Моніторинг мережі з AD, Локальні мережі, статті

Шон Дейлі, Журнал “Windows 2000 Magazine”

Забезпечення працездатності мереж на базі систем Windows 2000 являє собою велике поле діяльності для мережевих адміністраторів. Щоб здійснювати ефективну підтримку мереж Windows 2000 і забезпечити хоча б такий же коефіцієнт готовності мережі, який був досягнутий для мереж попередніх версій Windows, адміністраторам належить реалізувати більш високий рівень управління мережевою активністю. Природно, колишній імператив залишається: незалежно від розглянутої комп’ютерної мережі – це моніторинг таких параметрів, як завантаження процесора, використання фізичної пам’яті і дискової підсистеми, рівень мережевого взаємодії. Однак з появою Windows 2000 виникає необхідність в регулярному моніторингу компонентів, служб, взаємозалежностей, про які раніше ніхто не дбав, так як їх просто не було.

До числа нових сутностей, які в сукупності утворюють інфраструктуру ядра Windows 2000, слід віднести бази даних і служби Active Directory (AD), сервера DNS, глобального каталогу – Global Catalog (GC), а також рольових серверів Operation Masters. Правильне функціонування в мережі як самої операційної системи Windows 2000, так і додатків, орієнтованих на неї, дуже сильно залежить від стану цих служб і компонентів. Таким чином, мережеві адміністратори зобов’язані не тільки гарантувати доступність таких компонентів, але і забезпечити прийнятну продуктивність всього комплексу. Недоробки в цій області можуть викликати проблеми загальномережевого масштабу, в тому числі привести до неприпустимо повільної мережевої авторизації або збоїв при її проведенні, неузгодженості баз даних AD на різних серверах і відсутності доступу до критично важливих додатків. Для грамотного технічного забезпечення інфраструктури мережі Windows 2000 IT-фахівці повинні знати, які саме компоненти слід піддати моніторингу, а також мати чітке уявлення про інструменти, необхідних для проведення повномасштабного моніторингу мережі Windows 2000.

AD – «спинний хребет» Windows 2000

Перш ніж розглядати особливості AD, хочу познайомити читачів з основними термінами та концепціями, які належать до мереж, які класифікуються як directory-enabled. В ієрархічних структурах, де сама інформація і доступ до неї організовані більш-менш зрозумілим чином, те, що називається каталогом (directory), чи сховищем даних, забезпечує надання даних про об’єкти всередині відомих конструкцій або оточення (наприклад, мережі). Самі об’єкти містять таку традиційну інформацію про мережеві ресурси, як, скажімо, обліковий запис користувача або станції, опис мережевого програми, різних служб, політики безпеки.


Directory Service (служба каталогів) – це складене поняття, що означає як власне сховище даних, так і служби, що забезпечують доступ до інформації, що зберігається з боку користувачів і додатків. Існує кілька варіантів служби Directory Services і, відповідно, кілька її «авторів». Directory Services від Microsoft і від Novell, AD і Novell Directory Services (NDS) – це приклад реалізації служби каталогів загального призначення, яку виробники програмного забезпечення включають до складу своїх мережевих операційних систем. Вони проектуються відповідно до вимог до багатоцільовим каталогами, працювати з якими можуть і користувачі операційної системи, і додатки, і драйвери пристроїв. При цьому деякі програми мають і свої власні структури для зберігання даних. До них відносяться додатки типу Enterprise Resource Planning (ERP), Human Resources (HR), а також поштові системи (наприклад, Microsoft Exchange Server).


Чому поняття «каталог» (в даному контексті) приділяється так багато уваги? Справа в тому, що структури каталогу реалізують центральний репозитарій, сховище для всіх принципово важливих даних загальномережевого масштабу, в тому числі відомостей про облікові записи користувачів; даних про мережеві станціях, принтерах, додатках (наприклад, HR-базі даних); даних про безпеку та політиці конфігурації системи. Відомостями, містяться в центральному сховищі, скажімо в AD, можна скористатися для консолідації найбільш важливих даних в єдиний мережевий ресурс загального доступу. Такий підхід істотно підвищує ефективність роботи організації, а також знижує вартість володіння та експлуатації мережевих пристроїв.


