Active Directoryモニター

Active Directoryモニターは、レプリケーションの待機時間、ドメインコントローラの時間差、Kerberos認証の検証など、Active Directoryサーバーの重要な項目をモニターできます。

• システムのタイプ:Windows
• カテゴリー：ディレクトリサービス

注： ここでは、モニター固有の設定のみを説明しています。「標準モニター設定」を参照してください。

モニターの前提条件

• 資産アドレスは、Active Directory（AD）のドメイン名でなければなりません（例: mydomain.local）。
• ログオンアカウントはドメインユーザーでなければなりません。
• DCOMをActive Directoryモニタリング用に有効にする必要があります。
• Active Directoryでテストを実行するKNMゲートウェイマシン自体が、モニタリング対象ADに属していなければなりません。
• 資産名はドメイン名でなければなりません。ドメインコントローラ（DC）のような資産名にすることはできません。その代わりAD資産は割り当てられたすべてのDCを列挙し、このリストからその特定の項目をモニターします。
• 資産に割り当てるWindowsアカウントは、Windowsドメインユーザーでなければなりません。
• 資産に割り当てるWindowsドメインユーザーアカウントには、モニタリング対象のすべてのAD資産への読み取りアクセス権が必要です。
• ドメインコントローラ共有のテストを正常にテストするには、資産に割り当てるWindowsドメインユーザーアカウントが管理者、パワーユーザー、プリントオペレータ、またはサーバーユーザーのいずれかのグループに属する必要があります。
• Kerberos認証を正常にテストするには、資産に割り当てるWindowsドメインユーザーアカウントにSE_TCB_NAME（オペレーティングシステムの一部として機能）権限が必要です。
• グローバルカタログのテストを行うには、Kerberos認証が成功しなければならないことがあります。

モニター固有のプロパティ

• ログオンアカウント - ログオンアカウントには、Active Directoryサーバーのテスト時に使用する資格情報が格納されます。このアカウントはドメインユーザーでなければなりません。それ以外の場合はテストが失敗します。
• Kerberos認証 - チェックした場合、Active DirectoryがKerberos認証を正常に実行可能かどうかがテストされます。認証エラーが発生するとエラーレポートに書き込まれ、アラームが発生します。
• グローバルカタログ - チェックした場合、グローバルカタログドメインコントローラが検出されるかどうかがテストされます。エラーが発生するとエラーレポートに書き込まれ、アラームが発生します。
• DNSで公開されるDC - チェックした場合、ドメインコントローラのサービスDNS SRVレコードがDNS（"_ldap._tcp.DOMAIN."、"_kerberos._tcp.DOMAIN."、"_ldap. _tcp.dc._msdcs.DOMAIN."、"_kerberos._tcp.dc._msdcs.DOMAIN."、"_ldap._tcp.Default-First-Site._sites.DOMAIN."など）で検出されるかどうかがテストされます。
• レプリケーション - チェックした場合、前回のレプリケーション試行が成功したかどうかがテストされます。
• DCの最大時間差 - ドメインコントローラ間の時間差（単位: 秒）を測定します。ドメインコントローラ間の時間差がこの値を上回ると、テストは失敗します。

LDAPクエリーオプション

オプションのLDAPクエリステートメントを実行し、比較演算を用いてその出力を事前定義の値と比較できます。

• LDAPクエリー - 実行するLDAPクエリー。
• 比較値 - クエリー結果と比較する値。
• 値の型 - データベースから取得した値と比較される値の型。
• 演算 - 返されたクエリー結果と比較値を評価し、テストの成功/失敗を判定する演算。