Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Dieser Artikel wurde kürzlich aktualisiert, um den Begriff Azure Monitor-Protokolle anstelle von Log Analytics aufzunehmen. Protokolldaten werden immer noch in einem Log Analytics-Arbeitsbereich gespeichert und weiterhin mit dem gleichen Log Analytics-Dienst erfasst und analysiert. Die Terminologie hat sich geändert, um der Rolle von Protokollen in Azure Monitor besser Rechnung zu tragen. Weitere Informationen finden Sie unter Terminologieänderungen bei Azure Monitor.
Sie können die Active Directory-Integritätsprüfungslösung verwenden, um das Risiko und die Integrität Ihrer Serverumgebungen in einem regelmäßigen Intervall zu bewerten. Dieser Artikel hilft Ihnen bei der Installation und Verwendung der Lösung, damit Sie Korrekturmaßnahmen für potenzielle Probleme ergreifen können.
Diese Lösung bietet eine priorisierte Liste der Empfehlungen, die für Ihre bereitgestellte Serverinfrastruktur spezifisch sind. Die Empfehlungen werden in vier Fokusbereiche unterteilt, die Ihnen helfen, das Risiko schnell zu verstehen und Maßnahmen zu ergreifen.
Die Empfehlungen basieren auf dem Wissen und der Erfahrung von Microsoft-Ingenieuren aus Tausenden von Kundenbesuchen. Jede Empfehlung enthält Anleitungen dazu, warum ein Problem für Sie von Bedeutung ist und wie die vorgeschlagenen Änderungen implementiert werden.
Sie können Fokusbereiche auswählen, die für Ihre Organisation am wichtigsten sind, und Ihren Fortschritt bei der Ausführung einer risikofreien und gesunden Umgebung verfolgen.
Nachdem Sie die Lösung hinzugefügt und eine Überprüfung abgeschlossen haben, werden Zusammenfassungsinformationen für Schwerpunktbereiche auf dem AD Health Check-Dashboard für die Infrastruktur in Ihrer Umgebung angezeigt. In den folgenden Abschnitten wird beschrieben, wie Sie die Informationen zum AD-Integritätsprüfung Dashboard verwenden, in dem Sie empfohlene Aktionen für Ihre Active Directory-Serverinfrastruktur anzeigen und ausführen können.
Voraussetzungen
Die Active Directory-Integritätsprüfung erfordert eine unterstützte Version von .NET Framework 4.6.2 oder höher, die auf jedem Computer installiert ist, auf dem der Log Analytics-Agent für Windows (auch als Microsoft Monitoring Agent (MMA) bezeichnet) installiert ist. Der Agent wird von System Center 2016 – Operations Manager, Operations Manager 2012 R2 und Azure Monitor verwendet.
Die Lösung unterstützt Domänencontroller unter Windows Server 2008 und 2008 R2, Windows Server 2012 und 2012 R2, Windows Server 2016 und Windows Server 2019.
Ein Log Analytics-Arbeitsbereich, um die Active Directory-Integritätsprüfungslösung aus dem Azure Marketplace im Azure-Portal hinzuzufügen. Es ist keine zusätzliche Konfiguration erforderlich.
Hinweis
Nachdem Sie die Lösung hinzugefügt haben, wird die AdvisorAssessment.exe-Datei den Servern mit Agenten hinzugefügt. Konfigurationsdaten werden gelesen und dann zur Verarbeitung an Azure Monitor in der Cloud gesendet. Logik wird auf die empfangenen Daten angewendet, und der Clouddienst zeichnet die Daten auf.
Um die Integritätsprüfung für Ihre Domänencontroller durchzuführen, die Mitglieder der zu bewertenden Domäne sind, erfordert jeder Domänencontroller in dieser Domäne einen Agent und eine Verbindung mit Azure Monitor unter Verwendung einer der folgenden unterstützten Methoden:
- Installieren Sie den Log Analytics-Agent für Windows, wenn der Domänencontroller noch nicht von System Center 2016 – Operations Manager oder Operations Manager 2012 R2 überwacht wird.
- Wenn sie mit System Center 2016 – Operations Manager oder Operations Manager 2012 R2 überwacht wird und die Verwaltungsgruppe nicht in Azure Monitor integriert ist, kann der Domänencontroller mit Azure Monitor multi-homed sein, um Daten zu sammeln und an den Dienst weiterzuleiten und weiterhin von Operations Manager überwacht zu werden.
