Windows 管理

使用 MOM 监控 Active Directory

John Hann

概览:

• Active Directory 管理包
• MOM 的自定义提示
• 警报调节

管理包是 Microsoft Operations Manager (MOM) 2005 不可或缺的重要部分，这也是它区别于其他管理产品之处。MOM 使用管理包将规则、报告、任务和视图结合到一起，而且它可以被限制在特定应用程序或服务的范围内，

如 Active Directory。Microsoft 产品团队创建管理包目的是用于他们所开发的应用程序，确保 MOM 反映出团队深厚的产品知识。此外，管理包还可以进行定制，以适合您的 IT 环境。这样，您便拥有了可以监控和管理产品的规则了，这些规则以您的特定服务器和应用程序环境为基础。

不仅 Active Directory® 有特定的管理包，还有很多其他管理包，用于测量从 Windows Server® 基础操作系统到动态主机配置协议 (DHCP)、DNS 和文件复制服务 (FRS) 的目录服务运行状况。我们来详细介绍一下这些管理包，以便您更好地了解通过 MOM 进行的 Active Directory 端到端管理。

DHCP 管理包

DHCP 服务管理包可监控运行于 Windows NT®、Windows® 2000 和 Windows Server 2003 上的 DHCP 服务。监控 DHCP 是个好主意，您可以了解客户端在连接到网络时是否出现问题。当您的环境中存在恶意（未经授权）DHCP 服务器时，您也会收到警报。此管理包的下载包中包含一份指南，该指南介绍了规则、报告以及监控方案和部署。TechNet MOM 2005 网站 (microsoft.com/technet/prodtechnol/mom/mom2005) 还提供了其他文档和指导集锦。

运行 DHCP 服务的 Windows 的版本越新，MOM 2005 所提供的用于管理它的规范和功能就越多。因此，您将了解到的有关 Windows Server 2003 DHCP 服务器的信息会多于 Windows NT DHCP 服务器。例如，DHCP 管理包可以监控运行于 Windows Server 2003 上的 DHCP 服务器的超级作用域，但却仅可监控 Windows 2000 DHCP 服务器的普通领域。作用域可以排除在监控范围之外，方法是将该作用域作为监控脚本的参数进行排除。

如前所述，DHCP 管理包支持 DHCP 服务器在 Windows NT、Windows 2000 Server 和 Windows Server 2003 上运行。通过使用操作系统版本的公式，并根据服务器是否托管 DHCP 服务器服务，来填充计算机组。

DHCP 管理包不支持低权限配置。代理操作帐户必须是本地管理员组的成员。支持无代理监控，但在无代理配置中不支持任务。图 1 列出了 DHCP 管理包提供的报告。

Figure 1 DHCP 服务报告

您可以从 go.microsoft.com/fwlink/?LinkId=79527 下载 DHCP 管理包。

DNS 管理包

域名服务管理包可监控运行于 Windows 2000 Server 和 Windows Server 2003 上的 DNS 服务。由于它是 Active Directory 实施的整体运行状况的主要部分，因此使用 MOM 2005 监控 DNS 是至关重要的。DNS 管理包可监控名称解析问题、数据库问题、注册表问题、运行时事件和错误，以及相关的性能计数器。

Windows 2000 Server 必须安装 Windows Management Instrumentation (WMI) DNS 提供程序。具体而言，此提供程序允许 DNS 管理包查询 WMI DNS 命名空间，以获取信息并进行测试。

计算机组通过使用操作系统版本的公式并根据该服务器是否托管 DNS 服务器服务进行填充，以确定组成员身份。DNS 管理包只在 Windows Server 2003 上支持低权限。在 Windows 2000 上，操作帐户必须是本地管理员组的成员。在 Windows Server 2003 上，操作帐户必须是本地用户和性能监控用户组的成员。此外，操作帐户必须拥有“管理审核和安全日志”(SeSecurityPrivilege) 以及“允许本地登录”(SeInteractiveLogonRight) 权限。图 2 列出了 DNS 管理包提供的报告。

