Pakiet Microsoft Active Directory Management Pack Podręcznik
Transkrypt
Pakiet Microsoft Active Directory Management Pack Podręcznik
Pakiet Microsoft Active Directory Management Pack Podręcznik Active Directory Management Pack dla Microsoft Operations Manager 2005 Kierownik programu: Mas Libman Autor: Shala Brandolini Data publikacji: sierpień 2004 r. Dotyczy: Microsoft Operations Manager 2005 Wersja dokumentu: Wersja 1.0 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Podziękowania Recenzenci techniczni: Mas Libman, Andrew Strachan, Ryan Johnson Redaktor: Jim Becker Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Spis treści Pakiet Active Directory Management Pack — przegląd.................................................4 Nowe funkcje w pakiecie Active Directory Management Pack dla MOM 2005 5 Scenariusze monitorowania 5 Definicje monitorowania stanu 8 Zadania 9 Raporty 10 Widoki 12 Obsługa monitorowania bez udziału agenta 14 Konfigurowanie pakietu Active Directory Management Pack ................................... 15 Ustawianie wartości progowej opóźnień replikacji między lokalizacjami 15 Określanie kontrolerów domeny do gromadzenia danych o opóźnieniach replikacji Wstępne szeregowanie alarmów Konfigurowanie ustawień dla powolnych łączy WAN lub instalacji w dużych oddziałach Konfigurowanie komputerów z agentami do pracy w scenariuszach z małymi uprawnieniami 17 18 19 20 Działanie pakietu Active Directory Management Pack .............................................. 23 Operacje codzienne 23 Operacje cotygodniowe Operacje comiesięczne Inne typowe operacje na pakiecie Active Directory Management Pack 24 25 25 Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 4 Pakiet Microsoft Active Directory Management Pack — Podręcznik Active Directory Management Pack dla Microsoft Operations Manager 2005 Pakiet Active Directory Management Pack — przegląd Pakiet Active Directory Management Pack do oprogramowania Microsoft Operations Manager (MOM) 2005 zawiera predefiniowany, gotowy do pracy zestaw reguł przetwarzania, skryptów monitorujących oraz raportów przeznaczonych do monitorowania wydajności i dostępności usługi katalogowej Active Directory®. Pakiet ten monitoruje zdarzenia rejestrowane w dziennikach zdarzeń aplikacji, systemu i usługi katalogowej przez różne składniki i podsystemy Active Directory. Monitoruje także ogólny stan usługi Active Directory i wysyła alarmy o krytycznych problemach z wydajnością. W podręczniku tym podano informacje o najbardziej typowych scenariuszach monitorowania usługi Active Directory, definicje monitorowania stanu oraz opisy zadań, raportów i widoków. Podręcznik zawiera też instrukcje dotyczące wdrażania i obsługi pakietu Active Directory Management Pack. Pakiet Active Directory Management Pack stanowi całościowe rozwiązanie do monitorowania usługi Active Directory poprzez: • monitorowanie wszystkich aspektów działania usługi Active Directory; • monitorowanie stanu istotnych procesów, od których zależy działanie usługi Active Directory, takich jak replikacja, protokół LDAP (Lightweight Directory Access Protocol), DC Locator, domeny zaufane oraz usługi Net Logon, FRS (File Replication Service), Intersite Messaging, Windows Time i KDC (Key Distribution Center); • monitorowanie dostępności usługi; • gromadzenie kluczowych danych dotyczących wydajności; • dostarczanie wszechstronnych raportów, m.in. dotyczących dostępności usługi i jej stanu oraz raportów przydatnych podczas planowania wydajności. Wykrywając krytyczne zdarzenia i generując związane z nimi alarmy, pakiet Active Directory Management Pack ułatwia wskazywanie i usuwanie przyczyn ewentualnych przestojów usługi Active Directory oraz zapobieganie takim przestojom. Ten podręcznik opracowano przy użyciu pakietu Active Directory Management Pack do oprogramowania MOM 2005. Aby upewnić się, że używasz najnowszej wersji pakietu Active Directory Management Pack, zapoznaj się z dokumentem Microsoft Operations Manager Management Packs w witrynie WWW firmy Microsoft pod adresem http://go.microsoft.com/fwlink/?LinkId=33752. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Pakiet Active Directory Management Pack — przegląd 5 Nowe funkcje w pakiecie Active Directory Management Pack dla MOM 2005 Pakiet Active Directory Management Pack dla MOM 2005 zawiera następujące ulepszenia i rozszerzenia: • ulepszone eliminowanie alarmów, • ulepszona i zaktualizowana wiedza dotycząca wszystkich alarmów, • testy dostępności katalogu globalnego (Global Catalog) dodane do pakietu Client Pack, • monitorowanie stanu kluczowych składników Active Directory, • widoki topologiczne przedstawiające łącza między lokalizacjami i obiekty połączenia. Scenariusze monitorowania Pakiet Active Directory Management Pack zaprojektowano pod kątem dostarczania cennych informacji z monitorowania dla większości instalacji usługi Active Directory. W tabeli 1 opisano najczęściej stosowane scenariusze monitorowania za pomocą pakietu Active Directory Management Pack. Tabela 1. Scenariusze monitorowania za pomocą pakietu Active Directory Management Pack Scenariusz Monitorowanie po stronie klienta Opis Testuje dostępność składników Active Directory z poziomu aplikacji korzystających z tej usługi, np. Microsoft® Exchange 2000 Server i Exchange Server 2003. Klient określa dostępność poprzez: • wysyłanie poleceń ping z użyciem protokołów ICMP (Internet Control Message Protocol) i LDAP; • wyszukiwanie w katalogu Active Directory; • potwierdzanie, że dostępna jest wystarczająca liczba serwerów katalogu globalnego; • wykrywanie dostępności emulatora podstawowego kontrolera domeny (PDC) i jego reakcji. Relacje zaufania Active Directory Monitoruje relacje zaufania i wykrywa problemy w tej dziedzinie między domenami Active Directory i lasami. Problemy z kontami i Monitoruje problemy związane