Незважаючи на те що централізація і консолідація даних – це ключова перевага при використанні Directory Services, подібна функціональність є і одне з найбільш слабких місць в самій концепції Directory Services. Централізація життєво важливої ​​інформації неминуче знижує стійкість мережі до збоїв, а значить, збільшує ризик можливих втрат під час простою. Таким чином, відома частка зусиль, спрямованих на моніторинг мережі, повинна бути зосереджена на AD та її компонентах.


Як правило, переваги розгортання служби AD і є для великих замовників достатнім аргументом для переходу на використання систем Windows 2000. З появою AD нарешті було вирішено питання про способи підтримки великих і глобальних мереж. Незважаючи на те що до моменту випуску AD на ринку програмного забезпечення вже існували цілком працездатні рішення (скажімо, StreetTalk від Banyan і NDS від Novell), багато організацій, орієнтовані в основному на продукцію Microsoft і, зокрема, використання систем Windows NT, вважали за краще дочекатися виходу саме AD як основи для подальшого розвитку своїх мереж.


Хостинг AD ​​реалізується на одному або декількох контролерах домену, представлених серверами Windows 2000. Ці контролери регулярно обмінюються інформацією про зміни в базі даних AD в режимі MultiMaster (Режим декількох основних контролерів домена), гарантуючи тим самим більш високу надійність як самого каталогу, так і мережі в цілому. Сценарій реплікації даних в зазначеному режимі має на увазі, що одночасно виконується безліч операцій читання і запису в базі даних і від різних контролерів. Такий підхід відрізняється від прийнятого в мережі Windows NT режиму SingleMaster, де топологія реплікації складається з основного і допоміжних контролерів (PDC і BDC, відповідно), причому PDC зберігає основну копію бази даних, в яку тільки він має право записувати інформацію. Для забезпечення додаткового рівня безпеки при поводженні до мережевих об’єктів і службам, що зберігаються в центральному репозитарії, в AD передбачений спеціальний механізм безпечного доступу в формі списків контролю доступу (DACL). Служба AD використовує списки DACL стосовно до об’єктів бази каталогу для запобігання несанкціонованого доступу до них.


З точки зору фізичної реалізації служба AD використовує для зберігання даних технологію Extensible Storage Engine (ESE), розроблену в компанії Microsoft. До речі, такий продукт, як Exchange Server, теж використовує технологію ESE. Подібно Exchange Server база даних AD «користується послугами» файлів транзакцій для підтримки цілісності бази даних у разі виникнення всіляких нештатних ситуацій (Наприклад, при відключенні живлення), аналізуючи успішно завершені транзакції. Так само, як і Exchange Server, служба AD здатна обслуговувати базу даних в оперативному режимі і виконувати дефрагментацію бази.


AD – це база даних, так що кожен контролер доменаWindows 2000 фактично є сервером бази даних особливої ​​важливості. Отже, адміністратору мережі слід «облаштувати» свої контролери домену Windows 2000 з точки зору забезпечення відмовостійкості з не меншим запалом, ніж при розгортанні звичайного сервера бази даних. Т. е. необхідно виконати резервування дискової підсистеми, розробити схему загальносистемного резервування даних, забезпечити захист харчування, а також планувати режим завантаження сервера.


Незважаючи на те що інтерфейс управління AD і бібліотеки API приховують «будівельні блоки», з яких сформована служба каталогів, майбутнім адміністраторам Windows 2000 необхідно мати уявлення про принципах побудови AD. Наприклад, всі томи контролерів домену, які забезпечують хостинг файлу бази даних AD і журналам транзакцій, повинні забезпечувати адекватний рівень вільного дискового простору в кожен момент часу. Крім того, адміністратор системи повинен бути завжди впевнений у відсутності високого ступеня фрагментації бази даних AD. Нарешті, адміністратору потрібні інструменти, які дозволяють постійно відстежувати стан служб і компонентів, що формують AD, що рівносильно спостереження за роботою мережі Windows 2000.

