Pakiet Microsoft Active Directory Management Pack Podręcznik

Transkrypt

1 Pakiet Microsoft Active Directory Management Pack Podręcznik Active Directory Management Pack dla Microsoft Operations Manager 2005 Kierownik programu: Mas Libman Autor: Shala Brandolini Data publikacji: sierpień 2004 r. Dotyczy: Microsoft Operations Manager 2005 Wersja dokumentu: Wersja 1.0

2 Podziękowania Recenzenci techniczni: Mas Libman, Andrew Strachan, Ryan Johnson Redaktor: Jim Becker

3 Spis treści Pakiet Active Directory Management Pack przegląd...4 Nowe funkcje w pakiecie Active Directory Management Pack dla MOM Scenariusze monitorowania 5 Definicje monitorowania stanu 8 Zadania 9 Raporty 10 Widoki 12 Obsługa monitorowania bez udziału agenta 14 Konfigurowanie pakietu Active Directory Management Pack Ustawianie wartości progowej opóźnień replikacji między lokalizacjami 15 Określanie kontrolerów domeny do gromadzenia danych o opóźnieniach replikacji 17 Wstępne szeregowanie alarmów 18 Konfigurowanie ustawień dla powolnych łączy WAN lub instalacji w dużych oddziałach 19 Konfigurowanie komputerów z agentami do pracy w scenariuszach z małymi uprawnieniami 20 Działanie pakietu Active Directory Management Pack Operacje codzienne 23 Operacje cotygodniowe 24 Operacje comiesięczne 25 Inne typowe operacje na pakiecie Active Directory Management Pack 25

4 4 Pakiet Microsoft Active Directory Management Pack Podręcznik Active Directory Management Pack dla Microsoft Operations Manager 2005 Pakiet Active Directory Management Pack przegląd Pakiet Active Directory Management Pack do oprogramowania Microsoft Operations Manager (MOM) 2005 zawiera predefiniowany, gotowy do pracy zestaw reguł przetwarzania, skryptów monitorujących oraz raportów przeznaczonych do monitorowania wydajności i dostępności usługi katalogowej Active Directory. Pakiet ten monitoruje zdarzenia rejestrowane w dziennikach zdarzeń aplikacji, systemu i usługi katalogowej przez różne składniki i podsystemy Active Directory. Monitoruje także ogólny stan usługi Active Directory i wysyła alarmy o krytycznych problemach z wydajnością. W podręczniku tym podano informacje o najbardziej typowych scenariuszach monitorowania usługi Active Directory, definicje monitorowania stanu oraz opisy zadań, raportów i widoków. Podręcznik zawiera też instrukcje dotyczące wdrażania i obsługi pakietu Active Directory Management Pack. Pakiet Active Directory Management Pack stanowi całościowe rozwiązanie do monitorowania usługi Active Directory poprzez: monitorowanie wszystkich aspektów działania usługi Active Directory; monitorowanie stanu istotnych procesów, od których zależy działanie usługi Active Directory, takich jak replikacja, protokół LDAP (Lightweight Directory Access Protocol), DC Locator, domeny zaufane oraz usługi Net Logon, FRS (File Replication Service), Intersite Messaging, Windows Time i KDC (Key Distribution Center); monitorowanie dostępności usługi; gromadzenie kluczowych danych dotyczących wydajności; dostarczanie wszechstronnych raportów, m.in. dotyczących dostępności usługi i jej stanu oraz raportów przydatnych podczas planowania wydajności. Wykrywając krytyczne zdarzenia i generując związane z nimi alarmy, pakiet Active Directory Management Pack ułatwia wskazywanie i usuwanie przyczyn ewentualnych przestojów usługi Active Directory oraz zapobieganie takim przestojom. Ten podręcznik opracowano przy użyciu pakietu Active Directory Management Pack do oprogramowania MOM Aby upewnić się, że używasz najnowszej wersji pakietu Active Directory Management Pack, zapoznaj się z dokumentem Microsoft Operations Manager Management Packs w witrynie WWW firmy Microsoft pod adresem

