Mød Microsoft

Overvågning af Active Directory med MOM 2005 Flemming Glerup Lars Norman Søndergaard Globeteam A/S

Agenda Introduktion af MOM 2005 Hvorfor overvåge AD? AD Management Pack i detaljer Skriv din egen Management Pack Rapportering

MOM introduktion

MOM 2005 To versioner Hvad er Workgroup Edition? MOM 2005 og MOM 2005 Workgroup Edition Hvad er Workgroup Edition? Maksimum 10 servere kan overvåges Ingen rapportering eller data warehouse Ingen MCF connectors Bruges til at forbinde to MOM MG eller MOM til andre overvågningsystemer (OpenView, TEC etc) Muligt at opgradere til MOM 2005

System Center Data Warehouse MOM 2005-arkitektur Agents Agents MOM-server Database (evt. på anden maskine) Agent Manager (install/uninstall) Consolidator (modtager og sender oplysninger til klienter & indsætter i databasen) User Interfaces Operatør Konsol MOM 2005 Server System Center Data Warehouse Administrator Konsol

MOM 2005-regler Centralt for al overvågning i MOM En regel indeholder Provider NT event log Perfmon data WMI SNMP Logfiler Syslog Kriterium Respons Alert Script SNMP trap Email Task Managed Code Filoverførsel Where source=DCOM and Event ID=1006 Viden MOM MP’ens informationer om alarmen. Virksomhedens egne oplysninger

Management Packs Management Packs er en samling af Regler og grupper af regler Dvs. hvad der bliver overvåget Views (alerts/events/performance/state) Scripts, der anvendes af regler Computer Groups og attributter Tasks Rapporter i en separat fil Viden Topologi-information

MP regler: Hvordan fungerer de? Regler der kigger efter specifikke events i event logs Performance Counters der opsamles Bemærk: Man kan lave sine egne Scripts der køres og returnerer events (ikke i event log’en) Scripts afvikles periodisk Regler der finder events og rejser alarmer

Flere management packs Management Packs kender ikke hinanden Dvs. samme fejlsituation kan blive opdaget af flere MP’er Forskellige grænseværdier Eksempel: En DC med Exchange og SMS IIS-fejl findes af IIS, Exchange og SMS management pack Vigtigt at spørge sig selv om serveren mest er en IIS, Exchange eller SMS server?

Hvilke Management Packs kan man få? Microsoft har til stort set alle deres produkter Windows, AD, SQL, Exchange, SMS, IIS, DNS, WINS osv. Microsoft tilstræber at levere MP’er sammen med alle deres fremtidige produkter! Adskillige andre leverandører HP, Dell, NetIQ Man kan selv udvikle sin egen MP Se http://www.microsoft.com/management/mma/catalog.aspx

MOM 2005 ”MOM er jo kun til event logs” Nej! Det er rigtigt at MOM er rigtig god til event logs. Men der findes mange andre providers De fleste MP’er bruger mange scripts til at undersøge helbredet Hvorfor er event logs ikke nok?

MP-opsætning MP’ens konfigurering er ikke hellig Du SKAL regne med ”fintuning” MP’er er generelle: De kender ikke DIT miljø Indeholder både operationel overvågning og overvågning af konfiguration En del MP’er stiller krav til miljøet Du skal have visse komponenter installeret for at de virker eller der skal oprettes brugere/mailbokse Pas på alert spam!

Hvorfor overvåge AD?

Hvorfor overvåge AD? Komplekst system med mange afhængigheder Services, diskplads, netværkstilgængelighed Nedbrud et sted viser sig måske i form af fejl eller overbelastning et helt andet sted AD er designet til den virkelige verden Multimaster replikering Cached credentials RID pool

Hvorfor overvåge AD? Det er bedre at blive advaret inden problemerne påvirker brugerne Mange systemer er afhængige af AD Nemmere at løse problemerne hvis man kan gøre det planlagt Spar tid, penge og brugerfrustration

Hvorfor overvåge AD ”Man kan da bruge de indbyggede tools” Javist. Men gør du det? Har du tid til det? Husk at du først opdager de relevante events, når du er klar over at der er et problem Meget lidt præventiv overvågning

AD Management Pack’en i detaljer

Active Directory MP Udvikles af Active Directory-teamet Opdateres løbende – Dvs. ikke synkroniseret til MOM eller AD releases Virker på begge MOM editions Både til Windows 2000 og Windows 2003 Dokumentation Sikkerhed – eller historien om DAD

Active Directory MP En eksemplarisk MP! State View Topologi view Rapporter Tasks – husk dog eksterne afhængigheder Masser af viden Fin struktur

State view: Det hurtige overblik

Hvad overvåges? Essentielle services Replikering Netlogon, KDC, NtFrs, ISM (Kun 2000), Windows Time, LSASS Samme script checker også om SYSVOL er tilgængelig Replikering Er DC’erne konfigureret korrekt? Foregår replikering inden for de tider der forventes?

