Mi sono imbattuta recentemente, dopo molto tempo, nella configurazione del management pack di Active Directory in OpsMgr 2012 Sp1.

La procedura non è cambiata rispetto a OpsMgr 2007, e non ricordavo quanto poteva essere noiosa per alcuni ambienti dove i permessi necessari non sono dati per scontati.

La riporto qui per facilità di chi si trovasse ad affrontare le stesse problematiche.

Per il monitoraggio delle repliche l'agente sul Domain Controller esegue periodicamente lo script "AD Replication Monitoring". La prima volta che viene eseguito verifica l'esistenza di un container OpsMgrLatencyMonitors, se non c'è lo crea, se c'è scrive all'interno di quel container un oggetto che rappresenta il DC stesso. Le volte successive che lo script gira, verrà solo aggiornato un attributo dell'oggetto che rappresenta il DC (adminDescription) con l'ora corrente (in base alla quale di volta in volta vengono calcolati i tempi di latenza).

Ma fermiamoci un momento prima poiché l'intoppo spesso si presenta già alla creazione del container.

Se non ci sono Run As Accounts configurati, l'agente esegue con LOCAL SYSTEM lo script AD Replication Monitoring; in questo caso "di solito" (ma può capitare che non sia così) il container viene correttamente creato con i relativi permessi, ed ogni DC può creare il proprio oggetto all'interno del container.

Quando ciò non accade, il container va creato a mano e vanno assegnati i permessi necessari affinché le operazioni sopra descritte vadano a buon fine:

    1.  Accedere ad ADSIEdit con un account che abbia i privilegi per modificare la Domain Partition

    2. Collegarsi al "Default naming context" e creare il container OpsMgrLatencyMonitors

        

    3.  Aprire le proprietà del container per modificarne i permessi: dal tab Security premere Advanced e poi Add

    4.  Cercare il gruppo ENTERPRISE DOMAIN CONTROLLERS ed assegnargli i seguenti permessi: 

    1. Tab Object:
      • Apply to: This Object and all descendant objects
      • Selezionare: Create Container Objects
    2. Tab Properties:
      • Apply to: This Object and all descendant objects
      • Selezionare: Write adminDescription
    3. Tab Properties
      • Apply to: This Object and all descendant objects
      • Selezionare: Read all properties

          

Una volta completate queste configurazioni, il container verrà creato e gestito senza problemi così come gli oggetti relativi ai DC.

 

 

Cosa succede se ho configurato un Run As Account con un account di dominio? Niente di diverso, si applica la stessa procedura selezionando il Run As Account al posto del gruppo Enterprise Domain Controllers.

 

La configurazione del monitoraggio non è ancora conclusa: a questo punto, su ADSI Edit finalmente vediamo i container creati….ma la vista Replication Latency sulla console SCOM  è ancora vuota.
Bisogna infatti aggiungere a mano i DC per cui si vogliono collezionare i dati di performance di Replication Latency:

  1. Aprire la console al Tab Authoring
  2. Selezionare Management Pack Objects -> Rules e cercare le regole  “AD Replication Monitoring Performance Collection (Targets)” e “AD Replication Monitoring Performance Collection (Sources)”

       

Queste regole andranno abilitate tramite un override.

ATTENZIONE:
Per evitare di generare un carico di dati di performance eccessivo la guida suggerisce di creare due gruppi (DC Sources e DC Targets) con un numero limitato di DC e impostare l'override sui gruppi. Facendo l'override per "For all object of class: Windows 2008 domain controller computer Role" si produrrà la raccolta dei dati di replication Latency tra tutti i Domain Controllers.
Seguire le indicazioni della guida: http://technet.microsoft.com/en-us/library/ee662305.aspx

 

Arrivati qui la configurazione per il monitoraggio delle repliche è conclusa!

Uno sguardo alla Console e..oops! Ancora degli allarmi!

Il monitoraggio delle repliche infatti non solo crea un container OpsMgrLatencyMonitors nella Default-naming-context partition, ma anche nelle DomainDnsZones e ForestDnsZones. In queste partizioni vengono creati gli oggetti relativi ai DNS (se integrati in AD) per i quali sono monitorate le latenze di replica delle zone tra i vari DNS.

Se, come è capitato a me, il LOCAL SYSTEM come action account non ha permessi a sufficienza per creare i container in quelle partizioni, si dovrà eseguire la stessa procedura in ADSI Edit descritta sopra, ma collegandosi al DomainDnsZones e ForestDnsZones nella forma: "DC=DomainDnsZones,DC=dominio,DC=estensione_dominio".

Il mio lab nell'esempio:

 

 

Se infine delle repliche non vi interessa niente e cercate solo un modo per disabilitarne il monitoraggio, questo blog spiega chiaramente quali sono le regole che vanno disabilitate: http://blogs.technet.com/b/jimmyharper/archive/2009/05/20/configuring-or-disabling-replication-monitoring-in-the-active-directory-management-pack.aspx

 

Marta