5 Pakiet Active Directory Management Pack przegląd 5 Nowe funkcje w pakiecie Active Directory Management Pack dla MOM 2005 Pakiet Active Directory Management Pack dla MOM 2005 zawiera następujące ulepszenia i rozszerzenia: ulepszone eliminowanie alarmów, ulepszona i zaktualizowana wiedza dotycząca wszystkich alarmów, testy dostępności katalogu globalnego (Global Catalog) dodane do pakietu Client Pack, monitorowanie stanu kluczowych składników Active Directory, widoki topologiczne przedstawiające łącza między lokalizacjami i obiekty połączenia. Scenariusze monitorowania Pakiet Active Directory Management Pack zaprojektowano pod kątem dostarczania cennych informacji z monitorowania dla większości instalacji usługi Active Directory. W tabeli 1 opisano najczęściej stosowane scenariusze monitorowania za pomocą pakietu Active Directory Management Pack. Tabela 1. Scenariusze monitorowania za pomocą pakietu Active Directory Management Pack Scenariusz Monitorowanie po stronie klienta Relacje zaufania Active Directory Problemy z kontami i Opis Testuje dostępność składników Active Directory z poziomu aplikacji korzystających z tej usługi, np. Microsoft Exchange 2000 Server i Exchange Server Klient określa dostępność poprzez: wysyłanie poleceń ping z użyciem protokołów ICMP (Internet Control Message Protocol) i LDAP; wyszukiwanie w katalogu Active Directory; potwierdzanie, że dostępna jest wystarczająca liczba serwerów katalogu globalnego; wykrywanie dostępności emulatora podstawowego kontrolera domeny (PDC) i jego reakcji. Monitoruje relacje zaufania i wykrywa problemy w tej dziedzinie między domenami Active Directory i lasami. Monitoruje problemy związane z uwierzytelnianiem użytkowników

6 6 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Scenariusz uwierzytelnianiem Usługa Net Logon Buforowanie członkostwa grupy uniwersalnej Usługi zależne Opis Active Directory i kontami między kontrolerami domeny, takie jak: problemy z hasłem do konta, awarie menedżera SAM (Security Accounts Manager), nieprawidłowe żądania, błędy usług KDC i NTLM, problemy z identyfikatorem konta, problemy z poświadczeniami użytkownika, problemy z kontami i grupami, zduplikowane konta i identyfikatory zabezpieczeń (SID). Monitoruje stan usługi Net Logon, w tym: problemy z uwierzytelnianiem komputerów, komputery ze zduplikowanymi identyfikatorami SID, niepowodzenia uwierzytelnień kont komputerów w usłudze Active Directory, kolizje nazw, problemy z podłączeniem do kontrolerów domeny Microsoft Windows NT 4.0, problemy z zarejestrowaniem przez Net Logon rekordów nazw w usłudze WINS (Windows Internet Name Service). Monitoruje problemy związane z buforowaniem członkostwa grupy uniwersalnej jest to nowa funkcja w systemie Microsoft Windows Server 2003, która umożliwia kontrolerowi domeny przetwarzanie żądań logowania użytkowników, gdy serwer katalogu globalnego jest niedostępny. Monitoruje problemy związane z dostępnością usług niezbędnych do działania usługi Active Directory, m.in.: błędy replikacji plików, błędy typu Journal wrap, błędy polityki kont komputerów, problemy z synchronizacją czasu między składnikami Active Directory, problemy i błędy związane z przetwarzaniem polityki grupowej (Group Policy), problemy z kontami komputerów,

7 Pakiet Active Directory Management Pack przegląd 7 Scenariusz Dostępność usługi Active Directory Replikacja Monitorowanie wydajności Opis problemy związane z obiektami polityki grupowej, problemy z alokacją pamięci. Monitoruje różne aspekty stanu usługi Active Directory mające wpływ na dostępność, takie jak: awarie połączeń, rozmiar bazy danych i dostępne wolne miejsce na dysku, problemy i błędy związane z katalogiem globalnym, dostępność wzorca operacji. Monitoruje problemy i błędy związane z replikacją, takie jak: błędy replikacji, niezakończenie wstępnej replikacji, powolna replikacja, problemy i błędy związane z synchronizacją, problemy z przesunięciem czasu, wykrywanie wysp replikacji, odpowiednia liczba partnerów replikacji dla kontrolerów domen. Gromadzi informacje o różnych aspektach wydajności kontrolera domeny, takie jak: liczba uwierzytelnień NTLM na sekundę, liczba uwierzytelnień Kerberos na sekundę, liczba wyszukiwań w katalogu na sekundę, liczba sesji serwera, opóźnienie replikacji, wykorzystanie procesora, czas dostępności systemu, pamięć: liczba zapisów stron na sekundę, pamięć: liczba dostępnych bajtów, pamięć: liczba zatwierdzonych bajtów, KDC: liczba żądań usługi Authentication Service (AS) na sekundę, KDC: liczba żądań usługi Ticket-Granting Service (TGS) na sekundę, LDAP: liczba wyszukiwań na sekundę,