Figure 2 DNS 服务报告

Marcus Oh（Microsoft® Systems Management Server (SMS) 的 MVP）开发了一个测试 DNS 服务器的脚本，该脚本通过调用 nslookup 来验证 DNS 服务器解决问题的能力。有时间可以看一下他的博客，网址为 marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html。您会希望将此脚本集成到您的 DNS 管理包中。

您可以从 go.microsoft.com/fwlink/?LinkId=79528 下载 DNS 管理包。

FRS 管理包

Windows 文件复制服务管理包可监控运行于 Windows 2000 和 Windows Server 2003 上的 FRS 服务。FRS 是域控制器用来复制登录脚本和组策略信息的。FRS 管理包会详细记录每个域控制器的 FRS 服务的运行状况。

FRS 管理包采用了 Ultrasound 工具，该工具可从 go.microsoft.com/fwlink/?LinkId=79529 下载。Ultrasound 可为 FRS 在每个域控制器上创建 WMI 命名空间。请注意，Ultrasound 需要数据库才能运行，且会将来自 WMI 命名空间的信息存储在每个域控制器上以监控运行状况。通过使用来自 Ultrasound 的信息，FRS 管理包可监控副本集、成员、连接、FRS 服务本身，以及 Ultrasound 控制器服务。

实际上，您应该将 Ultrasound 安装在管理服务器之外的独立服务器上。Ultrasound 规则可代替其他计算机生成事件和警报。为了使 Ultrasound 规则正确处理数据，必须在每台运行 Ultrasound 的服务器上的 MOM 管理员控制台中启用代理代表。图 3 列出了 FRS 管理包提供的四个服务报告。

Figure 3 FRS 服务报告

与此管理包相关的计算机组包括运行于 Windows 2000 Server 和 Windows Server 2003 上的 Microsoft Ultrasound 1.0 服务器和 FRS 服务器。计算机组通过使用操作系统版本的公式并根据该服务器是否托管 FRS 服务进行填充，以确定组成员身份。当服务器上安装了 Ultrasound 时会填充 Ultrasound 服务器组。

将 FRS 管理包配置为低权限时，任务不会工作，但支持管理包的其他功能。操作帐户必须具有 Ultrasound 数据库的读取访问权，以及 GetControllerStatusForMOM001 存储过程的运行权限。FRS 管理包支持监控无代理以及代理管理的计算机。

您可以从 go.microsoft.com/fwlink/?LinkId=79530 下载 FRS 管理包。

Windows 服务器管理包

Windows 基础操作系统管理包可监控 Windows NT 4.0 Server、Windows 2000 Server 和 Windows Server 2003。该管理包将向您的域管理器报告操作系统的运行状况，同时还会监空系统的根服务。该管理包提供核心 Windows 服务、内存和处理器效能以及磁盘可用空间和磁盘执行时间的状态。此管理包和本文中所介绍的其他管理包的监控规则之间有一些重叠，但是它可针对域控制器的运行状况提供出色的自下而上的视图。

图 4 显示了基础操作系统管理包提供的报告。对于其他管理包，所有计算机组均通过使用操作系统版本的公式来填充。

Figure 4 基础操作系统报告

将基础操作系统管理包配置为低权限进行操作时，Windows 2000 需要操作账户是本地管理员组的成员。Windows Server 2003 需要操作账户是本地用户和性能监控用户组的成员，并具有“管理审核和安全日志”(SeSecurityPrivilege) 以及“允许本地登录”(SeInteractiveLog-onRight) 权限。无代理监控的计算机支持除任务外的大多数基础操作系统管理包。

您可以从 go.microsoft.com/fwlink/?LinkId=79531 下载基础操作系统管理包。

Active Directory 管理包

Active Directory 管理包内容十分广泛，其规则涉及 Windows 2000 Server 和 Windows Server 2003。Active Directory 管理包包括五方面的规则：客户端监控、信任监控、复制监控、拓扑发现，以及涵盖 Windows 2000 Server 和 Windows Server 2003 操作系统的规则。如前所述，Windows 的版本越新，启用的规范就越多，因而执行的监控也就越多。例如，管理包在 Windows Server 2003 上支持信任监控，但在 Windows 2000 上却不支持。

