Udostępnij za pośrednictwem

Optymalizowanie środowiska usługi Active Directory za pomocą rozwiązania Active Directory Health Check w usłudze Azure Monitor

  • Artykuł

Symbol kontroli kondycji usługi AD

Uwaga

Ten artykuł został niedawno zaktualizowany, aby użyć terminu Dzienniki usługi Azure Monitor zamiast usługi Log Analytics. Dane dzienników są nadal przechowywane w obszarze roboczym usługi Log Analytics i są nadal zbierane i analizowane przez tę samą usługę Log Analytics. Aktualizujemy terminologię, aby lepiej odzwierciedlać rolę dzienników w usłudze Azure Monitor. Aby uzyskać szczegółowe informacje, zobacz Zmiany terminologii usługi Azure Monitor .

Rozwiązanie Active Directory Health Check umożliwia ocenę ryzyka i kondycji środowisk serwera w regularnych odstępach czasu. Ten artykuł ułatwia instalowanie i używanie rozwiązania w celu podjęcia działań naprawczych w przypadku potencjalnych problemów.

To rozwiązanie udostępnia priorytetową listę zaleceń specyficznych dla wdrożonej infrastruktury serwera. Zalecenia są podzielone na cztery obszary fokusu, które ułatwiają szybkie zrozumienie ryzyka i podejmowanie działań.

Zalecenia są oparte na wiedzy i doświadczeniu uzyskanym przez inżynierów firmy Microsoft z tysięcy wizyt klientów. Każde zalecenie zawiera wskazówki dotyczące tego, dlaczego problem może mieć znaczenie dla Ciebie i jak zaimplementować sugerowane zmiany.

Możesz wybrać obszary fokusu, które są najważniejsze dla organizacji, i śledzić postęp w kierunku uruchamiania środowiska wolnego od ryzyka i dobrej kondycji.

Po dodaniu rozwiązania i zakończeniu sprawdzania podsumowanie informacji dotyczących obszarów fokusu jest wyświetlane na pulpicie nawigacyjnym Kontroli kondycji usługi AD dla infrastruktury w danym środowisku. W poniższych sekcjach opisano sposób korzystania z informacji na pulpicie nawigacyjnym kontroli kondycji usługi AD , gdzie można wyświetlić, a następnie wykonać zalecane akcje dla infrastruktury serwera usługi Active Directory.

obraz kafelka Kontroli kondycji usługi AD

obraz pulpitu nawigacyjnego kontroli kondycji usługi AD

Wymagania wstępne

  • Rozwiązanie Active Directory Health Check wymaga obsługiwanej wersji programu .NET Framework 4.6.2 lub nowszej zainstalowanej na każdym komputerze z zainstalowanym agentem usługi Log Analytics dla systemu Windows (nazywanym również programem Microsoft Monitoring Agent ). Agent jest używany przez programy System Center 2016 — Operations Manager, Operations Manager 2012 R2 i Azure Monitor.

  • Rozwiązanie obsługuje kontrolery domeny z systemami Windows Server 2008 i 2008 R2, Windows Server 2012 i 2012 R2, Windows Server 2016 i Windows Server 2019.

  • Obszar roboczy usługi Log Analytics umożliwiający dodanie rozwiązania Active Directory Health Check z Azure Marketplace w Azure Portal. Nie jest wymagana żadna dodatkowa konfiguracja.

    Uwaga

    Po dodaniu rozwiązania plik AdvisorAssessment.exe zostanie dodany do serwerów z agentami. Dane konfiguracji są odczytywane, a następnie wysyłane do usługi Azure Monitor w chmurze w celu przetworzenia. Logika jest stosowana do odebranych danych, a usługa w chmurze rejestruje dane.