8 8 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Scenariusz Opis LDAP: liczba operacji UDP (User Datagram Protocol) na sekundę, liczba sesji klientów LDAP, liczba zapisów LDAP na sekundę, liczba prywatnych bajtów podsystemu LSASS (Local Security Authority Subsystem), liczba uchwytów LSASS, wykorzystanie procesora przez LSASS. Definicje monitorowania stanu Pakiet Active Directory Management Pack zapewnia monitorowanie stanu zgodnie z definicjami przedstawionymi w tabeli 2. Uwaga Domyślnie pakiet Active Directory Management Pack zbiera dane z wykrywania usług co 30 minut. Zatem dane wykrywania specyficzne dla usługi Active Directory mogą nie być widoczne na konsoli operatora MOM przez maksymalnie 30 minut po zainstalowaniu pakietu. Tabela 2. Definicje monitorowania stanu w pakiecie Active Directory Management Pack Wskaźnik stanu Service Health (stan usługi) Server Health (stan serwera) Opis Określa bieżący stan usługi katalogowej Active Directory, w szczególności jej dostępność i szybkość reagowania. W celu określenia stanu usługi monitorowane są następujące parametry: sposób i szybkość reagowania wzorca operacji, sposób i szybkość reagowania serwera katalogu globalnego, liczba utraconych i znalezionych obiektów. Określa bieżący stan składników i usług działających na kontrolerze domeny. Obejmuje to sprawdzenie dostępności wszystkich istotnych usług, analizę wydajności LSASS i NTDSA oraz potwierdzenie, że kontroler domeny jest w stanie wykryć sam siebie za pomocą usługi DC Locator. Monitorowane są także: żądane usługi, miejsce w bazie danych i pliku dziennika,

9 Pakiet Active Directory Management Pack przegląd 9 Wskaźnik stanu Replication Health (stan replikacji) Widok klienta Opis wykorzystanie procesora, lokalizacja i rozgłaszanie kontrolera domeny. Określa ogólny stan replikacji katalogu Active Directory, poprzez monitorowanie stanu obiektów połączenia używanych do replikacji katalogu Active Directory między kontrolerami domeny, a także poprzez monitorowanie szybkości, z jaką odbywa się replikacja między partnerami replikacji. Określa stan usługi Active Directory od strony pakietu Client Pack dla dowolnego komputera, na którym pakiet ten jest zainstalowany. Pakiet Client Pack monitoruje po stronie klienta dostępność emulatora PDC i katalogu globalnego, a także dostępność i wydajność interfejsu. Zadania Zadania pakietu Active Directory Management Pack zwiększają możliwości administracyjne, pozwalając na zarządzanie usługą Active Directory bezpośrednio z konsoli MOM. Zadania pakietu Active Directory Management Pack, które można wykonać z konsoli MOM, opisano w tabeli 3. Tabela 3. Zadania pakietu Active Directory Management Pack 1 Zadanie Replication Summary Snapshot Service Principal Name Health Enumerate Trusts Opis Gromadzi migawki z obrazem stanu bieżącej replikacji od strony komputera docelowego, za pomocą polecenia REPADMIN /replsum. Potwierdza stan głównej nazwy usługi (SPN) na docelowych kontrolerach domeny. Zadanie to jest przydatne do diagnozowania błędów replikacji uwierzytelniania spowodowanych przez nieistniejące, zmienione lub powielone rejestracje nazw SPN, odświeżanie biletów Kerberos, uruchamianie narzędzi administratora, autoryzację użytkowników i komputerów oraz uruchamianie usługi. Wylicza relacje zaufania między domenami Active Directory. Zadania zaawansowane Active Directory Users and Computers Snap-in Otwiera przystawkę Active Directory Users and Computers na komputerze lokalnym.

