Delen via

De Active Directory-omgeving optimaliseren met behulp van Active Directory-statuscontrole in Azure Monitor

  • Artikel

SYMBOOL VOOR AD-statuscontrole

Notitie

Dit artikel is onlangs bijgewerkt waarbij Log Analytics is vervangen door de term Azure Monitor-logboeken. Logboekgegevens worden nog steeds opgeslagen in een Log Analytics-werkruimte, en worden nog steeds verzameld en geanalyseerd met dezelfde Log Analytics-service. De terminologie wordt bijgewerkt om de rol van logboeken in Azure Monitor beter te weerspiegelen. Zie Wijzigingen in Azure Monitor-terminologie voor meer informatie.

U kunt de oplossing Active Directory-statuscontrole gebruiken om regelmatig het risico en de status van uw serveromgevingen te beoordelen. Dit artikel helpt u bij het installeren en gebruiken van de oplossing, zodat u corrigerende maatregelen kunt nemen voor mogelijke problemen.

Deze oplossing biedt een lijst met aanbevelingen die specifiek zijn voor uw geïmplementeerde serverinfrastructuur. De aanbevelingen zijn onderverdeeld in vier aandachtsgebieden, die u helpen snel inzicht te krijgen in het risico en actie te ondernemen.

De aanbevelingen zijn gebaseerd op de kennis en ervaring die microsoft-technici hebben opgedaan tijdens duizenden klantbezoeken. Elke aanbeveling bevat richtlijnen over waarom een probleem voor u van belang kan zijn en hoe u de voorgestelde wijzigingen kunt implementeren.

U kunt focusgebieden kiezen die het belangrijkst zijn voor uw organisatie en uw voortgang bijhouden bij het uitvoeren van een risicovrije en gezonde omgeving.

Nadat u de oplossing hebt toegevoegd en een controle is voltooid, wordt samenvattingsinformatie voor aandachtsgebieden weergegeven op het dashboard AD-statuscontrole voor de infrastructuur in uw omgeving. In de volgende secties wordt beschreven hoe u de informatie op het dashboard AD-statuscontrole gebruikt, waar u de aanbevolen acties voor uw Active Directory-serverinfrastructuur kunt bekijken en vervolgens kunt uitvoeren.

afbeelding van de tegel AD-statuscontrole

afbeelding van het dashboard AD-statuscontrole

Vereisten

  • Voor de oplossing Active Directory-statuscontrole moet een ondersteunde versie van .NET Framework 4.6.2 of hoger zijn geïnstalleerd op elke computer waarop de Log Analytics-agent voor Windows (ook wel microsoft monitoring agent (MMA) genoemd) is geïnstalleerd. De agent wordt gebruikt door System Center 2016 - Operations Manager, Operations Manager 2012 R2 en Azure Monitor.

  • De oplossing ondersteunt domeincontrollers met Windows Server 2008 en 2008 R2, Windows Server 2012 en 2012 R2, Windows Server 2016 en Windows Server 2019.

  • Een Log Analytics-werkruimte om de Oplossing Active Directory-statuscontrole toe te voegen vanuit de Azure Marketplace in de Azure Portal. Er is geen aanvullende configuratie vereist.

    Notitie

    Nadat u de oplossing hebt toegevoegd, wordt het AdvisorAssessment.exe-bestand toegevoegd aan servers met agents. Configuratiegegevens worden gelezen en vervolgens voor verwerking naar Azure Monitor in de cloud verzonden. Logica wordt toegepast op de ontvangen gegevens en de gegevens worden vastgelegd door de cloudservice.

Als u de statuscontrole wilt uitvoeren voor uw domeincontrollers die lid zijn van het domein dat moet worden geëvalueerd, vereist elke domeincontroller in dat domein een agent en connectiviteit met Azure Monitor met behulp van een van de volgende ondersteunde methoden:

  1. Installeer de Log Analytics-agent voor Windows als de domeincontroller nog niet wordt bewaakt door System Center 2016 - Operations Manager of Operations Manager 2012 R2.
  2. Als deze wordt bewaakt met System Center 2016 - Operations Manager of Operations Manager 2012 R2 en de beheergroep niet is geïntegreerd met Azure Monitor, kan de domeincontroller multi-homed zijn met Azure Monitor om gegevens te verzamelen en door te sturen naar de service en nog steeds worden bewaakt door Operations Manager.
  3. Als uw Operations Manager-beheergroep anders is geïntegreerd met de service, moet u de domeincontrollers toevoegen voor gegevensverzameling door de service door de stappen onder Door agent beheerde computers toevoegen nadat u de oplossing in uw werkruimte hebt ingeschakeld.

De agent op uw domeincontroller die rapporteert aan een Operations Manager-beheergroep, gegevens verzamelt, doorstuurt naar de toegewezen beheerserver en vervolgens rechtstreeks van een beheerserver naar Azure Monitor wordt verzonden. De gegevens worden niet naar de Operations Manager-databases geschreven.

