überwachung ausschließen, indem Sie diese Bereiche mithilfe eines Parameters im Überwachungsskript als „ausgeschlossen“ markieren.

Wie bereits weiter oben erwähnt, unterstützt das DHCP-Management Pack DHCP-Server, die unter Windows NT, Windows 2000 Server und Windows Server 2003 ausgeführt werden. Die Computergruppen werden durch Formeln aufgefüllt. In diesen Formeln wird beachtet, welche Version das Betriebssystem hat und ob der Server den Dienst „DHCP-Server“ hostet.

Das DHCP-Management Pack unterstützt keine Konfigurationen mit niedrigen Berechtigungen. Das Agentaktionskonto muss Mitglied der lokalen Administratorgruppe sein. Eine Überwachung ohne Agent wird unterstützt, in einer Konfiguration ohne Agent werden jedoch keine Aufgaben unterstützt. Abbildung 1 zeigt die im DHCP-Management Pack verfügbaren Berichte.

Figure 1 DHCP-Dienstberichte

All DHCP Servers (Alle DHCP-Server)
All Authorized DHCP Servers (Alle autorisierten DHCP-Server)
Performance History-Active Queue Length (Leistungsverlauf – Länge der aktiven Warteschlange)
Performance History-Conflict Check Queue Length (Leistungsverlauf – Länge der Konfliktprüfungswarteschlange)
Performance History-Declines per Second (Leistungsverlauf – Ablehnungen pro Sekunde)
Performance History-Discovers per Second (Leistungsverlauf – Erkennungen pro Sekunde)
Performance History-Milliseconds per Packet (Avg) (Leistungsverlauf – Millisekunden je Paket (Durchschnitt))
Performance History-NACKs per Second (Leistungsverlauf – NACKs pro Sekunde)
Performance History-Scope Free Addresses (Leistungsverlauf – Bereichsfreie Adressen)
Performance History-Scope Addresses in Use (Leistungsverlauf – Verwendete Bereichsadressen)
Performance History-Superscope Free Addresses (Leistungsverlauf – Adressen ohne Bereichsgruppierung)
(Leistungsverlauf – Verwendete Adressen mit Bereichsgruppierung)

Sie können das DHCP-Management Pack unter go.microsoft.com/fwlink/?LinkId=79527 herunterladen.

DNS-Management Pack

Das Domain Name Service-Management Pack überwacht den DNS-Dienst, der unter Windows 2000 Server und Windows Server 2003 ausgeführt wird. Da dieser Dienst von entscheidender Bedeutung für den Gesamtzustand einer Active Directory-Implementierung ist, ist das Überwachen des DNS mithilfe von MOM 2005 unerlässlich. Das DNS-Management Pack überwacht Probleme mit der Namensauflösung, Datenbankprobleme, Probleme mit der Registrierung, Laufzeitereignisse und -fehler sowie zugehörige Leistungsindikatoren.

Für Windows 2000 Server muss ein Windows Management Instrumentation (WMI)-DNS-Anbieter installiert werden. Dies ermöglicht dem DNS-Management Pack insbesondere, den WMI-DNS-Namespace nach Informationen sowie für das Testen abzufragen.

Die Computergruppen werden anhand von Formeln aufgefüllt. Bei der Festlegung der Gruppenmitgliedschaft wird in diesen Formeln beachtet, welche Version das Betriebssystems hat, und ob der Server den DNS-Serverdienst hostet. Niedrige Berechtigungen werden vom DNS-Management Pack ausschließlich unter Windows Server 2003 unterstützt. Unter Windows 2000 muss das Aktionskonto Mitglied der lokalen Administratorgruppe sein. Unter Windows Server 2003 muss das Aktionskonto Mitglied der lokalen Gruppen „Benutzer“ und „Systemmonitorbenutzer“ sein. Außerdem muss das Aktionskonto über Berechtigungen die „Verwalten von Überwachungs- und Sicherheitsprotokollen“ (SeSecurityPrivilege) und „Lokal anmelden zulassen“ (SeInteractiveLogonRight) verfügen. Abbildung 2 zeigt die im DNS-Management Pack verfügbaren Berichte.

