مشاركة عبر

تحسين بيئة Active Directory باستخدام حل Active Directory Health Check في Azure Monitor

  • مقالة

رمز AD Health Check

ملاحظة

تم تحديث هذه المقالة مؤخراً لاستخدام مصطلح سجلات مراقبة Azure بدلاً من تحليلات السجلات. لا تزال بيانات السجل مخزنة في مساحة عملLog Analytics ولا يزال يتم جمعها وتحليلها بواسطة نفس خدمة Log Analytics. نحن نحدِّث المصطلحات لتعكس دور السجلات في Azure Monitorعلى نحوٍ أفضل. راجع تغييرات مصطلحات Azure Monitor للحصول على التفاصيل.

يمكنك استخدام الحل Active Directory Health Check لتقييم المخاطر وصحة بيئات الخادم الخاصة بك على فاصل زمني منتظم. تساعدك هذه المقالة على تثبيت الحل واستخدامه بحيث يمكنك اتخاذ إجراءات تصحيحية للمشاكل المحتملة.

يوفر هذا الحل قائمة توصيات مرتبة حسب الأولوية خاصة بالبنية الأساسية المنشورة لخادمك. يتم تصنيف التوصيات عبر أربعة مجالات تركيز، والتي تساعدك على فهم المخاطر بسرعة واتخاذ إجراءات.

تستند التوصيات إلى المعرفة والخبرة المكتسبة من مهندسي Microsoft من آلاف زيارات العملاء. تقدم كل توصية إرشادات حول سبب أهمية المشكلة لك وكيفية تنفيذ التغييرات المقترحة.

يمكنك اختيار مجالات التركيز الأكثر أهمية لمؤسستك وتتبع تقدمك نحو إدارة بيئة خالية من المخاطر وصحية.

بعد إضافة الحل والانتهاء من الفحص، يتم عرض معلومات موجزة عن مناطق التركيز على لوحة معلومات AD Health Check للبنية الأساسية في بيئتك. تصف المقاطع التالية كيفية استخدام المعلومات الموجودة على لوحة معلومات AD Health Check، حيث يمكنك عرض الإجراءات الموصى بها للبنية الأساسية لخادم Active Directory ثم اتخاذها.

صورة تجانب AD Health Check

صورة لوحة معلومات AD Health Check

المتطلبات الأساسية

  • يتطلب حل Active Directory Health Check إصدارًا معتمدًا من .NET Framework 4.6.2 أو أعلى مثبتا على كل كمبيوتر يحتوي على عامل Log Analytics لبرنامج Windows المُثبت (يشار إليه أيضًا باسم Microsoft Monitoring Agent (MMA)). يتم استخدام العامل من قبل System Center 2016 - Operations Manager وOperations Manager 2012 R2 وAzure Monitor.

  • يدعم الحل وحدات التحكم بالمجال التي تقوم بتشغيل Windows Server 2008 و 2008 R2 Windows Server 2012 و 2012 R2 و Windows Server 2016 و Windows Server 2019.

  • مساحة عمل Log Analytics لإضافة حل «Active Directory Health Check» من Azure Marketplace في مدخل Azure. لا يوجد تكوين إضافي مطلوب.

    ملاحظة

    بعد إضافة الحل، تتم إضافة ملف AdvisorAssessment.exe إلى خوادم مع عوامل. تتم قراءة بيانات التكوين ثم إرسالها إلى Azure Monitor في مجموعة السحابة للمعالجة. يتم تطبيق المنطق على البيانات المستلمة وتسجل خدمة السحابة البيانات.