DNS: ворота в AD

Протокол TCP / IP в мережі Windows 2000 грає істотно більшу роль, ніж в попередніх версіях NT. Так, Windows 2000 продовжує підтримувати використання таких протоколів, як IPX і NetBEUI, але переважна більшість внутрішніх механізмів Windows 2000, включаючи AD, засноване на транспорті TCP / IP. У мережах, де реалізована служба AD, як і у всіх інших мережах, що використовують протокол TCP / IP, важливе місце займає служба дозволу імен. Та область імен, в межах якої відповідна мережева служба в змозі вирішити зазначену задачу, називається простором імен (namespace). У мережах NT це була перш за все область імен NetBIOS, а сервери WINS в основному вирішували завдання встановлення відповідності між мережним ім’ям та IP-адресою. Для мережі Windows 2000 простір імен NetBIOS вже не є основним, воно замінено на імена DNS. Як і в AD, в DNS застосовується ієрархічний принцип побудови імен і використовується поняття домена, хоча в контексті DNS домени представляють собою щось інше, ніж в AD.


В принципі, простір імен DNS можна підключити для пошуку відповідності імен адресами IP і в мережах NT, але це має сенс в основному в гетерогенних середовищах або у сфері Internet-додатків. Стосовно до AD функції DNS-сервера грають принципово важливу роль. Крім заміни простору імен NetBIOS як основного простору імен для Windows 2000, розробники Microsoft спроектували домени Windows 2000 з урахуванням стандартів іменування, прийнятих в DNS. При цьому імена доменів AD безпосередньо відображаються в простір імен DNS. Разом з тим, компанії, які відповідно до рекомендацій Microsoft використовують роздільні конфігурації DNS для внутрішньої (LAN) і зовнішньої (Internet) мережі, можуть зіткнутися з дублюванням назв. І нарешті, для Windows 2000 служба DNS, крім сказаного вище, виконує роль служби виявлення – locator service, – прийнятої за замовчуванням. Саме ця служба використовується операційною системою для конвертації імен доменів AD, вузлів і назв різноманітних служб у відповідні IP-адреси.


Хоча простору імен AD і DNS в мережі Windows 2000 абсолютно ідентичні в тому, що стосується імен доменів, в усьому іншому вони унікальні, і Windows 2000 використовує ці простори для різних цілей. Так, база даних DNS містить відомості про домени і спеціальні записи (наприклад, IP-адреси хостів, А-записи, SRV-записи, MX-записи) зонних файлів DNS того чи іншого домену. Служба AD, з іншого боку, зберігає відомості про різні об’єкти, включаючи домени, організаційні одиниці – organizational unit (OU), користувачів, комп’ютери та групові політики.


Далі. DNS і AD об’єднує і те, що інформація серверів DNS на базі Windows 2000, що міститься в зонних файлах, зберігається безпосередньо всередині AD, а не в текстових файлах. І хоча DNS функціонально не залежить від AD, та все ж впливає на роботу DNS.


У Windows 2000 реалізована підтримка динамічної DNS (DDNS, опис якої наводиться в IETF RFC 2136). Це дає можливість клієнтам, «розуміючим» AD, успішно локалізувати такі важливі мережеві ресурси, як, наприклад, контролери доменів, за допомогою спеціальних ресурсних записів, званих SRV-записами. Це означає, що акуратне ведення SRV-записів життєво важливо для правильного функціонування мережі Windows 2000 і підтримання готовності систем і служб, на які ці записи посилаються. Після того як AD-клієнти скористаються SRV-записами DNS для локалізації контролера домену, клієнт звертається по протоколу Lightweight Directory Access Protocol (LDAP) до контролера домену із запитом на предмет дозволу імен об’єктів служби каталогів по відповідним їм записів.

Глобальний каталог – GS

Служба AD є центральним компонентом мережі Windows 2000, тому запити до AD від мережевих клієнтів і серверів направляються досить часто. Для підвищення готовності бази даних AD в масштабах всієї мережі та ефективності обслуговування клієнтських запитів, адресованих до об’єктів AD, в складі Windows 2000 реалізована служба, названа глобальним каталогом – Global Catalog (GC). Глобальний каталог являє собою самостійну базу даних, окрему від AD, в якій містяться індекси часто запитуваних атрибутів основних об’єктів AD. Сервером GC може бути тільки контролер домену на базі Windows 2000. У кожному лісі Windows 2000 має бути принаймні один GC-сервер, і за замовчуванням найперший встановлений в лісі Windows 2000 контролер домену буде грати роль GC-сервера. Згодом можна перемістити службу глобального каталогу на інший контролер домена. Як і AD, сервер GC застосовує техніку реплікації для оновлення вмісту різних GC-серверів в домені або лісі Windows 2000. На додаток до названої функції – зберігання основних об’єктів AD і відповідних їм атрибутів – GC-сервер забезпечує мережеву реєстрацію клієнтів, а також пошук по дереву каталогів та обробку запитів.


