Mød Microsoft

Overvågning af Active Directory med MOM 2005

Flemming Glerup

Lars Norman Søndergaard

Globeteam A/S

Agenda

• Introduktion af MOM 2005

• Hvorfor overvåge AD?

• AD Management Pack i detaljer

• Skriv din egen Management Pack

• Rapportering

MOM introduktion

MOM 2005

• To versioner– MOM 2005 og MOM 2005 Workgroup Edition

• Hvad er Workgroup Edition?– Maksimum 10 servere kan overvåges– Ingen rapportering eller data warehouse– Ingen MCF connectors

• Bruges til at forbinde to MOM MG eller MOM til andre overvågningsystemer (OpenView, TEC etc)

– Muligt at opgradere til MOM 2005

MOM 2005-arkitektur

System Center System Center Data Data

WarehouseWarehouse

MOM 2005MOM 2005 ServerServer

AgentsAgents AgentsAgents

Operatør Konsol

Administrator Konsol

MOM-server

• Database (evt. på anden maskine)

•Agent Manager (install/uninstall)

•Consolidator (modtager og sender oplysninger til klienter & indsætter i databasen)

•User Interfaces

MOM 2005-regler

• Centralt for al overvågning i MOM– En regel indeholder

RegelRegel

ProviderProvider

NT event log Perfmon data WMI SNMP Logfiler Syslog

KriteriumKriterium ResponsRespons

Alert Script SNMP trap Email Task Managed Code Filoverførsel

•Wheresource=DCOM and Event ID=1006

VidenViden

• MOM MP’ens informationer om alarmen.

• Virksomhedens egne oplysninger

Management Packs

• Management Packs er en samling af– Regler og grupper af regler

• Dvs. hvad der bliver overvåget

– Views (alerts/events/performance/state)– Scripts, der anvendes af regler– Computer Groups og attributter– Tasks– Rapporter i en separat fil– Viden – Topologi-information

MP regler: Hvordan fungerer de?• Regler der kigger efter specifikke events i

event logs

• Performance Counters der opsamles– Bemærk: Man kan lave sine egne

• Scripts der køres og returnerer events (ikke i event log’en)– Scripts afvikles periodisk

• Regler der finder events og rejser alarmer

Flere management packs

• Management Packs kender ikke hinanden– Dvs. samme fejlsituation kan blive opdaget af

flere MP’er– Forskellige grænseværdier

• Eksempel: En DC med Exchange og SMS – IIS-fejl findes af IIS, Exchange og SMS

management pack– Vigtigt at spørge sig selv om serveren mest er

en IIS, Exchange eller SMS server?

Hvilke Management Packs kan man få?• Microsoft har til stort set alle deres produkter

– Windows, AD, SQL, Exchange, SMS, IIS, DNS, WINS osv.

– Microsoft tilstræber at levere MP’er sammen med alle deres fremtidige produkter!

• Adskillige andre leverandører– HP, Dell, NetIQ

• Man kan selv udvikle sin egen MP– Se

http://www.microsoft.com/management/mma/catalog.aspx

MOM 2005

• ”MOM er jo kun til event logs”

• Nej!– Det er rigtigt at MOM er rigtig god til event

logs.– Men der findes mange andre providers

• De fleste MP’er bruger mange scripts til at undersøge helbredet– Hvorfor er event logs ikke nok?

MP-opsætning

• MP’ens konfigurering er ikke hellig

• Du SKAL regne med ”fintuning”– MP’er er generelle: De kender ikke DIT miljø– Indeholder både operationel overvågning og

overvågning af konfiguration– En del MP’er stiller krav til miljøet

• Du skal have visse komponenter installeret for at de virker eller der skal oprettes brugere/mailbokse

• Pas på alert spam!

Hvorfor overvåge AD?

Hvorfor overvåge AD?

• Komplekst system med mange afhængigheder– Services, diskplads, netværkstilgængelighed– Nedbrud et sted viser sig måske i form af fejl

eller overbelastning et helt andet sted

• AD er designet til den virkelige verden– Multimaster replikering– Cached credentials– RID pool

Hvorfor overvåge AD?

• Det er bedre at blive advaret inden problemerne påvirker brugerne

• Mange systemer er afhængige af AD

• Nemmere at løse problemerne hvis man kan gøre det planlagt

• Spar tid, penge og brugerfrustration

Hvorfor overvåge AD

• ”Man kan da bruge de indbyggede tools”– Javist. Men gør du det? Har du tid til det?– Husk at du først opdager de relevante events,

når du er klar over at der er et problem– Meget lidt præventiv overvågning

AD Management Pack’en i detaljer

Active Directory MP

• Udvikles af Active Directory-teamet

• Opdateres løbende – Dvs. ikke synkroniseret til MOM eller AD releases

• Virker på begge MOM editions

• Både til Windows 2000 og Windows 2003

• Dokumentation

• Sikkerhed – eller historien om DAD

Active Directory MP

• En eksemplarisk MP!– State View – Topologi view– Rapporter– Tasks – husk dog eksterne afhængigheder– Masser af viden– Fin struktur

State view: Det hurtige overblik

Hvad overvåges?

