본문 바로가기

STUDY/ㄴ WINDOWS

MOM을 사용하여 Active Directory 모니터링

At a Glance:
  • Active Directory 관리 팩
  • MOM을 위한 사용자 지정 팁
  • 경고 조정

관리 팩은 Microsoft Operations Manager(MOM) 2005의 핵심 요소로서, MOM 2005를 여타 관리 제품과 구분 짓는 이유이기도 합니다. 관리 팩을 통해 규칙, 보고서, 작업 및 보기를 한 곳에 통합하는 MOM은 특정 응용 프로그램이나 Active Directory 같은 서비스에 제한하여 사용할 수도 있습니다.

Microsoft 제품 팀은 응용 프로그램을 개발할 때 관리 팩도 만들어 MOM에 제품 팀의 상세한 제품 지식이 반영되도록 합니다. 관리 팩은 고유한 IT 환경에 맞게 사용자 지정할 수도 있습니다. 이렇게 하면 특정 서버 및 응용 프로그램 환경을 기반으로 해당 제품을 관리하고 모니터링하는 규칙이 만들어집니다.

Active Directory®용의 특정 관리 팩 이외에도 Windows Server® Base Operating System, DHCP(Dynamic Host Configuration Protocol), DNS, FRS(파일 복제 서비스) 등의 디렉터리 서비스 상태를 모니터링하는 여러 가지 관리 팩이 있습니다. MOM을 통해 Active Directory를 완벽하게 관리하는 방법을 명확히 이해할 수 있도록 이러한 관리 팩을 보다 자세히 살펴보겠습니다.


DHCP 관리 팩

DHCP 서비스 관리 팩은 Windows NT®, Windows® 2000 및 Windows Server 2003에서 실행되는 DHCP 서비스를 모니터링합니다. DHCP를 모니터링하면 클라이언트에게 네트워크 연결 문제가 있는지 확인할 수 있고, 해당 환경에서 실행되는 무단 DHCP 서버를 가려낼 수도 있습니다. 이 관리 팩의 다운로드 패키지에는 모니터링 시나리오, 배포, 규칙 및 보고서에 관한 가이드가 포함되어 있습니다. 추가 설명서 및 지침은 TechNet MOM 2005 웹 사이트(microsoft.com/technet/prodtechnol/mom/mom2005)(영문)에서 확인할 수 있습니다.

DHCP 서비스가 실행되는 Windows가 최신 버전일수록 관리 작업에 사용할 수 있는 MOM 2005의 도구와 기능이 많아집니다. 따라서 Windows NT DHCP 서버보다는 Windows Server 2003 DHCP 서버에 대해 더 많은 정보를 얻을 수 있는 것입니다. 예를 들어 Windows Server 2003에서 실행되는 DHCP 서버의 경우 대범위 모니터링이 가능한 반면, Windows 2000 DHCP 서버에서는 DHCP 관리 팩이 일반 범위에 대해서만 모니터링합니다. 모니터링 스크립트의 매개 변수로 제외 범위를 지정하면 일부 범위를 모니터링에서 제외할 수도 있습니다.

앞서 언급했듯이 DHCP 관리 팩은 Windows NT, Windows 2000 Server 및 Windows Server 2003에서 실행되는 DHCP 서버를 지원합니다. 컴퓨터 그룹은 해당 운영 체제 버전 및 서버가 DHCP 서버 서비스를 호스트하는지 여부를 사용하는 수식을 통해 채워집니다.

DHCP 관리 팩은 낮은 권한 수준의 구성을 지원하지 않으며, 에이전트 작업 계정은 로컬 Administrators 그룹의 구성원이어야 합니다. 또한 에이전트 없는 모니터링이 지원되기는 하지만 작업은 에이전트 없는 구성에서 지원되지 않습니다. 그림 1은 DHCP 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다.

DHCP 관리 팩은 go.microsoft.com/fwlink/?LinkId=79527(영문)에서 다운로드할 수 있습니다.