Якщо при створенні домену Windows 2000 встановлений режим Native (тобто всі контролери домену є серверами Windows 2000, і адміністратор явно вказав цей режим), то сервер GC надає AD-клієнтам під час реєстрації в мережі певні переваги. Служба глобального каталогу підтримує роботу з інформацією про належність тієї чи іншої облікового запису до так званої універсальної групі – universal group – для обробки запитів клієнтів на реєстрацію. GC-сервер надає ці послуги не тільки рядовим користувачам, але й взагалі для будь-якого типу об’єкта, якому потрібна ідентифікація в AD. У мережі з багатьма доменами щонайменше один контролер, що функціонує як GC-сервер, повинен бути доступний користувачам, щоб реєстрація в принципі була можливою. Інший приклад ситуації, коли необхідна наявність сервера GC: користувач спробував виконати реєстрацію, задавши своє UPN-ім’я (User Principal Name), відмінне від призначуваного системою за умовчанням. У тому випадку, коли GC-сервер недоступний, реєстрація можлива тільки на локальній станції. Правда, є один виняток: якщо користувач належить до групи Domain Administrators, йому не потрібний сервер GC для реєстрації в мережі.


Служба AD, обробляючи надійшли звернення, будь то пошук в каталозі або запит на обробку деякою інформацією, в першу чергу звертає увагу на запити, пов’язані з записом в базу даних, наприклад оновлення вмісту каталогу. Основна частка мережевого трафіку, пов’язаного з роботою AD в мережі Windows 2000, відноситься до запитів користувачів, адміністраторів та програм щодо пошуку об’єктів AD. Отже, ідея GC виявляється досить корисною в інфраструктурі Windows 2000, оскільки сервер GC дає клієнтам можливість швидко виконувати пошук в самих різних доменах лісу.


Змішана модель домену Windows 2000 – Mixed-mode – не вимагає сервера GC для здійснення процедури ідентифікації при мережевий реєстрації. Разом з тим, GC, як і раніше відіграє важливу роль в обробці запитів в каталозі і пошуку інформації в мережі, тому непогано було б у межах кожного вузла мережі встановити принаймні один сервер GC.

Майстер операцій – Operation Master

Центральне місце в організації мереж Windows 2000 і розгортанні AD займають питання, пов’язані з реплікацією інформації в режимі MultiMaster. Разом з тим, через потенційних колізій і конфліктів між декількома серверами при проведенні ряду мережевих операцій рівність ролей всіх учасників процесу реплікації – явище небажане. Для вирішення подібних проблем в Windows 2000 реалізований принцип закріплення за тим чи іншим комп’ютером ролі так званого майстра операцій (ще говорять про створення настроюваного майстра одиничної операції – Flexible Single Master Operation, FSMO). Кожен такий майстер несе відповідальність за обробку змін у певній галузі AD. Всього є п’ять майстер-ролей: Schema Master, Domain Naming Master, PDC Emulator, Relative Identifier (RID) Master і Infrastructure Master. Перші дві ролі є специфічними для роботи на рівні лісу, в той час як інші три призначені для роботи всередині домену. Сама операційна система Windows 2000 автоматично вибирає сервери для виконання тієї чи іншої майстер-ролі в процесі створення кожного нового лісу AD та домену.


Schema master. Контролер домену Windows 2000, за яким закріплена роль Schema Master, відповідає за всі оновлення та модифікації схеми AD на рівні лісу. Нагадаю, що схема описує типи об’єктів, які можуть зберігатися в AD, і їх атрибути. Модифікувати схему ліси можуть лише члени групи Administrators, причому тільки з консолі сервера Schema Master.


Domain naming master. Контролер домену Windows 2000, на який покладено виконання ролі Domain Naming Master, відповідає за внесення змін до простір імен домену AD на рівні лісу. Тільки з консолі даного сервера можна виконувати внесення домену в ієрархію каталогу (або видалення його), а також додавати або видаляти посилання до доменів в зовнішніх каталогах.


