Оптимизация среды Active Directory с помощью решения проверки работоспособности Active Directory в Azure Monitor

  • Статья

Символ проверки работоспособности AD

Примечание

Сведения из данной статьи были недавно обновлены. Теперь вместо термина "Log Analytics" используется термин "журналы Azure Monitor". Данные журнала по-прежнему хранятся в рабочей области Log Analytics, собираются и анализируются той же службой Log Analytics. Целью обновления терминологии является лучшее отражение роли журналов в Azure Monitor. Дополнительные сведения см. в статье Изменения фирменной символики Azure Monitor.

Решение проверки работоспособности Active Directory можно использовать для периодичной оценки риска и состояния серверной среды. Эта статья поможет вам установить и использовать это решение таким образом, чтобы в случае проблем вы могли выполнить корректирующие действия.

Это решение предоставляет приоритетный список рекомендаций, относящихся к развернутой серверной инфраструктуре. Рекомендации сгруппированы в четыре приоритетные области, помогающие быстро оценить риски и принять меры.

В основу предлагаемых рекомендаций положены знания и опыт, приобретенные специалистами Майкрософт в результате многочисленных посещений клиентов. Каждая рекомендация является определенным руководством, поясняющим важность проблемы и приводящим действия по реализации предложенных изменений.

Можно выбрать приоритетные области, наиболее важные для организации, и отслеживать выполнение задач по формированию работоспособной и свободной от рисков среды.

После добавления решения и завершения проверки сводная информация по приоритетным областям отображается на панели мониторинга Проверка работоспособности AD для инфраструктуры среды. В следующих разделах описано, как использовать информацию на панели мониторинга Проверка работоспособности AD. На этой панели можно просмотреть рекомендации и выполнить действия для вашей серверной инфраструктуры Active Directory.

Изображение плитки

Изображение панели мониторинга

Предварительные требования

  • Для решения проверки работоспособности Active Directory на каждом компьютере с агентом Log Analytics для Windows (также известном как Microsoft Monitoring Agent (MMA)) должна быть установлена поддерживаемая платформа .NET Framework 4.6.2 или более поздней версии. Этот агент используется решением System Center 2016 Operations Manager и Operations Manager 2012 R2, а также Azure Monitor.

  • Решение поддерживает контроллеры домена под управлением Windows Server 2008 и 2008 R2, Windows Server 2012 и 2012 R2, Windows Server 2016, а также Windows Server 2019.

  • Рабочая область Log Analytics для добавления решения проверки работоспособности Active Directory в Azure Marketplace на портале Azure. Дополнительные настройки для этого не требуются.

    Примечание

    После добавления решения на серверы с агентами добавляется файл AdvisorAssessment.exe. Данные конфигурации считываются и отправляются на обработку в Azure Monitor в облаке. К полученным данным применяется логика и облачная служба записывает данные.

Чтобы проверить работоспособность контроллеров, которые являются компонентами оцениваемого домена, каждому контроллеру в этом домене требуется агент и подключение к Azure Monitor с помощью одного из следующих поддерживаемых методов.

  1. Установка агента Log Analytics для Windows, если контроллер домена уже не отслеживается с помощью решения System Center 2016 Operations Manager или Operations Manager 2012 R2.
  2. Если сервер отслеживается решением System Center 2016 Operations Manager или Operations Manager 2012 R2 и группа управления не интегрирована с Azure Monitor, контроллер домена может использоваться как многосетевой. С помощью Azure Monitor данные будут собираться и пересылаться в службу, а контроллер домена по-прежнему будет отслеживаться решением Operations Manager.
  3. Если группа управления Operations Manager интегрирована со службой, после включения решения в рабочей области добавьте контроллеры домена для сбора данных службой. Для этого выполните инструкции по добавлению компьютеров под управлением агентов.

Агент в контроллере домена, который отправляет отчеты в группу управления Operations Manager, собирает данные, перенаправляет их на назначенный сервер управления, а затем отправляет их с сервера управления непосредственно в Azure Monitor. Данные не записываются в базы данных Operations Manager.