Figure 2 DNS-Dienstberichte

All Windows DNS Servers (Alle Windows-DNS-Server)
All Windows DNS Servers by Zone (Alle Windows-DNS-Server, nach Zone)
All Windows DNS Zones by Server (Alle Windows-DNS-Server, nach Server)

Marcus Oh, ein MVP für Microsoft® Systems Management Server (SMS), hat ein Skript entwickelt, das einen DNS-Server durch Aufrufen von „nslookup“ testet, um die Fähigkeiten des DNS-Servers zum Auflösen von Namen zu überprüfen. Nehmen Sie sich die Zeit, seinen Blogbeitrag unter marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html zu lesen. Sie werden dieses Skript sicherlich in Ihr DNS-Management Pack integrieren wollen.

Sie können das DNS-Management Pack von go.microsoft.com/fwlink/?LinkId=79528 herunterladen.

FRS-Management Pack

Das Windows-Dateireplikationsdienst-Management Pack überwacht den Dateireplikationsdienst (File Replication Service, FRS) unter Windows 2000 und Windows Server 2003. FRS wird von den Domänencontrollern verwendet, um Anmeldeskripts und Informationen zu Gruppenrichtlinien zu replizieren. Das FRS-Management Pack liefert detaillierte Informationen zum Zustand des Dateireplikationsdiensts jedes einzelnen Domänencontrollers.

Das FRS-Management Pack verwendet das Ultrasound-Tool. Dieses Tool ist unter go.microsoft.com/fwlink/?LinkId=79529 verfügbar. Ultrasound erstellt auf jedem einzelnen Domänencontroller einen WMI-Namespace für den Dateireplikationsdienst. Beachten Sie, dass Ultrasound eine Datenbank benötigt und auf jedem einzelnen Domänencontroller die Informationen vom WMI-Namespace zwecks Zustandsüberwachung speichert. Mithilfe der Informationen von Ultrasound sorgt das FRS-Management Pack für die Überwachung von Replikatsätzen, von Mitgliedern, von Verbindungen, des Dateireplikationsdiensts selbst und des Ultrasound-Controllerdiensts.

Es wird empfohlen, dass Sie Ultrasound auf einem vom Verwaltungsserver getrennten Server installieren. Ultrasound-Regeln erzeugen Ereignisse und Warnungen im Namen anderer Computer. Damit die Regeln die Ultrasound-Daten ordnungsgemäß verarbeiten, müssen Sie auf jedem Server, der Ultrasound ausführt, in der MOM-Administratorkonsole das Agentproxying aktivieren. Abbildung 3 zeigt die 4 im FRS-Management Pack verfügbaren Berichte über Dienste.

Figure 3 FRS-Dienstberichte

Ultrasound-Frequently Detected Issues-Most Problematic Connections (Ultrasound – Häufig erkannte Probleme – Problematischste Verbindungen)
Ultrasound-Frequently Detected Issues-Most Problematic Members (Ultrasound – Häufig erkannte Probleme – Problematischste Mitglieder)
Ultrasound-Frequently Detected Issues-Most Problematic Replica Set (Ultrasound – Häufig erkannte Probleme – Problematischster Replikatsatz)
Ultrasound-Frequently Detected Issues-Summary (Ultrasound – Häufig erkannte Probleme – Zusammenfassung)

Zu den Computergruppen, die mit diesem Management Pack verknüpft sind, gehören Microsoft Ultrasound 1.0-Server und FRS-Server, die unter Windows 2000 Server und Windows Server 2003 ausgeführt werden. Die Computergruppen werden alle durch Formeln aufgefüllt. In den Formeln wird bei der Festlegung der Gruppenmitgliedschaft beachtet, welche Version das Betriebssystem hat und ob der Server den Dateireplikationsdienst hostet. Die Gruppe der Ultrasound-Server wird aufgefüllt, wenn Ultrasound auf einem Server installiert ist.

