IO 功能: 安全性與網路 - 基本至標準化層級
本頁內容
.gif){kind=icon}
簡介
需求: 適用於桌上型電腦的防毒軟體
檢查點: 適用於桌上型電腦的防毒軟體
需求: 集中化的防火牆服務
檢查點: 集中化的防火牆服務
需求: 內部管理的基本網路服務 (DNS、DHCP、WINS)
檢查點: 內部管理的基本網路服務 (DNS、DHCP、WINS)
需求: 關鍵伺服器的可用性監視
檢查點: 關鍵伺服器的可用性監視
簡介
安全性與網路是第三個核心基礎結構最佳化功能。下表列出在安全性與網路中移至標準化層級的高層級挑戰、適用解決方案,以及優點。
挑戰 |
解決方案 |
優點 |
|---|---|---|
業務挑戰 缺乏基本的安全性標準以防範惡意軟體與攻擊 未妥善管理防毒更新,提高攻擊風險 支援工程師被動,大部分的時間花在與安全性相關的問題上 IT 挑戰 IT 人員在每一部機器上手動執行更新和部署修補程式 不固定、無法預期的伺服器中斷,會導致網路服務中斷、降低使用者生產力 網路系統管理員個別管理 IP 位址以避免重複,並手動將設定變更套用至工作站 |
專案 使用鎖定設定部署防火牆 (可能是多層式防火牆解決方案) 實作如 DNS 伺服器的網路服務,可方便尋找及存取網路服務,實作 DHCP 伺服器,可自動化與集中化管理 IP 位址 為桌上型電腦實作受管理的標準化防毒解決方案 |
業務效益 建立原則標準以提供更一致的運算環境 迅速並可靠的提供目標弱點的修補程式,以提高桌上型電腦的安全性 IT 優勢 集中管理的修補程式,提供更穩定而安全的基礎結構 有效且可靠的 TCP/IP 網路設定可避免發生 IP 位址衝突,並透過集中化管理位址分配以保留 IP 位址的使用 受控制的穩定環境,可透過周邊、伺服器、桌上型電腦及應用程式層級等安全性「層級」抵禦攻擊 降低軟硬體操作的複雜度,使變更管理程序更順暢 |
基礎結構最佳化模型中的標準化層級能夠處理網路和安全性元件的重要領域,包括:
適用於桌上型電腦的防毒軟體
集中化的防火牆服務
內部管理的基本網路服務 (DNS、DHCP、WINS)
關鍵伺服器的可用性監視
最佳化的標準化層級要求貴組織必須在用戶端電腦上安裝標準防毒軟體、集中化的周邊防火牆、基本網路服務,以及關鍵伺服器的可用性監視。
需求: 適用於桌上型電腦的防毒軟體
對象
如果您並沒有在 80% 以上的桌上型電腦中執行具備自動化簽章更新的防毒軟體,請閱讀本章節。
概觀
每個組織都應該開發防毒解決方案,為其網路及技術資源提供高層級的防護。但是,即使在安裝了防毒軟體後,許多網路仍會受到感染。本節提供的資訊,可幫助您順利解決惡意軟體 (又稱為惡意程式碼) 的問題。
階段 1: 評估
在「評估階段」,貴組織必須清查受管理的桌上型電腦系統,並判斷其硬體規格、作業系統、應用程式,以及目前是否安裝了防毒軟體或其他惡意軟體的偵測軟體。 建議您使用工具以自動化清查程序,例如 Systems Management Server (SMS) 2003 (英文)、Application Compatibility Toolkit (英文) 或 Windows Vista Hardware Assessment。
階段 2: 識別
「識別階段」針對於決定防毒策略方面的目標,在於定義貴組織的安全性需求。每個製造商的防毒產品不盡相同,且提供不同層級的防護以及範圍來防範非病毒威脅。貴組織可以使用「評估階段」所收集的資料,以判斷防毒軟體的相容性需求,並識別適合貴組織的正確解決方案。
階段 3: 評估與規劃
在網路安全性措施上,Microsoft 建議防毒軟體設計採用深度防禦的方法,以確保貴組織採用的安全性措施經過妥善設計,能夠可靠地進行維護。
