Grundlegendes zur Warnungskorrelation

  • Artikel

Letztes Änderungsdatum des Themas: 2015-03-09

Das Kernstück des MicrosoftExchange Server 2010-Management Packs für die Überwachung ist das Korrelationsmodul. Das Korrelationsmodul sorgt für eine erhebliche Verringerung der Warnungen, die vom Management Pack ausgelöst werden.

Im Exchange 2007-Management Pack wurden immer dann Warnungen ausgelöst, wenn der Status eines Monitors von Grün nach Rot wechselte. Diese Art der Warnungserzeugung wurde im Exchange Server 2010-Management Pack deaktiviert. Stattdessen werden Warnungen vom Korrelationsmodul behandelt. Das Korrelationsmodul verarbeitet die Daten der Management Pack-Monitore und entscheidet anschließend, ob eine Warnung generiert werden sollte. Das Korrelationsmodul unterstützt den für die Überwachung der Exchange-Umgebung zuständigen Administrator dabei, sich ausschließlich auf die Warnungen zu konzentrieren, die möglicherweise ein Eingreifen erfordern.

Architektur

Das Korrelationsmodul ist ein eigenständiger Windows-Dienst, der die Operations Manager-SDK-Schnittstelle dazu verwendet, zunächst das Integritätsmodell (den Instanzenspeicher) abzurufen und anschließend Statusänderungsereignisse zu verarbeiten. Durch das Verwalten des Integritätsstatusmodells im Arbeitsspeicher und die Verarbeitung von Statusänderungsereignissen kann das Korrelationsmodul auf Basis des Systemstatus ermitteln, wann eine Warnung ausgelöst werden muss.

Korrelationsmodul

Das obige Diagramm veranschaulicht, dass als Reaktion auf ein Problem verschiedene Monitore ihren Status ändern und entsprechende Statusänderungsereignisse durch den Agent an den Stammverwaltungsserver weitergeleitet werden. Diese Ereignisse werden nach ihrem Empfang auf den Stammverwaltungsserver durch das Korrelationsmodul verarbeitet, und es wird ggf. eine Warnung über die SDK-Schnittstelle des Stammverwaltungsservers ausgelöst. Diese Warnung wird anschließend auf der Operations Manager-Konsole angezeigt.

Warnungsklassifizierung

Warnungen des Exchange Server 2010-Management Packs für die Überwachung werden einer von drei Kategorien zugeordnet. Verwenden Sie die folgenden Informationen, um diese Warnungsklassifizierungen zu verstehen.

  • Key Health Indicator (KHI)   KHI-Monitore ermitteln Probleme, die sich auf die Integrität des Diensts auswirken. Die meisten Warnungen fallen in diese Kategorie (z. B. "Die Einbindung einer Postfachdatenbank wurde aufgehoben")

  • Non-Service Impacting (NSI)   NSI-Monitore ermitteln Probleme, die sich möglicherweise auf einige Benutzer, jedoch nicht auf alle Benutzer des Systems auswirken. Ein NSI-Problem tritt beispielsweise auf, wenn zwei Benutzer dieselbe Proxyadresse verwenden. In diesem Fall werden an diese Adresse gerichtete E-Mails als unzustellbar zurückgesendet, das gesamte Transportsystem ist jedoch nicht betroffen.

  • Forensisch   Forensische Monitore werden zum Aufzeichnen von Informationen verwendet, die möglicherweise für die Behebung eines Problems relevant sind, jedoch nicht zwingend auf einen bedeutenden oder vorhandenen Systemfehler hinweisen. "CPU-Aktivität >90 % für 5 Minuten" ist ein Beispiel für ein forensisches Problem. In diesem Fall ist möglicherweise ein Prozess vorhanden, der in ungeeigneter Weise CPU-Zyklen belegt. Alternativ kann dies darauf hindeuten, dass der Server neu gestartet wurde und seine normale Systemaktivität wieder aufnimmt. Forensische Monitore werden im Feld "Warnungskontext" der Warnungseigenschaften und im Integritäts-Explorer angezeigt. Für forensische Monitore werden keine Warnungen ausgelöst.

[!Hinweis]
Der Status wird nicht aktualisiert, wenn eine Warnung zu einem einzelnen forensischen Monitor ausgelöst wird. Der Status kann jedoch basierend auf der Aggregation aktueller forensischer Monitorwarnungen für jede Komponente aktualisiert werden.

