通过

使用 Azure Monitor 中的 Active Directory 运行状况检查解决方案优化 Active Directory 环境

AD 健康检查符号

注释

本文最近已更新,将术语“Log Analytics”更改为“Azure Monitor 日志”。 日志数据仍然存储在 Log Analytics 工作区中,并仍然由同一 Log Analytics 服务收集并分析。 我们正在更新术语,以便更好地反映 Azure Monitor 中的日志的角色。 有关详细信息,请参阅 Azure Monitor 术语更改

可以使用 Active Directory 运行状况检查解决方案定期评估服务器环境的风险和运行状况。 本文可帮助你安装和使用解决方案,以便你可以针对潜在问题采取纠正措施。

此解决方案提供特定于已部署服务器基础结构的建议的优先列表。 这些建议分为四个重点领域,可帮助你快速了解风险并采取措施。

这些建议基于Microsoft工程师从数千次客户访问中获得的知识和经验。 每个建议都提供有关问题为何可能对你很重要以及如何实施建议的更改的指导。

可以选择对组织最重要的重点领域,并跟踪运行无风险和健康环境的进度。

添加解决方案并完成检查后,焦点区域的摘要信息将显示在环境中基础结构的 AD 运行状况检查 仪表板上。 以下部分介绍如何使用 AD 运行状况检查 仪表板上的信息,您可以在此查看并对 Active Directory 服务器基础结构采取建议的操作。

AD 健康检查磁贴的图像

AD 健康检查仪表板图像

先决条件

  • Active Directory 运行状况检查解决方案要求在安装了适用于 Windows 的 Log Analytics 代理(也称为Microsoft监视代理(MMA)的每台计算机上安装受支持的 .NET Framework 4.6.2 或更高版本。 该代理被 System Center 2016 - Operations Manager、Operations Manager 2012 R2 以及 Azure Monitor 使用。

  • 该解决方案支持运行 Windows Server 2008 和 2008 R2、Windows Server 2012 和 2012 R2、Windows Server 2016 和 Windows Server 2019 的域控制器。

  • 一个 Log Analytics 工作区,用于从 Azure 门户中的 Azure 市场添加 Active Directory 健康检查解决方案。 无需其他配置。

    注释

    添加解决方案后,AdvisorAssessment.exe 文件将添加到具有代理的服务器。 将读取配置数据,然后将其发送到云中的 Azure Monitor 进行处理。 逻辑应用于接收的数据,云服务会记录数据。

若要针对要评估的域成员的域控制器执行运行状况检查,该域中的每个域控制器都需要一个代理并使用以下受支持的方法之一连接到 Azure Monitor:

  1. 如果 System Center 2016 - Operations Manager 或 Operations Manager 2012 R2 尚未监视域控制器,请安装 适用于 Windows 的 Log Analytics 代理
  2. 如果使用 System Center 2016 - Operations Manager 或 Operations Manager 2012 R2 进行监视,并且管理组未与 Azure Monitor 集成,则域控制器可以与 Azure Monitor 多宿主一起收集数据并转发到服务,并且仍由 Operations Manager 监视。
  3. 否则,如果 Operations Manager 管理组与该服务集成,则在工作区中启用解决方案后,需要按照添加代理管理的计算机下的步骤,将域控制器添加到该服务的数据收集中。

域控制器上的代理向 Operations Manager 管理组报告、收集数据、转发到其分配的管理服务器,然后直接从管理服务器发送到 Azure Monitor。 数据不会写入 Operations Manager 数据库。

Active Directory 健康检查数据收集详细信息

Active Directory 运行状况检查使用已启用的代理从以下源收集数据:

  • 注册表
  • LDAP
  • .NET Framework
  • 事件日志
  • Active Directory 服务接口 (ADSI)
  • Windows PowerShell
  • 文件数据
  • Windows Management Instrumentation (WMI)
  • DCDIAG 工具 API
  • 文件复制服务 (NTFRS) API
  • 自定义 C# 代码

数据收集到域控制器上,每七天转发到 Azure Monitor。

了解如何确定建议的优先级

每个建议都会获得一个权重值,该值标识建议的相对重要性。 仅显示 10 条最重要的建议。

如何计算权重

权重是基于三个关键因素的聚合值:

  • 问题识别的 概率 会导致问题。 更高的概率相当于建议的总体分数越大。
  • 如果这个问题确实导致问题,将对您的组织产生影响。 更高的影响相当于建议的总体分数更大。
  • 实施建议所需的 工作量 。 工作量越大,建议的总体评分就越低。

每个建议的权重表示为每个焦点区域可用的总分数的百分比。 例如,如果安全与合规性重点区域中的建议的分数为 5%,则实施该建议会将总体安全性和合规性分数提高 5%。

重点区域

安全性和符合性 - 此重点区域显示了有关潜在安全威胁和违规、公司策略和技术、法律和法规合规性要求的建议。

可用性和业务连续性 - 此重点区域显示了有关服务可用性、基础结构复原能力和业务保护的建议。

性能和可伸缩性 - 此重点区域显示有助于组织 IT 基础结构增长的建议,确保 IT 环境满足当前的性能要求,并能够响应不断变化的基础结构需求。

升级、迁移和部署 - 此重点区域显示有助于将 Active Directory 升级、迁移和部署到现有基础结构的建议。

你应该打算在每个重点领域得分 100% 吗?

