AD Monitoring mit BROFMONTeil 2 - Einrichtung der zu überwachenden Systeme

Teil 1 - Erste Schritte

Autor: olc, MCSEboard.de

 

Der „Microsoft Server 2003 Active Directory Branch Office Guide“ ist eine ergiebige Quelle von Best Practices und Scripts zum Einführen, dem Betrieb und der Wartung einer AD-Umgebung. Besonderer Wert wird zwar auf Zweigstellen (Branch Office) Szenarien gelegt, jedoch lassen sich die Informationen als auch Vorgehensweisen und Tools natürlich auch problemlos auf andere Umgebungen anwenden. Schaut man sich die Dokumente des Branch Office Guides an stellt man schnell fest, daß man für fast jeden Dienst einer AD-Umgebung extra Überwachungsmöglichkeiten einsetzen kann und sollte (etwa FRS Monitoring mittels Sonar / Ultrasound, Replikationsüberwachung der DCs mittels Repadmin / Replmon, DNS Überwachung mit DNScmd und DNSlint, grundsätzlich Ereignisprotokolle, Performance Counter etc.). Jedoch bietet der BROFMON bzw. die darüber ausgeführten Programme einen Überblick über diese Dienste, so daß die Einführung einer BROFMON Überwachung einer großer Schritt nach vorn ist, sollte noch kein Monitoring in der jeweiligen Umgebung existieren.

Den Branch Office Guide für Windows Server 2003 kann man sich kostenlos herunterladen [1]. http://www.microsoft.com/downloads/details.aspx?familyid=9353a4f6-a8a8-40bb-9fa7-3a95c9540112&displaylang=en Am besten wählt man hier das größere Paket „adbodg03.exe“ mit ca. 3MB, das die Scripts als auch die Dokumente enthält. Nach dem Entpacken der als EXE-Archiv gepackten Datei, finden sich im Zielverzeichnis wiederum zwei EXE-Archive: „adbogdocs.exe“ und „adbranch03.exe“. Beide sollten wiederum entpackt werden, so daß nun ein Verzeichnis mit den Word-Dokumenten des Branch Office Guide („BOG“) vorliegt und ein Verzeichnis mit den Scripts und Beispieldateien.

Im Dokument „06_Plan_Monitoring.doc“ wird auf den Branch Office Monitor „BROFMON“ eingegangen. Interessierten sei hier ein Blick hinein empfohlen, einige notwendige Informationen aus dem Dokument sind in dieses HowTo mit eingeflossen.

Was tut nun eigentlich der BROFMON genau?

Im Grunde besteht der BROFMON aus 2 Komponenten:

  1. Über ein Installationsscript wird auf den zu überwachenden Systemen ein geplanter Task eingerichtet, der zyklisch über einige anpaßbare Scripts diverse Überwachungsdaten generiert und auf ein zentrales Share ablegt. Hierbei kann es nur zwei Zustände für den jeweilig durchgeführten Test geben: „erfolgreich“ oder „fehlgeschlagen“.

  2. Auf einem zentralen System läuft zusätzlich ein anderer geplanter Task, der aus den Daten der überwachten Systeme einen kleinen HTML Report generiert. Hierbei werden die fehlgeschlagenen Test (fehlgeschlagen bedeutet in diesem Zusammenhang „mit Fehlern durchgeführt“ und nicht „nicht durchgeführt“) rot markiert und es kann die jeweilige Log-Datei – so etwa ein DCDIAG Report o.ä. – direkt aufgerufen werden, um die Fehlermeldung zu überprüfen. Systeme, die seit einiger Zeit keine Daten generiert haben, werden als "Stale", also "überfällig", bezeichnet.

Ab diesem Punkt muß man nun selbständig prüfen / recherchieren, inwieweit der Fehler problematisch ist und behoben werden sollte. Im besten Fall sind jedoch nur Tests eingerichtet, die auch bei Fehlern tatsächlich ein Eingreifen erfordern – andernfalls macht diese Art der Überwachung keinen Sinn.

Die notwendigen Vorbereitungen und die „Installation“ der Scripts geht, nachdem man es einmal in ein oder zwei Umgebungen implementiert hat, je nach Größe der Umgebung in wenigen Minuten von der Hand. Als grobe Checkliste steht folgendes an:

  1. Einrichtung einer oder mehrerer Freigaben, auf denen die Ergebnisse der
  2. Tests und der erzeugte Report abgelegt wird.
  3. Identifizieren der Systeme, die überwacht werden sollen.
  4. Ausführen der Installationsscripts für die zu überwachenden Systeme.
  5. Festlegen eines zentralen Systems, welches als „Reportgenerator“ dient.
  6. Ausführen eines weiteren BROFMON-Scripts auf dem „Reportgenerator“
  7. zur Einrichtung der Reportgenerierung.
  8. Test der Überwachung.
  9. Ggf. weiterführende Tätigkeiten und Anpassungen, falls gewünscht.

