System Center
Überwachen von Windows Server 2008 mit OpsMgr 2007
Pete Zerger
Einige der in diesem Artikel beschriebenen Features befinden sich noch im Betastadium. Änderungen sind daher vorbehalten.
Auf einen Blick:
- Funktionsweise von OpsMgr
- Integriertes Wissen
- Diagnose von Problemen
- Berichterstattung und Überwachung
Inhalt
Funktionsweise von OpsMgr
Wissen zur Lösung realer Probleme
Dienstverfügbarkeit und -sichtbarkeit
Ansicht des verteilten Unternehmens
Berichterstattung zum Servicelevel
Optimierte Überwachung der Sicherheit und Einhaltung von Vorschriften
Ein Management Pack für jede Anwendung
Erste Schritte
Mit der mit großer Spannung erwarteten Veröffentlichung von Windows Server 2008 wurden bedeutende Änderungen am Betriebssystem eingeführt und leistungsfähige Funktionen wie Server Core, Serverrollen, schreibgeschützte Domänencontroller, Hyper-V, Terminaldienstegateway und Erweiterungsunterstützung für IPv6 (Internetprotokoll, Version 6) hinzugefügt. Obwohl diese Änderungen und neuen Features von Vorteil sind, verändern sie in gewisser Hinsicht die Art und Weise, in der Sie Ihre Windows Server 2008-Systeme mithilfe von System Center verwalten und überwachen.
Wenn Organisationen Windows Server 2008 in ihren Produktionsumgebungen einführen, benötigen sie eine Möglichkeit zur Verwaltung und Überwachung der Integrität, Leistung und Verfügbarkeit dieser Dienste. Glücklicherweise können Sie vorhandene System Center-Technologien verwenden. System Center Operations Manager 2007 (OpsMgr) wurde vor kurzem durch neue Management Packs um Unterstützung für Windows Server 2008 erweitert, und System Center Configuration Manager 2007 (ConfigMgr) bietet mit der Veröffentlichung von ConfigMgr SP1 jetzt Unterstützung für Windows Server 2008.
Funktionsweise von OpsMgr
OpsMgr 2007 überwacht und misst die Integrität von Windows Server 2008 sowie von Anwendungen auf Ihrem Server mithilfe eines Agent, der auf dem überwachten Server installiert wird. Der Agent meldet Daten wie Ereignisse, Warnungen und Leistungsdaten an einen zentralen Server, der als Verwaltungsserver bezeichnet wird. Der Verwaltungsserver fügt diese Daten dann in eine zentrale SQL Server-Datenbank ein. Diese Daten können dann auf jeder Arbeitsstation (mit Windows XP SP2 oder höher) in der Betriebskonsole oder über eine Webkonsole gerendert werden. Diese Architektur ist in Abbildung 1 dargestellt.
Abbildung 1 Beispiel für die Verwaltungsgruppentopologie von Operations Manager 2007 (zum Vergrößern auf das Bild klicken)
Nachdem auf Ihren Servern ein OpsMgr-Agent installiert und konfiguriert wurde, werden die auf den Servern installierten Anwendungen und Dienste automatisch ermittelt. Vom Verwaltungsserver werden spezielle Überwachungsregeln, die als „Objektermittlungen“ bezeichnet werden, an den Agent gesendet. Durch diese Regeln werden Prüfungen der Registrierung und des Dateisystems durchgeführt und Skripts ausgeführt, die genau ermitteln sollen, welche Komponenten installiert sind. Sie identifizieren zudem alle Rollen, für die der Windows Server 2008-Server konfiguriert sein kann, z. B. Domänencontroller, Druckserver, Webserver oder Clusterserver.
Objektermittlungen sind standardmäßig so konfiguriert, dass sie in regelmäßigen Abständen auf dem lokalen Computer wiederholt werden. Durch die regelmäßige Wiederholung dieser Prüfungen kann OpsMgr im Laufe der Zeit Änderungen an auf dem Server konfigurierten Anwendungen und Diensten erkennen. Nun kann erläutert werden, auf welche Weise OpsMgr 2007 Einblicke in die Windows Server 2008-Infrastruktur bietet.