Active Directory 管理包创建了很多组，它使用这些组将规则应用于特定的计算机。客户端监控规则使用名为“Active Directory 客户端监控”的组。将安装有 MOM 代理的计算机置于此组中，以监控和管理这些规则。我将几台已获代理许可的台式计算机以及部分 Exchange 服务器置于此组中。Exchange Server 广泛使用 Active Directory，而且是开发问题的主要指示器。该组中的台式计算机可帮助您衡量最终用户体验。客户端监控规则利用脚本测试域控制器的连接性，通过 LDAP 查询，并报告故障。需要注意重要的一点是，客户端监控规则仅适用于代理管理的计算机，这些计算机必须启用代理但不能是域控制器。

信任监控规则使用名为“Active Directory 信任监控”的组。Windows Servers 2003 计算机会置于此组中以测试信任。Windows Server 2003 具有一个 WMI 命名空间，用于监控信任。这些规则使用一个脚本来查询 WMI 命名空间。当检测到其他域发生信任错误时，这些规则会向您发送警报。

有很多 Active Directory 管理包规则适用于 Windows 2000 Server 或 Windows Server 2003。这些规则区分了 Active Directory 在这两种操作系统中的不同实施方式。但是，大部分 Active Directory 管理包都是两种操作系统规则的结合体。其中部分规则包含脚本，用以测试域控制器之间的连接，验证灵活单主机操作 (FSMO) 角色所有者、目录信息树 (DIT) 数据库的大小，验证组策略处理过程、知识一致性检查器 (KCC) 检查以及站点间的消息服务测试。

复制监控是 Active Directory 管理包的中心内容。有两个组，Active Directory 复制执行时间数据集合（源和 Active Directory 复制执行时间数据集合）目标，可让您配置仅用于报告复制监控的域控制器。数据集合组的每个成员均会计算复制执行时间。性能计数器会使用它的更新时间来填充，以复制到每个组成员。如果企业范围的复制执行时间超过了定义的阈值，则会进行计算并报告（同时生成警报）。请注意，Windows 2000 Server 上必须安装用于监控复制的 WMI 命名空间。

Active Directory 管理包中的拓扑发现用于创建您的实施图表。这些图表大有用处，并可导出到 Microsoft Office Visio®。图表由 MOM 实时构建，因此您可在几秒内可创建一个最新版本。

在 MOM 2005 操作员控制台的图表视图下，有三个 Active Directory 管理包图表。“中断的连接对象”图表（请参阅图 5）将显示任何错误连接。如果没有错误连接，则此图表为空白。

图 5** 中断的连接会在图表视图中突出显示 **

“连接对象”图表会突出显示 DC 之间的连接。“站点链接”图表会显示每个 Active Directory 站点，该站点中相应的域控制器和连接站点链接将被封装。

由于 MOM 这些视图创建的图表是动态的，因此您可以将其导出到 Visio，以便进行编辑和自定义。例如，图 6 显示了正在 Visio 中编辑的站点链接图表。

图 6** 在 Visio 中编辑站点链接图表 **(单击该图像获得较大视图)

图 7 列出了 Active Directory 管理包提供的报告。图 8 显示了与此管理包相关的计算机组。如图所示，Active Directory 计算机组由明确的成员身份进行填充；Windows 计算机组根据操作系统的版本以及计算机是否为域控制器进行填充。

Figure 8 计算机组

Figure 7 Active Directory 报告

可在 Windows Server 2003 域控制器上将 Active Directory 管理包配置为低权限。此管理包不支持无代理监控。在 Windows 2000 Server 上，代理操作账户必须处于域管理员组或者本地管理员组中。在 Windows Server 2003 域控制器上，代理操作账户配置的其他权限也必须配置为低权限，包括用户和性能监控用户组的成员身份，事件日志的访问权，以及 SeSecurityPrivilege、SeAuditPrivilege 和 SeInteractiveLogonRight 权限。此外，还需要以下访问权：对 Active Directory 中的 CN=MomLatencyMonitors 容器的完全访问权，以用于监控复制；对包含 NTDS.dit 数据库和日志文件的目录的读取访问权；以及对以下注册表项的读取访问权：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

