Educ

1
Windows Server 2003
Yann Seyroles yanns_at_microsoft.com TAEMicrosoft
France
2
Agenda

• Éléments principaux à surveiller sur un DC
• État du Domaine Contrôleur
• Réplication Active Directory
• Réplication FRS
• État de lActive Directory
• Exemple de scripts de surveillance
• Fonctionnement du Qa_check.cmd
• Fonctionnement du CheckServers.cmd
• Mise en place des scripts
• Boite à outils
• MutiRouter Traffic Grapher (MRTG)
• Server Status Viewer
• FRS Management Pack (SONAR)

3
Les étapes de la mise en place d'une surveillance
système

• Définir les objectifs de la surveillance (Quoi ?)
• Les composants du système ou de l'application
• L'exécution des procédures d'exploitation
• Les infos nécessaires aux autres SMFs
• Définir le moyen de la surveillance (Comment ?)
• Les outils
• Définir une gestion des alertes
• Les actions correctives automatique ou manuelles
• Le circuit de notification
• Le process de suivi des alertes (ticket
  d'incident)
• Définir et générer les Rapports
• Performance Baseline
• Indicateurs de niveau de service

4
Agenda

• Introduction
• Éléments principaux à surveiller sur un DC
• État du Domaine Contrôleur
• Réplication Active Directory
• Réplication FRS
• État de lActive Directory
• Implémentation des scripts de surveillance
• Boite à outils

5
Surveillance de l'état du Domaine contrôleur

• Surveillance de la charge du serveur
• Surveillance de l'espace disque disponible
• Surveillance des services démarrés
• Surveillance des redémarrages du serveur et des
  applications
• Surveillance de la synchronisation du temps
• Surveillance de la fonction "Authentification"
• Surveillance de la performance de
  l'authentification

6
Surveillance de la charge du serveur

• Objectifs
• Surveiller lutilisation du processeur, mémoire,
  réseau, disque dur
• Surveiller la charge engendré par l'AD sur le
  serveur
• Implémentation
• Type compteurs de performance

7
Surveillance de la charge du serveur

• Implémentation (Suite)

8
Surveillance de la charge du serveur

• Implémentation (Suite)

9
Surveillance de lespace disponible

• Objectifs
• Surveiller lespace disque dur disponible pour
• Base de données Active directory (C\WINNT\NTDS)
• Réplication du dossier SYSVol (C\WINNT\SYSVOL)
• Implémentation
• Type compteurs de performance

10
Surveillance des services clés

• Objectifs
• Sassurer que les services vitaux du DC sont
  démarrés
• Implémentation

11
Surveillance des services clés

• Implémentation (suite)

12
Surveillance des services clés

• Exemples
• Net start gt Services.txt, puis findstr
  /c"ltservicenamegt
• Dcdiag /testservices
• Exemple dans les scripts de surveillance
• Qa_check.cmd
• Net start gt Services.txt
• Qa_parse.vbs
• Vérifier les services dans "services.txt" et
  extraire les erreurs dans C\ADResult\ltservernamegt
  \ltservernamegt-ltDaygt-ltMonthgt.txt

13
Surveillance du redémarrage du serveur et des
applications

• Objectifs
• Surveiller les reboots non planifiés du serveur
• Surveiller les reboots suite à un crash dump
  (blue screen)
• Surveiller les crashs des applications
• Valider les reboots planifiés du serveur
• Implémentation
• Type Event log

14
Surveillance de la synchronisation du temps

• Objectifs
• Surveiller les erreurs du service W32time dans
  l'event log, le service responsable de la
  synchronisation du temps, il est indispensable à
  lauthentification des utilisateurs et à la
  communications entre les DCs.
• Implémentation
• Type Event log

15
Surveillance de la fonction "Authentification"

• Objectifs
• Surveiller les erreurs des services "KDC", le
  service responsable de la gestion des tickets
  Keberos et "Netlogon", le service réseau
  responsable de l'authentification
• Implémentation
• Type Event log