Einrichtung einer ersten Überwachung

Zuallererst macht es Sinn, eine zentrale Freigabe zu bestimmen, auf die die überwachten Systeme Ihre Daten ablegen. Zusätzlich sollte eine Lokation bestimmt werden, in die später der HTML Report abgelegt werden soll. Der Einfachheit halber wurde in diesem HowTo ein gemeinsames DFS-Netzlaufwerk gewählt – grundsätzlich können es jedoch auch verschiedene Freigaben sein.
Der Pfad zu den generierten Daten lautet also in diesem HowTo: \\forest1.test\data\BROFMON\Results

Später wird ein kleiner HTML Report erzeugt, der unter dem Verzeichnis \\forest1.test\data\BROFMON\Reports abgelegt werden wird.

Die Freigabeberechtigungen auf dem DFS-Ziel „BROFMON“ sind „Authenticated Users“„Full Control“ .

Die NTFS-Berechtigungen auf dem \Results-Verzeichnis müssen zusätzlich zu den bestehenden Berechtigungen auch die „Domain Controllers“ enthalten, da später die Daten der überwachten Server mittels geplanten Task im SYSTEM-Kontext der DCs ausgeführt werden. Sollen auch andere Systeme überwacht werden, macht hier eine Anpassung der NTFS ACLs Sinn – zu beachten ist dabei jedoch, daß hier sicherheitsrelevante Daten abgelegt werden.

Also sollte auch hier in Bezug auf die Berechtigungen gelten: So viel wie nötig, so wenig wie möglich!

Wichtig dabei ist zu beachten, daß die Gruppe „Domain Controllers“ aller Domänen eingefügt werden muß, die man überwachen möchte. Handelt es sich bei der Umgebung also um eine Multi-Domänenumgebung, müssen hier ggf. mehrere Gruppen mit „Vollzugriff“ angegeben werden. In der Testumgebung dieses HowTos wurde mit zwei zusätzlichen Domänen „Child1“ und „Child2“ gearbeitet, um das Prinzip zu verdeutlichen.

Also noch einmal kurz zusammengefaßt:

Freigabeberechtigungen für \\forest1.test\data\BROFMON - „Authenticated Users“ --> “Full Control“

Standardmäßig sollten (je nach übergeordneten Verzeichnis) folgende NTFS-Berechtigungen vergeben sein:

„FOREST1\Administrators“ --> „Full Control“
„CREATOR OWNER“ --> “Full Control”
“SYSTEM” --> “Full Control”
“Users” --> “Read & Execute”, “Read”, “List Folder Contents” (siehe unten, sollte nach Möglichkeit entfernt werden)

Folgende zusätzlichen Berechtigungen wurden auf den NTFS ACLs vergeben. NTFS-Berechtigungen für \\forest1.test\data\BROFMON\Results :

“FOREST1\Domain Controllers” --> “Full Control”
“CHILD1\Domain Controllers” --> “Full Control”
“CHILD2\Domain Controllers” --> “Full Control”

Entfernt wurde die NTFS Berechtigung der “Users”, da normale Benutzer keinen Zugriff auf die Testdaten besitzen sollten.

Der Order \\forest1.test\data\BROFMON\Reports kann im Grunde dieselben Berechtigungen haben. Wir gehen davon aus, daß nur Administratoren auf die Daten Zugriff haben sollen – andernfalls müßte die ACL der beiden Ordner entsprechend angepaßt werden.

Der entsprechende Abschnitt des o.g. BROFMON Dokuments gibt hier ebenfalls Informationen zu den Berechtigungen – ist man sich unsicher, schaut man dort hinein.

In dem entpackten Verzeichnis der Datei „adbranch03.exe“ sind folgende beiden Verzeichnisse für den Moment relevant:

  1. \adbodg\scripts\BROFMON
  2. \hub\ctrBROFMON

Um die Installationsscripts ebenfalls zentral verfügbar zu haben, kann man das Verzeichnis \adbodg\scripts\BROFMON auch auf die zentrale Freigabe kopieren und die Rechte entsprechend anpassen. In der Testumgebung wurde dafür der gesamte Ordnerinhalt nach \\forest1.test\data\BROFMON\Install kopiert, um Mißverständnisse in Bezug auf den Verzeichnisnamen „BROFMON“ zu vermeiden.

Abb. 1

 

© MCSEboard.de, olc

AD Monitoring mit BROFMONTeil 2 - Einrichtung der zu überwachenden Systeme