Title: Educ
1Windows Server 2003
Yann Seyroles yanns_at_microsoft.com TAEMicrosoft
France
2Agenda
- Éléments principaux à surveiller sur un DC
- État du Domaine Contrôleur
- Réplication Active Directory
- Réplication FRS
- État de lActive Directory
- Exemple de scripts de surveillance
- Fonctionnement du Qa_check.cmd
- Fonctionnement du CheckServers.cmd
- Mise en place des scripts
- Boite à outils
- MutiRouter Traffic Grapher (MRTG)
- Server Status Viewer
- FRS Management Pack (SONAR)
3Les étapes de la mise en place d'une surveillance
système
- Définir les objectifs de la surveillance (Quoi ?)
- Les composants du système ou de l'application
- L'exécution des procédures d'exploitation
- Les infos nécessaires aux autres SMFs
- Définir le moyen de la surveillance (Comment ?)
- Les outils
- Définir une gestion des alertes
- Les actions correctives automatique ou manuelles
- Le circuit de notification
- Le process de suivi des alertes (ticket
d'incident) - Définir et générer les Rapports
- Performance Baseline
- Indicateurs de niveau de service
4Agenda
- Introduction
- Éléments principaux à surveiller sur un DC
- État du Domaine Contrôleur
- Réplication Active Directory
- Réplication FRS
- État de lActive Directory
- Implémentation des scripts de surveillance
- Boite à outils
5Surveillance de l'état du Domaine contrôleur
- Surveillance de la charge du serveur
- Surveillance de l'espace disque disponible
- Surveillance des services démarrés
- Surveillance des redémarrages du serveur et des
applications - Surveillance de la synchronisation du temps
- Surveillance de la fonction "Authentification"
- Surveillance de la performance de
l'authentification
6Surveillance de la charge du serveur
- Objectifs
- Surveiller lutilisation du processeur, mémoire,
réseau, disque dur - Surveiller la charge engendré par l'AD sur le
serveur - Implémentation
- Type compteurs de performance
7Surveillance de la charge du serveur
8Surveillance de la charge du serveur
9Surveillance de lespace disponible
- Objectifs
- Surveiller lespace disque dur disponible pour
- Base de données Active directory (C\WINNT\NTDS)
- Réplication du dossier SYSVol (C\WINNT\SYSVOL)
- Implémentation
- Type compteurs de performance
10Surveillance des services clés
- Objectifs
- Sassurer que les services vitaux du DC sont
démarrés - Implémentation
11Surveillance des services clés
12Surveillance des services clés
- Exemples
- Net start gt Services.txt, puis findstr
/c"ltservicenamegt - Dcdiag /testservices
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- Net start gt Services.txt
- Qa_parse.vbs
- Vérifier les services dans "services.txt" et
extraire les erreurs dans C\ADResult\ltservernamegt
\ltservernamegt-ltDaygt-ltMonthgt.txt
13Surveillance du redémarrage du serveur et des
applications
- Objectifs
- Surveiller les reboots non planifiés du serveur
- Surveiller les reboots suite à un crash dump
(blue screen) - Surveiller les crashs des applications
- Valider les reboots planifiés du serveur
- Implémentation
- Type Event log
14Surveillance de la synchronisation du temps
- Objectifs
- Surveiller les erreurs du service W32time dans
l'event log, le service responsable de la
synchronisation du temps, il est indispensable à
lauthentification des utilisateurs et à la
communications entre les DCs. - Implémentation
- Type Event log
15Surveillance de la fonction "Authentification"
- Objectifs
- Surveiller les erreurs des services "KDC", le
service responsable de la gestion des tickets
Keberos et "Netlogon", le service réseau
responsable de l'authentification - Implémentation
- Type Event log
16Surveillance de la performance de
l'Authentification
- Objectifs
- Surveiller la charge de lauthentification NTLM
et Keberos - Surveiller la génération des tickets Keberos
(optimisation de la durée de vie des tickets) - Surveiller la charge des requêtes LDAP
- Implémentation
17Surveillance de la performance de
l'Authentification
18Surveillance de la réplication Active Directory
- Surveillance du DNS
- Surveillance avec Netdiag.exe
- Surveillance avec Dcdiag.exe
- Surveillance avec Repadmin.exe
- Surveillance avec Replmon.exe
- Surveillance de la performance de la réplication
19Surveillance du DNS
- Objectifs
- Surveiller la publication et la mise à jour du DC
dans DNS - Implémentation
- Type Event Log
20Surveillance du DNS
21Surveillance avec NetDiag.exe
- Objectifs
- Vérifier la configuration réseau et DNS de la
partie "client AD" - Utilisable sur toutes les machines
- Fourni dans le support tools de Windows 2000
- Implémentation
- Netdiag.exe exécute les tests suivants
Ndis - Netcard queries Test IpConfig - IP config
Test Member - Domain membership
Test NetBTTransports - NetBT transports
Test Autonet - Autonet address Test IpLoopBk - IP
loopback ping Test DefGw - Default gateway
Test NbtNm - NetBT name Test WINS - WINS service
Test Winsock - Winsock Test DNS - DNS
Test Browser - Redir and Browser Test
DsGetDc - DC discovery Test DcList - DC list
Test Trust - Trust relationship Test Kerberos -
Kerberos Test Ldap - LDAP Test Route - Routing
table Test Netstat - Netstat information
Test Bindings - Bindings Test WAN - WAN
configuration Test Modem - Modem diagnostics
Test Netware - Netware Test IPX - IPX Test IPSec
- IP Security Test
22Surveillance avec NetDiag.exe
- Implémentation (suite)
- Démo
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- Netdiag.exe /skipLDAP /v gt Netdiag.txt.
