שימוש בכלי ניטור ופקודות מובנות על מנת לקבל תמונת מצב של ה- Active Directory שלנו

2 בינואר 2013

אין תגובות

 

daniel-petri-hat מאת: דניאל פטרי, מיקרוסופט ישראל

אם אתם קוראים את הפוסט הזה סביר להניח שתחת אחריותכם נמצאת גם מערכת ה- Active Directory של הארגון שלכם. טיפ זה יכול לעזור לכם לקבל מידע טוב יותר אודות סביבת ה- AD שלכם, וזאת מבלי להשקיע המון משאבים או להתקין תוכנות מורכבות ומסובכות. כמובן שככל שהסביבה מורכבת יותר, ככל שיש יותר שרתים המתפקדים כ- Domain Controllers, ככל שיש יותר Sites, ככל שיש אילוצי תקשורת מורכבים יותר – כך עלולה טופולוגיית הרפליקציה של ה- AD שלכם להיות מורכבת יותר, אבל הקונספט הוא זהה:

Domain Controllers צריכים להשתכפל, להתרפלק (מהמילה to replicate) זה עם זה לצורך שמירה על אחידות המידע (בעיקרון, פרט למספר מקרים ספציפיים, כל המידע שנמצא על DC אחד נמצא גם על האחרים). חלק אחד של אותה רפליקציה מטפל בכל מה שקשור לבסיס הנתונים עצמו של ה- AD (הכולל בין היתר את האובייקטים השונים, הסכימה, הקונפיגורציה, נתוני ה- DNS ועוד ועוד), וחלק אחר של הרפליקציה מתעסק בתיקיית ה- SYSVOL ובכל מה שבתוכה. כאן נדון רק בחלק הראשון. נטפל בשאר בפוסט מאוחר יותר.

בעוד שמנגנון הרפליקציה אמור לעבוד חלק וללא התערבות אנושית ברוב המקרים, הרי שיש תסריטים מיוחדים הדורשים התעסקות והגדרות ידניות. יחד עם זאת, בין אם התקנתם את כל ה- DCים שלכם "מהקופסא" ובין אם חפרתם במעמקי הרג'יסטרי וביצעתם שינויים הגדרתיים כאלה או אחרים, הרי שבסופו של דבר כל כשל במנגנון הרפליקציה עלול לגרום לכך שה- DCים יצאו מסינכרון, ואז הבעיות תתחלנה.

אז איך אנחנו בודקים ברמה היומיומית אם הרפליקציה של ה- DCים שלי עובדת כמו שצריך? יש לנו כמה אפשרויות, והשילוב של כולן יחד יכול לעזור לתת את התמונה המלאה.

יש לציין שמאמר זה מהווה רק את קצה הקרחון, ונועד כדי לתת "טעימה" לחלק מהיכולות של המערכת. אין הוא מתיימר לכסות את כל התסריטים האפשריים.

שימוש בתוכנת AD Replication Status Tool:

כלי זה נכתב כדי לספק לאדמיניסטרטור חיווי ויזואלי של בעיות רפליקציה פוטנציאליות שאולי יש לו.

הכלי אינו מובנה במערכת ויש להורידו בנפרד מהלינק הבא:

Download ADREPLSTATUS from Official Microsoft Download Center:

http://www.microsoft.com/en-us/download/details.aspx?id=30005

לאחר התקנה פשוטה מאוד נוצר לנו קיצור דרך על שולחן העבודה. דאבל-קליק ואפשר להתחיל לעבוד.

