Come gestire AD con successo Tips And Tricks
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
Controllo delle prestazioni Usare serie storiche di dati di prestazione per Risolvere problemi Fare pianificazione di capacità Consolidare DC Fare nuove installazioni Non avere DC con carichi costanti di CPU superiori al 60% Abilitare i contatori del DB e tracciare contatori quali cache size Trick poco noto: Perfmon in XP e Win2003 può scrivere dati direttamente in SQL. Può anche leggere i dati direttamente da SQL e mostrarli nellinterfaccia grafica.
Demo: Log di Perfmon direttamente in SQL/MSDE
Controllo delle prestazioni Eseguire Server Performance Advisor periodicamente Verificare alert e warning nella pagina dei sommari Raccogliere fotografie giornaliere delle performance durante periodi di carico (es. 10:00 am) Salvare i dati per analisi di tendenza Disponibile a 8-e4aa-47b9-901b-cf85da075a73&displaylang=en
Demo Server Performance Advisor
Scenari di sovraccarico del PDC Diversi componenti caricano il server con ruolo PDC Domain Distributed File System (DFS) e client Windows NT 4.0 SP6 Registrazione del PDC in WINS Ordinare la lista dei domini 1C restituita dai WINS Alcune versioni di object picker si rivolgono solo al PDC Pass-through authentication verso il PDC In piccole installazioni questo non è molto importante
Pass-through Authentication Modifiche di password fatte su non-PDC sono girate al PDC Fallimenti di password sono girate al PDC per validazione Account di servizi con password scadute costantemente riprovano È disponibile una negative cache Netlogon sul DC locale mette in cache i forward delle password errate Diventa attiva dopo dieci tentativi Sono salvabili 50 entri nella negative cache Le successive password scadute non sono girate al PDC Log di Netlogon: Nltest /dbflag:2080ffff crea Netlogon.log e Netlogon.bak in %systemroot%\debug
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
Controllo generale Enorme quantità di dati nei log Meglio avere un sistema di controllo\avviso in tempo reale (es. MOM2005) Tracciare gli eventi di avvio e verificare gli eventi 6008 shutdown sporchi 6008 ci può indicare riavvii periodici per blue screen o problemi hardware Incrementare la dimensione degli event log a 50 Mb per log (Application, System, DS, DNS)
Controllo generale Impostare* Field Engineering per tracciare ricerche onerose 0x4: Un evento registrato ad ogni Online Defrag 0x5: Un evento registrato ogni volta una ricerca è considerata dispendiosa o inefficiente Q per maggiori dettagli *HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
Repliche Lascia che il Knowledge Consistency Checker gestisca il tuo ambiente di replica (ISTG) Le migliorie dellalgoritmo in Windows Server 2003 dovrebbe rendere inutile luso di connessioni manuali Usa la potenza di siti e subnet per controllare granularmente le repliche Se è necessario segmentare il traffico dei DC usare sottoreti /32 (1 host) per assegnare specifici server e DC a specifici siti Specialmente utile per siti Exchange dedicati
Repliche Usare il nuovo switch di Repadmin per avere una rapida fotografia della salute delle repliche Repadmin /replsum
Demo Nuovi switch di repadmin
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
Risoluzione dei nomi Se il PDC è sotto carico… Mascherarlo nei WINS e DNS WINS: impostare Prepend1BTo1CQueries come in Q Evita che i WINS aggiungano il record 0x1B (PDC) allinizio della lista dei record 0x1C (domini). DNS: modificare priorità e peso in DNS così che il PDC venga scoperto solo dopo query DNS LdapSrvWeight e LdapSrvPriority sono le voci di registry che possono mascherare il PDC (da impostare su ogni DC) Attenzione: può essere necessario fermare il servizio Netlogon per più di unora per mandare in time out i client I client che cercano specificamente il PDC lo troveranno
DNS Altamente raccomandato integrare le zone in AD Far puntare i DC a se stessi nella configurazione TCP/IP (island problem risolto) Assicurarsi di usare le nuove application partition Attenzione che negli upgrade non sono usate per default Sopprimere gli update multipli dello stesso record Abilitare lo scavenging per ridurre il numero di record in lingering Tip: impostare lintervallo di scavenging ad un periodo pari al normale periodo di chiusura +3 giorni
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
File Replication Service (FRS) Motore di replica multi-master SYSVOL sui DC Porzione su file system delle GPO Script di logon e vecchie policy DFS Share di distribuzione delle applicazioni Contenuti in read only (doc, specifiche, contenuti Web) Controllare gli USN nel journal del driver NTFS 5.0 File chiusi nelle directory replicate di FRS Change orders = unità di replica File di staging files costruiti e spediti per ogni change order Transazione salvata in database jet
File Replication Service (FRS) Installare ultrasound per controllare FRS Verificare le violazioni di share. Sono il problema più comune Di solito causate da errati diritti in SYSVOL Controllare la presenza di nomi di file/folder distorti Controllare ultrasound e verificare che non ci siano più di dieci VVJOINS ad ogni istante VVJOINs si verifica quando una nuova Connection Object è creata
Demo Controllare FRS con ultrasound
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
Il database di AD Controllare le dimensioni del file.DIT Con scripts, event logs Impostare Garbage Collection in registry Log di # record e spazi bianchi. Eventi generati ad ogni Online Defrag (ogni 8 ore per default). Voce di registry sotto NTDS\Diagnostics Controllare lammontare dello spazio bianco. Se >33% del totale, considerare di fare offline defrag
Active Directory Database Standardizzare dischi per DIT e LOG su ogni DC Es.: condividere come M$ la directory con i.DIT e L$ la directory con i.LOG. Windows 2003 usa Single Instance Storage per i descrittori di sicurezza. Dopo upgrade da Windows 2000 a Windows 2003, fare offline defrag per avere extra space
Active Directory Database Se cè spazio su disco: Fare ogni notte backup locale (system state) con NTBACKUP In caso di ricostruzione del DC si può fare Install from Media (dcpromo /adv) e usare il file locale
Agenda Controllo delle prestazioni Controllo generale Repliche Risoluzione dei nomi File Replication Service Il database di Active Directory Raccomandazioni non specifiche di AD
Non fare backup durante le ore di lavoro Usare nomi standard per i DC. Questo rende scripting, amministrazione e troubleshooting molto più semplici. Esempio: FB-DC01 (Area/Iniziali dominio, ruolo, numero progressivo) Prendere hardware standard se possibile Rendere standard la piattaforma software Esempio: Tutti i DC con Windows QFE
Raccomandazioni non specifiche di AD Usare sempre lo switch /3gb in BOOT.INI Non con /PAE simultaneamente Max RAM senza /3gb ~512mb Max RAM con /3gb ~2.6gb
Raccomandazioni non specifiche di AD Se possibile usare una foresta di prova per le modifiche. Le modifiche sono nuove fixes, nuove policy, nuovi upgrade,...
© Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.