這樣的方法對於組織的電腦安全性很重要,因為不論電腦系統提供了多少有用的功能或服務,總是會有人嘗試找出弱點並進行惡意攻擊。
防禦層級
下圖顯示組織中容易受惡意軟體攻擊的層級。
.gif)
本節討論的是組織中,主機、應用程式,以及資料層級,特別是用戶端桌上型電腦,對於防毒計劃的需求。其他層級則在本系列指南的其他文件中說明。
用戶端防禦
當惡意軟體到達主機電腦時,防禦系統必須將重點放在保護主機系統及其資料,以及停止感染繼續擴散。這些防禦的重要性不亞於貴組織網路環境中的實體和網路防禦。設計主機的防禦時,需假設惡意軟體已找到方法通過所有外層防禦。此方法是達到最高層級保護的最佳方式。
階段 4: 部署
在「部署階段」,您應實作數個用戶端防毒保護的方法和技術。下列章節提供 Microsoft 建議考慮的詳細資訊。
步驟 1: 降低遭受攻擊的風險
應用程式層的第一線防禦是要降低電腦遭受攻擊的風險。電腦上所有非必要的應用程式或服務應該加以移除或停用,讓攻擊者惡意探索系統的方式減至最少。
步驟 2: 套用安全性更新
連接組織網路之用戶端機器的數目和種類繁多,因此很難實作一個快速又可靠的安全性更新管理服務。Microsoft 和其他軟體公司開發出許多工具,以協助您解決此問題。如需作業系統修補程式發佈的詳細資訊,請參閱本指南中<需求: 自動化修補程式發佈至桌上型電腦及膝上型電腦>一節。
步驟 3: 啟用主機型防火牆
主機型防火牆或個人防火牆是您應該啟用的重要用戶端防禦層,尤其是在使用者可能帶離組織一般網路防禦範圍的膝上型電腦。這些防火牆會篩選試圖進入或離開特定主機電腦的所有資料。
步驟 4: 安裝防毒軟體
您可以選擇市面上的多種防毒軟體解決方案,每一種都嘗試以最方便且盡量自動化的方式,保護主機電腦。這些應用程式大部分已能提供有效的保護,但都需要經常更新以便防堵最新的惡意軟體。任何防毒解決方案都應該提供迅速而流暢的機制,以確保盡快提供用戶端電腦必要的簽章檔更新 (內含防毒程式的資訊,在掃描時用於偵測和處理惡意軟體,並且由防毒應用程式廠商定期提供更新)。
但是,請注意這類更新有自己的安全性風險,因為簽章檔案是從防毒應用程式的支援網站傳送到主機應用程式 (通常是經由網際網路)。例如,如果用於取得檔案的傳輸機制為檔案傳輸通訊協定 (FTP),則組織的周邊防火牆就必須允許此類存取網際網路上必要的 FTP 伺服器。確定防毒風險評估程序有檢閱組織的更新機制,且此程序的安全性可以滿足組織的安全性需求。
步驟 5: 使用漏洞掃描程式進行測試
設定了系統或網路後,您應該定期檢查以確保沒有任何安全性弱點。為協助您進行此程序,有一些應用程式具有掃描程式的功能,可尋找惡意軟體和駭客可能進行惡意探索的弱點。這些工具當中的佼佼者會更新自己的掃描常式來防禦系統出現最新弱點。
作業
防毒應用程式和大部分軟體一樣,需要允許持續更新的機制。本指南中稍早的自動化修補程式發佈章節,深入探討自動化軟體更新可使用的程序需求與工具。此外,建議貴組織隨時執行所選定的防毒軟體。核心基礎結構最佳化模型標準化至合理化層級實作人員資源指南,將探討如何使用群組原則以一直強制執行防毒軟體。
建議的防毒軟體
下列軟體產品經 Microsoft 測試,可與 Microsoft 作業系統一併使用:
Microsoft Forefront Client Security
由 Microsoft Corporation 所提供CA Anti-Virus 2007 (formerly eTrust) (英文)
由 CA, Inc. 所提供Symantec AntiVirus Corporate Edition
由 Symantec Corporation 所提供Norton AntiVirus 2006