PDC Emulator. Якщо в складі домена Windows 2000 є клієнти, які не «розуміють» службу AD, або має місце змішана (Mixed-mode) модель домену, що містить BDC – резервні контролери домену NT, то сервер PDC Emulator виступає для NT-клієнтів як основний (PDC) контролер домену. Крім функції реплікації частини вмісту каталога, яка сумісна з NT, на всі резервні (BDC) контролери домена, емулятор PDC виконує синхронізацію часу в мережі, блокування облікових записів і зміна паролів клієнтів.


RID master. Сервер в ролі RID-майстри формує ідентифікаційну послідовність для контролерів свого домену. Коли б контролер домену Windows 2000 ні створював той чи інший об’єкт, ідентифікатор безпеки (SID) останнього повинен бути унікальним. Абсолютний SID об’єкта формується з двох частин: ідентифікатора безпеки домена (незмінного в рамках домену) і відносного ідентифікатора безпеки об’єкта (RID). Коли контролер домену повністю вибирає внутрішній пул відносних ідентифікаторів RID, він видає запит в пул сусіднього RID-майстра.


Infrastructure master. При зверненні до об’єкта іншого домену використовуються три ідентифікатора: глобальний унікальний ідентифікатор (GUID), знайомий нам SID і відмітна ім’я – Distinguished Name (DN) – того об’єкта, на який здійснюється посилання. Завдання поновлення SID і DN об’єкта при міждоменної зверненнях покладено на контролер домену, виконуючого роль Infrastructure Master. Крім того, цей же контролер займається оновленням всіх міждоменної посилань (інакше кажучи, коли адміністратор перейменовує або змінює склад групи, саме сервер Infrastructure Master оновлює посилання типу група-користувач). І, нарешті, Infrastructure Master використовує реплікацію в режимі MultiMaster для поширення внесених змін.


Майстри операцій відіграють ключову роль в мережі Windows 2000, тому дуже важливо, щоб ці сервери завжди були доступні. Загальномережним проблеми можуть стати причиною недоступності мережевих служб і порушень цілісності бази даних AD: наприклад, збій в роботі RID-майстра зробить неможливим виділення відносного ідентифікатора безпеки RID новостворюваним об’єктам AD.

Моніторинг в Windows 2000

Мережі Windows 2000 з підтримкою AD мають ряд нових і дуже важливих інфраструктурних компонентів, які в колишніх версіях NT були відсутні. Як результат цього нововведення, для того щоб переконатися в доступності експлуатованих систем на базі Windows 2000, адміністраторам мережі доведеться враховувати нові компоненти в процесі щоденного моніторингу мережі. В Таблиці 1 перераховані потенційні проблеми, пов’язані з компонентами і мережевими службами, які потребують регулярного моніторингу. Адміністратор може розгорнути кілька програмних комплексів мережевого управління і використовувати набір різних технічних прийомів для забезпечення нормальної роботи ввіреній йому мережі.


Основний об’єкт моніторингу в середовищі Windows 2000 – це AD і всі пов’язані з нею служби і компоненти. Цей процес включає аналіз реакції на запити до DNS і LDAP, моніторинг реплікації всередині вузла і між різними вузлами і аналіз роботи служби Knowledge Consistency Checker (KCC). Звичайно, стан і коефіцієнт готовності таких служб, як DNS, GC і DFS, також мають стати предметом турботи мережевого адміністратора.


Зауважимо, проте, що знання метрик, значення яких потрібно відслідковувати, – це лише перший крок. Найбільш важливий і складний аспект при проведенні моніторингу стану мережі та її характеристик продуктивності полягає не в тому, щоб з’ясувати – що контролювати, а в тому, як використовувати зібрані дані про численні характеристиках для осмисленого висновку про стан мережі. Наприклад, можна використовувати програму Performance Monitor для збору даних про процес реплікації бази AD, але просто володіння накопиченої інформацією зовсім не означає, що вона буде автоматично адекватно інтерпретована або будуть знайдені межі допустимих значень параметрів.

