Der Active Directory-Monitor kann wichtige Aspekte eines Active Directory-Servers überwachen, wie z. B. die Replikationsverzögerung, die Domain-Controller-Zeitabweichung und die Verifizierung der Kerberos-Authentifizierung.
Systemtyp: Fenster
Kategorie: Verzeichnisdienst
Hinweis: An dieser Stelle sind nur monitorspezifische Einstellungen dokumentiert. Siehe auch Standardmonitoreinstellungen.
Monitorvoraussetzungen
Die Bestandsadresse muss der Name der Active Directory-Domäne sein, z. B. mydomain.local.
Das Anmeldekonto muss ein Domänen-Benutzer sein.
DCOM MUSS für die Active Directory-Überwachung aktiviert sein.
Der KNM-Gateway-Rechner, der die Active Directory-Tests durchführt, MUSS selbst dem überwachten Active Directory angehören.
Der Bestandsname MUSS der Domain-Name sein, NICHT der Name eines Bestands, wie z. B. eines Domain-Controllers. Der Active Directory-Bestand wird stattdessen alle zugewiesenen Domain-Controller aufzählen und bestimmte Aspekte dieser Domain-Controller aus dieser Liste überwachen.
Das dem Bestand zugeordnete Windows-Konto MUSS ein Windows-Domain-Benutzer sein.
Das dem Bestand zugeordnete Windows-Domain-Konto MUSS Lesezugriff auf alle überwachten Active Directory-Bestände haben.
Um die Domain-Controller-Freigaben erfolgreich testen zu können, MUSS das Windows-Domain-Benutzerkonto, das dem Bestand zugewiesen ist, der Administratoren-, Hauptbenutzer-, Druck-Operatoren- oder Serverbenutzergruppe angehören.
Das dem Bestand zugeordnete Windows-Domain-Benutzerkonto MUSS über die Berechtigung SE_TCB_NAME (''Einsetzen als Teil des Betriebssystems'') verfügen, damit die Kerberos-Authentifizierung erfolgreich getestet werden kann.
Für einen erfolgreichen Test des Globalen Katalogs ist EVENTUELL eine Kerberos-Authentifizierung erforderlich.
Monitorspezifische Eigenschaften
Anmeldekonto – Das Anmeldekonto enthält die zu verwendenden Anmeldedaten für den Test des Active Directory-Servers. Das Anmeldekonto muss ein Domänen-Benutzer sein; anderenfalls schlägt der Test fehl.
Kerberos-Authentifizierung – Ist diese Option aktiviert, wird getestet, ob das Active Directory erfolgreich eine Kerberos-Authentifizierung durchführen kann. Alle Authentifizierungsfehler werden in den Fehlerbericht aufgenommen und es wird ein Alarm ausgegeben.
Globaler Katalog – Ist diese Option aktiviert, wird getestet, ob der Domain-Controller des Globalen Katalogs gefunden werden kann. Alle Fehler werden in den Fehlerbericht aufgenommen und es wird ein Alarm ausgegeben.
Im DNS veröffentlichte DCs – Ist diese Option aktiviert, wird getestet, ob die Datensätze des Dienst-DNS-Servers des Domain-Controllers im DNS gefunden werden können ("_ldap._tcp.DOMAIN.", "_kerberos._tcp.DOMAIN.", "_ldap. _tcp.dc._msdcs.DOMAIN.", "_kerberos._tcp.dc._msdcs.DOMAIN.", "_ldap._tcp.Default-First-Site._sites.DOMAIN." usw.).
Replikation – Ist diese Option aktiviert, wird getestet, ob der letzte Replikationsversuch erfolgreich war.
Max. DC-Zeitabweichung – Misst die Zeitabweichung zwischen Domain-Controllern in Sekunden. Übersteigt der Zeitunterschied zwischen den Domain-Controllern diesen Wert, schlägt der Test fehl.
LDAP-Abfrage
Optional kann eine LDAP-Abfrage ausgeführt und ihr Ergebnis im Rahmen eines Vergleichsvorgangs mit einem vordefinierten Wert verglichen werden.
LDAP-Abfrage – Durchzuführende LDAP-Abfrage.
Vergleichswert – Wert, mit dem das Abfrageergebnis verglichen werden soll.
Werttyp – Typ des Werts, der mit dem aus der Datenbank abgerufenen Wert verglichen werden soll.
Vorgang – Vorgang zur Bewertung des ausgegebenen Abfrageergebnisses und des Vergleichswerts, der dazu dient zu bestimmen, ob der Test erfolgreich war oder nicht.
