Share via

Optimalkan lingkungan Direktori Aktif Anda dengan solusi Pemeriksaan Kesehatan AD DS di Azure Monitor

  • Artikel

Simbol Pemeriksaan Kesehatan AD

Catatan

Artikel ini baru-baru ini diperbarui untuk menggunakan istilah log Azure Monitor alih-alih Analitik Log. Data log masih disimpan di ruang kerja Analitik Log dan masih dikumpulkan dan dianalisis oleh layanan Analitik Log yang sama. Kami memperbarui terminologi untuk mencerminkan peran log di Azure Monitor dengan lebih baik. Lihat Perubahan terminologi Azure Monitor untuk detailnya.

Anda dapat menggunakan solusi Pemeriksaan Kesehatan Direktori Aktif untuk menilai risiko dan kesehatan lingkungan server Anda dalam interval rutin. Artikel ini membantu Anda memasang dan menggunakan solusi sehingga Anda dapat mengambil tindakan korektif untuk masalah potensial.

Solusi ini menyediakan daftar rekomendasi yang diprioritaskan khusus untuk infrastruktur server yang Anda sebarkan. Rekomendasi dikategorikan di empat area fokus, yang membantu Anda dengan cepat memahami risiko dan mengambil tindakan.

Rekomendasi didasarkan pada pengetahuan dan pengalaman yang diperoleh teknisi Microsoft dari ribuan kunjungan pelanggan. Setiap rekomendasi memberikan panduan tentang mengapa sebuah masalah mungkin penting bagi Anda dan cara mengimplementasikan perubahan yang disarankan.

Anda dapat memilih area fokus yang paling penting bagi organisasi Anda dan melacak kemajuan Anda dalam menjalankan lingkungan yang bebas risiko dan sehat.

Setelah Anda menambahkan solusi dan pemeriksaan selesai, informasi ringkasan untuk area fokus ditampilkan di dasbor Pemeriksaan Kesehatan AD untuk infrastruktur di lingkungan Anda. Bagian berikut ini menjelaskan cara menggunakan informasi di dasbor Pemeriksaan Kesehatan AD, tempat Anda bisa melihat lalu mengambil tindakan yang direkomendasikan untuk infrastruktur server Layanan Domain Active Directory Anda.

gambar petak peta Pemeriksaan Kesehatan AD

gambar dasbor Pemeriksaan Kesehatan AD

Prasyarat

  • Solusi Pemeriksaan Kesehatan Direktori Aktif memerlukan dukungan versi .NET Framework 4.6.2 atau lebih tinggi yang dipasang pada setiap komputer yang memiliki agen Analitik Log untuk Windows (juga disebut sebagai Microsoft Monitoring Agent (MMA)) yang dipasang. Agen ini digunakan oleh System Center 2016 - Operations Manager, Operations Manager 2012 R2, dan Azure Monitor.

  • Solusi ini mendukung pengendali domain yang menjalankan Windows Server 2008 dan 2008 R2, Windows Server 2012 dan 2012 R2, Windows Server 2016, dan Windows Server 2019.

  • Ruang kerja Analitik Log untuk menambahkan solusi Pemeriksaan Kesehatan Direktori Aktif dari Marketplace Azure di portal Microsoft Azure. Tidak diperlukan konfigurasi tambahan.

    Catatan

    Setelah Anda menambahkan solusi, file AdvisorAssessment.exe ditambahkan ke server dengan agen. Data konfigurasi dibaca lalu dikirim ke Azure Monitor di cloud untuk diproses. Logika diterapkan ke data yang diterima dan layanan cloud merekam data.