Сведения о сборе данных для проверки работоспособности Active Directory

Для проверки работоспособности Active Directory данные собираются из следующих источников с помощью включенных агентов:

  • Реестр
  • LDAP
  • .NET Framework
  • Журнал событий
  • Интерфейс ADSI
  • Windows PowerShell
  • данные файлов;
  • Инструментарий управления Windows (WMI)
  • API инструмента DCDIAG
  • API службы репликации файлов (NTFRS)
  • Пользовательский код C#

Данные собираются на сервере контроллера домена и перенаправляются в Azure Monitor каждые семь дней.

Основные сведения о приоритизации рекомендаций

Каждая рекомендация получает взвешенное значение, определяющее относительную важность рекомендаций. Отображаются только 10 наиболее важных рекомендаций.

Процесс вычисления взвешенного значения

Взвешенные значения являются статистическими значениями, основанными на трех ключевых факторах.

  • Вероятность возникновения проблем. Более высокие значения вероятности приравниваются к более высокой общей оценке для рекомендации.
  • Влияние на работу организации, если она является причиной проблемы. Более высокая степень влияния приравнивается к более высокой общей оценке для рекомендации.
  • Усилия , необходимые для реализации рекомендации. Более высокое значение усилий приравнивается к меньшей общей оценке рекомендации.

Взвешенное значение для каждой рекомендации выражается в процентах от общей оценки, доступной для каждой приоритетной области. Например, если рекомендация в области обеспечения безопасности и соответствия требованиям имеет показатель 5 %, реализация этой рекомендации увеличит общую оценку в этой области на 5 %.

Приоритетные области

Безопасность и соответствие требованиям. В этой области содержатся рекомендации в отношении возможных угроз, нарушений безопасности и корпоративных политик, а также технические, юридические и нормативные требования.

Доступность и непрерывность бизнес-процессов. Эта область содержит рекомендации в отношении доступности служб, устойчивости инфраструктуры и защиты бизнеса.

Производительность и масштабируемость. В этой области содержатся рекомендации, которые помогут ИТ-инфраструктуре вашей организации расти, обеспечат соответствие ИТ-среды текущим требованиям к производительности и позволят ей адаптироваться к новым требованиям к инфраструктуре.

Обновление, миграция и развертывание. Эта область содержит рекомендации, которые помогут вам обновить, перенести или развернуть Active Directory в существующую инфраструктуру.

Следует ли стремиться к показателю 100 % в каждой приоритетной области?

Не обязательно. В основу предлагаемых рекомендаций положены знания и опыт, приобретенные специалистами Майкрософт в результате многочисленных посещений клиентов. Однако не существует двух одинаковых серверных инфраструктур, и конкретные рекомендации могут быть применимы к вам в большей или меньшей степени. Например, некоторые рекомендации по обеспечению безопасности могут быть менее значимыми, если виртуальные машины в организации не подключены к Интернету. Некоторые рекомендации о доступности могут иметь менее важное значение для служб, которые обеспечивают сбор низкоприоритетных данных. Проблемы, которые важны для зрелой организации, могут быть не так важны для начинающей компании. Можно определить приоритетные области и затем отследить изменение оценок с течением времени.

В каждой рекомендации указано, почему она важна. Их следует использовать, чтобы определить целесообразность реализации рекомендации с учетом характера ИТ-служб и бизнес-потребностей организации.

Рекомендации по использованию приоритетной области проверки работоспособности

Когда решение будет установлено, вы сможете просматривать сводные рекомендации с помощью плитки "Проверка работоспособности" на странице решения на портале Azure.

Вы можете посматривать сводку оценок соответствия для инфраструктуры, а затем глубже изучить рекомендации.

Просмотр рекомендаций для приоритетной области и выполнение действий по исправлению

Данные, собранные этим решением для мониторинга, доступны на странице Сводка рабочей области (не рекомендуется) в портал Azure. Откройте эту страницу в рабочих областях Log Analytics для рабочей области с вашим решением, а затем выберите Сводка рабочей области (нерекомендуемая) в разделе Классическое меню. Каждое решение представлено в виде плитки. Выберите плитку, чтобы получить более подробные данные, собранные этим решением.

  1. На странице Обзор щелкните плитку Проверка работоспособности Active Directory.

  2. На странице Проверка работоспособности просмотрите сводные сведения в одном из разделов фокус-области и щелкните один из них, чтобы просмотреть рекомендации для этой области.