DNS 관리 팩

DNS(도메인 이름 서비스) 관리 팩은 Windows 2000 Server 및 Windows Server 2003에서 실행되는 DNS 서비스를 모니터링합니다. DNS 관리 팩은 Active Directory의 전체 구현 상태를 모니터링하는 데 없어서는 안 될 부분이므로 MOM 2005를 사용하여 DNS를 모니터링하는 것은 매우 중요합니다. 이 DNS 관리 팩은 이름 확인 문제, 데이터베이스 문제, 레지스트리 문제, 런타임 이벤트 및 오류, 관련 성능 카운터 등을 모니터링합니다.

Windows 2000 Server의 경우 WMI(Windows Management Instrumentation) DNS 공급자를 설치해야 합니다. 그러면 DNS 관리 팩이 정보 및 테스트를 위해 WMI DNS 네임스페이스를 쿼리할 수 있습니다.

컴퓨터 그룹은 해당 운영 체제 버전 및 서버가 그룹 구성원을 확인하기 위해 DHCP 서버 서비스를 호스트하는지 여부를 사용하는 수식을 통해 채워집니다. DNS 관리 팩은 Windows Server 2003에서만 낮은 권한 수준을 지원합니다. Windows 2000에서 작업 계정은 로컬 Administrators 그룹의 구성원이어야 하고, Windows Server 2003에서는 작업 계정이 로컬 Users 및 Performance Monitor Users 그룹의 구성원이어야 합니다. 또한 작업 계정에는 감사 및 보안 로그 관리(SeSecurityPrivilege) 권한과 로컬 로그온 허용(SeInteractiveLogonRight) 권한이 있어야 합니다. 그림 2는 DNS 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다.

Microsoft® Systems Management Server(SMS)의 MVP인 Marcus Oh는 nslookup을 호출하여 DNS 서버의 이름 확인 기능을 검증하는 DNS 서버 테스트 스크립트를 개발했습니다. Marcus의 블로그(marcusoh.blogspot.com/2006/05/mom-monitoring-dns-synthetically.html)(영문)에서 내용을 살펴보면 당장 이 스크립트를 DNS 관리 팩에 통합하고 싶어질 것입니다.

DNS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79528(영문)에서 다운로드할 수 있습니다.


FRS 관리 팩

Windows FRS(파일 복제 서비스) 관리 팩은 Windows 2000 및 Windows Server 2003에서 실행되는 FRS 서비스를 모니터링합니다. FRS는 도메인 컨트롤러가 로그온 스크립트와 그룹 정책 정보를 복제하는 데 사용합니다. FRS 관리 팩은 각 도메인 컨트롤러의 FRS 서비스 상태를 자세히 모니터링합니다.

FRS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79529(영문)에서 제공되는 Ultrasound 도구를 사용합니다. 각 도메인 컨트롤러에 FRS를 위한 WMI 네임스페이스를 생성하는 이 Ultrasound는 데이터베이스를 필요로 하며 상태 모니터링을 위해 WMI 네임스페이스 정보를 각 도메인 컨트롤러에 저장합니다. FRS 관리 팩은 Ultrasound의 수집 정보를 사용하여 복제 세트, 구성원, 연결, FRS 서비스 자체 및 Ultrasound 컨트롤러 서비스를 모니터링합니다.

사실 Ultrasound는 관리 서버와 다른 별도의 서버에 설치해야 합니다. Ultrasound 규칙은 다른 컴퓨터를 대신하여 이벤트와 경고를 작성합니다. Ultrasound 규칙이 데이터를 제대로 처리하도록 하려면 Ultrasound가 실행되는 각 서버의 MOM 관리자 콘솔에서 에이전트 프록시를 설정해야 합니다. 그림 3은 FRS 관리 팩에서 사용할 수 있는 네 가지 서비스 보고서를 보여 줍니다.

이 관리 팩과 연관된 컴퓨터 그룹에는 Windows 2000 Server 및 Windows Server 2003에서 실행되는 Microsoft Ultrasound 1.0 서버와 FRS 서버가 포함됩니다. 컴퓨터 그룹은 해당 운영 체제 버전 및 서버가 그룹 구성원을 확인하기 위해 FRS 서비스를 호스트하는지 여부를 사용하는 수식을 통해 채워집니다. Ultrasound Servers 그룹은 서버에 Ultrasound가 설치될 때 구성됩니다.

