São Paulo 05 – 07 Dezembro

SUP301
P
Porque Monitorar?
M it ? O que Monitorar?
M it ?EC
Como?
?

A ti Directory
Active Di t R
Replication
li ti

FRS/SYSVOL Replication

Infra estrutura de GPOs

Infra-estrutura

DNS – Resolução de Nomes

Nomes, Saúde de DCs e Backup

Outras Informações Importantes

Monitoração
ç PROATIVA do ambiente é fundamental:

Prevenir paradas não programadas (outages)

Detectar problemas e tomar medidas preventivas ou corretivas

Conhecer o comportamento/utilização do ambiente

Períodos de pico e calmaria para gerar um baseline do ambiente
D t t / l j crescimento
Detectar/planejar i t (C it Planning)
(Capacity Pl i )
Definir e melhorar métricas de SLA

Avaliar o impacto de mudanças implementadas

Implementar melhorias de performance e conhecer o
comportamento do ambiente
O que?
q
Serviços e subsistemas chave do OS e do AD
Como?
Estabeleça uma maquina de monitoração com:
Nenhuma restrições de acesso aos DCs (firewall)
Credenciais de Enterprise Admin
Windows Server 2003 SP1 ou SP2 instalado
S t Tools
Support T l
Resource Kit Tools
Admin Pack
GPMC – Group Policy Management Console SP1
Sonar
MBSA – Microsoft Baseline Security Analyzer
 Porque monitorar? E como monitorar a replicação de AD
de uma maneira fácil e objetiva?

repadmin /replsum /bydest /sort:delta

Freqüência:
Executar pelo menos “1 vez por dia”

Mét i
Métricas h
chave:
Largest Delta NUNCA pode passar o Tomstone Lifetime
Coluna Fails deve conter “0”
0 (zeros)
Nenhum DC deve ser reportado como “não encontrado”
 Ponto de vista do DC de DESTINO
Destination DC

CHANGE NOTIFICATION
(opcional
opcional))

U ái X
Usuário SEND REPLICATION

ORIGEM DESTINO
(i.e. Criação de um novo usuário)
Repadmin contacta todos os DCs da FLORESTA

Verificamos o status (em minutos) de todas as partições

que um DC replica,
li com cada
d um d de seus parceiros
i –
chamado de DELTA.

Largest Delta é o valor do status mais ANTIGO (em minutos) de um

DC, para partição replicada com um parceiro

Largest Delta (normalmente) não deve exceder o maior dos

Replication Interval configurado nos SITE LINKS

Largest Delta não pode estourar o TSL – lingering objects

 A coluna TOTAL indica quantas partições no total um DC
replica com todos seus parceiros
A coluna FAILS indica quantas dessas falharam no ultimo
ciclo (informação não é REAL TIME)
Uma nova tentativa é feita em caso de Change Notification ou a
cada 60 minutos (intra-site) ou o intervalo de replicação do Site
Li k (i
Link (inter-site)
i )
Um erro não indica que o DESTINATION DC possui problemas,
mas sim q que existe um p
parceiro com p problemas

Para determinar qual DC possui problemas:

repadmin /showreps <DEST_DC>
 Porque monitorar? E como monitorar a replicação de FRS
de uma maneira fácil e objetiva?

SONAR EXE
SONAR.EXE
(ultrasound é uma opção melhor, mas com deployment complexo)

Freqüência:
Executar pelo menos “1 vez por dia”

Métricas chave:
FRSState vs SCMState
SYSVOLShared
BacklogFiles
DiskSpace
SONAR contata todos os DCs de um DOMINIO