Schweregrad der Warnung

Warnungen des Exchange Server 2010-Management Packs für die Überwachung werden auch nach ihrem Schweregrad klassifiziert:

  • Fehler   Fehlermeldungen deuten auf ein schwerwiegendes Problem hin, das ein sofortiges Eingreifen erfordert.

  • Warnung   Warnungen deuten auf Bedingungen hin, die zu Problemen führen können.

  • Information   Informationsmeldungen werden vom Exchange 2010-Management Pack nicht ausgegeben.

Faktoren bei der Korrelation

Die vom Korrelationsmodul ausgeführten Aktionen richten sich nach verschiedenen Faktoren, darunter:

Überwachung von Statusänderungsereignissen   Monitore sammeln über Quellen wie beispielsweise Ereignisprotokollmeldungen, Schwellenwerte für Leistungsindikatoren und PowerShell-Taskausgabeereignisse Diagnoseinformationen zur Exchange-Umgebung. Monitore registrieren Statusänderungsereignisse, wenn ein Problem auftritt oder gelöst wird (Rot zu Grün oder Grün zu Rot). Monitore registrieren ebenfalls Statusänderungen, wenn ein Exchange-Server nicht kontaktiert werden kann oder ein Exchange-Server wieder verfügbar wird. Es wird auch dann eine Statusänderung registriert, wenn ein Exchange-Server in den Wartungsmodus versetzt oder aus dem Wartungsmodus wieder online geschaltet wird. Im Exchange 2007-Management Pack wurden Warnungen ausgelöst, wenn der Status eines Monitors von Grün nach Rot wechselte. Im Exchange 2010-Management Pack führen Änderungen des Monitorstatus nicht automatisch dazu, dass Warnungen ausgelöst werden. Das Korrelationsmodul ermittelt, ob eine Warnung ausgelöst werden sollte. Das Exchange 2010-Management Pack umfasst eine Warnungsregel für jeden Monitor. Dies ermöglicht es dem mit der Überwachung betrauten Personal, über die Betriebskonsole auf die Eigenschaften jedes Monitors im Management Pack zuzugreifen. Es ist möglich, unternehmensspezifische Hinweise für einen Monitor im Feld Firmeninterne Wissensdatenbank einzugeben, auch wenn der Monitor keine eigenen Warnungen generiert.

Integritätsmodell   Die durch das Exchange 2010-Management Pack in Operations Manager importierte Klassenhierarchie umfasst Klassenbeziehungen, mit denen die Komponentenabhängigkeiten im System definiert werden. Durch das Definieren dieser Abhängigkeiten werden dem Exchange 2010-Management Pack Informationen zur Integrität der Exchange-Organisation bereitgestellt. Wenn das Exchange 2010-Management Pack beispielsweise feststellt, dass Active Directory offline ist, wird auch gemeldet, dass die Exchange-Messagingfunktion nicht vollständig funktionsfähig ist.

Zeitsteuerung   Das Korrelationsmodul arbeitet in 90-Sekunden-Intervallen. Wenn für mehrere Monitore gleichzeitig Statusänderungsereignisse empfangen werden, wird abgewartet, ob weitere Ereignisse auftreten, die potenziell in Zusammenhang mit dem Fehler stehen. Auf diese Weise kann das Korrelationsmodul die effektivste Meldung zur Problemursache auslösen.

Korrelationsalgorithmus

Übersicht über den Korrelationsmodulprozess

  1. Das Korrelationsmodul stellt eine Verbindung mit dem Operations Manager-SDK-Dienst her, um die Integritätsmodellhierarchie und den Instanzenstatus herunterzuladen. Dieser Schritt wird nur beim Dienststart oder dann ausgeführt, wenn Fehler es erforderlich machen.

  2. Das Korrelationsmodul fragt in Operations Manager die letzten Statusänderungsereignisse in Bezug auf Entitäten im Exchange-Management Pack ab.

  3. Werden neue NSI-Statusänderungen ermittelt, löst das Korrelationsmodul Warnungen für diese aus.

  4. Das Korrelationsmodul isoliert die Daten für alle KHI-Monitore, die einen roten Status aufweisen. Das Korrelationsmodul ordnet Daten in logischen Gruppen an, die jeden Prozess in Bezug zu denjenigen Prozessen zeigen, die von diesem abhängen oder von denen der Prozess abhängt. Diese Gruppierungen werden als "KHI-Ketten" bezeichnet. Jede Kette gibt an, ob eine Abhängigkeit zu einem Fehler geführt hat und sich dies negativ auf die abhängigen Prozesse auswirkt.