낮은 권한 수준에 대해 FRS 관리 팩을 구성하는 경우 작업은 수행되지 않지만 관리 팩의 나머지 기능은 지원됩니다. 작업 계정에는 Ultrasound 데이터베이스에 대한 읽기 권한과 GetControllerStatusForMOM001 저장 프로시저에 대한 실행 권한이 있어야 합니다. FRS 관리 팩은 에이전트 관리 컴퓨터는 물론 에이전트 없는 컴퓨터에 대해서도 모니터링 지원을 제공합니다.

FRS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79530(영문)에서 다운로드할 수 있습니다.


Windows 서버 관리 팩

Windows Base Operating System 관리 팩은 Windows NT 4.0 Server, Windows 2000 Server 및 Windows Server 2003을 모니터링합니다. 이 Base OS 관리 팩은 도메인 컨트롤러를 위한 운영 체제의 상태를 보고하고 해당 시스템의 루트 서비스도 모니터링합니다. 이 관리 팩은 또한 핵심 Windows 서비스의 상태, 메모리 및 프로세서 성능, 디스크 여유 공간, 디스크 대기 시간 등도 알려 줍니다. 이 관리 팩과 이 문서에서 다루는 다른 관리 팩의 모니터링 규칙에는 중복되는 부분이 있지만 이러한 정보는 도메인 컨트롤러 상태를 자세히 검토하는 데 매우 유용합니다.

그림 4는 Base OS 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다. 다른 관리 팩과 마찬가지로 컴퓨터 그룹은 해당 운영 체제 버전을 사용하는 수식을 통해 구성됩니다.

낮은 권한 수준의 작업에 대해 Base OS 관리 팩을 구성하는 경우 Windows 2000에서는 작업 계정이 로컬 Administrators 그룹의 구성원이어야 합니다. Windows Server 2003에서는 작업 계정이 로컬 Users 및 Performance Monitor Users 그룹의 구성원이어야 하고 감사 및 보안 로그 관리(SeSecurityPrivilege) 권한과 로컬 로그온 허용(SeInteractiveLog-onRight) 권한이 있어야 합니다. 작업을 제외한 Base OS 관리 팩의 기능 대부분은 에이전트 없는 모니터링 대상 컴퓨터에서 지원됩니다.

Base OS 관리 팩은 go.microsoft.com/fwlink/?LinkId=79531(영문)에서 다운로드할 수 있습니다.


Active Directory 관리 팩

Active Directory 관리 팩은 매우 광범위하며 그 규칙이 Windows 2000 Server와 Windows Server 2003에 모두 적용됩니다. 이 Active Directory 관리 팩에는 클라이언트 쪽 모니터링, 트러스트 모니터링, 복제 모니터링, 토폴로지 검색, Windows 2000 Server와 Windows Server 2003 운영 체제에 적용되는 규칙 등 모두 다섯 가지 영역의 규칙이 포함되어 있습니다. 앞에서도 언급했듯이 Windows가 최신 버전일수록 사용 가능한 도구가 많아지므로 보다 자세한 모니터링이 가능합니다. 예를 들어 이 관리 팩은 Windows Server 2003에서 트러스트 모니터링을 지원하지만 Windows 2000에서는 지원하지 않습니다.

Active Directory 관리 팩은 여러 그룹을 생성하여 특정 컴퓨터에 규칙을 적용하는 데 사용합니다. 클라이언트 쪽 모니터링 규칙은 Active Directory Client Side Monitoring이라는 그룹을 사용합니다. MOM 에이전트가 설치된 컴퓨터를 이 그룹에 지정하여 이러한 규칙을 모니터링하고 관리할 수 있습니다. 필자는 일부 Exchange 서버 외에도 에이전트로 라이선스를 받은 몇몇 데스크톱 컴퓨터를 이 그룹에 지정했습니다. Exchange 서버는 Active Directory를 광범위하게 사용하면서 문제 발생을 알려 주는 주요 표시기 역할을 합니다. 이 그룹의 데스크톱 컴퓨터는 최종 사용자 만족도를 평가하는 데 유용할 수 있습니다. 클라이언트 쪽 모니터링 규칙은 스크립트를 사용하여 도메인 컨트롤러에 대한 연결을 테스트하며 LDAP를 통해 쿼리하고 오류를 보고합니다. 이때 프록시는 설정되어 있지만 도메인 컨트롤러가 아닌 에이전트 관리 컴퓨터에만 클라이언트 쪽 모니터링 규칙을 적용할 수 있다는 점에 유의해야 합니다.

