Windows の管理

MOM での Active Directory の監視

John Hann

概要:

• Active Directory の管理パック
• MOM をカスタマイズするためのヒント
• Alert Tuning

管理パックは、Microsoft Operations Manager (MOM) 2005 の活力のもとであり、MOM を他の管理製品から差別化するものでもあります。MOM では管理パックを使用してルール、レポート、タスク、ビューを組み立てます。また、Active Directory などの特定のアプリケーションまたはサービスに範囲を限定できます。

Microsoft 製品チームは、開発するアプリケーションの管理パックを作成し、製品に関するチームの豊富な知識が MOM に反映されるようにしています。さらに、管理パックはそれぞれの IT 環境に合わせてカスタマイズできます。それにより、特定のサーバーおよびアプリケーション環境に基づき、製品を監視および管理するためのルールが成立します。

Active Directory® 固有の管理パックだけではなく、Windows Server® 基本オペレーティング システムから動的ホスト構成プロトコル (DHCP)、DNS、およびファイル レプリケーション サービス (FRS) まで、ディレクトリ サービスの状態を評価するための管理パックは多数あります。MOM で可能な Active Directory のエンド ツー エンドの管理についてよく理解するために、これらの管理パックについて詳しく検討しましょう。

DHCP 管理パック

DHCP サービス管理パックでは、Windows NT®、Windows® 2000、および Windows Server 2003 で実行されている DHCP サービスを監視します。クライアントのネットワーク接続に問題があるかどうかを知るためには、DHCP を監視することをお勧めします。さらに、ご使用の環境で実行されている悪意のある (無許可の) DHCP サーバーについても警告されます。この管理パックのダウンロード パッケージには、ルールやレポート、および監視シナリオや展開について文書化したガイドが含まれています。TechNet MOM 2005 Web サイト (https://www.microsoft.com/japan/technet/prodtechnol/mom/mom2005/default.mspx) には追加の資料やガイドが用意されています。

DHCP を実行している Windows のバージョンが新しいほど、MOM 2005 ではそれを管理するためのインスツルメンテーションと機能が豊富に提供されます。したがって、Windows DHCP サーバーよりも Windows Server 2003 DHCP サーバーに関する情報の方が多く取得できます。たとえば、Windows Server 2003 で実行されている DHCP サーバーでは、スーパースコープが監視されますが、DHCP 管理パックでは、Windows 2000 DHCP サーバーの通常のスコープのみが監視されます。除外するスコープを監視スクリプトのパラメータとして含めることにより、スコープを監視から除外できます。

前に説明したとおり、DHCP 管理パックでは Windows NT、Windows 2000 Server、および Windows Server 2003 で実行されている DHCP サーバーがサポートされています。コンピュータ グループは、オペレーティング システムのバージョン、およびサーバーが DHCP サーバー サービスをホストするかどうかを使用する数式によって作成されます。

DHCP 管理パックでは、特権の低い構成はサポートされません。エージェント アクション アカウントは、ローカル Administrators グループのメンバである必要があります。エージェントなしの監視はサポートされていますが、エージェントなしの構成ではタスクはサポートされません。図 1 は、DHCP 管理パックで使用できるレポートを示しています。

Figure 1 DHCP サービス レポート

DHCP 管理パックは、go.microsoft.com/fwlink/?LinkId=79527 (英語) からダウンロードできます。

DNS 管理パック

ドメイン ネーム サービス管理パックでは、Windows 2000 Server および Windows Server 2003 で実行されている DNS が監視されます。DNS は Active Directory 全体の状態に不可欠な部分であるため、MOM 2005 で DNS を監視することは非常に重要です。DNS 管理パックでは、名前解決の問題、データベースの問題、レジストリの問題、ランタイム イベントおよびエラーのほか、関連のパフォーマンス カウンタを監視します。

Windows 2000 Server の場合は、Windows Management Instrumentation (WMI) DNS プロバイダをインストールする必要があります。これにより、DNS 管理パックは、WMI DNS 名前空間で情報とテストのクエリを実行できます。