16
Surveillance de la performance de
l'Authentification

• Objectifs
• Surveiller la charge de lauthentification NTLM
  et Keberos
• Surveiller la génération des tickets Keberos
  (optimisation de la durée de vie des tickets)
• Surveiller la charge des requêtes LDAP
• Implémentation

17
Surveillance de la performance de
l'Authentification

• Implémentation (suite)

18
Surveillance de la réplication Active Directory

• Surveillance du DNS
• Surveillance avec Netdiag.exe
• Surveillance avec Dcdiag.exe
• Surveillance avec Repadmin.exe
• Surveillance avec Replmon.exe
• Surveillance de la performance de la réplication

19
Surveillance du DNS

• Objectifs
• Surveiller la publication et la mise à jour du DC
  dans DNS
• Implémentation
• Type Event Log

20
Surveillance du DNS

• Implémentation (suite)

21
Surveillance avec NetDiag.exe

• Objectifs
• Vérifier la configuration réseau et DNS de la
  partie "client AD"
• Utilisable sur toutes les machines
• Fourni dans le support tools de Windows 2000
• Implémentation
• Netdiag.exe exécute les tests suivants

Ndis - Netcard queries Test IpConfig - IP config
Test Member - Domain membership
Test NetBTTransports - NetBT transports
Test Autonet - Autonet address Test IpLoopBk - IP
loopback ping Test DefGw - Default gateway
Test NbtNm - NetBT name Test WINS - WINS service
Test Winsock - Winsock Test DNS - DNS
Test Browser - Redir and Browser Test
DsGetDc - DC discovery Test DcList - DC list
Test Trust - Trust relationship Test Kerberos -
Kerberos Test Ldap - LDAP Test Route - Routing
table Test Netstat - Netstat information
Test Bindings - Bindings Test WAN - WAN
configuration Test Modem - Modem diagnostics
Test Netware - Netware Test IPX - IPX Test IPSec
- IP Security Test
22
Surveillance avec NetDiag.exe

• Implémentation (suite)
• Démo
• Exemple dans les scripts de surveillance
• Qa_check.cmd
• Netdiag.exe /skipLDAP /v gt Netdiag.txt.
• Ne pas lancer le test LDAP car il génère du
  traffic réseau important
• Qa_parse.vbs
• Rechercher les mots Warning, Fatal,
  "Failed" dans le fichier Netdiag.txt
• Extraire les erreurs du fichier de txt dans le
  fichier C\ADResult\ltservernamegt\ltservernamegt-ltD
  aygt-ltMonthgt.txt
• Recommandations
• Limiter le test LDAP traffic réseau
• Désactiver les tests inutiles MODEM, Netware,
  etc..

23
Surveillance avec DCdiag.exe

• Objectifs
• Vérifier la configuration réseau et DNS de la
  partie serveur AD
• Vérifier l'état de la réplication AD
• Rechercher les erreurs dans eventlog
• Utilisable uniquement sur les Domaine contrôleurs
• Fourni dans le support tools de Windows 2000
• Implémentation
• Dcdiag.exe exécute les tests par défaut suivants
  
• Connectivity - Tests whether DCs are DNS
  registered, pingeable, and have LDAP/RPC
  connectivity.
• Replications - Checks for timely replication
  between domain controllers.
• NCSecDesc - Checks that the security
  descriptosrs on the naming context heads have
  appropriate permissions for replication.
• NetLogons - Checks that the appropriate logon
  priviledges allow replication to proceed.
• Advertising - Checks whether each DC is
  advertising itself, andwhether it is advertising
  itself as having the capabilities of a DC.