10 10 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Zadanie Opis ADSI Edit DCDiag LDP NETDIAG NETDOM NLTEST REPADMIN SETSPN Otwiera konsolę ADSIEdit.mmc na komputerze lokalnym. Uruchamia program DCDiag.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. Uruchamia program LDP.exe na komputerze lokalnym. Uruchamia program Netdiag.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. Uruchamia program Netdom.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. Uruchamia program Nltest.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. Uruchamia program Repadmin.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. Uruchamia program Setspn.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. 1Wiele zadań wymienionych w tabeli wymaga użycia narzędzi pomocniczych. Narzędzia te znajdują się w katalogu Support Tools na dyskach CD z systemami operacyjnymi Microsoft Windows 2000 Server i Windows Server Raporty Raporty pakietu Active Directory Management Pack udostępniają ważne informacje dotyczące tendencji, problemów z kontami użytkowników, konfiguracją oraz dostępnością usługi na określonym poziomie. Zbieranie danych dla raportu z monitorowania replikacji katalogu Active Directory jest domyślnie wyłączone. Aby raport ten był generowany poprawnie, administrator MOM musi włączyć zbieranie danych. Informacje dotyczące sposobów włączania tego raportu znajdują się w opisach grup reguł dla zbierania danych o opóźnieniach replikacji Active Directory na źródłowych (i docelowych) kontrolerach domeny, w części poświęconej konfiguracji. W tabeli 4 opisano raporty zawierające informacje konfiguracyjne Active Directory.

11 Tabela 4. Raporty konfiguracyjne Active Directory Pakiet Active Directory Management Pack przegląd 11 Raport AD Domain Controllers (kontrolery domeny AD) AD Role Holders (właściciele ról AD) AD Replication Connection Objects (obiekty połączenia replikacji AD) AD Replication links (łącza lokacji replikacji AD) Opis Wyświetla listę wszystkich kontrolerów domeny w wybranej domenie oraz ich adresy IP i lokalizacje. Wyświetla listę komputerów, którym przypisano jedną lub więcej ról wzorca operacji lub które są serwerami katalogu globalnego. Podsumowuje topologię replikacji katalogu Active Directory, wyświetlając listę obiektów połączenia. Wskazuje na źródłowe i docelowe kontrolery domen oraz ich lokalizacje, rodzaj transportu, a także podaje informację, czy obiekty są konfigurowane ręcznie. Podsumowuje bieżącą konfigurację łącza lokalizacji replikacji dla Active Directory. W tabeli 5 opisano raport zawierający informacje o miejscu na dysku dla Active Directory. Tabela 5. Raport o miejscu na dysku dla Active Directory Raport AD DC Disk Space (miejsce na dysku kontrolera domeny AD) Opis Podsumowuje wykorzystanie miejsca na dysku przez Active Directory oraz wolne miejsce na woluminy bazy danych i dziennika. Bardzo ważne jest, aby zapewniona była wystarczająca ilość wolnego miejsca na katalog Active Directory. Raport ten służy do określania tendencji oraz przewidywania wielkości woluminów, jakie będą potrzebne przy uwzględnieniu bieżącego tempa wzrostu. W tabeli 6 opisano raporty zawierające informacje operacyjne Active Directory. Tabela 6. Raporty operacyjne Active Directory Raport AD Domain Changes (zmiany domeny AD) AD Machine Account Authentication Failures (niepowodzenia uwierzytelniania konta komputera w AD) Opis Podsumowuje istotne zmiany domeny, takie jak przeniesienie wzorca operacji emulatora PDC oraz dodawanie lub usuwanie kontrolerów domeny. Podsumowuje stacje robocze (dołączone do domeny), których nie można uwierzytelnić. Takie niepowodzenie może uniemożliwić przeprowadzenie aktualizacji polityki grupowej

