用MOM2005监控Active Directory
上篇文章中我们介绍了如何部署MOM2005,本文我们来介绍一下如何利用MOM2005监控Active Directory。Active Directory是微软网络管理的核心,众多大型服务应用对Active Directory都有很强的依赖性,因此Active Directory在企业网络中的重要性是不言而喻的。我们把MOM2005监控的第一个对象放在Active Directory上也体现了对它的重视。 我们的实验拓扑如下图所示,我们搭建了一棵域树,MOMTEST.COM是域树中的父域,SHANGHAI.MOMTEST.COM是子域。Florence是父域中的域控制器,Firenze是子域中的域控制器,Beijing是MOM2005服务器,Berlin是父域中的工作站。
我们的实验目的是通过MOM2005监控Active Directory的健康状况,为达到实验目的,我们需要进行下列步骤
一 MOM2005发现被管理的计算机
二 MOM2005为被管理的计算机安装代理程序
三 MOM服务器导入管理包
四 设置Active Directory客户端监视
五 调整MOM2005策略参数
一 MOM2005发现被管理的计算机
MOM想要监控计算机,就要把计算机纳入管理范围,想把计算机纳入管理范围,就首先要发现被管理的计算机。下面我们来看如何让MOM发现被管理的Florence,Firenze和Berlin这三台计算机。在MOM服务器上点击开始-程序-Microsoft Operations Manager 2005-管理员控制台,如下图所示,在“计算机发现规则”上点击右键,选择“创建计算机发现规则”
如下图所示,我们在规则中描述了只要是momtest.com域中的计算机,包括域控制器在内,一律符合发现规则,而且被MOM纳入代理管理的范围。
提示:MOM服务器本身不需要查找,MOM服务器也已安装代理软件,我们需要查找的是Florence,Firenze,Berlin。
上述规则只能找到momtest.com域内的计算机,子域内的计算机查找需要我们创建新的发现规则,如下图所示,由于子域内只有Firenze一个对象,因此我们可以在新创建的发现规则中设定只寻找Firenze
创建了上述两条计算机发现规则后,我们来手工运行一下(自动运行时间默认在凌晨两点),如下图所示,在“计算机发现规则”上点击右键,选择“立即运行计算机发现”
运行规则后,如下图所示,我们可以在“所有计算机”中看到全部的计算机,计算机发现规则运行成功。
二 MOM2005为被管理的计算机安装代理程序
MOM发现了被管理的计算机后,接下来就需要为被管理的计算机安装代理程序。代理程序既可以在MOM服务器端推送安装,也可以在被管理的计算机端手工安装,但MOM服务器默认配置拒绝手工安装,因此我们采用在MOM服务器端的安装方式。在MOM服务器打开管理员控制台,在“挂起的操作“中可以看到Florence,Firenze和Berlin三台计算机。为什么这三台计算机会出现在“挂起的操作”集合中呢?因为我们在计算机发现规则中设定了管理模式为“代理管理”,但目前这三天计算机都还没有安装代理程序,所以我们在“挂起的操作”中看到它们的身影了,意思是这三台计算机正在等待安装代理程序。如下图所示,右键点击Florence,如果我们选择“批准由计算机发现进行处理”,那么MOM服务器会在第二天的凌晨两点自动为计算机安装代理程序;如果不想等那么长时间,直接选择“立即安装代理”
提示:安装代理程序的计算机应安装Windows install 3.1以上版本
选择安装代理程序时使用的账号以及代理程序收集数据时使用的账号,均使用默认值即可
设置代理程序的安装目录,同样使用默认值
开始安装代理程序
OK,如下图所示,代理安装成功!我们如法炮制为Firenze和Berlin安装MOM代理程序
三 MOM服务器导入管理包
MOM要监控被管理的计算机,还需要导入管理包。微软公司为MOM监控不同的服务器设计了不同的管理包,MOM服务器可以借助MOM平台将管理包传递给被管理计算机上的代理程序,由代理程序按照管理包中设定的规则对服务器进行状态检测,并将检测的结果传回MOM服务器上。最新版本的管理包可以从微软网站下载,MOM的安装光盘中也提供了一些常用的服务器管理包,如下图所示,在安装光盘的ManageMentPacks目录下以adm结尾的文件就是管理包,以xml结尾的文件是报表文件。
打开MOM的管理员控制台,在管理包上点击右键,选择“导入/导出管理包”,如下图所示
选择进行导入管理包和/或报表的操作
选择管理包的导入路径,我们从MOM光盘的\ManagementPacks进行导入
选择导入的管理包,我们选择了三个管理包,分别是Active Directory,DNS,BaseOperationsSystem,监控Active Directory时这些管理包会用到
选择导入报表文件,和管理包一样,仍然选择那三个对象
管理包和报表导入成功,如下图所示。
四 设置Active Directory客户端监视
