Wim Verveen, e-mail: wim@win2kwereld.nl
Review
Wanneer Active Direcory eenmaal geïmplementeerd is en al een tijdje draait begint al snel de vraag op te komen: 'Draait
het allemaal wel goed?'. En dat is nou een lastige vraag om te beantwoorden. Dat komt onder meer omdat Microsoft nagelaten heeft uitgebreide monitoring tools te leveren bij hun product, hierdoor is het lastig om de juiste
informatie boven water te halen. Dit gebrek aan informatie draagt niet bij tot een goed gevoel. Zeker in een groot netwerk waar honderden domaincontrollers geografisch verspreid aanwezig kunnen zijn gaat al snel het overzicht
verloren. Dit is natuurlijk geen wenselijke situatie. Dit is het moment dat Netpro's Directory Analyzer in beeld komt. Netpro is een bedrijf wat al jaren bezig
is met de ontwikkeling van programma's om directories te monitoren. Begonnen met het monitoren van Novell's NDS waren ze in 1998 de eersten die een product hadden voor de toen nog Beta versie van Windows 2000. Directory Analyzer
volgt een wat aparte aanpak in het monitoren van de directory. De programmatuur monitort eigenlijk geen servers maar monitort de AD als geheel en alles in dit product is daar ook op gericht.
Een eerste installatie van Directory Analyser mislukte in ons testnetwerk maar na het opnieuw bouwen daarvan werkte alles wel naar behoren. Als alles eenmaal is geïnstalleerd en we zoeken contact met de enterprise agent dan
krijgen we een interface die er uitziet zoals in figuur 1. Het aardige van de netpro interface is dat we grafisch door onze AD structuur kunnen 'wandelen' wat het makkelijker maakt een probleem te lokaliseren. Nadat Netpro actief
geworden is zal er in het alert log een enorme hoeveelheid alerts arriveren die door de agents zijn aangemeld. Dit hoeft niet direct een reden tot ongerustheid te zijn. Netpro Directory Analyzer is namelijk nogal kritisch en geeft
daardoor veel meldingen. Vaak zijn dit geen echte fouten omdat dit configuratiekeuzes zijn die toevallig niet in het plaatje passen. Het is echter ook zeer goed mogelijk dat allerlei oud zeer wordt gevonden dat dan mooi kan worden
opgeruimd. Gelukkig kunnen we hier kennis maken met een van de interessantste features van Directory Analyze. Bij elke foutmelding kan een helptekst worden opgezocht die uitvoerig uitlegt wat de melding precies betekent en
verwijzingen geeft naar meer informatie. Dit is echt een hele interessante optie die je niet vaak tegenkomt. Conclusie.
Netpro's Directory Analyser concentreert zich op het hart van het Windows 2000 Netwerk, de directory. Dit is het sterke punt , maar tevens ook de zwakheid van het product. Voor de monitoring van de andere servers en
serverappicaties zal altijd naar een andere oplossing moeten worden gezocht, dit maakt de positie van het product zwakker omdat veel van de functionaliteit door andere pakketten worden geboden, de kosten kunnen dan als een hobbel
gezien worden om het te gaan gebruiken. Desalniettemin is Directory Analyzer erg goed in waarvoor het ontworpen is en kan het zeker de wat minder gespecialiseerde systeembeheerder helpen zijn netwerk gezond te houden. Vooral de
uitgebreide tips die worden gegeven bij een alert zijn heel verhelderend en besparen veel tijd.
De Active Directory kun je zien als een als een gedistribueerde database. Overal worden updates gedaan die gerepliceerd worden over het netwerk. Maar wat als er ergens iets
niet goed zit? Hoe kun je als beheerder vaststellen dat alles in orde is? Mogelijk zijn er connecties met bepaalde sites niet goed of zelfs verbroken. Verbroken verbindingen valt iets sneller op maar onbetrouwbare verbindingen
kunnen op langere termijn nog meer schade aanrichten doordat ze onduidelijke problemen kunnen veroorzaken. Eigenlijk willen we dus ook weten of onze verbindingen betrouwbaar zijn. Vervolgens willen we weten of de systemen die met
elkaar zijn verbonden in orde zijn. We willen antwoorden op vragen als: Is de DNS niet overbelast of zijn er wel genoeg Domain Controllers aanwezig?
Helemaal zonder hulpjes zijn we gelukkig niet, probleemoplossing komt echter al
snel neer op het starten van een caleidoscoop aan verschillende hulpprogrammaatjes zoals repladmin, ADSI edit, netdiag en dcdiag. Voor de doorgewinterde AD specialist misschien niet een probleem maar voor de dagelijks beheerder een
forse klus, niet alleen met het opzoeken van gebeurtenissen in de AD maar ook om de verzamelde gegevens te interpreteren.
Netpro stelt aan geïnteresseerden een
evaluatieversie beschikbaar, wij hebben testen gedaan met zowel de oude 1,1 versie als de zojuist uitgebrachte 1.2 versie.
Directory Analyser wordt op een machine geïnstalleerd vanwaar we het netwerk voorzien van site
agents en DC agents. DC agents rapporteren aan de siteagent van hun site die op zijn beurt rapporteert aan de enterprise agent die geïnstalleerd is op een niet-domaincontroller. De enterprise agent dient als centraal punt
waar alle agents hun gegevens naartoe transporteren. De agents communiceren met UDP pakketjes op TCP port 2650, let er bij het gebruik van firewalls erop, dat deze poort intern beschikbaar moet zijn (en extern natuurlijk niet).
Wat voor problemen detecteert Directory Analyser precies? Het detecteert relicatiegerelateerde zaken zoals replicatie
performance, inconsistentie van Group policies, DNS en server gerelateerde zaken zoals CPU en diskgebruik. De replicatie metingen zijn erg interessant, door middel van een schema wijziging is het programma in staat
replicatieproblemen te detecteren. Zonder schema wijziging is deze functie niet op eenvoudige wijze mogelijk.
Alle meldingen die worden gegenereerd komen uiteindelijk samen in de enterprise agent. Deze slaat ze op in een
database. Middels de client (figuur 1) kan hier contact mee worden gezocht. De mogelijkheden van de client zijn helaas wat beperkt tot de interface. Het is mogelijk om SNMP of email berichten te versturen en Netpro heeft ook Tivoli
ondersteuning ontwikkeld. De mogelijkheid tot koppeling met externe systemen lijkt beperkt te zijn tot deze opties. Echter, de database van de Enterprise Agent is eigenlijk een Microsoft Access Database en dit opent ineens een
wereld van mogelijkheden. Door gebruik te maken van ADO en vbscript (Zie ook Window sen Netwerken Mei 2001, The poor mans management system) kunnen we de alerts van de Enterprise agent uitlezen en verwerken. Voorbeeld 1 laat zien
hoe dat in de praktijk zou kunnen gaan.
Jammer is dat niet mogelijk om het huidige aantal alerts uit te breiden met eigengemaakte alerts.Het blijft dus beperkt tot de alerts die Netpro voor ons heeft uitgezocht.
W. Verveen is verbonden aan de Ormer groep als Consultant, daarnaast beheert hij Windows 2000 Wereld
E-mail: w.verveen@ormer.nl
Web: http://www.ormer.nl
en
http://www.win2kwereld.nl
