Administração do Windows

Monitorando o Active Directory com o MOM

John Hann

 

Visão geral:

  • Pacotes de gerenciamento do Active Directory
  • Dicas de personalização do MOM
  • Ajuste de alerta

Os pacotes de gerenciamento são a alma do MOM 2005 (Microsoft Operations Manager) e é o que diferencia o MOM de outros produtos de gerenciamento. O MOM usa pacotes de gerenciamento para reunir regras, relatórios, tarefas e exibições e pode ter escopo limitado a um aplicativo

ou serviço específico, como o Active Directory. As equipes de produtos da Microsoft criaram os pacotes de gerenciamento para os aplicativos por elas desenvolvidos, assegurando que o MOM reflita o conhecimento profundo das equipes em relação ao produto. Além disso, os pacotes de gerenciamento podem ser personalizados para se ajustar ao seu ambiente de TI. Você então tem regras que monitoram e gerenciam o produto com base no seu servidor e no seu ambiente de aplicativo específicos.

Não só existe um pacote de gerenciamento específico para o Active Directory®, mas muitos pacotes de gerenciamento para medir a integridade dos serviços de diretório, desde os sistemas operacionais de base do Windows Server® até Protocolo DHCP, DNS e FRS (Serviço de Duplicação de Arquivos). Vamos examinar esses pacotes de gerenciamento em detalhes, assim você terá uma compreensão melhor sobre a possibilidade de gerenciamento ponta a ponta do Active Directory pelo MOM.

Pacote de gerenciamento do DHCP

O pacote de gerenciamento do DHCP Service monitora o serviço do DHCP em execução no Windows NT®, Windows® 2000 e Windows Server 2003. Monitorar o DHCP é uma boa idéia, pois você fica sabendo se clientes estão tendo problemas para se conectar à rede. Você também será alertado sobre servidores DHCP não autorizados em execução no seu ambiente. O pacote de download desse pacote de gerenciamento contém um guia que documenta as regras e os relatórios, além de monitorar os cenários e implantação. Um tesouro de documentações e orientações adicionais pode ser encontrado no site do MOM 2005 da TechNet (microsoft.com/technet/prodtechnol/mom/mom2005).

Quanto mais recente for a versão do Windows em que você executar o serviço DHCP, mais instrumentação e funcionalidade o MOM 2005 fornecerá para gerenciá-lo. Portanto, você obterá mais informações sobre um servidor DHCP do Windows Server 2003, do que de um servidor DHCP do Windows NT. Por exemplo, um servidor DHCP em execução no Windows Server 2003 pode ter os respectivos superescopos monitorados, ao passo que o pacote de gerenciamento DHCP monitora apenas os escopos normais em um servidor DHCP do Windows 2000. Você pode impedir que escopos sejam monitorados, colocando-os como um parâmetro do script de monitoramento.

Como mencionado anteriormente, o pacote de gerenciamento DHCP oferece suporte a servidores DHCP em execução no Windows NT, no Windows 2000 Server e no Windows Server 2003. Os grupos de computadores são preenchidos por meio de fórmulas que usam a versão do sistema operacional, e se o servidor hospedar o serviço do servidor DHCP.

O pacote de gerenciamento DHCP não oferece suporte a configurações de baixo privilégio. A Conta de Ação agente deve ser um membro do grupo Administradores local. Há suporte para o monitoramento sem agente, porém tarefas não têm suporte na configuração sem agente. A Figura 1 lista os relatórios disponíveis no pacote de gerenciamento DHCP.

Figure 1 Relatórios do serviço DHCP

Todos os servidores DHCP
Todos os servidores DHCP autorizados
Histórico de desempenho - comprimento de fila ativa
Histórico de desempenho - comprimento da fila de verificação de conflito
Histórico de desempenho – recusas por segundo
Histórico de desempenho - descobertas por segundo
Histórico de desempenho- milissegundos por pacote (Méd)
Histórico de desempenho - NACKs por segundo
Histórico de desempenho- endereços sem escopo
Histórico de desempenho - endereços do escopo em uso
Histórico de desempenho - endereço sem de superescopo
Histórico de desempenho - endereços de superescopo em uso

O download do pacote de gerenciamento DHCP pode ser feito em go.microsoft.com/fwlink/?LinkId=79527.

