こんにちは、デジタルテクノロジーのT.Mです。

目的

サーバーは表面上動いているように見えても、重大なリスクが潜んでおり、突然顕在化して業務停止を引き起こすことがあります。サーバハードディスク容量の空き容量不足などが基本的な観点として挙げられますが、Active Directory サーバの健全性についてより高度な観点から評価を行うツールとして、Microsoft Operations Management Suit (OMS) の [AD Assessment] ソリューションパックが有効です。
[AD Assessment]では、Global Catalogサーバが正常に稼働しているか、Active Directoryレプリケーションが有効になっているか等 Active Directoryに特化したアセスメントを行います。アセスメントの結果、問題が発見された場合は、推奨されるアクションが提示されますので、修正措置を行う助けになります。
[AD Assessment] を活用し、Active Directoryを健全な状態で運用することを目的とします。

検証環境

自社サイトのオンプレミスサーバに構築した Active Directoryサーバを対象として、OMSの [AD Assessment] の動作検証を行います。AD サーバには Microsoft Monitoring Agent をインストールし、インターネット経由で OMS Log レポジトリにログを送付します。OMS側では、 [AD Assessment] を有効化し、ADのアセスメント結果をOMSダッシュボードで確認します。

《アセスメントサービス》
・環境: Microsoft Operations Management Suite (クラウドサービス)
・機能: Insight & Analytics
・ソリューションパック: AD Assessment

《アセスメント対象》
・OS: Windows Server 2008R2 Standard
・機能: Active Directoryサーバ
・インストールするソフトウェア: Microsoft Monitoring Agent

Windows Agent のダウンロード

OMSダッシュボードから、[設定] を選択します。

oms-ia-dash-1
設定画面から Connected Sources > Windows Servers を選択します。


Windowsエージェントをダウンロードするためのリンクが表示されます。ダウンロードリンクの下にはワークスペースIDやキー情報も記載されています。これらの情報はエージェントインストール時に必要となります。

Windows Agent のインストール

ダウンロードした Windows エージェントを管理対象ノードにインストールします。
エージェントの動作要件はこちらをご参照ください。

インストール手順は「Microsoft Monitoring Agent (Windows版)のインストール」をご参照ください。

Windows Agent とOMSの接続確認

Windows Agentをインストールすると、コントロールパネルに[Microsoft Monitoring Agent] が追加されます。[Microsoft Monitoring Agent] をダブルクリックしてプロパティを開きます。


[Azure Log Anaytics(OMS)] タブを選択し、ワークスペースへの接続が成功していることを確認します。「The Microsoft Monitoring Agent has successfully connected to the Microsoft Operations Management Suite service.」と表示されていれば接続成功です。

oms-14

次にOMSダッシュボード側でエージェント接続状況を確認します。[Settings] タイルにて データソースが1台の接続が成功していることがわかります。エージェントを複数台インストールした場合、ここに表示されるデータソースの台数と一致していれば問題がありません。

OMS管理ソリューションパックの利用

ソリューションパックとは、監視のためのロジック、ログの収集ルール、可視化をパッケージ化したものです。ソリューションパックを追加することで OMS の機能を拡張することができます。
マイクロソフトが提供するソリューションパックは[ソリューションギャラリー]で公開されています。
ここでは、ソリューションギャラリーから[AD Assessment]を追加してみます。

AD Assessment Active Directory サーバー環境のリスクと正常性を定期的に評価します。

OMSダッシュボードから、[ソリューションギャラリー] を選択します。


マイクロソフトが提供する管理ソリューションが一覧表示されます。
ソリューション一覧から [AD Assessment] を探します。

[AD Assessment]  をクリックし、詳細説明上の[追加] ボタンをクリックします。

再度ソリューションギャラリーを確認すると、[AD Assessment] が「導入済み」となっています。

AD Assessment ソリューション

ダッシュボードの AD Assessment(AD評価) 欄には、アセスメント結果が表示されます。以下の例では、ADサーバーは 30項目のチェックに合格していますが、1項目で不合格となっています。不合格項目は優先度の低い推奨事項として表示されています。詳細を表示するため[AD評価] 欄をダブルクリックします。

注意)[AD Assessment]を追加後すぐには評価結果が表示されない場合があります。サーバー上での実際のデータ収集には約 1 時間かかります。 Active Directory サーバーの数が多いサーバーでは、もっと長くなる可能性があります。

AD評価の詳細が表示され、「可用性とビジネス継続性」に抵触する、「Add subnet Definitions to Active Directory」が優先度の低い推奨事項であることが分かります。

更に「Add subnet Difinissions to Active Directory」のリンクをクリックすると推奨されるアクションが表示されます。下記の例では、Active Directory の Site に Subnetの定義がされていないというもので、Siteに Subnet を関連付ける手順が記載されています。

oms-AdAssesment-3
手順に従って SiteへのSubnet定義を行ったところ、すべての項目評価で合格となりました。
ただし、対処後すぐには合格表示とななりませんでした。ADの評価は7日おきに実施される仕様となっており、ユーザによる評価間隔の変更は現在サポートされていないようです。
AD Healthソリューションの詳細はこちらの記事が参考になります。

以上、今回はWindowsサーバにMicrosoft Monitoring Agent をインストールし、[AD Assessment] のアウトプットを確認しました。
[AD Assessment]では Active Directoryサーバーのアセスメントを行い、サーバーの潜在的な問題を認識することができ修正措置の実施に役立ちます。ソリューションギャラリーには[AD Assessment] 以外にも [SQL Assessment] 等 もありますので、
SQL Serverをご利用の方はソリューションを追加してみると潜在的な問題の発見につながるかもしれません。

追加可能なソリューション一覧:https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-add-solutions