SCOM(R2)应用示例02-活动目录及森林拓扑监控

1、.;SCOM (OpsMgr ) 2007 R2 电子手册OpsMgr应用之活动目录及拓扑监控 2009年6月 CoreIO技术专家 Leo Huang 目 录 TOC o 1-3 h z u HYPERLINK l _Toc233117572 【1】实际环境 PAGEREF _Toc233117572 h 3 HYPERLINK l _Toc233117573 【2】域森林详细信息 PAGEREF _Toc233117573 h 3 HYPERLINK l _Toc233117574 【3】环境拓扑 PAGEREF _Toc233117574 h 4 HYPERLINK l _Toc2331

2、17575 【4】解决域控制器的监控状态呈灰色问题 PAGEREF _Toc233117575 h 5 HYPERLINK l _Toc233117576 HSLockdown工具的使用 PAGEREF _Toc233117576 h 6 HYPERLINK l _Toc233117577 【5】监控实例 PAGEREF _Toc233117577 h 10 HYPERLINK l _Toc233117578 实例1：服务故障监控 PAGEREF _Toc233117578 h 10 HYPERLINK l _Toc233117579 实例2：AD 拓扑视图 PAGEREF _Toc23311

3、7579 h 13 HYPERLINK l _Toc233117580 实例3：AD 及DC性能视图-自定义 PAGEREF _Toc233117580 h 20 HYPERLINK l _Toc233117581 1）创建组 PAGEREF _Toc233117581 h 20 HYPERLINK l _Toc233117582 2）在“我的工作区”新建性能视图 PAGEREF _Toc233117582 h 25 HYPERLINK l _Toc233117583 【附】自定义拓扑视图 PAGEREF _Toc233117583 h 32【1】实际环境【2】域森林详细信息: 森林中的第一个

4、域，域控制器; : 的子域，域控制器：: 的子域，域控制器：: 的子域，域控制器：: 的子域，域控制器：: 的子域，域控制器： : 的子域，域控制器： : 的子域，域控制器：: 的子域，域控制器：: 的子域，域控制器：: 森林中的新域树，域控制器 : 森林中的新域树，域控制器 【3】环境拓扑【4】解决域控制器的监控状态呈灰色问题我们常常发现在域控制器上安装SCOM代理后，域控制器的监控状态会显示为灰色。无论我们执行修复还是卸载客户端代理都无济于事。这里我将使用HSLockdown工具来解决这个问题。在执行域控制器监控时，首先要确保计算机监控状态是实时的。注 ：HSLockdown工具是在安装S

5、COM 代理的时候安装的，默认路径在%Program Files%System Center Operations Manager 2007DC视图-只有两台域控制器的健康状态是绿色的。包括Essentia, Intersite Messaging , KDC, Netlogon, NTFRS, SysVol, Win Time等服务的监控状态都是灰色。HSLockdown工具的使用在安装SCOM 代理的域控制器上，点击开始，运行，输入CMD输入（砖红色字体为命令）-$-cd C:Program FilesSystem Center Operations Manager 2007 回车 # #

6、进入到安装文件夹#HSLockdown /L回车 #显示HSLockdown的允许和禁止的账户列表，可见NT AUTHORITY帐号是被禁止的#HSLockdown ManagementGroupName /R “NT AUTHORITYSYSTEM” 回车 #移除NT AUTHORITYSYSTEM帐号；用真实的管理组名称替代ManagementGroupName #Net Stop HealthService 回车 #关闭HealthService服务（也可以在服务控制台操作）#Net Start HealthService 回车 #启动HealthService服务#Exit 回车-$-

7、在域控制器上执行这个命令后，显示监控状态会转为亮色。但问题是，如果我们需要一个可以快捷的方式来完成这个操作，比方说域控制器数量比较多的时候。那么我们可以尝试使用下面这个方法来完成。新建记事本文件，在文本框中输入红色部分的内容cd C:Program FilesSystem Center Operations Manager 2007 HSLockdown /LHSLockdown ManagementGroupName /R “NT AUTHORITYSYSTEM” #用真实的管理组名称替代ManagementGroupName#HSLockdown ManagementGroupName /

8、A #该步骤是添加新的允许帐户（可选）#Net Stop HealthService Net Start HealthService 命名并保存该文件扩展名为cmd格式的Windows命令脚本。为了使用的方便可以把该脚本文件共享到某个共享文档，这样可以方便直接访问该共享文档，然后双击执行就可以了。点击“运行”执行脚本命令这时脚本自动启动我们预定义的步骤来执行，移除NT AUTHORITYSYSTEM帐号-添加omadmin帐号，停止并重新启动HealthService服务，关闭命令提示符。当我们在所有的域控制器上执行完毕后，监控状态恢复为亮色。包括所有的服务状态也显示为亮色。【5】监控实例在众

