Partilhar via


Optimize your Active Directory environment with the Active Directory Health Check solution in Azure Monitor (Otimizar o ambiente do Active Directory com a solução Verificação de Estado de Funcionamento do Active Directory no Azure Monitor)

Símbolo de Verificação do Estado de Funcionamento do AD

Nota

Este artigo foi atualizado recentemente para utilizar o termo registos do Azure Monitor em vez do Log Analytics. Os dados de registo continuam a ser armazenados numa área de trabalho do Log Analytics e ainda são recolhidos e analisados pelo mesmo serviço do Log Analytics. Estamos a atualizar a terminologia para refletir melhor a função dos registos no Azure Monitor. Veja Alterações de terminologia do Azure Monitor para obter detalhes.

Pode utilizar a solução Verificação de Estado de Funcionamento do Active Directory para avaliar o risco e o estado de funcionamento dos seus ambientes de servidor num intervalo regular. Este artigo ajuda-o a instalar e utilizar a solução para que possa tomar medidas corretivas para potenciais problemas.

Esta solução fornece uma lista priorizada de recomendações específicas da sua infraestrutura de servidor implementada. As recomendações são categorizadas em quatro áreas de foco, o que o ajuda a compreender rapidamente o risco e a tomar medidas.

As recomendações baseiam-se no conhecimento e experiência obtidos pelos engenheiros da Microsoft a partir de milhares de visitas de clientes. Cada recomendação fornece orientações sobre o motivo pelo qual um problema pode ser importante para si e como implementar as alterações sugeridas.

Pode escolher as áreas de foco mais importantes para a sua organização e controlar o seu progresso na execução de um ambiente sem risco e em bom estado de funcionamento.

Depois de adicionar a solução e concluir uma verificação, as informações de resumo das áreas de foco são apresentadas no dashboard Verificação do Estado de Funcionamento do AD para a infraestrutura no seu ambiente. As secções seguintes descrevem como utilizar as informações no dashboard Verificação do Estado de Funcionamento do AD , onde pode ver e, em seguida, efetuar ações recomendadas para a sua infraestrutura de servidor do Active Directory.

imagem do mosaico Verificação do Estado de Funcionamento do AD

imagem do dashboard verificação do estado de funcionamento do AD

Pré-requisitos

  • A solução Verificação de Estado de Funcionamento do Active Directory requer uma versão suportada do .NET Framework 4.6.2 ou superior instalada em cada computador que tenha o agente do Log Analytics para Windows (também conhecido como Microsoft Monitoring Agent (MMA)) instalado. O agente é utilizado pelo System Center 2016 – Operations Manager, Operations Manager 2012 R2 e Azure Monitor.

  • A solução suporta controladores de domínio com o Windows Server 2008 e 2008 R2, Windows Server 2012 e 2012 R2, Windows Server 2016 e Windows Server 2019.

  • Uma área de trabalho do Log Analytics para adicionar a solução Verificação de Estado de Funcionamento do Active Directory a partir do Azure Marketplace no portal do Azure. Não é necessária nenhuma configuração adicional.

    Nota

    Depois de adicionar a solução, o ficheiro AdvisorAssessment.exe é adicionado aos servidores com agentes. Os dados de configuração são lidos e, em seguida, enviados para o Azure Monitor na cloud para processamento. A lógica é aplicada aos dados recebidos e o serviço cloud regista os dados.

Para efetuar a verificação de estado de funcionamento em relação aos controladores de domínio que são membros do domínio a avaliar, cada controlador de domínio nesse domínio requer um agente e conectividade ao Azure Monitor através de um dos seguintes métodos suportados:

  1. Instale o agente do Log Analytics para Windows se o controlador de domínio ainda não estiver monitorizado pelo System Center 2016 – Operations Manager ou Operations Manager 2012 R2.
  2. Se for monitorizado com o System Center 2016 – Operations Manager ou o Operations Manager 2012 R2 e o grupo de gestão não estiver integrado no Azure Monitor, o controlador de domínio pode ser multicaso com o Azure Monitor para recolher dados e reencaminhar para o serviço e continuar a ser monitorizado pelo Operations Manager.
  3. Caso contrário, se o grupo de gestão do Operations Manager estiver integrado no serviço, terá de adicionar os controladores de domínio para recolha de dados pelo serviço ao seguir os passos em adicionar computadores geridos por agente depois de ativar a solução na área de trabalho.

O agente no controlador de domínio que reporta a um grupo de gestão do Operations Manager, recolhe dados, reencaminha para o respetivo servidor de gestão atribuído e, em seguida, é enviado diretamente de um servidor de gestão para o Azure Monitor. Os dados não são escritos nas bases de dados do Operations Manager.

