Dela via

Optimera din Active Directory-miljö med Active Directory-hälsokontrollösningen i Azure Monitor

  • Artikel

Symbol för AD-hälsokontroll

Anteckning

Den här artikeln har nyligen uppdaterats för att använda termen Azure Monitor-loggar i stället för Log Analytics. Loggdata lagras fortfarande på en Log Analytics-arbetsyta och samlas fortfarande in och analyseras av samma Log Analytics-tjänst. Vi uppdaterar terminologin för att bättre återspegla loggarnas roll i Azure Monitor. Mer information finns i Terminologiändringar i Azure Monitor .

Du kan använda Active Directory Health Check-lösningen för att regelbundet utvärdera riskerna och hälsotillståndet för dina servermiljöer. Den här artikeln hjälper dig att installera och använda lösningen så att du kan vidta korrigerande åtgärder för potentiella problem.

Den här lösningen innehåller en prioriterad lista över rekommendationer som är specifika för din distribuerade serverinfrastruktur. Rekommendationerna kategoriseras i fyra fokusområden, vilket hjälper dig att snabbt förstå risken och vidta åtgärder.

Rekommendationerna baseras på den kunskap och erfarenhet som Microsoft-tekniker har fått från tusentals kundbesök. Varje rekommendation ger vägledning om varför ett problem kan vara viktigt för dig och hur du implementerar de föreslagna ändringarna.

Du kan välja de fokusområden som är viktigast för din organisation och spåra dina framsteg mot att köra en riskfri och felfri miljö.

När du har lagt till lösningen och en kontroll har slutförts visas sammanfattningsinformation för fokusområden på instrumentpanelen för AD-hälsokontroll för infrastrukturen i din miljö. I följande avsnitt beskrivs hur du använder informationen på instrumentpanelen för AD-hälsokontroll , där du kan visa och sedan vidta rekommenderade åtgärder för Active Directory-serverinfrastrukturen.

bild av PANELEN AD-hälsokontroll

bild av instrumentpanelen för AD-hälsokontroll

Förutsättningar

  • Active Directory-hälsokontrolllösningen kräver en version av .NET Framework 4.6.2 eller senare som stöds installerad på varje dator som har Log Analytics-agenten för Windows (kallas även Microsoft Monitoring Agent (MMA)) installerad. Agenten används av System Center 2016 – Operations Manager, Operations Manager 2012 R2 och Azure Monitor.

  • Lösningen stöder domänkontrollanter som kör Windows Server 2008 och 2008 R2, Windows Server 2012 och 2012 R2, Windows Server 2016 och Windows Server 2019.

  • En Log Analytics-arbetsyta för att lägga till Active Directory-hälsokontrolllösningen från Azure Marketplace i Azure Portal. Ingen ytterligare konfiguration krävs.

    Anteckning

    När du har lagt till lösningen läggs den AdvisorAssessment.exe filen till på servrar med agenter. Konfigurationsdata läse och skickas sedan till Azure Monitor i molnet för bearbetning. Logik tillämpas på mottagna data och molntjänsten registrerar data.

För att utföra hälsokontrollen mot dina domänkontrollanter som är medlemmar i domänen som ska utvärderas kräver varje domänkontrollant i domänen en agent och anslutning till Azure Monitor med någon av följande metoder som stöds:

  1. Installera Log Analytics-agenten för Windows om domänkontrollanten inte redan övervakas av System Center 2016 – Operations Manager eller Operations Manager 2012 R2.
  2. Om den övervakas med System Center 2016 – Operations Manager eller Operations Manager 2012 R2 och hanteringsgruppen inte är integrerad med Azure Monitor, kan domänkontrollanten finnas i flera miljöer med Azure Monitor för att samla in data och vidarebefordra till tjänsten och fortfarande övervakas av Operations Manager.
  3. Om operations manager-hanteringsgruppen annars är integrerad med tjänsten måste du lägga till domänkontrollanterna för datainsamling av tjänsten genom att följa stegen under Lägg till agenthanterade datorer när du har aktiverat lösningen på din arbetsyta.

Agenten på domänkontrollanten som rapporterar till en Operations Manager-hanteringsgrupp, samlar in data, vidarebefordrar till sin tilldelade hanteringsserver och sedan skickas direkt från en hanteringsserver till Azure Monitor. Data skrivs inte till Operations Manager-databaserna.