Aby przeprowadzić kontrolę kondycji kontrolerów domeny, które są członkami domeny do oceny, każdy kontroler domeny w tej domenie wymaga agenta i łączności z usługą Azure Monitor przy użyciu jednej z następujących obsługiwanych metod:

  1. Zainstaluj agenta usługi Log Analytics dla systemu Windows , jeśli kontroler domeny nie jest jeszcze monitorowany przez program System Center 2016 — Operations Manager lub Operations Manager 2012 R2.
  2. Jeśli jest on monitorowany za pomocą programu System Center 2016 — Operations Manager lub Operations Manager 2012 R2, a grupa zarządzania nie jest zintegrowana z usługą Azure Monitor, kontroler domeny może być wieloadowy z usługą Azure Monitor w celu zbierania danych i przekazywania do usługi oraz monitorowania przez program Operations Manager.
  3. W przeciwnym razie, jeśli grupa zarządzania programu Operations Manager jest zintegrowana z usługą, należy dodać kontrolery domeny do zbierania danych przez usługę, wykonując kroki opisane w sekcji Dodawanie komputerów zarządzanych przez agenta po włączeniu rozwiązania w obszarze roboczym.

Agent na kontrolerze domeny, który raportuje do grupy zarządzania programu Operations Manager, zbiera dane, przekazuje je do przypisanego serwera zarządzania, a następnie jest wysyłany bezpośrednio z serwera zarządzania do usługi Azure Monitor. Dane nie są zapisywane w bazach danych programu Operations Manager.

Szczegóły zbierania danych w rozwiązaniu Active Directory Health Check

Kontrola kondycji usługi Active Directory zbiera dane z następujących źródeł przy użyciu włączonego agenta:

  • Rejestr
  • LDAP
  • .NET Framework
  • Dziennik zdarzeń
  • Interfejsy usługi Active Directory (ADSI)
  • Windows PowerShell
  • Dane pliku
  • Instrumentacja zarządzania Windows (WMI)
  • Interfejs API narzędzia DCDIAG
  • Interfejs API usługi replikacji plików (NTFRS)
  • Niestandardowy kod w języku C#

Dane są zbierane na kontrolerze domeny i przekazywane do usługi Azure Monitor co siedem dni.

Opis priorytetyzacji zaleceń

Każde zalecenie ma wartość ważoną, która identyfikuje względną ważność zalecenia. Wyświetlane są tylko 10 najważniejszych zaleceń.

Sposób obliczania wag

Wagi są wartościami agregowanymi na podstawie trzech kluczowych czynników:

  • Prawdopodobieństwo, że zidentyfikowany problem powoduje problemy. Wyższe prawdopodobieństwo oznacza większy ogólny wynik dla zalecenia.
  • Wpływ problemu na twoją organizację, jeśli powoduje problem. Większy wpływ oznacza większy ogólny wynik dla zalecenia.
  • Nakład pracy wymagany do wdrożenia zalecenia. Wyższy nakład pracy odpowiada mniejszemu ogólnej oceny dla zalecenia.

Waga dla każdego zalecenia jest wyrażona jako procent całkowitego wyniku dostępnego dla każdego obszaru fokusu. Jeśli na przykład zalecenie w obszarze fokusu Zabezpieczenia i zgodność ma wynik 5%, wdrożenie tego zalecenia zwiększa ogólną ocenę zabezpieczeń i zgodności o 5%.

Obszary fokusu

Zabezpieczenia i zgodność — ten obszar fokusu przedstawia zalecenia dotyczące potencjalnych zagrożeń bezpieczeństwa i naruszeń, zasad firmowych oraz wymagań dotyczących zgodności ze standardami prawnymi i prawnymi.

Dostępność i ciągłość działania — w tym obszarze fokusu przedstawiono zalecenia dotyczące dostępności usług, odporności infrastruktury i ochrony biznesowej.

Wydajność i skalowalność — ten obszar fokusu przedstawia zalecenia ułatwiające rozwój infrastruktury IT w organizacji, zapewnienie, że środowisko IT spełnia bieżące wymagania dotyczące wydajności i jest w stanie reagować na zmieniające się potrzeby infrastruktury.