Wenn Sie das FRS-Management Pack für niedrige Berechtigung konfigurieren, funktionieren zwar Aufgaben nicht, die übrigen Funktionen des Management Packs werden jedoch unterstützt. Das Aktionskonto muss über Lesezugriff auf die Datenbank von Ultrasound und über die Berechtigung zum Ausführen der gespeicherten Prozedur „GetControllerStatusForMOM001“ verfügen. Das FRS-Management Pack beinhaltet Unterstützung für das Überwachen sowohl von agentlosen als auch von agentverwalteten Computern.

Sie können das FRS-Management Pack von go.microsoft.com/fwlink/?LinkId=79530 herunterladen.

Windows Server-Management Pack

Das Windows-Basisbetriebssystem-Management Pack überwacht Windows NT 4.0 Server, Windows 2000 Server und Windows Server 2003. Das Basisbetriebssystem-Management Pack erstellt Berichte über den Zustand des Betriebssystems der Domänencontroller und überwacht außerdem die Stammdienste des Systems. Das Management Pack liefert Informationen zum Status von Kerndiensten von Windows, zur Speicher- und Prozessorleistung sowie zu freiem Speicherplatz auf Datenträgern und zu Datenträgerwartezeiten. Es gibt eine gewisse Überlappung zwischen den Überwachungsregeln dieses Management Packs und den anderen in diesem Artikel behandelten Packs. Dieses Pack bietet jedoch einen wertvollen Einblick von Grund auf in den Zustand des Domänencontrollers.

Abbildung 4 zeigt die im Basisbetriebssystem-Management Pack verfügbaren Berichte. Wie bei den anderen Management Packs werden die Computergruppen anhand von Formeln aufgefüllt. In diese Formeln geht die Version des Betriebssystems ein.

Figure 4 Basisbetriebssystemberichte

Disk Performance Analysis (Analyse der Datenträgerleistung)
Operating System Configuration (Betriebssystemkonfiguration)
Operating System Performance (Betriebssystemleistung)
Operating System Shutdown by Event (Herunterfahren des Betriebssystems, nach Ereignis)
Operating System Shutdown by Server (Herunterfahren des Betriebssystems, nach Server)
Operating System Storage Configuration (Betriebssystem-Speicherkonfiguration)
Software and Applications Installations by Application (Software- und Anwendungsinstallationen, nach Anwendung)
Software and Applications Installations by Instance (Software- und Anwendungsinstallationen, nach Instanz)
Software and Applications Installations by Server (Software- und Anwendungsinstallationen, nach Server)
Reliability-Application Failures by Application (Zuverlässigkeit – Anwendungsfehler, nach Anwendung)
Reliability-Application Failures by Computer (Zuverlässigkeit – Anwendungsfehler, nach Computer)
Reliability-Application Failures by Event (Zuverlässigkeit – Anwendungsfehler, nach Ereignis)
Reliability-Operating System Failures by Computer (Zuverlässigkeit – Betriebssystemfehler, nach Computer)
Reliability-Operating System Failures by Event (Zuverlässigkeit – Betriebssystemfehler, nach Ereignis)
Reliability-Operating System Failures by Stop Code (Zuverlässigkeit – Betriebssystemfehler, nach Stoppcode)
Performance History-Performance History (Leistungsverlauf – Leistungsverlauf)
Performance History-Additional Reports (Leistungsverlauf – Zusätzliche Berichte)

Wenn Sie das Basisbetriebssystem-Management Pack für den Betrieb mit niedrigen Berechtigungen konfigurieren, erfordert Windows 2000, dass das Aktionskonto Mitglied der lokalen Administratorgruppe ist. Windows Server 2003 erfordert, dass das Aktionskonto Mitglied der lokalen Gruppen „Benutzer“ und „Systemmonitorbenutzer“ ist und über die Berechtigungen „Verwalten des Überwachungs- und Sicherheitsprotokolls“ (SeSecurityPrivilege) und „Lokal anmelden zulassen“ (SeInteractiveLog-onRight) verfügt. Auf agentlos überwachten Computern werden fast alle Features des Basisbetriebssystem-Management Packs, außer Aufgaben, unterstützt.

Sie können das Basisbetriebssystem-Management Pack unter go.microsoft.com/fwlink/?LinkId=79531 herunterladen.