z uwierzytelnianiem użytkowników Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 6 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Scenariusz Opis uwierzytelnianiem Active Directory i kontami między kontrolerami domeny, takie jak: • problemy z hasłem do konta, • awarie menedżera SAM (Security Accounts Manager), • nieprawidłowe żądania, • błędy usług KDC i NTLM, • problemy z identyfikatorem konta, • problemy z poświadczeniami użytkownika, • problemy z kontami i grupami, • zduplikowane konta i identyfikatory zabezpieczeń (SID). Usługa Net Logon Monitoruje stan usługi Net Logon, w tym: • problemy z uwierzytelnianiem komputerów, • komputery ze zduplikowanymi identyfikatorami SID, • niepowodzenia uwierzytelnień kont komputerów w usłudze Active Directory, • kolizje nazw, • problemy z podłączeniem do kontrolerów domeny Microsoft Windows NT® 4.0, • problemy z zarejestrowaniem przez Net Logon rekordów nazw w usłudze WINS (Windows Internet Name Service). Buforowanie członkostwa grupy uniwersalnej Monitoruje problemy związane z buforowaniem członkostwa grupy uniwersalnej — jest to nowa funkcja w systemie Microsoft Windows Server™ 2003, która umożliwia kontrolerowi domeny przetwarzanie żądań logowania użytkowników, gdy serwer katalogu globalnego jest niedostępny. Usługi zależne Monitoruje problemy związane z dostępnością usług niezbędnych do działania usługi Active Directory, m.in.: • błędy replikacji plików, • błędy typu Journal wrap, • błędy polityki kont komputerów, • problemy z synchronizacją czasu między składnikami Active Directory, • problemy i błędy związane z przetwarzaniem polityki grupowej (Group Policy), • problemy z kontami komputerów, Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Pakiet Active Directory Management Pack — przegląd 7 Scenariusz Opis • • problemy związane z obiektami polityki grupowej, problemy z alokacją pamięci. Dostępność usługi Active Directory Monitoruje różne aspekty stanu usługi Active Directory mające wpływ na dostępność, takie jak: • awarie połączeń, • rozmiar bazy danych i dostępne wolne miejsce na dysku, • problemy i błędy związane z katalogiem globalnym, • dostępność wzorca operacji. Replikacja Monitoruje problemy i błędy związane z replikacją, takie jak: • błędy replikacji, • niezakończenie wstępnej replikacji, • powolna replikacja, • problemy i błędy związane z synchronizacją, • problemy z przesunięciem czasu, • wykrywanie wysp replikacji, • odpowiednia liczba partnerów replikacji dla kontrolerów domen. Monitorowanie wydajności Gromadzi informacje o różnych aspektach wydajności kontrolera domeny, takie jak: • liczba uwierzytelnień NTLM na sekundę, • liczba uwierzytelnień Kerberos na sekundę, • liczba wyszukiwań w katalogu na sekundę, • liczba sesji serwera, • opóźnienie replikacji, • wykorzystanie procesora, • czas dostępności systemu, • pamięć: liczba zapisów stron na sekundę, • pamięć: liczba dostępnych bajtów, • pamięć: liczba zatwierdzonych bajtów, • KDC: liczba żądań usługi Authentication Service (AS) na sekundę, • KDC: liczba żądań usługi Ticket-Granting Service (TGS) na sekundę, • LDAP: liczba wyszukiwań na sekundę, Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 8 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Scenariusz Opis • • • • • • LDAP: liczba operacji UDP (User Datagram Protocol) na sekundę, liczba sesji klientów LDAP, liczba zapisów LDAP na sekundę, liczba prywatnych bajtów podsystemu LSASS (Local Security Authority Subsystem), liczba uchwytów LSASS, wykorzystanie procesora przez LSASS. Definicje monitorowania stanu Pakiet Active Directory Management Pack zapewnia monitorowanie stanu zgodnie z definicjami przedstawionymi w tabeli 2. Uwaga Domyślnie pakiet Active Directory Management Pack zbiera dane z wykrywania usług co 30 minut. Zatem dane wykrywania specyficzne dla usługi Active Directory mogą nie być widoczne na konsoli operatora MOM przez maksymalnie 30 minut po zainstalowaniu pakietu. Tabela 2. Definicje monitorowania stanu w pakiecie Active Directory Management Pack Wskaźnik stanu Opis Service Health (stan usługi) Określa bieżący stan usługi katalogowej Active Directory, w szczególności jej dostępność i szybkość reagowania. W celu określenia stanu usługi monitorowane są następujące parametry: • sposób i szybkość reagowania wzorca operacji, • sposób i szybkość reagowania serwera katalogu globalnego, • liczba utraconych i znalezionych obiektów. Server Health (stan serwera) Określa bieżący stan składników i usług działających na kontrolerze domeny. Obejmuje to sprawdzenie dostępności wszystkich istotnych usług, analizę wydajności LSASS i NTDSA oraz potwierdzenie, że kontroler domeny jest w stanie wykryć sam siebie za pomocą usługi DC Locator. Monitorowane są także: • żądane usługi, • miejsce w bazie danych i pliku dziennika, Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Pakiet Active Directory Management Pack — przegląd 9 Wskaźnik stanu Opis • • wykorzystanie procesora, lokalizacja i rozgłaszanie kontrolera domeny. Replication Health (stan replikacji) Określa ogólny stan replikacji katalogu Active Directory, poprzez monitorowanie stanu obiektów połączenia używanych do replikacji katalogu Active Directory między kontrolerami domeny, a także poprzez monitorowanie szybkości, z jaką odbywa się replikacja między partnerami replikacji. Widok klienta Określa stan usługi Active Directory od strony pakietu Client Pack dla dowolnego komputera, na którym pakiet ten jest zainstalowany. Pakiet Client Pack monitoruje po stronie klienta dostępność emulatora PDC i katalogu globalnego, a także dostępność i wydajność interfejsu. Zadania Zadania pakietu Active Directory Management Pack zwiększają możliwości administracyjne, pozwalając na zarządzanie usługą Active Directory bezpośrednio z konsoli MOM. Zadania pakietu Active Directory Management Pack, które