Uaktualnianie, migracja i wdrażanie — w tym obszarze fokusu przedstawiono zalecenia ułatwiające uaktualnianie, migrowanie i wdrażanie usługi Active Directory do istniejącej infrastruktury.

Czy należy dążyć do osiągnięcia wyniku 100% w każdym obszarze fokusu?

Niekoniecznie. Zalecenia są oparte na wiedzy i doświadczeniach uzyskanych przez inżynierów firmy Microsoft w tysiącach wizyt klientów. Jednak żadne dwie infrastruktury serwerów nie są takie same, a konkretne zalecenia mogą być mniej lub bardziej istotne dla Ciebie. Na przykład niektóre zalecenia dotyczące zabezpieczeń mogą być mniej istotne, jeśli maszyny wirtualne nie są uwidocznione w Internecie. Niektóre zalecenia dotyczące dostępności mogą być mniej istotne dla usług, które zapewniają zbieranie i raportowanie danych ad hoc o niskim priorytcie. Problemy, które są ważne dla dojrzałej firmy, mogą być mniej ważne dla start-upu. Możesz określić, które obszary fokusu są twoimi priorytetami, a następnie sprawdzić, jak zmieniają się wyniki w czasie.

Każde zalecenie zawiera wskazówki dotyczące tego, dlaczego jest to ważne. Skorzystaj z tych wskazówek, aby ocenić, czy wdrożenie zalecenia jest odpowiednie dla Ciebie, biorąc pod uwagę charakter usług IT i potrzeby biznesowe organizacji.

Korzystanie z zaleceń dotyczących obszaru fokusu kontroli kondycji

Po zainstalowaniu można wyświetlić podsumowanie zaleceń, korzystając z kafelka Kontrola kondycji na stronie rozwiązania w Azure Portal.

Wyświetl podsumowane oceny zgodności dla infrastruktury, a następnie przejdź do szczegółów zaleceń.

Aby wyświetlić zalecenia dotyczące obszaru fokusu i podjąć działania naprawcze

Dane zebrane przez to rozwiązanie do monitorowania są dostępne na stronie Podsumowanie obszaru roboczego (przestarzałe) w Azure Portal. Otwórz tę stronę z obszarów roboczych usługi Log Analytics dla obszaru roboczego przy użyciu rozwiązania, a następnie wybierz pozycję Podsumowanie obszaru roboczego (przestarzałe) w sekcji Klasyczne w menu. Każde rozwiązanie jest reprezentowane przez kafelek. Wybierz kafelek, aby uzyskać bardziej szczegółowe dane zebrane przez to rozwiązanie.

  1. Na stronie Przegląd kliknij kafelek Kontrola kondycji usługi Active Directory .

  2. Na stronie Kontrola kondycji przejrzyj podsumowanie informacji w jednej z sekcji obszaru fokusu, a następnie kliknij jeden, aby wyświetlić zalecenia dotyczące tego obszaru fokusu.

  3. Na dowolnej ze stron obszaru koncentracji uwagi można wyświetlić zalecenia dotyczące priorytetów dla środowiska. Kliknij zalecenie w obszarze Obiekty, których dotyczy problem, aby wyświetlić szczegółowe informacje o przyczynie dokonana rekomendacji.

    obraz zaleceń dotyczących kontroli kondycji

  4. Akcje naprawcze sugerowane można wykonać w obszarze Sugerowane akcje. Po usunięciu elementu późniejsze oceny rejestrują, które zostały wykonane zalecane akcje, a współczynnik zgodności zostanie zwiększony. Poprawione elementy są wyświetlane jako przekazane obiekty.

Ignorowanie zaleceń

Jeśli masz zalecenia, które chcesz zignorować, możesz utworzyć plik tekstowy, który będzie używany przez usługę Azure Monitor, aby zapobiec wyświetlaniu zaleceń w wynikach oceny.

Aby zidentyfikować zalecenia, które będą ignorowane

Użyj usługi Log Analytics, aby tworzyć zapytania i analizować dane dzienników w usłudze Azure Monitor, klikając pozycję Dzienniki w menu usługi Azure Monitor w Azure Portal.

