Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Server 2003 Администрирование Наблюдение за службой каталогов Active Directory с помощью MOM RSS

Наблюдение за службой каталогов Active Directory с помощью MOM

Текущий рейтинг: 3.33 (проголосовало 12)
 Посетителей: 7579 | Просмотров: 10662 (сегодня 0)  Шрифт: - +

Пакеты управления являются источником силы Microsoft Operations Manager (MOM) 2005 и тем, что отличает этот набор программ от других продуктов для управления. В MOM пакеты управления используются для объединения правил, отчетов, заданий и представлений, а также для ограничения сферы их применения конкретным приложениемили службой, например службой Active Directory. Группы разработки продуктов корпорации Майкрософт создают для разрабатываемых ими приложений пакеты управления, благодаря чему MOM отражает глубокое знание своего продукта каждой из групп. Более того, пакеты управления можно настраивать, чтобы они соответствовали конкретной ИТ-среде. При этом пользователь получает правила, осуществляющие наблюдение за продуктом и управление продуктом, основанные на среде конкретных серверов и приложений.

Существует не только специальный пакет управления для службы Active Directory®, но также множество пакетов управления для оценки работоспособности других служб каталогов, начиная с пакета управления базовой операционной системой Windows Server® и заканчивая пакетами управления службами DHCP (Dynamic Host Configuration Protocol — протокол динамической настройки узлов), DNS и FRS (File Replication Service — служба репликации файлов). Давайте подробно рассмотрим эти пакеты управления для лучшего понимания сквозного управления службой Active Directory, ставшего возможным благодаря MOM.


Пакет управления службой DHCP

Пакет управления службой DHCP осуществляет наблюдение за этой службой, работающей на компьютере под управлением ОС Windows NT®, Windows® 2000 или Windows Server 2003. Такое наблюдение полезно для отслеживания случаев возникновения у клиентов проблем с подключением к сети. Указанный пакет также позволяет получать предупреждения о работе в среде мошеннических (несанкционированных) серверов DHCP. Загружаемый с сервера пакет, содержащий данный пакет управления, включает руководство, в котором изложено описание правил и отчетов, а также вариантов наблюдения и процедуры развертывания. Большое количество дополнительной документации и руководств можно найти на веб-узле TechNet, посвященном MOM 2005 (microsoft.com/technet/prodtechnol/mom/mom2005).

Чем новее система Windows, на которой работает служба DHCP, тем больше инструментов и функций предоставляет MOM 2005 для управления ею. Следовательно, о сервере DHCP системы Windows Server 2003 можно получить больше информации, чем о сервере DHCP системы Windows NT. Например, для сервера DHCP, работающего на компьютере под управлением системы Windows Server 2003, возможно наблюдение за его суперобластями, в то время как для сервера DHCP системы Windows 2000 пакет управления службой DHCP осуществляет наблюдение только за обычными областями. Существует возможность исключить часть областей из числа тех, за которыми ведется наблюдение, поместив подлежащие исключению области в качестве параметра в сценарий наблюдения.

Как отмечалось раньше, пакет управления службой DHCP поддерживает серверы DHCP, работающие на компьютерах под управлением систем Windows NT, Windows 2000 Server или Windows Server 2003. Группы компьютеров заполняются посредством формул, в которых используются версия операционной системы и информация о наличии на сервере службы DHCP.

Пакет управления службой DHCP не поддерживает конфигурации с малым объемом прав. Учетная запись действия агента должна входить в локальную группу «Администраторы». Наблюдение без использования агента также поддерживается, но задания в конфигурации без использования агента не поддерживаются. На рис. 1 перечислены отчеты, которые можно получить с помощью пакета управления службой DHCP.

Рис. 1  Отчеты службы DHCP

Все серверы службы DHCP
Все уполномоченные серверы службы DHCP
Журнал производительности — длина активной очереди
Журнал производительности — длина очереди проверки конфликтов
Журнал производительности — отклонений в секунду
Журнал производительности — обнаружений в секунду
Журнал производительности — миллисекунд на пакет (средн.)
Журнал производительности — отрицательных подтверждений в секунду
Журнал производительности — свободные адреса области
Журнал производительности — задействованные адреса области
Журнал производительности — свободные адреса суперобласти
Журнал производительности — задействованные адреса суперобласти

Пакет управления службой DHCP можно загрузить по адресу go.microsoft.com/fwlink/?LinkId=79527.


