Come gestire AD con successo Tips And Tricks

Come gestire AD con successo
Tips And Tricks
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Controllo delle prestazioni
 Usare serie storiche di dati di prestazione per
 Risolvere problemi
 Fare pianificazione di capacità
 Consolidare DC
 Fare nuove installazioni
 Non avere DC con carichi costanti di CPU
superiori al 60%
 Abilitare i contatori del DB e tracciare contatori
quali “cache size”
 Trick poco noto:
 Perfmon in XP e Win2003 può scrivere dati
direttamente in SQL.
 Può anche leggere i dati direttamente da SQL e
mostrarli nell’interfaccia grafica.
Demo:
Log di Perfmon direttamente in SQL/MSDE
Controllo delle prestazioni
 Eseguire Server Performance Advisor
periodicamente
 Verificare alert e warning nella pagina dei
sommari
 Raccogliere fotografie giornaliere delle
performance durante periodi di carico (es.
10:00 am)
 Salvare i dati per analisi di tendenza
 Disponibile a
http://www.microsoft.com/downloads/details.aspx?FamilyID=61a41d7
8-e4aa-47b9-901b-cf85da075a73&displaylang=en
Demo
Server Performance Advisor
Scenari di sovraccarico del PDC
 Diversi componenti caricano il server con ruolo
PDC
 Domain Distributed File System (DFS) e client
Windows NT 4.0 SP6
 Registrazione del PDC in WINS
 Ordinare la lista dei domini 1C restituita dai WINS
 Alcune versioni di object picker si rivolgono solo al
PDC
 Pass-through authentication verso il PDC
 In piccole installazioni questo non è molto
importante
Pass-through Authentication
 Modifiche di password fatte su non-PDC sono girate al
PDC
 Fallimenti di password sono girate al PDC per validazione
 Account di servizi con password scadute costantemente
riprovano
 È disponibile una negative cache
 Netlogon sul DC locale mette in cache i forward delle password
errate
 Diventa attiva dopo dieci tentativi
 Sono salvabili 50 entri nella negative cache
 Le successive password scadute non sono girate al PDC
 Log di Netlogon:
Nltest /dbflag:2080ffff
crea Netlogon.log e Netlogon.bak in %systemroot%\debug
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Controllo generale
 Enorme quantità di dati nei log
 Meglio avere un sistema di controllo\avviso
in tempo reale (es. MOM2005)
 Tracciare gli eventi di avvio e verificare gli
eventi 6008 “shutdown sporchi”
 6008 ci può indicare riavvii periodici per blue
screen o problemi hardware
 Incrementare la dimensione degli event log a
50 Mb per log (Application, System, DS,
DNS)
Controllo generale
 Impostare* “Field
Engineering” per
tracciare ricerche
onerose
 0x4: Un evento
registrato ad ogni
Online Defrag
 0x5: Un evento
registrato ogni volta
una ricerca è
considerata
“dispendiosa” o
“inefficiente”
 Q314980 per
maggiori dettagli
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Repliche
 Lascia che il Knowledge Consistency Checker
gestisca il tuo ambiente di replica (ISTG)
 Le migliorie dell’algoritmo in Windows Server 2003
dovrebbe rendere inutile l’uso di connessioni manuali
 Usa la potenza di siti e subnet per controllare
granularmente le repliche
 Se è necessario segmentare il traffico dei DC
usare sottoreti /32 (1 host) per assegnare
specifici server e DC a specifici siti
 Specialmente utile per siti Exchange dedicati
Repliche
 Usare il nuovo switch di Repadmin per
avere una rapida fotografia della salute
delle repliche
 Repadmin /replsum
Demo
Nuovi switch di repadmin
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Risoluzione dei nomi
 Se il PDC è sotto carico…
 Mascherarlo nei WINS e DNS

WINS: impostare “Prepend1BTo1CQueries” come in Q269424
• Evita che i WINS aggiungano il record 0x1B (PDC) all’inizio
della lista dei record 0x1C (domini).


