Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Basi di dati

Come gestire AD con successo Tips And Tricks

Come gestire AD con successo
Tips And Tricks
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Controllo delle prestazioni
 Usare serie storiche di dati di prestazione per
 Risolvere problemi
 Fare pianificazione di capacità
 Consolidare DC
 Fare nuove installazioni
 Non avere DC con carichi costanti di CPU
superiori al 60%
 Abilitare i contatori del DB e tracciare contatori
quali “cache size”
 Trick poco noto:
 Perfmon in XP e Win2003 può scrivere dati
direttamente in SQL.
 Può anche leggere i dati direttamente da SQL e
mostrarli nell’interfaccia grafica.
Demo:
Log di Perfmon direttamente in SQL/MSDE
Controllo delle prestazioni
 Eseguire Server Performance Advisor
periodicamente
 Verificare alert e warning nella pagina dei
sommari
 Raccogliere fotografie giornaliere delle
performance durante periodi di carico (es.
10:00 am)
 Salvare i dati per analisi di tendenza
 Disponibile a
http://www.microsoft.com/downloads/details.aspx?FamilyID=61a41d7
8-e4aa-47b9-901b-cf85da075a73&displaylang=en
Demo
Server Performance Advisor
Scenari di sovraccarico del PDC
 Diversi componenti caricano il server con ruolo
PDC
 Domain Distributed File System (DFS) e client
Windows NT 4.0 SP6
 Registrazione del PDC in WINS
 Ordinare la lista dei domini 1C restituita dai WINS
 Alcune versioni di object picker si rivolgono solo al
PDC
 Pass-through authentication verso il PDC
 In piccole installazioni questo non è molto
importante
Pass-through Authentication
 Modifiche di password fatte su non-PDC sono girate al
PDC
 Fallimenti di password sono girate al PDC per validazione
 Account di servizi con password scadute costantemente
riprovano
 È disponibile una negative cache
 Netlogon sul DC locale mette in cache i forward delle password
errate
 Diventa attiva dopo dieci tentativi
 Sono salvabili 50 entri nella negative cache
 Le successive password scadute non sono girate al PDC
 Log di Netlogon:
Nltest /dbflag:2080ffff
crea Netlogon.log e Netlogon.bak in %systemroot%\debug
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Controllo generale
 Enorme quantità di dati nei log
 Meglio avere un sistema di controllo\avviso
in tempo reale (es. MOM2005)
 Tracciare gli eventi di avvio e verificare gli
eventi 6008 “shutdown sporchi”
 6008 ci può indicare riavvii periodici per blue
screen o problemi hardware
 Incrementare la dimensione degli event log a
50 Mb per log (Application, System, DS,
DNS)
Controllo generale
 Impostare* “Field
Engineering” per
tracciare ricerche
onerose
 0x4: Un evento
registrato ad ogni
Online Defrag
 0x5: Un evento
registrato ogni volta
una ricerca è
considerata
“dispendiosa” o
“inefficiente”
 Q314980 per
maggiori dettagli
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Repliche
 Lascia che il Knowledge Consistency Checker
gestisca il tuo ambiente di replica (ISTG)
 Le migliorie dell’algoritmo in Windows Server 2003
dovrebbe rendere inutile l’uso di connessioni manuali
 Usa la potenza di siti e subnet per controllare
granularmente le repliche
 Se è necessario segmentare il traffico dei DC
usare sottoreti /32 (1 host) per assegnare
specifici server e DC a specifici siti
 Specialmente utile per siti Exchange dedicati
Repliche
 Usare il nuovo switch di Repadmin per
avere una rapida fotografia della salute
delle repliche
 Repadmin /replsum
Demo
Nuovi switch di repadmin
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Risoluzione dei nomi
 Se il PDC è sotto carico…
 Mascherarlo nei WINS e DNS

WINS: impostare “Prepend1BTo1CQueries” come in Q269424
• Evita che i WINS aggiungano il record 0x1B (PDC) all’inizio
della lista dei record 0x1C (domini).