コンピュータ グループはすべて、オペレーティング システムのバージョン、およびサーバーが DNS サーバー サービスをホストするかどうかを使用してグループ メンバシップを決定する数式によって作成されます。DNS 管理パックでは、Windows Server 2003 上のみで低い特権をサポートしています。Windows 2000 では、アクション アカウントは、ローカル Administrators グループのメンバである必要があります。Windows Server 2003 では、アクション アカウントは、ローカル Users グループおよび Performance Monitor Users グループのメンバである必要があります。加えて、アクション アカウントには、"監査およびセキュリティ ログの管理" (SeSecurityPrivilege) 権限および "ローカル ログオンを許可する" (SeInteractiveLogonRight) 権限が必要です。図 2 は、DNS 管理パックで使用できるレポートを示しています。

Figure 2 DNS サービス レポート

Microsoft® Systems Management Server (SMS) の MVP である Marcus Oh は、nslookup を呼び出して DNS サーバーの名前解決機能を確認することにより DNS サーバーをテストするスクリプトを開発しました。marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html (英語) に掲載された Marcus のブログをお読みください。このスクリプトを DNS 管理パックに統合することをお勧めします。

DNS 管理パックは、https://www.microsoft.com/downloads/details.aspx?familyid=2AF941FE-5931-4971-9392-A88BBE577D8C&displaylang=ja からダウンロードできます。

FRS 管理パック

Windows ファイル レプリケーション サービス管理パックでは、Windows 2000 および Windows Server 2003 で実行されている FRS サービスを監視します。FRS は、ドメイン コントローラでログオン スクリプトとグループ ポリシー情報をレプリケートするために使用されます。FRS 管理パックは、各ドメイン コントローラの FRS サービスの状態を詳しく示します。

FRS 管理パックでは、go.microsoft.com/fwlink/?LinkId=79529 (英語) からダウンロードできる Ultrasound ツールを利用しています。Ultrasound は、各ドメイン コントローラに FRS の WMI 名前空間を作成します。Ultrasound は、データベースを必要とし、各ドメイン コントローラに関する WMI 名前空間からの情報を状態の監視のために保存します。Ultrasound からの情報を使用することにより、FRS 管理パックではレプリカ セット、メンバ、接続、FRS サービス自体、および Ultrasound コントローラ サービスの監視が可能です。

実際に、Ultrasound は、管理サーバーとは異なるサーバーにインストールしてください。Ultrasound ルールは、他のコンピュータに代わってイベントやアラートを生成します。Ultrasound ルールでデータを正しく処理するには、Ultrasound を実行している各サーバー上の MOM 管理コンソールでエージェント プロキシを有効にする必要があります。図 3 は、FRS 管理パックで使用できる 4 つのサービス レポートを示しています。

Figure 3 FRS サービス レポート

この管理パックに関連するコンピュータ グループには、Windows 2000 Server、および Windows Server 2003 で実行されている Microsoft Ultrasound 1.0 サーバーと FRS サーバーが含まれます。コンピュータ グループはすべて、オペレーティング システムのバージョン、およびサーバーが DNS サーバー サービスをホストするかどうかを使用してグループ メンバシップを決定する数式によって作成されます。Ultrasound Servers グループは、サーバーに Ultrasound がインストールされると作成されます。

低い特権用に FRS 管理パックを構成した場合、タスクは機能しませんが、残りの管理パック機能はサポートされます。アクション アカウントには、Ultrasound データベースの読み取りアクセス、および GetControllerStatusForMOM001 ストアド プロシージャの実行権限が必要です。FRS 管理パックには、エージェントなしのコンピュータ、およびエージェント管理のコンピュータの監視が含まれます。

FRS 管理パックは、https://www.microsoft.com/downloads/details.aspx?familyid=FBF5958E-F061-4C53-8623-0248A99A4B16&displaylang=ja からダウンロードできます。

Windows Server 管理パック

Windows 基本オペレーティング システム管理パックでは、Windows NT 4.0 Server、Windows 2000 Server、および Windows Server 2003 を監視します。基本 OS 管理パックは、ドメイン コントローラのオペレーティング システムの状態を報告するほか、システム上のルート サービスも監視します。管理パックは、コア Windows サービス、メモリ、およびプロセッサのパフォーマンスに加えて、ディスクの空き領域やディスクの待ち時間などの情報も提供します。この管理パック、およびこの記事で取り上げた他の管理パックの監視ルール間では、ある程度の重複がありますが、ドメイン コントローラの状態のわかりやすいボトムアップ ビューが提供されます。

