Monitorování stavu replikace Active Directory pomocí služby Azure Monitor

  • Článek

Symbol stavu replikace AD

Active Directory je klíčovou součástí podnikového IT prostředí. Pro zajištění vysoké dostupnosti a vysokého výkonu má každý řadič domény vlastní kopii databáze služby Active Directory. Řadiče domény se replikují mezi sebou, aby se změny rozšířily v rámci podniku. Selhání v tomto procesu replikace můžou způsobit celou řadu problémů v celém podniku.

Řešení stavu replikace služby AD pravidelně monitoruje případné selhání replikace ve vašem prostředí služby Active Directory.

Instalace a konfigurace řešení

K instalaci a konfiguraci řešení můžete použít následující informace.

Požadavky

  • Řešení stavu replikace služby AD vyžaduje, aby byla na každém počítači s nainstalovaným agentem Log Analytics pro Windows (označovaným také jako Microsoft Monitoring Agent (MMA) nainstalovaná podporovaná verze rozhraní .NET Framework 4.6.2 nebo novější. Agenta používají System Center 2016 – Operations Manager, Operations Manager 2012 R2 a Azure Monitor.
  • Řešení podporuje řadiče domény se systémy Windows Server 2008 a 2008 R2, Windows Server 2012 a 2012 R2 a Windows Server 2016.
  • Pracovní prostor služby Log Analytics pro přidání řešení kontroly stavu Active Directory z Azure Marketplace do Azure Portal. Nevyžaduje se žádná další konfigurace.

Instalace agentů na řadiče domény

Agenty musíte nainstalovat na řadiče domény, které jsou členy domény, které mají být vyhodnoceny. Nebo musíte agenty nainstalovat na členské servery a nakonfigurovat je tak, aby odesílali data replikace AD do služby Azure Monitor. Informace o tom, jak připojit počítače s Windows ke službě Azure Monitor, najdete v tématu Připojení počítačů s Windows ke službě Azure Monitor. Pokud je váš řadič domény již součástí existujícího prostředí System Center Operations Manageru, které chcete připojit ke službě Azure Monitor, přečtěte si téma Připojení Operations Manageru ke službě Azure Monitor.

Povolení jiného než řadiče domény

Pokud nechcete připojit žádný z vašich řadičů domény přímo ke službě Azure Monitor, můžete pomocí libovolného jiného počítače ve vaší doméně připojeného ke službě Azure Monitor shromáždit data pro balíček řešení stavu replikace SLUŽBY AD a nechat ho odesílat data.

  1. Pomocí řešení stavu replikace služby AD ověřte, že je počítač členem domény, kterou chcete monitorovat.

  2. Připojte počítač s Windows ke službě Azure Monitor nebo ho pomocí stávajícího prostředí Operations Manageru připojte ke službě Azure Monitor, pokud ještě není připojený.

  3. Na tomto počítači nastavte následující klíč registru:
    Klíč: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\Management Groups<ManagementGroupName>\Solutions\ADReplication
    Hodnota: IsTarget
    Údaj hodnoty: true

    Poznámka

    Tyto změny se projeví až po restartování služby Microsoft Monitoring Agent (HealthService.exe).

    Instalace řešení

    Postupujte podle postupu popsaného v tématu Instalace řešení pro monitorování a přidejte řešení stavu replikace služby Active Directory do pracovního prostoru služby Log Analytics. Není nutná žádná další konfigurace.

Podrobnosti o shromažďování dat o stavu replikace SLUŽBY AD

Následující tabulka obsahuje metody shromažďování dat a další podrobnosti o tom, jak se shromažďují data pro stav replikace služby AD.

platforma Přímý agent Agent SCOM Azure Storage Vyžaduje se SCOM? Data agenta SCOM odesílaná prostřednictvím skupiny pro správu frekvence shromažďování
Windows každých pět dní

Vysvětlení chyb replikace

Data shromážděná tímto řešením monitorování jsou k dispozici na stránce Souhrn pracovního prostoru (zastaralé) v Azure Portal. Otevřete tuto stránku z pracovních prostorů služby Log Analytics pro pracovní prostor s vaším řešením a pak v části Klasické nabídky vyberte Souhrn pracovního prostoru (zastaralé). Každé řešení je reprezentováno dlaždicí. Vyberte dlaždici, abyste získali podrobnější data shromážděná tímto řešením.