Active Directory-Management Pack

Das Active Directory-Management Pack ist sehr vielseitig und seine Regeln eignen sich sowohl für Windows 2000 Server als auch für Windows Server 2003. Das Active Directory-Management Pack umfasst fünf Regelbereiche: Clientseitige Überwachung, Vertrauensstellungsüberwachung, Replikationsüberwachung und Topologieerkennung sowie Regeln für die Betriebssysteme Windows 2000 Server und Windows Server 2003. Wie bereits erwähnt, ermöglichen neuere Versionen von Windows eine umfassendere Instrumentierung und daher zusätzliche Überwachungen. So unterstützt das Management Pack z. B. Vertrauensstellungsüberwachung für Windows Server 2003, nicht jedoch für Windows 2000.

Das Active Directory-Management Pack erstellt eine Anzahl von Gruppen, mit deren Hilfe es Regeln auf bestimmte Computer anwendet. Die clientseitigen Überwachungsregeln verwenden eine Gruppe mit der Bezeichnung „Active Directory Client Side Monitoring“ (Clientseitige Active Directory-Überwachung). Sie würden Computer, auf denen der MOM-Agent installiert ist, in diese Gruppe einordnen, um diese Regeln zu überwachen und zu verwalten. Ich habe ein paar Desktopcomputer, die über eine Lizenz für diesen Agent verfügen, sowie einige Exchange-Server in diese Gruppe eingetragen. Exchange Server verwendet Active Directory extensiv und wäre ein erster Indikator bei einem sich anbahnenden Problem. Desktopcomputer in der Gruppe können Sie bei der Bewertung der Benutzerfunktionalität unterstützen. Die Regeln für die clientseitige Überwachung verwenden Skripts, um Konnektivität zu Domänencontrollern zu testen, diese Controller über LDAP abzufragen und Fehlerberichte zu erstellen. Es ist wichtig zu beachten, dass die Regeln für die clientseitige Überwachung nur auf agentverwaltete Computer angewendet werden können, für die Proxying aktiviert ist, die jedoch keine Domänencontroller sind.

Die Regeln zur Vertrauensstellungsüberwachung verwenden eine Gruppe mit dem Namen „Active Directory Trust Monitoring“ (Active Directory-Vertrauensstellungsüberwachung). In diese Gruppe werden Computer mit Windows Server 2003 eingeordnet, um Vertrauensstellungen zu überwachen. Windows Server 2003 verfügt über einen WMI-Namespace zur Überwachung von Vertrauensstellungen. Diese Regeln nutzen ein Skript für die Abfrage des WMI-Namespace. Wenn Fehler bei Vertrauensstellungen zu anderen Domänen erkannt werden, werden Sie über diese Regeln gewarnt.

Es gibt viele Regeln im Active Directory-Management Pack, die entweder für Windows 2000 Server oder Windows Server 2003 gelten. Diese Regeln beschreiben die Unterschiede bei der Implementierung von Active Directory unter den beiden Betriebssystemen. Der größte Teil des Active Directory-Management Packs besteht jedoch aus den kombinierten Regeln für beide Betriebssysteme. Einige dieser Regeln umfassen Skripts zum Testen der Konnektivität zwischen Domänencontrollern sowie zum Überprüfen der FSMO-Rollenhalter (Flexible Single-Master Operations), der Größe der DIT-Datenbank (Directory Information Tree, Verzeichnisinformationsstruktur), der Gruppenrichtlinienverarbeitung, der KCC-Inspektion (Knowledge Consistency Checker, Kenntniskonsistenzkontrolleur) und der Tests bezüglich des standortübergreifenden Messagingdiensts.