Coleta informações do serviço NTFRS via WMI

Necessita do WMI funcional em todos os DCs
Necessita de .NET framework v1.1

Verifique SCMState = Running + FRSState = ACTIVE

Running mas FRSState = <BLANK>,
Caso SCMState = Running, <BLANK>
usualmente este DC está em JOURNAL_WRAP
Consulte o FRS Event Log pelo EVENT ID 13568 para confirmar
Faça um BurFlags=D2 nesse DC para restaurar o SYSVOL
FRS: Using the BURFLAGS registry key to restore and reinitialize SYSVOL
http://support.microsoft.com/KB/KB290762
Verifique se SYSVOLShared = OK
Caso contrário este DC pode não estar autenticando usuários
Normalmente um problema de JUNCTION POINT impede que o serviço de FRS
inicie
How to rebuild the SYSVOL tree and its content
http://support.microsoft.com/KB/315457
Verifique se existem BacklogFiles (diferente de “0”)
0)
Backlog files não indicam problemas com o DC em questão. Eles indicam que
existem “X” arquivos aguardando um parceiro de replicação buscá-los.
BacklogFiles
ac og es > 100 aumentando,
00 e au e a do, normalmente
o a e e indicam algum
d ca que a parceiro
gu pa ce o de
replicação possui problemas.
A maneira mais fácil de determinar o DC com problema é:
Active Directory Sites& Services,
Services e selecione o DC em questão
questão. Em NTDS Settings,
Settings
liste todos seus parceiros de replicação de AD (o FRS utiliza a mesma topologia de
replicação que o AD)
Verifique o FRS Event Logs de todos esses parceiros de replicação. Um deles terá
bl
problemas (JOURNAL WRAP DNS Resolution,
(JOURNAL_WRAP, R l ti i parado,
serviço d etc)
t )
 Como verificar se as GPOs estão em sincronia e não
estão corrompidas?
GPO é feita de duas partes: GPCs ficam no AD, GPTs no SYSVOL

gpotool /domain:<DOMAIN_DNS_NAME>
Freqüência:
Executar semanalmente

Métricas chave:
Verificar a ultima linha do output por “Policies OK”
Em caso de erros a ultima linha mostrará “Errors Found”
O GPOTOOL executa um DIR no SYSVOL do
PDC Emulator (PDCe) e:
Compara os dados obtidos (GPTs) com o conteúdo da
base do AD (GPCs)
Compara todos os resultados obtidos entre todos os
DCs do domínio.
domínio Esse passo pode DEMORAR e
consumir BANDA de REDE (devido ao DIR em todos os
DCs)
Uma opção é executar o teste somente contra o PDCe,
apesar de ser um teste incompleto:

gpotool /domain:<DNS_DOMAIN_NAME> /dc:<PDC>

 Em caso de “Errors found”, busque
q o output
p p por
erros.
Normalmente em caso de Version Mismatch, uma
simples edição da GPO já resolve o problema.
Sempre tenha backup de suas GPOs (usando GPMC),
para necessidades de restore em caso de corrupção.
corrupção
Caso seja necessárias mais informações, execute
o gpotool com o parâmetro:

gpotool
t l /verbose
/ b
 DNS é fundamental ppara o Active Directory,
y
devido a implementação do DCLOCATOR
Dois tipos
p de entradas são obrigatórias
g p
para o AD:
SRV – Service Resource Locator
Especifica-se um serviço, protocolo e domínio, e o SRV devolve
porta
t (389,
(389 88
88, 3268
3268, etc.),
t ) prioridade
i id d e peso, e o FQDN d do
computador
_ldap._tcp._msdcs.contoso.com IN SRV 10 100 389 dc1.contoso.com

CNAME – Alias
Especifica-se DC, e o CNAME retorna o FQDN
Especifica se o GUID de um DC
(nome do DC e domínio que ele pertence)
GUID_DC._msdcs.forestname_dnszone CNAME dc1.contoso.com
CNAME são utilizados p
por DC durante replicação:
p ç
para determinar qual domínio seu parceiro pertence
para resolver o HOST (A) record do parceiro – Nome para IP

dnslint /s <DNS_IP> /ad <DC_IP>

Freqüência:
Executar semanalmente

Métricas Chave:
Os registros CNAME e A devem existir em todos os DNS Server
autoritativos para a zona _msdcs.forestname, para todos os DCs
da floresta.
SRV são utilizados p
por clients p
para localizar DCs:
Que são GCs, DCs, PDCe, KDC,
em seu site (site-specific SRV), ou em qualquer site (generic SRV)