트러스트 모니터링 규칙은 Active Directory Trust Monitoring이라는 그룹을 사용합니다. Windows Servers 2003 컴퓨터는 이 그룹에 지정되어 트러스트를 테스트합니다. Windows Server 2003에는 트러스트 모니터링을 위해 WMI 네임스페이스가 포함되어 있습니다. 이러한 규칙은 스크립트를 사용하여 WMI 네임스페이스를 쿼리합니다. 그리고 다른 도메인의 트러스트에서 오류가 감지되면 경고를 보냅니다.

Windows 2000 Server 또는 Windows Server 2003에 적용되는 Active Directory 관리 팩 규칙은 많습니다. 이러한 규칙은 이 두 운영 체제의 Active Directory 구현 방식에 나타나는 차이점을 자세히 보여 줍니다. 그러나 대부분의 Active Directory 관리 팩은 두 운영 체제 모두에 결합형 규칙을 적용합니다. 이러한 규칙 중 일부에는 스크립트가 포함되어 있어 도메인 컨트롤러 간의 연결을 테스트하고 FSMO(신축 단일 마스터 작업) 역할 소유자와 DIT(Directory Information Tree) 데이터베이스 크기를 확인하며 그룹 정책 처리, KCC(정보 일관성 검사) 검사, 사이트 간 메시징 서비스 테스트를 확인합니다.

복제 모니터링은 Active Directory 관리 팩의 핵심이라 할 수 있습니다. 여기서는 Active Directory Replication Latency Data 컬렉션(원본) 및 Active Directory Replication Latency Data 컬렉션(대상)의 두 그룹 덕분에 복제 모니터링 보고 전용의 도메인 컨트롤러를 구성할 수 있습니다. 복제 대기 시간은 데이터 수집 그룹의 구성원별로 계산되고, 성능 카운터는 업데이트가 각 그룹 구성원에 복제되는 데 소요된 시간으로 계산됩니다. 회사 전체의 복제 대기 시간이 지정된 임계값을 초과할 경우에는 시간이 계산되어 보고되고 경고가 생성됩니다. 복제 모니터링을 위한 WMI 네임스페이스는 Windows 2000 Server에 설치해야 합니다.

Active Directory 관리 팩의 토폴로지 검색은 구현 다이어그램을 만드는 데 사용됩니다. 이러한 유용한 다이어그램은 Microsoft Office Visio®에 내보낼 수 있으며 MOM에서 실시간으로 작성할 수 있으므로 단 몇 초 만에 최신 버전을 만들 수 있습니다.

MOM 2005 운영자 콘솔의 다이어그램 보기에는 세 가지 Active Directory 관리 팩 다이어그램이 들어 있습니다. 우선 Broken Connection Objects(끊긴 연결 개체) 다이어그램(그림 5 참조)에는 오류 상태의 모든 연결이 표시됩니다. 연결 오류가 없으면 이 다이어그램은 비어 있습니다.

그림 5 다이어그램 보기에서 강조 표시된 끊긴 연결
그림 5 다이어그램 보기에서 강조 표시된 끊긴 연결

Connection Objects(연결 개체) 다이어그램은 DC 간의 연결을 강조 표시합니다. 그리고 Site Links(사이트 링크) 다이어그램은 사이트의 해당 도메인 컨트롤러와 연결 사이트 링크를 포함하여 각 Active Directory 사이트를 보여 줍니다.