- Ne pas lancer le test LDAP car il génère du
traffic réseau important - Qa_parse.vbs
- Rechercher les mots Warning, Fatal,
"Failed" dans le fichier Netdiag.txt - Extraire les erreurs du fichier de txt dans le
fichier C\ADResult\ltservernamegt\ltservernamegt-ltD
aygt-ltMonthgt.txt - Recommandations
- Limiter le test LDAP traffic réseau
- Désactiver les tests inutiles MODEM, Netware,
etc..
23Surveillance avec DCdiag.exe
- Objectifs
- Vérifier la configuration réseau et DNS de la
partie serveur AD - Vérifier l'état de la réplication AD
- Rechercher les erreurs dans eventlog
- Utilisable uniquement sur les Domaine contrôleurs
- Fourni dans le support tools de Windows 2000
- Implémentation
- Dcdiag.exe exécute les tests par défaut suivants
- Connectivity - Tests whether DCs are DNS
registered, pingeable, and have LDAP/RPC
connectivity. - Replications - Checks for timely replication
between domain controllers. - NCSecDesc - Checks that the security
descriptosrs on the naming context heads have
appropriate permissions for replication. - NetLogons - Checks that the appropriate logon
priviledges allow replication to proceed. - Advertising - Checks whether each DC is
advertising itself, andwhether it is advertising
itself as having the capabilities of a DC.
24Surveillance avec DCdiag.exe
- KnowsOfRoleHolders - Check whether the DC thinks
it knows the role holders, and prints these roles
out in verbose mode. - Intersite - Checks for failures that would
prevent or temporarily hold up intersite
replication. - FsmoCheck - Checks that global role-holders are
known, can be located, and are responding. - RidManager - Check to see if RID master is
accessable and to see if it contains the proper
information. - MachineAccount - Check to see if the Machine
Account has the proper information. - Services - Check to see if appropriate DC
services are running. - ObjectsReplicated - Check that Machine Account
and DSA objects have replicated. - frssysvol - This test checks that the file
replication system (FRS) SYSVOL is ready - kccevent - This test checks that the Knowledge
Consistency Checkeris completing without errors. - systemlog - This test checks that the system is
running without errors.
25Surveillance avec DCdiag.exe
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- Dcdiag /sservername /v /fc\ADResults\Dcdiag.t
xt /ferrC\ADResults\dcdaigerr.txt - Qa_parse.vbs
- Extraire les lignes contenant le mot "failed" du
fichier Dcdiag.txt et les copier dans le fichier
C\ADResult\ltservernamegt\ltservernamegt-ltDaygt-ltMonth
gt.txt
26Surveillance avec Repadmin.exe
- Objectifs
- Vérifier les objets de connexion NTDS du domaine
contrôleur "Repadmin.exe /showconn", Il permet de
- Vérifier les partenaires de réplication (avec le
site hub) - Vérifier le transport utilisé par la réplication
(IP ou RPC) - Surveiller la modification des objets NTDS
(ISTG/KCC/Manuel) - Vérifier l'état de la réplication du domaine
contrôleur avec ses partenaires entrants et
sortants, pour chaque partition. "Repadmin.exe
/showreps", il permet de - Relevé l'état et la date de la dernière tentative
de réplication pour chaque partition
(Sucess/Failed) - Fourni dans le support tools de Windows 2000/2003
27Surveillance avec Repadmin.exe
- Implémentation
- Repadmin.exe /showconn
- Repadmin.exe /Showreps
CNStaging, CNSites,CNConfiguration,DCcorp,DCh
ay-buv,DCcom POS\HUBDC1 to POS enabledConnection
TRUE fromServer HUB\HUBDC1 TransportType
Intrasite RPC whenChanged 20001130071554.0Z whenC
reated 20001130070741.0Z
DCbranches,DCcorp,DChay-buv,DCcom HUB\HUBDC1
via RPC objectGuid fe641acc-3d4e-48a9-ada6-209e53
29feef Last attempt _at_ 2000-12-02 0709.44
was successful.
