使用 OpsMgr 2007 監(jiān)視 Windows Server 2008
大家翹首以盼的 Windows Server 2008 版本對(duì)操作系統(tǒng)進(jìn)行了重大更改,添加了諸如 Server Core、服務(wù)器角色、只讀 DC、Hyper-V、終端服務(wù)網(wǎng)關(guān)以及對(duì) Internet 協(xié)議版本 6 (IPv6) 的增強(qiáng)支持等強(qiáng)大功能。雖然這些更改和新功能帶來了不少好處,但它們?nèi)匀桓淖兞耸褂?System Center 管理和監(jiān)視 Windows Server 2008 系統(tǒng)的方式。
隨著各種組織將 Windows Server 2008 引入它們的生產(chǎn)環(huán)境,這些組織需要一種方法來管理和監(jiān)視上述服務(wù)的運(yùn)行狀況、性能和可用性。幸運(yùn)的是,您可以利用現(xiàn)有的 System Center 技術(shù)。System Center Operations Manager 2007 (OpsMgr) 最近通過推出新的管理包,增加了對(duì) Windows Server 2008 的支持,而 System Center Configuration Manager 2007 (ConfigMgr) 也隨著 ConfigMgr SP1 的發(fā)行增加了對(duì) Windows Server 2008 的支持。
OpsMgr 的工作原理
OpsMgr 2007 使用安裝在要監(jiān)視的服務(wù)器上的代理來監(jiān)視和度量服務(wù)器上 Windows Server 2008 和應(yīng)用程序的運(yùn)行狀況。此代理會(huì)將事件、警告和性能等數(shù)據(jù)報(bào)告給中央服務(wù)器(稱為管理服務(wù)器)。然后,管理服務(wù)器將這些數(shù)據(jù)插入到中央 SQL Server 數(shù)據(jù)庫。這些數(shù)據(jù)即可在任何工作站(運(yùn)行 Windows XP SP2 或更新的 Windows 版本)或 Web 控制臺(tái)的操作控制臺(tái)中呈現(xiàn)。圖 1 說明了這一體系結(jié)構(gòu)。
.gif)
圖 1 Operations Manager 2007 管理組拓?fù)涫纠?/strong>(單擊可獲得大圖)
在服務(wù)器上安裝和配置 OpsMgr 代理后,便會(huì)自動(dòng)發(fā)現(xiàn)在服務(wù)器上安裝的應(yīng)用程序和服務(wù)。管理服務(wù)器會(huì)將特殊的監(jiān)視規(guī)則(稱為對(duì)象發(fā)現(xiàn))發(fā)送給代理。這些規(guī)則會(huì)對(duì)注冊(cè)表和文件系統(tǒng)執(zhí)行檢查,也會(huì)執(zhí)行腳本來查找安裝了哪些組件。它們還會(huì)識(shí)別可為 Windows Server 2008 服務(wù)器配置的所有角色,例如域控制器、打印服務(wù)器、Web 服務(wù)器或群集服務(wù)器。
默認(rèn)情況下,會(huì)將對(duì)象發(fā)現(xiàn)配置為在本地計(jì)算機(jī)上定期重復(fù)執(zhí)行。通過定期重復(fù)執(zhí)行檢查,OpsMgr 可識(shí)別出服務(wù)器上配置的應(yīng)用程序和服務(wù)在一段時(shí)間以來的更改。現(xiàn)在,我可以深入探討一下 OpsMgr 2007 如何提供 Windows Server 2008 基礎(chǔ)結(jié)構(gòu)的可見性。
解決實(shí)際問題的知識(shí)
如上所述,管理包通過提供監(jiān)視規(guī)則、任務(wù)和報(bào)告的集合啟用核心監(jiān)視功能。雖然 OpsMgr 的主要目的是防微杜漸,找出潛在的問題,但它在發(fā)現(xiàn)問題的征兆時(shí)并不只發(fā)出警報(bào)。管理包實(shí)際上還提供監(jiān)視規(guī)則所識(shí)別的許多問題的可能原因并建議解決方案。這些信息會(huì)在您查看警報(bào)時(shí)顯示在上下文中(請(qǐng)參見圖 2),在“監(jiān)視”區(qū)域中以及使用 Health Explorer 查看系統(tǒng)運(yùn)行狀況狀態(tài)時(shí)都會(huì)顯示這些信息。
.gif)
圖 2 操作控制臺(tái)的“警報(bào)”視圖中提供的產(chǎn)品知識(shí)(單擊可獲得大圖)