Пакет управления службой DNS

Пакет управления службой DNS осуществляет наблюдение за этой службой, работающей на компьютере под управлением ОС Windows 2000 Server или Windows Server 2003. Так как эта служба является неотъемлемой частью, обеспечивающей работоспособность существующей службы Active Directory в целом, наблюдение за службой DNS с помощью MOM 2005 является очень важной задачей. Пакет управления этой службой позволяет отслеживать проблемы с разрешением имен, проблемы, связанные с базой данных, проблемы с реестром, события и ошибки среды выполнения, а также вести наблюдение за счетчиками, связанными с производительностью.

Для системы Windows 2000 Server должен быть установлен поставщик DNS инструментария управления Windows (WMI). В частности, это позволяет пакету управления службой DNS запрашивать у пространства имен WMI DNS информацию и тестировать его.

Все группы компьютеров заполняются посредством формул, в которых для определения членства в группах используются версия операционной системы и информация о наличии на сервере службы DNS. Пакет управления службой DNS поддерживает работу с малым объемом прав только для ОС Windows Server 2003. В системе Windows 2000 учетная запись действия должна входить в локальную группу «Администраторы». В системе Windows Server 2003 учетная запись действия должна входить в локальные группы «Пользователи» и «Пользователи системного монитора». Кроме того, учетная запись действия должна иметь права: «Управлять аудитом и журналом безопасности» (SeSecurityPrivilege) и «Разрешить локальный вход в систему» (SeInteractiveLogonRight). На рис. 2 приведены отчеты, которые можно получить с помощью пакета управления службой DNS.

Рис. 2  Отчеты службы DNS

Все серверы службы DNS системы Windows
Все серверы службы DNS системы Windows, по зонам
Все зоны службы DNS системы Windows, по серверам

Маркус Ох (Marcus Oh) имеющий статус MVP по серверу Microsoft® Systems Management Server (SMS), разработал сценарий, тестирующий сервер DNS путем вызова программы nslookup для проверки способности сервера DNS разрешать имена. Уделите время просмотру публикаций его блога, размещенного по адресу marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html; у вас появится желание включить этот сценарий в свою службу управления службой DNS.

Пакет управления службой DNS можно загрузить по адресу go.microsoft.com/fwlink/?LinkId=79528.


Пакет управления службой FRS

Пакет управления службой репликации файлов корпорации Майкрософт осуществляет наблюдение за службой FRS, работающей на компьютере под управлением ОС Windows 2000 или Windows Server 2003. Эта служба используется контроллерами доменов для осуществления репликации сценариев входа и информации групповой политики. Пакет управления службой FRS подробно отслеживает работоспособность службы на каждом контроллере домена.

Пакет управления службой FRS использует средство Ultrasound, которое можно получить на веб-узле go.microsoft.com/fwlink/?LinkId=79529. Средство Ultrasound создает для службы FRS на каждом контроллере домена пространство имен WMI. Обратите внимание, что средство Ultrasound нуждается в базе данных и будет хранить информацию по каждому пространству имен WMI на каждом контроллере домена для наблюдения за работоспособностью. Используя информацию средства Ultrasound, пакет управления службой FRS обеспечивает наблюдение за наборами репликации, членами, соединениями, самой службой FRS и службой контроллера Ultrasound.

Фактически средство Ultrasound необходимо установить на отдельный сервер, а не на сервер управления. Правила средства Ultrasound генерируют события и предупреждения для других компьютеров. Чтобы эти правила корректно обрабатывали данные, необходимо включить использование агента-посредника на консоли администратора MOM каждого сервера, на котором запущено средство Ultrasound. На рис. 3 приведены четыре отчета службы, которые можно получить с помощью пакета управления службой FRS.