Details voor gegevensverzameling van Active Directory-statuscontrole

Active Directory-statuscontrole verzamelt gegevens van de volgende bronnen met behulp van de agent die u hebt ingeschakeld:

  • Register
  • LDAP
  • .NET Framework
  • Gebeurtenislogboek
  • Active Directory-service-interfaces (ADSI)
  • Windows PowerShell
  • Bestandsgegevens
  • Windows Management Instrumentation (WMI)
  • DCDIAG-hulpprogramma-API
  • NTFRS-API (File Replication Service)
  • Aangepaste C#-code

Gegevens worden verzameld op de domeincontroller en elke zeven dagen doorgestuurd naar Azure Monitor.

Inzicht in hoe de prioriteit van aanbevelingen wordt vastgesteld

Elke aanbeveling krijgt een wegingswaarde die het relatieve belang van de aanbeveling identificeert. Alleen de tien belangrijkste aanbevelingen worden weergegeven.

Hoe gewicht wordt berekend

Wegingen zijn aggregatiewaarden op basis van drie belangrijke factoren:

  • De kans dat een geïdentificeerd probleem problemen veroorzaakt. Een hogere waarschijnlijkheid is gelijk aan een hogere algehele score voor de aanbeveling.
  • De impact van het probleem op uw organisatie als dit een probleem veroorzaakt. Een hogere impact is gelijk aan een hogere algehele score voor de aanbeveling.
  • De inspanning die nodig is om de aanbeveling te implementeren. Een hogere inspanning is gelijk aan een lagere algehele score voor de aanbeveling.

De weging voor elke aanbeveling wordt uitgedrukt als een percentage van de totale score die beschikbaar is voor elk aandachtsgebied. Als een aanbeveling in het aandachtsgebied Beveiliging en naleving bijvoorbeeld een score van 5% heeft, verhoogt het implementeren van die aanbeveling uw algehele beveiligings- en nalevingsscore met 5%.

Aandachtsgebieden

Beveiliging en naleving : dit aandachtsgebied bevat aanbevelingen voor mogelijke beveiligingsrisico's en schendingen, bedrijfsbeleid en technische, juridische en wettelijke nalevingsvereisten.

Beschikbaarheid en bedrijfscontinuïteit : in dit aandachtsgebied worden aanbevelingen weergegeven voor de beschikbaarheid van de service, tolerantie van uw infrastructuur en bedrijfsbeveiliging.

Prestaties en schaalbaarheid : in dit aandachtsgebied worden aanbevelingen weergegeven om de IT-infrastructuur van uw organisatie te laten groeien, ervoor te zorgen dat uw IT-omgeving voldoet aan de huidige prestatievereisten en kan reageren op veranderende infrastructuurbehoeften.

Upgrade, migratie en implementatie : in dit focusgebied worden aanbevelingen weergegeven voor het upgraden, migreren en implementeren van Active Directory in uw bestaande infrastructuur.

Moet u proberen een score van 100% te halen voor elk focusgebied?

Niet noodzakelijkerwijs. De aanbevelingen zijn gebaseerd op de kennis en ervaringen die microsoft-technici hebben opgedaan tijdens duizenden klantbezoeken. Er zijn echter geen twee serverinfrastructuren hetzelfde en specifieke aanbevelingen zijn mogelijk min of meer relevant voor u. Sommige beveiligingsaanbeveling kan bijvoorbeeld minder relevant zijn als uw virtuele machines niet worden blootgesteld aan internet. Sommige aanbevelingen voor beschikbaarheid zijn mogelijk minder relevant voor services die ad-hocgegevensverzameling en -rapportage met lage prioriteit bieden. Problemen die belangrijk zijn voor een volwassen bedrijf, zijn mogelijk minder belangrijk voor een start-up. U kunt bepalen welke aandachtsgebieden uw prioriteiten zijn en vervolgens kijken hoe uw scores in de loop van de tijd veranderen.

Elke aanbeveling bevat richtlijnen over waarom dit belangrijk is. U moet deze richtlijnen gebruiken om te evalueren of de implementatie van de aanbeveling geschikt is voor u, gezien de aard van uw IT-services en de zakelijke behoeften van uw organisatie.

Aanbevelingen voor het focusgebied van de statuscontrole gebruiken

Nadat deze is geïnstalleerd, kunt u het overzicht van aanbevelingen bekijken met behulp van de tegel Statuscontrole op de oplossingspagina in de Azure Portal.

Bekijk de samengevatte nalevingsevaluaties voor uw infrastructuur en zoom vervolgens in op aanbevelingen.

Aanbevelingen voor een focusgebied weergeven en corrigerende actie ondernemen

Gegevens die door deze bewakingsoplossing worden verzameld, zijn beschikbaar op de pagina Werkruimteoverzicht (afgeschaft) in de Azure Portal. Open deze pagina vanuit de Log Analytics-werkruimten voor de werkruimte met uw oplossing en selecteer vervolgens Werkruimteoverzicht (afgeschaft) in de sectie Klassiek van het menu. Elke oplossing wordt vertegenwoordigd door een tegel. Selecteer een tegel voor meer gedetailleerde gegevens die door die oplossing worden verzameld.