除了顯示系統(tǒng)和應(yīng)用程序當(dāng)前的運(yùn)行狀況狀態(tài)之外,Health Explorer 工具還會(huì)顯示系統(tǒng)和應(yīng)用程序運(yùn)行狀況中的更改歷史記錄,以及每次更改的時(shí)間戳。實(shí)際上,您可以選擇運(yùn)行狀況狀態(tài)中出現(xiàn)的任何更改,并查看與觸發(fā)條件的更改相關(guān)的詳細(xì)信息。
您可以通過稱為“診斷”和“恢復(fù)”的特殊響應(yīng),將 OpsMgr 配置為在出現(xiàn)問題時(shí)自動(dòng)檢索配置或環(huán)境數(shù)據(jù)。在圖 3 中您可以看到,突出顯示與 Windows 2008 DNS 服務(wù)器的緩慢響應(yīng)相關(guān)的狀態(tài)更改事件時(shí),下方的窗格會(huì)顯示在服務(wù)器上發(fā)生更改時(shí)收集的運(yùn)行中進(jìn)程列表。這些數(shù)據(jù)可能是找出當(dāng)時(shí)哪些服務(wù)耗用過多資源的關(guān)鍵。
.gif)
圖 3 OpsMgr Health Explorer 中的狀態(tài)更改事件(單擊可獲得大圖)
服務(wù)可用性和可見性
當(dāng)然,Windows Server 2008 也包括 Internet Information Services 7.0(可用來提供基于 Microsoft .NET Framework 的應(yīng)用程序和 Web 服務(wù))等功能,以及故障轉(zhuǎn)移群集和網(wǎng)絡(luò)負(fù)載平衡等功能,以使這些服務(wù)高度可用。雖然群集和網(wǎng)絡(luò)負(fù)載平衡在 Windows Server 2008 中很容易實(shí)現(xiàn)和管理,但這些技術(shù)仍然增加了管理任務(wù)的復(fù)雜性。深入了解這些組件的運(yùn)行狀況和性能,是確保基礎(chǔ)結(jié)構(gòu)和應(yīng)用程序按預(yù)期方式執(zhí)行的關(guān)鍵。
OpsMgr 通過將高可用性解決方案的管理包內(nèi)置到 Windows Server 2008 解決了這一復(fù)雜性。僅這些管理包就提供了成百上千條監(jiān)視規(guī)則來確保這些組件中每個(gè)組件的運(yùn)行狀況。
提到服務(wù)監(jiān)視,從客戶的角度來看,最重要的是能夠使用業(yè)務(wù)關(guān)鍵應(yīng)用程序。專為客戶設(shè)計(jì)的關(guān)鍵 Web 應(yīng)用程序,可能已在服務(wù)器上提供,但無法從外部訪問。OpsMgr 提供了綜合事務(wù)和分布式應(yīng)用程序監(jiān)視等功能,以便從最終用戶的角度提供對(duì)事務(wù)性運(yùn)行狀況的服務(wù)級(jí)別可見性和分布式業(yè)務(wù)線應(yīng)用程序的可用性。
使用一個(gè)簡(jiǎn)單向?qū)В梢詣?chuàng)建綜合 URL 監(jiān)視器來測(cè)試可用性、響應(yīng)時(shí)間和 Web 應(yīng)用程序返回的內(nèi)容。OpsMgr 可以使用現(xiàn)成的監(jiān)視功能來驗(yàn)證應(yīng)用程序的事務(wù)性運(yùn)行狀況。但是,若要對(duì)較復(fù)雜的 Web 應(yīng)用程序進(jìn)行實(shí)際的事務(wù)性監(jiān)視,您可以記錄一連串基于瀏覽器的瀏覽動(dòng)作,使其包含在 URL 監(jiān)視器中,從而提供更全面、真實(shí)的測(cè)試。
為了確保以最終用戶的角度來提供可用性,您可以在網(wǎng)絡(luò)上的不同位置選擇一臺(tái)或多臺(tái)計(jì)算機(jī)(稱為觀察者節(jié)點(diǎn))來執(zhí)行 URL 測(cè)試。此操作也在該向?qū)е型瓿桑?strong>圖 4 所示。若要使系統(tǒng)以觀察者節(jié)點(diǎn)的身份執(zhí)行,必須安裝 OpsMgr 代理。
.gif)
圖 4 選擇觀察者節(jié)點(diǎn)進(jìn)行綜合 URL 監(jiān)視(單擊可獲得大圖)
了解分布式企業(yè)
使用 OpsMgr 2007 中的分布式應(yīng)用程序設(shè)計(jì)器,系統(tǒng)管理員可以為他們的分布式應(yīng)用程序基礎(chǔ)結(jié)構(gòu)創(chuàng)建模型(請(qǐng)參見圖 5)。通過設(shè)計(jì)器,您可以將應(yīng)用程序的組件拖放到單一視圖,并且定義依賴關(guān)系來說明組件之間的相互關(guān)系。無論您擁有的是 IIS 7.0 網(wǎng)站還是運(yùn)行 Hyper-V 和承載虛擬機(jī)的 Windows Server 2008 系統(tǒng)都無所謂,所有的監(jiān)視對(duì)象都可以包含在圖表中,呈現(xiàn)應(yīng)用程序的真實(shí)面貌。
