System Center

OpsMgr 2007 を使用して Windows Server 2008 を監視する

Pete Zerger

この記事に記載されている機能の一部はまだベータ版であり、変更される可能性があります。

概要 :

• OpsMgr のしくみ
• 組み込みのナレッジ
• 問題の診断
• レポートと監査

目次

OpsMgr のしくみ
現実の問題を解決するためのナレッジ
サービスの可用性と可視性
分散エンタープライズ環境を視覚的に確認する
サービス レベルのレポート
セキュリティと遵守状況の監査を組み合わせる
すべてのアプリケーション用の管理パック
使い始める

大いに待ち望まれていた Windows Server 2008 のリリースでは OS に大幅な変更が加えられており、Server Core、サーバーの役割、読み取り専用 DC、Hyper-V、ターミナル サービス ゲートウェイなどの強力な機能が追加され、インターネット プロトコル バージョン 6 (IPv6) のサポートが強化されています。こうした変更や新機能は有益ですが、これらが原因で、System Center を使用して Windows Server 2008 システムを管理および監視する方法が多少変わってしまうのも事実です。

Windows Server 2008 を運用環境に導入する組織では、組織が所有するサービスの正常性、パフォーマンス、および可用性を管理および監視する必要があります。さいわい、既存の System Center テクノロジを使用することができます。新しい管理パックの提供が開始されたことによって、System Center Operations Manager (OpsMgr) 2007 では最近 Windows Server 2008 がサポートされるようになりました。また、System Center Configuration Manager 2007 (ConfigMgr) でも、ConfigMgr SP1 のリリースによって Windows Server 2008 がサポートされるようになりました。

OpsMgr のしくみ

OpsMgr 2007 では、監視対象のサーバーにインストールされているエージェントを使用して、Windows Server 2008 やサーバー上のアプリケーションの正常性を監視および評価します。エージェントは、管理サーバーと呼ばれる中央サーバーに対して、イベント、アラート、パフォーマンス データなどのデータをレポートします。続いて、このデータが管理サーバーから中央の SQL Server データベースに挿入されます。その後、(Windows XP SP2 以降のバージョンの Windows を実行している) ワークステーションのオペレーション コンソール、または Web コンソールでこのデータを表示できます。このアーキテクチャを図 1 に示します。

図 1 Operations Manager 2007 の管理グループ トポロジの例 (画像をクリックすると拡大表示されます)

OpsMgr エージェントをサーバーにインストールして構成したら、サーバーにインストールされているアプリケーションやサービスの検出は自動的に行われます。オブジェクト検出と呼ばれる特殊な監視ルールが管理サーバーからエージェントに送信されます。このルールによって、レジストリやファイル システムに対してチェックが実行されたり、具体的にどのコンポーネントがインストールされているかを検出するようにデザインされたスクリプトが実行されたりします。また、Windows Server 2008 サーバーの役割として構成できるすべての役割 (ドメイン コントローラ、プリント サーバー、Web サーバー、クラスタ サーバーなど) も、このルールによって特定されます。

オブジェクト検出は、ローカル コンピュータ上で定期的に実行されるように既定で構成されています。こうしたチェックを定期的に実行することにより、OpsMgr は、サーバー上で構成されたアプリケーションやサービスに加えられた変更の特定を長期にわたって行うことができます。では、OpsMgr 2007 を使用することによってどのように Windows Server 2008 インフラストラクチャの状態を把握できるかについて詳しく説明していきます。

現実の問題を解決するためのナレッジ

管理パックには一連の監視ルール、タスク、およびレポートが含まれているので、前述のとおり、管理パックによって基本的な監視機能が提供されます。OpsMgr の主な目的は、大きな問題に発展する前に小さな問題を特定することですが、問題の兆しが見つかったときにアラートを発生させるだけではありません。実際のところ、管理パックには、考えられる原因、および監視ルールによって特定される多くの問題の推奨解決策に関する情報が含まれています。アラートを確認すると、問題の発生状況と共にこの情報が両方とも監視領域に表示されます (図 2 参照)。正常性エクスプローラを使用してシステムの正常性状態を確認した場合も、同様に表示されます。

図 2 オペレーション コンソールのアラート ビューに表示される製品ナレッジ (画像をクリックすると拡大表示されます)

正常性エクスプローラ ツールでは、システムやアプリケーションの現在の正常性状態が表示されるだけでなく、システムやアプリケーションの正常性の変化の履歴、およびそれぞれの変化がいつ起こったかを示すタイム スタンプも表示されます。実際には、正常性状態が変化したことを示す項目を選択し、正常性が変化するきっかけとなった変化に関連する詳細を確認することができます。

"診断と回復" と呼ばれる特殊な応答を通じて、問題が発生したときに構成データや環境データを自動的に取得するように OpsMgr を構成することができます。Windows 2008 DNS サーバーからの応答が遅くなったことに関連する状態変更イベントを選択すると、サーバー上で変化が起きたときに収集された実行中のプロセスの一覧が下のペインに表示されることが図 3 からわかります。このデータは、そのときにリソースを過度に使用していたサービスを特定する手掛かりとなる場合があります。