Kernstück des Active Directory-Management Packs ist die Replikationsüberwachung. Es gibt zwei Gruppen, „Active Directory Replication Latency Data Collection Sources“ (Datensammlung zur Active Directory-Replikationswartezeit – Quellen) und „Active Directory Replication Latency Data Collection Targets“ (Datensammlung zur Active Directory-Replikationswartezeit – Ziele), mit denen Sie die Domänencontroller konfigurieren können, die ausschließlich für Berichte der Replikationsüberwachung verwendet werden. Die Replikationswartezeit wird für jedes einzelne Mitglied der Datensammlungsgruppen berechnet. In den Leistungsindikatoren werden die Zeiten eingetragen, die für den Aktualisierungsvorgang zum Replizieren jedes einzelnen Gruppenmitglieds benötigt werden. Es wird die unternehmensweite Replikationswartezeit berechnet und berichtet (und es werden Warnungen generiert), wenn festgelegte Schwellenwerte überschritten werden. Beachten Sie, dass unter Windows 2000 Server ein WMI-Namespace für die Replikationsüberwachung installiert werden muss.

Mithilfe der Topologieerkennung im Active Directory-Management Pack werden Diagramme Ihrer Implementierung erstellt. Diese hilfreichen Diagramme können in Microsoft Office Visio® exportiert werden. Die Diagramme werden von MOM in Echtzeit erstellt, damit Sie in nur wenigen Sekunden eine aktuelle Version erstellen können.

Unter den Diagrammansichten in der Betriebskonsole von MOM 2005 befinden sich drei Active Directory-Management Pack-Diagramme. Im Diagramm „Broken Connection Objects“ (Objekte mit unterbrochener Verbindung) (siehe Abbildung 5) werden alle Verbindungen dargestellt, die sich in einem Fehlerzustand befinden. Dieses Diagramm kann leer sein, wenn keine Verbindungsfehler vorhanden sind.

Abbildung 5 Unterbrochene Verbindungen sind in der Diagrammansicht hervorgehoben

Abbildung 5** Unterbrochene Verbindungen sind in der Diagrammansicht hervorgehoben **

Im Diagramm „Connection Objects“ (Verbindungsobjekte) werden die Verbindungen zwischen Domänencontrollern hervorgehoben. Das Diagramm „Site Links“ (Standortverknüpfungen) zeigt jeden Active Directory-Standort, wobei die entsprechenden Domänencontroller an diesem Standort und die verbindenden Standortverknüpfungen eingekapselt sind.

Da die von MOM für diese Ansichten erstellten Diagramme dynamisch sind, können Sie die Diagramme in Visio exportieren und dort problemlos bearbeiten und anpassen. So zeigt z. B. Abbildung 6 das Diagramm „Site Links“ (Standortverknüpfungen) bei der Bearbeitung in Visio an.

Abbildung 6 Bearbeiten des Diagramms „Site Links“ (Standortverknüpfungen) in Visio

Abbildung 6** Bearbeiten des Diagramms „Site Links“ (Standortverknüpfungen) in Visio **(Klicken Sie zum Vergrößern auf das Bild)

Abbildung 7 zeigt die im Active Directory-Management Pack verfügbaren Berichte. In Abbildung 8 sind Computergruppen dargestellt, die mit diesem Management Pack verknüpft sind. Wie Sie sehen, werden die Computergruppen von Active Directory nach expliziter Mitgliedschaft aufgefüllt. Die Computergruppen von Windows werden entsprechend der Version des Betriebssystems und anhand der Tatsache, ob der Computer ein Domänencontroller ist, aufgefüllt.

Figure 8 Computer Groups (Computergruppen)

Active Directory Client-Side Monitoring (Clientseitige Active Directory-Überwachung)
Active Directory Replication Latency Data
Collection-Sources (Datensammlung zur Active Directory-Replikationswartezeit – Quellen)
Active Directory Replication Latency Data
Collection-Targets (Datensammlung zur Active Directory-Replikationswartezeit – Ziele)
Active Directory Trust Monitoring (Active Directory – Vertrauensstellungsüberwachung)
Windows 2000 Server Domain Controllers (Windows 2000 Server-Domänencontroller)
Windows Server 2003 Domain Controllers (Windows Server 2003-Domänencontroller)

Figure 7 Active Directory Reports (Active Directory-Berichte)