不一定。 这些建议基于Microsoft工程师在数千次客户访问中获得的知识和经验。 但是,没有两个服务器基础结构是相同的,并且特定建议可能与你相关或多或少。 例如,如果虚拟机未向 Internet 公开,则某些安全建议可能不太相关。 对于提供低优先级即席数据收集和报告的服务,某些可用性建议可能不太相关。 对成熟企业很重要的问题对初创企业来说可能不太重要。 你可能想要确定哪些重点领域是你的优先级,然后看看分数随时间的变化。

每个建议都包含有关为何很重要的指导。 鉴于 IT 服务和组织的业务需求的性质,应使用本指南来评估是否适合你实施建议。

使用健康检查重点关注领域建议

安装后,可以使用 Azure 门户中解决方案页上的“运行状况检查”磁贴查看建议摘要。

查看基础设施的合规性评估汇总,然后深入查看建议。

查看关注领域的建议并采取纠正措施

此监视解决方案收集的数据在 Azure 门户中的 工作区摘要(已弃用) 页中提供。 为包含您解决方案的工作区,从 Log Analytics 工作区 打开此页面,然后在菜单的 经典 部分中选择 工作区摘要(已弃用)。 每个解决方案都由磁贴表示。 选择图块以查看该解决方案收集的更详细的数据。

  1. “概述 ”页上,单击 “Active Directory 运行状况检查 ”磁贴。

  2. 运行状况检查页上,查看某个重点区域的摘要信息,然后单击某个查看该重点区域的建议。

  3. 在任何重点区域页面上,可以查看针对环境提出的优先建议。 单击 “受影响的对象 ”下的某个建议,查看有关为何发出建议的详细信息。

    健康检查建议的图像

  4. 可以采取建议的措施中的纠正措施。 处理项目后,后续评估报告记录了建议措施的实施,您的合规性分数将增加。 更正的项显示为 传递的对象

忽略建议

如果有要忽略的建议,可以创建一个文本文件,Azure Monitor 将使用该文本文件来防止建议出现在评估结果中。

确定那些您将忽略的建议

在 Azure 门户中的 Azure Monitor 菜单中单击“日志”,使用 Log Analytics 在 Azure Monitor 中创建查询和分析日志数据。

使用以下查询列出环境中那些未在计算机上成功执行的建议。

ADAssessmentRecommendation | where RecommendationResult == "Failed" | sort by Computer asc | project Computer, RecommendationId, Recommendation

下面是显示日志查询的屏幕截图:<

失败的建议

选择要忽略的建议。 在接下来的步骤中,将使用推荐 ID 的值。

如何创建和使用 IgnoreRecommendations.txt 文本文件

  1. 创建名为 IgnoreRecommendations.txt的文件。

  2. 请将您希望 Azure Monitor 忽略的每个建议的 RecommendationId 粘贴或键入在单独的每一行中,然后保存并关闭文件。

  3. 将文件放在希望 Azure Monitor 忽略建议的每台计算机的以下文件夹中。

    • 在具有 Microsoft Monitoring Agent(直接或通过 Operations Manager 连接)的计算机上:SystemDrive:\Program Files\Microsoft Monitoring Agent\Agent
    • 在 Operations Manager 2012 R2 管理服务器上 - SystemDrive:\Program Files\Microsoft System Center 2012 R2\Operations Manager\Server
    • 在 Operations Manager 2016 管理服务器上 - SystemDrive:\Program Files\Microsoft System Center 2016\Operations Manager\Server

去验证建议是否被忽略

下一次健康检查计划运行后,也就是默认情况下每七天运行一次,指定的建议将被标记为 “忽略”,并且不会显示在仪表板上。

  1. 可以使用以下日志查询列出所有忽略的建议。

    ADAssessmentRecommendation | where RecommendationResult == "Ignored" | sort by Computer asc | project Computer, RecommendationId, Recommendation

  2. 如果稍后决定要查看被忽略的建议,请删除任何 IgnoreRecommendations.txt 文件,或者从这些文件中删除建议 ID。

常见问题

AD 评估解决方案执行哪些检查?

  • 以下查询显示当前所执行的所有检查的描述:
ADAssessmentRecommendation
| distinct RecommendationId, FocusArea, ActionArea, Recommendation, Description
| sort by FocusArea,ActionArea, Recommendation

然后,可以将结果导出到 Excel,以便进一步查看。

健康检查的运行频率是多长时间一次?

  • 检测每七天运行一次。

是否有办法配置运行状况检查的频率?

  • 目前不是。

如果在我添加运行状况检查解决方案后发现了一台新服务器,会对其进行检查吗

  • 是的,一旦发现它,就会每隔七天检查一次。

如果服务器已停用,何时会将其从运行状况检查中删除?

  • 如果服务器未提交数据 3 周,则会将其删除。

数据收集过程的名称是什么?

  • AdvisorAssessment.exe

收集数据需要多长时间?

  • 服务器上的实际数据收集大约需要 1 小时。 在具有大量 Active Directory 服务器的服务器上可能需要更长的时间。

是否有一种方法可以配置何时收集数据?

  • 目前不是。

为什么只显示前 10 条建议?

  • 建议先专注于解决优先建议,而不是提供详尽的任务列表。 在处理完这些建议后,更多建议将会出现。 如果想要查看详细列表,可以使用日志查询查看所有建议。

是否有办法忽略建议?

后续步骤

使用 Azure Monitor 日志查询 了解如何分析详细的 AD 运行状况检查数据和建议。