Wissen zur Lösung realer Probleme
Wie bereits erwähnt, ermöglichen Management Packs die zentrale Überwachungsfunktionalität durch Bereitstellung einer Sammlung von Überwachungsregeln, -aufgaben und -berichten. Obwohl der Hauptzweck von OpsMgr darin besteht, kleine Probleme zu erkennen, bevor sie große Ausmaße annehmen, geht die Lösung weiter, als lediglich eine Warnung auszulösen, wenn es Anzeichen für Schwierigkeiten gibt. Die Management Packs enthalten Informationen zu wahrscheinlichen Ursachen und empfohlene Lösungen für viele Probleme, die mithilfe der Überwachungsregeln erkannt werden. Diese Informationen werden im Kontext dargestellt, wenn Sie Warnungen anzeigen (siehe Abbildung 2) – sowohl im Überwachungsbereich als auch beim Anzeigen des Integritätsstatus eines Systems mit dem Integritäts-Explorer.
Abbildung 2 In der Warnungsansicht der Betriebskonsole bereitgestelltes Produktwissen (zum Vergrößern auf das Bild klicken)
Neben dem aktuellen Integritätsstatus von Systemen und Anwendungen zeigt der Integritäts-Explorer auch einen Verlauf der Änderungen in Bezug auf die System- und Anwendungsintegrität zusammen mit einem Zeitstempel für jede Änderung an. Sie können das Vorkommen einer beliebigen Änderung des Integritätsstatus auswählen und Details zu der Änderung anzeigen, die einem Ereignis oder Problem zugrunde liegt.
Durch besondere Reaktionen, die als „Diagnose und Wiederherstellung“ bezeichnet werden, können Sie OpsMgr so konfigurieren, dass beim Auftreten eines Problems automatisch Konfigurations- oder Umgebungsdaten abgerufen werden. In Abbildung 3 können Sie sehen, dass beim Markieren eines Statusänderungsereignisses, das sich auf eine langsame Reaktion eines Windows 2008-DNS-Servers bezieht, im unteren Fensterbereich eine Liste der ausgeführten Prozesse angezeigt wird, die erfasst wurden, als die Änderung auf dem Server stattfand. Diese Daten können für die Feststellung, welche Dienste zum betreffenden Zeitpunkt übermäßig viele Ressourcen beanspruchten, äußerst hilfreich sein.
Abbildung 3 Statusänderungsereignisse im Integritäts-Explorer von OpsMgr (zum Vergrößern auf das Bild klicken)
Dienstverfügbarkeit und -sichtbarkeit
Windows Server 2008 umfasst selbstverständlich Features wie Internet Information Services 7.0 (die zur Bereitstellung von auf Microsoft .NET Framework basierenden Anwendungen und Webdiensten verwendet werden können) sowie Features wie Failoverclustering und Netzwerklastenausgleich, um die hohe Verfügbarkeit dieser Dienste zu gewährleisten. Obwohl die Implementierung und Verwaltung von Clustering und Netzwerklastenausgleich in Windows Server 2008 vereinfacht wurde, erhöhen diese Technologien nach wie vor die Komplexität der Verwaltungsaufgaben. Sie benötigen einen Einblick in den Integritäts- und Leistungsstatus dieser Komponenten, um zu gewährleisten, dass Ihre Infrastruktur und Ihre Anwendungen die Leistungserwartungen erfüllen.
OpsMgr trägt dieser Komplexität mit Management Packs für die in Windows Server 2008 integrierten Hochverfügbarkeitslösungen Rechnung. Diese Management Packs allein bieten Hunderte von Überwachungsregeln, um die Integrität jeder dieser Komponenten zu sicherzustellen.
Im Hinblick auf die Dienstüberwachung kommt es letztlich darauf an, dass erfolgsentscheidende Anwendungen aus der Perspektive des Kunden verfügbar sind. Eine wichtige Webanwendung, die für Ihre Kunden entwickelt wurde, kann zwar auf dem Server verfügbar, aber extern nicht zugänglich sein. OpsMgr bietet Features wie die Überwachung synthetischer Transaktionen und verteilter Anwendungen, um auf der Dienstebene Einblicke in die Transaktionsintegrität und die Verfügbarkeit verteilter Branchenanwendungen aus der Endbenutzerperspektive zu bieten.
Mit einem einfachen Assistenten können Sie einen synthetischen URL-Monitor erstellen, um die Verfügbarkeit und Antwortzeit einer Webanwendung sowie die von ihr zurückgegebenen Inhalte zu testen. OpsMgr kann die Transaktionsintegrität Ihrer Anwendungen mithilfe standardmäßig verfügbarer Überwachungsfeatures überprüfen. Für die echte Transaktionsüberwachung komplexerer Webanwendungen können Sie jedoch eine Sequenz browserbasierter Aktionen aufzeichnen, um sie in den URL-Monitor einzubeziehen und dadurch einen gründlicheren und realistischeren Test zu ermöglichen.
Um die Verfügbarkeit aus der Endbenutzerperspektive zu gewährleisten, können Sie einen oder mehrere Computer an verschiedenen Standorten in Ihrem Netzwerk (als Watcher-Knoten bezeichnet) für die Durchführung des URL-Tests auswählen. Dieser Vorgang wird im gleichen Assistenten durchgeführt (siehe Abbildung 4). Um als Watcher-Knoten fungieren zu können, muss auf dem System ein OpsMgr-Agent installiert werden.
Abbildung 4 Auswählen von Watcher-Knoten für die synthetische URL-Überwachung (zum Vergrößern auf das Bild klicken)
Ansicht des verteilten Unternehmens
Mit dem Designer für verteilte Anwendungen (Distributed Application Designer) in OpsMgr 2007 können Administratoren ein Modell ihrer Infrastruktur verteilter Anwendungen erstellen (siehe Abbildung 5). Der Designer ermöglicht Ihnen, die Komponenten einer Anwendung per Drag & Drop in einer einzigen Ansicht abzulegen und Abhängigkeiten zu definieren, um darzustellen, wie die Komponenten zueinander in Beziehung stehen. Es spielt keine Rolle, ob Sie eine IIS 7.0-Website besitzen oder über ein Windows Server 2008-System verfügen, auf dem Hyper-V ausgeführt wird und virtuelle Computer gehostet werden. Alle überwachten Objekte können in ein Diagramm einbezogen werden, das eine wahrheitsgetreue Darstellung Ihrer Anwendung bietet.
Abbildung 5 Modellierung verteilter Anwendungen in OpsMgr 2007 (zum Vergrößern auf das Bild klicken)
Sie können sogar benutzerdefinierte Integritätsalgorithmen erstellen, die die präzise Kontrolle darüber ermöglichen, was einen fehlerfreien Status und was einen fehlerhaften Status in Ihren Anwendungen darstellt. Dieses Feature ist nützlich, um zu konfigurieren, wie OpsMgr die Integrität von Komponenten mit Lastenausgleich berechnet, die mehrere Ausfälle tolerieren können (z. B. eine Webfarm).
Berichterstattung zum Servicelevel
Das Windows Server 2008 Operating System Management Pack enthält eine Reihe von Leistungsberichten, die zur Messung der Serverleistung verwendet werden können. Hinsichtlich der Berichterstattung ist dies aber gewissermaßen nur die Spitze des Eisbergs. OpsMgr 2007 enthält globale Leistungs- und Verfügbarkeitsberichte (in der Microsoft Generic Report Library). Diese ermöglichen Benutzern mit Berichtszugriff, Berichte zur Verfügbarkeit jedes überwachten Objekts in OpsMgr 2007 zu erstellen.
Diese Funktion kann zur Messung der Anwendungs- und Systemleistung in Bezug auf die Ziele für die IT-Dienstbereitstellung verwendet werden. Mithilfe des in Abbildung 6 gezeigten allgemeinen Verfügbarkeitsberichts können Sie mit nur wenigen Mausklicks beispielsweise die Verfügbarkeit aller Instanzen, Serverrollen und Betriebssystemkomponenten von Windows Server 2008 in Ihrer Umgebung ermitteln. Sie können auch das Feature „Öffnungszeiten“ in Berichtsköpfen verwenden, um Verfügbarkeitsberichte zu generieren, die nur die spezifischen Zeiträume abdecken, während derer Ihre Anwendungen verfügbar sein müssen.
Abbildung 6 Verfügbarkeitsberichte für das Windows-Betriebssystem in OpsMgr 2007 (zum Vergrößern auf das Bild klicken)
Das Service Level Dashboard ist ein Feature, das die Berichtsfunktionalität erweitert und Administratoren dadurch ermöglicht, Benchmarks für Vereinbarungen zum Servicelevel (Service Level Agreements, SLAs) in Bezug auf Leistung und Verfügbarkeit zu konfigurieren. Sie haben dann die Möglichkeit, diese mit der tatsächlichen Verfügbarkeit verteilter Anwendungen zu vergleichen, um festzustellen, inwieweit die Leistung den Leistungs- und Verfügbarkeitszielen entspricht. Die Informationen werden in einem konsolidierten Dashboard angezeigt (siehe Abbildung 7).
Abbildung 7 Service Level Dashboard in OpsMgr 2007 (zum Vergrößern auf das Bild klicken)
Optimierte Überwachung der Sicherheit und Einhaltung von Vorschriften
Wie Sie sicherlich wissen, haben Probleme mit dem Datenschutz zu einer Reihe rechtlicher Bestimmungen wie denen des Sarbanes-Oxley Act (SOX) und des Health Insurance Portability and Accountability Act (HIPAA) geführt. Jetzt ist es nicht mehr nur empfehlenswert, die Unternehmenssicherheitsrichtlinien mit den bewährten Methoden der Branche in Einklang zu bringen, sondern es ist gesetzlich vorgeschrieben! Der Fähigkeit, zu berichten und zu erklären, welche Änderungen auf einem System stattgefunden haben, kommt eine entscheidende Bedeutung zu, und diesbezügliche Unterlassungen können eine Organisation Geldstrafen in Millionenhöhe kosten.
In den letzten Versionen von Windows Server wurde die Sicherheitsüberwachung durch 9 sehr weit gefasste Sicherheitsüberwachungskategorien abgedeckt, was häufig zu einem Übermaß an Informationen führte. Windows Server 2008 bietet jedoch mehr als 50 Überwachungskategorien, die durch ein neues Feature namens „Granular Audit Policy“ (GAP) bereitgestellt werden. Dadurch haben Sie eine viel größere Kontrolle über die Durchführung der Sicherheitsüberwachung und können weniger wichtige Informationen aus dem Ereignisprotokoll herausfiltern, ohne Sichtbarkeit auf der Kategorienebene einzubüßen. Wenn Sie beispielsweise auf einem bestimmten System nur Änderungen an Active Directory und nicht an lokalen Elementen wie der Registrierung überwachen möchten, können Sie die Überwachungsunterkategorie „Verzeichnisdienst“ so konfigurieren, dass nur diese Ereignisse gemeldet werden. Sie können die Erfolgs- und/oder Fehlerüberwachung für diese Änderungen folgendermaßen über die Befehlszeile aktivieren:
Auditpol /set /subcategory:"Directory Service Changes"
/failure:enable
In OpsMgr mit Überwachungssammeldiensten (Audit Collection Services, ACS) sind hierfür sogar noch mehr Filter- und Berichtsfunktionen in einer einzigen Oberfläche verfügbar. Dadurch wird die Sammlung und zentrale Archivierung verteilter Windows-Sicherheitsereignisprotokolle in einem einzelnen Datenbankrepository automatisiert.
Der Audit Forwarding Service, der im Rahmen der Installation des OpsMgr-Agent geladen wird (aber standardmäßig deaktiviert ist), sendet Sicherheitsereignisprotokoll-Ereignisse an einen zentralen Server. Dieser zentrale Server, der als „ACS-Sammlung“ bezeichnet wird, fügt die Sicherheitsereignisse dann in eine zentrale Überwachungsdatenbank ein, die auf einem Server mit SQL Server 2005 gehostet wird. Diese Architektur ist in Abbildung 8 dargestellt. Da Ereignisse nahezu in Echtzeit weitergeleitet werden, wird die Wahrscheinlichkeit minimiert, dass lokale Administratoren in Sicherheitsprotokollereignisse eingreifen können.
Abbildung 8 Architektur der Überwachungssammeldienste (zum Vergrößern auf das Bild klicken)
Nachdem diese Ereignisse erfasst wurden, können Prüfer und Administratoren sie mithilfe von beinahe 20 Berichten analysieren, die in den Überwachungssammeldiensten enthalten sind (siehe Abbildung 9). ACS-Berichte decken verschiedene allgemeine Überwachungskategorien ab, beispielsweise Kontoverwaltungsereignisse, forensische Berichte zur Benutzeraktivität sowie Berichte, die potenzielle Bedrohungen für Ihre Windows 2008-Sicherheitsereignisprotokolle offenbaren (z. B. Versuche von Administratoren, das Sicherheitsereignisprotokoll auf einem überwachten Windows-System zu löschen).
Abbildung 9 Überwachungssammelberichte in Operations Manager 2007
Ein Management Pack für jede Anwendung
Im Rahmen seines Engagements für die Dynamic Systems Initiative hat sich Microsoft verpflichtet, für jede neue Serveranwendung ein Management Pack bereitzustellen. Da in Windows Server so viele Dienste verfügbar sind, hat Microsoft zugesichert, allein für die Windows Server 2008-Plattform mehr als 20 Management Packs zur Verfügung zu stellen. Abbildung 10 enthält die Liste der Windows Server 2008 Management Packs für OpsMgr 2007.
Abbildung 10 Management Packs für OpsMgr
| 2008 Windows Server Operating System (Basisbetriebssystem) |
|---|
| 2008 Microsoft Cluster Server (MSCS) |
| 2008 Domain Name Service (DNS) |
| 2008 Dynamic Host Configuration Protocol (DHCP) |
| 2008 Internet Information Services (IIS) |
| 2008 Windows Key Management Services (KMS) |
| 2008 Group Policy |
| 2008 Application Server |
| 2008 Print Server |
| 2008 Terminal Services (TS) |
| 2008 DFS-R (Replication) |
| 2008 DFS-N (Namespace) |
| 2008 Active Directory |
| 2008 Network Access Protection (NAP)* |
| 2008 Services for Unix |
| 2008 Network Load Balancing (NLB) |
| 2008 Windows Rights Management Services (RMS) |
| 2008 Windows Deployment Services |
| 2008 Streaming Media Services |
| 2008 Certificate Services |
| 2008 Active Directory Federation Services (ADFS) |
| 2008 AD Lightweight Directory Services (ADLDS) |
| 2008 Hyper-V |
| 2008 Fax Server |
Erste Schritte
Wie Sie sehen können, bieten Windows Server 2008 und System Center Operations Manager 2007 eine solide, für den Unternehmenseinsatz bereite Infrastruktur zur Unterstützung Ihrer wichtigsten Unternehmensdienste. Mit einer Vielzahl von Features, die dienstorientierte Überwachung mit Integration an allen richtigen Stellen bereitstellen, ermöglicht OpsMgr 2007 Organisationen, vorhandene Investitionen in Active Directory zu nutzen, die Verwaltung zu rationalisieren und die Gesamtkosten von Windows Server 2008-Bereitstellungen zu senken.
Es wird empfohlen, dass Sie die 60-Tage-Testversion von Windows Server 2008 herunterladen, die unter microsoft.com/windowsserver2008/en/us/trial-software.aspx verfügbar ist. Zudem kann eine 180-Tage-Testversion von Operations Manager 2007 unter microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx heruntergeladen werden.
Pete Zerger ist beratender Partner bei AKOS Technology Services. Er verfügt über neun Jahre Erfahrung in der IT-Branche und ist auf den Entwurf und die Bereitstellung von Unternehmensbetriebsverwaltung, Verzeichnisdiensten und Messaginglösungen spezialisiert.