Active Directory监控工具-编程知识

Active Directory 是 Microsoft 为 Windows 环境实现的 LDAP 目录服务，它允许管理员对用户访问资源和服务实施公司范围的策略。Active Directory 通常安装在 Windows 2003 或 2000 服务器中，它们统称为域控制器。如果 Active Directory 出现故障，它将影响整个用户群，因为他们将无法登录其系统、从其他服务器访问关键信息或发送/接收电子邮件。

应该在 Active Directory 中监控哪些内容

Active Directory 组件可能会导致用户访问问题，需要在 AD 上监控的几个重要因素包括：

系统资源可用性
LDAP 的响应能力
DNS 客户端服务的可用性
Kerberos 密钥分发中心服务的可用性
Net Log On 服务的可用性
文件复制服务（FRS）的运行状况

系统资源可用性

硬件故障、磁盘空间不足等是导致服务器崩溃的常见问题，需要快速处理对 Active Directory 的请求，这要求托管 Active Directory 的服务器的 CPU、内存和磁盘空间以最佳级别运行并全天候监控。

LDAP的响应能力

LDAP 是用于检索目录信息的客户端，监控LDAP参数（如LDAP绑定时间、活动连接数、LDAP搜索和LDAP写入）是确保其可用性的主动步骤。

DNS 客户端服务的可用性

DNS 查找失败可能会导致问题，域控制器可能无法注册 DNS 记录，这实际上保证了域控制器的可用性，这会导致域中的其他域控制器、用户和计算机找不到此 DC，这再次可能导致复制失败。

Kerberos 密钥分发中心服务的可用性

Active Directory 依赖于此服务进行身份验证，此服务失败会导致登录失败。

网络登录服务的可用性

此服务提供对用户进行身份验证的请求，此服务的失败也会导致无法登录，如果此服务不可用，域控制器将无法接受登录请求。

文件复制服务（FRS）的运行状况

FRS 服务在网络中的所有域控制器之间复制 Active Directory 中的对象（如果有多个域控制器）。这样做是为了确保全天候访问 AD 上的信息，这可以跨 LAN 或 WAN，当 FRS 发生故障时，不会在其他域控制器上复制对象。如果主 DC 发生故障，当辅助 DC（从属）接管请求时，它不会复制用户帐户，这将导致登录失败。由于 DNS 配置不正确，也可能发生复制失败。

其他项

可能还有其他原因，例如没有网络连接、一次访问 DC 的应用程序太多等。

监控 Active Directory

一旦发现域控制器，OpManager 会自动将Active Directory监视器与服务器关联，并开始监控性能和可用性。默认情况下，每个受监控的参数都与行业最佳实践阈值进行故障管理，管理员可以从这些阈值开始，然后进行调整以满足您的 AD 监控要求。

监控 Active Directory 服务
监控 Active Directory 系统性能
监控关键 AD 进程、计数器和存储
监控域控制器运行状况
诊断复制服务故障
确保 AD 数据库的持久性能
快速通知域问题
排查 AD 问题

监控 Active Directory 服务

Active Directory 依赖于某些关键服务才能正常运行，确保 Active Directory 可用性的第一步是监控这些关键服务。

Active Directory 监控工具监控以下关键服务。

服务器服务：使计算机能够基于 SMB 协议连接到网络上的其他计算机。
文件复制服务：维护多个服务器之间文件目录内容的文件同步。
DNS 客户端服务：解析并缓存 DNS 名称。
安全帐户管理器服务：向其他服务发出信号，表明安全帐户管理器子系统已准备好接受请求。
站点间消息服务：用于站点之间基于电子邮件的复制。
Kerberos 密钥分发中心服务：使用户能够使用 Kerberos 版本 5 身份验证协议登录到网络。
网络登录服务：支持对域中计算机的帐户登录事件进行直通身份验证。

当这些服务中的任何一个不可用时，Active Directory 服务器将无法正确执行关键任务。

在这里插入图片描述

监控 Active Directory 系统性能

使用WMI协议监控CPU、内存和磁盘空间利用率以及处理器队列长度，操作员可以获得 CPU、内存和磁盘利用率的实时和历史统计数据。使用可自定义的阈值，可以提前通知操作员，从而在中断发生之前主动防止中断，管理员还可以查看系统上处于活动状态的进程和服务的数量。

监控关键进程、计数器和AD存储

监控关键 LSASS 和 NTFRS 进程的使用情况，监控的参数包括 CPU 使用率、物理 RAM、文件读取、文件写入、缓存命中等。管理员还可以监控关键网络计数器，如连接的用户、LDAP客户端会话和LDAP绑定时间，以及性能计数器，如NTLM身份验证、Kerberos身份验证和LDAP搜索。

监控域控制器运行状况

通过基于阈值的监控帮助控制域控制器的运行状况和性能，设备快照页面提供域控制器过去一周、一个月等的可用性状态，还可以使用从监控域服务（DS）和系统资源使用情况中获得的信息实时跟踪域控制器的运行状况。

管理员可以从名称服务提供程序接口（NSPI）、Kerberos 身份验证/秒、目录和资源管理（DRA）等获取目录读取、写入和搜索的百分比。

诊断复制服务的故障

当复制服务失败时，用户会发现难以访问文件和文件夹，从而导致操作失败，通过 AD 监控，管理员可以深入了解 AD 文件复制服务状态、应用的复制对象和剩余的复制对象。这有助于网络管理员避免由于复制服务故障而导致的网络功能障碍。

确保 AD 数据库的持久性能

监视 AD 数据库服务器对于跟踪服务器中正在运行的文件及其内存消耗至关重要，这有助于网络管理员确保有足够的空间容纳即将到来的目录文件，并且当前文件也不会遇到操作灾难。

OpManager 监控数据库性能指标，如数据库可用空间、数据库大小和数据库总大小。

快速通知域问题

OpManager 允许创建通知配置文件并将其分配给域控制器，以便在违反阈值时立即通知管理员。当监控发生故障或 Active Directory 服务进入休眠状态时，将向预配置的 ID 发送电子邮件或短信警报，还可以通过 SNMP 陷阱、系统日志消息等获得通知。可以在设备的快照页面的 AD 选项卡下找到 Web 警报，此选项卡还提供在单一管理平台中监控的所有服务和关键性能指标的综合视图，管理员还可以根据预定义的条件在故障设备上执行脚本或程序，甚至可以使用工作流自动执行某些一线故障排除任务。