  5. Das Korrelationsmodul löst eine Warnung für jede KHI-Kette aus. Jede Warnung, die das Korrelationsmodul auslöst, identifiziert die Hauptursache für das jeweilige Problem.

  6. Nach einer Wartezeit von 90 Sekunden wird erneut Schritt 2 ausgeführt.

Weitere wichtige Informationen zum Korrelationsmodulprozess

  • Wenn die KHI-Kette sowohl Fehler- als auch Warnungsmonitore enthält, wird die Warnung als Fehler ausgelöst, unabhängig von der Klasse des fehlerverursachenden Monitors. Wenn beispielsweise ein Prozess oberster Ebene einen Fehlermonitor zum Abfangen von Ausfällen definiert und dieser in einer Abhängigkeit mit einem Warnmonitor verknüpft ist, wird für die Abhängigkeit eine Warnung ausgelöst. Diese wird jedoch nicht als Warnmeldung, sondern als Fehlermeldung markiert.

  • Nicht jede Klassenbeziehung wird für die Warnungskorrelation herangezogen. In Anhang: Klassenhierarchie weiter unten in diesem Handbuch werden die spezifischen Beziehungen beschrieben, die vom Korrelationsmodul verwendet werden.

  • Die KHI-Kette, einschließlich aller forensischen Monitore, wird im Feld Warnungskontext eingeschlossen, das auf der Eigenschaftenseite der abschließenden Warnung verfügbar ist. Auf diese Weise kann der Administrator die mit einer Warnung verknüpften Monitore untersuchen. Bei Warnungen, die von Abhängigkeitsmonitoren ausgelöst werden, muss der spezifische Fehler ermittelt werden, auf den die Warnung hinweist.

Von der Warnungskorrelation betroffene und nicht betroffene Elemente

Es ist wichtig zu verstehen, welche Auswirkungen das Korrelationsmodul auf bestimmte Elemente hat bzw. nicht hat.

Die folgende Funktionalität ist im Exchange 2010-Management Pack durch die Verwendung des Korrelationsmoduls geändert:

  • Monitore lösen bei Auftreten von Statusänderungsereignissen nicht automatisch Warnungen aus. Auf diese Weise kann das Korrelationsmodul ermitteln, welche Warnung am besten auszulösen ist.

  • Das Exchange 2010-Management Pack löst keine Warnungen zur Integrität der Exchange-Umgebung aus, wenn das Korrelationsmodul angehalten wird. Wenn das Korrelationsmodul beendet wurde, werden Sie in einer allgemeinen Warnung darauf hingewiesen, dass das Korrelationsmodul nicht ausgeführt wird.

Die folgende Funktionalität wird durch die Verwendung des Korrelationsmoduls nicht geändert:

  • Außerkraftsetzungen arbeiten weiterhin wie erwartet. Sie können nach wie vor bestimmte Werte ändern oder Monitore deaktivieren.

  • Monitore und Objekte im Wartungsmodus werden vom Korrelationsmodul übersprungen. Es sind keine besonderen Überlegungen erforderlich, da die Monitore keine Statusänderungsereignisse auslösen.

  • Das Korrelationsmodul hat auf andere Management Packs keine Auswirkung.

Hinweise zum Betrieb

Das Korrelationsmodul muss den Instanzenspeicher der Verwaltungsgruppe im Arbeitsspeicher verwalten, um bezogene Monitore und Warnungen zu ermitteln. Daher steigt der für das Korrelationsmodul erforderliche Arbeitsspeicher relativ zur Anzahl von Exchange-Servern und -Datenbanken an.

Das Korrelationsmodul erfordert mindestens 5 Megabyte an Arbeitsspeicher pro überwachtem Exchange-Server. Diese Zahl kann unter Berücksichtigung verschiedener Faktoren nach oben oder unten variieren, sie stellt jedoch einen guten Richtwert in Bezug auf die Ressourcenauslastung auf dem Server dar, der den Dienst hostet.