AD Domain Controller (AD-Domänencontroller)
AD Role Holders (AD-Rollenhalter)
AD Replication Connection Objects (AD-Replikationsverbindungsobjekte)
AD Replication Site Links (AD-Replikationsstandortverknüpfungen)
AD DC Disk Space (AD-DC-Speicherplatz)
AD Domain Changes (AD-Domänenänderungen)
AD Machine Account Authentication Failures (AD-Computerkonto-Authentifizierungsfehler)
AD Replication Bandwidth (AD-Replikationsbandbreite)
AD Replication Latency (AD-Replikationswartezeit)

Das Active Directory-Management Pack kann für niedrige Berechtigungen auf Windows Server 2003-Domänencontrollern konfiguriert werden. Das Management Pack unterstützt keine agentlose Überwachung. Unter Windows 2000 Server muss das Agentaktionskonto der Gruppe der Domänenadministratoren oder der lokalen Administratoren angehören. Das Agentaktionskonto auf Windows Server 2003-Domänencontrollern muss über zusätzliche Berechtigungen verfügen, um für niedrige Berechtigungen konfiguriert werden zu können. Diese Berechtigungen sind: Mitgliedschaft in den Gruppen „Benutzer“ und „Systemüberwachungsbenutzer“, Zugriff auf Ereignisprotokolle sowie die Berechtigungen „SeSecurityPrivilege“, „SeAuditPrivilege“ und „SeInteractiveLogonRight“. Darüber hinaus sind folgende Zugriffe erforderlich: voller Zugriff auf den CN=MomLatencyMonitors-Container in Active Directory zur Replikationsüberwachung, Lesezugriff auf die Verzeichnisse, in denen sich die Datenbank „NTDS.dit“ und die Protokolldateien befinden, und Lesezugriff auf den folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

Wenn Sie Vertrauensstellungen unter Windows Server 2003 überwachen, beachten Sie, dass das Skript „AD Monitor Trusts“ erfordert, dass das Agentaktionskonto Mitglied in der Gruppe der Domänenadministratoren oder der Administratorgruppe ist.

Sie können das Active Directory-Management Pack unter go.microsoft.com/fwlink/?LinkId=79540 herunterladen.

Anpassen von MOM für Active Directory

Das Active Directory-Management Pack muss konfiguriert werden. Andernfalls würde Ihre Konsole mit Warnungen überschwemmt. Die härteste Zeit für das Active Directory-Management Pack bricht an, wenn ein Domänencontroller neu gestartet wird – scheinbar wird jede nur mögliche Warnung ausgelöst. Die schlechte Nachricht ist, dass dies nicht leicht unterbunden werden kann. Die besten Chancen haben Sie, wenn Sie den Wartungsmodus in MOM verwenden, um die Warnungen in den zu erwartenden Wartungsfenstern in den Griff zu bekommen. Der Sinn des Wartungsmodus besteht darin, Warnungen bezüglich der Domänencontroller automatisch abzuhandeln. Auf diese Weise wird die Konsole nicht mit Warnungen überschüttet.

Konfigurieren Sie unbedingt die Gruppe „Active Directory Client Side Monitoring“ (Clientseitige Active Directory-Überwachung), indem Sie Clientcomputer und entsprechende Server in diese Gruppe einordnen. Die dieser Gruppe zugeordneten Regeln unterstützen Sie beim Ermitteln des Zustands der FSMOs und der Konnektivität zu diesen.

Es gibt Leistungsregeln, die mithilfe von Schwellenwerten für die Bindung zu FSMOs sorgen und mit LDAP, PING und DNS die Konnektivität überprüfen. Diese Regeln befinden sich in den Active Directory Availability-Leistungsregeln. Sie sollten die von diesen Regeln verwendeten Schwellenwerte durch Einstellen des Warnungsschweregrads anpassen. So verwenden z. B. die FSMO-Bindungen Attributwerte, die in Sekunden gemessen werden. Die Leistungsregeln für die einzelnen FSMO-Rollen verwenden diese Warnungserzeugungsmethode.