Na dlaždici Stav replikace služby AD se zobrazuje počet aktuálně chyb replikace. Kritické chyby replikace jsou chyby, které představují 75 % doby životnosti objektu, který je v doménové struktuře služby Active Directory nebo je vyšší než 75 %.

Dlaždice Stav replikace SLUŽBY AD

Po kliknutí na dlaždici se zobrazí další informace o chybách. Řídicí panel stavu replikace služby AD

Stav cílového serveru a stav zdrojového serveru

Tyto sloupce zobrazují stav cílových a zdrojových serverů, u kterých dochází k chybám replikace. Číslo za názvem každého řadiče domény označuje počet chyb replikace na daném řadiči domény.

Chyby pro cílové i zdrojové servery se zobrazují, protože některé problémy se snadněji řeší z pohledu zdrojového serveru a jiné z hlediska cílového serveru.

V tomto příkladu vidíte, že mnoho cílových serverů obsahuje zhruba stejný počet chyb, ale jeden zdrojový server (ADDC35) obsahuje mnohem více chyb než všechny ostatní. Je pravděpodobné, že u doplňku ADDC35 došlo k nějakému problému, který způsobuje selhání odesílání dat partnerům pro replikaci. Oprava problémů na ADDC35 může vyřešit mnoho chyb, které se zobrazují v oblasti cílového serveru.

Typy chyb replikace

Tato oblast obsahuje informace o typech chyb zjištěných v celém podniku. Každá chyba má jedinečný číselný kód a zprávu, která vám pomůže určit původní příčinu chyby.

Prstenec v horní části vám dává představu o tom, které chyby se ve vašem prostředí zobrazují častěji a méně často.

Zobrazí se, když u více řadičů domény dojde ke stejné chybě replikace. V takovém případě můžete zjistit nebo identifikovat řešení na jednom řadiči domény a pak ho opakovat na jiných řadičích domény ovlivněných stejnou chybou.

Doba života odstraněné položky

Doba života odstraněného objektu určuje, jak dlouho se odstraněný objekt, označovaný jako objekt, který se označuje jako odstraněný, uchová v databázi služby Active Directory. Když odstraněný objekt projde životností objektu, proces uvolňování paměti ho automaticky odebere z databáze služby Active Directory.

Výchozí životnost náhrobku je u nejnovějších verzí Windows 180 dní, ale ve starších verzích to bylo 60 dnů a může ji změnit explicitně správce služby Active Directory.

Je důležité vědět, jestli dochází k chybám replikace, které se blíží nebo jsou po době životnosti objektu, který je odstraněný. Pokud u dvou řadičů domény dojde k chybě replikace, která přetrvává po uplynutí doby životnosti objektu tombstone, replikace mezi těmito dvěma řadiči domény se zakáže, a to i v případě, že je chyba základní replikace opravená.

Oblast Životnost objektu tombstone pomáhá identifikovat místa, kde hrozí nebezpečí, že dojde k zakázané replikaci. Každá chyba v kategorii Více než 100% TSL představuje oddíl, který se nereplikoval mezi zdrojovým a cílovým serverem po dobu alespoň doby života objektu, který je v doménové struktuře odstraněný.

V takové situaci nebude stačit jednoduchá oprava chyby replikace. Před restartováním replikace musíte minimálně ručně prověřit, abyste identifikovali a vyčistili přetrvávající objekty. Možná dokonce budete muset vyřadit řadič domény z provozu.

Kromě identifikace všech chyb replikace, které přetrvávaly po životnosti objektu tombstone, chcete také věnovat pozornost chybám spadajícím do kategorií 50–75 % TSL nebo 75–100 %.

Jedná se o chyby, které jasně přetrvávají, ale nejsou přechodné, takže k vyřešení pravděpodobně budou vyžadovat váš zásah. Dobrou zprávou je, že ještě nedosáhli života na náhrobku. Pokud tyto problémy vyřešíte okamžitě a dříve, než dosáhnou doby životnosti, může se replikace restartovat s minimálním ručním zásahem.

