none
SCOM 2012 - Active Directory Management Pack RRS feed

 > 

  • Frage

  • Question
    Anmelden
    1
    Anmelden

    Hallo, ich habe einen SCOM 2012 R2 mit Active Directory Management Pack im Einsatz.

    Es sind 2 Standorte mit jeweils 2 W2K12 R2 Domänencontrollern im Einsatz.

    Die Verbindung zwischen den beiden Standorten ist nicht Performant. Daher bekomme ich von den DC's im entfernten Standort regelmäßig Alarme aufgrund der Verbindung. Diese möchte ich nun reduzieren.

    Welche Schwellenwerte muss ich Anpassung um nicht bei jeder kleinen Leitungsauslastung eine Warnung zu bekommen? Z.B. nur wenn die Verbindung der DC's über einen gewissen Zeitraum oder nach mehreren Versuchen immer noch gestört ist.


    Donnerstag, 9. Oktober 2014 12:37
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich bin das Thema nochmal angegangen, da mir die obigen Verweise auf das Technet nicht weitergeholfen haben und die Parameter dort nicht eindeutig erklärt sind.

    Zunächst habe ich die neuste Version des ActiveDirectory MP installiert (6.0.8321.0)

    Die obigen Einstellungen für den Monitor "AD Op Master Response Monitor" (siehe Screenshot oben) können nicht alle Alarm-Meldungen reduzieren!

    Dies hat folgenden Hintergrund: Der "AD Op Master Response Monitor" führt mit den angezeigten Parametern ein Script auf den DC's aus, welches die Verbindung zu den FSMO Rollen prüfen. Treten Fehler mehrfach auf (pro FSMO) wird je nach konfiguriertem Failure Treshold ein Alarm durch den Monitor ausgelöst. Wird z.B. 3x (Default Failure Treshold) die PDC Rolle nicht erreicht, wird ein Alarm ausgelöst. Der Test wird je nach konfigurieten Interval (Default sind 300 Sekunden) ausgeführt. Daher: 12Uhr > erster Fehler, 12:05 > zweiter Fehler, 12:10 > dritter Fehler + Auslösung Alarm.

    Hinweis: In meinen Test hat die PDC Rolle bei jeder Ausführung direkt zwei Fehler gemeldet. Der Treshold war somit schon nach der zweiten Ausführung des Scripts erreicht (2x2=4).

    Der Ausgelöste Fehler nennt sich dann "A Domain Controller has failed the AD Op Master Response test". Dieser lässt sich wie oben beschrieben gut per "Failure Treshold" an die Umgebung anpassen.

    Problem an der ganzen Sache ist aber, dass das "AD Op Master Response Monitor Script" zusätzlich ein Event (im Eventlog "Operations Manager") bei jedem Fehler auf dem DC protokolliert. Dieses wird auch bei noch nicht erreichtem "Failure Treshold" protokolliert. Im AD Management Pack sind Regeln enthalten, welche genau auf diese Events reagieren (PDC=ID11, RID=ID15, Schema=ID19, Name=ID3, Inf=ID7) und bei jedem auftreten einen Alert auslösen. Somit nützt die Anpassung des "Failure Treshold" für diese Events leider nichts. Die Regeln nennen sich z.B. "Failed to ping or bind to the Infrastructure Master FSMO role holder"

    Meine Lösung ist jetzt:

    • Deaktivierung der Event Regeln (5 Stk / pro FSMO Rolle eine), da die Fehler onehin bei mehrfachen Auftreten über den "AD Op Master Response Monitor" gemeldet werden. Um die Details bei einem Alarm zu erfahren, muss man dann halt ins Eventlog sehen.

    • Desweiteren habe ich den "Failure Treshold" von 3 auf 6 gestellt (wie oben im Screenshot).

    Den Zweck von Success Count (Default = 12) habe ich nicht verstanden. Sobald das Script einmal erfolgreich ausgeführt wurde, wird der Alarm sofort gelöst.


    Tip: Testen lässt sich das Ganze gut per Windows Firewall Regel, welche ICMP ausgehend blockt.



    Mittwoch, 23. September 2015 11:16
    |

Alle Antworten

  • Question
    Anmelden
    2
    Anmelden

    Das passiert da ja schon. Wenn ich mich nicht täusche ist in der Regel ein Schwellenwert von 3 fehlerhaften Pings definiert, bevor es eine Warnung gibt. Diesen könnte man natürlich anpassen. Oder vielleicht doch eher das Problem mal genauer untersuchen anstatt die Meldung verschwinden zu lassen? Konnektivitätsprobleme im AD sind ja durchaus suboptimal. Vielleicht liegts ja nicht unbedingt an der unperformamenten Leitung?

    Gruß

    Donnerstag, 9. Oktober 2014 21:25
    |
  • Question
    Anmelden
    3
    Anmelden

    Hi,

    ich bin natürlich immer dafür Fehler an der Ursache zu bekämpfen, anstatt irgendwas abzuschalten. Hier ist es aber leider wirklich die Leitung und bis dort etwas verbessrt wird, muss ich die Alarme etwas anpsssen.