做完上述三步之后,MOM服务器已经可以受到一些Active Directory状态的报告了,我们利用MOM的操作员控制台就可以查看到。如果我们希望MOM对Active Directory的监控更到位,那就可以考虑设置一个监控工作站,让它模拟成Active Directory的用户,向AD内的GC,DC等角色定期发出检测信息,并将测试结果传给MOM服务器,供管理员从操作员控制台上对AD状态进行全方位的了解
。
a)设置监控工作站,
在MOM服务器的管理员控制台上,右键点击计算机组中的“Active Directory Client Side Monitoring”,选择属性,如下图所示
在属性中切换到“包括的计算机”,如下图所示,点击“添加”,勾选Berlin,这样Berlin就成了Active Directory的监控工作站。
提示:如果希望配置更改能尽快生效,可以在MOM服务器的管理控制台上右键点击“管理包”,选择“提交配置更改”即可
为什么Berlin加入这个组就可以模拟AD用户对AD进行测试呢?这时因为MOM的管理包中设置了很多规则,而规则是作用在计算机组上的,Berlin一旦加入某个计算机组,就要继承作用在组上的规则,按照规则的要求进行运作。如下图所示,Berlin加入的“Active Directory Client Side Monitoring”组和“Active Directory客户端监视”规则相关联,因此Berlin加入组后,就要按照规则要求,定期对AD进行监视了。
b)设置Proxy代理
Berlin成为监控工作站后,我们接下来将Berlin再设置成为Proxy代理,Proxy代理指的是监控客户端对域控制器执行监控规则后,回传的信息可以改变被监控域控制器的状态。在默认设置下,MOM不允许安装代理程序的计算机成为Proxy代理,我们需要改变默认设置才能让Berlin成为Proxy代理。打开MOM服务器上的管理员控制台,展开 管理-计算机-代理管理的计算机-Belin,右键点击Berlin属性,如下图所示,在“安全”标签处,取消“使用全局设置”,取消“防止代理代表其他计算机或网络设备”,这样Berlin就成为Proxy代理了。
五 调整MOM2005策略参数
MOM2005管理包中的策略预设了很多参数,但有些参数未必适合被监控的环境 ,因此在有些情况下我们就有必要对这些参数进行一些修正,下面举例进行具体说明。
a)修改GC的最小数量
Berlin成为Active Directory的监控工作站,对AD执行监控规则时,有一条规则要求Berlin测试Active Directory中的GC(全局编录)服务器数量,如果发现数量小于3就发出警报,但很多小公司的GC数量只有1个,如果不对这条规则进行修改,我们就会在MOM的操作员控制台上看到大量的错误警告信息,如下图所示
这样无意义的警报提示对MOM资源是一种浪费,我们可以考虑将最小的GC数量修改为1(具体数量要结合被监控网络的实际状况)。在MOM服务器的管理员控制台中,展开 管理包-规则组-Microsoft Windows Active Directory-Active Directory 客户端监视-事件规则,右键点击“脚本 - AD 客户端 GC 可用性”的属性,如下图所示,切换到“响应”标签,选中“AD Client GC Availability”脚本,点击“编辑”
选中脚本中的MininumAvailableGCS,点击“编辑参数”
如下图所示,我们将最小GC的数量改为1,问题解决!
b)设置Active Directory的监控范围
Berlin默认情况下监控和自己在同一站点内的所有域控制器,如果我们想调整监控范围,修改下列参数即可。在MOM服务器的管理员控制台上,展开 管理包-规则组-Microsoft Windows Active Directory-Active Directory 客户端监视-事件规则,右键点击“脚本 - AD 客户端更新 DC”属性,切换到“响应”标签,选中“AD Client Update DCs”脚本,点击“编辑”
如下图所示,在编辑对话框中,选中参数“SiteDiscoveryMode”,点击“编辑参数”
如下图所示,只要修改SiteDiscoveryMode参数的值,即可达到调整AD监控范围的目的。默认值为3,监控范围是和Berlin在同一站点内的所有域控制器;如果改为1,那么监控范围是指定域中的所有域控制器,使用这个参数必须设置指定域的名称,我们需要修改脚本参数中的Domains;如果改为2,那么监控范围是指定站点内的所有域控制器,使用这个参数必须设置指定站点的名称,我们需要修改脚本参数中的Sites;如果改为4,监控范围是指定的域控制器,使用这个参数必须设置指定的域控制器名称,我们需要修改脚本参数中的DomainControllers。这些参数甚至可以组合使用,我们借此可以灵活方便地设置AD的监控范围。
后记:完成了MOM对Active Directory的监控设置后,我们就可以在操作员控制台中查看被监控对象的状态,也可以在报表控制台中查看输出的报表。理解了监控AD的原理后,监控其他服务器也就可举一反三了,在后续的文章中我们将介绍如何监控Exchange,IIS,SQL等服务器。
本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://blog.chinaunix.net/space.php?uid=16829731&do=blog&id=3198145