Share via

Az Active Directory környezet-optimalizálása az Azure Monitor Active Directory Health Check megoldásával

  • Cikk

Az AD állapot-ellenőrzési szimbóluma

Megjegyzés

Ez a cikk nemrég frissült, hogy a Log Analytics helyett az Azure Monitor-naplók kifejezést használja. A naplóadatok továbbra is egy Log Analytics-munkaterületen tárolódnak, és ugyanazon Log Analytics-szolgáltatás gyűjti és elemzi azokat. Frissítjük a terminológiát, hogy jobban tükrözze a naplók szerepét az Azure Monitorban. Részletekért tekintse meg az Azure Monitor terminológiai változásait ismertető cikket.

Az Active Directory állapot-ellenőrzési megoldásával rendszeres időközönként felmérheti a kiszolgálókörnyezetek kockázatát és állapotát. Ez a cikk segítséget nyújt a megoldás telepítéséhez és használatához, hogy korrekciós műveleteket hajthat végre a lehetséges problémák esetén.

Ez a megoldás az üzembe helyezett kiszolgálói infrastruktúrára vonatkozó javaslatok rangsorolását tartalmazza. A javaslatok négy fókuszterületen vannak kategorizálva, amelyek segítenek a kockázat gyors megértésében és a lépések megtételében.

A javaslatok a Microsoft mérnökei által több ezer ügyféllátogatás során szerzett tudáson és tapasztalaton alapulnak. Minden javaslat útmutatást nyújt azzal kapcsolatban, hogy egy probléma miért lehet fontos Önnek, és hogyan valósíthatja meg a javasolt módosításokat.

Kiválaszthatja a szervezet számára legfontosabb fókuszterületeket, és nyomon követheti a kockázatmentes és egészséges környezet kialakítása felé tett előrehaladást.

Miután hozzáadta a megoldást, és az ellenőrzés befejeződött, a fókuszterületek összefoglaló információi megjelennek a környezet infrastruktúrájának AD Health Check irányítópultján. Az alábbi szakaszok ismertetik, hogyan használhatja fel az AD állapot-ellenőrzési irányítópultján található információkat, ahol megtekintheti és végrehajthatja az Active Directory-kiszolgáló infrastruktúrájához ajánlott műveleteket.

az AD Állapot-ellenőrzés csempéjének képe

az AD állapot-ellenőrzési irányítópultjának képe

Előfeltételek

  • Az Active Directory állapot-ellenőrzési megoldásához telepítve kell lennie a .NET-keretrendszer 4.6.2-es vagy újabb verziójának minden olyan számítógépen, amelyen telepítve van a WindowsHoz készült Log Analytics-ügynök (más néven a Microsoft Monitoring Agent (MMA). Az ügynököt a System Center 2016 – Operations Manager, az Operations Manager 2012 R2 és az Azure Monitor használja.

  • A megoldás a Windows Server 2008 és 2008 R2, Windows Server 2012 és 2012 R2, Windows Server 2016 és Windows Server 2019 rendszert futtató tartományvezérlőket támogatja.

  • Log Analytics-munkaterület az Active Directory állapot-ellenőrzési megoldás hozzáadásához a Azure Portal Azure Marketplace. Nincs szükség további konfigurációra.

    Megjegyzés

    A megoldás hozzáadása után a AdvisorAssessment.exe fájl ügynökökkel rendelkező kiszolgálókhoz lesz hozzáadva. A rendszer beolvassa a konfigurációs adatokat, majd elküldi őket a felhőbeli Azure Monitornak feldolgozás céljából. A felhőszolgáltatás egy logikát alkalmaz a kapott adatokon, és rögzíti azokat.

