1、SCOM (OpsMgr ) 2007 R2 电子手册OpsMgr 应用之活动目录及拓扑监控 2009 年 6 月 CoreIO 技术专家 Leo Huang 目 录【1】实际环境 .3【2】域森林详细信息 .3【3】环境拓扑 .4【4】解决域控制器的监控状态呈灰色问题 .5HSLockdown 工具的使用 .6【5】监控实例 .10实例 1:服务故障监控 10实例 2:AD 拓扑视图 13实例 3:AD 及 DC 性能视图 -自定义 201)创建组 202)在“我的工作区 ”新建性能视图 .25【附】自定义拓扑视图 .32【1】实际环境【2】域森林详细信息: 的子域,域控制器:: 的子域
2、,域控制器: : 的子域,域控制器:: 的子域,域控制器: : 的子域,域控制器: : 的子域,域控制器: : 的子域,域控制器:: 森林中的第一个域,域控制器; : 的子域,域控制器: : 的子域,域控制器:: 森林中的新域树,域控制器 : 森林中的新域树,域控制器 【3】环境拓扑g z . c o r e i o . c o ms h . c o r e i o . c o md c 0 3d c 0 2p u b l i c . g z . c o r e i o . c o md c 0 5p r i v a t e . g z . c o r e i o . c o md
3、c 0 6b j . c o r e i o . c o md c 0 4s e a r c h . b j . c o r e i o . c o md c 1 0p u b . s h . c o r e i o . c o md c 0 7t r a d e . b j . c o r e i o . c o md c 0 9p r i v a . s h . c o r e i o . c o md c 0 8m s c o r e i o . c o md c 1 1c o n t o s o . c o md c 1 2c o r e i o . c o md c 0 1域森林【4
4、】解决域控制器的监控状态呈灰色问题我们常常发现在域控制器上安装 SCOM 代理后,域控制器的监控状态会显示为灰色。无论我们执行修复还是卸载客户端代理都无济于事。这里我将使用 HSLockdown 工具来解决这个问题。在执行域控制器监控时,首先要确保计算机监控状态是实时的。注 :HSLockdown 工具是在安装 SCOM 代理的时候安装的,默认路径在%Program Files%System Center Operations Manager 2007DC 视图-只有两台域控制器的健康状态是绿色的。包括 Essentia, Intersite Messaging , KDC, Netlogon
5、, NTFRS, SysVol, Win Time 等服务的监控状态都是灰色。HSLockdown 工具的使用在安装 SCOM 代理的域控制器上,点击开始,运行,输入 CMD输入(砖红色字体为命令)-$-cd C:Program FilesSystem Center Operations Manager 2007 回车 # #进入到安装文件夹#HSLockdown /L 回车 #显示 HSLockdown 的允许和禁止的账户列表,可见 NT AUTHORITY 帐号是被禁止的#HSLockdown ManagementGroupName /R “NT AUTHORITYSYSTEM” 回车 #
6、移除NT AUTHORITYSYSTEM 帐号;用真实的管理组名称替代 ManagementGroupName #Net Stop HealthService 回车 #关闭 HealthService 服务(也可以在服务控制台操作)#Net Start HealthService 回车 #启动 HealthService 服务#Exit 回车-$-在域控制器上执行这个命令后,显示监控状态会转为亮色。但问题是,如果我们需要一个可以快捷的方式来完成这个操作,比方说域控制器数量比较多的时候。那么我们可以尝试使用下面这个方法来完成。1) 新建记事本文件,在文本框中输入红色部分的内容cd C:Progr
7、am FilesSystem Center Operations Manager 2007 HSLockdown /LHSLockdown ManagementGroupName /R “NT AUTHORITYSYSTEM” #用真实的管理组名称替代 ManagementGroupName#HSLockdown ManagementGroupName /A #该步骤是添加新的允许帐户(可选)#Net Stop HealthService Net Start HealthService 2) 命名并保存该文件扩展名为 cmd 格式的 Windows 命令脚本。为了使用的方便可以把该脚本文件共
