Windows 系統管理
使用 MOM 來監視 Active Directory
John Hann
摘要:
- Active Directory 的管理套件
- MOM 的自訂秘訣
- 警示調整
管理套件是 Microsoft Operations Manager (MOM) 2005 的命脈,也是讓 MOM 有別於其他管理產品的特色。MOM 使用管理套件來組合規則、報告、工作及檢視,並可將領域侷限在特定的應用程式
或服務,例如 Active Directory。Microsoft 產品小組會為所開發的應用程式建立管理套件,確保 MOM 可反映出小組深遠的產品知識。此外,您還可以自訂管理套件來符合您的 IT 環境。這樣就有規則可根據您的特定伺服器和應用程式環境來監視和管理產品。
不只是 Active Directory® 有特定的管理套件,還有各式各樣的管理套件可用來測量目錄服務的健康狀態,從 Windows Server® Base Operating System 到動態主機設定通訊協定 (DHCP)、DNS 及檔案複寫服務 (FRS) 都包括在內。我們來仔細看一遍這些管理套件,讓您更充分了解如何透過 MOM 對 Active Directory 進行端對端的管理。
DHCP 管理套件
DHCP 服務管理套件可監視在 Windows NT®、Windows® 2000 及 Windows Server 2003 中執行的 DHCP 服務。藉由監視 DHCP 來了解用戶端是否有網路連線問題是一個不錯的主意。當環境中有惡意的 (未經授權的) DHCP 伺服器在執行時,此套件也會警告您。此管理套件的下載套件中包含一本指南,其中說明規則和報告以及監視案例和部署方法。TechNet MOM 2005 網站 (microsoft.com/technet/prodtechnol/mom/mom2005) 上還有許多文件和指引等您挖掘。
執行 DHCP 服務的 Windows 版本愈新,MOM 2005 提供的管理資訊和功能就愈多。因此,Windows Server 2003 DHCP 伺服器比 Windows NT DHCP 伺服器的參考資訊更豐富。例如,在 Windows Server 2003 上執行 DHCP 伺服器時,可以監視其超級領域,但 Windows 2000 DHCP 伺服器上的 DHCP 管理套件只能監視一般領域。您可以在監視指令碼中,將要排除的領域設定為參數,就可以排除不要監視的領域。
剛才說過,DHCP 管理套件支援在 Windows NT、Windows 2000 Server 及 Windows Server 2003 上執行的 DHCP 伺服器。電腦群組都是透過公式來填入,這些公式會根據作業系統版本及伺服器是否裝載 DHCP 伺服器服務而定。
DHCP 管理套件不支援低權限的組態。「動作帳戶」代理程式必須是本機 Administrators 群組的成員。產品有支援無代理程式的監視,但不支援無代理程式組態中的工作。[圖 1] 列出 DHCP 管理套件中可用的報告。
Figure 1 DHCP Service 報告
| All DHCP Servers |
| All Authorized DHCP Servers |
| Performance History-Active Queue Length |
| Performance History-Conflict Check Queue Length |
| Performance History-Declines per Second |
| Performance History-Discovers per Second |
| Performance History-Milliseconds per Packet (Avg) |
| Performance History-NACKs per Second |
| Performance History-Scope Free Addresses |
| Performance History-Scope Addresses in Use |
| Performance History-Superscope Free Addresses |
| Perfromance History-Superscope Addresses in Use |
您可以從 go.microsoft.com/fwlink/?LinkId=79527 下載 DHCP 管理套件。
DNS 管理套件
「網域名稱服務」管理套件可監視在 Windows 2000 Server 和 Windows Server 2003 中執行的 DNS 伺服器。由於它是 Active Directory 整體實作健康狀態不可缺少的部分,所以使用 MOM 2005 來監視 DNS 非常重要。DNS 管理套件可監視名稱解析問題、資料庫問題、登錄問題、執行階段事件和錯誤,以及相關的效能計數器。