由 Symantec Corporation 所提供Rising Antivirus Software Personal Edition (英文)
由 Beijing Rising Technology Co., Ltd. 所提供
詳細資訊
如需實作防毒軟體的詳細資訊,請參閱深度防禦防毒指南 (英文)。
若要瞭解 Microsoft 如何解決防毒問題,請造訪 https://www.microsoft.com/technet/itshowcase/content/msghygiene.mspx (英文)。
檢查點: 適用於桌上型電腦的防毒軟體
|
需求 |
|---|---|
安裝所有作業系統及軟體應用程式安全性更新。 |
|
|
啟動可用的主機型防火牆。 |
|
在 80% 以上的桌上型電腦上安裝防毒軟體。 |
.gif)
如果您已經完成上列步驟,則貴組織就已達到「適用於桌上型電腦的防毒軟體」標準化層級的最低要求。建議您遵循 Microsoft TechNet 資訊安全中心中,有關防毒保護額外的最佳作法。
移至下一個自我評估問題。
需求: 集中化的防火牆服務
對象
如果您沒有集中化的防火牆以保護 80% 以上的系統 (不是每部桌上型電腦一個防火牆),請閱讀本章節。
概觀
防火牆是維持連線網路的電腦安全性的關鍵。不論是財星 500 大企業的上千部伺服器和桌上型電腦、行動銷售員連接至咖啡店無線網路的膝上型電腦,或是您奶奶家中新的撥號網路網路連線電腦,全都需要防火牆的保護。
本節將討論網路與主機型防火牆 (又稱為個人防火牆)。雖然家庭使用者通常只會使用主機型防火牆,但最新的安全性趨勢卻強調兩種防火牆組合的重要性。基礎結構最佳化模型中的標準化最佳化層級不需要主機型防火牆,這些會稍後在模型中採用。本指南探討五種主要的防火牆技術。
以下指引是以 Windows Server System 參考架構 (英文) 的防火牆服務實作指南 (英文) 為基礎。
階段 1: 評估
實作防火牆策略的「評估階段」,探討確保資料與存取資料儲存安全性的業務需要,以及決定哪種防火牆基礎結構可供使用。每個組織都有一些敏感性資訊,如果遭到不當使用,可能對組織造成傷害。如果組織大量使用網際網路以主控各種應用程式和下列服務,可能造成的傷害就越大,影響也越廣:
一般資訊收集與研究。
取得財務市場資料。
提供線上零售服務。
電子郵件通訊。
提供遠端工作者虛擬私人網路 (VPN)。
VPN 式的分公司連線。
語音通訊。
即使是要提供最常用的服務,例如電子郵件,組織也必須將內部系統連線至網際網路。如此會使這些系統可供外部來源存取,因而導致弱點攻擊。組織也必須付出此類連線的費用,包括支付網際網路服務供應商 (ISP) 以及投資可保護資訊系統的技術。
很顯然地,組織必須避免資訊系統攻擊以合法的告發入侵者,並盡可能瞭解不同類型的攻擊所造成的風險。
階段 2: 識別
「識別階段」探討可用於保護貴組織資訊的技術,並提供資訊以評估您的防火牆選項,以及開始規劃實作防火牆技術。
防火牆類型
主要的防火牆類型有兩種: 網路防火牆及主機式 (個人) 防火牆。網路防火牆,例如軟體式的 Microsoft® Internet Security and Acceleration Server (ISA Server) 或硬體式的切換式防火牆系統,可監視進出網路的流量以保護網路的周邊。不論電腦連接至哪個網路,主機式防火牆都可加以保護。您可能需要其中一種防火牆,但大部分的組織則需要兩種的結合以符合安全性的需求。
防火牆可進一步區分為五級:
第 1 級 – 個人防火牆。主機型的軟體防火牆,可保護單一電腦。
第 2 級 – 路由器防火牆。
第 3 級 – 低階的硬體防火牆