אחרי סריקת סביבת ה- AD שלכם, מפעילים את מצב הבדיקה (לחצן המשולש הירוק) והכלי יתחבר לכל DC בנפרד וימשוך ממנו את נתוני הרפליקציה האחרונים שלו. במידה ויש בעיות רפליקציה, הרצת כלי זה בתדירות של פעם ביום עשויה לתת לכם תמונה לא רעה של הסיבות לאותן בעיות. כמובן שתצטרכו לפתור אותן בעצמכם, הכלי אינו מבצע שום פעולה אלא רק מציג את הממצאים האחרונים.

clip_image001

שימוש בפקודת Repadmin:

מי שמכיר את שורת הפקודה לא מפחד מ- Repadmin. מדובר בפקודה גמישה וחזקה שמסוגלת לבצע מספר רב של פעולות, ולספק מידע חיוני ורב אודות מצב ה- DCים שלכם וסטטוס הרפליקציה שלהם. לפקודה מספר רב של פרמטרים, אבל בפוסט זה אדבר רק על כמה מהם:

כדי לראות עם מי אמור DC מסויים להשתכפל, ומה סטטוס הרפליקציה ביניהם:

תזכורת: גם בפקודה זו ובאופן כללי ניתן כמובן לייצא את הממצאים של הפקודה לקובץ טקסט ע"י הוספת סימן "גדול מ" ואז נתיב ושם לקובץ טקסט רלוונטי שאתם מעוניינים ליצור.

repadmin /showreps <dc_name>

כדי לראות את סטטוס הרפליקציה של כל ה- DCים ביער (לא רק בדומיין אחד), ולסדר את הממצאים לפי שגיאות:

repadmin /replsum * /bysrc /bydest /errorsonly /sort:error

לפקודה כאמור יש מגוון גדול של פרמטרים. ריכזתי למטה כמה לינקים רלוונטיים לנושא המאמר.

Repadmin מובנה ב- Windows Server 2008/R2. כדי להתקינו ב- Windows Server 2003 יש להוריד ולהתקין את ה- Support Tools של Windows Server 2003 (ראו לינק מטה).

clip_image002

שימוש בפקודת DCdiag:

פקודה זו מיועדת לבדיקה של מספר רב של בדיקות על כל DC (בנפרד), וכוללת מגוון של פרמטרים כגון בדיקת רפליקציה, בדיקת רשומות DNS, בדיקת תפקידי FSMO ועוד ועוד.

כשאתם מחוברים ל- DC ספציפי, הריצו את הפקודה הבאה (ניתן לייצא את התוצאות לקובץ טקסט כמו בדוגמה הקודמת):

dcdiag /test:replications

Repadmin מובנה ב- Windows Server 2008/R2. כדי להתקינו ב- Windows Server 2003 יש להוריד ולהתקין את ה- Support Tools של Windows Server 2003 (ראו לינק מטה).

clip_image003

שימוש בתוכנת Replmon:

Replmon הוא כלי פשוט ומצויין שניתן להתקינו דרך ה- Support Tools של Windows Server 2003 (ראו לינק לעיל). הכלי אינו נתמך ב- Windows Server 2008/R2 (אם כי יש דרך לעקוף את מגבלת ההתקנה, למי שפשוט לא יכול בלעדיו).

באמצעות Replmon ניתן לקבל חיווי ויזואלי של מצב הרפליקציה של ה- DCים שלכם, ב- Site אחד או יותר. ניתן לקבל נתונים אודות מתי היתה הרפליקציה האחרונה, האם היו כישלונות כלשהם בשעות האחרונות, מיהם שרתי ה- FSMO, מי מחזיק בתפקידי Bridgehead Servers, ואפילו לצייר את טופולוגיית הרפליקציה. בנוסף, יש בו יכולת מובנית ליזום רפליקציה עכשיו (גם מעבר ל- Site Links), לדחוף שינויים ל- DCים מרוחקים, ואפילו להשוות את נתוני ה- Metadata של אובייקטים מסויימים על פני כמה שרתים.

לי אישית הכלי היה מאוד נוח. יחד עם זאת, בגלל שהוא לא קיים יותר ב- Windows Server 2008/R2, רצוי לזכור שכל מה שאפשר לעשות עם Replmon ניתן גם לעשות באמצעות פקודת Repadmin.