Допомога з боку

Я настійно рекомендую адміністраторам, зайнятим превентивним моніторингом своєї мережі, зробити деякі інвестиції в розгортання наявних систем мережевого моніторингу. Цінність таких систем полягає не тільки в накопиченні інформації, а й у тому, що вони мають у своєму розпорядженні базою даних для ідентифікації мережевих проблем. Раджу звернути увагу на програмні комплекси з такими елементами, як можливість оповіщення про ті чи інші події та моніторингу змін в базі даних AD. Кращі з цих рішень спроектовані таким чином, що не сповільнюють роботу мережі, містять базу знань технічної підтримки, а також мають розширену функціональність за рахунок можливості укласти угоду щодо проблемної тематики.


Рішення проблем. У багатьох продуктах незалежних компаній автоматично підтримуються механізми прийняття рішень для виконання коригувальних дій при ідентифікації тієї чи іншої проблеми. Скажімо, можна налаштувати програмне забезпечення на виконання перезапуску служби, якщо з’ясовується, що та «зависла». Для вирішення цих завдань у багатьох утилітах використовується технологія складання сценаріїв або ж виклику зовнішніх програм.


Складні програмні пакети мережевого моніторингу засновані на системі правил, сформульованих у внутрішній базі даних або ж на складному алгоритмі обробки проблемних ситуацій, який повинен змоделювати дії адміністратора мережі. Наприклад, можна настроїти деякі утиліти незалежних виробників наступним чином: в найперший раз при виявленні зависання перезапустити проблемну службу; перезапустити комп’ютер, якщо перезапуск служби не допомагає, нарешті, якщо рестарт основної системи нічого не дає, запустити резервну систему. Вибираючи утиліти, що володіють функціями прийняття рішення, потрібно звертати увагу на ті, які надають в розпорядження адміністратора мережі зручні засоби створення сценаріїв або володіють можливостями додаткової настройки і запуску заходів по прийняття рішень.


Режими оповіщення. Добротно зроблена програмне забезпечення мережевого моніторингу надає адміністратора можливість вибору режимів оповіщення – виведення повідомлень на консоль, звичних спливаючих повідомлень, записів у системні журнали, розсилки повідомлень по електронній пошті або на пейджер, повідомлень по SNMP. Можна навіть відшукати системи моніторингу, що мають загальний інтерфейс з деякими популярними пакетами мережевого менеджменту. Детальніше про такі програми моніторингу розказано в урізанні «Програмні засоби мережевого моніторингу Windows 2000».


Функція відстеження змін в базі даних AD. Крім функцій стеження і пошуку несправностей в мережевій інфраструктурі Windows 2000, система моніторингу надає можливість відстежувати і проводити аудит внесених змін – зокрема в AD. Існують організації, в яких щодня десятки і навіть сотні адміністраторів можуть своїми діями вносити зміни в AD: додавати об’єкти типу OU, створювати користувачів, групи, принтери, описувати нові групові політики. Щоб утримати ситуацію під контролем, в таких організаціях необхідно розгорнути систему, здатну ідентифікувати самі останні з внесених в об’єкти AD змін, встановлювати список осіб, які зробили ці зміни, і час їх появи в базі даних AD. Наприклад, при необхідності відстежити історію змін у схемі, OU-об’єктах, контактах, комп’ютерах, принтерах, а також проведені заходи щодо відновлення каталогу (тобто фактами запуску процедури Directory Services Restore Mode на якомусь контролері домену). Якщо вибрана система моніторингу дозволяє це зробити, слід розглянути питання про щоденне складанні звіту про подібну активності і взяти за правило перегляд звітів з частотою, достатньою для своєчасного виявлення потенційних проблем.


Архітектура продукту. Важливе значення при виборі системи мережевого моніторингу для організації має архітектура програмного продукту. Потрібно знати, як саме здійснюється збір даних і як вплине процес збору інформації на роботу мережі і серверів. Чи встановлюються локальні агенти для отримання значень необхідних параметрів роботи або ж має місце запит до віддаленої системи? Чи достатньо збирається даних для контролю за смугою пропускання мережі і використанням системних ресурсів? Чи враховуються в архітектурі продукту особливості ієрархії мережі за схемою станції / вузол / домен, чи коректно при цьому пересилаються дані в центральний репозитарій моніторингу? Чи підтримує продукт Web-управління? Все це може вплинути на робочі характеристики мережного середовища і ступінь відповідності обраної системи моніторингу потребам організації.