.gif)
圖 5 OpsMgr 2007 中的分布式應(yīng)用程序模型(單擊可獲得大圖)
您甚至可以創(chuàng)建自定義運(yùn)行狀況算法,允許更精細(xì)地控制構(gòu)成您的應(yīng)用程序運(yùn)行狀況和非正常運(yùn)行狀況狀態(tài)的要素。此功能在配置 OpsMgr 如何計(jì)算可承受多次失敗的負(fù)載平衡組件(例如 Web 場(chǎng))時(shí)相當(dāng)實(shí)用。
服務(wù)級(jí)別報(bào)告
Windows Server 2008 操作系統(tǒng)管理包包含許多性能報(bào)告,可用來精確度量服務(wù)器性能。但這不過是報(bào)告功能的冰山一角。OpsMgr 2007 包括全局性能和可用性報(bào)告(位于 Microsoft Generic Report Library 中),允許能夠訪問報(bào)告的用戶報(bào)告 OpsMgr 2007 中任何監(jiān)視對(duì)象的可用性。
此功能可用來對(duì)照 IT 服務(wù)交付目標(biāo)度量應(yīng)用程序和系統(tǒng)性能。例如,您可以使用圖 6 中所示的一般可用性報(bào)告,按幾次鼠標(biāo)按鍵,即可確定您的環(huán)境中所有 Windows Server 2008 實(shí)例、服務(wù)器角色和操作系統(tǒng)組件的可用性。或者,您可以使用報(bào)告標(biāo)題中的“工作時(shí)間”功能,生成只涵蓋應(yīng)用程序必須處于可用狀態(tài)的特定時(shí)段的可用性報(bào)告。
.gif)
圖 6 OpsMgr 2007 中的 Windows OS 可用性報(bào)告(單擊可獲得大圖)
服務(wù)級(jí)別儀表板是一項(xiàng)可擴(kuò)展報(bào)告功能的功能,因此,它允許管理員針對(duì)性能和可用性服務(wù)級(jí)別協(xié)議 (SLA) 來配置基準(zhǔn)。然后,您可以將此基準(zhǔn)與實(shí)際的分布式應(yīng)用程序可用性相比較,看看性能達(dá)到性能和可用性目標(biāo)的程度。此信息顯示在統(tǒng)一的儀表板中,如圖 7 所示。
.gif)
圖 7 OpsMgr 2007 中的服務(wù)級(jí)別儀表板(單擊可獲得大圖)
Auditpol /set /subcategory:"Directory Service Changes" /failure:enable
安全性與遵從性審核齊頭并進(jìn)
您肯定知道,數(shù)據(jù)隱私的問題催生了許多政府強(qiáng)制性法規(guī),例如薩班斯-奧克斯利法案 (SOX) 和健康保險(xiǎn)可攜性與責(zé)任法案 (HIPAA)。使企業(yè)安全策略符合行業(yè)最佳實(shí)踐不再只是建議 — 而是法律規(guī)定!能夠描述和解釋系統(tǒng)上發(fā)生的更改是當(dāng)務(wù)之急,否則可能使公司支付上百萬的罰金。
過去 Windows Server 中安全審核的幾個(gè)版本都是由非常廣泛的 9 大安全審核類別所涵蓋,常常導(dǎo)致信息量過大。但是,Windows Server 2008 通過一種稱為 Granular Audit Policy 的新功能提供了 50 多種審核類別。這使您能夠以更高的控制能力執(zhí)行安全審核,從事件日志中過濾掉非關(guān)鍵信息,而不會(huì)在類別級(jí)損失可視性。例如,您在特定系統(tǒng)中只想監(jiān)視對(duì) Active Directory 進(jìn)行的更改,而不想監(jiān)視對(duì)本地項(xiàng)(例如注冊(cè)表)進(jìn)行的更改,則可以將目錄服務(wù)審核子類別配置為只報(bào)告這些事件。您可以在命令行中啟用這些更改的成功和/或失敗審核,如下所示:
OpsMgr 中的審核收集服務(wù) (ACS) 提供了單一接口以及更多這方面的過濾和報(bào)告功能。此服務(wù)可在單一數(shù)據(jù)庫存儲(chǔ)庫中自動(dòng)收集和集中存檔分布式 Windows 安全事件日志。
作為 OpsMgr 代理安裝一部分加載(但在默認(rèn)情況下是禁用的)的 Audit Forwarding Service,會(huì)將“安全事件日志”事件發(fā)送到中心服務(wù)器。該中心服務(wù)器稱為 ACS 收集器,隨后會(huì)將安全事件插入到在運(yùn)行 SQL Server 2005 的服務(wù)器上承載的中心審核數(shù)據(jù)庫中。<strong>圖 8</strong> 闡明了此體系結(jié)構(gòu)。通過近乎實(shí)時(shí)地轉(zhuǎn)發(fā)事件,本地管理員干擾安全日志事件的可能性會(huì)降至最低。
.gif)