למידע נוסף ראו הלינקים למטה.

clip_image004

כלי ניטור ייעודיים:

ישנם מספר כלים שתוכננו עם מטרה אחת בראש – ניטור של Services ספציפיים על מכונות Windows. ה- Microsoft System Center Operation Manager (או SCOM) הוא אחד מהם. היתרון של המוצר הוא ברב גוניות שלו, וביכולת להתממשק, באמצעות Management Packs מתאימים, לכמעט כל מוצר, שירות או טכנולוגיה מיקרוסופטית (וגם למערכות מצד שלישי). בעוד שהוא יודע לעשות כמעט את כל מה שכל מוצר בקרה אחר יודע לעשות, SCOM יודע להתממשק לקרביים של מערכת ההפעלה, ה- AD Management Pack שלו נכתב ע"י אותם מהנדסי תוכנה שעבדו על Active Directory כך שאין מישהו בעולם שיודע יותר טוב מהם כיצד לנטר את תקינות ה- AD.

עם התקנת המוצר והוספת ה- Management Packs המתאימים, המערכת יודעת כבר לנטר את הפונקציות הבסיסיות של AD. יחד עם זאת, SCOM הוא מוצר לא פשוט שאפשרויות הקונפיגורציה שלו הן רבות מאוד. במידה ואתם שוקלים להטמיע SCOM אצלכם בארגון שווה לעשות זאת בליווי איש מקצוע, יועץ מיומן או שותף של מיקרוסופט שידע לתפור את חבילת הניטור בדיוק לפי הצרכים שלכם.

clip_image005

כלים מצד שלישי:

בשוק יש מספר לא קטן של כלי ניטור ותחזוקה שיכולים לשמש אותנו לטובת ניטור ה- AD. חשוב למרות זאת לומר ולזכור שיש הבדל מהותי בין כלי שמתפקד מצויין ככלי ניטור לזמינות שרתים או Services, לבין כלי ש"יודע" להתממשק ל- AD, לקרוא Events ולחפש באופן ספציפי כאלה שהוא יודע שהם מרמזים על בעיות פוטנציאליות. בנוסף, חשוב שהכלי שאיתו אתם עובדים ידע להציג ולהציף את האזהרות והשגיאות בצורה נוחה לעבודה, מבלי להציק מצד אחד (מה שעלול לגרום לנו להתעלם ממנו בסופו של דבר) ומבלי להחביא את הממצאים כל כך עמוק שיהיה קשה לנו לגלות מה בדיוק הבעיה.

ריכוז Event Ids ספציפיים לתוך תחנת ניהול אחת:

בימי "קדם" היינו חייבים להתחבר לכל מחשב בנפרד (או להשתמש במוצרים ייעודיים לשם כך) ולצפות ב- Event Viewer. החל מ- Windows Server 2008/R2 ניתן לרכז את כל ה- Events החיוניים לנו (הודעות שגיאה, הודעות קריטיות, כישלון של פעולות לוג-און ועוד) במחשב אחד שמשמש אותנו כתחנת שליטה וניהול. סדר ביצוע הפעולות נראה אולי מעט מסובך, אבל הוא די פשוט למעשה. התהליך כולו נקרא יצירה של Event Subscriptions.

על כל מחשב שממנו אנחנו רוצים "לשאוב" את ה- Eventים, עלינו להריץ את הפקודה הבאה:

winrm quickconfig

על המחשב שאליו אנחנו מתכוונים "למשוך" את ה- Eventים עלינו להריץ את הפקודה הבאה:

wecutil qc

כעת יש להוסיף את המחשב שאליו אנחנו מתכוונים "למשוך" את הנתונים, לקבוצת ה- Local Administrators על כל מחשב שממנו אנחנו מתכוונים "לשאוב" את הנתונים.

מכאן אנחנו ממשיכים ליצור את ה- Event Subscriptions המתאימים. ראו לינק למטה.