Підтримка бази знань. Ще один критерій вибору тієї чи іншої системи моніторингу – чи забезпечує програмне забезпечення підтримку вбудованої бази знань при вирішенні основних мережевих проблем і пропонуються при цьому готові рішення. Володіти такою інформацією необхідно і з технічної, і з фінансової точки зору, оскільки це скорочує час підготовки технічного персоналу і економить час адміністраторів. Деякі утиліти доповнюють вже наявну базу новими даними, піднімають якість моніторингу на більш високий рівень, створюючи тим самим всеосяжні системи прийняття рішень.


Угода на отримання сервісного обслуговування (SLA). Центри надання технічних послуг, які мають угоду на отримання сервісного обслуговування (SLA) з клієнтами або ж головними організаціями, можуть розглянути питання про розгортання програмного комплексу мережевого моніторингу. Відповідно до SLA-статусом функціональність придбаного продукту розширюється за рахунок можливості генерації оповіщень і звітів при виявленні підозрілих подій, входять в обумовлений в угоді SLA список.

Інструменти моніторингу

Знання життєво важливих елементів мережі Windows 2000, так само як і основних характеристик цієї операційної системи, які потребують регулярного моніторингу, дозволяє вибрати відповідний програмний комплекс. На ринку програмного забезпечення є величезна кількість програм, що забезпечують можливість проведення мережевого моніторингу. Однак можна перерахувати по пальцях ті з них, які в змозі здійснити обробку вищеперелічених компонентів Windows 2000. Більш детальна інформація міститься в урізанні «Програмні засоби мережевого моніторингу Windows 2000».


Якщо бюджет організації не дозволяє придбати інструмент для моніторингу виробництва незалежних компаній, не треба впадати у відчай. У самій операційній системі Windows 2000, в комплекті Windows 2000 Support Tools (пакет доступний для всіх версій Windows 2000 або може бути завантажений з сайту Microsoft), а також в Windows 2000 Resource Kit є набір утиліт, які можна задіяти для складання скромною, але цілком придатною для використання системи моніторингу мережі (в Таблиці 2 перераховані ці утиліти і вказано, де їх можна знайти).


При готовності витратити деякий час на створення власних сценаріїв завжди можна написати адміністративні процедури для доповнення можливостей утиліт Windows 2000 нескладними засобами автоматизації (Наприклад, складати розклад виконання завдань, які будуть регулярно опитувати стан операційних служб і робочих станцій; видавати запити з розгалуженою логікою, а також оцінювати одержувані відповіді). При бажанні можна навіть спробувати відтворити деяку функціональність, присутню в програмних продуктах вищого рівня.

Вдосконалюйте свій досвід

З виходом у світ витончено розробленої служби AD, операційна система Windows 2000 демонструє істотне просування вперед в еволюційному шляху розвитку мереж NT. Очевидно також, що Windows 2000 відкриває нову ступінь складності мережевої інфраструктури, яка вимагає від обслуговуючого персоналу нових знань та інструментів для адекватного моніторингу. Щоб якось полегшити тягар обслуговування мережі Windows 2000, є сенс розглянути використання програмного забезпечення для проведення мережевого моніторингу, яке б забезпечило аналіз аспектів роботи, характерних для нової операційної системи Windows 2000. При використанні в повсякденній роботі належним чином підібраних утиліт, адміністратори мережі отримають в своє розпорядження систему раннього оповіщення про можливі проблеми в мережі. Це знизить ризик втрати інформації через можливі простоїв в мережі і буде сприяти формуванню бази знань, яка примножить і поглибить знання обслуговуючого технічного персоналу.

Про автора

Шон Дейлі – Редактор журналу Windows NT Magazine і президент компанії iNTellinet Solutions, що займається консалтингом і мережевий інтеграцією. Має звання MCSE. Останньою з його книг була «Optimizing Windows NT», випущена видавництвом IDG Books. З ним можна зв’язатися за адресою електронної пошти: sean@ntsol.com.


Програмні засоби мережевого моніторингу Windows 2000.

AppManager Suite

OnePoint Operations Manager

NetIQ

www.netiq.com/

DirectoryAnalyzer

NetPro

www.netpro.com/

OpenView

OpenView Express

OpenView ManageX

Hewlett-Packard

www.openview.hp.com/

Unicenter TNG

NetworkIT

Computer Associates

www.cai.com/


Таблиця 1. Потенційні проблеми в роботі служб і компонентів Windows 2000.

Компоненти та служби Windows 2000 Потенційні проблеми
Контролери доменів (DC) і AD Контролери доменів відчувають дефіцит потужності процесора, об’єм встановленої пам’яті недостатній. Не вистачає вільного дискового простору томи, на якому розміщений каталог SYSVOL, файл бази даних AD (ntds.dit) або файл транзакцій AD. Наявність низької з’єднання або розрив зв’язку між контролерами домена (даного сайту або ж між кількома сайтами). Уповільнена реакція або збій при запиті аутентифікації клієнта в мережі. Уповільнена реакція або збій при запиті LDAP. Уповільнена реакція або збій при запиті Key Distribution Center (KDC). Уповільнена реакція або збій при запиті синхронізації AD. Служба Netlogon функціонує неправильно. Служба агента Directory service agent (DSA) функціонує неправильно. KCC функціонує неправильно. Занадто велике число SMB-з’єднань. Невдала відпрацювання запиту на виділення пам’яті майстром RID для локального сервера. Труднощі з встановленням транзитивних або зовнішніх довірчих відносин з доменами Windows 2000 або Windows NT. Низький коефіцієнт ефективного пошуку в кеші в процесі розпізнавання імен.
Реплікація Збій у процесі реплікації. Уповільнений процес реплікації. Реплицируемой топологія неправильна або неповна (тобто відсутні дані про транзитивної несуперечності). Реплікація проходить на тлі високого мережевого трафіку. У процесі реплікації було передано надмірно велика кількість властивостей. Збій при оновленні лічильника Update sequence number (USN). Критичні відмови, пов’язані з процесом реплікації.
GC Уповільнена реакція або збій при запиті GC. Збої під час реплікації GC.
DNS Невірні дані або їх відсутність у записах SRV контролерів домену. Уповільнена реакція або збій при зверненні до DNS. Збій при оновленні файлу зони сервера DNS.
Сервери Operation Master Недоступність одного або більше серверів Operation Master. Неузгодженість при виконанні ролей серверами Operation Master між контролерами домена всередині домену або в лісі. Уповільнена реакція або збій при зверненні до Operation Master.
Додаткові компоненти Проблеми з’єднання на низькому рівні. Проблеми маршрутизації трафіку TCP / IP. Брак пам’яті під пул адрес DHCP IP. Збій при реплікації або зверненні до сервера WINS (для успадкованих систем та програм, підтримують NetBIOS). Збій під час роботи програми або служби, проблеми продуктивності системи в цілому.

Повернутися


Таблиця 2. Програми моніторингу Windows 2000.

Утиліта Функція Де шукати
Performance Monitor (Perfmon.exe) Додаток моніторингу системи Windows 2000 і Windows NT. Перевіряє параметри практично кожного компонента операційної системи Windows 2000, а також багатьох додатків. Windows 2000 (всі версії)
Dcdiag.exe Утиліта командного рядка. Тестує статус контролера домену Windows 2000. Windows 2000 Support Tools*
Dsastat.exe Утиліта командного рядка. Порівнює дерева двох каталогів – або в складі AD або в складі GC – і гарантує коректність оновлень контролерів домену Windows 2000 або серверів GC. Windows 2000 Support Tools*
Replmon.exe Графічна утиліта. Тестує стан процесу реплікації AD на низькому рівні, переглядає топологію реплікації, ініціює синхронізацію каталогу. Windows 2000 Support Tools*
Repadmin.exe Утиліта командного рядка. Переглядає топологію реплікації, ініціює процедуру реплікації, надає можливість ручного модифікації топології реплікації. Windows 2000 Support Tools*
Nltest.exe Утиліта командного рядка. Тестує статус і виправляє помилки при установці довірчих відносин в мережах Windows 2000 і Windows NT. Windows 2000 Support Tools*
Dnscmd.exe Утиліта командного рядка. Виконує моніторинг та обслуговування серверів Windows 2000 DNS. Windows 2000 Support Tools*
* Утиліти Windows 2000 Support Tools знаходяться в каталозі \ support \ tools на компакт-диску Windows 2000 (для всіх версій Windows 2000).

Повернутися

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Трекбек і пінги

трекбеків / пінгів ще немає.

Відгуки

Дякую

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*