Documente Academic
Documente Profesional
Documente Cultură
SUP301
P
Porque Monitorar?
M it ? O que Monitorar?
M it ?EC
Como?
?
A ti Directory
Active Di t R
Replication
li ti
FRS/SYSVOL Replication
Mét i
Métricas h
chave:
Largest Delta NUNCA pode passar o Tomstone Lifetime
Coluna Fails deve conter “0”
0 (zeros)
Nenhum DC deve ser reportado como “não encontrado”
Ponto de vista do DC de DESTINO
Destination DC
CHANGE NOTIFICATION
(opcional
opcional))
U ái X
Usuário SEND REPLICATION
ORIGEM DESTINO
(i.e. Criação de um novo usuário)
Repadmin contacta todos os DCs da FLORESTA
SONAR EXE
SONAR.EXE
(ultrasound é uma opção melhor, mas com deployment complexo)
Freqüência:
Executar pelo menos “1 vez por dia”
Métricas chave:
FRSState vs SCMState
SYSVOLShared
BacklogFiles
DiskSpace
SONAR contata todos os DCs de um DOMINIO
gpotool /domain:<DOMAIN_DNS_NAME>
Freqüência:
Executar semanalmente
Métricas chave:
Verificar a ultima linha do output por “Policies OK”
Em caso de erros a ultima linha mostrará “Errors Found”
O GPOTOOL executa um DIR no SYSVOL do
PDC Emulator (PDCe) e:
Compara os dados obtidos (GPTs) com o conteúdo da
base do AD (GPCs)
Compara todos os resultados obtidos entre todos os
DCs do domínio.
domínio Esse passo pode DEMORAR e
consumir BANDA de REDE (devido ao DIR em todos os
DCs)
Uma opção é executar o teste somente contra o PDCe,
apesar de ser um teste incompleto:
gpotool
t l /verbose
/ b
DNS é fundamental ppara o Active Directory,
y
devido a implementação do DCLOCATOR
Dois tipos
p de entradas são obrigatórias
g p
para o AD:
SRV – Service Resource Locator
Especifica-se um serviço, protocolo e domínio, e o SRV devolve
porta
t (389,
(389 88
88, 3268
3268, etc.),
t ) prioridade
i id d e peso, e o FQDN d do
computador
_ldap._tcp._msdcs.contoso.com IN SRV 10 100 389 dc1.contoso.com
CNAME – Alias
Especifica-se DC, e o CNAME retorna o FQDN
Especifica se o GUID de um DC
(nome do DC e domínio que ele pertence)
GUID_DC._msdcs.forestname_dnszone CNAME dc1.contoso.com
CNAME são utilizados p
por DC durante replicação:
p ç
para determinar qual domínio seu parceiro pertence
para resolver o HOST (A) record do parceiro – Nome para IP
Métricas Chave:
Os registros CNAME e A devem existir em todos os DNS Server
autoritativos para a zona _msdcs.forestname, para todos os DCs
da floresta.
SRV são utilizados p
por clients p
para localizar DCs:
Que são GCs, DCs, PDCe, KDC,
em seu site (site-specific SRV), ou em qualquer site (generic SRV)
Dcdiag /e /test:dns
Freqüência:
Executar semanalmente
Métricas Chave:
este de Autenticação,
Teste ute t cação, e testes bás cos de se
básicos ços
serviços
Teste de DNS Client e IP
Teste de Forwarders e Delegation
Teste de Dynamic registration (DDNS)
Teste de Records registration (RREG) - SRVs
O DCDIAG efetua inúmeros testes nos DCs, buscando por
quaisquer erros ou problemas de configuração
O output é complexo e extenso, então executá-lo com a
opção “quiet”
quiet (/q) é recomendado.
recomendado
Dcdiag /e /q
Freqüência:
Executar semanalmente
Métricas Chave:
Output em branco indica nenhum erro encontrado!
Qualquer outra informação, detalha o erro.
Funcionalidade disponível quando um backup é executado
em um DC rodando Windows Server 2003
Um timestamp é gravado nas partições e replicado para todos os
DCs
É necessário que o programa de backup utilize APIs do VSS ou
NTBACKUP
repadmin /showbackup
Freqüência:
Diariamente
Métricas Chave:
Verifique se um backup foi efetuado recentemente
MBSA – Verificações
ç de Segurança
g ç
Executar semanalmente
Crie um diagrama em VISIO com seus DCs, e utilize o
“Connector for the Microsoft Baseline Security Analyzer
(MBSA) 2.1” para executar a varredura!
http://www.microsoft.com/technet/security/tools/mbsavisio.mspx
Monitorar “STALE”
STALE accounts (users e computers)
Determinar contas de usuários ou computadores que
g a “X” semanas
não efetuam logon
Necessita de FFL 2003
Cuidado com falsos positivos!!
p
dsquery <user|computer> -inactive <num_semanas> -limit <num_objetos>
Diário Semanal Mensal
Replicação de AD
(replsum)
Replicação de FRS
(sonar)
Verificação de Backup
(showbackup)
Verificação de GPOs
(gpotool)
Verificações de DNS
(dcdiag /dns e dnslint)
Verificação de DCs
(
(dcdiag)
g)
Verificação de Segurança -MBSA
Usuários e Computadores “stale”
Whitespace da Base de dados
Sessões Técnicas e Mesas Redondas
SUP303: Active Directory: Planejando uma Estratégia de Backup e
Recuperação de Disastres
SRV306: 75 minutos de Discussões e Demonstrações - Windows Server
2008 Active Directoryy
SRV01-MR: [Mesa Redonda] Prepare seu Active Directory para o
Windows Server 2008 - Cenários, Dicas e Truques
Microsoft Technet
((Webcasts,, Blogs,
g , Chats,, Eventos Presenciais))
http://microsoft.com/brasil/technet