Administración de Windows
Supervisión de Active Directory con MOM
John Hann
Resumen:
- Módulos de administración para Active Directory
- Sugerencias de personalización para MOM
- Ajuste de alertas
Los módulos de administración son la parte vital de Microsoft Operations Manager (MOM) 2005 y son lo que lo diferencia de otros productos de administración. MOM usa módulos de administración para reunir reglas, informes, tareas y vistas, y su ámbito puede estar limitado a una aplicación específica
o servicio, como Active Directory. Los equipos de producto de Microsoft crean los módulos de administración para las aplicaciones que desarrollan y se aseguran de que MOM refleje el amplio conocimiento que del producto tiene el equipo. Además, los módulos de administración pueden personalizarse para ajustarse al entorno de TI. Así contará con reglas que supervisan y administran el producto de acuerdo con el servidor y el entorno de aplicaciones.
No sólo hay un módulo de administración específico para Active Directory®, sino también una gran cantidad de módulos de administración para medir el estado de los servicios de directorio desde el sistema operativo de Windows Server®, pasando por el protocolo de configuración dinámica de host (DHCP), DNS y el servicio de replicación de archivos (FRS). Repasemos estos módulos de administración con todo detalle para que conozca mejor la administración de un extremo a otro de Active Directory, que es posible a través de MOM.
Módulo de administración de DHCP
El módulo de administración del servicio DHCP supervisa el servicio DHCP que se ejecuta en Windows NT®, Windows ® 2000 y Windows Server 2003. Es una buena idea supervisar DHCP, puesto que puede saber si los clientes tienen los problemas de conexión a la red. También será puesto sobre aviso frente a servidores DHCP (no autorizados) malintencionados que se ejecuten en el entorno. El paquete de descarga para este módulo de administración contiene una guía que muestra las reglas y los informes, así como los escenarios de supervisión y la implementación. También puede encontrarse valiosa documentación y guías adicionales en el sitio web de MOM 2005 de TechNet (microsoft.com/technet/prodtechnol/mom/mom2005).
Cuanto más nueva sea la versión de Windows en la que ejecute el servicio DHCP, mayor será la instrumentación y la funcionalidad de MOM 2005 para la administración. Por lo tanto, obtendrá más información de un servidor DHCP de Windows Server 2003 que de un servidor DHCP de Windows NT. Por ejemplo, un servidor DHCP que se ejecuta en Windows Server 2003 puede tener sus superámbitos supervisados, mientras que el módulo de administración de DHCP sólo supervisa ámbitos normales en un servidor DHCP de Windows 2000. Puede excluir ámbitos de la supervisión colocándolos como un parámetro para la secuencia de comandos de supervisión.
Como se ha mencionado anteriormente, el módulo de administración de DHCP es compatible con servidores DHCP que se ejecutan en Windows NT, en Windows 2000 Server y en Windows Server 2003. Los grupos de equipos se rellenan a través de fórmulas que usan la versión de sistema operativo y si el servidor aloja el servicio de servidor DHCP.
El módulo de administración de DHCP no es compatible con configuraciones de bajos privilegios. La cuenta de acción de agente debe ser un miembro del grupo Administradores local. La supervisión sin agente es compatible, pero las tareas no se admiten en una configuración sin agente. La Figura 1 incluye una lista de los informes que están disponibles en el módulo de administración de DHCP.
Figure 1 Informes de servicio DHCP
| Todos los servidores DHCP |
| Todos los servidores DHCP autorizados |
| Historial de rendimiento: longitud de cola activa |
| Historial de rendimiento: conflicto de comprobación de longitud de cola |
| Historial de rendimiento: disminuciones por segundo |
| Historial de rendimiento: detecciones por segundo |
| Historial de rendimiento: milisegundos por módulo (prom) |
| Historial de rendimiento: NACK por segundo |
| Historial de rendimiento: direcciones de ámbito libres |
| Historial de rendimiento: direcciones de ámbito en uso |
| Historial de rendimiento: direcciones de superámbito libres |
| Historial de rendimiento: direcciones de superámbito en uso |
Puede descargar el módulo de administración de DHCP en go.microsoft.com/fwlink/?LinkId=79527.