Untuk melakukan pemeriksaan kesehatan terhadap pengendali domain Anda yang merupakan anggota domain yang akan dievaluasi, setiap pengendali domain di domain tersebut memerlukan agen dan konektivitas ke Azure Monitor menggunakan salah satu metode dukungan berikut ini:

  1. Pasang agen Analitik Log untuk Windows jika pengendali domain belum dipantau oleh System Center 2016 - Operations Manager atau Operations Manager 2012 R2.
  2. Jika dipantau dengan System Center 2016 - Operations Manager atau Operations Manager 2012 R2 dan grup pengelolaan tidak terintegrasi dengan Azure Monitor, pengendali domain dapat multi-homed juga pada Azure Monitor untuk mengumpulkan data dan meneruskannya ke layanan dan masih dipantau oleh Operations Manager.
  3. Sebaliknya, jika grup pengelolaan Operations Manager Anda terintegrasi dengan layanan, Anda perlu menambahkan pengendali domain untuk koleksi data oleh layanan dengan mengikuti langkah-langkah di bawah tambahkan komputer yang dikelola agen setelah Anda mengaktifkan solusi di ruang kerja Anda.

Agen pada pengendali domain Anda yang melaporkan ke grup pengelolaan Operations Manager, mengumpulkan data, meneruskan ke server pengelolaan yang ditetapkan, lalu dikirim langsung dari server pengelolaan ke Azure Monitor. Data tidak ditulis ke database Operations Manager.

Detail kumpulan data Pemeriksaan Kesehatan Direktori Aktif

Pemeriksaan Kesehatan Direktori Aktif mengumpulkan data dari sumber berikut menggunakan agen yang telah Anda aktifkan:

  • Registri
  • LDAP
  • .NET Framework
  • Log peristiwa
  • Antarmuka Layanan Direktori Aktif (ADSI)
  • Windows PowerShell
  • Data file
  • Instrumentasi Manajemen Windows (WMI)
  • API alat DCDIAG
  • API Layanan Replikasi File (NTFRS)
  • Kode C# kustom

Data dikumpulkan pada pengendali domain dan diteruskan ke Azure Monitor setiap tujuh hari.

Memahami bagaimana rekomendasi diprioritaskan

Setiap rekomendasi yang dibuat diberi nilai pembobotan yang mengidentifikasi kepentingan relatif dari rekomendasi tersebut. Hanya 10 rekomendasi terpenting yang ditampilkan.

Bagaimana bobot dihitung

Pembobotan adalah nilai agregat berdasarkan tiga faktor kunci:

  • Peluang bahwa suatu masalah yang diidentifikasi menyebabkan permasalahan. Peluang yang lebih tinggi setara dengan skor keseluruhan yang lebih besar untuk rekomendasi.
  • Dampak masalah pada organisasi Anda jika memang menimbulkan masalah. Dampak yang lebih tinggi sama dengan skor keseluruhan yang lebih besar untuk rekomendasi.
  • Upaya yang diperlukan untuk menerapkan rekomendasi. Upaya yang lebih tinggi sama dengan skor keseluruhan yang lebih kecil untuk rekomendasi.

Pembobotan untuk setiap rekomendasi dinyatakan sebagai persentase dari total skor yang tersedia untuk setiap area fokus. Misalnya, jika rekomendasi di area fokus Keamanan dan Kepatuhan memiliki skor 5%, menerapkan rekomendasi tersebut meningkatkan skor Keamanan dan Kepatuhan Anda secara keseluruhan sebesar 5%.

Area fokus

Keamanan dan Kepatuhan - Area fokus ini menunjukkan rekomendasi untuk potensi ancaman dan pelanggaran keamanan, kebijakan perusahaan, dan persyaratan kepatuhan teknis, hukum dan peraturan.

Ketersediaan dan Kelangsungan Bisnis - Area fokus ini menunjukkan rekomendasi untuk ketersediaan layanan, ketahanan infrastruktur Anda, dan perlindungan bisnis.

Performa dan Skalabilitas - Area fokus ini menunjukkan rekomendasi untuk membantu infrastruktur TI organisasi Anda tumbuh, memastikan bahwa lingkungan TI Anda memenuhi persyaratan performa saat ini, dan mampu merespons kebutuhan infrastruktur yang berubah-ubah.