لإجراء التحقق من الصحة في مقابل وحدات التحكم بالمجال التي هي أعضاء في المجال المراد تقييمه، تتطلب كل وحدة تحكم مجال في هذا المجال عاملًا واتصالاً بـ Azure Monitor باستخدام إحدى الأساليب المدعومة التالية:

  1. تثبيت عامل Log Analytics لـ Windows إذا لم يتم بالفعل مراقبة وحدة تحكم المجال بواسطة System Center 2016 - Operations Manager أو Operations Manager 2012 R2.
  2. إذا تمت مراقبتها باستخدام System Center 2016 - Operation Manager أو Operation Manager 2012 R2، ولم يتم دمج مجموعة الإدارة مع Azure Monitor، فيُمكن أن تكون وحدة التحكم بالمجال متعدد الأماكن مع Azure Monitor لجمع البيانات وإرسالها إلى الخدمة ويظل تحت المراقبة بواسطة Operation Manager.
  3. وإلا، إذا تم دمج مجموعة إدارة Operation Manager الخاصة بك مع الخدمة، فتحتاج إلى إضافة وحدات التحكم بالمجال لجمع البيانات بواسطة الخدمة باتباع الخطوات الموجودة أسفل إضافة أجهزة كمبيوتر مُدارة بواسطة العامل بعد تمكين الحل في مساحة العمل الخاصة بك.

يجمع العامل الموجود على وحدة التحكم بالمجال الخاصة بك والذي يقدم تقارير إلى مجموعة إدارة Operation Manager، البيانات ويرسلها إلى خادم إدارة مُعيّن، وبعدها تُرسل مباشرة من خادم الإدارة إلى Azure Monitor. لم تتم كتابة البيانات إلى قواعد بيانات Operation Manager.

تفاصيل تجميع بيانات Active Directory Health Check

يُجمع Active Directory Health Check البيانات من الموارد التالية باستخدام العامل الذي قمت بتمكينه:

  • التسجيلات
  • LDAP
  • ‎.NET Framework
  • سجل الأحداث
  • واجهات Active Directory Service (ADSI)
  • Windows PowerShell
  • بيانات الملف
  • Windows Management Instrumentation (WMI)
  • واجهة برمجة التطبيقات لأداة DCDIAG
  • واجهة برمجة التطبيقات لخدمة النسخ المتماثل لملف (NTFRS)
  • رمز #C مخصص

يتم تجميع البيانات على وحدة تحكم المجال وتحويلها إلى Azure Monitor كل سبعة أيام.

فهم كيفية ترتيب أولويات التوصيات

يتم إعطاء كل توصية يتم تقديمها قيمة ترجيح تحدد الأهمية النسبية للتوصية. ولا يتم عرض سوى أهم 10 توصيات.

كيفية حساب الترجيح حسب الأهمية

الترجيحات هي قيم مجمعة تستند إلى ثلاثة عوامل رئيسية:

  • احتمال أن مسألة محددة تسبب مشاكل. يساوي الاحتمال الأعلى إجمالي درجات أكبر للتوصية.
  • تأثير المشكلة على المؤسسة إذا كانت تتسبب في حدوث مشكلة. التأثير الأعلى يساوي درجة إجمالية أكبر للتوصية.
  • الجهد المطلوب لتنفيذ التوصية. يساوي الجهد الأعلى درجة إجمالية أقل للتوصية.

يتم التعبير عن الترجيح لكل توصية كنسبة مئوية من مجموع النقاط المتاحة لكل منطقة تركيز. على سبيل المثال، إذا كانت نتيجة التوصية في منطقة التركيز على الأمان والامتثال 5٪، فإن تنفيذ هذه التوصية يزيد من درجة الأمان والامتثال الإجمالية بنسبة 5٪.

مجالات التركيز

الأمن والامتثال - يُظهر مجال التركيز هذا توصيات بشأن التهديدات والانتهاكات الأمنية المحتملة ونُهج الشركة ومتطلبات الامتثال الفنية والقانونية والتنظيمية.

التوفر واستمرارية الأعمال - يُظهر مجال التركيز هذا توصيات بشأن توفر الخدمة، ومرونة البنية الأساسية الخاصة بك، وحماية الأعمال.

الأداء وقابلية التوسع - يُظهر مجال التركيز هذا توصيات لمساعدة البنية الأساسية الخاصة بتكنولوجيا المعلومات في مؤسستك على النمو، وضمان تلبية بيئة تكنولوجيا المعلومات لمتطلبات الأداء الحالية، والقدرة على الاستجابة لاحتياجات البنية التحتية المتغيرة.