DNS: modificare priorità e peso in DNS così che il PDC venga
“scoperto” solo dopo 296716 query DNS
LdapSrvWeight e LdapSrvPriority sono le voci di registry che possono
mascherare il PDC (da impostare su ogni DC)
• Attenzione: può essere necessario fermare il servizio
Netlogon per più di un’ora per mandare in time out i client
 I client che cercano specificamente il PDC lo troveranno
DNS
 Altamente raccomandato integrare le zone in AD
 Far puntare i DC a se stessi nella configurazione
TCP/IP (island problem risolto)
 Assicurarsi di usare le nuove application partition
Attenzione che negli upgrade 2000  2003 non
sono usate per default
 Sopprimere gli update multipli dello stesso record
 Abilitare lo scavenging per ridurre il numero di
record in lingering
 Tip: impostare l’intervallo di scavenging ad un periodo
pari al normale periodo di chiusura +3 giorni
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
File Replication Service (FRS)
 Motore di replica multi-master
 SYSVOL sui DC
 Porzione su file system delle GPO
 Script di logon e vecchie policy
 DFS
 Share di distribuzione delle applicazioni
 Contenuti in read only (doc, specifiche, contenuti Web)
 Controllare gli USN nel journal del driver NTFS 5.0




File chiusi nelle directory replicate di FRS
Change orders = unità di replica
File di staging files costruiti e spediti per ogni change order
Transazione salvata in database jet
File Replication Service (FRS)
 Installare ultrasound per controllare FRS
 Verificare le violazioni di share.
 Sono il problema più comune
 Di solito causate da errati diritti in SYSVOL
 Controllare la presenza di nomi di file/folder
distorti
 Controllare ultrasound e verificare che non ci
siano più di dieci VVJOINS ad ogni istante
 VVJOINs si verifica quando una nuova
Connection Object è creata
Demo
Controllare FRS con ultrasound
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Il database di AD
 Controllare le dimensioni del file .DIT
 Con scripts, event logs
 Impostare “Garbage Collection” in registry
 Log di # record e spazi bianchi.
 Eventi generati ad ogni Online Defrag (ogni 8 ore
per default).
 Voce di registry sotto NTDS\Diagnostics
 Controllare l’ammontare dello spazio
bianco. Se >33% del totale, considerare di
fare offline defrag
Active Directory Database
 Standardizzare dischi per DIT e LOG su
ogni DC
 Es.: condividere come M$ la directory con i
.DIT e L$ la directory con i .LOG.
 Windows 2003 usa Single Instance
Storage per i descrittori di sicurezza.
 Dopo upgrade da Windows 2000 a Windows
2003, fare offline defrag per avere extra
space
Active Directory Database
 Se c’è spazio su disco:
 Fare ogni notte backup locale (system state)
con NTBACKUP
 In caso di ricostruzione del DC si può fare
Install from Media (dcpromo /adv) e usare il
file locale
Agenda
 Controllo delle prestazioni
 Controllo generale
 Repliche
 Risoluzione dei nomi
 File Replication Service
 Il database di Active Directory
 Raccomandazioni non specifiche di AD
Raccomandazioni non specifiche di AD
 Non fare backup durante le ore di lavoro
 Usare nomi standard per i DC. Questo rende
scripting, amministrazione e troubleshooting
molto più semplici.
 Esempio: FB-DC01 (Area/Iniziali dominio, ruolo,
numero progressivo)
 Prendere hardware standard se possibile
 Rendere standard la piattaforma software
 Esempio: Tutti i DC con Windows 2003 + 6 QFE
Raccomandazioni non specifiche di AD
 Usare sempre lo switch /3gb in BOOT.INI
 Non con /PAE simultaneamente
 Max RAM senza /3gb ~512mb
 Max RAM con /3gb ~2.6gb
Raccomandazioni non specifiche di AD
 Se possibile usare una foresta di prova per
le modifiche.
 Le modifiche sono nuove fixes, nuove
policy, nuovi upgrade, ...
© 2003-2004 Microsoft Corporation. All rights reserved.
This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.