לסיכום:

ניטור שוטף של תקינות ה- AD ושל תקינות הרפליקציה בין ה- DCים השונים הוא חיוני לשמירה על סביבת עבודה תקינה ובריאה. ללא ניטור שוטף וברור, נפילה של רפליקציה עלולה לעבור ללא גילוי במשך ימים ואף שבועות, מה שיגרום לתקלה רק להחמיר ואף ליצור מצב של השבתה של הארגון. כמובן שבמאמר זה הבאתי רק את קצה הקרחון אבל מטרתו העיקרית היתה להעלות את החשיבות של הניטור ולהביאה לנגד עיניו של כל אדמיניסטרטור. הקפידו על ניטור גם אם אין ברשותכם כלים ייעודיים, וזכרו שגם באמצעות פקודות מובנות פשוטות ניתן ליצור מערכת שתאפשר לכם לקבל מושג (גם אם חלקי) אודות בעיה כזו או אחרת בסביבת ה- AD שלכם.

כמה לינקים חשובים:

המידע בנושא הוא רב, אבל ניסיתי לרכז כמה לינקים מעניינים עבורכם. מי שירצה יותר מידע מוזמן כמובן להמשיך ולכתוב פה, נשתדל כולנו לעזור.

Troubleshooting replication: Active Directory:

http://technet.microsoft.com/en-us/library/cc755349(v=ws.10).aspx

Repadmin:

http://technet.microsoft.com/en-us/library/cc770963(v=ws.10).aspx

Download Troubleshooting replication with repadmin from Official Microsoft Download Center:

http://www.microsoft.com/en-us/download/details.aspx?id=9028

Repadmin /showrepl:

http://technet.microsoft.com/en-us/library/cc742066(v=ws.10).aspx

Repadmin /replsummary:

http://technet.microsoft.com/en-us/library/cc835092(v=ws.10).aspx

Getting Over Replmon – Ask the Directory Services Team – Site Home – TechNet Blogs:

http://blogs.technet.com/b/askds/archive/2009/07/01/getting-over-replmon.aspx

Troubleshooting Active Directory Replication Problems: Active Directory:

http://technet.microsoft.com/en-us/library/4f504103-1a16-41e1-853a-c68b77bf3f7e

How to troubleshoot intra-site replication failures:

http://support.microsoft.com/kb/249256

Troubleshooting AD Replication error 1722: The RPC server is unavailable:

http://support.microsoft.com/kb/2102154

Troubleshooting Active Directory replication failures that occur because of DNS lookup failures, event ID 2087, or event ID 2088:

http://support.microsoft.com/kb/824449

Download Windows Server 2003 Service Pack 2 32-bit Support Tools from Official Microsoft Download Center:

http://www.microsoft.com/en-us/download/details.aspx?id=15326

Replmon Overview: Active Directory:

http://technet.microsoft.com/en-us/library/cc772954(v=ws.10).aspx

Configure Computers to Forward and Collect Events:

http://technet.microsoft.com/en-us/library/cc748890.aspx

Create a New Event Subscription:

http://technet.microsoft.com/en-us/library/cc722010.aspx

Download Monitoring Pack for Active Directory from Official Microsoft Download Center:

http://www.microsoft.com/en-us/download/details.aspx?id=21357

Overview of the Active Directory Management Pack:

http://technet.microsoft.com/en-us/library/cc180617.aspx

 

דניאל פטרי משמש כ- Premier Field Engineer במיקרוסופט ישראל מזה כשנה ועוסק בעיקר ב- Active Directory, Remote Desktop Services ו- Hyper-V. קודם לכן יצר וכתב את אחד מאתרי המידע הפופולריים בעולם – www.petri.co.il, שימש כיועץ עצמאי ללקוחות רבים בארץ ובחו"ל, והחזיק בתואר MVP של מיקרוסופט במשך 8 שנים.

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *