System Center
Monitorando o Windows Server 2008 com o OpsMgr 2007
Pete Zerger
Alguns dos recursos discutidos neste artigo ainda estão na versão beta e estão sujeitos a alterações.
Visão geral:
- Como funciona o OpsMgr
- Conhecimento interno
- Diagnosticando problemas
- Relatórios e auditoria
Sumário
Como funciona o OpsMgr
Conhecimento para resolver problemas reais
Disponibilidade e visibilidade do serviço
Visualizando a empresa distribuída
Relatórios de nível de serviço
Associação em segurança e auditoria de conformidade
Um pacote de gerenciamento para cada aplicativo
Introdução
A versão um tanto antecipada do Windows Server 2008 introduziu alterações significativas ao sistema operacional, adicionando uma funcionalidade poderosa, como núcleo de servidores, funções de servidores, DCs somente leitura, Hyper-V, Gateway de Serviços de Terminal e suporte aprimorado para IPv6 (protocolo IP versão 6). Embora essas alterações e novos recursos sejam benéficos, eles alteram um pouco como você usa o System Center para gerenciar e monitorar seus sistemas Windows Server 2008.
À medida que as organizações introduzem o Windows Server 2008 em seus ambientes de produção, elas precisarão de uma forma de gerenciar e monitorar a integridade, o desempenho e a disponibilidade desses serviços. Felizmente, você pode usar as tecnologias existentes do System Center. O System Center Operations Manager 2007 (OpsMgr) recentemente adicionou suporte para Windows Server 2008 pela disponibilidade de novos pacotes de gerenciamento e o System Center Configuration Manager 2007 (ConfigMgr) adicionou suporte para Windows Server 2008 com o lançamento do ConfigMgr SP1.
Como funciona o OpsMgr
O OpsMgr 2007 monitora e mede a integridade do Windows Server 2008 e os aplicativos no seu servidor usando um agente que é instalado no servidor que está sendo monitorado. O agente reporta dados, como eventos, alertas e dados de desempenho, a um servidor central chamado de servidor de gerenciamento. O servidor de gerenciamento então insere esses dados em um banco de dados central do SQL Server. Esses dados podem ser, em seguida, processados no Console de Operações em qualquer estação de trabalho (executando Windows XP SP2 ou uma versão mais recente do Windows) ou por um Console Web. Essa arquitetura é ilustrada na Figura 1.
Figura 1 Topologia de exemplo de grupo de gerenciamento do Operations Manager 2007 (clique na imagem para ampliá-la)
Depois que um agente do OpsMgr é instalado e configurado nos seus servidores, a detecção de aplicativos e serviços instalados nos servidores é automática. Regras especiais de monitoramento, chamadas de Descobertas de Objeto, são enviadas ao agente pelo servidor de gerenciamento. Essas regras executam verificações no Registro e no sistema de arquivos, bem como executam scripts projetados para descobrir exatamente que componentes estão instalados. Elas também identificam todas as funções para as quais o servidor Windows Server 2008 pode ser configurado, como controlador de domínio, servidor de impressão, servidor Web ou servidor de cluster.
As descobertas de objeto são configuradas por padrão para serem repetidas a intervalos regulares na máquina local. Repetindo essas verificações regularmente, o OpsMgr pode identificar alterações em aplicativos e serviços configurados no servidor com o tempo. Agora posso me aprofundar em como o OpsMgr 2007 fornece visibilidade na infra-estrutura do Windows Server 2008.
Conhecimento para resolver problemas reais
Conforme mencionado, os pacotes de gerenciamento habilitam a funcionalidade de monitoramento principal fornecendo uma coleção de regras, tarefas e relatórios de monitoramento. Mas, embora o principal objetivo do OpsMgr seja identificar pequenos problemas, antes que eles virem grandes problemas, ele vai além do que simplesmente fornecer um alerta quando há indícios de que algo está errado. Os pacotes de gerenciamento realmente contêm informações sobre causas prováveis e soluções recomendadas para vários problemas identificados pelas regras de monitoramento. Essas informações são mostradas em contexto quando você exibe alertas (consulte a Figura 2), tanto no espaço de monitoramento, como ao exibir o estado da integridade de um sistema que usa o Gerenciador de Integridade.
Figura 2 Conhecimento do produto entregue na exibição de alerta do console de operações (clique na imagem para ampliá-la)
Além de exibir o estado de integridade atual de sistemas e aplicativos, a ferramenta Gerenciador de Integridade também exibe um histórico das alterações no sistema e na integridade do aplicativo, juntamente com um carimbo de data/hora para cada alteração. Você realmente pode selecionar a ocorrência de qualquer alteração no estado de integridade e exibir detalhes relacionados à alteração que disparou a condição.
Por meio de respostas especiais chamadas de Diagnóstico e Recuperações, você pode configurar o OpsMgr para recuperar automaticamente dados de configuração ou ambientais quando um problema ocorre. Você pode ver na Figura 3 que, quando um evento de alteração de estado relacionado a uma resposta lenta de um servidor DNS Windows 2008 está realçado, o painel inferior exibe uma lista de processos em execução coletados quando a alteração ocorreu no servidor. Esses dados podem ser a chave para descobrir quais serviços estavam consumindo recursos em excesso naquele momento.
Figura 3 Eventos de alteração de estado no Gerenciador de Integridade do OpsMgr (clique na imagem para ampliá-la)
Disponibilidade e visibilidade do serviço
O Windows Server 2008, é claro, inclui recursos como o Internet Information Services 7.0 (que pode ser usado para oferecer aplicativos baseados no Microsoft .NET Framework e Web services), bem como recursos como cluster de failover e balanceamento de carga de rede, para tornar esses serviços altamente disponíveis. Embora o cluster e o balanceamento de carga de rede tenham ficado mais fáceis de se implementar e gerenciar no Windows Server 2008, essas tecnologias ainda adicionam uma complexidade às tarefas de gerenciamento. A visibilidade na integridade e no desempenho desses componentes é vital para garantir que sua infra-estrutura e seus aplicativos estejam executando como esperado.
O OpsMgr resolve essa complexidade com pacotes de gerenciamento para as soluções de alta disponibilidade integradas ao Windows Server 2008. Esses pacotes de gerenciamento sozinhos fornecem centenas de regras de monitoramento para garantir a integridade de cada um desses componentes.
Quando se trata do monitoramento de serviço, o que conta no final é que os aplicativos críticos dos negócios estejam disponíveis da perspectiva do cliente. Um aplicativo Web crítico projetado para seus clientes pode estar disponível no servidor, mas inacessível externamente. O OpsMgr oferece recursos como a transação sintética e o monitoramento de aplicativo distribuído para fornecer visibilidade de nível de serviço na integridade transacional e na disponibilidade de aplicativos distribuídos de linha de negócios de uma perspectiva do usuário final.
Usando um assistente simples, você pode criar um monitor de URL sintética URL para testar a disponibilidade, o tempo de resposta e o conteúdo retornado por um aplicativo Web. O OpsMgr pode validar a integridade transacional dos seus aplicativos usando recursos de monitoramento disponíveis prontos para o uso. Mas para um monitoramento transacional verdadeiro de aplicativos Web mais complexos, você pode gravar uma seqüência de navegação de ações baseadas no navegador para incluir no monitor de URL, fornecendo um teste mais completo e realista.
Para garantir a disponibilidade de uma perspectiva do usuário final, você pode escolher um ou mais computadores em diferentes locais da sua rede (chamados de nós de inspetor) para executar o teste de URL. Isso é feito no mesmo assistente, como exibido na Figura 4. Para atuar como um nó de inspetor, o sistema precisa de um agente do OpsMgr instalado.
Figura 4 Escolhendo nós de inspetor para monitoramento de URL sintético (clique na imagem para ampliá-la)
Visualizando a empresa distribuída
Usando o Distributed Application Designer no OpsMgr 2007, os administradores podem criar um modelo de sua infra-estrutura de aplicativo distribuída (consulte a Figura 5). O designer permite que você arraste e solte os componentes de um aplicativo em uma única exibição e defina dependências para ilustrar como os componentes se relacionam. Não importa se você possui um site do IIS 7.0 ou um sistema Windows Server 2008 executando Hyper-V e hospedando máquinas virtuais. Todos os objetos monitorados podem ser incluídos em um diagrama que representa uma imagem real do seu aplicativo.
Figura 5 Modelagem de aplicativo distribuído no OpsMgr 2007 (clique na imagem para ampliá-la)
Você pode, até mesmo, criar algoritmos de integridade personalizados, permitindo um controle granular sobre o que constitui estados com e sem integridade nos seus aplicativos. Esse recurso é útil para configurar como o OpsMgr calcula a integridade de componentes com carga balanceada que podem sustentar várias falhas (como um Web farm).
Relatórios de nível de serviço
O pacote de gerenciamento do sistema operacional Windows Server 2008 inclui vários relatórios de desempenho que podem ser usados para medir o desempenho do servidor. Mas essa é apenas a ponta do iceberg do relatório. O OpsMgr 2007 inclui relatórios de disponibilidade e desempenho global (localizados na biblioteca de relatórios genérica da Microsoft). Eles permitem que os usuários com acesso aos relatórios reportem sobre a disponibilidade de qualquer objeto monitorado no OpsMgr 2007.
Esse recurso pode ser usado para medir o desempenho do aplicativo e do sistema em relação aos objetivos de entrega do serviço de TI. Por exemplo, você pode usar o relatório de disponibilidade genérico, mostrado na Figura 6, para determinar a disponibilidade de todas as instâncias do seu Windows Server 2008, funções do servidor e componentes do sistema operacional no seu ambiente com apenas alguns cliques. Ou você pode usar o recurso de horário comercial nos cabeçalhos do relatório para gerar relatórios de disponibilidade que apenas tratam dos períodos de tempo específicos durante os quais seus aplicativos devem estar disponíveis.
Figura 6 Relatórios de disponibilidade do sistema operacional Windows no OpsMgr 2007 (clique na imagem para ampliá-la)
O painel de nível de serviço é recurso que estende a funcionalidade de relatórios e, como resultado, permite que os administradores configurem parâmetros de comparação para SLAs (contratos de nível de serviço) de desempenho e disponibilidade. Você tem então a habilidade de comparar isso com a disponibilidade real do aplicativo distribuído para ver como o desempenho faz frente aos objetivos de desempenho e disponibilidade. As informações são exibidas em um painel consolidado, mostrado na Figura 7.
Figura 7 Painel de nível de serviço no OpsMgr 2007 (clique na imagem para ampliá-la)
Associação em segurança e auditoria de conformidade
Como você, com certeza, sabe, problemas com a privacidade dos dados levaram a várias das regulamentações impostas pelo governo, como a lei SOX (Sarbanes-Oxley) e a lei americana HIPAA (Health Insurance Portability Accountability Act). Alinhar diretivas de segurança corporativas com práticas recomendadas da indústria não é mais apenas uma boa idéia — é a lei! A habilidade de recontar e explicar que alterações ocorreram em um sistema é uma questão de importância crítica, e falhas ao fazer isso podem custar a uma organização milhões de dólares em multas.
A auditoria de segurança nas últimas versões do Windows Server era coberta por 9 categorias de auditoria de segurança muito amplas, resultando freqüentemente em sobrecarga de informações. O Windows Server 2008, no entanto, fornece mais de 50 categorias de auditoria entregues por um novo recurso chamado GAP (Diretoria de Auditoria Granular). Isso permite que você execute auditorias de segurança com muito mais controle, filtrando informações não-críticas do log de eventos sem perder a visibilidade no nível de categoria. Por exemplo, se você quiser monitorar alterações em um determinado sistema apenas no Active Directory, mas não em itens locais, como o Registro, você pode configurar a subcategoria de auditoria serviço de diretório para relatar apenas esses eventos. Você pode habilitar a auditoria de sucesso e/ou falha dessas alterações na linha de comando, desta maneira:
Auditpol /set /subcategory:"Directory Service Changes"
/failure:enable
Mais filtros e relatórios sobre isso em uma única interface estão disponíveis no OpsMgr com o ACS (Serviços de Coleta de Auditoria). Isso automatiza a coleta e o arquivamento centralizado de Logs de Eventos da Segurança do Windows distribuídos em um único repositório de banco de dados.
O Serviço de Encaminhamento de Auditoria, carregado como parte da instalação do agente do OpsMgr (mas desabilitado por padrão), enviará os eventos do Log de Eventos da Segurança a um servidor central. Esse servidor central, chamado de Coletor ACS, insere, em seguida, os eventos de segurança em um banco de dados de auditoria central hospedado em um servidor executando o SQL Server 2005. Essa arquitetura é ilustrada na Figura 8. Ao encaminhar eventos praticamente em tempo real, a probabilidade de que os administradores locais possam interferir nos Eventos do Log de Segurança é minimizada.
Figura 8 Arquitetura dos Serviços de Coleta de Auditoria (clique na imagem para ampliá-la)
Depois que esses eventos forem coletados, os auditores e administradores poderão então analisá-los por quase 20 relatórios incluídos nos Serviços de Coleta de Auditoria (consulte a Figura 9). Os relatórios do ACS abrangem uma variedade de categorias de auditoria comuns, como eventos de gerenciamento de conta, relatórios forenses direcionados à atividade do usuário e relatórios que revelam ameaças potenciais nos seus Logs de Eventos de Segurança do Windows 2008 (como tentativas dos administradores de apagar o Log de Eventos de Segurança em um sistema Windows monitorado).
Figura 9 Relatórios de coleta de auditoria no Operations Manager 2007
Um pacote de gerenciamento para cada aplicativo
Como parte de seu compromisso com a Dynamic Systems Initiative, a Microsoft prometeu entregar um pacote de gerenciamento para cada novo aplicativo de servidor. Com tantos serviços disponíveis no Windows Server, a Microsoft se comprometeu a entregar mais de 20 pacotes de gerenciamento apenas para a plataforma Windows Server 2008. A lista de pacotes de gerenciamento do Windows Server 2008 para OpsMgr 2007 inclui os exibidos na Figura 10.
Figura 10 Pacotes de gerenciamento do OpsMgr
| 2008 Sistema Operacional Windows Server (SO base) |
|---|
| 2008 Microsoft Cluster Server (MSCS) |
| 2008 Serviço de Nomes de Domínio (DNS) |
| 2008 Protocolo de Configuração Dinâmica de Hosts (DHCP) |
| 2008 Serviços de Informações da Internet (IIS) |
| 2008 Serviços de Gerenciamento de Chave do Windows (KMS) |
| 2008 Diretiva de Grupo |
| 2008 Servidor de Aplicativo |
| 2008 Servidor de Impressão |
| 2008 Serviços de Terminal (TS) |
| 2008 DFS-R (Replicação) |
| 2008 DFS-N (Namespace) |
| 2008 Active Directory |
| 2008 Proteção de Acesso à Rede (NAP)* |
| 2008 Serviços para Unix |
| 2008 Balanceamento de Carga de Rede (NLB) |
| 2008 Windows Rights Management Services (RMS) |
| 2008 Serviços de Implantação do Windows |
| 2008 Serviços de Mídia de Streaming |
| 2008 Serviços de Certificados |
| 2008 Serviços de Federação do Active Directory (ADFS) |
| 2008 Active Directory Lightweight Directory Services (ADLDS) |
| 2008 Hyper-V |
| 2008 Servidor de Fax |
Introdução
Como você pode ver, o Windows Server 2008 e o System Center Operations Manager 2007 oferecem uma infra-estrutura sólida, pronta para a empresa para suportar os serviços mais críticos dos seus negócios. Com muitos recursos criados para fornecerem monitoramento orientado a serviços com integração em todos os locais corretos, o OpsMgr 2007 permite que as organizações aproveitem os investimentos existentes no Active Directory, a administração simplificada e reduzam o custo total de propriedade de implantações do Windows Server 2008.
Recomendo que você baixe a versão de avaliação de 60 dias do Windows Server 2008, disponível em microsoft.com/windowsserver2008/en/us/trial-software.aspx. E você também pode baixar uma versão de avaliação de 180 dias do Operations Manager 2007 em microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx.
Pete Zerger é parceiro de consultoria da AKOS Technology Services. Com nove anos de experiência no setor de TI, Pete se concentra no design e na implantação de gerenciamento de operações empresariais, serviços de diretório e soluções de mensagens.