Módulo de administración de DNS
El módulo de administración del servicio de nombres de dominio supervisa el servicio DNS que se ejecuta en Windows 2000 Server y Windows Server 2003. Puesto que es una parte esencial del estado general de una implementación de Active Directory, resulta fundamental supervisar DNS con MOM 2005. El módulo de administración de DNS supervisa los problemas de resolución de nombres, los problemas de base de datos, los problemas de registro, eventos de tiempo de ejecución y errores, así como contadores de rendimiento relacionados.
Para Windows 2000 Server, debe haber instalado un proveedor DNS de Instrumental de administración de Windows (WMI). En concreto, esto permite al módulo de administración de DNS consultar el espacio de nombres DNS de WMI para obtener información y realizar comprobaciones.
Todos los grupos de equipos se rellenan a través de fórmulas que usan la versión de sistema operativo y si el servidor aloja el servicio de servidor DNS para determinar la pertenencia a grupos. El módulo de administración de DNS es compatible con privilegios bajos sólo en Windows Server 2003. En Windows 2000, la cuenta de acción debe ser un miembro del grupo Administradores local. En Windows Server 2003, la cuenta de acción debe ser un miembro de los grupos Usuarios y Usuarios del monitor de sistema locales. Además, la cuenta de acción debe contar con los permisos Administrar registro de auditoría y de seguridad (SeSecurityPrivilege) y Permitir el inicio de sesión local (SeInteractiveLogonRight). La Figura 2 incluye una lista de los informes que están disponibles en el módulo de administración de DNS.
Figure 2 Informes de servicio DNS
| Todos los servidores DNS de Windows |
| Todos los servidores DNS de Windows por zona |
| Todos los servidores DNS de Windows por servidor |
Marcus Oh, MVP para Microsoft® Systems Management Server (SMS), desarrolló una secuencia de comandos que prueba un servidor DNS llamando a nslookup para comprobar la capacidad del servidor DNS a la hora de resolver nombres. Reserve tiempo para consultar esta publicación de blog en marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html; deseará integrar esta secuencia de comandos en su módulo de administración de DNS.
Puede descargar el módulo de administración de DNS en go.microsoft.com/fwlink/?LinkId=79528.
Módulo de Administración de FRS
El módulo de administración de servicio de replicación de archivos de Windows supervisa el servicio FRS que se ejecuta en Windows 2000 y Windows Server 2003. Los controladores de dominio usan FRS para replicar scripts de inicio de sesión e información de directiva de grupo. El módulo de administración de FRS detallará el estado del servicio FRS para cada controlador de dominio.
El módulo usa la herramienta Ultrasound, que está disponible en go.microsoft.com/fwlink/?LinkId=79529. Ultrasound crea un espacio de nombres WMI para FRS en cada controlador de dominio. Tenga en cuenta que Ultrasound requiere una base de datos y almacenará la información del espacio de nombres WMI en cada controlador de dominio para supervisar el estado correspondiente. Con la información de Ultrasound, el módulo de administración de FRS ofrece la supervisión de conjuntos de réplicas, miembros, conexiones, el propio servicio FRS y el servicio de controladores de Ultrasound.
De hecho, debe instalar Ultrasound en un servidor independiente del servidor de administración. Las reglas de Ultrasound generan eventos y alertas en nombre de otros equipos. Para que las reglas de Ultrasound procesen los datos correctamente, debe habilitar el agente de conexiones proxy en la consola de administrador de MOM en cada servidor que ejecute Ultrasound. La Figura 3 incluye los cuatro informes de servicio que están disponibles en el módulo de administración de FRS.