24
Surveillance avec DCdiag.exe

• KnowsOfRoleHolders - Check whether the DC thinks
  it knows the role holders, and prints these roles
  out in verbose mode.
• Intersite - Checks for failures that would
  prevent or temporarily hold up intersite
  replication.
• FsmoCheck - Checks that global role-holders are
  known, can be located, and are responding.
• RidManager - Check to see if RID master is
  accessable and to see if it contains the proper
  information.
• MachineAccount - Check to see if the Machine
  Account has the proper information.
• Services - Check to see if appropriate DC
  services are running.
• ObjectsReplicated - Check that Machine Account
  and DSA objects have replicated.
• frssysvol - This test checks that the file
  replication system (FRS) SYSVOL is ready
• kccevent - This test checks that the Knowledge
  Consistency Checkeris completing without errors.
• systemlog - This test checks that the system is
  running without errors.

25
Surveillance avec DCdiag.exe

• Exemple dans les scripts de surveillance
• Qa_check.cmd
• Dcdiag /sservername /v /fc\ADResults\Dcdiag.t
  xt /ferrC\ADResults\dcdaigerr.txt
• Qa_parse.vbs
• Extraire les lignes contenant le mot "failed" du
  fichier Dcdiag.txt et les copier dans le fichier
  C\ADResult\ltservernamegt\ltservernamegt-ltDaygt-ltMonth
  gt.txt

26
Surveillance avec Repadmin.exe

• Objectifs
• Vérifier les objets de connexion NTDS du domaine
  contrôleur "Repadmin.exe /showconn", Il permet de
  
• Vérifier les partenaires de réplication (avec le
  site hub)
• Vérifier le transport utilisé par la réplication
  (IP ou RPC)
• Surveiller la modification des objets NTDS
  (ISTG/KCC/Manuel)
• Vérifier l'état de la réplication du domaine
  contrôleur avec ses partenaires entrants et
  sortants, pour chaque partition. "Repadmin.exe
  /showreps", il permet de
• Relevé l'état et la date de la dernière tentative
  de réplication pour chaque partition
  (Sucess/Failed)
• Fourni dans le support tools de Windows 2000/2003

27
Surveillance avec Repadmin.exe

• Implémentation
• Repadmin.exe /showconn
• Repadmin.exe /Showreps

CNStaging, CNSites,CNConfiguration,DCcorp,DCh
ay-buv,DCcom POS\HUBDC1 to POS enabledConnection
TRUE fromServer HUB\HUBDC1 TransportType
Intrasite RPC whenChanged 20001130071554.0Z whenC
reated 20001130070741.0Z
DCbranches,DCcorp,DChay-buv,DCcom HUB\HUBDC1
via RPC objectGuid fe641acc-3d4e-48a9-ada6-209e53
29feef Last attempt _at_ 2000-12-02 0709.44
was successful.
28
Surveillance avec Repadmin.exe

• Exemple dans les scripts de surveillance
• Qa_check.cmd
• repadmin /showconn gt ds_showconn.txt
• repadmin /showreps gt ds_showreps.txt
• Qa_parse.vbs
• Extraire les informations à propos des
  partenaires du fichier ds_showconn.txt , puis les
  enregistrer dans le fichier C\ADResult\ltservernam
  egt\ltservernamegt-ltDaygt-ltMonthgt.txt
• Extraire les informations à propos de l'etat de
  la dernière tentative de réplication du fichier
  ds_showreps.txt , interpréter les messages
  d'erreurs s'il y en a, puis les enregistrer dans
  le fichier C\ADResult\ltservernamegt\ltservernamegt-lt
  Daygt-ltMonthgt.txt

29
Surveillance avec l'outil Replmon.exe

• Objectifs
• Un outil avec un interface graphique (non
  scriptable)
• Génération d'un rapport d'état
• Affichage des topologies de réplication

30
Surveillance de la performance de la réplication

• Objectifs
• Surveiller la quantité des données dannauire
  répliquées intersite et intrasite
• Implémentation
• Type Compteur de Performance

31
Surveillance de la performance de la réplication

• Implémentation (suite)