Information om datainsamling i Active Directory-hälsokontroll

Active Directory Health Check samlar in data från följande källor med hjälp av agenten som du har aktiverat:

  • Register
  • LDAP
  • .NET Framework
  • Händelseloggen
  • Active Directory-tjänstgränssnitt (ADSI)
  • Windows PowerShell
  • Fildata
  • Windows Management Instrumentation (WMI)
  • API för DCDIAG-verktyg
  • File Replication Service (NTFRS) API
  • Anpassad C#-kod

Data samlas in på domänkontrollanten och vidarebefordras till Azure Monitor var sjunde dag.

Förstå hur rekommendationer prioriteras

Varje rekommendation ges ett viktningsvärde som identifierar rekommendationens relativa betydelse. Endast de 10 viktigaste rekommendationerna visas.

Hur vikter beräknas

Viktningar är aggregerade värden baserat på tre viktiga faktorer:

  • Sannolikheten att ett problem identifieras orsakar problem. En högre sannolikhet motsvarar en större övergripande poäng för rekommendationen.
  • Problemets inverkan på din organisation om det orsakar ett problem. En högre effekt motsvarar en större övergripande poäng för rekommendationen.
  • Det arbete som krävs för att implementera rekommendationen. En högre insats motsvarar en mindre övergripande poäng för rekommendationen.

Viktningen för varje rekommendation uttrycks som en procentandel av den totala poäng som är tillgänglig för varje fokusområde. Om en rekommendation i fokusområdet Säkerhet och efterlevnad till exempel har en poäng på 5 %, ökar implementeringen av den rekommendationen din övergripande säkerhets- och efterlevnadspoäng med 5 %.

Fokusområden

Säkerhet och efterlevnad – Det här fokusområdet visar rekommendationer för potentiella säkerhetshot och överträdelser, företagsprinciper och tekniska, juridiska och regelmässiga efterlevnadskrav.

Tillgänglighet och affärskontinuitet – Det här fokusområdet visar rekommendationer för tjänsttillgänglighet, återhämtning av din infrastruktur och affärsskydd.

Prestanda och skalbarhet – Det här fokusområdet visar rekommendationer som hjälper din organisations IT-infrastruktur att växa, se till att DIN IT-miljö uppfyller aktuella prestandakrav och kan svara på föränderliga infrastrukturbehov.

Uppgradering, migrering och distribution – Det här fokusområdet visar rekommendationer som hjälper dig att uppgradera, migrera och distribuera Active Directory till din befintliga infrastruktur.

Bör du sikta på 100 % inom varje fokusområde?

Inte nödvändigtvis. Rekommendationerna baseras på den kunskap och de erfarenheter som Microsoft-tekniker har fått vid tusentals kundbesök. Inga två serverinfrastrukturer är dock desamma, och specifika rekommendationer kan vara mer eller mindre relevanta för dig. Vissa säkerhetsrekommendationer kan till exempel vara mindre relevanta om dina virtuella datorer inte exponeras för Internet. Vissa tillgänglighetsrekommendationer kan vara mindre relevanta för tjänster som tillhandahåller ad hoc-datainsamling med låg prioritet och rapportering. Problem som är viktiga för ett moget företag kan vara mindre viktiga för ett nystartade företag. Du kanske vill identifiera vilka fokusområden som är dina prioriteringar och sedan titta på hur dina poäng ändras över tid.

Varje rekommendation innehåller vägledning om varför det är viktigt. Du bör använda den här vägledningen för att utvärdera om implementeringen av rekommendationen är lämplig för dig, med tanke på arten av dina IT-tjänster och organisationens affärsbehov.

Använda rekommendationer för fokusområde för hälsokontroll

När den har installerats kan du visa sammanfattningen av rekommendationerna med hjälp av panelen Hälsokontroll på lösningssidan i Azure Portal.

Visa de sammanfattade efterlevnadsutvärderingarna för din infrastruktur och gå sedan in på detaljnivå i rekommendationer.

Visa rekommendationer för ett fokusområde och vidta korrigerande åtgärder

Data som samlas in av den här övervakningslösningen är tillgängliga på sidan Sammanfattning av arbetsyta (inaktuell) i Azure Portal. Öppna den här sidan från Log Analytics-arbetsytorna för arbetsytan med din lösning och välj sedan Sammanfattning av arbetsyta (inaktuell) i det klassiska avsnittet på menyn. Varje lösning representeras av en panel. Välj en panel för mer detaljerade data som samlas in av lösningen.

