Come gestire AD con successo Tips And Tricks Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD Controllo delle prestazioni Usare serie storiche di dati di prestazione per Risolvere problemi Fare pianificazione di capacità Consolidare DC Fare nuove installazioni Non avere DC con carichi costanti di CPU superiori al 60% Abilitare i contatori del DB e tracciare contatori quali “cache size” Trick poco noto: Perfmon in XP e Win2003 può scrivere dati direttamente in SQL. Può anche leggere i dati direttamente da SQL e mostrarli nell’interfaccia grafica. Demo: Log di Perfmon direttamente in SQL/MSDE Controllo delle prestazioni Eseguire Server Performance Advisor periodicamente Verificare alert e warning nella pagina dei sommari Raccogliere fotografie giornaliere delle performance durante periodi di carico (es. 10:00 am) Salvare i dati per analisi di tendenza Disponibile a http://www.microsoft.com/downloads/details.aspx?FamilyID=61a41d7 8-e4aa-47b9-901b-cf85da075a73&displaylang=en Demo Server Performance Advisor Scenari di sovraccarico del PDC Diversi componenti caricano il server con ruolo PDC Domain Distributed File System (DFS) e client Windows NT 4.0 SP6 Registrazione del PDC in WINS Ordinare la lista dei domini 1C restituita dai WINS Alcune versioni di object picker si rivolgono solo al PDC Pass-through authentication verso il PDC In piccole installazioni questo non è molto importante Pass-through Authentication Modifiche di password fatte su non-PDC sono girate al PDC Fallimenti di password sono girate al PDC per validazione Account di servizi con password scadute costantemente riprovano È disponibile una negative cache Netlogon sul DC locale mette in cache i forward delle password errate Diventa attiva dopo dieci tentativi Sono salvabili 50 entri nella negative cache Le successive password scadute non sono girate al PDC Log di Netlogon: Nltest /dbflag:2080ffff crea Netlogon.log e Netlogon.bak in %systemroot%\debug Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD Controllo generale Enorme quantità di dati nei log Meglio avere un sistema di controllo\avviso in tempo reale (es. MOM2005) Tracciare gli eventi di avvio e verificare gli eventi 6008 “shutdown sporchi” 6008 ci può indicare riavvii periodici per blue screen o problemi hardware Incrementare la dimensione degli event log a 50 Mb per log (Application, System, DS, DNS) Controllo generale Impostare* “Field Engineering” per tracciare ricerche onerose 0x4: Un evento registrato ad ogni Online Defrag 0x5: Un evento registrato ogni volta una ricerca è considerata “dispendiosa” o “inefficiente” Q314980 per maggiori dettagli *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD Repliche Lascia che il Knowledge Consistency Checker gestisca il tuo ambiente di replica (ISTG) Le migliorie dell’algoritmo in Windows Server 2003 dovrebbe rendere inutile l’uso di connessioni manuali Usa la potenza di siti e subnet per controllare granularmente le repliche Se è necessario segmentare il traffico dei DC usare sottoreti /32 (1 host) per assegnare specifici server e DC a specifici siti Specialmente utile per siti Exchange dedicati Repliche Usare il nuovo switch di Repadmin per avere una rapida fotografia della salute delle repliche Repadmin /replsum Demo Nuovi switch di repadmin Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD Risoluzione dei nomi Se il PDC è sotto carico… Mascherarlo nei WINS e DNS WINS: impostare “Prepend1BTo1CQueries” come in Q269424 • Evita che i WINS aggiungano il record 0x1B (PDC) all’inizio della lista dei record 0x1C (domini). DNS: modificare priorità e peso in DNS così che il PDC venga “scoperto” solo dopo 296716 query DNS LdapSrvWeight e LdapSrvPriority sono le voci di registry che possono mascherare il PDC (da impostare su ogni DC) • Attenzione: può essere necessario fermare il servizio Netlogon per più di un’ora per mandare in time out i client I client che cercano specificamente il PDC lo troveranno DNS Altamente raccomandato integrare le zone in AD Far puntare i DC a se stessi nella configurazione TCP/IP (island problem risolto) Assicurarsi di usare le nuove application partition Attenzione che negli upgrade 2000 2003 non sono usate per default Sopprimere gli update multipli dello stesso record Abilitare lo scavenging per ridurre il numero di record in lingering Tip: impostare l’intervallo di scavenging ad un periodo pari al normale periodo di chiusura +3 giorni Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD File Replication Service (FRS) Motore di replica multi-master SYSVOL sui DC Porzione su file system delle GPO Script di logon e vecchie policy DFS Share di distribuzione delle applicazioni Contenuti in read only (doc, specifiche, contenuti Web) Controllare gli USN nel journal del driver NTFS 5.0 File chiusi nelle directory replicate di FRS Change orders = unità di replica File di staging files costruiti e spediti per ogni change order Transazione salvata in database jet File Replication Service (FRS) Installare ultrasound per controllare FRS Verificare le violazioni di share. Sono il problema più comune Di solito causate da errati diritti in SYSVOL Controllare la presenza di nomi di file/folder distorti Controllare ultrasound e verificare che non ci siano più di dieci VVJOINS ad ogni istante VVJOINs si verifica quando una nuova Connection Object è creata Demo Controllare FRS con ultrasound Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD Il database di AD Controllare le dimensioni del file .DIT Con scripts, event logs Impostare “Garbage Collection” in registry Log di # record e spazi bianchi. Eventi generati ad ogni Online Defrag (ogni 8 ore per default). Voce di registry sotto NTDS\Diagnostics Controllare l’ammontare dello spazio bianco. Se >33% del totale, considerare di fare offline defrag Active Directory Database Standardizzare dischi per DIT e LOG su ogni DC Es.: condividere come M$ la directory con i .DIT e L$ la directory con i .LOG. Windows 2003 usa Single Instance Storage per i descrittori di sicurezza. Dopo upgrade da Windows 2000 a Windows 2003, fare offline defrag per avere extra space Active Directory Database Se c’è spazio su disco: Fare ogni notte backup locale (system state) con NTBACKUP In caso di ricostruzione del DC si può fare Install from Media (dcpromo /adv) e usare il file locale Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD Raccomandazioni non specifiche di AD Non fare backup durante le ore di lavoro Usare nomi standard per i DC. Questo rende scripting, amministrazione e troubleshooting molto più semplici. Esempio: FB-DC01 (Area/Iniziali dominio, ruolo, numero progressivo) Prendere hardware standard se possibile Rendere standard la piattaforma software Esempio: Tutti i DC con Windows 2003 + 6 QFE Raccomandazioni non specifiche di AD Usare sempre lo switch /3gb in BOOT.INI Non con /PAE simultaneamente Max RAM senza /3gb ~512mb Max RAM con /3gb ~2.6gb Raccomandazioni non specifiche di AD Se possibile usare una foresta di prova per le modifiche. Le modifiche sono nuove fixes, nuove policy, nuovi upgrade, ... © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.