Jak už bylo uvedeno dříve, dlaždice řídicího panelu pro řešení stavu replikace AD zobrazuje počet kritických chyb replikace ve vašem prostředí, který je definovaný jako chyby, které jsou více než 75 % doby života objektu mbstone (včetně chyb, které jsou více než 100 % TSL). Snažte se, aby toto číslo bylo 0.

Poznámka

Všechny výpočty procent doby života objektu jsou založeny na skutečné životnosti objektu Active Directory, takže můžete důvěřovat, že jsou tato procenta přesná, i když máte nastavenou vlastní hodnotu životnosti objektu.

Podrobnosti o stavu replikace SLUŽBY AD

Když kliknete na libovolnou položku v některém ze seznamů, zobrazí se o ní další podrobnosti pomocí dotazu protokolu. Výsledky jsou filtrované tak, aby zobrazovaly pouze chyby související s danou položkou. Pokud například kliknete na první řadič domény uvedený v části Stav cílového serveru (ADDC02), zobrazí se výsledky dotazu filtrované tak, aby zobrazovaly chyby s tímto řadičem domény uvedeným jako cílový server:

Chyby stavu replikace AD ve výsledcích dotazu

Odtud můžete dále filtrovat, upravit dotaz na protokol atd. Další informace o používání dotazů na protokoly ve službě Azure Monitor najdete v tématu Analýza dat protokolu ve službě Azure Monitor.

Pole HelpLink zobrazuje adresu URL stránky TechNet s dalšími podrobnostmi o této konkrétní chybě. Tento odkaz můžete zkopírovat a vložit do okna prohlížeče a zobrazit si informace o řešení potíží a opravě chyby.

Můžete také kliknout na Exportovat a exportovat výsledky do Excelu. Export dat vám může pomoct vizualizovat data o chybách replikace libovolným způsobem.

exportované chyby stavu replikace AD v Excelu

Nejčastější dotazy

Otázka: Jak často se aktualizují data stavu replikace AD? O: Informace se aktualizují každých pět dní.

Otázka: Existuje způsob, jak nakonfigurovat, jak často se tato data aktualizují? O: V tuto chvíli ne.

Otázka: Musím do pracovního prostoru služby Log Analytics přidat všechny řadiče domény, aby se zobrazil stav replikace? O: Ne, je potřeba přidat jenom jeden řadič domény. Pokud máte v pracovním prostoru služby Log Analytics více řadičů domény, odesílají se data ze všech z nich do služby Azure Monitor.

Otázka: Do pracovního prostoru služby Log Analytics nechci přidávat žádné řadiče domény. Můžu dál používat řešení stavu replikace AD?

Odpověď: Ano. Pokud ho chcete povolit, můžete nastavit hodnotu klíče registru. Viz Povolení jiného než řadiče domény.

Otázka: Jaký je název procesu shromažďování dat? O: AdvisorAssessment.exe

Otázka: Jak dlouho trvá shromáždění dat? O: Doba shromažďování dat závisí na velikosti prostředí active directory, ale obvykle trvá méně než 15 minut.

Otázka: Jaký typ dat se shromažďuje? O: Informace o replikaci se shromažďují prostřednictvím protokolu LDAP.

Otázka: Existuje způsob, jak nakonfigurovat shromažďování dat? O: V tuto chvíli ne.

Otázka: Jaká oprávnění potřebuji ke shromažďování dat? O: Normální uživatelská oprávnění ke službě Active Directory jsou dostatečná.

Řešení potíží se shromažďováním dat

Aby bylo možné shromažďovat data, balíček řešení stavu replikace AD vyžaduje připojení aspoň jednoho řadiče domény k vašemu pracovnímu prostoru služby Log Analytics. Dokud se k řadiči domény připojíte, zobrazí se zpráva s oznámením, že se data stále shromažďují.

Pokud potřebujete pomoc s připojením některého z řadičů domény, můžete si prohlédnout dokumentaci v tématu Připojení počítačů s Windows ke službě Azure Monitor. Pokud je váš řadič domény už připojený k existujícímu prostředí Nástroje System Center Operations Manager, můžete si dokumentaci prohlédnout v tématu Připojení nástroje System Center Operations Manager ke službě Azure Monitor.

Pokud nechcete připojit žádný z řadičů domény přímo ke službě Azure Monitor nebo nástroji System Center Operations Manager, přečtěte si téma Povolení řadiče mimo doménu.

Další kroky