28Surveillance avec Repadmin.exe
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- repadmin /showconn gt ds_showconn.txt
- repadmin /showreps gt ds_showreps.txt
- Qa_parse.vbs
- Extraire les informations à propos des
partenaires du fichier ds_showconn.txt , puis les
enregistrer dans le fichier C\ADResult\ltservernam
egt\ltservernamegt-ltDaygt-ltMonthgt.txt - Extraire les informations à propos de l'etat de
la dernière tentative de réplication du fichier
ds_showreps.txt , interpréter les messages
d'erreurs s'il y en a, puis les enregistrer dans
le fichier C\ADResult\ltservernamegt\ltservernamegt-lt
Daygt-ltMonthgt.txt
29Surveillance avec l'outil Replmon.exe
- Objectifs
- Un outil avec un interface graphique (non
scriptable) - Génération d'un rapport d'état
- Affichage des topologies de réplication
30Surveillance de la performance de la réplication
- Objectifs
- Surveiller la quantité des données dannauire
répliquées intersite et intrasite - Implémentation
- Type Compteur de Performance
31Surveillance de la performance de la réplication
32Surveillance de la réplication FRS
- Surveillance de la disponiblité des partages
- Surveillance des erreurs dans event log
- Surveillance des fichiers de log FRS
- Surveillance avec NtFrsUtl.exe
- Surveillance avec Gpostat.vbs
- Surveillance avec Gpotool.exe
- Surveillance de la performance de la réplication
FRS
33Surveillance la disponiblité des partages
- Objectifs
- Surveiller la disponibilité du partage "SYSVOL"
- Surveiller la disponibilité du partage "Netlogon"
- Implémentation
- Type Script
34Surveillance des erreurs dans event log
- Objectifs
- Surveiller les erreurs du service FRS (Dcdiag
/testfrssysvol) - Surveiller les erreurs liés à l'application des
GPOs - Implémentation
- Type Event log
35Surveillance des fichiers de log FRS
- Objectifs
- Examiner les fichiers journaux FRS dans le
répertoire systemroot\debug à la recherche des
erreurs. - Par défaut, il y en a 5 Ntfrs_001 à Ntfrs_005,
configurable par la regsitry - KB221111- Description of FRS Entries in the
Registry - Exemple de script
- Find /in "error warn fail" ntfrs. gt err.tmp
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- Extraire les erreurs des fichiers de log (findstr
/i /c) - Trier les erreurs et les copier dans les fcihiers
suivants ntfrs_errscan.txt, ntfrs_parse.txt,
ntfrs_parse2.txt - Qa_parse.vbs
- Examine les fichiers ntfrs_xxx.txt et remonter
les erreurs dans le fichier C\ADResult\ltservern
amegt\ltservernamegt-ltDaygt-ltMonthgt.txt
36Surveillance avec NtFrsUtl.exe
- Objectifs
- Vérifier la topologie de réplication FRS dans
l'AD - Inbound/Outbound connexion
- Inbound/Outbound server
- Vérifier les états des réplicas
- Fourni dans le support tools de windows 2000/2003
- Implémentation
- Les commutateurs suivants sont utiles pour
surveiller FRS à l'aide de Ntfrsutil - Ds. Répertorie l'affichage du service FRS du
service d'annuaire - Sets. Répertorie les jeux de répliques actifs
- Inlog. Répertorie le journal entrant du service
FRS - Outlog. Répertorie le journal sortant du service
FRS - Version. Répertorie les versions d'interface API
et de service pour FRS
37Surveillance avec NtFrsUtl.exe
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- ntfrsutl ds gt QA\ntfrs_ds.txt
- ntfrsutl sets gt QA\ntfrs_sets.txt
- ntfrsutl inlog gt QA\ntfrs_inlog.txt
- ntfrsutl outlog gt QA\ntfrs_outlog.txt
- ntfrsutl version gt QA\ntfrs_version.txt
- dir Systemroot\sysvol /s gt QA\ntfrs_sysvol.txt