図 4 は、基本 OS 管理パックで使用できるレポートを示しています。他の管理パックと同様に、コンピュータ グループはすべて、オペレーティング システムのバージョンを使用する数式によって作成されます。

低い特権での操作用に基本 OS 管理パックを構成する場合、Windows 2000 ではアクション アカウントがローカル Administrators グループのメンバである必要があります。Windows Server 2003 では、アクション アカウントがローカルの Users および Performance Monitor Users グループのメンバである必要があるほか、"監査およびセキュリティ ログの管理" (SeSecurityPrivilege) 権限および "ローカル ログオンを許可する" (SeInteractiveLog-onRight) 権限を持っている必要があります。タスクを除き、基本 OS 管理パックのほとんどは、エージェントなしの監視対象コンピュータでサポートされています。

基本 OS 管理パックは、https://www.microsoft.com/downloads/details.aspx?familyid=E553062F-BD85-4772-8037-8B91F457B710&displaylang=ja からダウンロードできます。

Active Directory 管理パック

Active Directory 管理パックは非常に広範囲に及び、そのルールは Windows 2000 Server と Windows Server 2003 の両方を対象としています。Active Directory 管理パックのルールは、クライアント側の監視、信頼の監視、レプリケーションの監視、およびトポロジの検出に加え、Windows 2000 Server および Windows Server 2003 オペレーティング システムを対象とするルールなど、5 つの分野に及びます。前に説明したとおり、新しいバージョンの Windows では、さらに多くのインスツルメンテーションが有効になるため、追加の監視が可能になります。たとえば、管理パックでは、Windows Server 2003 上での信頼の監視がサポートされますが、Windows 2000 ではサポートされません。

Active Directory 管理パックでは、特定のコンピュータにルールを適用するために使用するグループを多数作成します。クライアント側の監視ルールでは、Active Directory Client Side Monitoring (Active Directory クライアント側の監視) というグループを使用します。MOM がインストールされたコンピュータをこのグループに含め、これらのルールを監視し、管理します。エージェントと共にライセンスされたいくつかのデスクトップ コンピュータ、および Exchange Server の一部をこのグループに含めました。Exchange Server では Active Directory を頻繁に使用するため、問題発生の主要なインジケータとなります。このグループ内のデスクトップ コンピュータにより、エンド ユーザーの操作性を評価できます。クライアント側の監視のルールでは、スクリプトを利用することにより、LDAP を介してクエリの実行、および障害の報告を行って、ドメイン コントローラへの接続をテストします。クライアント側の監視ルールは、プロキシが有効になっているがドメイン コントローラは含まれないエージェント管理のコンピュータにのみ適用できます。

信頼の監視ルールでは、Active Directory Trust Monitoring (Active Directory 信頼の監視) というグループを使用します。Windows Servers 2003 コンピュータは、このグループに含めて信頼をテストします。Windows Server 2003 には、信頼の監視のための WMI 名前空間があります。WMI 名前空間に対してクエリを実行するために、これらのルールによってスクリプトが採用されます。他のドメインで信頼エラーが検出されると、これらのルールによってアラートが発行されます。

Windows 2000 Server または Windows Server 2003 に適用される Active Directory 管理パック ルールは多数あります。これらのルールにより、2 つのオペレーティング システム間の Active Directory の実装方法の違いが明確になります。ただし、Active Directory 管理パックのほとんどは、両方のオペレーティング システムを合わせたルールに含まれます。これらのルールの一部には、メイン コントローラ間の接続をテストするスクリプト、Flexible Single Master Operation (FSMO) 役割所有者の検証、ディレクトリ情報ツリー (DIT) データベース サイズ、グループ ポリシーの処理の検証、知識整合性チェッカー (KCC) 検査、サイト間メッセージング サービス テストなどがあります。