Рис. 3  Отчеты службы FRS

Средство Ultrasound — часто обнаруживаемые проблемы — наиболее проблематичные соединения
Средство Ultrasound — часто обнаруживаемые проблемы — наиболее проблематичные участники
Средство Ultrasound — часто обнаруживаемые проблемы — наиболее проблематичный набор репликации
Средство Ultrasound — часто обнаруживаемые проблемы — сводка

Группы компьютеров, связанные с этим пакетом управления, включают серверы Microsoft Ultrasound 1.0 и серверы FRS, работающие на компьютерах под управлением ОС Windows 2000 Server или Windows Server 2003. Все группы компьютеров заполняются посредством формул, в которых для определения членства в группах используются версия операционной системы и информация о наличии на сервере службы FRS. Группа Ultrasound Servers (серверы Ultrasound) заполняется при установке на сервере средства Ultrasound.

При настройке пакета управления службой FRS для малого объема прав, задания не работают, но остальные функции пакета управления поддерживаются. Учетная запись действия должна иметь право доступа к базе данных средства Ultrasound для чтения и право запуска выполнения хранимой процедуры GetControllerStatusForMOM001. Пакет управления службы FRS включает поддержку наблюдения за компьютерами без агентов, а также за компьютерами, управляемыми агентами.

Пакет управления службой FRS можно загрузить по адресу go.microsoft.com/fwlink/?LinkId=79530.


Пакет управления системой Windows Server

Пакет управления базовой операционной системой Windows осуществляет наблюдение за системами Windows NT 4.0 Server, Windows 2000 Server и Windows Server 2003. Пакет управления базовой системой предоставляет отчеты о работоспособности операционной системы контроллерам доменов, а также осуществляет наблюдение за корневыми службами системы. Он предоставляет информацию о состоянии основных служб системы Windows, показателях работы памяти и процессоров, а также о свободном дисковом пространстве и задержке ответа дисков. Существует некоторое наложение правил наблюдения этого пакета управления и других пакетов управления, рассматриваемых в этой статье, но данный пакет обеспечивает отличное восходящее представление работоспособности контроллера домена.

На рис. 4 показаны отчеты, которые можно получить с помощью пакета управления базовой системой. Как и в случае других пакетов управления, все группы компьютеров заполняются посредством формул, в которых используется версия операционной системы.

Рис. 4  Отчеты базовой операционной системы

Анализ показателей работы дисков
Конфигурация операционной системы
Производительность операционной системы
Выключение операционной системы, по событиям
Выключение операционной системы, по серверам
Конфигурация средств хранения операционной системы
Установка программного обеспечения и приложений, по приложениям
Установка программного обеспечения и приложений, по экземплярам
Установка программного обеспечения и приложений, по серверам
Надежность — выход из строя приложений, по приложениям
Надежность — выход из строя приложений, по компьютерам
Надежность — выход из строя приложений, по событиям
Надежность — сбои операционной системы, по компьютерам
Надежность — сбои операционной системы, по событиям
Надежность — сбои операционной системы, по коду останова
Журнал производительности — журнал производительности
Журнал производительности — дополнительные отчеты

При настройке пакета управления базовой системой для работы с малым объемом прав система Windows 2000 требует, чтобы учетная запись действия входила в локальную группу «Администраторы». Для системы Windows Server 2003 необходимо, чтобы учетная запись действия входила в локальную группу «Пользователи» и «Пользователи системного монитора», а также имела права: «Управлять аудитом и журналом безопасности» (SeSecurityPrivilege) и «Разрешить локальный вход в систему» (SeInteractiveLog-onRight). Большая часть функций пакета управления основной системой, кроме заданий, поддерживаются на компьютерах без агента, за которыми ведется наблюдение.

Пакет управления основной системой можно загрузить по адресу go.microsoft.com/fwlink/?LinkId=79531.