32
Surveillance de la réplication FRS

• Surveillance de la disponiblité des partages
• Surveillance des erreurs dans event log
• Surveillance des fichiers de log FRS
• Surveillance avec NtFrsUtl.exe
• Surveillance avec Gpostat.vbs
• Surveillance avec Gpotool.exe
• Surveillance de la performance de la réplication
  FRS

33
Surveillance la disponiblité des partages

• Objectifs
• Surveiller la disponibilité du partage "SYSVOL"
• Surveiller la disponibilité du partage "Netlogon"
• Implémentation
• Type Script

34
Surveillance des erreurs dans event log

• Objectifs
• Surveiller les erreurs du service FRS (Dcdiag
  /testfrssysvol)
• Surveiller les erreurs liés à l'application des
  GPOs
• Implémentation
• Type Event log

35
Surveillance des fichiers de log FRS

• Objectifs
• Examiner les fichiers journaux FRS dans le
  répertoire systemroot\debug à la recherche des
  erreurs.
• Par défaut, il y en a 5 Ntfrs_001 à Ntfrs_005,
  configurable par la regsitry
• KB221111- Description of FRS Entries in the
  Registry
• Exemple de script
• Find /in "error warn fail" ntfrs. gt err.tmp
• Exemple dans les scripts de surveillance
• Qa_check.cmd
• Extraire les erreurs des fichiers de log (findstr
  /i /c)
• Trier les erreurs et les copier dans les fcihiers
  suivants ntfrs_errscan.txt, ntfrs_parse.txt,
  ntfrs_parse2.txt
• Qa_parse.vbs
• Examine les fichiers ntfrs_xxx.txt et remonter
  les erreurs dans le fichier C\ADResult\ltservern
  amegt\ltservernamegt-ltDaygt-ltMonthgt.txt

36
Surveillance avec NtFrsUtl.exe

• Objectifs
• Vérifier la topologie de réplication FRS dans
  l'AD
• Inbound/Outbound connexion
• Inbound/Outbound server
• Vérifier les états des réplicas
• Fourni dans le support tools de windows 2000/2003
• Implémentation
• Les commutateurs suivants sont utiles pour
  surveiller FRS à l'aide de Ntfrsutil
• Ds. Répertorie l'affichage du service FRS du
  service d'annuaire
• Sets. Répertorie les jeux de répliques actifs
• Inlog. Répertorie le journal entrant du service
  FRS
• Outlog. Répertorie le journal sortant du service
  FRS
• Version. Répertorie les versions d'interface API
  et de service pour FRS

37
Surveillance avec NtFrsUtl.exe

• Exemple dans les scripts de surveillance
• Qa_check.cmd
• ntfrsutl ds gt QA\ntfrs_ds.txt
• ntfrsutl sets gt QA\ntfrs_sets.txt
• ntfrsutl inlog gt QA\ntfrs_inlog.txt
• ntfrsutl outlog gt QA\ntfrs_outlog.txt
• ntfrsutl version gt QA\ntfrs_version.txt
• dir Systemroot\sysvol /s gt QA\ntfrs_sysvol.txt
  

38
Surveillance avec NtFrsUtl.exe

• Qa_parse.vbs
• Extraire les erreurs de "no inbound/ooutbound
  connexion" du "ntfrs_parse.txt", puis les
  remonter dans le fichier C\ADResult\ltservernamegt
  \ltservernamegt-ltDaygt-ltMonthgt.txt
• Extraire les erreurs, les warning, et les "no
  inbound/outbound server" du "ntfrs_parse2.txt",
  puis les remonter dans le fichier
  C\ADResult\ltservernamegt\ltservernamegt-ltDaygt-ltMonth
  gt.txt
• Extraire les "Warning" du "ntfs_ds.txt", puis les
  remonter dans le fichier C\ADResult\ltservernamegt
  \ltservernamegt-ltDaygt-ltMonthgt.txt
• Extraire les différents "Replica_State" erreur du
  "ntfrs_sets.txt", ", puis les remonter dans le
  fichier C\ADResult\ltservernamegt\ltservernamegt-ltDa
  ygt-ltMonthgt.txt