図 3 OpsMgr 正常性エクスプローラに表示される状態変更イベント (画像をクリックすると拡大表示されます)

サービスの可用性と可視性

当然のことながら、Windows Server 2008 には、(Microsoft .NET Framework ベースのアプリケーションや Web サービスを提供するために使用できる) インターネット インフォメーション サービス 7.0 などの機能が含まれており、こうしたサービスの可用性を高くするためのフェールオーバー クラスタリングやネットワーク負荷分散などの機能も含まれています。Windows Server 2008 ではクラスタリングやネットワーク負荷分散をより簡単に実装および管理できるようになりましたが、それでもなお、こうしたテクノロジを使用すると管理タスクはより複雑になります。インフラストラクチャやアプリケーションを確実に期待どおりに動作させるには、こうしたコンポーネントの正常性やパフォーマンスを把握することが非常に重要です。

OpsMgr は、Windows Server 2008 に組み込まれている高可用性ソリューション用の管理パックを使用してこの複雑さに対処します。このような管理パックを使用するだけで、こうしたコンポーネントそれぞれの正常性を確保するための何百もの監視ルールが提供されます。

サービスの監視について言うと、最終的に重要になるのは、業務上重要なアプリケーションを顧客の立場から使用できることです。顧客向けにデザインされた重要な Web アプリケーションは、サーバー上では使用できるかもしれませんが、外部からはこのアプリケーションにアクセスできません。OpsMgr は、代理トランザクション、配布アプリケーションの監視などの機能を提供し、トランザクションの正常性や配布された基幹業務アプリケーションの可用性をエンド ユーザーの立場からサービス レベルで把握できるようにします。

簡単なウィザードを使用して、可用性、応答時間、および Web アプリケーションから返されるコンテンツをテストする代理 URL モニタを作成することができます。OpsMgr は、追加設定なしで使用できる監視機能を使用して、アプリケーションのトランザクションの正常性を検証することができます。しかし、本当の意味でより複雑な Web アプリケーションのトランザクション監視を行うには、URL モニタで監視するブラウザベースの一連の参照操作を記録し、より綿密で現実的なテストを作成します。

エンド ユーザーの立場から可用性を確保するには、ネットワーク上の異なる場所にある 1 台以上のコンピュータ (監視ノードと呼ばれます) を選択して URL テストを実行します。これも同じウィザードで行うことができます (図 4 参照)。システムが監視ノードとして機能するためには、そのシステムに OpsMgr エージェントがインストールされている必要があります。

図 4 代理 URL 監視のための監視ノードの選択 (画像をクリックすると拡大表示されます)

分散エンタープライズ環境を視覚的に確認する

管理者は、OpsMgr 2007 の配布アプリケーション デザイナを使用して、配布アプリケーション インフラストラクチャのモデルを作成することができます (図 5 参照)。このデザイナを使用すると、アプリケーションのコンポーネントを 1 つのビューにドラッグ アンド ドロップしたり、コンポーネントが互いにどのように関連するかを示す依存関係を定義したりできます。Hyper-V を実行し仮想マシンをホストしている IIS 7.0 サイトや Windows Server 2008 システムがあるかどうかは問題ではありません。監視されるすべてのオブジェクトを、アプリケーションの実態を表すダイアグラムに含めることができます。

図 5 OpsMgr 2007 での配布アプリケーション モデリング (画像をクリックすると拡大表示されます)

カスタムの正常性アルゴリズムを作成して、アプリケーションにおいてどのような状態を正常と見なし、どのような状態を異常と見なすかを細かく制御することもできます。この機能は、複数の障害に耐えることができる負荷分散されたコンポーネント (Web ファームなど) の正常性を OpsMgr が評価する方法を構成する際に役立ちます。

サービス レベルのレポート

Windows Server 2008 Operating System 管理パックには、サーバーのパフォーマンスを評価するために使用できるいくつものパフォーマンス レポートが含まれています。しかし、それはレポートの氷山の一角にすぎません。OpsMgr 2007 には、グローバル パフォーマンスや可用性についてのレポートが含まれています (これは Microsoft Generic Report Library 内にあります)。レポートにアクセスできるユーザーは、こうしたレポートを使用して、OpsMgr 2007 で監視されるあらゆるオブジェクトの可用性についてレポートすることができます。

この機能を使用して、アプリケーションやシステムのパフォーマンスを IT サービス提供の目標と照らし合わせて評価することができます。たとえば、包括的な可用性レポート (図 6 参照) を使用すると、数回クリックするだけで、環境内の Windows Server 2008 のすべてのインスタンス、サーバーの役割、および OS コンポーネントの可用性を確認することができます。また、レポート ヘッダーの営業時間機能を使用すると、アプリケーションが使用できなければならない特定の時間帯のみを対象とする可用性レポートを生成することもできます。

図 6 OpsMgr 2007 の Windows OS 可用性レポート (画像をクリックすると拡大表示されます)