Figure 3 Informes de servicio FRS
| Ultrasound: problemas detectados con frecuencia: conexiones más problemáticas |
| Ultrasound: problemas detectados con frecuencia: miembros más problemáticos |
| Ultrasound: problemas detectados con frecuencia: conjunto de réplicas más problemático |
| Ultrasound: problemas detectados con frecuencia: resumen |
Los grupos de equipos asociados a este módulo de administración incluyen los servidores de Microsoft Ultrasound 1.0 y los servidores de FRS que se ejecutan en Windows 2000 Server y Windows Server 2003. Todos los grupos de equipos se rellenan a través de fórmulas que usan la versión de sistema operativo y si el servidor aloja el servicio FRS para determinar la pertenencia a grupos. El grupo de servidores de Ultrasound se rellena si el servidor tiene Ultrasound instalado.
Al configurar el módulo de administración de FRS para privilegios bajos, las tareas no funcionan, aunque sí se admite el resto de la funcionalidad del módulo de administración. La cuenta de acción debe tener acceso de lectura a la base de datos de Ultrasound y permiso de ejecución del procedimiento almacenado GetControllerStatusForMOM001. El módulo de administración de FRS admite la supervisión de equipos sin agente y administrados con agente.
Puede descargar el módulo de administración de FRS en go.microsoft.com/fwlink/?LinkId=79530.
Módulo de administración de Windows Server
El módulo de administración de sistema operativo Windows supervisa Windows NT 4.0 Server, Windows 2000 Server y Windows Server 2003. El módulo de administración de sistema operativo informará sobre el estado del sistema operativo para los controladores de dominio y supervisará también los servicios raíz del sistema. El módulo de administración ofrece el estado de los servicios centrales de Windows, la memoria y el rendimiento del procesador, así como el espacio libre en disco y la latencia de éste. Hay cierta superposición entre las reglas de supervisión de este módulo de administración y el resto de los que se tratan en este artículo, aunque ofrece una visión muy completa del estado del controlador de dominio.
La Figura 4 muestra los informes disponibles en el módulo de administración de sistema operativo. Al igual que con los otros módulos de administración, todos los grupos de equipos se rellenan a través de fórmulas que usan la versión de sistema operativo.
Figure 4 Informes de sistema operativo
| Análisis de rendimiento de disco |
| Configuración de sistema operativo |
| Rendimiento de sistema operativo |
| Apagado de sistema operativo por evento |
| Apagado de sistema operativo por servidor |
| Configuración de almacenamiento de sistema operativo |
| Instalaciones de software y aplicaciones por aplicación |
| Instalaciones de software y aplicaciones por instancia |
| Instalaciones de software y aplicaciones por servidor |
| Confiabilidad: errores de aplicación por aplicación |
| Confiabilidad: errores de aplicación por equipo |
| Confiabilidad: errores de aplicación por evento |
| Confiabilidad: errores de sistema operativo por equipo |
| Confiabilidad: errores de sistema operativo por evento |
| Confiabilidad: errores de sistema operativo por código de detención |
| Historial de rendimiento: historial de rendimiento |
| Historial de rendimiento: informes adicionales |
Al configurar el módulo de administración de sistema operativo para el funcionamiento con privilegios bajos, Windows 2000 necesita que la cuenta de acción sea un miembro del grupo Administradores local. Windows Server 2003 necesita que la cuenta de acción sea un miembro de los grupos Usuarios y Usuarios del monitor de sistema locales, y que cuente con los permisos Administrar registro de auditoría y de seguridad (SeSecurityPrivilege) y Permitir el inicio de sesión local (SeInteractiveLogonRight). La mayor parte del módulo de administración de sistema operativo, menos las tareas, es compatible con los equipos supervisados sin agente.
Puede descargar el módulo de administración de sistema operativo en go.microsoft.com/fwlink/?LinkId=79531.
Módulo de administración de Active Directory
El módulo de administración de Active Directory es muy amplio y sus reglas abarcan tanto Windows 2000 Server como Windows Server 2003. El módulo de administración de Active Directory engloba cinco áreas de reglas: supervisión del lado cliente, supervisión de confianza, supervisión de réplica y detección de topologías, más las reglas que abarcan los sistemas operativos Windows 2000 Server y Windows Server 2003. Como se ha indicado anteriormente, las versiones más nuevas de Windows permiten una mayor instrumentación y, por lo tanto, una supervisión adicional. Por ejemplo, el módulo de administración es compatible con la supervisión de confianza en Windows Server 2003, pero no en Windows 2000.