- Falls Ihre Operations Manager-Verwaltungsgruppe in den Dienst integriert ist, müssen Sie andernfalls die Domänencontroller für die Datenerfassung hinzufügen. Dies erfolgt, indem Sie nach der Aktivierung der Lösung in Ihrem Arbeitsbereich die Schritte unter Hinzufügen von agentverwalteten Computern ausführen.
Der Agent auf Ihrem Domänencontroller, der an eine Operations Manager-Verwaltungsgruppe berichtet, sammelt Daten, leitet sie an den zugewiesenen Verwaltungsserver weiter und sendet sie dann direkt von einem Verwaltungsserver an Azure Monitor. Die Daten werden nicht in die Operations Manager-Datenbanken geschrieben.
Details zur Datensammlung für die Active Directory-Integritätsprüfung
Die Active Directory-Integritätsprüfung sammelt Daten aus den folgenden Quellen mithilfe des agents, den Sie aktiviert haben:
- Registratur
- LDAP
- .NET Framework
- Ereignisprotokoll
- Active Directory-Dienstschnittstellen (ADSI)
- Windows PowerShell
- Dateidaten
- Windows-Verwaltungsinstrumentation (Windows Management Instrumentation, WMI)
- DCDIAG-Tool-API
- Dateireplikationsdienst-API (NTFRS)
- Benutzerdefinierter C#-Code
Daten werden auf dem Domänencontroller gesammelt und alle sieben Tage an Azure Monitor weitergeleitet.
Grundlegendes zur Priorisierung von Empfehlungen
Jede Empfehlung erhält einen Gewichtungswert, der die relative Bedeutung der Empfehlung angibt. Es werden nur die 10 wichtigsten Empfehlungen angezeigt.
Berechnung der Gewichtungen
Gewichtungen sind aggregierte Werte basierend auf drei Schlüsselfaktoren:
- Die Wahrscheinlichkeit, dass ein identifiziertes Problem Probleme verursacht. Eine höhere Wahrscheinlichkeit entspricht einem größeren Gesamtergebnis für die Empfehlung.
- Die Auswirkungen des Problems auf Ihre Organisation, wenn es zu einem Problem führt. Eine höhere Auswirkung entspricht einem größeren Gesamtergebnis für die Empfehlung.
- Der erforderliche Aufwand, um die Empfehlung umzusetzen. Ein höherer Aufwand entspricht einem kleineren Gesamtergebnis für die Empfehlung.
Die Gewichtung für jede Empfehlung wird als Prozentsatz der für jeden Fokusbereich verfügbaren Gesamtbewertung ausgedrückt. Wenn beispielsweise eine Empfehlung im Sicherheits- und Compliance-Fokusbereich eine Bewertung von 5%hat, erhöht die Implementierung dieser Empfehlung Ihre allgemeine Sicherheits- und Compliancebewertung um 5%.
Fokusbereiche
Sicherheits- und Compliance- – Dieser Fokusbereich zeigt Empfehlungen für potenzielle Sicherheitsbedrohungen und Sicherheitsverletzungen, Unternehmensrichtlinien und technische, rechtliche und behördliche Compliance-Anforderungen an.
Verfügbarkeit und Geschäftskontinuität – Dieser Fokusbereich zeigt Empfehlungen für die Dienstverfügbarkeit, Resilienz Ihrer Infrastruktur und den Geschäftsschutz.
Performance and Skalierbarkeit – Dieser Fokusbereich zeigt Empfehlungen an, um die IT-Infrastruktur Ihrer Organisation zu vergrößern, sicherzustellen, dass Ihre IT-Umgebung die aktuellen Leistungsanforderungen erfüllt und auf sich ändernde Infrastrukturanforderungen reagieren kann.
Upgrade-, Migrations- und Bereitstellungs- – Dieser Schwerpunktbereich enthält Empfehlungen, die Ihnen beim Upgrade, der Migration und der Bereitstellung von Active Directory in Ihrer vorhandenen Infrastruktur helfen.
Sollten Sie in jedem Fokusbereich 100% erreichen?
