在企业的IT基础设施中，活动目录（Active Directory，简称AD）扮演着身份验证、策略管理和资源协调的中枢角色。其健康状况直接影响到整个信息系统的可用性、安全性和效率。作为《SCOM 2012部署系列》的第十一篇，本文将深入探讨如何利用System Center Operations Manager 2012（SCOM 2012）对活动目录进行全方位、智能化的监控，并将其作为信息系统运行维护服务（ITOM）的一项核心实践，确保关键业务服务的稳定运行。

一、 活动目录监控的重要性与挑战

活动目录是一个复杂的分布式系统，包含域控制器、DNS、复制、组策略、证书服务等多个关键组件。其监控面临以下挑战：

1. 复杂性高：组件相互依赖，单一问题可能引发连锁反应。
2. 性能瓶颈隐蔽：身份验证延迟、复制失败等问题可能逐步累积，直至造成服务中断。
3. 安全风险大：账户异常、权限变更、策略泄露都可能成为安全突破口。
4. 影响范围广：AD故障将导致用户无法登录、应用访问失败、策略不生效，业务中断风险极高。

因此，将AD监控从被动的故障响应，提升为主动的、预见性的运行维护服务，是保障业务连续性的关键。

二、 部署SCOM 2012活动目录管理包

SCOM通过“管理包”扩展其监控能力。要监控AD，核心步骤是导入和配置Microsoft提供的Active Directory管理包。

1. 获取管理包：从Microsoft官方目录或SCOM控制台在线目录下载最新版本的“Active Directory管理包”。建议同时下载其依赖的管理包，如Windows Server操作系统管理包。
2. 导入管理包：在SCOM控制台的“管理”工作区，使用“导入管理包”功能。系统会自动解析依赖关系并指导安装。
3. 配置发现规则：管理包导入后，SCOM会自动发现网络中的域控制器。管理员需确认发现范围，并确保SCOM运行账户（通常是一个域账户）对目标域控制器具有足够的访问权限（如读取事件日志、访问性能计数器、运行WMI查询等）。
4. 调优与定制：默认的管理包监控项非常详尽，可能会产生大量告警。初期应根据自身环境的重要性和容量，适当调整告警阈值、禁用某些非关键监控规则，或创建自定义的、符合企业特定运维需求的监视器和规则。

三、 核心监控场景与运行维护服务集成

SCOM 2012对AD的监控覆盖了运行维护服务的多个层面：

• 可用性监控（服务保障）：
• 域控制器状态：监控DC是否在线、关键服务（Netlogon， DNS Client， Kerberos Key Distribution Center等）是否运行。

• 关键进程与端口：确保lsass.exe进程健康，389（LDAP）、636（LDAP SSL）、88（Kerberos）等端口可访问。

• 仪表板视图：创建专属仪表板，一目了然地查看所有域控制器的综合健康状态。

• 性能监控（容量与性能管理）：
• CPU、内存、磁盘I/O：监控DC的硬件资源使用率，预防性能瓶颈。

• LDAP搜索时间：监控平均LDAP绑定和搜索时间，这是影响用户登录和应用响应速度的关键指标。

• NTDS性能计数器：重点关注“DRA入站/出站对象剩余数”、“数据库缓存命中率”等，评估复制状态和数据库效率。

• 配置与变更监控（配置管理）：
• 复制拓扑与状态：监控AD站点内与站点间的复制是否成功、及时。复制失败是AD最常见也最严重的问题之一。

• FSMO角色持有者：监控五大操作主机角色的所在服务器，确保其可用性。

• 组策略应用状态：可以关联监控客户端组策略应用的成功与失败情况。

• 安全与合规监控（安全管理）：
• 账户锁定风暴：监控短时间内大量账户被锁定的异常事件，这可能是暴力破解攻击的迹象。

• 特权账户登录：跟踪域管理员等高权限账户的登录行为，关联到SOC（安全运营中心）流程。

• 关键事件ID：集中监控如事件ID 4740（用户账户锁定）、4771（Kerberos预身份验证失败）等安全相关事件。

四、 告警关联、自动化与知识库建设

1. 告警关联与降噪：SCOM可以将底层多个相关事件（如磁盘空间不足导致NTDS服务异常，进而引发复制失败）关联成一个根源告警，帮助运维人员快速定位问题本质，避免告警风暴。
2. 自动化响应：结合SCOM的“任务”和Orchestrator，可以实现简单的自动化修复。例如，当监测到某域控制器的DNS服务停止时，自动尝试重启该服务并记录操作日志。
3. 知识库集成：在SCOM告警中，可以链接到企业内部知识库（KB）或Microsoft TechNet文档，将“发生了什么问题”与“如何解决问题”的步骤直接关联，加速故障排除，并沉淀运维经验。

五、 报表与服务级别管理

SCOM强大的报表功能，为运行维护服务的持续改进提供数据支撑：

• 生成周期性健康报告：每周/每月出具AD环境健康报告，统计可用性、性能趋势、告警数量等。
• 服务级别跟踪：可以定义AD相关服务的SLA（如域控制器可用性达到99.9%），并通过报表跟踪实际达成情况。
• 容量规划：通过分析历史性能数据，预测未来资源需求，为域控制器的升级或扩容提供决策依据。

###

通过SCOM 2012对活动目录实施全面监控，IT运维团队能够将AD管理从一项离散的技术工作，转变为一套标准化、可视化、可度量的运行维护服务。这不仅能显著提升AD环境的稳定性和安全性，降低业务中断风险，更能通过主动管理和数据驱动，优化IT服务交付质量，真正体现IT运维部门作为业务支撑单元的核心价值。部署与调优的过程，也是梳理和巩固企业AD基础架构最佳实践的过程，为迈向更智能的IT运营管理（ITOA和AIOps）奠定坚实基础。