Es ist wichtig zu verstehen, wie die Berechnung des Schweregrads für Statusregeleinstellungen funktioniert. Das Dialogfeld verwendet If-Else-Bedingungen für den Attributwert und legt den Schweregrad entsprechend fest (siehe Abbildung 9). Wenn die Regel den vom Skript „AD Op Master Response“ erzeugten Leistungsindikator „Last Bind“ (Letzte Bindung) erfasst, wird der Indikator mit den durch diese Regeln festgelegten Schwellenwerten verglichen. Sie müssen diese verschiedenen Warnungsebenen für Ihre Umgebung konfigurieren.

Abbildung 9 Festlegen von Schweregradregeln

Abbildung 9** Festlegen von Schweregradregeln **(Klicken Sie zum Vergrößern auf das Bild)

Beachten Sie den Replikationszeitplan für die einzelnen Domänencontroller. Wenn ein bestimmter Domänencontroller einen von anderen Controllern abweichenden Zeitplan hat, wird er die Ergebnisse für die Replikationswartezeiten verfälschen und Sie veranlassen, die Schwellenwerte höher festzulegen. Sie müssen die Parameter für die Replikationsskripts festlegen, um den Anforderungen der konkreten Umgebung zu entsprechen. Es ist wichtig zu beachten, dass, wenn ein Domänencontroller außer Betrieb ist oder Probleme bei der Replikation aufweist, jeder andere Domänencontroller in diesen Gruppen einen Replikationsfehler für diesen Domänencontroller melden kann, auch wenn der Controller kein direkter Replikationspartner ist. Daher können die anderen Domänencontroller auch dann Replikationsfehler berichten, wenn Sie den fehlerhaften Domänencontroller in den Wartungsmodus versetzen.

Beim Feinabstimmen des Active Directory-Management Packs sollten Sie sich besonders auf die Replikationsüberwachung konzentrieren. Sie werden das Management Pack in Ihrer Umgebung einige Wochen lang ausführen müssen, um das Warnungsverhalten zu beobachten. Wenn Sie sehen, dass sich einige Trends entwickeln, können Sie anhand der Berichte Wartezeiten erkennen und die Schwellenwerte entsprechend abstimmen.

Letztendlich sollen Sie die unter Alert Tuning Solution Accelerator (auf Englisch) aufgeführten Anleitungen nutzen.

Vorschau

Mit MOM 2005 und dem Active Directory-Management Pack können Sie die Active Directory-Implementierung Ihrer Organisation effizient und wirksam überwachen. Mit den Active Directory-, DHCP-, DNS-, FRS- und Windows Server-Basisbetriebssystem-Management Packs können Sie die meisten Aspekte Ihrer Infrastruktur überwachen und dadurch den guten Zustand Ihrer Active Directory-Infrastruktur (und das Wohlbefinden der Benutzer) sicherstellen. Anhand der umfangreichen Daten, die im Berichts-Data Warehouse gesammelt werden, können Sie die Leistungs- und Ereignisdaten analysieren. Diese Analysen helfen Ihnen bei der Planung von Kapazitäten und beim Erkennen von Trends im Leistungsverhalten.

Die in diesem Artikel besprochenen Management Packs und vieles mehr finden Sie im Management Pack-Katalog (auf Englisch).

Das nächste Update zum Active Directory-Management Pack wird die übliche Sammlung von Problembehebungen und eine Optimierung einiger Schwellenwerte enthalten. Interessanter sind die neuen Features, die für die nächste Veröffentlichung des Produkts unter der Bezeichnung „System Center Operations Manager 2007“ vorgesehen sind. Dazu gehören die Möglichkeit, mehrere Gesamtstrukturen von einer einzelnen Konfigurationsgruppe aus zu überwachen, Gruppen von Domänencontrollern festzulegen (jede Gruppe mit einer eigenen erwarteten Replikationswartezeit zu anderen Gruppen) und Domänencontroller zu überwachen, auf denen die nächste Version von Windows Server ausgeführt wird. Detaillierte Informationen finden Sie auf der MOM-Website unter https://www.microsoft.com/mom/ (auf Englisch).

John Hann hat seit MOM 2000 mit MOM gearbeitet und ist seit 2004 MVP für MOM. Er schreibt Beiträge für MyITForum.com, MOMCommunity.com und LearnMOM.com. Sie können John Hann über seinen Blog erreichen.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.