  1. På sidan Översikt klickar du på panelen Hälsokontroll i Active Directory .

  2. På sidan Hälsokontroll granskar du sammanfattningsinformationen i något av fokusområdesavsnitten och klickar sedan på ett för att visa rekommendationer för det fokusområdet.

  3. På någon av fokusområdessidorna kan du visa de prioriterade rekommendationerna för din miljö. Klicka på en rekommendation under Berörda objekt för att visa information om varför rekommendationen görs.

    bild av hälsokontrollrekommendationer

  4. Du kan vidta korrigerande åtgärder som föreslås i Föreslagna åtgärder. När objektet har åtgärdats registrerar senare utvärderingar att rekommenderade åtgärder har vidtagits och din efterlevnadspoäng ökar. Korrigerade objekt visas som Skickade objekt.

Ignorera rekommendationer

Om du har rekommendationer som du vill ignorera kan du skapa en textfil som Azure Monitor använder för att förhindra att rekommendationer visas i dina utvärderingsresultat.

Identifiera rekommendationer som du kommer att ignorera

Använd Log Analytics för att skapa frågor och analysera loggdata i Azure Monitor genom att klicka på LoggarAzure Monitor-menyn i Azure Portal.

Använd följande fråga för att lista rekommendationer som har misslyckats för datorer i din miljö.

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

Här är en skärmbild som visar loggfrågan:<

misslyckade rekommendationer

Välj rekommendationer som du vill ignorera. Du använder värdena för RecommendationId i nästa procedur.

Skapa och använda en IgnoreRecommendations.txt textfil

  1. Skapa en fil med namnet IgnoreRecommendations.txt.

  2. Klistra in eller skriv varje RecommendationId för varje rekommendation som du vill att Azure Monitor ska ignorera på en separat rad och sedan spara och stänga filen.

  3. Placera filen i följande mapp på varje dator där du vill att Azure Monitor ska ignorera rekommendationer.

    • På datorer med Microsoft Monitoring Agent (anslutet direkt eller via Operations Manager) – SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • På Operations Manager 2012 R2-hanteringsservern – SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • På Operations Manager 2016-hanteringsservern – SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

Kontrollera att rekommendationer ignoreras

När nästa schemalagda hälsokontroll körs markeras de angivna rekommendationerna som standard var sjunde dag och ignoreras och visas inte på instrumentpanelen.

  1. Du kan använda följande loggfrågor för att lista alla ignorerade rekommendationer.

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. Om du senare bestämmer dig för att du vill se ignorerade rekommendationer kan du ta bort alla IgnoreRecommendations.txt filer eller ta bort Rekommendations-ID:t från dem.

Vanliga frågor och svar

Vilka kontroller utförs av AD-utvärderingslösningen?

  • Följande fråga visar en beskrivning av alla kontroller som utförs för närvarande:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

Resultaten kan sedan exporteras till Excel för ytterligare granskning.

Hur ofta körs en hälsokontroll?

  • Kontrollen körs var sjunde dag.

Finns det något sätt att konfigurera hur ofta hälsokontrollen körs?

  • Inte just nu.

Om en annan server för identifieras efter att jag har lagt till en hälsokontrolllösning, kommer den att kontrolleras

  • Ja, när den har upptäckts kontrolleras den från och med den, var sjunde dag.

När tas den bort från hälsokontrollen om en server inaktiveras?

  • Om en server inte skickar data på tre veckor tas den bort.

Vad är namnet på den process som utför datainsamlingen?

  • AdvisorAssessment.exe

Hur lång tid tar det innan data samlas in?

  • Den faktiska datainsamlingen på servern tar cirka 1 timme. Det kan ta längre tid på servrar som har ett stort antal Active Directory-servrar.

Finns det något sätt att konfigurera när data samlas in?

  • Inte just nu.

Varför ska du bara visa de 10 främsta rekommendationerna?

  • I stället för att ge dig en fullständig överväldigande lista över uppgifter rekommenderar vi att du fokuserar på att ta itu med de prioriterade rekommendationerna först. När du har åtgärdat dem blir ytterligare rekommendationer tillgängliga. Om du föredrar att se den detaljerade listan kan du visa alla rekommendationer med hjälp av en loggfråga.

Finns det något sätt att ignorera en rekommendation?

Nästa steg

Använd Azure Monitor-loggfrågor för att lära dig hur du analyserar detaljerade AD Health Check-data och rekommendationer.