El módulo de administración de Active Directory crea varios grupos que usa para aplicar las reglas a equipos específicos. Las reglas de supervisión del lado cliente usan un grupo llamado Active Directory Client Side Monitoring (Supervisión del lado cliente de Active Directory). Los equipos que tienen instalado el agente MOM se colocarán en este grupo para supervisar y administrar las reglas. Yo puse unos cuantos equipos de escritorio con la licencia del agente en este grupo, así como algunos servidores Exchange. Los servidores Exchange usan Active Directory exhaustivamente y constituirían un indicador principal de un problema en curso. Los equipos de escritorio del grupo pueden ayudarle a medir la experiencia de usuario final. Las reglas de supervisión del lado cliente usan secuencias de comandos para probar la conectividad a controladores de dominio, consultándolos a través de LDAP y notificando de los errores. Es importante tener en cuenta que las reglas de supervisión del lado cliente sólo pueden aplicarse a equipos administrados con agente que tienen habilitadas las conexiones proxy, pero no son controladores de dominio.
Las reglas de supervisión de confianza usan un grupo llamado Active Directory Trust Monitoring (Supervisión de confianza de Active Directory). Los equipos con Windows Server 2003 también se colocarían en este grupo para probar las confianzas. Windows Server 2003 tiene un espacio de nombres WMI para la supervisión de confianza. Estas reglas usan una secuencia de comandos para consultar el espacio de nombres WMI. Cuándo se detectan errores de confianza con otros dominios, estas reglas le pondrán sobre aviso.
Hay muchas reglas del módulo de administración de Active Directory que se aplican a Windows 2000 Server o Windows Server 2003. Dichas reglas marcan las diferencias de implementación de Active Directory entre los dos sistemas operativos. Sin embargo, la mayor parte del módulo de administración de Active Directory está en las reglas combinadas para ambos sistemas operativos. Algunas de estas reglas incluyen secuencias de comandos para probar la conectividad entre controladores de dominio, los elementos que contienen la función Operaciones de maestro único flexible (FSMO), el tamaño de base de datos del árbol de información de directorios (DIT), validar el procesamiento de directivas de grupo, la inspección del comprobador de coherencia de información (KCC) y la prueba del servicio de mensajería entre sitios.
La supervisión de réplica es el eje del módulo de administración de Active Directory. Los dos grupos Active Directory Replication Latency Data Collection Sources (Orígenes de recopilación de datos de latencia de réplica de Active Directory) y Active Directory Replication Latency Data Collection Targets (Destinos de recopilación de datos de latencia de réplica de Active Directory) permiten configurar los controladores de dominio usados sólo para notificar la supervisión de réplica. La latencia de replica se calcula para cada miembro de los grupos de recopilación de datos. Los contadores de rendimiento se rellenan con el tiempo que tardan las actualizaciones en replicarse en cada uno de los miembros de grupo. La latencia de réplica de empresa se calcula y notifica (y se generan las alertas) si excede los umbrales definidos. Tenga en cuenta que debe haber instalado un espacio de nombres WMI para la supervisión de réplica en Windows 2000 Server.
La detección de topologías en el módulo de administración de Active Directory se usa para crear diagramas de la implementación. Estos útiles diagramas pueden exportarse a Microsoft Office Visio®. MOM construye los diagramas en tiempo real, de forma que el usuario puede crear una versión actualizada en apenas unos segundos.
En Vistas de diagramas de la Consola del operador de MOM 2005, hay tres diagramas del módulo de administración de Active Directory. El diagrama de objetos de conexión interrumpida (consulte la Figura 5) mostrará cualquier conexión que esté en estado de error. Este diagrama puede estar en blanco si no hay ningún error de conexión.