A kiértékelendő tartomány tagjait tartalmazó tartományvezérlők állapot-ellenőrzéséhez a tartomány minden egyes tartományvezérlőjéhez ügynökre és az Azure Monitorhoz való csatlakozásra van szükség az alábbi támogatott módszerek egyikével:

  1. Telepítse a Windowshoz készült Log Analytics-ügynököt , ha a tartományvezérlőt még nem figyeli a System Center 2016 – Operations Manager vagy az Operations Manager 2012 R2.
  2. Ha a System Center 2016 – Operations Managerrel vagy az Operations Manager 2012 R2-vel figyelik, és a felügyeleti csoport nincs integrálva az Azure Monitorral, a tartományvezérlő többhelyes is lehet az Azure Monitorral, hogy adatokat gyűjtsön és továbbítsa a szolgáltatásnak, és továbbra is monitorozza az Operations Manager.
  3. Ellenkező esetben, ha az Operations Manager felügyeleti csoportja integrálva van a szolgáltatással, a megoldás munkaterületen való engedélyezése után az ügynök által felügyelt számítógépek hozzáadása című szakaszban leírt lépéseket követve hozzá kell adnia a szolgáltatás által végzett adatgyűjtéshez szükséges tartományvezérlőket.

A tartományvezérlő ügynöke, amely jelentést küld egy Operations Manager felügyeleti csoportnak, adatokat gyűjt, továbbítja a hozzárendelt felügyeleti kiszolgálónak, majd közvetlenül egy felügyeleti kiszolgálóról továbbítja az Azure Monitornak. Az adatok nem az Operations Manager-adatbázisokba íródnak.

Az Active Directory Health Check által végzett adatgyűjtés részletei

Az Active Directory állapot-ellenőrzése az ön által engedélyezett ügynök használatával gyűjt adatokat a következő forrásokból:

  • Regisztrációs adatbázis
  • LDAP
  • .NET-keretrendszer
  • Eseménynapló
  • Active Directory szolgáltatásillesztők (ADSI)
  • Windows PowerShell
  • Fájladatok
  • Windows Management Instrumentation (WMI)
  • DCDIAG eszköz API
  • Fájlreplikációs szolgáltatás (NTFRS) API
  • Egyéni C#-kód

Az adatok gyűjtése a tartományvezérlőn történik, és hét naponta továbbítja az Azure Monitornak.

A javaslatok rangsorolásának ismertetése

Minden javaslathoz tartozik egy súlyozási érték, amely azonosítja a javaslat relatív fontosságát. Csak a 10 legfontosabb javaslat jelenik meg.

A súlyozás kiszámítása

A súlyozások három fő tényezőn alapuló összesített értékek:

  • Annak a valószínűsége , hogy egy azonosított probléma problémákat okoz. A nagyobb valószínűség a javaslat nagyobb összesített pontszámának felel meg.
  • A probléma hatása a szervezetre, ha az problémát okoz. A nagyobb hatás a javaslat nagyobb összesített pontszámának felel meg.
  • A javaslat végrehajtásához szükséges erőfeszítés . A nagyobb erőfeszítés a javaslat kisebb összesített pontszámának felel meg.

Az egyes javaslatok súlyozása az egyes fókuszterületekhez elérhető összpontszám százalékában van kifejezve. Ha például egy javaslat a Biztonság és megfelelőség fókuszterületen 5%-os pontszámmal rendelkezik, a javaslat megvalósítása 5%-kal növeli a teljes biztonsági és megfelelőségi pontszámot.

Fókuszterületek

Biztonság és megfelelőség – Ez a fókuszterület a potenciális biztonsági fenyegetésekre és biztonsági incidensekre, a vállalati szabályzatokra, valamint a műszaki, jogi és jogszabályi megfelelőségi követelményekre vonatkozó javaslatokat mutat be.

Rendelkezésre állás és üzletmenet-folytonosság – Ez a fókuszterület a szolgáltatások rendelkezésre állására, az infrastruktúra rugalmasságára és az üzletmenet védelmére vonatkozó javaslatokat mutat be.

Teljesítmény és méretezhetőség – Ez a fókuszterület olyan javaslatokat mutat be, amelyek segítenek a szervezet informatikai infrastruktúrájának növekedésében, annak biztosításában, hogy az informatikai környezet megfeleljen a jelenlegi teljesítménykövetelményeknek, és képes legyen reagálni a változó infrastruktúra-igényekre.