Detalhes da recolha de dados da Verificação de Estado de Funcionamento do Active Directory

A Verificação do Estado de Funcionamento do Active Directory recolhe dados das seguintes origens com o agente que ativou:

  • Registo
  • LDAP
  • .NET Framework
  • Registo de eventos
  • Interfaces de Serviço do Active Directory (ADSI)
  • Windows PowerShell
  • Dados de ficheiros
  • Windows Management Instrumentation (WMI)
  • API da ferramenta DCDIAG
  • API do Serviço de Replicação de Ficheiros (NTFRS)
  • Código C# personalizado

Os dados são recolhidos no controlador de domínio e reencaminhados para o Azure Monitor a cada sete dias.

Compreender como é definida a prioridade das recomendações

Todas as recomendações feitas recebem um valor de ponderação que identifica a importância relativa da recomendação. Apenas são apresentadas as 10 recomendações mais importantes.

Método de cálculo das ponderações

As ponderações são valores agregados com base em três fatores principais:

  • A probabilidade de um problema identificado causar problemas. Uma maior probabilidade equivale a uma classificação geral maior para a recomendação.
  • O impacto do problema na sua organização se este causar um problema. Um impacto mais elevado equivale a uma classificação geral maior para a recomendação.
  • O esforço necessário para implementar a recomendação. Um esforço mais elevado equivale a uma classificação geral mais pequena para a recomendação.

A ponderação de cada recomendação é expressa como uma percentagem da classificação total disponível para cada área de foco. Por exemplo, se uma recomendação na área de foco Segurança e Conformidade tiver uma classificação de 5%, a implementação dessa recomendação aumenta a classificação geral de Segurança e Conformidade em 5%.

Áreas em foco

Segurança e Conformidade – esta área de foco mostra recomendações para potenciais ameaças e violações de segurança, políticas empresariais e requisitos técnicos, legais e regulamentares de conformidade.

Disponibilidade e Continuidade do Negócio – esta área de foco mostra recomendações para disponibilidade do serviço, resiliência da sua infraestrutura e proteção empresarial.

Desempenho e Escalabilidade – esta área de foco mostra recomendações para ajudar a infraestrutura de TI da sua organização a crescer, garantir que o seu ambiente de TI cumpre os requisitos de desempenho atuais e consegue responder às necessidades de infraestrutura em mudança.

Atualização, Migração e Implementação – esta área de foco mostra recomendações para o ajudar a atualizar, migrar e implementar o Active Directory na sua infraestrutura existente.

Deve visar uma pontuação de 100% em cada uma das áreas em foco?

Não necessariamente. As recomendações baseiam-se nos conhecimentos e experiências obtidos pelos engenheiros da Microsoft em milhares de visitas de clientes. No entanto, não existem duas infraestruturas de servidor iguais e recomendações específicas podem ser mais ou menos relevantes para si. Por exemplo, algumas recomendações de segurança poderão ser menos relevantes se as suas máquinas virtuais não estiverem expostas à Internet. Algumas recomendações de disponibilidade podem ser menos relevantes para serviços que fornecem relatórios e recolha de dados ad hoc de baixa prioridade. Os problemas importantes para uma empresa madura podem ser menos importantes para uma start-up. Poderá querer identificar quais as áreas de foco que são as suas prioridades e, em seguida, ver como as suas pontuações mudam ao longo do tempo.

Todas as recomendações incluem orientações sobre o motivo pelo qual é importante. Deve utilizar esta documentação de orientação para avaliar se a implementação da recomendação é adequada para si, dada a natureza dos seus serviços de TI e as necessidades empresariais da sua organização.

Utilizar recomendações da área de foco da verificação de estado de funcionamento

Após a instalação, pode ver o resumo das recomendações com o mosaico Verificação de Estado de Funcionamento na página da solução no portal do Azure.

Veja as avaliações de conformidade resumidas da sua infraestrutura e, em seguida, analise as recomendações.

Para ver as recomendações de uma área de foco e tomar medidas corretivas

Os dados recolhidos por esta solução de monitorização estão disponíveis na página Resumo da Área de Trabalho (preterido) no portal do Azure. Abra esta página a partir das áreas de trabalho do Log Analytics da área de trabalho com a sua solução e, em seguida, selecione Resumo da Área de Trabalho (preterido) na secção Clássico do menu. Cada solução é representada por um mosaico. Selecione um mosaico para obter dados mais detalhados recolhidos por essa solução.

  1. Na página Descrição geral , clique no mosaico Verificação do Estado de Funcionamento do Active Directory .

  2. Na página Verificação de Estado de Funcionamento, reveja as informações de resumo numa das secções da área de foco e, em seguida, clique numa para ver as recomendações para essa área de foco.

