MVP に聞く!MOM 管理パックを活用したサーバ管理 実践
Vol.1 Active Directory 編
Microsoft Operations Manager 2005 (以下 MOM 2005) は Windows サーバ OS の運用管理には、とても役に立つ強力な管理アプリケーションです。MOM には、Management Pack (以下管理パック) と呼ばれる、イベント・アラートルールや管理スクリプト、レポート機能などがセットとなったテンプレートパッケージがあります。
今回は Active Directory に関する項目の管理や監視が可能となる、Active Directory Management Pack (以下 ADMP) を MOM にインポートして、その使い方について簡単に見ていこうと思います。
トピック
ADMP にできること
いずれも、Windows の標準機能では実装されていないか、それなりに手間やお金のかかる方法で実施していたような内容にみえます。 ADMP のインポート方法ADMP は他の管理パックと同様、akm ファイルを MOM 2005 管理コンソールからインポートします。管理コンソールの左ウインドウにある [管理パック] をクリックすると、右ウインドウにインポートのリンクが現れますので、そこから可能です。  インストールするファイルは MOM 2005 インストール CD-ROM にある [Microsoft Windows Active Drectory.akm] ファイルになります。詳細な方法については、MOM 2005 ステップバイステップの資料から確認できます。以下はインポート時のスクリーンショットです。  スクリーンショットとは異なる形となりますが、本来は Active Directory 監視には、ADMP の他に [Microsoft Windows Base Operating System.akm] (オペレーションシステム管理パック) と [Microsoft Windows DNS.akm] (DNS 管理パック) が必要です。また ADMP を利用する際には他のドメインコントローラに対してエージェントレスでの使用はできませんので、注意してください。 ログオン周りのパフォーマンスを確認してみようADMP には Active Directory に関する各種パフォーマンスをモニタリングするカウンタが実装されていますが、まずは、ログオン周りのパフォーマンスをチェックしてみましょう。 ちょっといたずらをして、以下のような“にせログオンのスクリプト”と作ってみました。Windows 2000 以降でおなじみの runas コマンドを使えば、コマンドから任意のアカウントでログオンできます。 REM 疑似ログオンのためのスクリプト
REM
Set objShell = CreateObject("Wscript.Shell")
Wscript.Sleep 400
objShell.Run "runas /noprofile /user:user01@mydomain.local cmd"
Wscript.Sleep 400
objShell.AppActivate "C:\WINDOWS\system32\runas.exe"
Wscript.Sleep 400
objShell.Sendkeys "Pass@word1"
Wscript.Sleep 400
objShell.Sendkeys "~"
Wscript.Sleep 400
objShell.Sendkeys "exit"
Wscript.Sleep 400
objShell.Sendkeys "~"
script.Sleep 400
このスクリプトを何らかの方法で繰り返し実行することで、連続的なログオン作業を自動的に行うことができます。このスクリプトを実行することで、ドメインコントローラに負荷を与えてみました。 実験を行いつつ、MOM オペレータコンソールからパフォーマンスデータをグラフで表示させてみました。それが以下になります。  ちょっと分かりづらいですが、実験を始めるまでは平坦だった値が、開始と共に一台のドメインコントローラだけ (CHABVSSV 10) 跳ね上がっていることがわかります。測定しているカウンタですが、KDC AS Requests と KDC TGT Requests という Kerberos チケットに要求に関する項目となり、ログオンが盛んに行われていることがわかります。 次にもう一つ、ログオン時には LDAP に対して検索が行われますが、そちらのパフォーマンスはどうでしょうか。こちらもちょっと見てみましょう。  こちらも、検索を始めたあたりから値が変化していることがわかります。ちなみにこのカウンタは、LDAP Serches/Sec というカウンタとなります。その他にも様々なカウンタがありますので、詳細は Active Directory 管理パックテクニカルリファレンスをお読みください。 Active Directory 複製周りに気を配ろうActive Directory 複製に関しては、実際に複製がうまくいっているか確認はするものの、イベントログにエラーがないかぎり、特に問題とされない方も少なくないのではないでしょうか。MOM 2005 では ADMP によってパフォーマンスカウンタが用意され、実際にどの程度の流量があるか、数値で確かめることができます。 こちらもいたずらついでに、スクリプトセンターにある 1,000 個のユーザー アカウントの作成をそのままに複製トポロジの最端にある端末で実行し、トポロジ的に一番遠い端末にどのぐらいの時間で複製されるか観察しました。結果ですが、完全に終わるまでには 45 分程度かかったようでした。下にモニターの結果をつけておきます。  直接作業した端末とサイト内の複製パートナの出力パフォーマンスです。サイト内ではデータ圧縮がないため大きな数値でやりとりしていることが分かります。ピンク色の線はサイト外に送付した圧縮データと思われます。  最後に複製を行ったドメインコントローラ。サイト内に 1 台しか複製パートナがいないため、複製もシンプルです。ちなみにブリッジヘッドサーバ (サイト間の複製を直接受け持つドメインコントローラ) の複製は、以下のようになっています。  巨大なデータが流れていますが、圧縮された通信のため数値が低いことがわかります。また、サイト間複製のためスケジュールによる断続的な複製となっています。 また、今回詳細は載せられませんでしたが 「レプリケーションの潜在期間」 という、ドメインコントローラが複製の必要を認知してから完了までのタイムラグを統計化して拾い上げることで、そうした複製時間のゆらぎを管理に組み込むといったことも考慮されています。 なお、ADMP を使った管理全般については、Active Directory 管理パック ガイドをお読みください。 その他上のスクリーンショットからおわかりいただけるように、コンピュータの状態が一目で分かるように、また数クリックの必要な操作で結果が見られるように、よく考えられて作られていると思います。私がちょっとビックリしたのは、複製オブジェクトを図版化してグラフィカルに表示するというものでした。  試しに一台強制的にネットワークから除くと、状態が少しづつ変化した上、最終的には以下のように変わってしまいました。  もう少し改善してほしい部分もありますが、わかりやすい管理のためには、いろいろなことをやってみる、という考えが製品に反映されていると思います。 まとめADMP は MOM のわかりやすいインターフェイスによって、簡単に使うことができます。まず、それが驚きでした。 本稿に詳細は記しませんでしたが、Active Directory 管理に重要な、細かい確認事項や対処方法についても、ADMP では対応しています。ADMP を使えば、ある意味本当に専任技術者でないかたでも、それなりの対応ができると思います。 それだけではなく、この製品には、詳細を知り手をどれだけ入れることができるか、という管理者+開発者の視点がもてる醍醐味があるようにみえます。 自分の手で作り込んたツールを使いたい管理者や、既存の管理ツールには違和感のある開発者のかたには、よい製品かと思います。
|
目次
|