Pacote de gerenciamento do DNS

O pacote de gerenciamento do Domain Name Service monitora o serviço DNS em execução no Windows 2000 Server e no Windows Server 2003. Como se trata de uma parte fundamental da integridade geral de uma implementação do Active Directory, o monitoramento do DNS com o MOM 2005 é essencial. O pacote de gerenciamento do DNS monitora problemas de resolução de nome, problemas de banco de dados, problemas do Registro, eventos e erros de tempo de execução, bem como contadores de desempenho relacionados.

No caso do Windows 2000 Server, um provedor de DNS WMI (Windows Management Instrumentation) precisa ser instalado. Especificamente, isso permite que o pacote de gerenciamento do DNS consulte o namespace DNS do WMI para informações e testes.

Os grupos de computadores são todos preenchidos por fórmulas que usam a versão do sistema operacional e se o servidor hospedar o serviço do servidor DNS para determinar a associação de grupo. O pacote de gerenciamento do DNS oferece suporte a baixo privilégio apenas no Windows Server 2003. No Windows 2000, a Conta de Ação deve ser um membro do grupo Administradores local. No Windows Server 2003, a Conta de Ação deve ser um membro dos grupos locais Usuários e Usuários de Monitor de Desempenho. Além disso, a Conta de Ação deve ter permissões Gerenciar auditoria e log de segurança (SeSecurityPrivilege) e Permitir logon local (SeInteractiveLogonRight). A Figura 2 lista os relatórios disponíveis no pacote de gerenciamento do DNS.

Figure 2 Relatórios do serviço DNS

Todos os servidores DNS do Windows
Todos os servidores DNS do Windows por zona
Todas as zonas DNS do Windows por servidor

Marcus Oh, um MVP de SMS (Systems Management Server) da Microsoft®, desenvolveu um script que testa um servidor DNS, chamando o nslookup para verificar a capacidade do servidor DNS para resolver os nomes. Reserve um tempo para analisar a postagem de Marcus no blog, em marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html, você vai querer integrar esse script ao seu pacote de gerenciamento do DNS.

Você pode fazer download do pacote de gerenciamento do DNS em go.microsoft.com/fwlink/?LinkId=79528.

Pacote de gerenciamento do FRS

O pacote de gerenciamento do Serviço de Replicação de Arquivos do Windows monitora o serviço FRS em execução no Windows 2000 e no Windows Server 2003. O FRS é usado pelos controladores de domínio para replicar scripts de logon e informações de Diretiva de Grupo. O pacote de gerenciamento do FRS detalhará a integridade do serviço FRS em cada controlador de domínio.

O pacote de gerenciamento do FRS utiliza a ferramenta Ultrasound, disponível em go.microsoft.com/fwlink/?LinkId=79529. O Ultrasound cria um namespace WMI para FRS em cada controlador de domínio. Observe que o Ultrasound requer um banco de dados e armazenará as informações do namespace WMI em cada controlador de domínio, para monitoramento de integridade. Usando as informações do Ultrasound, o pacote de gerenciamento do FRS oferece monitoramento de conjuntos de réplica, de membros, de conexões, do próprio serviço FRS e do serviço controlador Ultrasound.

Na verdade, você deve instalar o Ultrasound em um servidor separado do servidor de gerenciamento. As regras do Ultrasound geram eventos e alertas em nome de outros computadores. Para que as regras do Ultrasound processem os dados corretamente, você deve habilitar o proxy agente no console de administração do MOM em cada servidor com o Ultrasound em execução. A Figura 3 lista os quatro relatórios de serviço disponíveis no pacote de gerenciamento do FRS.

Figure 3 Relatórios do serviço FRS

Ultrasound - problemas detectados com freqüência: conexões mais problemáticas
Ultrasound - problemas detectados com freqüência: membros mais problemáticos
Ultrasound - problemas detectados com freqüência: conjunto de réplicas mais problemáticas
Ultrasound - problemas detectados com freqüência: resumo

Os grupos de computadores associados a esse pacote de gerenciamento incluem os servidores Microsoft Ultrasound 1.0 e servidores FRS executados no Windows 2000 Server e no Windows Server 2003. Os grupos de computadores são todos preenchidos por fórmulas que usam a versão do sistema operacional e se o servidor hospedar o serviço FRS para determinar a associação de grupo. O grupo de servidores Ultrasound será preenchido quando um servidor tiver o Ultrasound instalado.

Quando você configura o pacote de gerenciamento do FRS para baixo privilégio, as tarefas não funcionam, mas há suporte para o restante das funcionalidades do pacote de gerenciamento. A Conta de Ação deve ter acesso de leitura ao banco de dados Ultrasound e permissão de execução do procedimento armazenado GetControllerStatusForMOM001. O pacote de gerenciamento do FRS inclui suporte para monitoramento sem agente, bem como computadores gerenciados por agente.

O download do pacote de gerenciamento do FRS pode ser feito em go.microsoft.com/fwlink/?LinkId=79530.

Pacote de gerenciamento do Windows Server

O pacote de gerenciamento do Windows Base Operating System monitora o Windows NT 4.0 Server, o Windows 2000 Server e o Windows Server 2003. O pacote de gerenciamento do SO Base reportará a integridade do sistema operacional aos seus controladores de domínio, além de monitorar os serviços de raiz no sistema. O pacote de gerenciamento apresenta o status dos serviços principais do Windows, desempenho de memória e processador, bem como o espaço livre em disco e a latência em disco. Existe alguma sobreposição entre as regras de monitoramento desse pacote de gerenciamento e as demais regras abordadas neste artigo, mas ela oferece uma visão bem detalhada da integridade do controlador de domínio.

A Figura 4 mostra os relatórios disponíveis no pacote de gerenciamento do SO Base. Como nos outros pacotes de gerenciamento, os grupos de computadores são todos preenchidos por fórmulas que usam a versão do sistema operacional.

Figure 4 Relatórios do sistema operacional de base

Análise de desempenho de disco
Configuração do sistema operacional
Desempenho do sistema operacional
Desligamento do sistema operacional por evento
Desligamento do sistema operacional por servidor
Configuração de armazenamento do sistema operacional
Instalações de software e aplicativos por aplicativo
Instalação de software e aplicativos por instância
Instalações de software e aplicativos por servidor
Confiabilidade - falhas de aplicativo por aplicativo
Confiabilidade - falhas de aplicativo por computador
Confiabilidade - falhas de aplicativo por evento
Confiabilidade - falhas do sistema operacional por computador
Confiabilidade - falhas do sistema operacional por evento
Confiabilidade - falhas do sistema operacional por código de interrupção
Histórico de desempenho - histórico de desempenho
Histórico de desempenho - relatórios adicionais

Ao configurar o pacote de gerenciamento do SO Base para operações com baixo privilégio, o Windows 2000 requer que a Conta de Ação seja um membro do grupo Administradores local. O Windows Server 2003 requer que a Conta de Ação seja um membro dos grupos locais Usuários e Usuários de Monitor de Desempenho, além de possuir permissões Gerenciar auditoria e log de segurança (SeSecurityPrivilege) e Permitir logon local (SeInteractiveLog-onRight). A maior parte do pacote de gerenciamento do SO Base, com exceção das tarefas, tem suporte em computadores monitorados sem agente.

O download do pacote de gerenciamento do SO Base pode ser feito em go.microsoft.com/fwlink/?LinkId=79531.