Peningkatan, Migrasi, dan Penyebaran - Area fokus ini menampilkan rekomendasi untuk membantu Anda meningkatkan, memigrasikan, dan menyebarkan Direktori Aktif ke infrastruktur yang ada.

Haruskah Anda bertujuan untuk mencetak 100% di setiap area fokus?

Belum tentu. Rekomendasi tersebut didasarkan pada pengetahuan dan pengalaman yang diperoleh para insinyur Microsoft di ribuan kunjungan pelanggan. Namun, tidak ada dua infrastruktur server yang sama, dan rekomendasi spesifik mungkin lebih atau kurang relevan bagi Anda. Misalnya, beberapa rekomendasi keamanan mungkin kurang relevan jika mesin virtual Anda tidak terhubung ke Internet. Beberapa rekomendasi ketersediaan mungkin kurang relevan untuk layanan yang menyediakan pengumpulan dan pelaporan data ad hoc prioritas rendah. Masalah yang penting untuk bisnis yang matang mungkin kurang penting untuk sebuah start-up. Anda mungkin ingin mengidentifikasi area fokus mana yang menjadi prioritas Anda dan kemudian melihat bagaimana skor Anda berubah dari waktu ke waktu.

Setiap rekomendasi mencakup panduan tentang mengapa itu penting. Anda harus menggunakan panduan ini untuk mengevaluasi apakah penerapan rekomendasi sesuai untuk Anda, dengan mempertimbangkan sifat layanan IT Anda dan kebutuhan bisnis organisasi Anda.

Gunakan rekomendasi area fokus pemeriksaan kesehatan

Setelah dipasang, Anda dapat melihat ringkasan rekomendasi dengan menggunakan petak peta Pemeriksaan Kesehatan pada halaman solusi di portal Microsoft Azure.

Lihat ringkasan penilaian kepatuhan untuk infrastruktur Anda lalu telusuri rekomendasi.

Untuk melihat rekomendasi untuk area fokus dan mengambil tindakan korektif

Data yang dikumpulkan oleh solusi pemantauan ini tersedia di halaman Ringkasan Ruang Kerja (tidak digunakan lagi) di portal Azure. Buka halaman ini dari ruang kerja Analitik Log untuk ruang kerja dengan solusi Anda lalu pilih Ringkasan Ruang Kerja (tidak digunakan lagi) dari bagian Klasik pada menu. Setiap solusi diwakili oleh petak peta. Pilih petak peta untuk data yang lebih rinci yang dikumpulkan oleh solusi tersebut.

  1. Pada halaman Gambaran umum, klik petak peta Pemeriksaan Kesehatan Direktori Aktif.

  2. Pada halaman Pemeriksaan Kesehatan , tinjau informasi ringkasan di salah satu bagian area fokus lalu klik salah satu untuk melihat rekomendasi untuk area fokus tersebut.

  3. Di salah satu halaman area fokus mana pun, Anda dapat melihat rekomendasi yang diprioritaskan yang dibuat untuk lingkungan Anda. Klik rekomendasi di bawah Objek yang Terpengaruh untuk melihat detail tentang alasan rekomendasi dibuat.

    gambar rekomendasi Pemeriksaan Kesehatan

  4. Anda dapat melakukan tindakan korektif yang disarankan dalam Tindakan yang Disarankan. Ketika item telah ditangani, kemudian penilaian merekam bahwa tindakan yang direkomendasikan diambil dan skor kepatuhan Anda akan meningkat. Item yang dikoreksi muncul sebagai Objek yang Dilewatkan.

Abaikan rekomendasi

Jika Anda memiliki rekomendasi yang ingin diabaikan, Anda dapat membuat file teks yang akan digunakan Azure Monitor untuk mencegah rekomendasi muncul di hasil penilaian Anda.

Untuk mengidentifikasi rekomendasi yang akan Anda abaikan

Gunakan analitik log untuk membuat kueri dan menganalisis data log di Azure Monitor dengan mengeklik Log di menu Azure Monitor di portal Microsoft Azure.