以 Windows 2000 Server 而言,安裝 Windows Management Instrumentation (WMI) DNS 提供者是必須的。尤其,這可讓 DNS 管理套件在 WMI DNS 名稱區中查詢資訊和測試。
電腦群組都是透過公式來填入,這些公式會根據作業系統版本及伺服器是否裝載 DNS 伺服器服務來決定群組成員資格。DNS 管理套件只支援 Windows Server 2003 上的低權限。在 Windows 2000 上,「動作帳戶」必須是本機 Administrators 群組的成員。在 Windows Server 2003 上,「動作帳戶」必須是本機 Users 和 Performance Monitor Users 群組的成員。此外,「動作帳戶」也必須有「管理稽核和安全性記錄」(SeSecurityPrivilege) 及「允許本機登入」(SeInteractiveLogonRight) 權限。[圖 2] 列出 DNS 管理套件中可用的報告。
Figure 2 DNS Service 報告
| All Windows DNS Servers |
| All Windows DNS Servers by Zone |
| All Windows DNS Zones by Server |
Microsoft® Systems Management Server (SMS) 的最有價值專家 (MVP) Marcus Oh 開發了一個測試 DNS 伺服器的指令碼,這個指令碼會呼叫 nslookup 來驗證 DNS 伺服器是否有能力解析名稱。請看一下他在 marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html 上發表的部落格文章,相信您一定會想要將這個指令碼整合到您的 DNS 管理套件中。
您可以從 go.microsoft.com/fwlink/?LinkId=79528 下載 DNS 管理套件。
FRS 管理套件
Windows「檔案複寫服務 (FRS)」管理套件可監視在 Windows 2000 和 Windows Server 2003 中執行的 FRS 服務。網域控制站會使用 FRS 來複寫登入指令碼和「群組原則」資訊。FRS 管理套件會詳述每一個網域控制站之 FRS 服務的健康狀態。
FRS 管理套件利用 Ultrasound 工具,此工具可以從 go.microsoft.com/fwlink/?LinkId=79529 取得。Ultrasound 會在每個網域控制站上建立 FRS 的 WMI 名稱區。請注意,Ultrasound 需要資料庫,且會儲存每個網域控制站上之 WMI 名稱區的資訊來監視健康狀態。FRS 管理套件利用來自 Ultrasound 的資訊來監視複本組、成員、連線、FRS 服務本身及 Ultrasound 控制器服務。
事實上,您應該將 Ultrasound 安裝在管理伺服器以外的另一部伺服器上。Ultrasound 規則會代表其他電腦來產生事件和警示。為了讓 Ultrasound 規則正確地處理資料,在每一部執行 Ultrasound 的伺服器上,您必須在 MOM 系統管理員主控台中啟用代理程式 Proxy 處理。[圖 3] 列出 FRS 管理套件中可用的四個服務報告。
Figure 3 FRS Service 報告
| Ultrasound-Frequently Detected Issues-Most Problematic Connections |
| Ultrasound-Frequently Detected Issues-Most Problematic Members |
| Ultrasound-Frequently Detected Issues-Most Problematic Replica Set |
| Ultrasound-Frequently Detected Issues-Summary |
與此管理套件相關的電腦群組包括在 Windows 2000 Server 和 Windows Server 2003 上執行的 Microsoft Ultrasound 1.0 伺服器和 FRS 伺服器。電腦群組皆透過公式來填入,這些公式會根據作業系統版本及伺服器是否裝載 FRS 服務來決定群組成員資格。伺服器會在安裝 Ultrasound 時填入 Ultrasound Servers 群組。
設定低權限的 FRS 管理套件時,工作將無法執行,但可支援其餘的管理套件功能。「動作帳戶」必須有 Ultrasound 資料庫的讀取權限和 GetControllerStatusForMOM001 預存程序的執行權限。FRS 管理套件可支援監視無代理程式的電腦和以代理程式管理的電腦。
您可以從 go.microsoft.com/fwlink/?LinkId=79530 下載 FRS 管理套件。
Windows Server 管理套件