8、享到某个共享文档,这样可以方便直接访问该共享文档,然后双击执行就可以了。点击“运行”执行脚本命令这时脚本自动启动我们预定义的步骤来执行,移除 NT AUTHORITYSYSTEM 帐号-添加 omadmin 帐号,停止并重新启动 HealthService 服务,关闭命令提示符。当我们在所有的域控制器上执行完毕后,监控状态恢复为亮色。包括所有的服务状态也显示为亮色。【5】监控实例在众多的域控制器中,每个域控制器之间的连通性、用户的连接、森林里域信任关系保持、活动目录的几个重要的域服务、活动目录的日志、FSMO 角色状态,域控制器的各种性能在没有 SCOM 监控之下都是不可知的。物理实体的性能瓶
9、颈,信任关系的丢失,域配置信息的复制失败,活动目录服务的停止,远程域控故障维护不及时等等原因都会导致种种问题,比如用户登陆失败、组策略失败、用户无法识别等等。实例 1:服务故障监控在部署完 SCOM R2 并开始监控所有域及域控制器后,突然发现, 而这台域控制器可能在远程地点,如果不及时解决,可能会使得该分支机构的员工登陆失败或者身份验证失败。在 SCOM 管理控制台,右击出现状况的域控制器 ,选择“Health Explorer(健康状况资源管理器)for DC09”。在“Health Explorer(健康状况资源管理器)for DC09”功能框中,健康资源状态树会自动展现是哪个监控器报告
10、出了问题,这里可以看到是 NTFRS(文件复制系统)出了问题,右击该监视器,点击属性,定位到 Service Details(服务详细信息),定位到“Product Knowledge(产品知识) ”查看如何解决该问题。通过查看“Product Knowledge(产品知识) ”,得知远程的域控制器 的 NTFRS 服务意外停止,需要手动重启该服务。在下一步,我们可以在 SCOM R2 控制台的“操作”窗格执行使用远程命令提示符启动dc09 的 NtFrs 服务或者执行远程桌面在执行该命令(如果允许登陆) 。问题从发现到解决不到半分钟。实例 2:AD 拓扑视图在监视Microsoft Wind
11、ows Active Directory 文件夹下展开 Topology ViewsA. AD 森林拓扑视图展示森林的域树健康状况展示域及域控制器健康状况展示所有域及部分域控制器健康状况B. AD 站点视图展示站点个数和每个站点的健康状况展示站点个数和每个站点的健康状况,每个站点域控制器健康状况。深入到展现每台域控制器每台域控制器的服务健康状况,性能监控状况C. 连接对象视图展现站点间的连接健康状况展现站点间的连接健康状况以及每个站点域控制器连接健康状况实例 3:AD 及 DC 性能视图-自定义为了显示效果,这里采用自定义的方法来展现 AD 和 DC 性能视图1)创建组这里在 域树中有三个子
12、域:; ; , 每个子域各有两个子域。我们将以这三个子域为单位来创建三个组。进入到 Authoring(创作) 区,右击 Group,选择 Create a new Group.在该向导页输入友好的名称,可以输入恰当的描述,下一步。在改向导页,点击“Explicit Group Member(指定组成员)”中的 Add/Remove Object在”Search for”下拉框中选择 Windows Server,在 Filter by part of name 中输入这里我们可以添加搜索到的结果(支持多选), 这个比较直观,下面一步可供我们选择动态添加组成员,如果要选择动态添加成员,在这页里
13、可留空。选择动态添加成员,点击“Dynamic Inclusion Rules”中的 Create/Edit rules在 Query Builder(查询编辑器)功能框中, “Select the desired”下拉框选择“Windows Computer 或者 Windows Operating System”,再点击“Add” ,在下面的“Operator”中选择一项,这里我们选择“Match wildcard(匹配通配符) ”在 Value 中输入“*”,这样只要是 域的计算机会动态添加到该组。点击确定,可以看到建立好的查询规则 查看组成员,看规则是否生效所有 的域控制器都自动添
14、加到组中 依次建立其他两个组,三个组分别为:BJ DCSH DCGZ DC2)在“我的工作区”新建性能视图命名性能视图名称,选择“with specific object name(使用指定对象名称) ”前的复选框,在“Criteria description(标准描述) ”下点击 specific 输入 NTDS, 确定。选择“with specific counter name(使用指定计数器名称) ”前的复选框,在“Criteria description(标准描述) ”下点击 specific ,在 Counter Name 中输入 DRA% Bytes%, 确定。视图建立成功按此原理建立 BJ DC 和 SH DC 组的性能视图,然后在建立一个 Dashboard 视图后,把这三个组的性能视图归并到一个仪表盘中。域 站点之间复制性能视图分图域 站点之间复制性能视图分图域 站点之间复制性能视图分图。