Frissítés, migrálás és üzembe helyezés – Ez a fókuszterület olyan javaslatokat jelenít meg, amelyek segítenek az Active Directory frissítésében, migrálásában és üzembe helyezésében a meglévő infrastruktúrában.

Érdemes 100%-ra törekedni minden fókuszterületen?

Nem feltétlenül. A javaslatok a Microsoft mérnökei által több ezer ügyféllátogatás során szerzett ismereteken és tapasztalatokon alapulnak. Azonban nincs két kiszolgálóinfrastruktúra, és bizonyos javaslatok többé-kevésbé relevánsak lehetnek Az Ön számára. Előfordulhat például, hogy egyes biztonsági javaslatok kevésbé relevánsak, ha a virtuális gépek nincsenek kitéve az internetnek. Előfordulhat, hogy egyes rendelkezésre állási javaslatok kevésbé relevánsak az alacsony prioritású alkalmi adatgyűjtést és -jelentést biztosító szolgáltatások esetében. Az érett vállalkozás számára fontos problémák kevésbé fontosak lehetnek az induló vállalkozások számára. Érdemes lehet meghatározni, hogy mely fókuszterületek tartoznak a prioritások közé, majd megnézni, hogyan változnak a pontszámok az idő múlásával.

Minden javaslat tartalmaz útmutatást arról, hogy miért fontos. Ezzel az útmutatóval kiértékelheti, hogy a javaslat megvalósítása megfelelő-e az Ön számára, figyelembe véve az informatikai szolgáltatások jellegét és a szervezet üzleti igényeit.

Az állapot-ellenőrzés fókuszterületére vonatkozó javaslatok használata

A telepítést követően megtekintheti a javaslatok összegzését a Azure Portal megoldáslapján található Állapot-ellenőrzés csempével.

Tekintse meg az infrastruktúra összesített megfelelőségi felméréseit, majd tekintse meg a javaslatokat.

Fókuszterületre vonatkozó javaslatok megtekintése és korrekciós műveletek végrehajtása

A monitorozási megoldás által gyűjtött adatok az Azure Portal Munkaterület összegzése (elavult) lapján érhetők el. Nyissa meg ezt a lapot a megoldással rendelkező munkaterület Log Analytics-munkaterületei közül, majd válassza a Munkaterület összegzése (elavult) lehetőséget a menü Klasszikus szakaszában. Minden megoldást egy csempe jelöl. Válasszon ki egy csempét a megoldás által gyűjtött részletesebb adatokhoz.

  1. Az Áttekintés lapon kattintson az Active Directory állapot-ellenőrzése csempére.

  2. Az Állapot-ellenőrzés lapon tekintse át az összefoglaló információkat a fókuszterület egyik szakaszában, majd kattintson az egyikre az adott fókuszterületre vonatkozó javaslatok megtekintéséhez.

  3. A fókuszterület bármely lapján megtekintheti a környezetére vonatkozó rangsorban szereplő javaslatokat. Kattintson egy javaslatra az Érintett objektumok területen a javaslat miértjének részleteinek megtekintéséhez.

    állapot-ellenőrzési javaslatok képe

  4. A Javasolt műveletek területen javasolt korrekciós műveleteket hajthat végre. Az elem kezelése után a rendszer később kiértékeli azokat a rekordokat, amelyek javasolt műveleteket végeztek, és a megfelelőségi pontszám meg fog növekedni. A javított elemek átadott objektumokként jelennek meg.

Javaslatok figyelmen kívül hagyása

Ha vannak olyan javaslatai, amelyeket figyelmen kívül szeretne hagyni, létrehozhat egy szövegfájlt, amelyet az Azure Monitor használni fog annak megakadályozására, hogy a javaslatok megjelenjenek az értékelési eredményekben.

A figyelmen kívül hagyott javaslatok azonosítása

A naplóelemzés használatával lekérdezéseket hozhat létre és elemezheti a naplóadatokat az Azure Monitorban a Azure Portal Azure Monitor menüjének Naplók elemére kattintva.