można wykonać z konsoli MOM, opisano w tabeli 3. Tabela 3. Zadania pakietu Active Directory Management Pack1 Zadanie Opis Replication Summary Snapshot Gromadzi „migawki” z obrazem stanu bieżącej replikacji od strony komputera docelowego, za pomocą polecenia REPADMIN /replsum. Service Principal Name Health Potwierdza stan głównej nazwy usługi (SPN) na docelowych kontrolerach domeny. Zadanie to jest przydatne do diagnozowania błędów replikacji uwierzytelniania spowodowanych przez nieistniejące, zmienione lub powielone rejestracje nazw SPN, odświeżanie biletów Kerberos, uruchamianie narzędzi administratora, autoryzację użytkowników i komputerów oraz uruchamianie usługi. Enumerate Trusts Wylicza relacje zaufania między domenami Active Directory. Zadania zaawansowane Active Directory Users and Computers Snap-in Otwiera przystawkę Active Directory Users and Computers na komputerze lokalnym. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 10 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Zadanie Opis ADSI Edit Otwiera konsolę ADSIEdit.mmc na komputerze lokalnym. DCDiag Uruchamia program DCDiag.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. LDP Uruchamia program LDP.exe na komputerze lokalnym. NETDIAG Uruchamia program Netdiag.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. NETDOM Uruchamia program Netdom.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. NLTEST Uruchamia program Nltest.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. REPADMIN Uruchamia program Repadmin.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. SETSPN Uruchamia program Setspn.exe na zdalnym kontrolerze domeny, używając parametrów podanych przez użytkownika. 1Wiele zadań wymienionych w tabeli wymaga użycia narzędzi pomocniczych. Narzędzia te znajdują się w katalogu Support Tools na dyskach CD z systemami operacyjnymi Microsoft Windows® 2000 Server i Windows Server 2003. Raporty Raporty pakietu Active Directory Management Pack udostępniają ważne informacje dotyczące tendencji, problemów z kontami użytkowników, konfiguracją oraz dostępnością usługi na określonym poziomie. Zbieranie danych dla raportu z monitorowania replikacji katalogu Active Directory jest domyślnie wyłączone. Aby raport ten był generowany poprawnie, administrator MOM musi włączyć zbieranie danych. Informacje dotyczące sposobów włączania tego raportu znajdują się w opisach grup reguł dla zbierania danych o opóźnieniach replikacji Active Directory na źródłowych (i docelowych) kontrolerach domeny, w części poświęconej konfiguracji. W tabeli 4 opisano raporty zawierające informacje konfiguracyjne Active Directory. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Pakiet Active Directory Management Pack — przegląd 11 Tabela 4. Raporty konfiguracyjne Active Directory Raport Opis AD Domain Controllers (kontrolery domeny AD) Wyświetla listę wszystkich kontrolerów domeny w wybranej domenie oraz ich adresy IP i lokalizacje. AD Role Holders (właściciele ról AD) Wyświetla listę komputerów, którym przypisano jedną lub więcej ról wzorca operacji lub które są serwerami katalogu globalnego. AD Replication Connection Objects (obiekty połączenia replikacji AD) Podsumowuje topologię replikacji katalogu Active Directory, wyświetlając listę obiektów połączenia. Wskazuje na źródłowe i docelowe kontrolery domen oraz ich lokalizacje, rodzaj transportu, a także podaje informację, czy obiekty są konfigurowane ręcznie. AD Replication links (łącza lokacji replikacji AD) Podsumowuje bieżącą konfigurację łącza lokalizacji replikacji dla Active Directory. W tabeli 5 opisano raport zawierający informacje o miejscu na dysku dla Active Directory. Tabela 5. Raport o miejscu na dysku dla Active Directory Raport AD DC Disk Space (miejsce na dysku kontrolera domeny AD) Opis Podsumowuje wykorzystanie miejsca na dysku przez Active Directory oraz wolne miejsce na woluminy bazy danych i dziennika. Bardzo ważne jest, aby zapewniona była wystarczająca ilość wolnego miejsca na katalog Active Directory. Raport ten służy do określania tendencji oraz przewidywania wielkości woluminów, jakie będą potrzebne przy uwzględnieniu bieżącego tempa wzrostu. W tabeli 6 opisano raporty zawierające informacje operacyjne Active Directory. Tabela 6. Raporty operacyjne Active Directory Raport Opis AD Domain Changes (zmiany domeny AD) Podsumowuje istotne zmiany domeny, takie jak przeniesienie wzorca operacji emulatora PDC oraz dodawanie lub usuwanie kontrolerów domeny. AD Machine Account Authentication Failures (niepowodzenia uwierzytelniania konta komputera w AD) Podsumowuje stacje robocze (dołączone do domeny), których nie można uwierzytelnić. Takie niepowodzenie może uniemożliwić przeprowadzenie aktualizacji polityki grupowej Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 12 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Raport Opis i dystrybucję oprogramowania do komputera. AD SAM Account Errors (błędy konta menedżera SAM w AD) Podsumowuje zdarzenia wskazujące na to, że menedżer SAM wykrył błąd. Tam, gdzie jest to możliwe, dostępne są wskazówki dotyczące naprawy. W tabeli 7 opisano raporty zawierające informacje o replikacji katalogu Active Directory. Tabela 7. Raporty dotyczące replikacji katalogu Active Directory Raport Opis AD Replication Bandwidth (przepustowość Podsumowuje przepustowość replikacji (z kompresją replikacji AD) danych i bez niej) przez wybrany okres. Raport ten jest przydatny do określania tendencji oraz planowania wydajności zgodnie z wymaganiami w zakresie przepustowości replikacji. AD Replication Latency (opóźnienia replikacji AD) Podsumowuje minimalne, średnie oraz maksymalne opóźnienia replikacji dla każdego kontekstu nazw i kontrolera domeny. Ten raport jest niezmiernie przydatny podczas weryfikowania umów SLA dotyczących replikacji zmian w domenie lub lesie. Widoki