12 12 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Raport AD SAM Account Errors (błędy konta menedżera SAM w AD) Opis i dystrybucję oprogramowania do komputera. Podsumowuje zdarzenia wskazujące na to, że menedżer SAM wykrył błąd. Tam, gdzie jest to możliwe, dostępne są wskazówki dotyczące naprawy. W tabeli 7 opisano raporty zawierające informacje o replikacji katalogu Active Directory. Tabela 7. Raporty dotyczące replikacji katalogu Active Directory Raport AD Replication Bandwidth (przepustowość replikacji AD) AD Replication Latency (opóźnienia replikacji AD) Opis Podsumowuje przepustowość replikacji (z kompresją danych i bez niej) przez wybrany okres. Raport ten jest przydatny do określania tendencji oraz planowania wydajności zgodnie z wymaganiami w zakresie przepustowości replikacji. Podsumowuje minimalne, średnie oraz maksymalne opóźnienia replikacji dla każdego kontekstu nazw i kontrolera domeny. Ten raport jest niezmiernie przydatny podczas weryfikowania umów SLA dotyczących replikacji zmian w domenie lub lesie. Widoki Widoki Active Directory Management Pack umożliwiają administratorom określanie zakresu informacji przekazywanych do aplikacji MOM. W tabelach 8, 9, 10, 11, 12 i 13 pokrótce opisano domyślne widoki publiczne dostępne w pakiecie Active Directory Management Pack. Tabela 8. Widoki zdarzeń Active Directory Kategoria Widok Monitorowanie od strony klienta Zdarzenia po stronie klienta Monitorowanie stanu Zdarzenia odpowiedzi podczas wyszukiwania w katalogu globalnym Active Directory Zdarzenia odpowiedzi wzorca operacji Active Directory Błędy usługi katalogowej

13 Pakiet Active Directory Management Pack przegląd 13 Kategoria Widok Zdarzenia NTDS Obiekty do wyczyszczenia po przenoszeniu między domenami Tabela 9. Widoki związane z wydajnością Active Directory Kategoria Widok Wykrywanie Liczba sesji klienta Monitorowanie stanu Baza danych usługi Active Directory Miejsce na dysku drzewa DIT/dziennika usługi Active Directory Pliki dziennika usługi Active Directory Wykorzystanie procesora na kontrolerach domeny Active Directory Czas reakcji kontrolera domeny Czas reakcji katalogu globalnego Wykorzystanie procesora przez LSASS na kontrolerach domeny Active Directory Wykorzystanie pamięci na kontrolerach domeny Active Directory Długość kolejki procesora Czas reakcji wzorca roli Monitorowanie replikacji Ruch replikacji między lokalizacjami (dane skompresowane) Opóźnienie replikacji Ruch replikacji liczba przychodzących bajtów na sekundę Ruch replikacji liczba wychodzących bajtów na sekundę Tabela 10. Widoki alarmów Active Directory Kategoria Widok Monitorowanie stanu Alarmy kontrolera domeny Active Directory Alarmy dotyczące przestarzałych obiektów Wyjątki w poziomach usług dla kontrolerów domeny Active Directory

14 14 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Tabela 11. Widoki stanu zadania Active Directory Kategoria Widok Stan zadania Zadanie Enumerate Trusts Zadanie Replication Status Snapshot Zadanie Service Principal Name Health Tabela 12. Widoki grupy komputerów Active Directory Kategoria Widok Wykrywanie Kontrolery domeny według wersji systemu operacyjnego Tabela 13. Widoki schematu Active Directory Kategoria Widok Topologia replikacji Łącza między lokalizacjami Obiekty połączenia Obiekty zerwanego połączenia Uwaga Domyślnie pakiet Active Directory Management Pack zbiera dane z wykrywania usług co 30 minut. Dlatego dane wykrywania specyficzne dla usługi Active Directory mogą nie być widoczne na konsoli operatora MOM przez maksymalnie 30 minut po zainstalowaniu pakietu. Obsługa monitorowania bez udziału agenta Pakiet Active Directory Management Pack dla MOM 2005 nie obsługuje monitorowania bez udziału agenta.