Pacote de gerenciamento do Active Directory

O pacote de gerenciamento do Active Directory é muito amplo e as respectivas regras abordam o Windows 2000 Server e o Windows Server 2003. O pacote de gerenciamento do Active Directory abrange cinco áreas de regras: monitoramento do lado cliente, monitoramento de confiança, monitoração da replicação e descoberta de topologia, além das regras que abordam os sistemas operacionais Windows 2000 Server e Windows Server 2003. Como já vimos antes, as versões mais recentes do Windows permitem mais instrumentação e, portanto, mais monitoramento. Por exemplo, o pacote de gerenciamento oferece suporte a monitoramento de confiança no Windows Server 2003, mas não no Windows 2000.

O pacote de gerenciamento do Active Directory cria uma série de grupos que são usados para aplicar regras a computadores específicos. As regras de monitoramento do lado do cliente usam um grupo chamado Active Directory Client Side Monitoring. Você colocaria os computadores que tivessem o agente MOM instalado nesse grupo para monitorar e gerenciar essas regras. Eu coloquei alguns computadores desktop licenciados com o agente nesse grupo, bem como alguns servidores Exchange. O Exchange Server usa muito o Active Directory e pode ser o indicador de um problema de desenvolvimento. Os computadores desktop no grupo podem ajudá-lo a avaliar a experiência do usuário final. As regras de monitoramento do lado cliente utilizam scripts para testar a conectividade em controladores de domínio, consultando-os por LDAP e reportando falhas. É importante observar que as regras de monitoramento do lado do cliente só podem ser aplicadas a computadores gerenciados por agente com proxy habilitado, mas que não sejam controladores de domínio.

As regras de monitoramento de confiança usam um grupo chamado Active Directory Trust Monitoring. Os computadores Windows Servers 2003 devem ser colocados nesse grupo para testar confianças. O Windows Servers 2003 tem um namespace WMI para monitoramento de confiança. Essas regras empregam um script para consultas ao namespace WMI. Quando forem detectados erros em confianças com outros domínios, essas regras irão alertá-lo.

Há muitas regras do pacote de gerenciamento do Active Directory que se aplicam ao Windows 2000 Server ou ao Windows Server 2003. Essas regras delineiam as diferenças na forma como o Active Directory é implementado entre os dois sistemas operacionais. No entanto, a maior parte do pacote de gerenciamento do Active Directory está nas regras combinadas de ambos os sistemas operacionais. Algumas dessas regras incluem scripts para testar a conectividade entre controladores de domínio, execução de função FSMO (função de operação flutuante de mestre único), tamanho do banco de dados de DIT (árvore de informações de diretórios), validação de processamento de Diretiva de Grupo, inspeção KCC (Knowledge Consistency Checker) e teste do serviço de mensagens entre sites.

A monitoração da replicação é a parte central do pacote de gerenciamento do Active directory. Dois grupos, Active Directory Replication Latency Data Collection - Sources e Active Directory Replication Latency Data Collection – Target, Active Directory Replication Latency Data Collection (Sources and Active Directory Replication Latency Data Collection) Targets estão em vigor para permitir que você configure os controladores de domínio usados apenas para gerar relatório de monitoração da replicação. A latência de replicação é calculada para cada membro dos grupos de coleta de dados. Os contadores de desempenho são preenchidos com o tempo de replicação gasto pelas atualizações para cada um dos membros do grupo. A latência de replicação por toda a empresa é calculada e reportada (e alertas são gerados) se ela exceder os limites definidos. Observe que um namespace do WMI para monitoração da replicação precisa ser instalado no Windows 2000 Server.

No pacote de gerenciamento do Active Directory, a descoberta de topologia é usada para criar diagramas da sua implementação. Esses diagramas úteis podem ser exportados para o Microsoft Office Visio®. Os diagramas são criados em tempo real pelo MOM, portanto, você pode criar uma versão atualizada em poucos segundos.

Nas Exibições de Diagrama do MOM 2005 Operator Console existem três diagramas do pacote de gerenciamento do Active Directory. O diagrama Objetos de Conexão Interrompidos (veja a Figura 5) mostrará todas as conexões que estejam em estado de erro. Esse diagrama pode estar em branco se não houver nenhum erro de conexão.

