Опубликован: 29.07.2008 | Уровень: специалист | Доступ: платный
Лекция 13:

Мониторинг Active Directory

< Лекция 12 || Лекция 13: 123 || Лекция 14 >

Элементы мониторинга

Для мониторинга состояния Active Directory нужно отслеживать работу, связанную со службой, и индикаторы функционирования, связанные с сервером, а также события. Цель мониторинга - гарантировать, что Active Directory и контроллеры домена, на которых она выполняется, работают в оптимальном режиме.

При проектировании мониторинга рекомендуется планировать наблюдение за следующими элементами (областями работы) [ 5 ] , [ 13 ] :

  • Производительность служб Active Directory. Эти индикаторы функционирования отслеживаются с помощью счетчиков NTDS в инструменте администрирования Performance.
  • Репликация Active Directory. Функционирование репликации существенно для обеспечения сохранности данных в пределах домена.
  • Функционирование службы DNS и состояние DNS-сервера. Поскольку Active Directory полагается на DNS при поиске ресурсов в сети, то сервер DNS и сама служба должны работать в нормальном режиме, чтобы Active Directory удовлетворяла заданному уровню качества обслуживания.
  • Хранилище Active Directory. Дисковые тома, которые содержат файл базы данных Active Directory Ntds.dit и файлы журналов .log, должны иметь достаточно свободного пространства, чтобы допускать нормальный рост и функционирование. Кроме того, если мониторинг функционирования службы показывает, что диск, на котором расположена база данных Active Directory, фрагментирован, необходимо его дефрагментировать.
  • Служба репликации файлов (File Replication Service, FRS). Служба FRS должна работать в пределах нормы, чтобы гарантировать, что общий системный том (Sysvol) реплицируется по всему домену.
  • "Здоровье" системы контроллера домена. Мониторинг этой области должен охватывать все аспекты состояния сервера, включая счетчики, характеризующие использование памяти, процессора и разбиение на страницы.
  • "Здоровье" леса. Эта область должна отслеживаться для того, чтобы проверить доверительные отношения и доступность сайта.
  • Хозяева операций. Необходимо отслеживать каждого хозяина операций, чтобы гарантировать "здоровье" сервера. Кроме того, следует проводить мониторинг для обеспечения доступности GC-каталога, позволяющего пользователям входить в систему и поддерживать членство универсальных групп.

Далее приведено краткое описание некоторых основных элементов Active Directory, мониторинг которых необходим.

Мониторинг производительности

Как и любая критичная для бизнеса система, Active Directory должна находиться под постоянным контролем. Для решения этой задачи Microsoft встроило в механизм Active Directory целый ряд возможностей, включающий как расширенную диагностику в EventLog контроллеров домена, отчеты и логи в текстовые файлы, так и встроенные счетчики производительности.

Данные о производительности Active Directory позволяют [ 4 ] :

  • оценить производительность Active Directory и ее влияние на ресурсы системы;
  • наблюдать за изменениями и тенденциями производительности и использованием ресурсов и соответствующим образом планировать модернизацию парка компьютеров;
  • тестировать изменения конфигурации или параметры настройки системы посредством мониторинга результатов;
  • диагностировать проблемы, а также компоненты или процессы, требующие оптимизации.

В Windows имеется несколько средств мониторинга производительности Active Directory. Основной является консоль Performance (Производительность), в которой можно настроить просмотр детальных числовых значений, отражающих функционирование Active Directory. Можно представить эти данные в графическом виде с заказанной периодичностью обновления данных. Возможности этой консоли также позволяют регистрировать активность системы в файл или отсылать предупреждения.

Чтобы сохранить максимальную производительность службы каталога, необходимо также знать, что предпринимать в ответ на проведенный мониторинг, то есть что требуется для поддержания функционального состояния службы в пределах нормальных рабочих параметров, которые были установлены.

Мониторинг репликации

Один из критических компонентов Active Directory, за работой которого необходимо наблюдать, - это репликация.

Существуют два стандартных средства администрирования серверов для мониторинга и поиска неисправностей репликации. Первый инструмент - Event Viewer (Средство просмотра событий). Журнал событий Directory Service (Служба каталога) - это один из журналов регистрации событий, который добавляется ко всем контроллерам домена. Большая часть событий, связанных с репликацией каталога, записывается в него, и это первое место, которое необходимо просмотреть в случае возникновения сбоя при репликации.