15 Konfigurowanie pakietu Active Directory Management Pack 15 Konfigurowanie pakietu Active Directory Management Pack Przed zainstalowaniem pakietu Active Directory Management Pack należy wdrożyć w swoim środowisku aplikację MOM 2005, zgodnie z najlepszymi procedurami i wskazówkami zawartymi w podręczniku wdrażania aplikacji MOM 2005, dostępnym w witrynie WWW firmy Microsoft ( Po wdrożeniu aplikacji MOM 2005 można zainstalować i skonfigurować pakiet Active Directory Management Pack do monitorowania stanu usługi Active Directory. Aby uzyskać jak najlepsze rezultaty monitorowania usługi Active Directory, zaleca się zainstalowanie również pakietów DNS Management Pack i Operating System Management Pack. Po zainstalowaniu pakietu Active Directory Management Pack i wszystkich innych zalecanych pakietów zarządzania, skonfiguruj monitorowanie usługi Active Directory w następujący sposób: Ustaw próg opóźnień replikacji między lokalizacjami. Określ kontrolery domeny do zbierania danych dotyczących opóźnień replikacji. Wykonaj wstępne szeregowanie alarmów według ich ważności. Skonfiguruj ustawienia dla powolnych łączy WAN lub instalacji w dużych oddziałach (czynność opcjonalna). Skonfiguruj komputery, na których będą działać agenci w scenariuszach z małymi uprawnieniami. W kolejnych podrozdziałach opisano procedury umożliwiające realizację tych zadań. Ustawianie wartości progowej opóźnień replikacji między lokalizacjami Maksymalna wartość progowa opóźnień replikacji między lokalizacjami jest określona przez maksymalną ilością czasu, jaki zajmuje replikacja zmiany w całym lesie. Domyślnie wartość ta jest ustawiona na 15 minut. Jeśli replikacja będzie trwać dłużej niż 15 minut, zostanie wygenerowane ostrzeżenie. Ustal wspólnie z architektem systemu, jaka jest oczekiwana maksymalna wartość progowa w waszym środowisku. Zazwyczaj wartość ta jest dokładnie monitorowana, aby zapewnić dotrzymywanie warunków umów SLA w danym przedsiębiorstwie.

16 16 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Po określeniu odpowiedniej wartości dla danego środowiska odpowiednio zmodyfikuj ustawienia. Najbardziej typowy scenariusz polega na zapewnieniu, że replikacja podstawowych procedur pomocy Help Desk takich jak resetowanie haseł z siedziby firmy do jej oddziałów odbywa się w rozsądnym czasie określonym w umowie SLA. Monitorowanie maksymalnego czasu opóźnień w lesie pozwala również zapewnić, że wszystkie kontrolery domeny otrzymują aktualizacje. Nieodebranie aktualizacji we właściwym czasie nawet przez jeden kontroler domeny może mieć istotne negatywne skutki. Jeśli często odbierasz alarmy generowane przez skrypt AD Replication Monitoring, to prawdopodobnie nie są dotrzymywane warunki umowy SLA. Najczęstszą przyczyną tego problemu są nieprawidłowo ustawione harmonogramy w poszczególnych lokalizacjach. Jeśli w przedsiębiorstwie obowiązuje umowa SLA, ustaw maksymalną wartość progową opóźnienia replikacji między lokalizacjami na jedną trzecią wartości ustalonej w umowie SLA (w minutach) albo na maksymalny oczekiwany czas replikacji danych w całym lesie, w zależności od tego, która wartość jest mniejsza. Jeśli w przedsiębiorstwie nie obowiązuje umowa SLA, ustaw maksymalną wartość progową opóźnienia replikacji między lokalizacjami na maksymalny oczekiwany czas replikacji danych w całym lesie. Ustawianie progu opóźnień replikacji między lokalizacjami 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs, dwukrotnie kliknij Rule Groups, dwukrotnie kliknij Microsoft Windows Active Directory (enabled), dwukrotnie kliknij Active Directory Windows 2000 and Windows Server 2003 (enabled), a następnie dwukrotnie kliknij Active Directory Availability (enabled). 2. Kliknij Event Rules. 3. W prawym panelu dwukrotnie kliknij Script - AD Replication Monitoring. 4. Na zakładce Responses kliknij skrypt o nazwie AD Replication Monitoring, a następnie Edit. 5. W części Script parameters dwukrotnie kliknij IntersiteExpectedMaxLatency. 6. W polu Value wpisz wartość (w minutach) maksymalnego oczekiwanego opóźnienia replikacji między kontrolerami domeny. 7. Kliknij OK. 8. W oknie dialogowym Launch a Script kliknij OK. 9. W oknie dialogowym Event Rule Properties kliknij OK. 10. W lewym panelu kliknij prawym przyciskiem myszy pozycję Management Packs, a następnie Commit Configuration Change.

