Optimalizace prostředí Active Directory s využitím řešení kontroly stavu Active Directory ve službě Azure Monitor

  • Článek

Symbol kontroly stavu SLUŽBY AD

Poznámka

Tento článek byl nedávno aktualizován tak, aby místo Log Analytics používal termín protokoly Azure Monitoru. Data protokolu jsou stále uložená v pracovním prostoru služby Log Analytics a stále je shromažďuje a analyzuje stejná služba Log Analytics. Aktualizujeme terminologii, aby lépe odrážela roli protokolů ve službě Azure Monitor. Podrobnosti najdete v tématu Změny terminologie služby Azure Monitor .

Řešení Kontroly stavu služby Active Directory můžete použít k vyhodnocování rizika a stavu serverových prostředí v pravidelných intervalech. Tento článek vám pomůže s instalací a používáním řešení, abyste mohli provádět opravné akce v případě potenciálních problémů.

Toto řešení poskytuje seznam doporučení určených pro vaši nasazenou serverovou infrastrukturu. Doporučení jsou rozdělená do čtyř oblastí zájmu, které vám pomůžou rychle porozumět riziku a přijmout opatření.

Doporučení vycházejí ze znalostí a zkušeností, které technici Microsoftu získali při návštěvách tisíců zákazníků. Každé doporučení obsahuje pokyny k tomu, proč by pro vás mohl být problém důležité a jak navrhované změny implementovat.

Můžete zvolit oblasti zaměření, které jsou pro vaši organizaci nejdůležitější, a sledovat pokrok směrem k provozování prostředí bez rizika a dobrého stavu.

Po přidání řešení a dokončení kontroly se na řídicím panelu kontroly stavu služby AD pro infrastrukturu ve vašem prostředí zobrazí souhrnné informace pro prioritní oblasti. Následující části popisují, jak používat informace na řídicím panelu kontroly stavu služby AD , kde můžete zobrazit a pak provést doporučené akce pro vaši serverovou infrastrukturu služby Active Directory.

Obrázek dlaždice Kontrola stavu SLUŽBY AD

obrázek řídicího panelu kontroly stavu SLUŽBY AD

Požadavky

  • Řešení kontroly stavu služby Active Directory vyžaduje, aby byla na každém počítači s nainstalovaným agentem Log Analytics pro Windows (označovaným také jako Microsoft Monitoring Agent (MMA) nainstalovaná podporovaná verze rozhraní .NET Framework 4.6.2 nebo novější. Agenta používají System Center 2016 – Operations Manager, Operations Manager 2012 R2 a Azure Monitor.

  • Řešení podporuje řadiče domény se systémy Windows Server 2008 a 2008 R2, Windows Server 2012 a 2012 R2, Windows Server 2016 a Windows Server 2019.

  • Pracovní prostor služby Log Analytics pro přidání řešení kontroly stavu služby Active Directory z Azure Marketplace v Azure Portal. Nevyžaduje se žádná další konfigurace.

    Poznámka

    Po přidání řešení se soubor AdvisorAssessment.exe přidá na servery s agenty. Konfigurační data se načtou a pak se odešlou ke zpracování do služby Azure Monitor v cloudu. Na přijatá data se aplikuje logika a cloudová služba data zaznamená.

Aby bylo možné provést kontrolu stavu u řadičů domény, které jsou členy domény, která se má vyhodnocovat, vyžaduje každý řadič domény v této doméně agenta a připojení ke službě Azure Monitor pomocí jedné z následujících podporovaných metod:

  1. Nainstalujte agenta Log Analytics pro Windows , pokud řadič domény ještě není monitorovaný nástrojem System Center 2016 – Operations Manager nebo Operations Managerem 2012 R2.
  2. Pokud se monitoruje pomocí nástroje System Center 2016 – Operations Manager nebo Operations Manager 2012 R2 a skupina pro správu není integrovaná se službou Azure Monitor, může být řadič domény s Azure Monitorem vícedomý, aby shromažďoval data a předával ho do služby, a přesto ho monitoruje Operations Manager.
  3. Pokud je vaše skupina pro správu Operations Manageru integrovaná se službou, musíte po povolení řešení v pracovním prostoru přidat řadiče domény pro shromažďování dat službou podle postupu v části Přidání počítačů spravovaných agentem .

Agent na vašem řadiči domény, který hlásí skupině pro správu Operations Manageru, shromažďuje data, předává ho na přiřazený server pro správu a pak se odesílá přímo ze serveru pro správu do služby Azure Monitor. Data se nezapisují do databází nástroje Operations Manager.