Figura 5 As conexões interrompidas estão realçadas na Exibição de diagrama.

Figura 5** As conexões interrompidas estão realçadas na Exibição de diagrama. **

O diagrama Objetos de Conexão realça as conexões entre controladores de domínio. O diagrama Links de Sites mostra cada site do Active Directory, encapsulando os controladores de domínio apropriados nesse site e os links de site de conexão.

Como os diagramas criados pelo MOM para essas exibições são dinâmicos, você pode exportá-los para o Visio para editá-los e personalizá-los facilmente. Por exemplo, a Figura 6 mostra o diagrama Links de Sites sendo editado no Visio.

Figura 6 Editando um diagrama Links de Sites no Visio

Figura 6** Editando um diagrama Links de Sites no Visio **(Clique na imagem para aumentar a exibição)

A Figura 7lista os relatórios disponíveis no pacote de gerenciamento do Active Directory. Os grupos de computadores associados a esse pacote de gerenciamento são mostrados na Figura 8. Como se pode observar, os grupos de computadores do Active Directory são preenchidos pela associação explícita. Os grupos de computadores do Windows são preenchidos de acordo com a versão do sistema operacional e se a máquina for um controlador de domínio.

Figure 8 Grupos de computadores

Monitoramento do lado cliente do Active Directory
Dados da latência de replicação do Active Directory
Coleção - fontes
Dados da latência de replicação do Active Directory
Coleção - destinos
Monitoramento de confiança do Active Directory
Controladores de domínio do Windows 2000 Server
Controladores de domínio do Windows Server 2003

Figure 7 Relatórios do Active Directory

Controlador de domínio do AD
Execução de função do AD
Objetos de conexão para replicação do AD
Links de sites para replicação do AD
Espaço em disco do controlador de domínio do AD
Alterações de domínio do AD
Falhas de autenticação de conta da máquina do AD
Largura de banda de replicação do AD
Latência de replicação do AD

O pacote de gerenciamento do Active Directory pode ser configurado para baixo privilégio nos controladores de domínio do Windows Server 2003. O pacote de gerenciamento não oferece suporte ao monitoramento sem agente. No Windows 2000 Server, a Conta de Ação agente deve estar no grupo Admins. do Domínio ou Administradores local. A Conta de Ação agente nos controladores de domínio do Windows Server 2003 deve ter permissões adicionais para ser configurada para baixo privilégio, incluindo associação nos grupos Usuários e Usuários de Monitor de Desempenho, acesso aos Logs de Eventos e os privilégios SeSecurityPrivilege, SeAuditPrivilege e SeInteractiveLogonRight. Além disso, o seguinte acesso é requerido: acesso completo ao Contêiner CN=MomLatencyMonitors no Active Directory para monitoração da replicação, acesso de leitura aos diretórios que contêm o banco de dados NTDS.dit e arquivos de log, bem como acesso de leitura à seguinte chave do Registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

Se você estiver monitorando confianças no Windows Server 2003, observe que o script AD Monitor Trusts requer que a Conta de Ação agente tenha associação de grupo Admin. do Domínio ou Administradores.

O download do pacote de gerenciamento do Active Directory pode ser feito em go.microsoft.com/fwlink/?LinkId=79540.

Personalizando o MOM para o Active Directory

O pacote de gerenciamento do Active Directory deve ser configurado, do contrário os alertas manterão seu console cheio. O momento de mais ruído para o pacote de gerenciamento do Active Directory ocorre quando um controlador de domínio é reiniciado – todos os alertas possíveis parecem ter sido disparados. A má noticia é que não é fácil fazê-los parar. O melhor que você tem a fazer é utilizar o Modo de Manutenção do MOM para controlar os alertas durante as janelas de manutenção antecipada. A finalidade do Modo de Manutenção é resolver automaticamente os alertas dos controladores de domínio, de modo que o console não será preenchido.

Certifique-se de configurar o grupo Active Directory Client Side Monitoring, colocando os computadores cliente e os servidores apropriados dentro do grupo. As regras associadas a esse grupo ajudarão a determinar a integridade dos seus FSMOs e a conectividade com eles.