  3. Em qualquer uma das páginas da área de foco, pode ver as recomendações priorizadas feitas para o seu ambiente. Clique numa recomendação em Objetos Afetados para ver detalhes sobre o motivo pelo qual a recomendação é feita.

    imagem das recomendações de Verificação de Estado de Funcionamento

  4. Pode efetuar ações corretivas sugeridas em Ações Sugeridas. Quando o item tiver sido resolvido, as avaliações posteriores registam as ações recomendadas e a classificação de compatibilidade aumentará. Os itens corrigidos são apresentados como Objetos Transmitidos.

Ignorar recomendações

Se tiver recomendações que pretende ignorar, pode criar um ficheiro de texto que o Azure Monitor utilizará para impedir que as recomendações apareçam nos resultados da avaliação.

Para identificar recomendações que irá ignorar

Utilize a análise de registos para criar consultas e analisar dados de registo no Azure Monitor ao clicar em Registos no menu do Azure Monitor no portal do Azure.

Utilize a seguinte consulta para listar as recomendações que falharam para computadores no seu ambiente.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Eis uma captura de ecrã que mostra a consulta de registo:<

recomendações falhadas

Selecione as recomendações que pretende ignorar. Irá utilizar os valores para RecommendationId no próximo procedimento.

Para criar e utilizar um ficheiro de texto IgnoreRecommendations.txt

  1. Crie um ficheiro com o nome IgnoreRecommendations.txt.

  2. Cole ou escreva cada RecommendationId para cada recomendação que pretende que o Azure Monitor ignore numa linha separada e, em seguida, guarde e feche o ficheiro.

  3. Coloque o ficheiro na seguinte pasta em cada computador onde pretende que o Azure Monitor ignore as recomendações.

    • Em computadores com o Microsoft Monitoring Agent (ligado diretamente ou através do Operations Manager) – SystemDrive:\Programas\Microsoft Monitoring Agent\Agent
    • No servidor de gestão do Operations Manager 2012 R2 – SystemDrive:\Programas\Microsoft System Center 2012 R2\Operations Manager\Server
    • No servidor de gestão do Operations Manager 2016 – SystemDrive:\Programas\Microsoft System Center 2016\Operations Manager\Server

Para verificar se as recomendações são ignoradas

Após a próxima verificação de estado de funcionamento agendada ser executada, por predefinição a cada sete dias, as recomendações especificadas são marcadas como Ignoradas e não serão apresentadas no dashboard.

  1. Pode utilizar as seguintes consultas de registo para listar todas as recomendações ignoradas.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation
    
  2. Se decidir mais tarde que pretende ver recomendações ignoradas, remova quaisquer ficheiros IgnoreRecommendations.txt ou pode remover OsIDs de Recomendação dos mesmos.

Perguntas mais frequentes

Que verificações são efetuadas pela solução de Avaliação do AD?

  • A seguinte consulta mostra uma descrição de todas as verificações atualmente efetuadas:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Em seguida, os resultados podem ser exportados para o Excel para revisão adicional.

Com que frequência é executada uma verificação de estado de funcionamento?

  • A verificação é executada a cada sete dias.

Existe alguma forma de configurar a frequência com que a verificação de estado de funcionamento é executada?

  • Neste momento, não.

Se outro servidor for detetado depois de adicionar uma solução de verificação de estado de funcionamento, será verificado

  • Sim, depois de ser detetado, é verificado a partir daí ativado, a cada sete dias.

Se um servidor for desativado, quando será removido da verificação de estado de funcionamento?

  • Se um servidor não submeter dados durante 3 semanas, este será removido.

Qual é o nome do processo que faz a recolha de dados?

  • AdvisorAssessment.exe

Quanto tempo demora a recolha de dados?

  • A recolha de dados real no servidor demora cerca de 1 hora. Pode demorar mais tempo em servidores com um grande número de servidores do Active Directory.

Existe alguma forma de configurar quando os dados são recolhidos?

  • Neste momento, não.

Porquê apresentar apenas as 10 principais recomendações?

  • Em vez de lhe dar uma lista exaustiva e esmagadora de tarefas, recomendamos que se concentre em abordar primeiro as recomendações prioritárias. Depois de os abordar, estarão disponíveis recomendações adicionais. Se preferir ver a lista detalhada, pode ver todas as recomendações através de uma consulta de registo.

Existe alguma forma de ignorar uma recomendação?

Passos seguintes

Utilize as consultas de registo do Azure Monitor para saber como analisar dados e recomendações detalhadas do AD Health Check.