Figura 5** Conexiones interrumpidas resaltadas en la vista de diagrama **
El diagrama de objetos de conexión resalta las conexiones entre controladores de dominio. El diagrama de vínculos de sitios muestra cada sitio de Active Directory, encapsulando los controladores de dominio correspondientes de ese sitio y los vínculos de conexión del sitio.
Puesto que los diagramas creados por MOM para estas vistas son dinámicos, puede exportarlos a Visio para una edición y personalización sencillas. Por ejemplo, la Figura 6 muestra el diagrama de vínculos de sitios en proceso de edición en Visio.
Figura 6** Edición de un diagrama de vínculos de sitios en Visio **(Hacer clic en la imagen para ampliarla)
La Figura 7 incluye una lista de los informes que están disponibles en el módulo de administración de Active Directory. Los grupos de equipos asociados a este módulo de administración se muestran en la Figura 8. Como puede ver, los grupos de equipos de Active Directory se rellenan por pertenencia explícita; los grupos de equipos de Windows se rellenan según la versión del sistema operativo y si el equipo es un controlador de dominio.
Figure 8 Grupos de equipos
| Supervisión del lado cliente de Active Directory |
| Datos de latencia de réplica de Active Directory |
| Orígenes de colección |
| Datos de latencia de réplica de Active Directory |
| Destinos de colección |
| Supervisión de confianza de Active Directory |
| Controladores de dominio de Windows 2000 Server |
| Controladores de dominio de Windows Sever 2003 |
Figure 7 Informes de Active Directory
| Controlador de dominio de AD |
| Elementos que contienen funciones de AD |
| Objetos de conexión de réplica de AD |
| Vínculos de sitio de réplica de AD |
| Espacio en Disco de DC de AD |
| Cambios de dominio de AD |
| Errores de autenticación de cuenta de equipo de AD |
| Ancho de banda de réplica de AD |
| Latencia de réplica de AD |
El módulo de administración de Active Directory se puede configurar para privilegios bajos en controladores de dominio de Windows Server 2003. El módulo de administración no es compatible con la supervisión sin agente. En Windows 2000 Server, la cuenta de acción de agente debe estar en el grupo Admins. del dominio o Administradores local. La cuenta de acción de agente en controladores de dominio de Windows Server 2003 debe tener permisos adicionales con objeto de configurarlos para privilegios bajos, incluida la pertenencia a los grupos Usuarios y Usuarios del monitor de sistema, el acceso a registros de eventos y los privilegios SeSecurityPrivilege, SeAuditPrivilege y SeInteractiveLogonRight. Asimismo, se necesita el siguiente acceso: acceso completo al contenedor CN=MomLatencyMonitors en Active Directory para la supervisión de réplica, acceso de lectura a los directorios que contienen la base de datos de NTDS.dit y los archivos de registro, y acceso de lectura a la clave de registro siguiente:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters
Si supervisa confianzas en Windows Server 2003, tenga en cuenta que la secuencia de comandos de supervisión de confianza de AD necesita que la cuenta de acción de agente pertenezca a los grupos Admins. del dominio o Administradores.
Puede descargar el módulo de administración de Active Directory de go.microsoft.com/fwlink/?LinkId=79540.
Personalización de MOM para Active Directory
El módulo de administración de Active Directory tiene que estar configurado o las alertas mantendrán ocupada por completo a la consola. El momento más ruidoso del módulo de administración de Active Directory ocurre cuando un controlador de dominio se reinicia (parece como si se activarán todas las posibles alertas). Lo malo es que no es fácil detener esta situación. Lo mejor es usar el modo de mantenimiento de MOM para controlar las alertas durante las ventanas de mantenimiento anticipado. El propósito del modo de mantenimiento es resolver automáticamente las alertas de los controladores de dominio para no ocupar la consola.
Asegúrese de configurar el grupo Active Directory Client Side Monitoring (Supervisón del lado cliente de Active Directory) colocando equipos cliente y servidores adecuados en el mismo. Las reglas asociadas a este grupo ayudarán a determinar el estado de las FSMO y la conectividad a éstas.