Windows Base Operating System 管理套件可監視 Windows NT 4.0 Server、Windows 2000 Server 及 Windows Server 2003。Base OS 管理套件會報告網域控制站之作業系統的健康狀態,也會監視系統上的根目錄服務。此管理套件提供有關核心 Windows 服務、記憶體及處理器效能的狀態,以及磁碟可用空間和磁碟延遲的狀態。此管理套件和本文提及之其他管理套件的監視規則有些許的重疊,但它卻能夠由下而上一窺網域控制站的整體健康狀態。
[圖 4] 顯示 Base OS 管理套件中可用的報告。就像其他管理套件一樣,電腦群組也都是透過公式來填入,這些公式會根據作業系統版本而定。
Figure 4 Base Operating System 報告
| Disk Performance Analysis |
| Operating System Configuration |
| Operating System Performance |
| Operating System Shutdown by Event |
| Operating System Shutdown by Server |
| Operating System Storage Configuration |
| Software and Applications Installations by Application |
| Software and Applications Installations by Instance |
| Software and Applications Installations by Server |
| Reliability-Application Failures by Application |
| Reliability-Application Failures by Computer |
| Reliability-Application Failures by Event |
| Reliability-Operating System Failures by Computer |
| Reliability-Operating System Failures by Event |
| Reliability-Operating System Failures by Stop Code |
| Performance History-Performance History |
| Performance History-Additional Reports |
當您設定以低權限來執行 Base OS 管理套件時,在 Windows 2000 環境下,「動作帳戶」必須是本機 Administrators 群組的成員。Windows Server 2003 則會要求「動作帳戶」必須是本機 Users 和 Performance Monitor Users 群組的成員,並且必須擁有「管理稽核和安全性記錄」(SeSecurityPrivilege) 及「允許本機登入」 (SeInteractiveLog-onRight) 權限。無代理程式監視的電腦支援大部分的 Base OS 管理套件 (除了工作以外)。
您可以從 go.microsoft.com/fwlink/?LinkId=79531 下載 Base OS 管理套件。
Active Directory 管理套件
Active Directory 管理套件非常廣泛,且其規則涵蓋 Windows 2000 Server 和 Windows Server 2003。Active Directory 管理套件包含五種規則區域:用戶端監視、信任監視、複寫監視及拓撲搜索,加上涵蓋 Windows 2000 Server 和 Windows Server 2003 作業系統的規則。如稍早所述,Windows 版本愈新,可用工具就愈多,因此也就有愈多監視功能。例如,此管理套件在 Windows Server 2003 上支援信任監視,但在 Windows 2000 上不支援。
Active Directory 管理套件會建立許多群組,用來將規則套用至特定的電腦。用戶端監視規則會使用稱為 Active Directory Client Side Monitoring 的群組。您可以將已安裝 MOM 代理程式的電腦放在這個群組中來監視和管理這些規則。我在這個群組中放入一些經過代理程式授權的桌上型電腦及一些 Exchange 伺服器。Exchange Server 會廣泛使用 Active Directory,成為可能發生問題的指標。群組中的桌上型電腦則可協助您判斷一般使用者的體驗。用戶端監視規則會利用指令碼來測試對網域控制站的連線、透過 LADP 來查詢,以及報告連線是否失敗。請注意,用戶端監視規則僅適用於由代理程式管理且已啟用 Proxy 的電腦,不適用於網域控制站。
信任監視規則會使用稱為 Active Directory Trust Monitoring 的群組。Windows Servers 2003 電腦會放在這個群組中來測試信任度。Windows Server 2003 含有 WMI 名稱區可監視信任度。這些規則會運用指令碼來查詢 WMI 名稱區。偵測與其他網域的信任關係發生錯誤時,這些規則會發出警示。
