Udostępnij za pośrednictwem

Wprowadzenie do ocen na żądanie usługi Active Directory

  • Artykuł

Ocena usługi Active Directory umożliwia zdiagnozowanie środowiska Active Directory z kontrolerami domeny uruchomionymi lokalnie, na maszynach wirtualnych platformy Microsoft Azure lub na maszynach wirtualnych usług Amazon Web Services. Po przeprowadzeniu oceny generowana jest lista problemów do rozwiązania. Lista zawiera również sugerowane rozwiązania i najlepsze praktyki, które polepszą wydajność infrastruktury usługi Active Directory oraz funkcji takich jak udostępnianie aplikacji, aktualizacje oprogramowania i systemy operacyjne. Oceny są dostępne w Centrum usług. Pomagają optymalizować dostępność, bezpieczeństwo i wydajność wszystkich zakupionych rozwiązań technologicznych firmy Microsoft. Oceny te korzystają z usługi Microsoft Azure Log Analytics, która umożliwia uproszczone zarządzanie zabezpieczeniami oraz infrastrukturą IT w całym środowisku.

Celem oceny jest przedstawienie wskazówek z możliwościami działania. Zalecenia są podzielone na sześć kluczowych obszarów i mają na celu zmniejszenie ryzyka dla środowiska Active Directory oraz całej organizacji.

Ocena usługi Active Directory skupia się na kilku najważniejszych obszarach:

  • Procesy operacyjne
  • Replikacja Active Directory
  • Topologia lokacyjna i podsieci
  • Rozpoznawanie nazw (DNS)
  • Kondycja kontrolera domeny
  • Baza danych Active Directory
  • Kondycja woluminu systemowego i zasad grupy
  • Dane kont i rozmiary tokenów
  • Informacje o systemach operacyjnych i sieciach
  • Konfiguracja czasu systemu Windows

Przeprowadzanie oceny usługi Active Directory

Wymagania wstępne

Aby można było w pełni wykorzystać możliwości oceny na żądanie w Centrum usług, powinny być spełnione następujące warunki:

  1. Połączyć aktywną subskrypcję Azure z Centrum usług i dodać ocenę usługi Active Directory. Więcej informacji zawiera artykuł Oceny na żądanie — pierwsze kroki. Można też obejrzeć film pokazujący, jak utworzyć połączenie.

  2. Musisz mieć konto domeny (użytkownika lub zarządzane konto usługi) z następującymi uprawnieniami:

    • Administrator przedsiębiorstwa
    • Dostęp administracyjny do wszystkich kontrolerów domeny w lesie
    • Dostęp administracyjny do wszystkich serwerów DNS firmy Microsoft, z którymi są powiązane kontrolery domeny
    • Dostęp administracyjny na komputerze zbierającym dane
    • Zalogowany w trybie wsadowym na maszynie zbierającej dane

  3. Zapoznaj się z dokumentem na temat wymagań wstępnych dotyczących AD Assessment . Dokument ten zawiera objaśnienia szczegółowej dokumentacji technicznej dot. ocen usługi Active Directory oraz przygotowania serwera niezbędnego do przeprowadzenia oceny. Przedstawiono w nim również różne rodzaje danych zbieranych w ramach oceny.

Uwaga: Pierwsze skonfigurowanie środowiska w celu przeprowadzenia oceny na żądanie trwa średnio 2 godziny. Po przeprowadzeniu oceny można zapoznać się z danymi dostępnymi w usłudze Azure Log Analytics. Jest to uszeregowana według priorytetu lista zaleceń podzielonych na sześć głównych kategorii. Pozwala ona szybko oszacować poziomy zagrożeń i kondycję środowisk, a także podjąć działania mające na celu zminimalizowanie ryzyka i poprawę stanu infrastruktury IT.

Konfigurowanie oceny usługi AD na maszynie zbierającej dane

Uwaga: Ocenę można pomyślnie skonfigurować tylko po połączeniu subskrypcji platformy Azure z portalem Services Hub i dodaniu oceny usługi AD za pomocą opcji „Kondycja środowiska IT” -> Oceny na żądanie w portalu Services Hub.

  1. Na maszynie zbierającej dane, utwórz następujący folder: C:\OMS\AD (lub inny folder, poza folderem C:\ODA, który jest zarezerwowany dla systemu)

  2. Otwórz program Powershell w zwykłej wersji (nie w wersji ISE) w trybie administratora i uruchom następujące polecenie cmdlet:

Add-ADAssessmentTask -WorkingDirectory' command

WorkingDirectory is a path to an existing directory used to store the files created while collecting and analyzing the data from the environment

Workspace Id – provide id for the Log Analytics workspace that will be used to store the uploaded data

  1. Wprowadź dane użytkownika, którego konto spełnia podane powyżej wymagania.

  2. Proces zbierania danych jest uruchamiany przez zaplanowane zadanie o nazwie ADAssessment w ciągu jednej godziny od uruchomienia poprzedniego skryptu. Następnie proces będzie uruchamiany co 7 dni. Zadanie można zmodyfikować, tak aby było uruchamiane w innym dniu/o innej godzinie, a nawet wymusić jego bezpośrednie uruchomienie z biblioteki Harmonogramu zadań: folder Microsoft > Operations Management Suite > AOI*** > Oceny > ADAssessment.

  3. Podczas zbierania i analizowania dane są tymczasowo przechowywane w katalogu roboczym skonfigurowanym podczas instalacji.

  4. Po kilku godzinach wyniki oceny będą dostępne w usłudze Log Analytics i na pulpicie nawigacyjnym Centrum usług. Aby wyświetlić wyniki, przejdź do portalu Services Hub -> Kondycja -> Oceny, a następnie kliknij opcję „Wyświetl wszystkie zalecenia” dla aktywnej oceny.

  5. Jeśli chcesz, aby akredytowany inżynier firmy Microsoft przejrzał razem z Tobą problemy dotyczące środowiska usługi AD, możesz skontaktować się z przedstawicielem firmy Microsoft i zapytać go o zdalne lub lokalne usługi dostarczane przez CE.

    umowa Inżynier zdalny Inżynier lokalny
    Premier Zdalny arkusz danych AD Lokalny arkusz danych AD
    Unified Zdalny arkusz danych AD Lokalny arkusz danych AD