39
Surveillance avec NtFrsUtl.exe

• Connstat.cmd
• Le script Connstat.cmd traite la sortie de la
  commande ntfrsutl sets pour générer un résumé
  des connexions FRS pour un contrôleur de domaine
  donné. Le rapport créé par Connstat.cmd se divise
  en trois parties l'en-tête, l'état des
  connexions entrantes et l'état des connexions
  sortantes. Ce script est appelé par le script
  QA_Check.cmd, qui redirige sa sortie vers le
  fichier C\ADResults\Frsconstat.txt.
• Nécessite ActivePerl

40
Surveillance avec Gpostat.vbs

• Objectifs
• Vérifier la synchronisation des GPOs
• Utilise les API du iADstool.dll fourni dans le
  support tools de Windows 2000
• Connecter à un DC, récupére les GUID des GPOs,
  puis comparer la version de l'AD et la version du
  SYSVOL
• Enregistrer les résultats dans c\ADResulats\GPOst
  at.txt
• Fourni dans les scripts de surveillance
• Exemple dans les scripts de surveillance
• Qa_check.cmd
• cscript.exe gpostat.vbs computername
• Qa_parse.vbs
• Extraire les informations des GPOs du
  GPOStat.txt, puis les remonter dans
  C\ADResult\ltservernamegt\ltservernamegt-ltDaygt-ltMonth
  gt.txt

41
Surveillance avec Gpotool.exe

• Objectifs
• Vérifier la consistance des GPOs (GPC/GPT)
• Vérifier la réplication des objets GPOs
• Fourni dans le ressource kit de Windows 2000
• Implémentation

42
Surveillance de la performance de la réplication
FRS

• Objectifs
• Surveiller la quantité de données répliquée par
  FRS
• Implémentation
• Type Compteur de performance

43
Surveillance de l'état de la forêt Active
Directory

• Surveillance des rôles FSMO
• Surveillance des relations dapprobation entre
  les domaines

44
Surveillance des rôles FSMO

• Objectifs
• Surveiller la disponibilité des rôles FSMO du
  domaine et de la forêt
• Implémentations

45
Surveillance des rôles FSMO

• Implémentation (suite)
• Exemple de scripts
• Pour lister les propriétaires des rôles
• Netdom query /domainltdomain_namegt fsmo
• Pour vérifier le fonctionnement des rôles
• Dcdiag /v /testfsmocheck
• Dcdiag /v /testRidmanager

46
Surveillance des relations d'approbation entre
les domaines

• Objectifs
• Valider les "passthrough" authentification
• Vérifier les "secure channels" entre les domains
  AD
• Exemple de scripts
• Etape 1 Obtenir le nom du "PDC emulator" du
  domaine
• NLTEST /DCNAMEltDomain_Namegt
• Etape 2 Obtenir la liste des domaines
• NLTEST /serverltPDC_servernamegt /domain_trusts

Trusted domain list 0 TESTDOMAIN
testdomain.root.com (NT 5) (Forest 3) (Direct
Outbound) 1 CHILD child.root.com (NT 5) (Forest
3) (Direct Outbound) 2 GRANDCHILD
grandchild.child.root.com (NT 5) (Forest 1) 3
ROOT root.com (NT 5) (Forest Tree Root) (Primary
Domain) 4 NT4DOMAIN (NT 4) (Direct Outbound) 5
NEWROOT newroot.com (NT 5) (Forest Tree Root)
(Direct Outbound) ( Attr 0x800000 )
47
Surveillance des relations d'approbation entre
les domaines

• Etape 3 Vérifier le "Secure Channel" du domaine
  
• NLTEST /serverltPDC_ServerNamegt
  /SC_querylttrusted _domaingt

C\gtnltest /servertinw2kser2 /SC_querytest Flags
30 HAS_IP HAS_TIMESERV Trusted DC Name
\\TINW2KSER1.test.lab Trusted DC Connection
Status Status 0 0x0 NERR_Success The command
completed successfully
48
Agenda