Инструмент администрирования Performance (Производительность) полезен для контроля деятельности, связанной с репликацией, которая происходит на сервере. Когда сервер назначается контроллером домена, к списку счетчиков производительности добавляется объект NTDS Performance. Счетчики производительности можно использовать для контроля объема трафика репликации, а также другой деятельности, связанной с Active Directory.

Одно из наиболее полезных инструментальных средств, предназначенных для мониторинга и поиска неисправностей репликации, - это Replication Monitor (Монитор репликации). Монитор репликации контролирует один или более серверов по создаваемому администратором списку серверов, предоставляя возможность управлять почти всеми аспектами репликации Active Directory - например, отслеживать текущее состояние репликации, последнюю успешную репликацию или любые отказы при репликации; вынуждать репликацию; вынуждать КСС к повторному вычислению топологии маршрутизации. Используя данный инструмент мониторинга, можно контролировать репликации на всех контроллерах домена корпоративной сети.

Второй полезный инструмент мониторинга репликаций - Repadmin, входящий в набор Windows Server 2003 Support Tools (Средства обслуживания Windows Server 2003) и обеспечивающий такие же функциональные возможности, как и Replication Monitor, но через интерфейс командной строки. Инструмент Repadmin дополнительно позволяет изменять топологию репликации, добавляя объекты связи, и сообщает об отказах репликационных связей между двумя партнерами по репликации.

Также в состав пакета Windows Server 2003 Support Tools входит инструмент командной строки Dcdiag, который может проверять DNS-регистрацию контроллера домена. Он отслеживает наличие идентификаторов защиты (SID) в заголовках контекста именования (naming context), соответствующие разрешения для репликации, анализирует состояние контроллеров домена в лесе или предприятии и многое другое.

Мониторинг службы DNS

В Windows предусмотрены два способа контроля работы сервера DNS [ 4 ] :

  • Запись событий по умолчанию в журнал сервера DNS. Сообщения о событиях сервера DNS хранятся в журнале (log-файле) сервера отдельно от файлов событий, связанных с другими приложениями. Этот журнал можно просмотреть из оснастки Event Viewer. В него записывается ограниченный набор событий, выявляемых службой DNS, таких как запуск и остановка сервера. Event Viewer также позволяет наблюдать за событиями DNS на компьютерах клиентов: эти события заносятся в файл журнала на каждом компьютере.
  • Использование команд отладки для записи событий в текстовый файл. Консоль DNS позволяет задавать дополнительные параметры для создания временного текстового файла журнала (DNS.log), хранящегося в папке %systemroot%\DNS. Серверы DNS в Windows поддерживают следующие отладочные команды:
    • Query - записывать запросы, полученные от клиентов;
    • Notify - записывать уведомления, полученные от других серверов DNS ;
    • Update - записывать изменения зоны, полученные от других компьютеров;
    • Questions - записывать содержимое раздела вопроса для каждого запроса, обработанного сервером DNS ;
    • Answers - записывать содержимое раздела ответа для каждого запроса, обработанного сервером DNS ;
    • Send - подсчитывать запросы, посланные сервером DNS ;
    • Received - подсчитывать запросы, полученные сервером DNS ;
    • UDP - подсчитывать запросы, полученные по протоколу UDP;
    • TCP - подсчитывать запросы, полученные по протоколу TCP;
    • Full Packets - подсчитывать полные пакеты, полученные и записанные сервером DNS ;
    • Write Through - подсчитывать пакеты, прошедшие через сервер DNS туда и обратно.

По умолчанию все эти дополнительные возможности отладки отключены. После активизации какой-либо из них служба DNS сможет контролировать дополнительные виды событий, что может пригодиться при отладке сервера. Такой мониторинг требует много ресурсов (в некоторых случаях замедляется работа сервера и требуется дополнительное место на диске), поэтому его следует использовать кратковременно, когда действительно нужна подробная информация о работе сервера.

< Лекция 12 || Лекция 13: 123 || Лекция 14 >
Александр Тагильцев
Александр Тагильцев

Где проводится профессиональная переподготовка "Системное администрирование Windows"? Что-то я не совсем понял как проводится обучение.

Виктор Мамонов
Виктор Мамонов
http://www.intuit.ru/studies/courses/1068/259/lecture/3546
Анатолий Федоров
Анатолий Федоров
Россия, Москва, Московский государственный университет им. М. В. Ломоносова, 1989