  3. На всех страницах интересующей области можно просматривать приоритетные рекомендации для вашей среды. Щелкните рекомендацию в разделе Затронутые объекты , чтобы просмотреть сведения о причинах возникновения этой рекомендации.

    Изображение рекомендаций по проверке работоспособности

  4. В разделе Предложенные действияпредставлены действия по исправлению, которые вы можете предпринять. Когда проблема с этим элементом будет устранена, последующие оценки будут указывать, что рекомендованные действия были выполнены, и тогда оценка соответствия возрастет. Исправленные элементы отображаются как Прошедшие проверку объекты.

Игнорирование рекомендаций

Если нужно проигнорировать определенные рекомендации, создайте текстовый файл, при помощи которого рекомендации будут удалены из результатов оценки в Azure Monitor.

Указание рекомендаций, которые нужно проигнорировать

Используйте страницу log analytics для создания запросов и анализа данных журнала в Azure Monitor, нажав кнопку Журналы в меню Azure Monitor на портале Azure.

Выполните следующий запрос, чтобы получить список рекомендаций, не выполненных на компьютерах в вашей среде.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Ниже приведен снимок экрана с запросом по журналам:<

невыполненные рекомендации

Выберите рекомендации, которые нужно проигнорировать. Эти значения будут использоваться для параметра RecommendationId в следующей процедуре.

Создание и использование текстового файла IgnoreRecommendations.txt

  1. Создайте файл с именем IgnoreRecommendations.txt.

  2. Вставьте или введите значение RecommendationId для каждой рекомендации, которую служба Azure Monitor должна игнорировать, в отдельной строке, а затем сохраните и закройте файл.

  3. Поместите файл в следующую папку на каждом компьютере, где служба Azure Monitor должна игнорировать указанные ниже рекомендации.

    • На компьютерах с Microsoft Monitoring Agent (подключенных напрямую или через Operations Manager): системный диск:\Program Files\Microsoft Monitoring Agent\Agent.
    • На сервере управления Operations Manager 2012 R2: системный диск:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server.
    • На сервере управления Operations Manager 2016 — системный диск:\Program Files\Microsoft System Center 2016\Operations Manager\Server.

Контроль игнорирования рекомендаций

После следующей плановой проверки работоспособности (по умолчанию выполняется раз в семь дней) указанные рекомендации отмечаются как игнорируемые и больше не отображаются на панели мониторинга.

  1. Для получения списка всех игнорируемых рекомендаций можете использовать следующие запросы по журналам.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Если вы решите позже просмотреть игнорируемые рекомендации, удалите все файлы IgnoreRecommendations.txt или RecommendationIDs можно удалить из них.

Часто задаваемые вопросы

Какие проверки выполняет решение по оценке AD?

  • В следующем запросе показано описание всех проверок, которые выполняются в настоящее время:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Результаты можно экспортировать в Excel для дальнейшего анализа.

Как часто выполняется проверка работоспособности?

  • Проверка выполняется каждые семь дней.

Можно ли настроить частоту проверки работоспособности?

  • На данный момент нет.

Если добавлено решение проверки работоспособности, а затем обнаружен другой сервер, будет ли он проверяться?

  • Да, после обнаружения он проверяется каждые 7 дней.

Если сервер выведен из эксплуатации, будет ли он удален из решения проверки работоспособности?

  • Если сервер не отправляет данные в течение 3 недель, то он удаляется.

Как называется процесс, который собирает данные?

  • AdvisorAssessment.exe

Сколько времени требуется для сбора данных?

  • Время сбора данных на сервере занимает примерно 1 час. На серверах, которые имеют большое количество серверов Active Directory, процесс сбора может занять больше времени.

Можно ли настроить время сбора данных?

  • На данный момент нет.

Почему отображаются только первые 10 рекомендаций?

  • Вместо отображения полного списка задач мы рекомендуем сконцентрироваться на приоритетных рекомендациях. После этого станут доступны дополнительные рекомендации. Если вы хотите просмотреть весь список, используйте запрос по журналам.

Можно ли игнорировать рекомендации?

Дальнейшие действия

Чтобы научиться анализировать подробные данные и рекомендации для проверки работоспособности AD, см. статью Анализ данных Log Analytics в Azure Monitor.