Nicht unbedingt. Die Empfehlungen basieren auf dem Wissen und den Erfahrungen von Microsoft-Ingenieuren über Tausende von Kundenbesuchen hinweg. Es gibt jedoch keine zwei Serverinfrastrukturen, und spezifische Empfehlungen sind für Sie möglicherweise mehr oder weniger relevant. Einige Sicherheitsempfehlungen sind z. B. möglicherweise weniger relevant, wenn Ihre virtuellen Computer nicht für das Internet verfügbar gemacht werden. Einige Verfügbarkeitsempfehlungen sind möglicherweise weniger relevant für Dienste, die ad-hoc-Datensammlung und -berichterstellung mit niedriger Priorität bieten. Probleme, die für ein reifes Unternehmen wichtig sind, können für ein Start-up weniger wichtig sein. Möglicherweise möchten Sie ermitteln, welche Fokusbereiche Ihre Prioritäten sind, und dann prüfen, wie sich Ihre Bewertungen im Laufe der Zeit ändern.
Jede Empfehlung enthält Anleitungen dazu, warum es wichtig ist. Sie sollten diese Anleitung verwenden, um zu bewerten, ob die Implementierung der Empfehlung für Sie geeignet ist, angesichts der Art Ihrer IT-Dienste und der geschäftlichen Anforderungen Ihrer Organisation.
Empfehlungen für den Fokusbereich "Gesundheitscheck" verwenden
Nachdem es installiert ist, können Sie die Zusammenfassung der Empfehlungen anzeigen, indem Sie die Kachel "Health Check" auf der Lösungsseite im Azure-Portal verwenden.
Zeigen Sie die zusammengefassten Compliancebewertungen für Ihre Infrastruktur an und gehen Sie dann zu den Empfehlungen über.
Empfehlungen für einen Fokusbereich anzeigen und Korrekturmaßnahmen ergreifen
Daten, die von dieser Überwachungslösung gesammelt werden, sind auf der Seite Arbeitsbereichszusammenfassung (veraltet) im Azure-Portal verfügbar. Öffnen Sie diese Seite aus den Log Analytics-Arbeitsbereichen für den Arbeitsbereich mit Ihrer Lösung, und wählen Sie dann Arbeitsbereichszusammenfassung (veraltet) aus dem Abschnitt Classic des Menüs aus. Jede Lösung wird durch eine Kachel dargestellt. Wählen Sie eine Kachel für detailliertere Daten aus, die von dieser Lösung gesammelt werden.
Klicken Sie auf der Seite Übersicht auf die Active Directory Health Check Kachel.
Überprüfen Sie auf der Seite Integritätsprüfung die Zusammenfassungsinformationen in einem der Fokusbereiche, und klicken Sie dann auf einen davon, um Empfehlungen für diesen Fokusbereich anzuzeigen.
Auf einer der Fokusbereichsseiten können Sie die priorisierten Empfehlungen für Ihre Umgebung anzeigen. Klicken Sie unter Betroffene Objekte auf eine Empfehlung, um Details darüber anzuzeigen, warum die Empfehlung getroffen wird.
Sie können Korrekturmaßnahmen ergreifen, die unter Vorgeschlagene Aktionenaufgeführt sind. Wenn der Punkt behandelt wurde, werden in späteren Bewertungseinträgen aufgezeichnet, dass die empfohlenen Maßnahmen ausgeführt wurden, und Ihr Compliance-Score wird erhöht. Korrigierte Elemente werden als Übergebene Objekteangezeigt.
Empfehlungen ignorieren
Wenn Sie Empfehlungen haben, die Sie ignorieren möchten, können Sie eine Textdatei erstellen, die Azure Monitor verwendet, um zu verhindern, dass Empfehlungen in Ihren Bewertungsergebnissen angezeigt werden.
So identifizieren Sie Empfehlungen, die Sie ignorieren werden
Verwenden Sie Protokollanalysen, um Abfragen zu erstellen und Protokolldaten in Azure Monitor zu analysieren, indem Sie im Azure-Portal im Menü Azure Monitor auf Protokolle klicken.
Verwenden Sie die folgende Abfrage, um Empfehlungen aufzulisten, die für Computer in Ihrer Umgebung fehlgeschlagen sind.
ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation
Hier ist ein Screenshot mit der Protokollabfrage:<
Wählen Sie Empfehlungen aus, die Sie ignorieren möchten. Im nächsten Schritt verwenden Sie die Werte für "RecommendationId".