Widoki Active Directory Management Pack umożliwiają administratorom określanie zakresu informacji przekazywanych do aplikacji MOM. W tabelach 8, 9, 10, 11, 12 i 13 pokrótce opisano domyślne widoki publiczne dostępne w pakiecie Active Directory Management Pack. Tabela 8. Widoki zdarzeń Active Directory Kategoria Widok Monitorowanie od strony klienta • Zdarzenia po stronie klienta Monitorowanie stanu • Zdarzenia odpowiedzi podczas wyszukiwania w katalogu globalnym Active Directory Zdarzenia odpowiedzi wzorca operacji Active Directory Błędy usługi katalogowej • • Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Pakiet Active Directory Management Pack — przegląd 13 Kategoria Widok • • Zdarzenia NTDS Obiekty do wyczyszczenia po przenoszeniu między domenami Tabela 9. Widoki związane z wydajnością Active Directory Kategoria Widok Wykrywanie • Liczba sesji klienta Monitorowanie stanu • • • • • • Baza danych usługi Active Directory Miejsce na dysku drzewa DIT/dziennika usługi Active Directory Pliki dziennika usługi Active Directory Wykorzystanie procesora na kontrolerach domeny Active Directory Czas reakcji kontrolera domeny Czas reakcji katalogu globalnego Wykorzystanie procesora przez LSASS na kontrolerach domeny Active Directory Wykorzystanie pamięci na kontrolerach domeny Active Directory Długość kolejki procesora Czas reakcji wzorca roli • • • • Ruch replikacji między lokalizacjami (dane skompresowane) Opóźnienie replikacji Ruch replikacji — liczba przychodzących bajtów na sekundę Ruch replikacji — liczba wychodzących bajtów na sekundę • • • • Monitorowanie replikacji Tabela 10. Widoki alarmów Active Directory Kategoria Monitorowanie stanu Widok • • • Alarmy kontrolera domeny Active Directory Alarmy dotyczące przestarzałych obiektów Wyjątki w poziomach usług dla kontrolerów domeny Active Directory Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 14 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Tabela 11. Widoki stanu zadania Active Directory Kategoria Stan zadania Widok • • • Zadanie Enumerate Trusts Zadanie Replication Status Snapshot Zadanie Service Principal Name Health Tabela 12. Widoki grupy komputerów Active Directory Kategoria Wykrywanie Widok Kontrolery domeny według wersji systemu operacyjnego Tabela 13. Widoki schematu Active Directory Kategoria Topologia replikacji Widok • • • Łącza między lokalizacjami Obiekty połączenia Obiekty zerwanego połączenia Uwaga Domyślnie pakiet Active Directory Management Pack zbiera dane z wykrywania usług co 30 minut. Dlatego dane wykrywania specyficzne dla usługi Active Directory mogą nie być widoczne na konsoli operatora MOM przez maksymalnie 30 minut po zainstalowaniu pakietu. Obsługa monitorowania bez udziału agenta Pakiet Active Directory Management Pack dla MOM 2005 nie obsługuje monitorowania bez udziału agenta. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Konfigurowanie pakietu Active Directory Management Pack 15 Konfigurowanie pakietu Active Directory Management Pack Przed zainstalowaniem pakietu Active Directory Management Pack należy wdrożyć w swoim środowisku aplikację MOM 2005, zgodnie z najlepszymi procedurami i wskazówkami zawartymi w podręczniku wdrażania aplikacji MOM 2005, dostępnym w witrynie WWW firmy Microsoft (http://go.microsoft.com/fwlink/?LinkId=33536). Po wdrożeniu aplikacji MOM 2005 można zainstalować i skonfigurować pakiet Active Directory Management Pack do monitorowania stanu usługi Active Directory. Aby uzyskać jak najlepsze rezultaty monitorowania usługi Active Directory, zaleca się zainstalowanie również pakietów DNS Management Pack i Operating System Management Pack. Po zainstalowaniu pakietu Active Directory Management Pack i wszystkich innych zalecanych pakietów zarządzania, skonfiguruj monitorowanie usługi Active Directory w następujący sposób: • Ustaw próg opóźnień replikacji między lokalizacjami. • Określ kontrolery domeny do zbierania danych dotyczących opóźnień replikacji. • Wykonaj wstępne szeregowanie alarmów według ich ważności. • Skonfiguruj ustawienia dla powolnych łączy WAN lub instalacji w dużych oddziałach (czynność opcjonalna). • Skonfiguruj komputery, na których będą działać agenci w scenariuszach z małymi uprawnieniami. W kolejnych podrozdziałach opisano procedury umożliwiające realizację tych zadań. Ustawianie wartości progowej opóźnień replikacji między lokalizacjami Maksymalna wartość progowa opóźnień replikacji między lokalizacjami jest określona przez maksymalną ilością czasu, jaki zajmuje replikacja zmiany w całym lesie. Domyślnie wartość ta jest ustawiona na 15 minut. Jeśli replikacja będzie trwać dłużej niż 15 minut, zostanie wygenerowane ostrzeżenie. Ustal wspólnie z architektem systemu, jaka jest oczekiwana maksymalna wartość progowa w waszym środowisku. Zazwyczaj wartość ta jest dokładnie monitorowana, aby zapewnić dotrzymywanie warunków umów SLA w danym przedsiębiorstwie. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 16 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Po określeniu odpowiedniej wartości dla danego środowiska odpowiednio zmodyfikuj ustawienia. Najbardziej typowy scenariusz polega na zapewnieniu, że replikacja podstawowych procedur pomocy Help Desk — takich jak resetowanie haseł — z siedziby firmy do jej oddziałów odbywa się w rozsądnym czasie określonym w umowie SLA. Monitorowanie maksymalnego czasu opóźnień w lesie pozwala również zapewnić, że wszystkie kontrolery domeny otrzymują aktualizacje. Nieodebranie aktualizacji we właściwym czasie nawet przez jeden kontroler domeny może mieć istotne negatywne skutki. Jeśli często odbierasz alarmy generowane przez skrypt AD Replication Monitoring, to prawdopodobnie nie są dotrzymywane warunki umowy SLA. Najczęstszą przyczyną tego problemu są nieprawidłowo ustawione harmonogramy w poszczególnych lokalizacjach. Jeśli w przedsiębiorstwie obowiązuje umowa SLA, ustaw maksymalną wartość progową opóźnienia replikacji między lokalizacjami na jedną trzecią wartości ustalonej w umowie SLA (w minutach) albo na maksymalny oczekiwany czas replikacji danych w całym lesie, w zależności od tego, która wartość jest mniejsza. Jeśli w przedsiębiorstwie nie obowiązuje umowa SLA, ustaw maksymalną wartość progową opóźnienia replikacji między lokalizacjami na maksymalny oczekiwany czas replikacji danych w całym lesie. Ustawianie progu opóźnień replikacji między lokalizacjami 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs, dwukrotnie kliknij Rule Groups, dwukrotnie kliknij Microsoft Windows Active Directory (enabled), dwukrotnie kliknij Active Directory Windows 2000 and Windows Server 2003 (enabled), a następnie dwukrotnie kliknij Active Directory Availability (enabled). 