DNS: modificare priorità e peso in DNS così che il PDC venga
“scoperto” solo dopo 296716 query DNS
LdapSrvWeight e LdapSrvPriority sono le voci di registry che possono
mascherare il PDC (da impostare su ogni DC)
• Attenzione: può essere necessario fermare il servizio
Netlogon per più di un’ora per mandare in time out i client
 I client che cercano specificamente il PDC lo troveranno
DNS
 Altamente raccomandato integrare le zone in AD
 Far puntare i DC a se stessi nella configurazione
TCP/IP (island problem risolto)
 Assicurarsi di usare le nuove application partition
Attenzione che negli upgrade 2000  2003 non
sono usate per default
 Sopprimere gli update multipli dello stesso record
 Abilitare lo scavenging per ridurre il numero di
record in lingering
 Tip: impostare l’intervallo di scavenging ad un periodo
pari al normale periodo di chiusura +3 giorni
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
File Replication Service (FRS)
 Motore di replica multi-master
 SYSVOL sui DC
 Porzione su file system delle GPO
 Script di logon e vecchie policy
 DFS
 Share di distribuzione delle applicazioni
 Contenuti in read only (doc, specifiche, contenuti Web)
 Controllare gli USN nel journal del driver NTFS 5.0




File chiusi nelle directory replicate di FRS
Change orders = unità di replica
File di staging files costruiti e spediti per ogni change order
Transazione salvata in database jet
File Replication Service (FRS)
 Installare ultrasound per controllare FRS
 Verificare le violazioni di share.
 Sono il problema più comune
 Di solito causate da errati diritti in SYSVOL
 Controllare la presenza di nomi di file/folder
distorti
 Controllare ultrasound e verificare che non ci
siano più di dieci VVJOINS ad ogni istante
 VVJOINs si verifica quando una nuova
Connection Object è creata
Demo
Controllare FRS con ultrasound
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Il database di AD
 Controllare le dimensioni del file .DIT
 Con scripts, event logs
 Impostare “Garbage Collection” in registry
 Log di # record e spazi bianchi.
 Eventi generati ad ogni Online Defrag (ogni 8 ore
per default).
 Voce di registry sotto NTDS\Diagnostics
 Controllare l’ammontare dello spazio
bianco. Se >33% del totale, considerare di
fare offline defrag
Active Directory Database
 Standardizzare dischi per DIT e LOG su
ogni DC
 Es.: condividere come M$ la directory con i
.DIT e L$ la directory con i .LOG.
 Windows 2003 usa Single Instance
Storage per i descrittori di sicurezza.
 Dopo upgrade da Windows 2000 a Windows
2003, fare offline defrag per avere extra
space
Active Directory Database
 Se c’è spazio su disco:
 Fare ogni notte backup locale (system state)
con NTBACKUP
 In caso di ricostruzione del DC si può fare
Install from Media (dcpromo /adv) e usare il
file locale
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Raccomandazioni non specifiche di AD
 Non fare backup durante le ore di lavoro
 Usare nomi standard per i DC. Questo rende
scripting, amministrazione e troubleshooting
molto più semplici.
 Esempio: FB-DC01 (Area/Iniziali dominio, ruolo,
numero progressivo)
 Prendere hardware standard se possibile
 Rendere standard la piattaforma software
 Esempio: Tutti i DC con Windows 2003 + 6 QFE
Raccomandazioni non specifiche di AD
 Usare sempre lo switch /3gb in BOOT.INI
 Non con /PAE simultaneamente
 Max RAM senza /3gb ~512mb
 Max RAM con /3gb ~2.6gb
Raccomandazioni non specifiche di AD
 Se possibile usare una foresta di prova per
le modifiche.
 Le modifiche sono nuove fixes, nuove
policy, nuovi upgrade, ...
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
Documenti correlati
Scarica
Scarica
Access - Atuttascuola
Access - Atuttascuola
Elenco gruppi per divisioni sezioni
Elenco gruppi per divisioni sezioni
AVVISO per rilevazione istat
AVVISO per rilevazione istat
2001/02 Lezione N. 10 Struttura del Software
2001/02 Lezione N. 10 Struttura del Software
Il processo decisionale condiviso con il paziente riduce
Il processo decisionale condiviso con il paziente riduce
Rilevazione Statistica delle Attività Edilizie
Rilevazione Statistica delle Attività Edilizie
Prevenzione e controllo dell`influenza
Prevenzione e controllo dell`influenza
<td valign="top
<td valign="top
Linee Guida Terapeutiche/2 Trattamento sistemico dell
Linee Guida Terapeutiche/2 Trattamento sistemico dell
istat - rilevazioni pdc e scia
istat - rilevazioni pdc e scia
il software
il software
Scarica