MOM이 이러한 보기에 생성한 다이어그램은 동적이므로 Visio에 내보내 간편하게 편집하고 사용자 지정할 수 있습니다. 그림 6은 Visio에서 편집 중인 Site Links(사이트 링크) 다이어그램을 보여 줍니다.

그림 7은 Active Directory 관리 팩에서 사용할 수 있는 보고서를 보여 줍니다. 이 관리 팩과 연관된 컴퓨터 그룹은 그림 8에 나와 있습니다. 여기에 나온 것처럼 Active Directory 컴퓨터 그룹은 명시적 구성원을 기반으로 구성되고, Windows 컴퓨터 그룹은 운영 체제의 버전과 시스템이 도메인 컨트롤러인지 여부에 따라 구성됩니다.

Active Directory 관리 팩은 Windows Server 2003 도메인 컨트롤러에서 낮은 권한 수준에 대해 구성할 수 있으며, 에이전트 없는 모니터링은 지원하지 않습니다. Windows 2000 Server에서 에이전트 작업 계정은 Domain Admins 또는 로컬 Administrators 그룹에 속해야 합니다. Windows Server 2003 도메인 컨트롤러의 에이전트 작업 계정에는 Users 그룹 및 Performance Monitor Users 그룹의 구성원과 이벤트 로그에 대한 액세스 권한은 물론 SeSecurityPrivilege, SeAuditPrivilege 및 SeInteractiveLogonRight 권한을 비롯하여 낮은 권한 수준에 대해 구성할 수 있는 추가 권한이 있어야 합니다. 뿐만 아니라 Active Directory에서 복제 모니터링을 수행하기 위한 CN=MomLatencyMonitors 컨테이너에 대한 모든 권한, NTDS.dit 데이터베이스와 로그 파일이 포함된 디렉터리에 대한 읽기 권한, 그리고 다음 레지스트리 키에 대한 읽기 권한도 필요합니다.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\NTDS\Parameters

Windows Server 2003에서 트러스트를 모니터링하는 경우 AD Monitor Trusts 스크립트를 사용하려면 에이전트 작업 계정에 Domain Admin 또는 Administrators 그룹 구성원 자격이 있어야 합니다.

Active Directory 관리 팩은 go.microsoft.com/fwlink/?LinkId=79540(영문)에서 다운로드할 수 있습니다.


Active Directory에 대해 MOM 사용자 지정

Active Directory 관리 팩을 구성하지 않으면 콘솔이 경고로 가득 차게 됩니다. Active Directory 관리 팩은 도메인 컨트롤러가 다시 시작될 때 가장 활발하게 작동합니다. 이때는 가능한 모든 경고가 트리거되는 것 같습니다. 문제는 이런 경고를 중단하기가 쉽지 않다는 데 있습니다. 가장 최선의 방법은 예상된 유지 관리 창에서 MOM의 유지 관리 모드를 사용하여 이러한 경고를 제어하는 것입니다. 유지 관리 모드의 목적은 도메인 컨트롤러의 경고 메시지를 자동으로 해결하여 콘솔이 가득 차지 않도록 하는 것입니다.

그룹 내에 클라이언트 컴퓨터와 해당 서버를 적절히 배치하여 Active Directory Client Side Monitoring 그룹을 구성하는 것도 잊지 말아야 합니다. 이 그룹과 관련된 규칙은 FSMO 상태 및 이에 대한 연결을 확인하는 데 유용합니다.

임계값을 사용하여 LDAP, PING 및 DNS를 사용하는 FSMO에 바인딩함으로써 연결을 확인하는 성능 규칙이 있습니다. 이러한 규칙은 Active Directory Availability(Active Directory 가용성) 성능 규칙에 있습니다. 경고 심각도를 설정하여 이러한 규칙에 사용되는 임계값을 사용자 지정해야 합니다. 예를 들어 FSMO 바인딩은 초 단위의 특성 값을 사용합니다. 각 FSMO 역할에 대한 성능 규칙은 이 경고 생성 방법을 사용합니다.