17 Konfigurowanie pakietu Active Directory Management Pack 17 Określanie kontrolerów domeny do gromadzenia danych o opóźnieniach replikacji Aby uzyskać szczegółową analizę tendencji, należy do pakietu Active Directory Management Pack dodać nazwy kontrolerów domeny, dla których mają być zbierane dane o opóźnieniach replikacji. Określenie nazw kontrolerów domeny jest bardzo przydatne do tworzenia wykresów wydajności replikacji między newralgicznymi kontrolerami domeny; jest również konieczne do uzyskania raportu o opóźnieniach replikacji katalogu Active Directory. Należy podać zarówno źródłowe, jak i docelowe kontrolery domeny, dla których mają być zbierane dane. Dane te są zbierane tylko dla replikacji ze wszystkich źródłowych kontrolerów domeny do każdego docelowego kontrolera domeny. Uwaga Ilość danych dotyczących opóźnień replikacji, zbieranych w celu szczegółowej analizy tendencji, może być bardzo duża. Liczba takich kolekcji danych w przybliżeniu odpowiada podanej liczbie źródłowych kontrolerów domeny pomnożonej przez liczbę docelowych kontrolerów domeny. Na przykład, jeśli określimy 10 źródłowych kontrolerów domeny i 10 docelowych kontrolerów domeny, otrzymamy około 100 kolekcji danych na jeden przedział czasu. Określanie kontrolerów domeny do zbierania danych o opóźnieniach replikacji 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs a następnie dwukrotnie kliknij Computer Groups. 2. W prawym panelu kliknij prawym przyciskiem myszy Active Directory Replication Latency Data Collection Sources, a następnie wybierz opcję Properties. 3. Na zakładce Included Computers wybierz kontrolery domeny, dla których chcesz śledzić dane o opóźnieniach replikacji, a następnie kliknij OK. 4. Kliknij prawym przyciskiem myszy Active Directory Replication Latency Data Collection - Targets, a następnie wybierz opcję Properties. 5. Na zakładce Included Computers wybierz kontrolery domeny, dla których chcesz śledzić dane o opóźnieniach replikacji, a następnie kliknij OK. 6. W lewym panelu kliknij prawym przyciskiem myszy Management Packs, a następnie Commit Configuration Change.

18 18 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Uwaga Rozpoczęcie procesu zbierania danych może nastąpić po maksymalnie 24 godzinach. Wstępne szeregowanie alarmów Po skonfigurowaniu pakietu Active Directory Management Pack pozwól działać skryptom przez 24 godziny. (Niektóre skrypty działają w czasie rzeczywistym, inne w zaplanowanych odstępach czasu, maksymalnie 24 godziny). Liczba i poziom istotności alarmów generowanych w ciągu pierwszych 24 godzin zależy od ustawionych wartości progowych, liczby kontrolerów domeny działających w danym środowisku oraz wszelkich istniejących problemów w implementacji usługi Active Directory. Po 24 godzinach uszereguj alarmy wygenerowane przez skrypty pakietu Active Directory Management Pack według ich ważności. Pozwoli to określić krytyczne problemy i natychmiast je rozwiązać. Pomoże to także zmniejszyć ilość szumu (niepotrzebnych alarmów) generowanego przez kontrolery domeny, sieć WAN i system MOM, a przez to ułatwi utrzymanie sprawności środowiska Active Directory. Wstępne szeregowanie alarmów po skonfigurowaniu pakietu Active Directory Management Pack 1. Otwórz konsolę operatora Microsoft Operations Manager 2005 i wyświetl wszystkie alarmy wygenerowane w ciągu ostatnich 24 godzin. 2. Przeglądaj alarmy w kolejności ich istotności (błędy krytyczne, błędy, ostrzeżenia i alarmy informacyjne). Każdy alarm zawiera dodatkowe informacje pomocne w jego rozstrzygnięciu. Ważne Jeśli znajdziesz błędy wykazane przez skrypt AD Essential Services, zajmij się nimi w pierwszej kolejności. Błędy te oznaczają, że nie działa co najmniej jedna usługa, od której zależy funkcjonowanie Active Directory. 3. Zajmij się alarmami, które generują najwięcej szumu na kontrolerach domeny, w sieci WAN i w systemie MOM; wykonaj następujące czynności: a. W menu Go kliknij Open Reporting Console. b. Kliknij raport Operational Health Analysis.