レプリケーションの監視は、Active Directory 管理パックの中心的な機能です。レプリケーションの監視の報告のみに使用するドメイン コントローラを構成するために、Active Directory Replication Latency Data Collection (ソース) と Active Directory Replication Latency Data Collection (ターゲット) の 2 つのグループが用意されています。レプリケーション レイテンシは、データ コレクション グループ内のデータのメンバごとに計算されます。パフォーマンス カウンタは、各グループ メンバに更新がレプリケートされるまでの所要時間によって、値が設定されます。定義されたしきい値を上回る場合は、全社規模のレプリケーション レイテンシが計算および報告されます (そしてアラートが生成されます)。レプリケーションの監視の WMI 名前空間は、Windows 2000 Server にインストールされる必要があります。

Active Directory 管理パックのトポロジの検出は、実装のダイアグラムの作成に使用します。これらの便利なダイアグラムは、Microsoft Office Visio® にエクスポートできます。ダイアグラムは、MOM によってリアルタイムで構築されるため、数秒で最新のバージョンを作成できます。

MOM 2005 オペレータ コンソールの "ダイアグラムの表示" には、3 つの Active Directory 管理パック ダイアグラムがあります。"Broken Connection Objects (接続エラー オブジェクト)" ダイアグラム (図 5 を参照) は、エラー状態のすべての接続を示します。接続エラーがないときは、このダイアグラムが空白の場合があります。

図 5** ダイアグラムの表示 では接続エラーがハイライトされています。 **

接続オブジェクト ダイアグラムでは DC 間の接続がハイライトされています。.サイト リンク ダイアグラムは、各 Active Directory サイトを示しており、そのサイトの該当するドメイン コントローラと接続サイト リンクがカプセル化されています。

これらのビューのために MOM で作成されたダイアグラムは動的であるため、それらを Visio にエクスポートして、簡単に編集およびカスタマイズを実行できます。たとえば、図 6 は、サイト リンク ダイアグラムを Visio で編集しているところを示しています。

図 6** Visio でのサイト リンク ダイアグラムの編集 **(画像を拡大するには、ここをクリックします)

図 7 は、Active Directory 管理パックで使用できるレポートを示しています。この管理パックに関連するコンピュータ グループは図 8 に示されています。ご覧のとおり Active Directory コンピュータ グループは、明示的なメンバシップによって作成されます。Windows コンピュータ グループは、オペレーティング システムのバージョンと、マシンがドメイン コントロールであるかどうかに従って作成されます。

Figure 8 コンピュータ グループ

Active Directory 管理パックは、Windows Server 2003 ドメイン コントローラ上で低い権限用に構成できます。管理パックでは、エージェントなしの監視はサポートされません。Windows 2000 Server では、エージェント アクション アカウントは、Domain Admins またはローカル Administrators グループに含まれている必要があります。Windows Server 2003 ドメイン コントローラのアクション アカウントでは、低い権限用に追加のアクセス許可が構成されている必要があります。これには、Users および Performance Monitor Users グループのメンバシップ、イベント ログへのアクセス、および SeSecurityPrivilege、SeAuditPrivilege、および SeInteractiveLogonRight の権限が含まれます。さらに、次のアクセスが必要です。レプリケーションの監視のための Active Directory の CN=MomLatencyMonitors Container へのフル アクセス、NTDS.dit データベースとログ ファイルを格納するディレクトリへの読み取りアクセス、および次のレジストリ キーに対する読み取りアクセス。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

Windows Server 2003 で監視する場合は、スクリプト AD Monitor Trusts では、エージェント アクション アカウントに Domain Admin グループまたは Administrators グループのメンバである必要があります。

Active Directory 管理パックは、https://www.microsoft.com/downloads/details.aspx?familyid=B516E614-814A-4277-ABF9-8D5315D2BA06&displaylang=ja からダウンロードできます。

Active Directory 用の MOM のカスタマイズ

Active Directory 管理パックを構成する必要があります。これを行わないとコンソールはアラートでいっぱいの状態が続きます。Active Directory 管理パックでアラートが最多になるのは、ドメイン コントローラが再起動する際で、あらゆるアラートがトリガされるように見えます。不都合なことに、これを停止するのは容易ではありません。最善策は、MOM 内のメンテナンス モードを利用して、予定されているメンテナンスの時間中にアラートを制御することです。メンテナンス モードの目的は、コンソールがいっぱいにならないように、ドメイン コントローラのアラートを自動解決することです。