Dcdiag /e /test:dns
Freqüência:
Executar semanalmente

Métricas Chave:
este de Autenticação,
Teste ute t cação, e testes bás cos de se
básicos ços
serviços
Teste de DNS Client e IP
Teste de Forwarders e Delegation
Teste de Dynamic registration (DDNS)
Teste de Records registration (RREG) - SRVs
O DCDIAG efetua inúmeros testes nos DCs, buscando por
quaisquer erros ou problemas de configuração
O output é complexo e extenso, então executá-lo com a
opção “quiet”
quiet (/q) é recomendado.
recomendado

Dcdiag /e /q
Freqüência:
Executar semanalmente

Métricas Chave:
Output em branco indica nenhum erro encontrado!
Qualquer outra informação, detalha o erro.
 Funcionalidade disponível quando um backup é executado
em um DC rodando Windows Server 2003
Um timestamp é gravado nas partições e replicado para todos os
DCs
É necessário que o programa de backup utilize APIs do VSS ou
NTBACKUP

repadmin /showbackup

Freqüência:
Diariamente

Métricas Chave:
Verifique se um backup foi efetuado recentemente
 MBSA – Verificações
ç de Segurança
g ç
Executar semanalmente
Crie um diagrama em VISIO com seus DCs, e utilize o
“Connector for the Microsoft Baseline Security Analyzer
(MBSA) 2.1” para executar a varredura!

http://www.microsoft.com/technet/security/tools/mbsavisio.mspx

A soma dos Event Logs de um servidor Windows

32-bits não p
pode p
passar de 300Mb
Memory mapped files issue
Em um DC,, temos até 6 logs!
g
 Monitorar o espaço
p ç em branco da base dos DCs.
Um evento (Event ID 1646) será logado a cada 12
horas no DC (DSlog), informando o tamanho da base e
whitespace
hit (
(configuração
fi ã iindividual
di id l a cada
d DC)
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
“6 Garbage Collection” REG_DWORD 1

Monitorar “STALE”
STALE accounts (users e computers)
Determinar contas de usuários ou computadores que
g a “X” semanas
não efetuam logon
Necessita de FFL 2003
Cuidado com falsos positivos!!
p
dsquery <user|computer> -inactive <num_semanas> -limit <num_objetos>
 Diário Semanal Mensal
Replicação de AD
(replsum)
Replicação de FRS
(sonar)
Verificação de Backup
(showbackup)
Verificação de GPOs
(gpotool)
Verificações de DNS
(dcdiag /dns e dnslint)
Verificação de DCs
(
(dcdiag)
g)
Verificação de Segurança -MBSA
Usuários e Computadores “stale”
Whitespace da Base de dados
Sessões Técnicas e Mesas Redondas
SUP303: Active Directory: Planejando uma Estratégia de Backup e
Recuperação de Disastres
SRV306: 75 minutos de Discussões e Demonstrações - Windows Server
2008 Active Directoryy
SRV01-MR: [Mesa Redonda] Prepare seu Active Directory para o
Windows Server 2008 - Cenários, Dicas e Truques

Compareça ao Hands on Lab (HOL)

Participe da sessão “Ask

Ask the Experts
Experts” (dia 06) e Community
Lounge para falar com os palestrantes após as apresentações
Microsoft Developer Network (MSDN)
(Webcasts, Blogs, Chats, Eventos Presenciais)
p
http://microsoft.com/brasil/msdn

Microsoft Technet
((Webcasts,, Blogs,
g , Chats,, Eventos Presenciais))
http://microsoft.com/brasil/technet

Microsoft Learning e Certificação

www.mostrequevocesabe.com

Trial Software e Virtual Labs

http://www.microsoft.com/technet/downloads/trials/default.mspx

<ADICIONE AQUI QUAISQUER LINKS TÉCNICOS SOBRE O CONTEÚDO APRESENTADO>

<url>
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.