Automatische Zurücksetzung von Ereignismonitoren im Exchange 2010-Management Pack

Im Exchange 2010-Management Pack werden die meisten Ereignismonitore automatisch durch das Korrelationsmodul zurückgesetzt. Diesen Monitoren wurde eine Funktion zum automatischen Zurücksetzen hinzugefügt, sodass Probleme beim nächsten Auftreten nicht übergangen werden. In der folgenden Tabelle werden alle Ereignismonitore aufgeführt, die nicht automatisch zurückgesetzt werden.

Monitorname

Fehler beim Laden von Konfigurationsinformationen durch den Journal-Agent.

Ein Fehler führt dazu, dass eine Nachricht in einer Zustellungswarteschlange verbleibt.

Ihre AutoErmittlungsdienst-Konfiguration ist nicht sicher. Um dieses Problem zu beheben, deaktivieren Sie den anonymen Zugriff auf das virtuelle Verzeichnis für die AutoErmittlung.

Exchange konnte das Protokolldateiverzeichnis nicht erstellen. Bis zur Beseitigung der Fehlerursache werden keine Protokolldateien generiert. Quellkomponente und Fehlerursache werden in der Ereignisbeschreibung angegeben.

Exchange konnte keine neue Protokolldatei erstellen. Bis zur Beseitigung der Fehlerursache werden keine Protokolldateien generiert. Quellkomponente und Fehlerursache werden in der Ereignisbeschreibung angegeben.

Im PICKUP-Verzeichnis wurden schreibgeschützte Dateien gefunden.

Der Microsoft Exchange-Transportdienst hat einen kritischen Speicherfehler ermittelt und eine automatisierte Wiederherstellung eingeleitet, indem die Datenbank verschoben wurde.

Dateiverteilungsdienst: Fehler beim Lesen der Sicherheitsbeschreibung für das Offlineadressbuch aus Active Directory.

ExBPA-Warnung.

ExBPA-Fehler.

Das Postfach kann nicht verschoben werden.

Die DsProxy-DLL-Datei ist erforderlich, kann aber nicht geladen werden.

Die Leistungsindikatoren für den NSPI-Proxy konnten nicht initialisiert werden.

Der Index in der lokalen Datenbankkopie ist beschädigt. Führen Sie unter Verwendung des Cmdlets "Update-MailboxDatabaseCopy" mit dem Parameter "-CatalogOnly" ein erneutes Seeding des Katalogs durch.

Die Leistungsindikatoren für den Microsoft Exchange-Mailübergabedienst können nicht geladen werden. Das zugehörige Leistungsobjekt lautet "MSExchangeMail Submission".

Der lokale Topologieserver gehört zu keinem Active Directory-Standort.

Ausnahme im Microsoft-Mailübergabedienst beim Laden der Netzwerktopologieinformationen.

Exchange-Topologieerkennung konnte den lokalen Exchange-Server in Active Directory nicht finden.

Ein Fehler führt dazu, dass eine Nachricht in der Übermittlungswarteschlange verbleibt.

Eine Datenbankkopie hat einen schwerwiegenden Löschfehler ermittelt, der möglicherweise alle Kopien der Datenbank betrifft.

Eine aktive Datenbankkopie hat einen schwerwiegenden Löschfehler ermittelt, der möglicherweise alle Kopien der Datenbank betrifft.

Eine lokale Datenbankkopie hat einen schwerwiegenden Löschfehler ermittelt, der möglicherweise alle Kopien der Datenbank betrifft.

Das Datenbankmodul belegt 99 % der "B-Strukturen"-Ressource (87048 von maximal 87696) für die Datenbank.

Die Dateien für das inkrementelle erneute Seeding einer Datenbankkopie konnten nicht entfernt werden.

Fehler beim Entfernen der Dateien für die fortlaufende Replikation einer Datenbankkopie.

Der Wiederherstellungsprozess für einzelne Seiten hat mit der Korrektur eines Fehlers in einer Datenbankkopie begonnen.

Der Wiederherstellungsprozess für einzelne Seiten hat einen Fehler in einer Datenbankkopie erfolgreich korrigiert.

Fehler beim Entfernen einer Protokolldatei für eine Datenbank. Die Datei wird entweder verwendet, oder der Dienst verfügt über unzureichende Berechtigungen.

Der angegebene Wert für das Korrelationsintervall liegt unter dem zulässigen Mindestwert.

Der angegebene Wert für das Zeitfenster liegt unter dem zulässigen Mindestwert.