Existem regras de desempenho que usam limites de ligação com os FSMOs, por meio de LDAP, PING e DNS para verificar a conectividade. Essas regras estão localizadas nas regras de desempenho de Disponibilidade do Active Directory. Você deve personalizar os limites usados por essas regras, configurando a severidade do alerta. Por exemplo, as ligações FSMO usam valores de atributos que estejam em segundos. As regras de desempenho em relação a cada uma das funções FSMO usam essa metodologia de criação de alerta.

É importante entender como funcionam as configurações de Cálculo de Severidade de Alerta da Regra de Estado. A caixa de dialogo usa as condições If-Else do valor de atributo e configura a severidade do alerta adequadamente (veja a Figura 9). Quando a regra coleta o contador de desempenho da Última Ligação,criado pelo script AD Op Master Response, ela os verifica com os limites condicionais configurados por essas regras. É necessário configurar esses níveis de alerta diferentes para o seu ambiente.

Figura 9 Configurando regras de severidade de alerta

Figura 9** Configurando regras de severidade de alerta **(Clique na imagem para aumentar a exibição)

Lembre-se do agendamento da replicação de cada controlador de domínio. Se um determinado controlador de domínio tiver um agendamento diferente dos demais, ele distorcerá os resultados de latência da replicação e fará com que você configure limites mais altos. Você precisará configurar os parâmetros dos scripts de replicação para se adequar às necessidades do seu ambiente específico. É importante observar que, quando algum controlador de domínio estiver inativo ou com problemas de replicação, todos os demais controladores de domínio desse grupo poderão reportar uma falha de replicação desse controlador de domínio, mesmo que não seja um parceiro de replicação direto. Portanto, ainda que você coloque o controlador de domínio problemático no Modo de Manutenção, os demais controladores de domínio podem reportar falhas de replicação.

A monitoração da replicação é onde você deve gastar a maioria do seu esforço no ajuste do pacote de gerenciamento do Active Directory. Você precisará executar o pacote de gerenciamento no seu ambiente por duas semanas, para observar de que modo ele emite alertas. Quando você observar algumas tendências se desenvolvendo, use os relatórios para descrever as latências e ajustar os limites adequadamente.

Finalmente, aproveite as orientações fornecidas em Alert Tuning Solution Accelerator.

Olhando para o futuro

O MOM 2005 e o pacote de gerenciamento do Active Directory permitem que você monitore de maneira eficiente e eficaz a implementação do Active Directory em sua organização. Com os pacotes de gerenciamento do Active Directory, DHCP, DNS, FRS e Windows Server Base OS, você será capaz de monitorar a maioria dos aspectos de sua infra-estrutura, protegendo a integridade e o bem estar da infra-estrutura do Active Directory e, também, dos seus usuários. Usando os dados coletados no relatório do data warehouse, você pode analisar o desempenho e os dados de evento para auxiliá-lo no planejamento de capacidade e na tendência de desempenho.

Para encontrar os pacotes de gerenciamento abordados neste artigo, juntamente com vários outros, veja o Management Pack Catalog (Catálogo de pacotes de gerenciamento).

A próxima atualização do pacote de gerenciamento do Active Directory conterá a coleção usual de correções e ajustes para alguns limites. Mais interessantes são os novos recursos planejados para a próxima versão do produto, conhecida como System Center Operations Manager 2007, que inclui a capacidade de monitorar várias florestas de um único grupo de configuração para definir grupos de controladores de domínio (cada um com a sua própria latência de replicação esperada entre outros grupos) e monitorar controladores de domínio executados na próxima versão do Windows Server. Passe no site do MOM em Microsoft.com/mom para saber detalhes.

John Hanntrabalha com o MOM desde a versão 2000 e é MVP do MOM desde 2004. John contribui para MyITForum.com, MOMCommunity.com, e LearnMOM.com. Você pode entrar em contato com ele pelo blog.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..