    Um den Alarm nicht abzuschalten sondern nur etwas zu entschärfen, möchte ich die Einstellungen welche dazu nötig sind möglichst verstehen.

    Wenn ich es richtig sehe, wird die Alert Rule "Failed to ping or bind to the RID Master FSMO role Holder" durch den Monitor "AD Op Master Response Monitor" ausgelöst. Dieser Monitor hat folgende Einstellungsmöglichkeiten:

    Wie sind die markierten Werte zu verstehen? Alle 300 Sek. (Intervall) wird die Prüfung ausgeführt und wenn diese im Default (Failure Treshold = 3) nicht erfolgreich ist wird der Alarm ausgelöst, somit nach 900 Sek (15min).

    Ist einmal der Fehler aufgetreten müssen danach 12 Proben erfolgreich sein somit 12x300Sek = 3600Sek (1Std) umn den Alarm zu schließen?

    Freitag, 10. Oktober 2014 09:18
    |
  • Question
    Anmelden
    3
    Anmelden
    Ja genau so würd ich das auch sehen. War der Failure Threshold schon immer auf 6 oder ist das jetzt im Zuge des Fehlers umgestellt worden?
    Freitag, 10. Oktober 2014 09:23
    |
  • Question
    Anmelden
    2
    Anmelden
    Den hatte ich nur im Zuge umgestellt und etwas probiert.
    Freitag, 10. Oktober 2014 10:00
    |
  • Question
    Anmelden
    3
    Anmelden

    Ich habe gerade nochmal etwas weiter an dem Thema gearbeitet.

    Auf einem betroffenen DC bekomme ich z.B. im Eventlog "Operations Manager" (zur gleichen Zeit wo der Alarm ausgelöst wird) folgende Meldung:

    - <System>
  <Provider Name="Health Service Script" /> 
  <EventID Qualifiers="0">15</EventID> 
  <Level>3</Level> 
  <Task>0</Task> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2014-10-08T07:00:06.000000000Z" /> 
  <EventRecordID>38502</EventRecordID> 
  <Channel>Operations Manager</Channel> 
  <Computer>SRVB001.corp.intern</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data>AD Op Master Response</Data> 
  <Data>Failed to ping RID Op Master 'srv001.corp.intern' (10.20.10.1). The default gateway (10.16.10.254) is pingable.</Data> 
  </EventData>

    Die Meldung wird direkt nach Ausführung des" Heath Service Script" angezeigt. Ich kann sehen, dass das Script alle 5 Minuten (300 Sek) ausgeführt wird und ein Info-Event in diesem Eventlog erstellt.

    Das Interessante dabei:

    • Fehler Eventlog und Alarm ist von 08.10.2014 - 9 Uhr
    • vorheriger Fehler wo eine FSMO Rolle nicht erreichbar war liegt weitere 11 Stunden davor.

    Es lagen also etliche erfolgreiche Versuche dazwischen. Zudem wurde das Event beim ersten Auftreten gemeldet und nicht nach 3 Fehlversuchen in Folge.

    Die obige Theorie bzgl. der Override Werte passt also nicht oder es ist ein anderer Monitor welcher angepasst werden muss.

    Freitag, 10. Oktober 2014 13:48
    |
  • Question
    Anmelden
    3
    Anmelden

    Hallo,

    Ist die Thematik noch aktuell?

    Danke und Gruß

    Michaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Dienstag, 28. Oktober 2014 12:30
    |
    Moderator
  • Question
    Anmelden
    1
    Anmelden

    Hallo,

    leider ja, mein letzter Beitrag vom 10.10.2014 ist noch der aktuelle Stand.

    Gruß Markus

    Dienstag, 28. Oktober 2014 13:58
    |
  • Question
    Anmelden
    4
    Anmelden

    Hallo Markus,

    wie Sie schon wissen, wird eine Active Directory-Umgebung eine Reihe von Operation Master Rollen Inhaber enthalten. Dieses Management Pack überwacht diese Rollen um sicherzustellen, dass sie verfügbar sind und jeder Zeit gefunden werden können. Bestimmter  Inhaber jeder Operation Master Rolle kann gefunden werden und die Bindung kann  innerhalb einer bestimmten Zeitspanne auftreten.

    Das Active Directory Operation Master Response-Skript überwacht Active Directory Operations Masters. Die Operation Masters sind Domäne Controller, die eine oder mehrere Operation Masters Rollen halten (bekannt auch als Flexible Single Master Operations oder FSMO-Rollen). Diese Rollen sind für den Active Directory-Zustand und die Verfügbarkeit entscheidend. Die Operations Master Rollen enthalten folgendes:

    Schema operations master

    Domain naming operations master

    Infrastructure operations master

    Relative ID (RID) operations master

    Primary domain controller (PDC) emulator operations master

    Dieses Skript wird jede 5 Minuten ausgeführt, um die Reaktionsfähigkeit der Operation Masters zu bestimmen. Die Reaktionszeit für jeden Rolle-Inhaber  wird als Performace-Daten aufgezeichnet.