有許多適用於 Windows 2000 Server 或 Windows Server 2003 的 Active Directory 管理套件規則。這些規則描述這兩個作業系統實作 Active Directory 的差異。不過,大部分的 Active Directory 管理套件都會在這兩個作業系統的合併規則中。其中部分規則會包含指令碼,可用來測試網域控制站之間的連線能力、驗證彈性單一主機操作 (FSMO) 角色持有者、目錄資訊樹狀結構 (DIT) 資料庫大小、驗證「群組原則」處理、認知一致性檢查程式 (KCC) 檢查,以及進行站台間訊息處理服務的測試。
複寫監視是 Active Directory 管理套件的核心元件。預設有 Active Directory Replication Latency Data Collection - Sources 和 Active Directory Replication Latency Data Collection - Targets 這兩個群組,可讓您設定專門用來報告複寫監視的網域控制站。資料收集群組的每一個成員都會計算出複寫延遲。效能計數器中會填入更新複製至每一個群組成員所需的時間。如果企業整體的複寫延遲超過定義的閾值,則會計算並報告此複寫延遲 (並產生警示)。請注意,Windows 2000 Server 上必須安裝複寫監視的 WMI 名稱區。
Active Directory 管理套件中的拓撲探索會用來建立實作的圖表。這些有用的圖表可以匯出到 Microsoft Office Visio®。MOM 會即時建立這些圖表,讓您在短短幾秒內建立最新的版本。
在 MOM 2005 操作員主控台的「圖表檢視」下,有三個 Active Directory 管理套件圖表。「連線中斷物件」圖表 (請參閱 [圖 5]) 會顯示任何在錯誤狀態下的連線。如果沒有連線錯誤,則此圖表可以是空白。
圖 5** 「圖表檢視」中會反白顯示「連線中斷」 **
「連線物件」圖表會反白顯示 DC 之間的連線。「站台連結」圖表會顯示每一個 Active Directory 站台,其中涵蓋此站台的相關網域控制站以及所連線站台的連結。
因為 MOM 為這些檢視建立的圖表是動態的,所以您可以將圖表匯出到 Visio 來輕鬆編輯和自訂。例如,[圖 6] 顯示在 Visio 中編輯的「站台連結」圖表。
圖 6** 在 Visio 中編輯站台連結圖表 **(按影像可放大)
[圖 7] 列出 Active Directory 管理套件中可用的報告。[圖 8] 顯示與此管理套件關聯的電腦群組。如您所見,Active Directory 電腦群組都是由明確的成員資格來填入;Windows 電腦群組則都是根據作業系統的版本和機器是否為網域控制站而填入。
Figure 8 電腦群組
| Active Directory Client-Side Monitoring |
| Active Directory Replication Latency Data |
| Collection-Sources |
| Active Directory Replication Latency Data |
| Collection-Targets |
| Active Directory Trust Monitoring |
| Windows 2000 Server Domain Controllers |
| Windows Server 2003 Domain Controllers |
Figure 7 Active Directory 報告
| AD Domain Controller |
| AD Role Holders |
| AD Replication Connection Objects |
| AD Replication Site Links |
| AD DC Disk Space |
| AD Domain Changes |
| AD Machine Account Authentication Failures |
| AD Replication Bandwidth |
| AD Replication Latency |
Active Directory 管理套件在 Windows Server 2003 網域控制站上可以設定為低權限。此管理套件不支援無代理程式的監視。在 Windows 2000 Server 上,「動作帳戶」代理程式必須屬於 Domain Admins 或本機 Administrators 群組。Windows Server 2003 網域控制站上的「動作帳戶」代理程式必須有額外的權限,才能設定為低權限 (額外權限包括 Users 和 Performance Monitor Users 群組中的成員資格、事件記錄檔的存取權限,以及 SeSecurityPrivilege、SeAuditPrivilege 和 SeInteractiveLogonRight 權限)。此外,還需要下列存取權限:對 Active Directory 中的 CN=MomLatencyMonitors 容器執行複寫監視所需的完整權限、對 NTDS.dit 資料庫和記錄檔所在目錄的讀取權限,以及對下列登錄機碼的讀取權限:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters
請注意,如果您在 Windows Server 2003 中監視信任,則 AD Monitor Trusts 指令碼會要求「動作帳戶」代理程式必須有 Domain Admin 或 Administrators 群組成員資格。
您可以從 go.microsoft.com/fwlink/?LinkId=79540 下載 Active Directory 管理套件。
自訂 Active Directory 的 MOM
必須設定 Active Directory 管理套件,否則主控台內會塞滿警示。網域控制站重新啟動時是 Active Directory 管理套件最繁忙的時刻,每一個可能的警示幾乎都在此時觸發。不幸的是這種情況很難停止。最好的辦法是利用 MOM 的「維護模式」來控制預期維護時段內的警示。「維護模式」的目的是要自動解決網域控制站的警示,避免塞滿主控台。
請記得將用戶端電腦和適當的伺服器放在 Active Directory Client Side Monitoring 群組內,以完成設定。與此群組關聯的規則將有助於判斷 FSMO 的健康狀態和連線能力。
有些效能規則會使用閾值來繫結至 FSMO,並使用 LDAP、PING 及 DNS 來驗證連線能力。這些規則都位於 Active Directory Availability 效能規則內。您應該設定警示嚴重性來自訂這些規則所使用的閾值。例如,FSMO 繫結使用以秒為單位的屬性值。每一個 FSMO 角色的效能規則都採用這種警示建立方法。
很重要的一點是,您必須了解 [狀態規則的警示嚴重性計算] 設定的運作方式。此對話方塊會使用 If-Else 條件來決定屬性值,再據以設定警示嚴重性 (請參閱 [圖 9])。當規則收集 AD Op Master Response 指令碼所建立的 Last Bind 效能計數器時,將根據這些規則所設定的條件閾值來檢查此計數器。您必須針對您的環境來設定這些不同的警示等級。
圖 9** 設定警示嚴重性規則 **(按影像可放大)
回顧一下每個網域控制站的複寫排程。如果指定網域控制站的排程不同於其他網域控制站,將會扭曲複寫延遲結果,並導致您設定較高的閾值。您必須設定複寫指令碼的參數,以符合您特定環境的需求。請注意,當任何網域控制站關閉或發生複寫問題時,這些群組中的其他每一個網域控制站都可以報告此網域控制站發生複寫失敗狀況,就算不是直接的複寫協力電腦也一樣。因此,即使有問題的網域控制站進入「維護模式」,其他網域控制站仍然可以報告複寫失敗。
複寫監視是 Active Directory 管理套件中最需要注意的項目。在環境中執行管理套件必須經過幾週之後,才能看出如何發出警示。在看出某種趨勢之後,請利用報告來描述延遲,並適當地調整閾值。
最後,請善用 Alert Tuning Solution Accelerator (英文) 提供的指引。
展望未來
MOM 2005 和 Active Directory 管理套件可讓您更有效地監視組織的 Active Directory 實作。利用 Active Directory、DHCP、DNS、FRS 及 Windows Server Base OS 管理套件,您可以充分監視基礎結構的大部分問題,保護 Active Directory 基礎結構的健康狀態,當然還有您的使用者。利用報告資料倉庫內收集的大量資料,您可以分析效能和事件資料來協助決定容量計劃和效能趨勢。
如需本文中所討論的管理套件及其他許多管理套件,請參閱 Management Pack Catalog (英文)。
Active Directory 管理套件的下一個更新版本將包含一些閾值的常用修正和調整。下一版產品 (稱為 System Center Operations Manager 2007) 中將會有更吸引人的新功能,包括可從單一組態群組中監視多個樹系、可定義網域控制站的群組 (各群組之間會有各自預期的複寫延遲),以及可監視在下一版 Window Server 上執行的網域控制站。如需詳細資訊,請造訪 MOM 網站 microsoft.com/mom
John Hann 從 MOM 2000 開始使用 MOM,並在 2004 年成為 MOM MVP。John 會定期為 MyITForum.com、MOMCommunity.com 及 LearnMOM.com 撰寫文章。您可以透過他的部落格 (英文) 與他聯繫。
© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利;未經允許,嚴禁部分或全部複製.