Пакет управления службой Active Directory

Пакет управления службой Active Directory является очень обширным, и его правила применимы как к системе Windows 2000 Server, так и системе Windows Server 2003. Пакет охватывает следующие пять областей правил: наблюдение со стороны клиентов, наблюдение за довериями, наблюдение за репликацией и обнаружение топологии, а также правила, применимые к операционным системам Windows 2000 Server и Windows Server 2003. Как отмечалось выше, более новые версии системы Windows позволяют использовать больше инструментов и, следовательно, позволяют осуществлять дополнительное наблюдение. Например, пакет управления поддерживает наблюдение за довериями для системы Windows Server 2003, а для системы Windows 2000 эта функция не действует.

Пакет управления службой Active Directory создает несколько групп, используемых им для применения правил к конкретным компьютерам. Для правил наблюдения со стороны клиентов используется группа, называемая Active Directory Client Side Monitoring (наблюдение за службой Active Directory со стороны клиентов). В эту группу следует включить компьютеры, на которых установлен агент MOM, чтобы осуществлять наблюдение и управлять этими правилами. Я поместил в эту группу несколько настольных компьютеров, на которых установлен лицензированный агент, а также несколько серверов Exchange. Сервер Exchange Server использует службу Active Directory очень активно и будет первым показателем развития проблемы. Входящие в эту группу настольные компьютеры помогают оценить ощущение конечного пользователя при пользовании службой. Правилами наблюдения со стороны клиентов используются сценарии, позволяющие испытывать возможность подключения к контроллерам доменов, обращаться к ним с запросами по протоколу LDAP и выдавать сообщения об ошибках. Важно отметить, что правила наблюдения со стороны клиентов могут применяться только к управляемым агентами компьютерам, на которых включено использование посредников, но которые не являются контроллерами доменов.

Правилами наблюдения за довериями используется группа, называемая Active Directory Trust Monitoring (наблюдение за довериями службы Active Directory). Для проверки доверий в эту группу будут помещены компьютеры под управлением системы Windows Servers 2003. Для наблюдения за довериями система Windows Server 2003 имеет пространство имен WMI. Для обращения с запросами к пространству имен WMI эти правила используют сценарий. Эти правила предупреждают об обнаружении ошибок в доверии с другими трастами.

Существует множество правил пакета управления службой Active Directory, которые применимы либо к системе Windows 2000 Server, либо к системе Windows Server 2003. Эти правила описывают различия в организации службы Active Directory в этих двух операционных системах. Однако большая часть пакета управления службой Active Directory состоит из комбинированных правил, предназначенных для обеих операционных систем. Некоторые из этих правил включают сценарии для тестирования связи между контроллерами доменов, проверки текущих владельцев ролей FSMO, размера базы данных дерева информации о каталогах, проверки правильности обработки групповой политики, контроля средства KCC (Knowledge Consistency Checker — средство проверки согласованности знаний) и проверки службы обмена сообщениями между узлами (Intersite Messaging).

Наблюдение за репликацией является центральной частью пакета управления службой Active Directory. Две группы: Active Directory Replication Latency Data Collection — Sources и Active Directory Replication Latency Data Collection — Targets существуют для выполнения настройки контроллеров доменов, использующихся только для составления отчетов по наблюдению за репликацией. Задержка репликации вычисляется для каждого члена групп сбора данных. В счетчики производительности заносится время, которое уходит на репликацию обновлений на каждый из членов групп. Рассчитывается задержка репликации в рамках всего предприятия, и в случае если ее значение превышает установленные пороговые значения, об этом выдаются сообщения (генерируются предупреждения). Обратите внимание, что на сервер Windows 2000 Server для наблюдения за репликацией должно быть установлено пространство имен WMI.

Обнаружение топологии, включенное в пакет управления службой Active, используется для построения диаграмм реализации сети. Эти полезные схемы могут быть экспортированы в приложение Microsoft Office Visio®. Эти диаграммы строятся MOM в реальном времени, поэтому за несколько секунд можно создать соответствующую данному моменту версию.

В Diagram Views (представления диаграмм) консоли оператора MOM 2005 находятся три диаграммы пакета управления службой Active Directory. На диаграмме Broken Connection Objects (объекты нарушенных соединений) (см. рис. 5) показываются соединения, которые находятся в состоянии ошибки. Эта диаграмма может быть пустой, если ошибок соединений не существует.