    Wenn Sie einige der Konfigurationen der AD Operation Masters ändern möchten, sollten Sie den im folgenden Microsoft Artikel beschriebenen Schritten folgen.

    Operations Master Überwachung

    Operations Master Monitoring

    Sie sollten sich überlegen, ob Sie diese Warnung deaktivieren möchten.Hierbei sollten Sie beachten, dass die Probleme, die unter dem Link aufgeführt werden, auftreten können.

    How to Close an Alert Generated by a Monitor

    Impact of Closing an Alert

    Siehe auch „Weitere Informationen“

    Tasks:

    Resolving Heartbeat Alerts

    How to Reset Health

    How to View All Rules and Monitors Running on an Agent-Managed Computer

    How to Set Alert Resolution States

    How to Configure Automatic Alert Resolution

    Viewing and Investigating Alerts for .NET Applications (Server-side Perspective)

    Konzepte:

    How Heartbeats Work in Operations Manager

    Viewing Active Alerts

    Viewing Alert Details

    Examining Properties of Alerts, Rules, and Monitors

    Impact of Closing an Alert

    How an Alert is Produced

    Identifying the Computer Experiencing a Problem

    Using Health Explorer to Investigate Problems

    Using Event View to Investigate Problems

    Investigating Alert Storms

    Diagnostic and Recovery Tasks

    Gruß

    Michaela

    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Donnerstag, 30. Oktober 2014 15:16
    |
    Moderator
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich bin das Thema nochmal angegangen, da mir die obigen Verweise auf das Technet nicht weitergeholfen haben und die Parameter dort nicht eindeutig erklärt sind.

    Zunächst habe ich die neuste Version des ActiveDirectory MP installiert (6.0.8321.0)

    Die obigen Einstellungen für den Monitor "AD Op Master Response Monitor" (siehe Screenshot oben) können nicht alle Alarm-Meldungen reduzieren!

    Dies hat folgenden Hintergrund: Der "AD Op Master Response Monitor" führt mit den angezeigten Parametern ein Script auf den DC's aus, welches die Verbindung zu den FSMO Rollen prüfen. Treten Fehler mehrfach auf (pro FSMO) wird je nach konfiguriertem Failure Treshold ein Alarm durch den Monitor ausgelöst. Wird z.B. 3x (Default Failure Treshold) die PDC Rolle nicht erreicht, wird ein Alarm ausgelöst. Der Test wird je nach konfigurieten Interval (Default sind 300 Sekunden) ausgeführt. Daher: 12Uhr > erster Fehler, 12:05 > zweiter Fehler, 12:10 > dritter Fehler + Auslösung Alarm.

    Hinweis: In meinen Test hat die PDC Rolle bei jeder Ausführung direkt zwei Fehler gemeldet. Der Treshold war somit schon nach der zweiten Ausführung des Scripts erreicht (2x2=4).

    Der Ausgelöste Fehler nennt sich dann "A Domain Controller has failed the AD Op Master Response test". Dieser lässt sich wie oben beschrieben gut per "Failure Treshold" an die Umgebung anpassen.

    Problem an der ganzen Sache ist aber, dass das "AD Op Master Response Monitor Script" zusätzlich ein Event (im Eventlog "Operations Manager") bei jedem Fehler auf dem DC protokolliert. Dieses wird auch bei noch nicht erreichtem "Failure Treshold" protokolliert. Im AD Management Pack sind Regeln enthalten, welche genau auf diese Events reagieren (PDC=ID11, RID=ID15, Schema=ID19, Name=ID3, Inf=ID7) und bei jedem auftreten einen Alert auslösen. Somit nützt die Anpassung des "Failure Treshold" für diese Events leider nichts. Die Regeln nennen sich z.B. "Failed to ping or bind to the Infrastructure Master FSMO role holder"

    Meine Lösung ist jetzt:

    • Deaktivierung der Event Regeln (5 Stk / pro FSMO Rolle eine), da die Fehler onehin bei mehrfachen Auftreten über den "AD Op Master Response Monitor" gemeldet werden. Um die Details bei einem Alarm zu erfahren, muss man dann halt ins Eventlog sehen.

    • Desweiteren habe ich den "Failure Treshold" von 3 auf 6 gestellt (wie oben im Screenshot).

    Den Zweck von Success Count (Default = 12) habe ich nicht verstanden. Sobald das Script einmal erfolgreich ausgeführt wurde, wird der Alarm sofort gelöst.


    Tip: Testen lässt sich das Ganze gut per Windows Firewall Regel, welche ICMP ausgehend blockt.



    Mittwoch, 23. September 2015 11:16
    |