  1. Klik op de pagina Overzicht op de tegel Active Directory-statuscontrole .

  2. Bekijk op de pagina Statuscontrole de overzichtsinformatie in een van de secties in het focusgebied en klik vervolgens op een van de secties om aanbevelingen voor dat focusgebied weer te geven.

  3. Op elk van de focusgebiedpagina's kunt u de aanbevelingen met prioriteit voor uw omgeving bekijken. Klik op een aanbeveling onder Betrokken objecten om details weer te geven over de reden waarom de aanbeveling wordt gedaan.

    afbeelding van aanbevelingen voor statuscontrole

  4. U kunt corrigerende acties uitvoeren die worden voorgesteld in Voorgestelde acties. Wanneer het item is opgelost, worden in latere evaluaties vastgelegd dat aanbevolen acties zijn uitgevoerd en wordt uw nalevingsscore verhoogd. Gecorrigeerde items worden weergegeven als Doorgegeven objecten.

Aanbevelingen negeren

Als u aanbevelingen hebt die u wilt negeren, kunt u een tekstbestand maken dat Azure Monitor gebruikt om te voorkomen dat aanbevelingen worden weergegeven in uw evaluatieresultaten.

Aanbevelingen identificeren die u negeert

Gebruik Log Analytics om query's te maken en logboekgegevens te analyseren in Azure Monitor door te klikken op Logboeken in het menu Azure Monitor in de Azure Portal.

Gebruik de volgende query om aanbevelingen weer te geven die zijn mislukt voor computers in uw omgeving.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Hier volgt een schermopname van de logboekquery:<

mislukte aanbevelingen

Kies aanbevelingen die u wilt negeren. In de volgende procedure gebruikt u de waarden voor RecommendationId.

Een IgnoreRecommendations.txt tekstbestand maken en gebruiken

  1. Maak een bestand met de naam IgnoreRecommendations.txt.

  2. Plak of typ elke RecommendationId voor elke aanbeveling die u wilt negeren in Azure Monitor op een afzonderlijke regel en sla het bestand op en sluit het.

  3. Plaats het bestand in de volgende map op elke computer waarop u wilt dat Azure Monitor aanbevelingen negeert.

    • Op computers met de Microsoft Monitoring Agent (rechtstreeks verbonden of via Operations Manager) - SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Op de Operations Manager 2012 R2-beheerserver - SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Op de Operations Manager 2016-beheerserver - SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Controleren of aanbevelingen worden genegeerd

Nadat de volgende geplande statuscontrole wordt uitgevoerd, worden de opgegeven aanbevelingen standaard elke zeven dagen gemarkeerd als Genegeerd en worden ze niet weergegeven op het dashboard.

  1. U kunt de volgende logboekquery's gebruiken om alle genegeerde aanbevelingen weer te geven.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Als u later besluit dat u genegeerde aanbevelingen wilt zien, verwijdert u alle IgnoreRecommendations.txt bestanden of kunt u AanbevelingS-ID's verwijderen.

Veelgestelde vragen

Welke controles worden uitgevoerd door de AD-evaluatieoplossing?

  • De volgende query toont een beschrijving van alle controles die momenteel worden uitgevoerd:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

De resultaten kunnen vervolgens worden geëxporteerd naar Excel voor verdere controle.

Hoe vaak wordt een statuscontrole uitgevoerd?

  • De controle wordt elke zeven dagen uitgevoerd.

Is er een manier om te configureren hoe vaak de statuscontrole wordt uitgevoerd?

  • Momenteel niet.

Als er een andere server voor wordt gedetecteerd nadat ik een oplossing voor statuscontrole heb toegevoegd, wordt deze gecontroleerd

  • Ja, zodra het wordt ontdekt, wordt het vanaf dat moment elke zeven dagen gecontroleerd.

Als een server buiten gebruik wordt gesteld, wanneer wordt deze dan verwijderd uit de statuscontrole?

  • Als een server gedurende 3 weken geen gegevens verzendt, wordt deze verwijderd.

Wat is de naam van het proces waarmee gegevens worden verzameld?

  • AdvisorAssessment.exe

Hoe lang duurt het voordat gegevens worden verzameld?

  • De werkelijke gegevensverzameling op de server duurt ongeveer 1 uur. Dit kan langer duren op servers met een groot aantal Active Directory-servers.

Is er een manier om te configureren wanneer gegevens worden verzameld?

  • Momenteel niet.

Waarom alleen de top 10 aanbevelingen weergeven?

  • In plaats van u een uitgebreide, overweldigende lijst met taken te geven, raden we u aan om u eerst te richten op de aanbevelingen met prioriteit. Nadat u deze hebt opgelost, worden er aanvullende aanbevelingen beschikbaar. Als u liever de gedetailleerde lijst wilt zien, kunt u alle aanbevelingen bekijken met behulp van een logboekquery.

Is er een manier om een aanbeveling te negeren?

Volgende stappen

Gebruik Azure Monitor-logboekquery's voor meer informatie over het analyseren van gedetailleerde ad-statuscontrolegegevens en -aanbevelingen.