• Essentielle services– Netlogon, KDC, NtFrs, ISM (Kun 2000),

Windows Time, LSASS– Samme script checker også om SYSVOL er

tilgængelig

• Replikering– Er DC’erne konfigureret korrekt?– Foregår replikering inden for de tider der

forventes?

AD-replikering

• Der kigges efter mange ting, herunder– Antal af replication partners (40/50)

– Ser partnerne de samme FSMO holdere

– Events der tyder på problemer

• Syntetisk replikering– MOMLatency container, en container for hver DC

– Alarmer samt performance monitorering

– Konfigureres (5 - 15 minutter)

AD-replikering

• Bemærk– Der er separate maksimumtider for intersite

og intrasite replikering– Man kan specificere hvilke maskiner der skal

anvendes som source og destination i forbindelse med opsamling af replikeringstider.

• Det er altså ikke nødvendigt at måle på alle DC’er

FSMO-roller

• Periodisk check af om serverne er tilgængelige. Kan vi bind’e og/eller ping’e?

• Sjove problemer kan opstå hvis FSMO-rollerne ikke er tilgængelige.

• Naturligvis event logs– Men scriptene giver for det meste en advarsel

på et tidligere tidspunkt

Enkelte processer og services

• AD-relaterede services bliver overvåget– Forbrug af CPU eller memory– Antal af TCP connections

Client Side Monitoring

• Smart facilitet: Opfører sig som en typisk klient– Check for om DC er tilgængelig i samme site– Nok GC’er tilgængelige: 3– Check om PDC er tilgængelig

• Rimelig WAN-belastning

• Giver et rigtig godt billede af miljøet

Client Side Monitoring

• Husk dog – Skal manuelt tilføje: Add computers til AD

Client Side Monitoring– Kan give en del støj– Brug enten DC’er eller maskiner placeret i

nærheden af DC’er

AD MP: De sidste ord…

• Husk DNS og WINS MP’er – Du kører da WINS, ikk’?

• Gå på opdagelse– Du vil hurtigt lære at finde rundt i de

forskellige Rule Groups – og du kan ikke undgå at blive overrasket over antallet af scripts og regler!

Demo

AD Management Pack

Egne Management Packs

Egne Management Packs

• Det er erkendt at noget i driften af vores system skal overvåges, fordi vi blev ”taget på sengen”

• Løsning ”the old way”– .bat-filer/scripts til at afdække problemet– Scheduleret til at teste med et interval– Rapportering via eventlog/mail– Heartbeat?– Resultat: efter 14 dages stabil drift daler interessen

=> eventlog overses/mails sendes til folder

Real world eksempel

• Windows/AD/Exchange 2003 migrering ongoing• Enkelte brugere ikke logge ind fejl: ”Too many

security identifiers”• Andre brugere kan ikke tilgå elementer på

Intranet• Problem: brugerne er medlem af for mange

grupper– NTLM logon brækker ved 1023 SID i token– Kerberos logon brækker ved 70-80 SID i token

(i situationen var tallet betydeligt højere)(Q280830)

Løsning

Vi trimmer grupper fra brugere, så de kan logge ind igen dvs. membership < 1023

• Vi arbejder med MaxTokenSize registry key => Kerberos virker indtil 3-400

• Hvordan finder vi nu proaktivt de brugere der kommer over grænseværdierne(og som vil komme det i fremtiden)– script der tæller medlemskaber og afvikles

hver nat. Dagligt Excel ark til Admin

Hvordan kan MOM udvides med egne scripts?

• Vi lavede løsningen med et VBscript• Vi tager nu dette VBscript og ligger ind i

MOM• Vi ændre rapporteringen fra kald af

wscript.echo til at kald af MOM objekter• Vigtigt: deref. af objekter (memory)• We are done • Næh - så nemt er det ikke men du kan

tage udgangspunkt i det kode du har lavet

Demo

Demo

• Hvordan kan MOM udvides med egne scripts?

Rapportering

Rapportering

• Rapportering er lavet om fra MOM 2000

• Baseret på SQL Reporting Server

• Rapporter leveres med MP’er (dog i separat fil)

• Bemærk at der kræves et data warehouse

• DW fødes med et DTS-job– Se scheduled tasks

Rapportering

• Best practice: Placér data warehouse på en anden server

• System Center Reporting Server 2005– MOM DW + mere (især SMS)

En del rapporter om AD

Spørgsmål?ellers

lns@globeteam.com