Gunakan kueri berikut untuk membuat daftar rekomendasi yang gagal untuk komputer di lingkungan Anda.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Berikut ini cuplikan layar yang memperlihatkan kueri log:<

rekomendasi gagal

Pilih rekomendasi yang ingin Anda abaikan. Anda harus menggunakan nilai untuk RecommendationId di prosedur berikutnya.

Untuk membuat dan menggunakan file teks IgnoreRecommendations.txt

  1. Buat file bernama IgnoreRecommendations.txt.

  2. Tempel atau ketik setiap RecommendationId untuk setiap rekomendasi yang Anda ingin Azure Monitor abaikan pada baris terpisah lalu simpan dan tutup file.

  3. Letakkan file pada folder berikut di setiap komputer tempat Anda ingin Azure Monitor mengabaikan rekomendasi.

    • Pada komputer dengan Microsoft Monitoring Agent - MMA (tersambung langsung atau melalui Operations Manager) - SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • Pada server manajemen Operations Manager 2012 R2 - SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • Pada server manajemen Operations Manager 2016 - SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Untuk memverifikasi bahwa rekomendasi diabaikan

Setelah pemeriksaan kesehatan yang dijadwalkan berikutnya berjalan, secara default setiap tujuh hari, rekomendasi yang ditentukan ditandai Diabaikan dan tidak akan muncul di dasbor.

  1. Anda bisa menggunakan kueri log berikut untuk mencantumkan semua rekomendasi yang diabaikan.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Jika Anda memutuskan nanti bahwa Anda ingin melihat rekomendasi yang diabaikan, hapus file IgnoreRecommendations.txt, atau Anda dapat menghapus RecommendationIDs darinya.

Tanya jawab umum

Pemeriksaan apa yang dilakukan oleh solusi Penilaian AD?

  • Kueri berikut ini memperlihatkan deskripsi semua pemeriksaan yang saat ini dilakukan:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Hasilnya kemudian dapat diekspor ke Excel untuk mengulas lebih lanjut.

Seberapa sering pemeriksaan kesehatan dijalankan?

  • Pemeriksaan dijalankan setiap tujuh hari.

Apakah ada cara untuk mengonfigurasikan seberapa sering pemeriksaan kesehatan dijalankan?

  • Tidak untuk saat ini.

Jika server lain ditemukan setelah saya menambahkan solusi pemeriksaan kesehatan, apakah akan diperiksa

  • Ya, setelah ditemukan diperiksa sejak saat itu, setiap tujuh hari.

Jika server dinonaktifkan, kapan server akan dihapus dari pemeriksaan kesehatan?

  • Jika server tidak mengirimkan data selama 3 minggu, server akan dihapus.

Apa nama proses yang melakukan pengumpulan data?

  • AdvisorAssessment.exe

Berapa lama waktu yang dibutuhkan untuk data dikumpulkan?

  • Pengumpulan data aktual di server membutuhkan waktu sekitar 1 jam. Mungkin perlu waktu lebih lama pada server yang memiliki sejumlah besar server Direktori Aktif.

Apakah ada cara untuk mengonfigurasikan kapan data dikumpulkan?

  • Tidak untuk saat ini.

Mengapa hanya menampilkan 10 rekomendasi teratas?

  • Alih-alih memberi Anda daftar tugas yang luar biasa panjang, kami sarankan Anda fokus untuk mengatasi rekomendasi yang diprioritaskan terlebih dahulu. Setelah Anda mengatasinya, rekomendasi tambahan akan tersedia. Jika Anda lebih suka melihat daftar detail, Anda bisa menampilkan semua rekomendasi menggunakan kueri log.

Apakah ada cara untuk mengabaikan rekomendasi?

Langkah berikutnya

Gunakan kueri log Azure Monitor untuk mempelajari cara menganalisis data dan rekomendasi Pemeriksaan Kesehatan AD terperinci.