상태 규칙의 경고 심각도 계산 설정이 작동하는 방식을 이해하는 것은 매우 중요합니다. 이 대화 상자는 특성 값에 대해 If-Else 조건문을 사용하여 적절한 경고 심각도를 설정합니다(그림 9 참조). 이 규칙은 AD Op Master Response 스크립트가 생성한 Last Bind(마지막 바인드) 성능 카운터 정보를 수집할 때 이러한 규칙에 설정된 조건 임계값과 비교하여 검사를 수행합니다. 이러한 경고 수준은 환경에 맞게 적절히 구성해야 합니다.

각 도메인 컨트롤러에 대한 복제 일정은 반드시 기억해야 합니다. 지정된 도메인 컨트롤러의 일정이 다른 컨트롤러와 다를 경우 복제 대기 시간 결과가 왜곡되어 임계값을 더 높게 설정해야 하는 결과를 초래합니다. 또한 복제 스크립트의 매개 변수를 특정 환경에 맞게 설정해야 합니다. 도메인 컨트롤러 중 하나가 작동 중단되거나 복제 문제가 발생하면 이들 그룹의 다른 모든 도메인 컨트롤러는 직접적인 복제 파트너가 아니어도 해당 도메인 컨트롤러에 대해 복제 오류를 보고할 수 있습니다. 따라서 문제의 도메인 컨트롤러를 유지 관리 모드로 지정해도 다른 도메인 컨트롤러가 복제 오류를 보고할 수 있습니다.

Active Directory 관리 팩을 조정할 때 가장 많은 노력이 필요한 부분은 복제 모니터링입니다. 몇 주 동안 관리 팩을 실행하면서 경고가 어떻게 발생하는지 확인해야 합니다. 그리고 몇몇 경향이 발견되면 보고서를 사용하여 대기 시간을 요약하고 임계값을 적절히 조정합니다.

마지막으로 Alert Tuning Solution Accelerator(영문)에 나와 있는 지침을 활용하십시오.


결론

MOM 2005 및 Active Directory 관리 팩을 통해 Active Directory 구현을 효과적이고 효율적으로 모니터링할 수 있습니다. Active Directory, DHCP, DNS, FRS 및 Windows Server Base OS 관리 팩을 사용하여 인프라의 모든 측면을 보다 철저히 모니터링하면서 Active Directory 인프라는 물론 관련 사용자들의 안전하고 편리한 사용 환경을 보장할 수 있습니다. 보고 데이터 웨어하우스에 수집된 방대한 데이터는 성능 및 이벤트 데이터를 분석하여 용량 계획 및 성능 예측을 지원하는 데 매우 유용합니다.

여기서 다룬 관리 팩을 포함하여 다양한 관리 팩을 Management Pack Catalog(영문)에서 확인할 수 있습니다.

Active Directory 관리 팩의 차후 업데이트 버전에서는 보다 유용하게 몇 가지 임계값이 수정될 것입니다. 더욱 기대되는 것은 System Center Operations Manager 2007이라는 이름의 신제품에 추가될 새로운 기능입니다. 여기에는 단일 구성 그룹에서 복수의 포리스트를 모니터링하여 다른 그룹 간의 각 예상 복제 대기 시간을 기반으로 도메인 컨트롤러 그룹을 정의하고 다음 버전의 Window Server에서 실행될 도메인 컨트롤러를 모니터링하는 기능이 포함됩니다. 자세한 내용은 MOM 웹 사이트(http://www.microsoft.com/korea/mom/default.mspx)에서 확인하십시오.



John Hann은 MOM 2000 버전부터 MOM을 사용해왔고 2004년부터 MOM MVP로 활동하고 있습니다. John은 또한 MyITForum.com, MOMCommunity.comLearnMOM.com에 글을 기고하기도 합니다. 문의 사항이 있으면 John의 블로그(영문)로 연락하시면 됩니다.

'STUDY > ㄴ WINDOWS' 카테고리의 다른 글

원도우서버 바로알기  (0) 2007.02.27
그룹 정책 문제 해결을 위한 안내  (0) 2007.02.14
Active Directory에서 권한 위임  (0) 2007.02.14
Windows Vista의 새 그룹 정책 템플릿 검토  (0) 2007.02.13
끄적끄적...  (0) 2007.02.08