Рис. 5. На представлении диаграммы нарушенные соединения выделены
Рис. 5. На представлении диаграммы нарушенные соединения выделены

На диаграмме Connection Objects (объекты соединений) выделяются соединения между контроллерами доменов. На диаграмме Site Links (каналы связи узлов) показан каждый узел службы Active Directory, включая соответствующие контроллеры доменов этого узла и соединяющие узлы каналы связи.

Так как созданные MOM для этих представлений диаграммы являются динамическими, их можно экспортировать в Visio, где их будет несложно отредактировать и настроить. Например, на рис. 6 показана диаграмма Site Links (каналы связи узлов), отредактированная в Visio.

Рис. 6. Редактирование диаграммы Site Links в Visio
Рис. 6. Редактирование диаграммы Site Links в Visio <

На рис. 7 приведены отчеты, которые можно получить с помощью пакета управления службой Active Directory.

Рис. 7  Отчеты службы каталогов Active Directory

Контроллер домена службы AD
Владельцы ролей службы AD
Объекты соединений репликации службы AD
Каналы связи узлов репликации службы AD
Дисковое пространство контроллеров доменов службы AD
Изменения доменов службы AD
Ошибки при проверке подлинности учетной записи компьютера службы AD
Пропускная способность репликации службы AD
Задержка репликации службы AD

Связанные с этим пакетом управления группы компьютеров показаны на рис. 8. Как видите, группы компьютеров службы Active Directory заполняются путем явного включения в группы; группы компьютеров Windows заполняются в соответствии с версией операционной системы и в зависимости от того, является ли машина контроллером домена.

Рис. 8  Группы компьютеров

Наблюдение за службой Active Directory со стороны клиентов
Данные о задержках репликации службы Active Directory
Сбор — источники
Данные о задержках репликации службы Active Directory
Сбор — цели
Наблюдение за довериями службы Active Directory
Контроллеры доменов системы Windows 2000 Server
Контроллеры доменов системы Windows Server 2003

На контроллерах доменов под управлением ОС Windows Server 2003 пакет управления службой Active Directory может быть настроен для работы с малым объемом прав. Этот пакет управления не поддерживает осуществление наблюдения без наличия агентов. В системе Windows 2000 Server учетная запись действия агента должна входить в группу «Администраторы домена» или локальную группу «Администраторы». Для работы с малым объемом прав учетная запись действия агента на контроллерах доменов под управлением системы Windows Server 2003 должна иметь дополнительные разрешения, включая членство в группе «Пользователи» и «Пользователи системного монитора», доступ к журналам регистрации событий и наличие прав «Управлять аудитом и журналом безопасности» (SeSecurityPrivilege), «Создание журналов безопасности» (SeAuditPrivilege) и «Разрешить локальный вход в систему» (SeInteractiveLog-onRight). Кроме того, необходим следующий доступ: полный доступ к контейнеру CN=MomLatencyMonitors службы Active Directory для наблюдения за репликацией, доступ для чтения к каталогам, содержащим базу данных NTDS.dit, файлы журналов, и доступ для чтения к следующему разделу реестра:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

При осуществлении наблюдения за довериями в системе Windows Server 2003 необходимо обратить внимание на то, что для выполнения сценария AD Monitor Trusts требуется вхождение учетной записи действия агента в группу «Администраторы домена» или «Администраторы».

Пакет управления службой Active Directory можно загрузить по адресу go.microsoft.com/fwlink/?LinkId=79540.

Настройка MOM для службы Active Directory

Пакет управления службой Active Directory должен быть настроен, иначе предупреждения будут постоянно заполнять консоль. Самым неспокойным временем для пакета управления службой Active Directory является момент, когда происходит перезапуск контроллера домена — кажется, что запускаются все возможные предупреждения. Плохое известие заключается в том, что это непросто остановить. Для управления предупреждениями во время запланированных периодов осуществления технического обслуживания лучше всего использовать режим обслуживания MOM. Задача режима обслуживания состоит в автоматическом разрешении предупреждений для контроллеров доменов, чтобы консоль не заполнялась.