38Surveillance avec NtFrsUtl.exe
- Qa_parse.vbs
- Extraire les erreurs de "no inbound/ooutbound
connexion" du "ntfrs_parse.txt", puis les
remonter dans le fichier C\ADResult\ltservernamegt
\ltservernamegt-ltDaygt-ltMonthgt.txt - Extraire les erreurs, les warning, et les "no
inbound/outbound server" du "ntfrs_parse2.txt",
puis les remonter dans le fichier
C\ADResult\ltservernamegt\ltservernamegt-ltDaygt-ltMonth
gt.txt - Extraire les "Warning" du "ntfs_ds.txt", puis les
remonter dans le fichier C\ADResult\ltservernamegt
\ltservernamegt-ltDaygt-ltMonthgt.txt - Extraire les différents "Replica_State" erreur du
"ntfrs_sets.txt", ", puis les remonter dans le
fichier C\ADResult\ltservernamegt\ltservernamegt-ltDa
ygt-ltMonthgt.txt
39Surveillance avec NtFrsUtl.exe
- Connstat.cmd
- Le script Connstat.cmd traite la sortie de la
commande ntfrsutl sets pour générer un résumé
des connexions FRS pour un contrôleur de domaine
donné. Le rapport créé par Connstat.cmd se divise
en trois parties l'en-tête, l'état des
connexions entrantes et l'état des connexions
sortantes. Ce script est appelé par le script
QA_Check.cmd, qui redirige sa sortie vers le
fichier C\ADResults\Frsconstat.txt. - Nécessite ActivePerl
40Surveillance avec Gpostat.vbs
- Objectifs
- Vérifier la synchronisation des GPOs
- Utilise les API du iADstool.dll fourni dans le
support tools de Windows 2000 - Connecter à un DC, récupére les GUID des GPOs,
puis comparer la version de l'AD et la version du
SYSVOL - Enregistrer les résultats dans c\ADResulats\GPOst
at.txt - Fourni dans les scripts de surveillance
- Exemple dans les scripts de surveillance
- Qa_check.cmd
- cscript.exe gpostat.vbs computername
- Qa_parse.vbs
- Extraire les informations des GPOs du
GPOStat.txt, puis les remonter dans
C\ADResult\ltservernamegt\ltservernamegt-ltDaygt-ltMonth
gt.txt
41Surveillance avec Gpotool.exe
- Objectifs
- Vérifier la consistance des GPOs (GPC/GPT)
- Vérifier la réplication des objets GPOs
- Fourni dans le ressource kit de Windows 2000
- Implémentation
42Surveillance de la performance de la réplication
FRS
- Objectifs
- Surveiller la quantité de données répliquée par
FRS - Implémentation
- Type Compteur de performance
43Surveillance de l'état de la forêt Active
Directory
- Surveillance des rôles FSMO
- Surveillance des relations dapprobation entre
les domaines
44Surveillance des rôles FSMO
- Objectifs
- Surveiller la disponibilité des rôles FSMO du
domaine et de la forêt - Implémentations
45Surveillance des rôles FSMO
- Implémentation (suite)
- Exemple de scripts
- Pour lister les propriétaires des rôles
- Netdom query /domainltdomain_namegt fsmo
- Pour vérifier le fonctionnement des rôles
- Dcdiag /v /testfsmocheck
- Dcdiag /v /testRidmanager
46Surveillance des relations d'approbation entre
les domaines
- Objectifs
- Valider les "passthrough" authentification
- Vérifier les "secure channels" entre les domains
AD - Exemple de scripts
- Etape 1 Obtenir le nom du "PDC emulator" du
domaine - NLTEST /DCNAMEltDomain_Namegt
- Etape 2 Obtenir la liste des domaines
- NLTEST /serverltPDC_servernamegt /domain_trusts
Trusted domain list 0 TESTDOMAIN
testdomain.root.com (NT 5) (Forest 3) (Direct
Outbound) 1 CHILD child.root.com (NT 5) (Forest
3) (Direct Outbound) 2 GRANDCHILD
grandchild.child.root.com (NT 5) (Forest 1) 3
ROOT root.com (NT 5) (Forest Tree Root) (Primary
Domain) 4 NT4DOMAIN (NT 4) (Direct Outbound) 5
NEWROOT newroot.com (NT 5) (Forest Tree Root)
(Direct Outbound) ( Attr 0x800000 )