如果您在 Windows Server 2003 中监控信任，则请注意：脚本 AD 监控信任需要代理操作账户具有域管理员组或管理员组成员身份。

您可以从 go.microsoft.com/fwlink/?LinkId=79540 下载 Active Directory 管理包。

自定义 Active Directory 的 MOM

必须配置 Active Directory 管理包，否则警报会将您的控制台填满。Active Directory 管理包最繁忙的时间出现在域控制器重新启动的时候 - 好像每个可以触发的警报都触发了。不幸的是，这一情况很难消除。您最好的选择是利用 MOM 中的“维护模式”，在预期的维护窗口中控制警报。维护模式的目的是自动解决针对域控制器的警报，以保持控制台不被填满。

请确保通过将客户端计算机和适当的服务器置于组中，以配置 Active Directory 客户端监控组。与此组相关的规则有助于确定您的 FSMO 及其连接的运行状况。

有些性能规则使用阈值绑定到 FSMO（使用 LDAP、PING 和 DNS）以验证连接。这些规则位于 Active Directory 可用性性能规则中。您应该通过设置警报严重性来定制这些规则所使用的阈值。例如，FSMO 绑定使用以秒为单位的属性值。每个 FSMO 角色的性能规则均使用此方法创建警报。

了解状态规则的警报严重性计算设置的工作原理是很重要的。此对话框将 If-Else 条件用作属性值，并相应地设置警报严重性（请参阅图 9）。当规则收集 AD Op 主响应脚本创建的“上次绑定”性能计数器时，它会与这些规则设置的条件阈值进行对比检查。需要为您的环境配置这些不同的警报级别。

图 9** 设置警报严重性规则 **(单击该图像获得较大视图)

请记住每个域控制器的复制日程安排。如果给定的域控制器其日程安排与其他域控制器不同，则它将改变复制执行时间结果，此时您需要调高阈值的设置。您将需要设置复制脚本的参数，以满足您特定环境的需要。有重要的一点需要注意，当任何域控制器出现故障或发生复制问题时，即使这些组中的其他各域控制器不是直接复制合作伙伴，它们也可报告该域控制器的复制故障。因此，即使您将出现问题的域控制器置于维护模式中，其他域控制器也可报告复制故障。

调节 Active Directory 管理包时，您应重点监控复制。您需要在环境中运行管理包几个星期，以查看它发送警报的情况。一旦发现有任何趋势，即可使用报告概述执行时间并相应地调节阈值。

最后，您应利用 Alert Tuning Solution Accelerator（英文）中所提供的指导。

展望未来

MOM 2005 以及 Active Directory 管理包可让您切实有效地监控组织的 Active Directory 实施情况。通过 Active Directory、DHCP、DNS、FRS 和 Windows Server 基础操作系统管理包，您可以更好地监控基础结构的大部分内容、保护 Active Directory 基础结构及用户的良好运作。使用您的报告数据仓库收集到的大量数据，您可以对性能和事件数据进行分析，以帮助制定容量规划和性能趋势。

有关我在本文中讨论的管理包以及其他大量内容，请参阅 Management Pack Catalog（英文）。

Active Directory 管理包的下一次更新将包括常用修补程序集合，以及几个阀值的调整程序。更加有趣的是为产品（称为“System Center Operations Manager 2007”）的下一个版本而规划的新功能，这些功能包括：监控单个配置组的多个林结构，定义域控制器组（每个域控制器都在其他组之间具有自己的预期复制执行时间），以及监控运行于下一个 Window Server 版本上的域控制器。有关详细信息，请参见 MOM 网站 microsoft.com/mom，并以此结束本文。

John Hann从 MOM 2000 开始便一直从事 MOM 工作，且自 2004 起他便是一位 MOM MVP。John 还为 MyITForum.com、MOMCommunity.com 和 LearnMOM.com 等网站撰稿。您可以通过他的博客与他联系。

© 2008 Microsoft Corporation 与 CMP Media, LLC.保留所有权利；不得对全文或部分内容进行复制.