الترقية والترحيل والتوزيع - تُظهر منطقة التركيز هذه توصيات لمساعدتك في ترقية Active Directory وترحيله وتوزيعه في البنية الأساسية الحالية.

هل تستهدف تسجيل 100٪ في كل مجال تركيز؟

ليس بالضرورة. تستند التوصيات إلى المعرفة والخبرة المكتسبة من مهندسي Microsoft من آلاف زيارات العملاء. ولكن، لا توجد بنيتان أساسيتان للخادم متماثلتان، وقد تكون التوصيات المحددة أكثر أو أقل ملاءمة بالنسبة لك. على سبيل المثال، قد تكون بعض توصيات الأمان أقل ملاءمة إذا لم تكن أجهزتك الظاهرية عرضة للإنترنت. وقد تكون بعض توصيات التوافر أقل أهمية بالنسبة للخدمات التي تقدم جمع البيانات المخصصة ذات الأولوية المنخفضة والإبلاغ عنها. قد تكون المسائل التي تهم الأنشطة التجارية الناضجة أقل أهمية للأنشطة التجارية البادئة. قد ترغب في تحديد أي مجالات التركيز التي تمثل أولوياتك، ومن ثم النظر في كيفية تغيير درجاتك بمرور الوقت.

وتتضمن كل توصية إرشادات حول سبب أهميتها. يجب عليك استخدام هذا الإرشاد لتقييم ما إذا كان تنفيذ التوصية مناسبًا لك، نظرًا لطبيعة خدمات تكنولوجيا المعلومات واحتياجات العمل للمؤسسة الخاصة بك.

استخدام توصيات منطقة التركيز على التحقق من الصحة

بعد تثبيته، يمكنك عرض ملخص التوصيات باستخدام تجانب Health Check على صفحة الحل في مدخل Azure.

عرض تقييمات التوافق الملخصة للبنية الأساسية الخاصة بك ثم التوصيات المدخلة.

لعرض التوصيات الخاصة بمجال التركيز واتخاذ الإجراءات التصحيحية

تتوفر البيانات التي تم جمعها بواسطة حل المراقبة هذا في صفحة ملخص مساحة العمل (مهمل) في مدخل Microsoft Azure. افتح هذه الصفحة من مساحات عمل Log Analytics لمساحة العمل باستخدام الحل الخاص بك ثم حدد ملخص مساحة العمل (مهمل) من القسم الكلاسيكي من القائمة. يتم تمثيل كل حل بواسطة تجانب. حدد لوحة للحصول على بيانات أكثر تفصيلا تم جمعها بواسطة هذا الحل.

  1. في صفحة نظرة عامة، انقر فوق التجانب Active Directory Health Check.

  2. في صفحة التحقق من الصحة ، راجع معلومات الملخص في أحد أقسام منطقة التركيز ثم انقر فوق واحد لعرض التوصيات لمنطقة التركيز هذه.

  3. في أي صفحة من صفحات منطقة التركيز يمكنك عرض التوصيات ذات الأولوية التي تم إجراؤها للبيئة. انقر فوق توصية ضمن العناصر المتأثرة لعرض التفاصيل حول سبب تقديم التوصية.

    صورة توصيات Health Check

  4. يمكنك اتخاذ الإجراءات التصحيحية المقترحة في الإجراءات المقترحة. عند معالجة العنصر، تسجل التقييمات اللاحقة أن الإجراءات الموصى بها قد اتخذت وسوف تزيد درجة التوافق. تظهر العناصر المصححة كـكائنات تم تمريرها.

تجاهل التوصيات

إذا كان لديك توصيات تريد تجاهلها، يمكنك إنشاء ملف نصي سيستخدمه Azure Monitor لمنع ظهور التوصيات في نتائج التقييم.

لتحديد التوصيات التي ستتجاهلها

استخدم تحليلات السجل لإنشاء استعلامات وتحليل بيانات السجل في Azure Monitor بالنقر فوق Logs في قائمة Azure Monitor في مدخل Microsoft Azure.