サービス レベル ダッシュボードは、レポート機能を拡張し、管理者がパフォーマンスや可用性に関するサービス レベル アグリーメント (SLA) 向けにベンチマークを構成できるようにする機能です。ベンチマークを構成したら、それを配布アプリケーションの実際の可用性と比較して、実際のパフォーマンスがパフォーマンスや可用性の目標をどれほど満たしているかを確認することができます。情報は、統合されたダッシュボード (図 7 参照) に表示されます。

図 7 OpsMgr 2007 のサービス レベル ダッシュボード (画像をクリックすると拡大表示されます)

セキュリティと遵守状況の監査を組み合わせる

ご存じのとおり、データの機密性に関する問題に対処するために、米国企業改革法 (SOX) や医療保険の携行性と責任に関する法律 (HIPAA) など、政府によるいくつもの規制が設けられています。企業のセキュリティ ポリシーを業界のベスト プラクティスに合わせることは、もはや単なる得策ではなく、法律で定められていることなのです。システム上で起きた変化を詳しく説明できることは非常に重要な問題であり、それができない組織には何百万ドルもの罰金が科せられる可能性があります。

最近のいくつかのバージョンの Windows Server のセキュリティ監査では非常に大まかなセキュリティ監査カテゴリが 9 つしか用意されていないため、情報過多になってしまうことがよくありました。しかし、Windows Server 2008 では、"詳細な監査ポリシー" (GAP) と呼ばれる新機能を通じて提供される 50 を超える監査カテゴリが用意されています。これにより、カテゴリ レベルでの監査は実現しながら、重要ではない情報をフィルタでイベント ログから除外するというように、セキュリティ監査をはるかに柔軟に実行できるようになります。たとえば、特定のシステム上で、ローカル項目 (レジストリなど) の変更は監視せず、Active Directory の変更のみを監視するのであれば、このようなイベントのみをレポートするようにディレクトリ サービス用の監査サブカテゴリを構成することができます。次のように、こうした変更の成功や失敗の監査をコマンド ラインで有効にすることができます。

Auditpol /set /subcategory:"Directory Service Changes" 
/failure:enable

OpsMgr の監査コレクション サービス (ACS) を使用すると、これについてのさらに多くのフィルタ処理やレポートを 1 つのインターフェイスで実行することができます。これにより、分散している Windows セキュリティ イベント ログの収集および一元保管が自動化されます。

セキュリティ イベント ログのイベントは、Audit Forwarding Service (OpsMgr エージェントのインストールの一環として読み込まれますが、既定では無効になっています) によって中央サーバーに送信されます。続いて、ACS コレクタと呼ばれるこの中央サーバーから、SQL Server 2005 を実行しているサーバーでホストされている中央の監査データベースに、セキュリティ イベントが挿入されます。このアーキテクチャを図 8 に示します。イベントをほぼリアル タイムで転送することにより、ローカルの管理者がセキュリティ ログ イベントに干渉する可能性が最小限に抑えられます。

図 8 監査コレクション サービスのアーキテクチャ (画像をクリックすると拡大表示されます)

こうしたイベントが収集されたら、監査担当者や管理者は、監査コレクション サービスに含まれている 20 個近くのレポートを使用してそれを分析することができます (図 9 参照)。ACS レポートは、アカウント管理イベント、ユーザー操作を対象とした科学捜査レポート、Windows 2008 セキュリティ イベント ログに対する潜在的な脅威 (管理者が、監視されている Windows システム上のセキュリティ イベント ログを消去しようとしたなど) を明らかにするレポートなど、さまざまな一般的な監査カテゴリをカバーしています。

図 9 Operations Manager 2007 の監査コレクション レポート

すべてのアプリケーション用の管理パック

Dynamic Systems Initiative の取り組みの一環として、マイクロソフトは、すべての新しいサーバー アプリケーション用の管理パックを提供することを明言しました。Windows Server では非常に多くのサービスが提供されているので、マイクロソフトは、Windows Server 2008 プラットフォーム用のものだけでも 20 個を超える管理パックを提供することを約束しました。OpsMgr 2007 用の Windows Server 2008 管理パックには、図 10 に示すようなものがあります。

図 10 OpsMgr 用の管理パック

使い始める

この記事からおわかりいただけたと思いますが、Windows Server 2008 と System Center Operations Manager 2007 は、企業で利用できる堅固なインフラストラクチャを提供し、最も重要な業務サービスをサポートします。最適に統合されたサービス指向の監視ができるようにデザインされた多くの機能が用意されている OpsMgr 2007 を使用すると、組織は、Active Directory に行った投資を利用したり、管理を合理化したり、Windows Server 2008 の展開に必要な総保有コストを削減したりすることができます。

Windows Server 2008 の 60 日間評価版をダウンロードすることをお勧めします。これは microsoft.com/windowsserver2008/en/us/trial-software.aspx から入手できます。Operations Manager 2007 の 180 日間評価版も microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx からダウンロードできます。

Pete Zerger は AKOS Technology Services のコンサルティング パートナーです。IT 業界での経験が 9 年あり、企業の運用管理、ディレクトリ サービス、メッセージング ソリューションのデザインと展開に注目しています。