圖 8“審核收集服務(wù)”體系結(jié)構(gòu)(單擊可獲得大圖)
收集這些事件后,審計(jì)員和管理員可通過審核收集服務(wù)中包含的近 20 種報(bào)告來分析它們(請(qǐng)參見圖 9)。ACS 報(bào)告涵蓋各種常見的審核類別,例如帳戶管理事件、以用戶活動(dòng)為目標(biāo)的取證報(bào)告,以及揭示 Windows 2008 安全事件日志中具有潛在威脅的報(bào)告(例如管理員嘗試清除受監(jiān)視的 Windows 系統(tǒng)上的安全事件日志)。
.gif)
圖 9 Operations Manager 2007 中的審核收集報(bào)告
適用于每個(gè)應(yīng)用程序的管理包
作為“動(dòng)態(tài)系統(tǒng)計(jì)劃”目標(biāo)的一部分,Microsoft 承諾要提供適用于每個(gè)新服務(wù)器應(yīng)用程序的管理包。由于 Windows Server 中提供的服務(wù)眾多,因此 Microsoft 承諾僅針對(duì) Windows Server 2008 平臺(tái)就提供 20 多個(gè)管理包。適用于 OpsMgr 2007 的 Windows Server 2008 管理包列表包含圖 10 中所顯示的所有管理包。
圖 10 OpsMgr 管理包
| 2008 Windows Server Operating System (Base OS) |
|---|
| 2008 Microsoft Cluster Server (MSCS) |
| 2008 Domain Name Service (DNS) |
| 2008 Dynamic Host Configuration Protocol (DHCP) |
| 2008 Internet Information Services (IIS) |
| 2008 Windows Key Management Services (KMS) |
| 2008 Group Policy |
| 2008 Application Server |
| 2008 Print Server |
| 2008 Terminal Services (TS) |
| 2008 DFS-R (Replication) |
| 2008 DFS-N (Namespace) |
|
2008 Active Directory |
| 2008 Network Access Protection (NAP)* |
| 2008 Services for Unix |
| 2008 Network Load Balancing (NLB) |
| 2008 Windows Rights Management Services (RMS) |
| 2008 Windows Deployment Services |
| 2008 Streaming Media Services |
| 2008 Certificate Services |
| 2008 Active Directory Federation Services (ADFS) |
| 2008 AD Lightweight Directory Services (ADLDS) |
| 2008 Hyper-V |
| 2008 Fax Server |
入門
您可以看到,Windows Server 2008 和 System Center Operations Manager 2007 提供了堅(jiān)實(shí)、適合于企業(yè)的基礎(chǔ)結(jié)構(gòu)來支持最關(guān)鍵的業(yè)務(wù)服務(wù)。OpsMgr 2007 提供了一系列旨在提供面向服務(wù)的監(jiān)視并在適當(dāng)位置集成的功能,不僅使組織可以利用 Active Directory 中現(xiàn)有的投資,簡(jiǎn)化了管理工作,還降低了 Windows Server 2008 部署的整體擁有成本。
我建議您下載 Windows Server 2008 的 60 天試用版,網(wǎng)址是 microsoft.com/windowsserver2008/en/us/trial-software.aspx。您也可以下載 Operations Manager 2007 的 180 天試用版,網(wǎng)址是 microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx。
Pete Zerger 是 AKOS Technology Services 公司的咨詢合作伙伴。Pete 擁有九年的 IT 行業(yè)工作經(jīng)驗(yàn),主攻設(shè)計(jì)和部署企業(yè)操作管理、目錄服務(wù)和消息傳送解決方案。
文章來源:TechNet中文網(wǎng)
【編輯推薦】