Не забудьте настроить группу Active Directory Client Side Monitoring (наблюдение за службой Active Directory со стороны клиентов), включив в эту группу клиентские компьютеры и соответствующие серверы. Связанные с этой группой правила помогут определить работоспособность FSMO и возможность подключения к ним.

Существуют правила в отношении производительности, которые используют пороговые значения для привязки к FSMO с применением LDAP, PING и DNS для проверки возможности подключения. Эти правила располагаются в касающихся производительности правилах Active Directory Availability (доступность службы Active Directory). Используемые этими правилами пороговые значения можно настроить, определив серьезность предупреждений. Например, привязки FSMO используют значения атрибутов, которые выражены в секундах. Касающиеся производительности правила для каждой роли FSMO используют эту методику создания предупреждений.

Важно понимать, как работают настройки Alert Severity Calculation (вычисление серьезности предупреждения) для State Rule (правило, касающееся состояния). В этом диалоговом окне для значения атрибута используются условия конструкции If-Else и задается соответствующая серьезность тревоги (см. рис. 9). Когда роль собирает данные счетчика Last Bind, созданного сценарием AD Op Master Response, она проверяет их, сравнивая с условными пороговыми значениями, заданными этими правилами. Необходимо настроить для среды эти различные уровни предупреждений.

Рис. 9. Настройка правил серьезности предупреждений
Рис. 9. Настройка правил серьезности предупреждений

Не забудьте о расписании выполнения репликации для каждого контроллера домена. Если какой-либо определенный контроллер домена имеет расписание, отличающееся от расписаний других контроллеров доменов, то это исказит результаты задержки репликации и приведет к установлению более высоких пороговых значений. Параметры сценариев репликации следует устанавливать в соответствии с потребностями каждой конкретной среды. Важно отметить, что при отключении контроллера домена или возникновении на нем проблем с репликацией каждый другой контроллер домена этих групп может сообщить о сбое репликации на этом контроллере домена, даже если он и не является его непосредственным партнером по репликации. Следовательно, даже при переводе являющегося причиной неполадок контроллера домена в режим обслуживания другие контроллеры доменов могут сообщать о сбоях репликации.

В случае наблюдения за репликацией на настройку пакета управления службой Active Directory необходимо потратить больше всего усилий. Необходимо запустить пакет управления в своей среде на пару недель, чтобы увидеть, как он выдает предупреждения. Если вы увидите, что некоторые тенденции развиваются, то с помощью отчетов определите граничные значения задержек и соответствующим образом настройте пороговые значения.

И наконец, следует воспользоваться указаниями, приведенными в статье Alert Tuning Solution Accelerator (на английском языке).


Взгляд в будущее

Программы MOM 2005 и пакет управления службой Active Directory позволяют эффективно и действенно наблюдать за реализацией службы Active Directory организации. С помощью пакетов управления службами Active Directory, DHCP, DNS, FRS и основной системой Windows Server можно лучше отслеживать большую часть аспектов инфраструктуры, защищая работоспособность и благополучие инфраструктуры службы Active Directory, а также пользователей. Используя большое количество данных, собранных в хранилище данных отчетов, можно выполнить анализ производительности и данных о событиях, чтобы помочь в планировании необходимых мощностей и отслеживании тенденций, касающихся производительности.

Чтобы найти описанные в этой статье пакеты управления, а также многие другие пакеты, см. каталог Management Pack Catalog (на английском языке).

В следующее обновление пакета управления службой Active Directory будет включен обычный набор исправлений и подстроек нескольких пороговых значений. Больший интерес представляют новые функции, которые планируется включить в следующий выпуск этого продукта, называемый System Center Operations Manager 2007, включая возможность осуществлять наблюдение за несколькими лесами из одной группы настройки, определять группы контроллеров доменов (каждая из которых будет иметь свою предполагаемую задержку репликации между другими группами) и вести наблюдение за контроллерами доменов, работающими на следующей версии системы Window Server. Подробности см. на веб-узле microsoft.com/mom, посвященном программам MOM.

Автор: Джон Ханн (John Hann)  •  Иcточник: TechNet Magazine  •  Опубликована: 06.02.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.