استخدم الاستعلام التالي لسرد التوصيات التي فشلت لأجهزة الكمبيوتر في البيئة الخاصة بك.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

إليك لقطة شاشة تعرض استعلام السجل:<

توصيات فشلت

اختر التوصيات التي تريد تجاهلها. سوف تستخدم القيم لـRecommendationId في الإجراء التالي.

لإنشاء ملف نصي IgnoreRecommendations.txt واستخدامه

  1. إنشاء ملف يسمى IgnoreRecommendations.txt.

  2. لصق أو كتابة كل RecommendationId لكل توصية تريد أن يتجاهلها Azure Monitor على سطر منفصل ثم حفظ الملف وإغلاقه.

  3. وضع الملف في المجلد التالي على كل كمبيوتر حيث تريد من Azure Monitor تجاهل التوصيات.

    • على أجهزة الكمبيوتر التي تحتوي على عامل Microsoft Monitoring (المتصل مباشرة أو من خلال Operation Manager)- SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • على خادم إدارة Operation Manager 2012 R2- SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • على خادم إدارة Operation Manager 2016 - SystemDrive:\Program Files\Microsoft System Center 2016 \Operations Manager\Server

للتحقق من تجاهل التوصيات

بعد تشغيل الفحص الحالة المجدول التالي، بشكل افتراضي كل سبعة أيام، يتم وضع علامة تجاهل على التوصيات المحددة ولن تظهر على لوحة المعلومات.

  1. يمكنك استخدام استعلامات السجل التالية لسرد كافة التوصيات التي تم تجاهلها.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. إذا قررت لاحقًا أنك تريد رؤية توصيات تم تجاهلها، قم بإزالة أي ملفات IgnoreRecommendations.txt، أو يمكنك إزالة RecommendationIDs منها.

الأسئلة المتداولة

ما عمليات التحقق التي يتم تنفيذها بواسطة حل تقييم AD؟

  • يعرض الاستعلام التالي وصفًا لجميع عمليات التحقق التي تم إجراؤها حاليًا:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

ويمكن بعد ذلك تصدير النتائج إلى Excel لمزيد من الاستعراض.

كم مرة يتم إجراء فحص حالة؟

  • يتم الفحص كل سبعة أيام.

هل هناك طريقة لتكوين عدد تشغيل فحص الحالة؟

  • ليس في الوقت الحالي.

إذا تم اكتشاف خادم آخر بعد أن أضفت حل فحص الحالة، فهل سيتم فحصه

  • نعم، بمجرد اكتشافه يتم فحصه من ذلك الحين فصاعدًا، كل سبعة أيام.

إذا تم إيقاف تشغيل خادم، متى ستتم إزالته من فحص الحالة؟

  • إذا لم يرسل خادم بيانات لمدة 3 أسابيع، تتم إزالته.

ما هو اسم العملية التي تقوم بتجميع البيانات؟

  • AdvisorAssessment.exe

كم من الوقت يستغرق جمع البيانات؟

  • يستغرق جمع البيانات الفعلية على الخادم حوالي ساعة واحدة. قد يستغرق وقتًا أطول على الخوادم التي تحتوي على عدد كبير من خوادم "Active Directory".

هل هناك طريقة للتكوين عند جمع البيانات؟

  • ليس في الوقت الحالي.

لماذا تعرض فقط أفضل 10 توصيات؟

  • بدلا من إعطائك قائمة شاملة من المهام، نوصيك بالتركيز على معالجة التوصيات ذات الأولوية أولًا. بعد معالجة هذه التوصيات، سوف تتوفر توصيات إضافية. إذا كنت تفضل مشاهدة القائمة التفصيلية، يمكنك عرض جميع التوصيات باستخدام الاستعلام عن السجل.

هل هناك طريقة لتجاهل التوصية؟

الخطوات التالية

استخدم الاستعلامات عن سجل Azure Monitor لمعرفة كيفية تحليل بيانات وتوصيات AD Health Check المفصلة.