9、多的域控制器中，每个域控制器之间的连通性、用户的连接、森林里域信任关系保持、活动目录的几个重要的域服务、活动目录的日志、FSMO角色状态，域控制器的各种性能在没有SCOM监控之下都是不可知的。物理实体的性能瓶颈，信任关系的丢失，域配置信息的复制失败，活动目录服务的停止，远程域控故障维护不及时等等原因都会导致种种问题，比如用户登陆失败、组策略失败、用户无法识别等等。实例1：服务故障监控在部署完SCOM R2并开始监控所有域及域控制器后，突然发现, 而这台域控制器可能在远程地点，如果不及时解决，可能会使得该分支机构的员工登陆失败或者身份验证失败。在SCOM 管理控制台，右击出现状况的域控制器，选择

10、“Health Explorer（健康状况资源管理器）for DC09”。在“Health Explorer（健康状况资源管理器）for DC09”功能框中，健康资源状态树会自动展现是哪个监控器报告出了问题，这里可以看到是NTFRS(文件复制系统)出了问题，右击该监视器，点击属性，定位到Service Details(服务详细信息)，定位到“Product Knowledge（产品知识）”查看如何解决该问题。通过查看“Product Knowledge（产品知识）”，得知远程的域控制器的NTFRS服务意外停止，需要手动重启该服务。在下一步，我们可以在SCOM R2控制台的“操作”窗格执行使用远

11、程命令提示符启动dc09的NtFrs服务或者执行远程桌面在执行该命令（如果允许登陆）。问题从发现到解决不到半分钟。实例2：AD 拓扑视图在监视Microsoft Windows Active Directory 文件夹下展开Topology ViewsAD森林拓扑视图展示森林的域树健康状况展示域及域控制器健康状况展示所有域及部分域控制器健康状况AD 站点视图展示站点个数和每个站点的健康状况展示站点个数和每个站点的健康状况，每个站点域控制器健康状况。深入到展现每台域控制器每台域控制器的服务健康状况，性能监控状况连接对象视图展现站点间的连接健康状况展现站点间的连接健康状况以及每个站点域控制器连接健

12、康状况实例3：AD 及DC性能视图-自定义为了显示效果，这里采用自定义的方法来展现AD和DC性能视图1）创建组这里在域树中有三个子域：; ; , 每个子域各有两个子域。我们将以这三个子域为单位来创建三个组。进入到Authoring(创作)区，右击Group，选择Create a new Group.在该向导页输入友好的名称，可以输入恰当的描述，下一步。在改向导页，点击“Explicit Group Member(指定组成员)”中的Add/Remove Object在”Search for”下拉框中选择Windows Server,在 Filter by part of name中输入这里我们可

13、以添加搜索到的结果(支持多选), 这个比较直观，下面一步可供我们选择动态添加组成员，如果要选择动态添加成员，在这页里可留空。选择动态添加成员，点击“Dynamic Inclusion Rules”中的Create/Edit rules在Query Builder（查询编辑器）功能框中，“Select the desired”下拉框选择“Windows Computer或者Windows Operating System”，再点击“Add”，在下面的“Operator”中选择一项，这里我们选择“Match wildcard（匹配通配符）”在Value中输入“*”,这样只要是域的计算机会动态添加到

14、该组。点击确定，可以看到建立好的查询规则 查看组成员，看规则是否生效所有的域控制器都自动添加到组中 依次建立其他两个组，三个组分别为：BJ DCSH DCGZ DC2）在“我的工作区”新建性能视图命名性能视图名称，选择“with specific object name（使用指定对象名称）”前的复选框，在“Criteria description（标准描述）”下点击specific输入NTDS, 确定。选择“with specific counter name（使用指定计数器名称）”前的复选框，在“Criteria description（标准描述）”下点击specific ，在Counter Name中输入DRA% Bytes%, 确定。视图建立成功按此原理建立BJ DC和SH DC 组的性能视图，然后在建立一个Dashboard视图后，把这三个组的性能视图归并到一个仪表盘中。域站点之间复制性能视图分图域站点之间复制性能视图分图域站点之间复制性能视图分图。归并后的仪表盘视图【附】自定义拓扑视图进入到 “My Workspace（我的工作区）” ，右击“My Favorite View”新建“Diagram View”，输入名称，如”AD总拓扑视图”在Choose Target下，点击“Brow