Az alábbi lekérdezés használatával listázhatja a környezetében lévő számítógépeken sikertelen javaslatokat.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Íme egy képernyőkép a napló lekérdezéséről:<

sikertelen javaslatok

Válassza ki a figyelmen kívül hagyni kívánt javaslatokat. A következő eljárásban a RecommendationId értékeit fogja használni.

IgnoreRecommendations.txt szövegfájl létrehozása és használata

  1. Hozzon létre egy IgnoreRecommendations.txt nevű fájlt.

  2. Illessze be vagy írja be az egyes javaslatok recommendationId azonosítóját, amelyeket az Azure Monitor figyelmen kívül hagy egy külön sorban, majd mentse és zárja be a fájlt.

  3. Helyezze a fájlt a következő mappába minden olyan számítógépen, ahol az Azure Monitor figyelmen kívül szeretné hagyni a javaslatokat.

    • A Microsoft Monitoring Agenttel rendelkező számítógépeken (közvetlenül vagy az Operations Manageren keresztül) – SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Az Operations Manager 2012 R2 felügyeleti kiszolgálón – SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Az Operations Manager 2016 felügyeleti kiszolgálón – SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Annak ellenőrzése, hogy a javaslatok figyelmen kívül vannak-e hagyva

A következő ütemezett állapot-ellenőrzés futtatása után a rendszer alapértelmezés szerint hét naponta figyelmen kívül hagyja a megadott javaslatokat, és nem jelenik meg az irányítópulton.

  1. Az alábbi napló lekérdezésekkel listázhatja az összes figyelmen kívül hagyott javaslatot.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Ha később úgy dönt, hogy meg szeretné tekinteni a figyelmen kívül hagyott javaslatokat, távolítsa el a IgnoreRecommendations.txt fájlokat, vagy eltávolíthatja belőlük a javaslatazonosítókat.

Gyakori kérdések

Milyen ellenőrzéseket végez az AD Assessment-megoldás?

  • A következő lekérdezés a jelenleg végrehajtott ellenőrzések leírását jeleníti meg:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Az eredményeket ezután exportálhatja az Excelbe további áttekintés céljából.

Milyen gyakran fut egy állapot-ellenőrzés?

  • Az ellenőrzés hét naponta lefut.

Van mód annak konfigurálására, hogy az állapot-ellenőrzés milyen gyakran fusson?

  • Jelenleg nem.

Ha egy másik kiszolgálót észlelek, miután hozzáadtam egy állapot-ellenőrzési megoldást, a rendszer ellenőrzi

  • Igen, miután felfedezték, ettől kezdve hét naponta ellenőrzik.

Ha egy kiszolgáló leszerelt, mikor távolítja el a rendszer az állapot-ellenőrzésből?

  • Ha egy kiszolgáló 3 hétig nem küld adatokat, az törlődik.

Mi az adatgyűjtési folyamat neve?

  • AdvisorAssessment.exe

Mennyi ideig tart az adatok gyűjtése?

  • A kiszolgálón történő tényleges adatgyűjtés körülbelül 1 órát vesz igénybe. Hosszabb időt vehet igénybe a nagy számú Active Directory-kiszolgálóval rendelkező kiszolgálókon.

Van mód az adatok gyűjtésének konfigurálására?

  • Jelenleg nem.

Miért csak az első 10 javaslat megjelenítése?

  • Ahelyett, hogy kimerítő listát adnánk a feladatokról, azt javasoljuk, hogy először a rangsorban szereplő javaslatokra összpontosítson. A címek kezelése után további javaslatok válnak elérhetővé. Ha inkább a részletes listát szeretné megtekinteni, napló lekérdezéssel megtekintheti az összes javaslatot.

Lehet figyelmen kívül hagyni egy javaslatot?

Következő lépések

Az Azure Monitor napló lekérdezéseiből megtudhatja, hogyan elemezheti az AD állapot-ellenőrzési adatait és javaslatait.