Делюсь полезным шаблоном для мониторинга счётчиков производительности Windows Server. Счётчиков производительности много, в шаблон заведены шестнадцать счётчиков.
Скачать шаблон для Zabbix 5:
https://files.internet-lab.ru/d/64e62de298ee46238530/
В шаблоне 2 приложения, 16 элементов данных, 16 триггеров. Основные настройки для удобства вынесены в макросы.
По аналогии можно добавить и другие счётчики производительности.
Счётчики DNS (Domain Name System)
- \DNS\Total Query Received/sec
- \DNS\Total Response Sent/sec
\DNS\Total Query Received/sec
Общее количество DNS-запросов (по UDP/TCP), полученных сервером в секунду. Главный индикатор нагрузки на DNS. Резкий скачок может означать DDoS-атаку, сканирование сети или сбойное приложение.
\DNS\Total Response Sent/sec
Количество ответов, отправленных DNS-сервером клиентам. Диагностика: Если это значение значительно ниже Query Received, сервер не успевает отвечать (перегружен или атакован).
Счётчики NTDS (Active Directory)
- \NTDS\AB Browses/sec
- \NTDS\AB Searches/sec
- \NTDS\DRA Pending Replication Synchronizations
- \NTDS\LDAP Bind Time
- \NTDS\LDAP New Connections/sec
- \NTDS\LDAP New SSL Connections/sec
- \NTDS\LDAP Searches/sec
- \NTDS\LDAP UDP operations/sec
- \NTDS\LDAP Writes/sec
- \NTDS\Onelevel searches/sec
- \NTDS\SAM Account Group Evaluation Latency
- \NTDS\SAM Resource Group Evaluation Latency
- \NTDS\SAM Universal Group Membership Evaluations/sec
- \NTDS\Subtree searches/sec
Счётчики Address Book (AB) — нагрузка от почтовых клиентов
\NTDS\AB Browses/sec
Скорость операций навигации по адресной книге (просмотр списка отделов, контейнеров). Высокое значение → много пользователей Outlook или других MAPI-клиентов листают GAL (глобальный список адресов). Может расти в час пик.
\NTDS\AB Searches/sec
Скорость поисковых запросов к адресной книге (когда набирают имя в поле Кому). Отделяет поиски от простых просмотров. Если высокий, а Browses низкий — пользователи активно ищут, а не листают.
Основные LDAP-операции (общая нагрузка на AD)
\NTDS\LDAP Searches/sec
Общее количество поисковых LDAP-запросов в секунду (от любых приложений, не только Outlook). Основной показатель нагрузки на каталог. Резкий рост → возможно, сбойное приложение или сканирование AD.
\NTDS\LDAP Writes/sec
Скорость операций записи в AD (изменение атрибутов, смена паролей, создание объектов). Высокое значение + рост DRA Pending → репликация не успевает за изменениями.
\NTDS\LDAP UDP operations/sec
Количество LDAP-операций через протокол UDP (обычно быстрые, легковесные запросы). Внезапный рост может указывать на проблемы с TCP-соединениями (приложения падают на TCP и переходят на UDP).
\NTDS\LDAP New Connections/sec
Скорость создания новых обычных LDAP-соединений (без шифрования). Очень высокое значение → приложения постоянно переподключаются вместо переиспользования соединений (плохо написанный код).
\NTDS\LDAP New SSL Connections/sec
Скорость создания защищённых LDAPS-соединений (порт 636). Каждое такое соединение тратит CPU на TLS-рукопожатие. Резкий рост → нагрузка на процессор, возможно, атака или лавинное переподключение.
\NTDS\LDAP Bind Time
Среднее время аутентификации (bind) в LDAP (в секундах). Ключевой показатель производительности. Если стабильно выше 0.1 сек — проблемы: перегрузка DC, медленные диски, сетевые задержки. Выше 1 сек — критично.
Типы поисков (детализация)
\NTDS\Onelevel searches/sec
Поиск только внутри одного контейнера (без вложенных папок). Лёгкие операции. Их рост обычно безопасен.
\NTDS\Subtree searches/sec
Рекурсивный поиск по всему поддереву AD (по всем вложенным контейнерам). Самые тяжёлые операции. Если этот счётчик высокий — кто-то сканирует AD целиком. Это грузит CPU и диск. Типичные виновники: плохие скрипты, инвентаризаторы, злоумышленники.
Счётчики SAM (группы и логины)
\NTDS\SAM Account Group Evaluation Latency
Задержка вычисления пользовательских групп (тех, где пользователь — член). Высокая задержка → пользователи входят в систему дольше. Типичная причина: слишком много групп у пользователя (токен-блоат).
\NTDS\SAM Resource Group Evaluation Latency
Задержка вычисления ресурсных групп (например, группа доступа к папке или принтеру). Рост указывает на проблемы при открытии файлов или подключении к ресурсам. Лечится оптимизацией вложенности групп.
\NTDS\SAM Universal Group Membership Evaluations/sec
Скорость проверок членства в универсальных группах (Universal Groups). Высокое значение + высокие задержки выше → проблема именно с универсальными группами. Они тяжелее, так как их членство хранится не на одном DC.
Репликация
\NTDS\DRA Pending Replication Synchronizations
Количество изменений в очереди на отправку другим контроллерам домена (которые ещё не отреплицированы). Если это число стабильно > 10–20 или постоянно растёт → это авария. Репликация не успевает или полностью сломана. Причины: сеть между DC, отключённый партнёр, проблемы с разрешением имён.