47Surveillance des relations d'approbation entre
les domaines
- Etape 3 Vérifier le "Secure Channel" du domaine
- NLTEST /serverltPDC_ServerNamegt
/SC_querylttrusted _domaingt
C\gtnltest /servertinw2kser2 /SC_querytest Flags
30 HAS_IP HAS_TIMESERV Trusted DC Name
\\TINW2KSER1.test.lab Trusted DC Connection
Status Status 0 0x0 NERR_Success The command
completed successfully
48Agenda
- Introduction
- Éléments principaux à surveiller sur un DC
- Implémentation des scripts de surveillance
- Fonctionnement du Qa_check.cmd
- Fonctionnement du CheckServers.cmd
- Mise en place des scripts
- Boite à outils
49Fonctionement du Qa_check.cmd
50Fonctionement du CheckServers.cmd
51Fonctionement du CheckServers.cmd
- Erreur dans le checkServers.vbs
Dim fso, f, f1, fc, s,Folderpath,ShowFolderList,Se
rverCount2,NumMissing FolderpathFolderpathDirect
ory Set fso CreateObject("Scripting.FileSystemO
bject") Set f fso.GetFolder(Folderpath) Set
fc f.SubFolders For Each f1 in fc s
f1.name ServerCount2ServerCount2ValAdd
DirReport.WriteLine(s) Next
DirReport.WriteLine DirReport.Close
52Mise en place des scripts
- Etape 1 - Installer les pré-requis
- Support Tools ,Ressource kit, Active Perl
(optionnel) - Etape 2 - Créer les répertoires
- C\ADMonitor, C\ADResults, C\QAshare
- Etape 3 Configurer le serveur "Hub"
- Partager C\Qashare en "Qashare" sur le serveur
"Hub" - Etape 3 - Unzipper les scripts dans le répertoire
- C\ADMonitor
- Etape 4 Modifier et tester les scripts
- Modifier l'_at_IP du HUB dans Qa_check.cmd
- Tester le Qa_check.cmd et vérifier les fichiers
de réponses - Etape 4 - Plannifer dans l'éxecution du
Qa_check.cmd - Installer le batch sous forme de service
- Plannifier le démrrage du service tous les soirs
53Agenda
- Introduction
- Éléments principaux à surveiller sur un DC
- Exemple de scripts de surveillance
- Boite à outils
- Server Status Monitor
- FRS Management Pack
54Microsoft Server Status Monitor
- Fourni dans le RK de MOM (Pas de license MOM
nécessaire) - http//www.microsoft.com/mom/downloads/reskit/defa
ult.asp - Pas d'agent sur les serveurs surveillés
-
55Microsoft Server Status Monitor
- Points forts
- Interface graphique avec différentes vues
possibles - Possibilité de lancer des tests de diagnostic
- Détection des rôles du serveur
- Common properties, Domain controller, DNS, File
server, IIS, Terminal serveur - Récapitulatif des events
- Points faibles
- Ne teste pas la réplication FRS
- Ne teste pas les GPOs
- Ne génère pas d'alertes (ex ne peut pas fixer un
seuil) - Ne collecte pas les events
- Limité à 10 Serveurs
- Pas d'historique (Statut, event, compteur de
perfmon)
56FRS Management Pack (SONAR)
- Fourni dans le RK de Serveur 2003 ou en
téléchargement - http//www.microsoft.com/downloads/details.aspx?fa
milyid158cb0fb-fe09-477c-8148-25ae02cf15d8displa
ylangen Pour XP Nécessite ntfrsapi.dll, pour
Windows 2000 le Framework .Net 1.1 - Pas d'agent sur les serveurs surveillés
57FRS Management Pack (SONAR)
- Points forts
- Interface graphique avec différents vues
possibles - Capable de créer des fichiers de log
- Points faibles
- Uniquement pour la réplication FRS
- Ne teste pas les GPOs
- Ne génère pas d'alertes (ex ne peut pas fixer un
seuil) - Ne collecte pas les events
- Historique très succinct
58- Le site de léducation
- http//www.microsoft.com/france/educ
- Le site de la migration
- http//www.microsoft.com/france/windows/windowsser
ver2003/migration/outil/default.asp
59(No Transcript)