So erstellen und verwenden Sie eine IgnoreRecommendations.txt Textdatei
Erstellen Sie eine Datei mit dem Namen IgnoreRecommendations.txt.
Fügen Sie jede Empfehlungs-ID für jede Empfehlung ein, die Azure Monitor ignorieren soll, entweder durch Einfügen oder Tippen in eine eigene Zeile. Speichern Sie dann die Datei und schließen Sie sie.
Platzieren Sie die Datei in den folgenden Ordner auf jedem Computer, auf dem Azure Monitor Empfehlungen ignorieren soll.
- Auf Computern mit dem Microsoft Monitoring Agent (direkt oder über Operations Manager verbunden) – SystemDrive:\Programme\Microsoft Monitoring Agent\Agent
- Auf dem Operations Manager 2012 R2-Verwaltungsserver – SystemDrive:\Programme\Microsoft System Center 2012 R2\Operations Manager\Server
- Auf dem Operations Manager 2016-Verwaltungsserver – SystemDrive:\Programme\Microsoft System Center 2016\Operations Manager\Server
So überprüfen Sie, ob Empfehlungen ignoriert werden
Nachdem die nächste geplante Gesundheitsprüfung ausgeführt wurde, standardmäßig alle sieben Tage, werden die angegebenen Empfehlungen als Ignoriert gekennzeichnet und nicht im Dashboard angezeigt.
Mit den folgenden Protokollabfragen können Sie alle ignorierten Empfehlungen auflisten.
ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, RecommendationWenn Sie später entscheiden, dass ignorierte Empfehlungen angezeigt werden sollen, entfernen Sie alle IgnoreRecommendations.txt Dateien, oder Sie können Empfehlungs-IDs daraus entfernen.
Häufig gestellte Fragen
Welche Prüfungen werden von der AD-Bewertungslösung durchgeführt?
- Die folgende Abfrage zeigt eine Beschreibung aller derzeit ausgeführten Prüfungen:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation
Die Ergebnisse können dann zur weiteren Überprüfung nach Excel exportiert werden.
Wie oft wird ein Gesundheitscheck ausgeführt?
- Die Prüfung wird alle sieben Tage ausgeführt.
Gibt es eine Möglichkeit, zu konfigurieren, wie oft die Integritätsprüfung ausgeführt wird?
- Zurzeit nicht.
Wenn ein anderer Server entdeckt wird, nachdem ich eine Integritätsprüfungslösung hinzugefügt habe, wird er überprüft?
- Ja, sobald es entdeckt wurde, wird es dann alle sieben Tage überprüft.
Wenn ein Server außer Betrieb genommen wird, wann wird er aus der Integritätsprüfung entfernt?
- Wenn ein Server keine Daten für 3 Wochen sendet, wird er entfernt.
Wie lautet der Name des Prozesses, der die Datensammlung durchführt?
- AdvisorAssessment.exe
Wie lange dauert es, bis Daten gesammelt werden?
- Die tatsächliche Datensammlung auf dem Server dauert etwa 1 Stunde. Auf Servern mit einer großen Anzahl von Active Directory-Servern kann es länger dauern.
Gibt es eine Möglichkeit, zu konfigurieren, wann Daten gesammelt werden?
- Zurzeit nicht.
Warum nur die wichtigsten 10 Empfehlungen anzeigen?
- Anstatt Ihnen eine erschöpfende überwältigende Liste von Aufgaben zu geben, empfehlen wir Ihnen, sich zuerst auf die Behandlung der priorisierten Empfehlungen zu konzentrieren. Nachdem Sie sie angesprochen haben, werden weitere Empfehlungen zur Verfügung gestellt. Wenn Sie die detaillierte Liste lieber anzeigen möchten, können Sie alle Empfehlungen mithilfe einer Protokollabfrage anzeigen.
Gibt es eine Möglichkeit, eine Empfehlung zu ignorieren?
- Ja, siehe Abschnitt "Empfehlungen ignorieren" weiter oben.
Nächste Schritte
Verwenden Sie Azure Monitor-Protokollabfragen, um zu erfahren, wie Sie detaillierte AD-Integritätsprüfungsdaten und -empfehlungen analysieren.