クライアント コンピュータと該当するサーバーをグループに含めることにより、必ず Active Directory Client Side Monitoring (クライアント側の監視) グループを構成してください。このグループに関連するルールは、FSMO およびそれらへの接続の状態を判断するために役立ちます。

LDAP、PING、および DNS を使用して FSMO にバインドし接続を検証するためのしきい値を使用するパフォーマンス ルールがあります。これらのルールは、Active Directory Availability パフォーマンス ルール内にあります。アラートの重要度を設定することにより、これらのルールで使用するしきい値をカスタマイズしてください。たとえば、FSMO バインドでは、秒単位の属性値を使用します。各 FSMO 役割のパフォーマンス ルールではこのアラート作成方法論を使用しています。

"状態ルールのアラートの重要度の計算" の設定について理解することが重要です。このダイアログ ボックスでは、属性値に If-Else 条件を使用し、アラートの重要度を設定します (図 9 を参照)。AD Op Master Response スクリプトによって作成された Last Bind パフォーマンス カウンタがルールによって収集される際、これらのルールによって設定された条件しきい値に対してそれらがチェックされます。これらの異なるアラート レベルは、環境に合わせて構成する必要があります。

図 9** アラートの重要度ルールの設定 **(画像を拡大するには、ここをクリックします)

各ドメイン コントローラのレプリケーション スケジュールを確認してください。特定のドメイン コントローラのスケジュールが他と異なる場合、レプリケーション レイテンシの結果に誤差が生じ、しきい値を高く設定する原因となります。特定の環境のニーズに適したレプリケーション スクリプトのパラメータを設定する必要があります。いずれかのドメイン コントローラがダウンしている場合や、レプリケーションの問題がある場合、これらのグループの他のすべてのドメイン コントローラにおいても、そのドメイン コントローラが直接のレプリケーション パートナーでなくても、そのレプリケーション エラーが報告される場合があります。したがって、問題のあるドメイン コントローラをメンテナンス モードにしていても、他のドメイン コントローラがレプリケーション エラーを報告する可能性があります。

レプリケーションの監視は、Active Directory 管理パックの調整において最も重視する必要があります。ご使用の環境で管理パックを 2 週間ほど実行して、そのアラートの発生状況を確認する必要があります。一定の傾向が見えてきたら、レポートを使用してレイテンシの概要を述べ、それに応じてしきい値を調整してください。

最後に、Alert Tuning Solution Accelerator (英語) を参照してください。

今後の展望

MOM 2005 および Active Directory 管理パックを使用すると、組織の Active Directory 実装を効果的かつ能率的に監視できます。Active Directory、DHCP、DNS、FRS、および Windows Server 基本 OS 管理パックにより、インフラストラクチャの多くの局面をより効果的に監視でき、Active Directory インフラストラクチャの状態ユーザーを保護できます。レポート データ ウェアハウスに収集された膨大なデータを使用し、パフォーマンスやイベントのデータを分析し、容量計画やパフォーマンスの傾向判定に役立てることができます。

この記事、およびその他多数の記事で取り上げられている管理パックについては、Management Pack Catalog (英語) を参照してください。

Active Directory 管理パックの次の更新には、通常の修正プログラムのコレクションや、いくつかのしきい値の微調整が含まれます。さらに興味深いのは、この製品の次のリリースで計画されている新機能 System Center Operations Manager 2007 です。これには、1 つの構成グループから複数のフォレストを監視する機能、ドメイン コントローラ (それぞれ他のグループとの独自のレプリケーション レイテンシを持つ) のグループを定義する機能、および次のバージョンの Window Server で実行されるドメイン コントローラを監視する機能が含まれます。詳細については、MOM Web サイト (microsoft.com/japan/mom/default.mspx) を参照してください。

John Hann は MOM 2000 からの MOM に従事し、2004 以来 MOM MVP です。彼は MyITForum.com(英語)、MOMCommunity.com(英語)、および LearnMOM.com(英語) の寄稿者です。John に対するお問い合わせについては、彼のブログ (英語) を参照してください。

© 2008 Microsoft Corporation and CMP Media, LLC. All rights reserved; 許可なしに一部または全体を複製することは禁止されています.