19 Konfigurowanie pakietu Active Directory Management Pack 19 c. Kliknij raport Most Common Events by Computer. d. Na liście rozwijanej Computer kliknij wybrany komputer, a następnie kliknij View Report. e. Przeanalizuj raport i zajmij się wszystkimi zdarzeniami, dla których wartość w kolumnie Activity % przekracza 5%. f. U góry ekranu kliknij Operational Health Analysis i powtórz kroki d oraz e dla raportu Most Common Alerts by Alarm Count. Konfigurowanie ustawień dla powolnych łączy WAN lub instalacji w dużych oddziałach W kilku scenariuszach wdrożeń można zdecydować się na to, by nie zbierać ostrzeżeń, danych o wydajności i informacji o różnych zdarzeniach niekrytycznych. Są to następujące scenariusze: instalacje z bardzo powolnymi łączami WAN, instalacje w dużych oddziałach, instalacje wykorzystujące łącza satelitarne, instalacje, w których alarmy są przekazywane do globalnego sieciowego centrum operacyjnego, scenariusze, w których ostrzeżenia i komunikaty informacyjne nie są potrzebne. Wdrażając pakiet Active Directory Management Pack w ramach dowolnego z powyższych scenariuszy, można wyłączyć pewne dane o wydajności, aby zmniejszyć ruch w sieci. Uwaga Niektóre raporty pakietu Active Directory Management Pack nie będą działać, jeśli zbieranie danych o wydajności jest wyłączone. Wyłączanie zbierania danych o wydajności 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs, dwukrotnie kliknij Rule Groups, dwukrotnie kliknij Microsoft Windows Active Directory (enabled), a następnie dwukrotnie kliknij Active Directory Windows 2000 and Windows Server 2003 (enabled). 2. W lewym panelu kliknij prawym przyciskiem myszy Reporting Rules for Active Directory, a następnie kliknij opcję Properties.

20 20 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager Na zakładce General usuń zaznaczenie z pola wyboru Enabled i kliknij OK. 4. W lewym panelu dwukrotnie kliknij Active Directory Windows 2000 (enabled). 5. W lewym panelu kliknij prawym przyciskiem myszy Reporting Rules for Active Directory, a następnie kliknij opcję Properties. 6. Na zakładce General usuń zaznaczenie z pola wyboru Enabled i kliknij OK. 7. W lewym panelu kliknij prawym przyciskiem myszy Management Packs, a następnie Commit Configuration Change. Konfigurowanie komputerów z agentami do pracy w scenariuszach z małymi uprawnieniami Funkcje monitorowania na komputerze z zainstalowanym agentem są dostępne za pośrednictwem zarówno usługi MOM Service (MOMService.exe), jak i konta Action Account. W systemie Windows 2000 Server konto Action Account musi być członkiem lokalnej grupy administratorów. W systemie Windows Server 2003 można w pewnych okolicznościach jako konta Action Account dla agenta użyć konta o małych uprawnieniach. Jednak skonfigurowanie konta Action Account z niezbędnymi uprawnieniami do uruchamiania funkcji pakietu Active Directory Management Pack wymaga znacznej ilości ręcznych czynności konfiguracyjnych na komputerze z agentem. W systemie Windows Server 2003 konto Action Account musi mieć co najmniej następujące uprawnienia: członkostwo w grupie użytkowników lokalnych (Local Users Group), członkostwo w grupie użytkowników lokalnego monitorowania wydajności (Local Performance Monitor Users Group), dostęp do dzienników zdarzeń Windows, uprawnienie do zarządzania dziennikiem audytów i bezpieczeństwa (SeSecurityPrivilege), uprawnienie do generowania audytów zabezpieczeń (SeAuditPrivilege), możliwość lokalnego logowania się (SeInteractiveLogonRight). W scenariuszu z małymi uprawnieniami pakiet Active Directory Management Pack wymaga, aby konto używane jako Action Account oraz kontekst usługi, z którym działa MOM Service, miały dodatkowe uprawnienia. W tabeli 14 opisano typy dostępu, które należy skonfigurować ręcznie.