• Introduction
• Éléments principaux à surveiller sur un DC
• Implémentation des scripts de surveillance
• Fonctionnement du Qa_check.cmd
• Fonctionnement du CheckServers.cmd
• Mise en place des scripts
• Boite à outils

49
Fonctionement du Qa_check.cmd
50
Fonctionement du CheckServers.cmd
51
Fonctionement du CheckServers.cmd

• Erreur dans le checkServers.vbs

Dim fso, f, f1, fc, s,Folderpath,ShowFolderList,Se
rverCount2,NumMissing FolderpathFolderpathDirect
ory Set fso CreateObject("Scripting.FileSystemO
bject") Set f fso.GetFolder(Folderpath) Set
fc f.SubFolders For Each f1 in fc s
f1.name ServerCount2ServerCount2ValAdd
DirReport.WriteLine(s) Next
DirReport.WriteLine DirReport.Close
52
Mise en place des scripts

• Etape 1 - Installer les pré-requis
• Support Tools ,Ressource kit, Active Perl
  (optionnel)
• Etape 2 - Créer les répertoires
• C\ADMonitor, C\ADResults, C\QAshare
• Etape 3 Configurer le serveur "Hub"
• Partager C\Qashare en "Qashare" sur le serveur
  "Hub"
• Etape 3 - Unzipper les scripts dans le répertoire
  
• C\ADMonitor
• Etape 4 Modifier et tester les scripts
• Modifier l'_at_IP du HUB dans Qa_check.cmd
• Tester le Qa_check.cmd et vérifier les fichiers
  de réponses
• Etape 4 - Plannifer dans l'éxecution du
  Qa_check.cmd
• Installer le batch sous forme de service
• Plannifier le démrrage du service tous les soirs

53
Agenda

• Introduction
• Éléments principaux à surveiller sur un DC
• Exemple de scripts de surveillance
• Boite à outils
• Server Status Monitor
• FRS Management Pack

54
Microsoft Server Status Monitor

• Fourni dans le RK de MOM (Pas de license MOM
  nécessaire)
• http//www.microsoft.com/mom/downloads/reskit/defa
  ult.asp
• Pas d'agent sur les serveurs surveillés

55
Microsoft Server Status Monitor

• Points forts
• Interface graphique avec différentes vues
  possibles
• Possibilité de lancer des tests de diagnostic
• Détection des rôles du serveur
• Common properties, Domain controller, DNS, File
  server, IIS, Terminal serveur
• Récapitulatif des events
• Points faibles
• Ne teste pas la réplication FRS
• Ne teste pas les GPOs
• Ne génère pas d'alertes (ex ne peut pas fixer un
  seuil)
• Ne collecte pas les events
• Limité à 10 Serveurs
• Pas d'historique (Statut, event, compteur de
  perfmon)

56
FRS Management Pack (SONAR)

• Fourni dans le RK de Serveur 2003 ou en
  téléchargement
• http//www.microsoft.com/downloads/details.aspx?fa
  milyid158cb0fb-fe09-477c-8148-25ae02cf15d8displa
  ylangen Pour XP Nécessite ntfrsapi.dll, pour
  Windows 2000 le Framework .Net 1.1
• Pas d'agent sur les serveurs surveillés

57
FRS Management Pack (SONAR)

• Points forts
• Interface graphique avec différents vues
  possibles
• Capable de créer des fichiers de log
• Points faibles
• Uniquement pour la réplication FRS
• Ne teste pas les GPOs
• Ne génère pas d'alertes (ex ne peut pas fixer un
  seuil)
• Ne collecte pas les events
• Historique très succinct

58

• Le site de léducation
• http//www.microsoft.com/france/educ
• Le site de la migration
• http//www.microsoft.com/france/windows/windowsser
  ver2003/migration/outil/default.asp

59
(No Transcript)