2. Kliknij Event Rules. 3. W prawym panelu dwukrotnie kliknij Script - AD Replication Monitoring. 4. Na zakładce Responses kliknij skrypt o nazwie AD Replication Monitoring, a następnie Edit. 5. W części Script parameters dwukrotnie kliknij IntersiteExpectedMaxLatency. 6. W polu Value wpisz wartość (w minutach) maksymalnego oczekiwanego opóźnienia replikacji między kontrolerami domeny. 7. Kliknij OK. 8. W oknie dialogowym Launch a Script kliknij OK. 9. W oknie dialogowym Event Rule Properties kliknij OK. 10. W lewym panelu kliknij prawym przyciskiem myszy pozycję Management Packs, a następnie Commit Configuration Change. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Konfigurowanie pakietu Active Directory Management Pack 17 Określanie kontrolerów domeny do gromadzenia danych o opóźnieniach replikacji Aby uzyskać szczegółową analizę tendencji, należy do pakietu Active Directory Management Pack dodać nazwy kontrolerów domeny, dla których mają być zbierane dane o opóźnieniach replikacji. Określenie nazw kontrolerów domeny jest bardzo przydatne do tworzenia wykresów wydajności replikacji między newralgicznymi kontrolerami domeny; jest również konieczne do uzyskania raportu o opóźnieniach replikacji katalogu Active Directory. Należy podać zarówno źródłowe, jak i docelowe kontrolery domeny, dla których mają być zbierane dane. Dane te są zbierane tylko dla replikacji ze wszystkich źródłowych kontrolerów domeny do każdego docelowego kontrolera domeny. Uwaga Ilość danych dotyczących opóźnień replikacji, zbieranych w celu szczegółowej analizy tendencji, może być bardzo duża. Liczba takich kolekcji danych w przybliżeniu odpowiada podanej liczbie źródłowych kontrolerów domeny pomnożonej przez liczbę docelowych kontrolerów domeny. Na przykład, jeśli określimy 10 źródłowych kontrolerów domeny i 10 docelowych kontrolerów domeny, otrzymamy około 100 kolekcji danych na jeden przedział czasu. Określanie kontrolerów domeny do zbierania danych o opóźnieniach replikacji 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs a następnie dwukrotnie kliknij Computer Groups. 2. W prawym panelu kliknij prawym przyciskiem myszy Active Directory Replication Latency Data Collection – Sources, a następnie wybierz opcję Properties. 3. Na zakładce Included Computers wybierz kontrolery domeny, dla których chcesz śledzić dane o opóźnieniach replikacji, a następnie kliknij OK. 4. Kliknij prawym przyciskiem myszy Active Directory Replication Latency Data Collection - Targets, a następnie wybierz opcję Properties. 5. Na zakładce Included Computers wybierz kontrolery domeny, dla których chcesz śledzić dane o opóźnieniach replikacji, a następnie kliknij OK. 6. W lewym panelu kliknij prawym przyciskiem myszy Management Packs, a następnie Commit Configuration Change. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 18 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Uwaga Rozpoczęcie procesu zbierania danych może nastąpić po maksymalnie 24 godzinach. Wstępne szeregowanie alarmów Po skonfigurowaniu pakietu Active Directory Management Pack pozwól działać skryptom przez 24 godziny. (Niektóre skrypty działają w czasie rzeczywistym, inne w zaplanowanych odstępach czasu, maksymalnie 24 godziny). Liczba i poziom istotności alarmów generowanych w ciągu pierwszych 24 godzin zależy od ustawionych wartości progowych, liczby kontrolerów domeny działających w danym środowisku oraz wszelkich istniejących problemów w implementacji usługi Active Directory. Po 24 godzinach uszereguj alarmy wygenerowane przez skrypty pakietu Active Directory Management Pack według ich ważności. Pozwoli to określić krytyczne problemy i natychmiast je rozwiązać. Pomoże to także zmniejszyć ilość „szumu” (niepotrzebnych alarmów) generowanego przez kontrolery domeny, sieć WAN i system MOM, a przez to ułatwi utrzymanie sprawności środowiska Active Directory. Wstępne szeregowanie alarmów po skonfigurowaniu pakietu Active Directory Management Pack 1. Otwórz konsolę operatora Microsoft Operations Manager 2005 i wyświetl wszystkie alarmy wygenerowane w ciągu ostatnich 24 godzin. 2. Przeglądaj alarmy w kolejności ich istotności (błędy krytyczne, błędy, ostrzeżenia i alarmy informacyjne). Każdy alarm zawiera dodatkowe informacje pomocne w jego rozstrzygnięciu. Ważne Jeśli znajdziesz błędy wykazane przez skrypt AD Essential Services, zajmij się nimi w pierwszej kolejności. Błędy te oznaczają, że nie działa co najmniej jedna usługa, od której zależy funkcjonowanie Active Directory. 3. Zajmij się alarmami, które generują najwięcej szumu na kontrolerach domeny, w sieci WAN i w systemie MOM; wykonaj następujące czynności: a. W menu Go kliknij Open Reporting Console. b. Kliknij raport Operational Health Analysis. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Konfigurowanie pakietu Active Directory Management Pack 19 c. Kliknij raport Most Common Events by Computer. d. Na liście rozwijanej Computer kliknij wybrany komputer, a następnie kliknij View Report. e. Przeanalizuj raport i zajmij się wszystkimi zdarzeniami, dla których wartość w kolumnie Activity % przekracza 5%. f. U góry ekranu kliknij Operational Health Analysis i powtórz kroki d oraz e dla raportu Most Common Alerts by Alarm Count. Konfigurowanie ustawień dla powolnych łączy WAN lub instalacji w dużych oddziałach W kilku scenariuszach wdrożeń można zdecydować się na to, by nie zbierać ostrzeżeń, danych o wydajności i informacji o różnych zdarzeniach niekrytycznych. Są to następujące scenariusze: • instalacje z bardzo powolnymi łączami WAN, • instalacje w dużych oddziałach, • instalacje wykorzystujące łącza satelitarne, • instalacje, w których alarmy są przekazywane do globalnego sieciowego centrum operacyjnego, • scenariusze, w których ostrzeżenia i komunikaty informacyjne nie są potrzebne. Wdrażając pakiet Active Directory Management Pack w ramach dowolnego z powyższych scenariuszy, można wyłączyć pewne dane o wydajności, aby zmniejszyć ruch w sieci. Uwaga Niektóre raporty pakietu Active Directory Management Pack nie będą działać, jeśli zbieranie danych o wydajności jest wyłączone. Wyłączanie zbierania danych o wydajności 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs, dwukrotnie kliknij Rule Groups, dwukrotnie kliknij Microsoft Windows Active Directory (enabled), a następnie dwukrotnie kliknij Active Directory Windows 2000 and Windows Server 2003 (enabled). 2. W lewym panelu kliknij prawym przyciskiem myszy Reporting Rules for Active Directory, a następnie kliknij opcję Properties. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 20 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 3. Na zakładce General usuń zaznaczenie z pola wyboru Enabled i kliknij OK. 4. W lewym panelu dwukrotnie kliknij Active Directory Windows 2000 (enabled). 5. W lewym panelu kliknij prawym przyciskiem myszy Reporting Rules for Active Directory, a następnie kliknij opcję Properties. 6. Na zakładce General usuń zaznaczenie z pola wyboru Enabled i kliknij OK. 7. W lewym panelu kliknij prawym przyciskiem myszy Management Packs, a następnie Commit Configuration Change. Konfigurowanie komputerów z agentami do pracy w scenariuszach z małymi uprawnieniami Funkcje monitorowania na komputerze z zainstalowanym agentem są dostępne za pośrednictwem zarówno usługi MOM Service (MOMService.exe), jak i konta Action Account. W systemie Windows 2000 Server konto Action Account musi być członkiem lokalnej grupy administratorów. W systemie Windows Server 2003 można w pewnych okolicznościach jako konta Action Account dla agenta użyć konta o małych uprawnieniach. Jednak skonfigurowanie konta Action Account z niezbędnymi uprawnieniami do uruchamiania funkcji pakietu Active Directory Management Pack wymaga znacznej ilości ręcznych czynności konfiguracyjnych na komputerze z agentem. W systemie Windows Server 2003 konto Action Account musi mieć co najmniej następujące uprawnienia: • członkostwo w grupie użytkowników lokalnych (Local Users Group), • członkostwo w grupie użytkowników lokalnego monitorowania wydajności (Local Performance Monitor Users Group), • dostęp do dzienników zdarzeń Windows, • uprawnienie do zarządzania dziennikiem audytów i bezpieczeństwa (SeSecurityPrivilege), • uprawnienie do generowania audytów zabezpieczeń (SeAuditPrivilege), • możliwość lokalnego logowania się (SeInteractiveLogonRight). W scenariuszu z małymi uprawnieniami pakiet Active Directory Management Pack wymaga, aby konto używane jako Action Account oraz kontekst usługi, z którym działa MOM Service, miały dodatkowe uprawnienia. W tabeli 14 opisano typy dostępu, które należy skonfigurować ręcznie. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Konfigurowanie pakietu Active Directory Management Pack 21 Tabela 14. Typy dostępu wymagane przez Active Directory Management Pack Zasób Kontener CN=MomLatencyMonitors Typ dostępu Pełny Instrukcje Konto Action Account musi mieć co najmniej uprawnienia do: • tworzenia obiektów kontenera jako obiektów potomnych CN=MOMLatencyMonitors; • odczytu atrybutów wszystkich obiektów utworzonych z CN=MOMLatencyMonitors; • zapisu do atrybutu adminDescription w obiektach utworzonych z CN=MOMLatencyMonitors. Utwórz kontener MomLatencyMonitors jako obiekt potomny głównego kontenera każdej domeny i partycji katalogu aplikacji, która ma być monitorowana. Jeśli partycja katalogu aplikacji przekracza granice domeny, konto Action Account musi mieć odpowiedni dostęp w każdej domenie. Jeśli zamierzasz monitorować partycję konfiguracji, utwórz także kontener MomLatencyMonitors jako obiekt potomny partycji konfiguracji. Aby utworzyć kontener MomLatencyMonitors na kontrolerze domeny, wykonaj następujące czynności: 1. Kliknij Start, Uruchom i wpisz adsiedit.msc. 2. W edytorze ADSI Edit dwukrotnie kliknij Domain [nazwa_komputera], a następnie prawym przyciskiem myszy kliknij DC=nazwa_domeny,DC=com. 3. Kliknij New, a następnie Object. 4. W obszarze Select a class kliknij Container, po czym kliknij Next. 5. W polu Value wpisz MomLatencyMonitors, a następnie kliknij Next. 6. Kliknij Finish. Kontener MomLatencyMonitors należy utworzyć tylko na jednym kontrolerze domeny. Utworzony obiekt zostanie zreplikowany do innych domen w lesie. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 22 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Zasób Typ dostępu Instrukcje Klucze rejestru Odczyt Dodaj konto Action Account do właściwości rejestru w kluczu HKLM\System\CurrentControlSet\Service\NTDS\ Parameters i nadaj mu uprawnienia do odczytu. Dzięki temu konto Action Account będzie w stanie znaleźć położenie pliku NTDS.dit oraz plików dziennika Active Directory. Konto Action Account należy dodać do właściwości rejestru na każdym kontrolerze domeny. Katalogi zawierające plik NTDS.dit oraz pliki dziennika usługi Active Directory. Odczyt Konto Action Account musi mieć dostęp w trybie odczytu do ścieżek określających położenie pliku NTDS.dit oraz plików dziennika Active Directory. Plik NTDS.dit znajduje się w katalogu określonym przez klucz: HKLM\System\CurrentControlSet\Service\NTDS\ Parameters\DSA Database File Pliki dziennika Active Directory znajdują się w katalogu określonym przez klucz: HKLM\System\CurrentControlSet\Service\NTDS\ Parameters\Database Log Files Path Należy zapewnić dostęp do ścieżek z tymi plikami na każdym kontrolerze domeny. Uwaga Konto Action Account musi należeć do grupy administratorów domeny lub do grupy administratorów w domenie, w której relacje zaufania są monitorowane przez skrypt AD Monitor Trusts. Jeśli konto Action Account nie należy do żadnej z tych grup, będziesz otrzymywać komunikaty o błędzie, dopóki nie wyłączysz następującej reguły: Microsoft Windows Active Directory\Active Directory Monitor Trusts\ScriptAD Monitor Trusts. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Działanie pakietu Active Directory Management Pack 23 Działanie pakietu Active Directory Management Pack Aby utrzymać ogólny prawidłowy stan środowiska Active Directory, należy codziennie przeprowadzać szeregowanie wszystkich alarmów pakietu Active Directory Management Pack. Oprócz tego należy regularnie wykonywać inne czynności zależne od konkretnego środowiska. Mogą także wystąpić mniej istotne problemy, które nie powodują wygenerowania alarmu; one również wymagają okresowej uwagi. Pakiet Active Directory Management Pack generuje raporty, które wyświetlają dane w funkcji czasu oraz przedstawiają wzorce wskazujące na problemy. Raporty te należy często przeglądać, aby rozwiązać problemy zanim wygenerują one alarmy. Możesz wykonywać codzienne, cotygodniowe i comiesięczne czynności w sposób opisany w tym rozdziale. Zaleca się jednak dostosowanie częstotliwości wykonywania tych operacji do potrzeb konkretnego środowiska. Operacje codzienne Następujące operacje należy wykonywać codziennie: • przeglądanie wszystkich otwartych alarmów; • sprawdzanie, czy wszystkie kontrolery domeny komunikują się z konsolą MOM. Przeglądanie wszystkich otwartych alarmów Uszereguj wszystkie nowe alarmy według następujących priorytetów: • błędy krytyczne, • alarmy o nazwie źródłowej zaczynającej się od „AD”, na przykład „AD Op Master Response”, „AD Essential Services” lub „AD Replication Monitoring”, • błędy, ostrzeżenia, • alarmy informacyjne (opcjonalne). Nie wszystkie problemy można rozwiązać w ciągu jednego dnia lub szybciej. Często konieczne jest zamówienie części, zaplanowanie ponownego rozruchu komputerów itp. Ważne jest Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 24 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 podejmowanie działań związane z otwartymi alarmami, aby upewnić się, że zajęto się nimi we właściwym czasie. Przeglądanie otwartych alarmów 1. Otwórz konsolę operatora Microsoft Operations Manager 2005 i wyświetl wszystkie alarmy wygenerowane w ciągu ostatnich 24 godzin. 2. Zajmij się alarmami w kolejności ich istotności (błędy krytyczne, błędy, ostrzeżenia i alarmy informacyjne). Każdy alarm zawiera dodatkowe informacje pomocne w jego rozwiązaniu. Sprawdzanie, czy wszystkie kontrolery domeny komunikują się z konsolą MOM Jakakolwiek awaria komunikacji między kontrolerami domeny a infrastrukturą monitorowania uniemożliwia odbieranie alarmów, a co za tym idzie, ich analizę i rozwiązywanie problemów. Sprawdzanie, czy wszystkie kontrolery domeny komunikują się z konsolą MOM 1. Otwórz konsolę administratora MOM 2005, dwukrotnie kliknij Administration, dwukrotnie kliknij Computers, a następnie kliknij Agent-managed Computers. 2. W prawym panelu kliknij nagłówek kolumny Last Contacted . Kliknięcie nagłówka Last Contacted spowoduje posortowanie komputerów na podstawie czasu ostatniego kontaktu z nimi. Jeśli czas ten jest większy niż 5 minut, to sprawdź, dlaczego komputer nie komunikuje się z systemem MOM. Więcej informacji o sposobie określania, dlaczego komputery nie komunikują się z systemem MOM, znajduje się w podręczniku wdrażania MOM 2005, w witrynie WWW firmy Microsoft pod adresem http://go.microsoft.com/fwlink/?LinkId=33536. Operacje cotygodniowe Oprócz operacji wykonywanych codziennie, raz w tygodniu przejrzyj następujące raporty: • AD Domain Changes (zmiany domeny AD), • DC Disk Space (miejsce na dysku kontrolera domeny), • AD Replication Latency Report (raport dotyczący opóźnień replikacji AD), • AD SAM Account Errors (błędy konta mendżera SAM w AD). Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Działanie pakietu Active Directory Management Pack 25 Operacje comiesięczne Oprócz operacji wykonywanych codziennie lub cotygodniowo, raz w miesiącu przejrzyj raporty należące do następujących kategorii: • • Raporty dotyczące Active Directory: • DC Replication Bandwidth (przepustowość replikacji kontrolera domeny), • AD Machine Account Authentication Failures (niepowodzenia uwierzytelniania konta komputera w katalogu AD), • AD Domain Controlers (kontrolery domeny AD). Raporty dotyczące analizy stanu operacyjnego: • Most Common Alerts by Rule Group (najczęstsze alarmy według grup reguł), • Most Common Alerts by Computer (najczęstsze zdarzenia według komputera). Przejrzyj również inne raporty odpowiednie do posiadanej instalacji. Inne typowe operacje na pakiecie Active Directory Management Pack Zarządzanie pakietem Active Directory Management Pack może wymagać wykonania także pewnych dodatkowych operacji. Następujące operacje należy wykonywać w miarę potrzeby: • czyszczenie obiektów, • włączanie pakietu Client Pack do Active Directory Management Pack. Czyszczenie obiektów Po usunięciu kontrolera domeny, którego nie chcemy już dłużej monitorować za pomocą pakietu Active Directory Management Pack, należy wyczyścić pozostałe po nim obiekty. Czyszczenie obiektów pozostałych po usunięciu kontrolera domeny z pakietu Active Directory Management Pack 1. Kliknij Start, Uruchom i wpisz adsiedit.msc. 2. W edytorze ADSI Edit dwukrotnie kliknij Domain [nazwa_komputera], a następnie dwukrotnie kliknij DC=nazwa_domeny,DC=com. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 26 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 3. Dwukrotnie kliknij CN=MOMLatencyMonitors i znajdź obiekt kontrolera domeny, który chcesz usunąć (jeśli pozycja CN=MOMLatencyMonitors nie istnieje, przejdź do kroku 5.). 4. Kliknij obiekt prawym przyciskiem myszy, a następnie kliknij Delete. 5. Dwukrotnie kliknij Configuration [nazwa_komputera], a następnie dwukrotnie kliknij CN=Configuration,DC=nazwa_domeny,DC=com. 6. Dwukrotnie kliknij CN=MOMLatencyMonitors i znajdź obiekt kontrolera domeny, który chcesz usunąć (jeśli pozycja CN=MOMLatencyMonitors nie istnieje, przejdź do kroku 8.). 7. Kliknij obiekt prawym przyciskiem myszy, a następnie kliknij Delete. 8. Jeśli usunięty kontroler domeny był serwerem DNS lub jeśli były na nim utrzymywane inne partycje katalogu aplikacji, połącz się z odpowiednią partycją katalogu aplikacji. 9. W lewym panelu dwukrotnie kliknij odpowiednią partycję katalogu aplikacji. 10. Dwukrotnie kliknij CN=MOMLatencyMonitors i znajdź obiekt kontrolera domeny, który chcesz usunąć. 11. Kliknij obiekt prawym przyciskiem myszy, a następnie kliknij Delete. 12. Powtórz kroki 9, 10 i 11, aby usunąć obiekt we wszystkich pozostałych partycjach katalogu aplikacji, które były utrzymywane na tym kontrolerze domeny (tylko w systemie Windows Server 2003). Więcej informacji na temat edytora ADSI Edit zawiera artykuł Adsiedit.msc: ADSI Edit w witrynie WWW firmy Microsoft pod adresem http://go.microsoft.com/fwlink/?LinkId=33544. Wdrażanie pakietu Client Pack do Active Directory Management Pack Pakiet Client Pack rozszerza możliwości pakietu Active Directory Management Pack w zakresie monitorowania po stronie serwera o informacje na temat stanu usługi Active Directory z punktu widzenia klienta. Aby korzystać z pakietu Client Pack, należy wdrożyć reguły w grupie reguł monitorowania po stronie klienta Active Directory. Reguły w tej grupie testują dostępność usługi Active Directory z punktu widzenia klienta, na przykład z serwerów aplikacji korzystających z usług katalogowych. Tę grupę reguł należy wdrożyć ręcznie w środowisku, w którym jest to konieczne (lub pożądane) do monitorowania dostępności kontrolerów domeny i usługi Active Directory z punktu widzenia klienta. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community Działanie pakietu Active Directory Management Pack 27 Uwaga Aby zapewnić, że serwery katalogu globalnego i kontrolery domeny są stale dostępne, zawsze używaj tej grupy reguł na serwerach, na których działają aplikacje korzystające z usług katalogowych, takie jak Exchange 2000 Server i Exchange Server 2003, lub w pobliżu tych serwerów. Każdy komputer z działającym pakietem Client Pack do Active Directory Management Pack można tak skonfigurować, by monitorował tylko wybrane kontrolery domeny. Korzystając z pakietu Client Pack do Active Directory Management Pack, można monitorować: • określoną listę kontrolerów domeny, • kontrolery domeny na lokalnym kliencie, • kontrolery domeny na liście konkretnych lokalizacji, • wszystkie kontrolery domeny w domenie klienta lub na podanej liście domen. Komputer kliencki określa dostępność kontrolerów domeny poprzez: • wysyłanie poleceń ping (z użyciem zarówno protokołu ICMP, jak i LDAP); • nawiązanie połączenia z udziałem Sysvol przy użyciu polecenia net use; • wykonanie operacji LDAP podłączania do serwera (bind); • wykonanie operacji LDAP wyszukiwania (search). Dla operacji podłączania do serwera i wyszukiwania w LDAP można ustalić wartości progowe. Jeśli wystąpią wielokrotne kolejne niepowodzenia (bądź operacje te przekroczą podane wartości progowe), zostanie wygenerowany alarm. Ponadto komputer kliencki określa, czy: • klient może skontaktować się ze swoim lokalnym kontrolerem domeny; • dostępna jest wystarczająca liczba serwerów katalogu globalnego. Wdrażanie pakietu Client Pack do Active Directory Management Pack 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Management Packs, a następnie dwukrotnie kliknij Computer Groups. 2. Kliknij prawym przyciskiem myszy Active Directory Client Side Monitoring, a następnie kliknij Properties. 3. Kliknij zakładkę Included Computers, a następnie kliknij Add. 4. Zaznacz komputery, na których chcesz wdrożyć pakiet Client Pack, a następnie kliknij OK. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community 28 Microsoft Active Directory Management Pack Active Directory Management Pack dla Microsoft Operations Manager 2005 Na każdym komputerze, na którym został wdrożony pakiet Client Pack, skonfiguruj ustawienia proxy agenta, wykonując poniższą procedurę. Konfigurowanie ustawień proxy agenta 1. Na konsoli administratora MOM 2005 dwukrotnie kliknij Administration, a następnie dwukrotnie kliknij Computers. 2. Kliknij Agent-Managed Computers. 3. Kliknij prawym przyciskiem myszy kontroler domeny, na którym chcesz skonfigurować ustawienia proxy agenta, i kliknij Properties. 4. Kliknij zakładkę Security. 5. Usuń zaznaczenie z pola wyboru Use global settings, a następnie usuń zaznaczenie z pola wyboru Agent proxying. Więcej informacji na temat konfigurowania pakietu Client Pack do Active Directory Management Pack z konsoli administratora MOM 2005 znajduje się w opisie grupy reguł monitorowania Active Directory od strony klienta, w części poświęconej konfiguracji. Czy te informacje okazały się przydatne? Prosimy o przesyłanie sugestii i komentarzy dotyczących tej dokumentacji na adres [email protected]. Więcej informacji na temat systemu MOM można uzyskać, uczestnicząc w rozbudowanych społecznościach klientów MOM Community