Podrobnosti o shromažďování dat pro kontrolu stavu Active Directory

Kontrola stavu služby Active Directory shromažďuje data z následujících zdrojů pomocí agenta, kterého jste povolili:

  • Registr
  • LDAP
  • .NET Framework
  • Protokol událostí
  • Rozhraní SLUŽBY Active Directory (ADSI)
  • Windows PowerShell
  • Data souborů
  • Windows Management Instrumentation (WMI)
  • Rozhraní API nástroje DCDIAG
  • Rozhraní NTFRS (File Replication Service) API
  • Vlastní kód jazyka C#

Data se shromažďují na řadiči domény a předávají se do Služby Azure Monitor každých sedm dní.

Principy určování priority doporučení

Každému provedenému doporučení se přidělí vážená hodnota, která identifikuje relativní důležitost doporučení. Zobrazí se pouze 10 nejdůležitějších doporučení.

Způsob počítání vah

Váhy jsou agregované hodnoty založené na třech klíčových faktorech:

  • Pravděpodobnost, že zjištěný problém způsobí problémy. Vyšší pravděpodobnost odpovídá většímu celkovému skóre doporučení.
  • Dopad problému na vaši organizaci, pokud způsobí problém. Vyšší dopad odpovídá vyššímu celkovému skóre doporučení.
  • Úsilí potřebné k implementaci doporučení Vyšší úsilí odpovídá nižšímu celkovému skóre doporučení.

Váha každého doporučení je vyjádřena jako procento z celkového skóre dostupného pro každou oblast zaměření. Pokud má například doporučení v oblasti zabezpečení a dodržování předpisů skóre 5 %, implementace tohoto doporučení zvýší celkové skóre zabezpečení a dodržování předpisů o 5 %.

Oblasti zaměření

Zabezpečení a dodržování předpisů – tato oblast obsahuje doporučení pro potenciální bezpečnostní hrozby a porušení zabezpečení, firemní zásady a technické, právní a zákonné požadavky na dodržování předpisů.

Dostupnost a provozní kontinuita – Tato oblast zájmu zobrazuje doporučení týkající se dostupnosti služeb, odolnosti infrastruktury a ochrany podniku.

Výkon a škálovatelnost – tato oblast se zaměřuje na doporučení, která vám pomůžou růst INFRASTRUKTURY IT vaší organizace, zajistit, aby vaše IT prostředí splňovalo aktuální požadavky na výkon a dokázalo reagovat na měnící se potřeby infrastruktury.

Upgrade, migrace a nasazení – Tato oblast obsahuje doporučení, která vám pomůžou upgradovat, migrovat a nasadit službu Active Directory do stávající infrastruktury.

Měli byste v každé oblasti zaměření cílit na skóre 100 %?

Ne nutně. Doporučení vycházejí ze znalostí a zkušeností, které získali technici Microsoftu v rámci tisíců návštěv zákazníků. Žádné dvě serverové infrastruktury ale nejsou stejné a konkrétní doporučení pro vás můžou být více nebo méně relevantní. Některá doporučení týkající se zabezpečení můžou být například méně relevantní, pokud vaše virtuální počítače nejsou přístupné z internetu. Některá doporučení k dostupnosti můžou být méně relevantní pro služby, které poskytují shromažďování dat a generování sestav ad hoc s nízkou prioritou. Problémy, které jsou důležité pro vyspělou firmu, můžou být pro začínající podniky méně důležité. Možná budete chtít zjistit, které oblasti zaměření jsou vaše priority, a pak se podívat, jak se vaše skóre mění v průběhu času.

Každé doporučení obsahuje pokyny k tomu, proč je důležité. Tyto pokyny byste měli použít k vyhodnocení, jestli je implementace doporučení pro vás vhodná vzhledem k povaze vašich IT služeb a obchodním potřebám vaší organizace.

Použití doporučení pro oblast fokusu kontroly stavu

Po instalaci můžete zobrazit souhrn doporučení pomocí dlaždice Kontrola stavu na stránce řešení v Azure Portal.

Podívejte se na souhrnná posouzení dodržování předpisů pro vaši infrastrukturu a pak přejděte k podrobným doporučením.

Zobrazení doporučení pro oblast fokusu a provedení nápravných akcí

Data shromážděná tímto řešením monitorování jsou k dispozici na stránce Souhrn pracovního prostoru (zastaralé) v Azure Portal. Otevřete tuto stránku z pracovních prostorů služby Log Analytics pro pracovní prostor s vaším řešením a pak v části Klasické nabídky vyberte Souhrn pracovního prostoru (zastaralé). Každé řešení je reprezentováno dlaždicí. Vyberte dlaždici, abyste získali podrobnější data shromážděná tímto řešením.