AD-replikering Der kigges efter mange ting, herunder Antal af replication partners (40/50) Ser partnerne de samme FSMO holdere Events der tyder på problemer Syntetisk replikering MOMLatency container, en container for hver DC Alarmer samt performance monitorering Konfigureres (5 - 15 minutter)

AD-replikering Bemærk Der er separate maksimumtider for intersite og intrasite replikering Man kan specificere hvilke maskiner der skal anvendes som source og destination i forbindelse med opsamling af replikeringstider. Det er altså ikke nødvendigt at måle på alle DC’er

FSMO-roller Periodisk check af om serverne er tilgængelige. Kan vi bind’e og/eller ping’e? Sjove problemer kan opstå hvis FSMO-rollerne ikke er tilgængelige. Naturligvis event logs Men scriptene giver for det meste en advarsel på et tidligere tidspunkt

Enkelte processer og services AD-relaterede services bliver overvåget Forbrug af CPU eller memory Antal af TCP connections

Client Side Monitoring Smart facilitet: Opfører sig som en typisk klient Check for om DC er tilgængelig i samme site Nok GC’er tilgængelige: 3 Check om PDC er tilgængelig Rimelig WAN-belastning Giver et rigtig godt billede af miljøet

Client Side Monitoring Husk dog Skal manuelt tilføje: Add computers til AD Client Side Monitoring Kan give en del støj Brug enten DC’er eller maskiner placeret i nærheden af DC’er

AD MP: De sidste ord… Husk DNS og WINS MP’er Gå på opdagelse Du kører da WINS, ikk’? Gå på opdagelse Du vil hurtigt lære at finde rundt i de forskellige Rule Groups – og du kan ikke undgå at blive overrasket over antallet af scripts og regler!

Demo AD Management Pack

Egne Management Packs

Egne Management Packs Det er erkendt at noget i driften af vores system skal overvåges, fordi vi blev ”taget på sengen” Løsning ”the old way” .bat-filer/scripts til at afdække problemet Scheduleret til at teste med et interval Rapportering via eventlog/mail Heartbeat? Resultat: efter 14 dages stabil drift daler interessen => eventlog overses/mails sendes til folder

Real world eksempel Windows/AD/Exchange 2003 migrering ongoing Enkelte brugere ikke logge ind fejl: ”Too many security identifiers” Andre brugere kan ikke tilgå elementer på Intranet Problem: brugerne er medlem af for mange grupper NTLM logon brækker ved 1023 SID i token Kerberos logon brækker ved 70-80 SID i token (i situationen var tallet betydeligt højere) (Q280830)

Løsning Vi trimmer grupper fra brugere, så de kan logge ind igen dvs. membership < 1023 Vi arbejder med MaxTokenSize registry key => Kerberos virker indtil 3-400 Hvordan finder vi nu proaktivt de brugere der kommer over grænseværdierne (og som vil komme det i fremtiden) script der tæller medlemskaber og afvikles hver nat. Dagligt Excel ark til Admin

Hvordan kan MOM udvides med egne scripts? Vi lavede løsningen med et VBscript Vi tager nu dette VBscript og ligger ind i MOM Vi ændre rapporteringen fra kald af wscript.echo til at kald af MOM objekter Vigtigt: deref. af objekter (memory) We are done  Næh - så nemt er det ikke men du kan tage udgangspunkt i det kode du har lavet

Demo

Demo Hvordan kan MOM udvides med egne scripts?

Rapportering

Rapportering Rapportering er lavet om fra MOM 2000 Baseret på SQL Reporting Server Rapporter leveres med MP’er (dog i separat fil) Bemærk at der kræves et data warehouse DW fødes med et DTS-job Se scheduled tasks

Rapportering Best practice: Placér data warehouse på en anden server System Center Reporting Server 2005 MOM DW + mere (især SMS)

En del rapporter om AD

Spørgsmål? ellers lns@globeteam.com