Użyj następującego zapytania, aby wyświetlić listę zaleceń, które nie powiodły się dla komputerów w danym środowisku.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Oto zrzut ekranu przedstawiający zapytanie dziennika:<

zalecenia dotyczące niepowodzenia

Wybierz zalecenia, które chcesz zignorować. Użyjesz wartości parametru RecommendationId w następnej procedurze.

Aby utworzyć i użyć pliku tekstowego IgnoreRecommendations.txt

  1. Utwórz plik o nazwie IgnoreRecommendations.txt.

  2. Wklej lub wpisz każdy identyfikator RecommendationId dla każdego zalecenia, które ma być ignorowane przez usługę Azure Monitor w osobnym wierszu, a następnie zapisz i zamknij plik.

  3. Umieść plik w następującym folderze na każdym komputerze, na którym usługa Azure Monitor ma ignorować zalecenia.

    • Na komputerach z programem Microsoft Monitoring Agent (połączonym bezpośrednio lub za pośrednictwem programu Operations Manager) — SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Na serwerze zarządzania programu Operations Manager 2012 R2 — SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Na serwerze zarządzania programu Operations Manager 2016 — SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Aby sprawdzić, czy zalecenia są ignorowane

Po następnym zaplanowanym uruchomieniu kontroli kondycji domyślnie co siedem dni określone zalecenia są oznaczone jako Ignorowane i nie będą wyświetlane na pulpicie nawigacyjnym.

  1. Aby wyświetlić listę wszystkich ignorowanych zaleceń, możesz użyć następujących zapytań dziennika.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Jeśli zdecydujesz się później, że chcesz zobaczyć ignorowane zalecenia, usuń wszystkie pliki IgnoreRecommendations.txt lub możesz usunąć z nich identyfikatory rekomendacji.

Często zadawane pytania

Jakie testy są wykonywane przez rozwiązanie do oceny usługi AD?

  • Następujące zapytanie zawiera opis wszystkich aktualnie wykonanych testów:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Wyniki można następnie wyeksportować do programu Excel w celu dalszej weryfikacji.

Jak często jest uruchamiana kontrola kondycji?

  • Sprawdzanie jest uruchamiane co siedem dni.

Czy istnieje sposób konfigurowania częstotliwości uruchamiania kontroli kondycji?

  • Nie w tej chwili.

Jeśli inny serwer dla programu zostanie odnaleziony po dodaniu rozwiązania do sprawdzania kondycji, zostanie on sprawdzony

  • Tak, po odnalezieniu jest sprawdzana od tego momentu co siedem dni.

Jeśli serwer zostanie zlikwidowany, kiedy zostanie usunięty z kontroli kondycji?

  • Jeśli serwer nie przesyła danych przez 3 tygodnie, zostanie usunięty.

Jaka jest nazwa procesu, który zbiera dane?

  • AdvisorAssessment.exe

Jak długo trwa zbieranie danych?

  • Rzeczywiste zbieranie danych na serwerze trwa około 1 godziny. Może to trwać dłużej na serwerach z dużą liczbą serwerów usługi Active Directory.

Czy istnieje sposób konfigurowania zbierania danych?

  • Nie w tej chwili.

Dlaczego warto wyświetlić tylko 10 najważniejszych zaleceń?

  • Zamiast dać wyczerpującą przytłaczającą listę zadań, zalecamy, aby najpierw skoncentrować się na rozwiązywaniu priorytetów zaleceń. Po ich rozwiązaniu zostaną udostępnione dodatkowe zalecenia. Jeśli wolisz wyświetlić szczegółową listę, możesz wyświetlić wszystkie zalecenia przy użyciu zapytania dziennika.

Czy istnieje sposób ignorowania rekomendacji?

Następne kroki

Użyj zapytań dzienników usługi Azure Monitor , aby dowiedzieć się, jak analizować szczegółowe dane i zalecenia dotyczące sprawdzania kondycji usługi AD.