  1. Na stránce Přehled klikněte na dlaždici Kontrola stavu služby Active Directory .

  2. Na stránce Kontrola stavu zkontrolujte souhrnné informace v jedné části oblasti fokusu a kliknutím na některou z nich zobrazte doporučení pro danou oblast.

  3. Na libovolné stránce oblasti fokusu můžete zobrazit doporučení určená pro vaše prostředí podle priority. Kliknutím na doporučení v části Ovlivněné objekty zobrazíte podrobnosti o tom, proč doporučení bylo provedeno.

    obrázek doporučení kontroly stavu

  4. Můžete provést nápravné akce navržené v části Navrhované akce. Jakmile bude položka vyřešena, pozdější hodnocení zaznamená, že byly provedeny doporučené akce a vaše skóre dodržování předpisů se zvýší. Opravené položky se zobrazí jako Předané objekty.

Ignorování doporučení

Pokud máte doporučení, která chcete ignorovat, můžete vytvořit textový soubor, pomocí kterého Azure Monitor zabrání tomu, aby se doporučení zobrazovala ve výsledcích posouzení.

Identifikace doporučení, která budete ignorovat

Pomocí log Analytics můžete vytvářet dotazy a analyzovat data protokolů ve službě Azure Monitor kliknutím na Protokoly v nabídce služby Azure Monitor v Azure Portal.

Pomocí následujícího dotazu vypište doporučení, která selhala pro počítače ve vašem prostředí.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Tady je snímek obrazovky zobrazující dotaz na protokol:<

neúspěšná doporučení

Zvolte doporučení, která chcete ignorovat. Hodnoty pro RecommendationId použijete v dalším postupu.

Vytvoření a použití textového souboru IgnoreRecommendations.txt

  1. Vytvořte soubor s názvem IgnoreRecommendations.txt.

  2. Vložte nebo zadejte každé doporučení, které má Azure Monitor ignorovat, na samostatný řádek a pak soubor uložte a zavřete.

  3. Umístěte soubor do následující složky na každém počítači, na který má Azure Monitor doporučení ignorovat.

    • Na počítačích s agentem Microsoft Monitoring Agent (připojeným přímo nebo přes Operations Manager) – SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Na serveru pro správu Operations Manageru 2012 R2 – SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Na serveru pro správu Operations Manageru 2016 – SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Ověření ignorování doporučení

Po spuštění další naplánované kontroly stavu se ve výchozím nastavení každých sedm dní zadaná doporučení označí jako Ignorovaná a na řídicím panelu se nezobrazí.

  1. K výpisu všech ignorovaných doporučení můžete použít následující dotazy na protokoly.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Pokud se později rozhodnete, že se chcete zobrazovat ignorovaná doporučení, odeberte všechny soubory IgnoreRecommendations.txt nebo z nich můžete odebrat ID doporučení.

Nejčastější dotazy

Jaké kontroly provádí řešení ad Assessment?

  • Následující dotaz zobrazí popis všech aktuálně provedených kontrol:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Výsledky je pak možné exportovat do Excelu k další kontrole.

Jak často se kontrola stavu spouští?

  • Kontrola se spouští každých sedm dní.

Existuje způsob, jak nakonfigurovat, jak často se kontrola stavu spouští?

  • V tuto chvíli to není možné.

Pokud se po přidání řešení kontroly stavu zjistí jiný server pro, zkontroluje se.

  • Ano, jakmile se zjistí, kontroluje se od té doby každých sedm dní.

Pokud se server vyřadí z provozu, kdy se odebere z kontroly stavu?

  • Pokud server neodesílá data po dobu 3 týdnů, odeberou se.

Jaký je název procesu shromažďování dat?

  • AdvisorAssessment.exe

Jak dlouho trvá shromáždění dat?

  • Skutečné shromažďování dat na serveru trvá přibližně 1 hodinu. Na serverech, které mají velký počet serverů Služby Active Directory, to může trvat déle.

Existuje způsob, jak nakonfigurovat, kdy se data shromažďují?

  • V tuto chvíli to není možné.

Proč zobrazovat jenom prvních 10 doporučení?

  • Místo toho, abyste měli vyčerpávající seznam úkolů, doporučujeme zaměřit se nejprve na řešení doporučení s danou prioritou. Jakmile je vyřešíte, budou k dispozici další doporučení. Pokud dáváte přednost zobrazení podrobného seznamu, můžete všechna doporučení zobrazit pomocí dotazu protokolu.

Existuje způsob, jak doporučení ignorovat?

Další kroky

Pomocí dotazů na protokoly služby Azure Monitor se dozvíte, jak analyzovat podrobná data kontroly stavu AD a doporučení.