Hay reglas del rendimiento que usan umbrales para enlazar a las FSMO mediante LDAP, PING, y DNS con el fin de comprobar la conectividad. Estas reglas se ubican en las reglas de rendimiento de disponibilidad de Active Directory. Debe personalizar los umbrales usados por estas reglas definiendo la gravedad de las alertas. Por ejemplo, los enlaces de FSMO usan valores de atributo que están en segundos. Las reglas de rendimiento de cada función de FSMO usan esta metodología de creación de alertas.
Es importante entender cómo funciona la configuración de Cálculo de gravedad de alerta para la regla de estado. El cuadro de diálogo usa condiciones If-Else para el valor de atributo y define la gravedad de alerta en consecuencia (consulte la Figura 9). Cuando la regla recopila el contador de rendimiento de último enlace creado por la secuencia de comandos de respuesta maestra de op de AD, lo comprueba con los umbrales condicionales definidos por las reglas. Debe configurar estos niveles de alerta diferentes para su entorno.
Figura 9** Definición de reglas de gravedad de alerta **(Hacer clic en la imagen para ampliarla)
Recuerde la programación de réplica para cada controlador de dominio. Si un controlador de dominio determinado tiene una programación diferente a otros, sesgará los resultados de latencia de réplica y hará que el usuario defina umbrales más altos. Necesitará definir los parámetros para las secuencias de comandos de réplica con el fin de satisfacer las necesidades de su entorno particular. Es importante tener en cuenta que cuando un controlador de dominio no funciona o tiene problemas de réplica, el resto de controladores de dominio de los grupos pueden notificar un error de réplica para ese evento de controlador de dominio incluso si no se trata de un asociado de réplica directo. Por lo tanto, incluso si coloca el controlador de dominio incorrecto en modo de mantenimiento, el resto de controladores de dominio pueden notificar errores de réplica.
La supervisión de réplica es donde debe gastar la mayor parte de su esfuerzo a la hora de ajustar el módulo de administración de Active Directory. Necesitará ejecutar el módulo de administración en el entorno durante unas semanas para observar cómo pone sobre aviso. Una vez que observe ciertas tendencias, use los informes para resumir las latencias y ajustar los umbrales en consecuencia.
Finalmente, debe aprovecharse de la orientación ofrecida en Alert Tuning Solution Accelerator (en inglés).
Mirando hacia el futuro
MOM 2005 y el módulo de administración de Active Directory permiten supervisar de forma eficaz la implementación de Active Directory en su organización. Con los módulos de administración de Active Directory, DHCP, DNS, FRS y de sistema operativo Windows Server, tiene una mayor capacidad de supervisión de la mayoría de aspectos de la infraestructura, a la vez que protege el estado y la buena conservación de la infraestructura de Active Directory, así como a los usuarios. Al usar los datos expansivos recopilados en el almacén de datos de informe, puede analizar sus datos de rendimiento y eventos para facilitar la planeación de capacidades y las tendencias de rendimiento.
Para encontrar los módulos de administración que he tratado en este artículo, junto con muchos otros, consulte Management Pack Catalog (en inglés).
La actualización siguiente del módulo de administración de Active Directory contendrá la colección habitual de correcciones y cambios a unos pocos umbrales. Más interesantes son las características nuevas planeadas para el lanzamiento siguiente del producto, denominado System Center Operations Manager 2007, que incluyen las capacidades de supervisar varios bosques de un solo grupo de configuración, definir los grupos de controladores de dominio (cada uno con su propia latencia de réplica esperada entre otros grupos) y supervisar controladores de dominio que se ejecutan en la versión siguiente de Window Server. Deténgase en el sitio web de MOM en microsoft.com/mom para obtener más información
John Hann ha trabajado con MOM desde MOM 2000 y ha sido MVP de MOM desde 2004. John participa en MyITForum.com, MOMCommunity.com y LearnMOM.com. Puede ponerse en contacto con él a través de su blog.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.