监视Active Directory
首页 » 功能 » 监视Active Directory

使用OpManager监控Active Directory

(PDF下载)
在本节中,让我们看看网络监控工具(如OpManager)如何帮助管理员防止Active Directory问题!

Active Directory示例

想象一下这样一个场景:你的CEO登录到他的笔记本电脑,它说访问被拒绝。他可能只是忘记释放CAPS LOCK密钥,或者Kerberos密钥分发中心服务(在用户身份验证中起着至关重要的作用)已经停止工作,并强制每个Windows用户登录到域中。
 
大多数IT帮助台记录源于用户试图访问计算机外部资源时产生的问题。Active Directory是这个一直处于活动状态的访问系统的关键。例如,用户身份验证、exchange邮件路由等常见操作依赖于Active Directory。这使得对Active Directory和相关服务的持续监控非常重要,这样您也可以远离恶梦!

您应该在Active Directory中监控什么?

有六个以上的Active Directory组件可能会导致用户的访问问题。您需要在AD上监控的几个重要因素是:
 
  • 系统资源可用性
  • LDAP的响应性
  • DNS客户端服务的可用性
  • Kerberos密钥分发中心服务的可用性
  • 网络登录服务的可用性
  • 文件复制服务(FRS)的运行状况

系统资源可用性:

硬件故障、磁盘空间不足等是导致服务器崩溃的常见问题。对Active Directory的请求需要快速处理。这要求托管Active Directory的服务器的CPU、内存和磁盘空间以最佳级别运行,并且24*7受到监控。

LDAP响应:

LDAP是用于检索目录信息的客户机。监控LDAP参数(如LDAP绑定时间、活动连接数、LDAP搜索和LDAP写入)是确保其可用性的主动步骤。

DNS客户端服务的可用性:

DNS查找失败可能会导致问题。域控制器可能无法注册DNS记录,这实际上保证了域控制器的可用性。这会导致域中的其他域控制器、用户和计算机找不到此DC,这可能再次导致复制失败。有关AD相关DNS问题的疑难解答,请参阅本文。

Kerberos密钥分发中心服务的可用性:

Active Directory依赖此服务进行身份验证。此服务失败将导致登录失败。请参阅本文以了解此服务的工作原理。

网络登录服务的可用性:

此服务提供对用户进行身份验证的请求。此服务失败也会导致无法登录。如果此服务不可用,域控制器将无法接受登录请求。

文件复制服务(FRS)的运行状况:

FRS服务在网络中的所有域控制器(如果您有多个域控制器)之间复制Active Directory中的对象。这样做是为了确保全天候访问广告上的信息。这可以通过局域网或广域网实现。当FRS失败时,对象不会复制到其他域控制器上。如果主DC发生故障,当辅助DC(从DC)接管请求时,它将不会复制用户帐户。这将导致登录失败。复制失败也可能是由于DNS配置不正确造成的。

其他:

可能还有其他原因,比如没有网络连接,一次访问DC的应用程序太多,等等。

使用OpManager监控Active Directory

OpManager监控Active Directory正常运行所依赖的所有服务和资源。您可以配置阈值,并在有东西超过安全限制时立即得到通知。

监控域控制器的可用性

监控域控制器的可用性

监控域控制器的运行状况

系统资源使用情况为您提供域控制器运行状况的实时状态。从这里可以查看CPU利用率、内存利用率和磁盘利用率等详细信息。

域控制器运行状况

性能计数器

可以从这里查看Active directory性能计数器,如目录读取、目录写入、Kerberos身份验证等。

性能计数器

Active Directory服务

密钥active directory服务,如Windows时间服务、DNS客户端服务、文件复制服务、站点间消息服务、Kerberos密钥分发中心服务、安全帐户管理器服务、服务器服务工作站服务、RPC服务和网络登录服务。

Active Directory服务

OpManager监控的Active Directory参数的完整列表

这里是OpManager监控的整个参数集的树状视图,以确保您的Active Directory不会弹出不太可能的意外。

使用事件日志监控Active Directory

Active Directory在发生故障时写入详细的事件日志。您可以从Windows事件查看器(开始-设置-控制面板-管理工具-事件查看器)查看事件日志。每个active directory组件故障都有一个预定义的事件ID,其中包含故障事件的详细消息。OpManager允许使用预定义的事件日志规则监控这些windows事件日志。OpManager监控事件日志,并根据它生成OpManager警报的规则。

使用OpManager监控事件日志规则

以下是您可能希望OpManager发出警报的一些ID。(请注意,这只是与Active Directory相关的各种服务和参数的大量Windows事件日志的子集。)

ServiceEvent ID
网络登录服务5774, 5775, 5781, 5783, 5805
FRS服务13508, 13509, 13511, 13522, 13526
Windows时间服务13, 14, 52 to 56, 60 to 64
LDAP相关40960, 40961
LSASS相关1000, 1015
Kerberos相关675, 676, 1002, 1005, 9004 (后三个与Exchange服务器相关)
NTLM身份验证680, 681

来自OpManager的即时通知

除了监控Active Directory组件,OpManager还会在服务不可用时发出警报。为关键服务和参数配置响应时间或资源利用率阈值会在实际问题出现之前提醒您。OpManager允许您创建通知配置文件并将其分配给域控制器。当任何监控器出现故障时,会向预先配置的Ids发送电子邮件或SMS警报。

获取即时通知

摘要

OpManager提供出色的Active Directory监控功能,帮助您远离Active Directory问题。