第 4 級 – 高階的硬體防火牆
第 5 級 – 高階的伺服器防火牆
網路防火牆 – 第 2-5 級
網路防火牆可防護網路的周邊,以保護整個網路。網路防火牆傳送內部網路上電腦之間的傳輸,並根據系統管理員所設定的準則篩選流量。
網路防火牆可以是硬體式或軟體式。硬體式的網路防火牆通常比軟體式的網路防火牆更便宜,也較適合家庭使用者及許多小型企業。軟體式的網路防火牆功能設定通常比硬體式的防火牆更多,因此可能較適合大型組織的需求。軟體式的防火牆也可以和其他服務 (例如電子郵件和檔案共用) 一樣在同一部伺服器上執行,讓小型組織善用現有的伺服器。
解決安全網路連線的問題後,系統管理員必須考量以下幾點:
安全性
管理的複雜度
成本
組織解決了這些主要的安全性挑戰後,可達到更高的員工生產力、降低成本並提高業務整合。
防火牆功能
依防火牆所支援的功能而定,可使用各種不同的技術來允許或封鎖流量。這些技術會以防火牆功能為基礎,提供不同程度的保護。下列防火牆功能按複雜度由簡而難排列,並於下列章節中說明:
網路介面卡輸入篩選器
靜態封包篩選器
網路位址轉譯 (NAT)
狀態檢查
電路層檢查
Proxy
應用程式層篩選
網路介面卡輸入篩選器
網路介面卡輸入篩選功能會檢查來源或目的地位址和連入封包的其他資訊,並且會封鎖這個封包或允許它通過。這項篩選功能只適用於輸入的流量。
靜態封包篩選器
靜態封包篩選器會比對 IP 標題,以判斷是否要允許流量通過介面。這項篩選功能適用於輸入和輸出流量。
網路位址轉譯 (NAT)
NAT 會將私人位址轉換成網際網路位址。儘管 NAT 嚴格來說並不是防火牆技術,但能夠隱藏伺服器的真實 IP 位址,即可避免攻擊者取得關於伺服器的有用資訊。
狀態檢查
在狀態檢查中,所有輸出的流量都會記錄在一份狀態表中。當連線流量回到介面時,狀態表會進行查核以確保流量是來自於這個介面。
電路層檢查
使用電路層級篩選功能,就可以檢查工作階段,而非只有連線或封包。
Proxy
Proxy 防火牆會代表用戶端收集資訊,並將收到來自服務的資料回傳給用戶端。
應用程式層篩選
防火牆流量檢查最複雜的層級,就是應用程式層篩選。您可以使用優良的應用程式篩選器來分析特殊應用程式的資料流,並提供應用程式專用的處理作業。
一般來說,提供複雜功能的防火牆亦支援較簡單的功能。但是,在選擇防火牆時應該仔細閱讀廠商的資訊,因為防火牆暗示和實際具備的功能之間可能會有些微的差異。一般來說,若要選擇防火牆,則需詢問功能,還要加以測試,以確定產品確實能執行產品規格上的功能。
階段 3: 評估與規劃
貴組織的「評估與規劃階段」目標應該是判斷防火牆服務的策略。這項策略將涵蓋防火牆設計的三個主要項目:
周邊防火牆設計: 一種防火牆解決方案,設計用於保護企業基礎結構不受網際網路上不安全的網路流量所攻擊。
內部防火牆設計: 第二道防火牆防線,設計用於保護半信任網路元素之間的流量以及內部信任元素之間的流量。
Proxy 設計: Proxy 解決方案,提供機制以確保並管理內部網路主機的輸出通訊。
每一項技術解決方案都需要配合特定的服務層級目標以及設計目的,例如可用性、安全性和可擴充性。
階段 4: 部署
「部署階段」的目標在於實作貴組織在「評估與規劃階段」中所選取和測試的策略。所選取的防火牆種類不同,特定的部署程序也會不同。如需安裝軟體式 ISA Server 2006 Enterprise Edition 防火牆技術的詳細資訊,請參閱 ISA Server 2006 Enterprise Edition 安裝指南 (英文)。
作業
防火牆服務的作業考量包括管理網路安全性、保護網路、偵測入侵,以及回應和實作標準化的作業需求。如需有關 ISA Server 2006 作業工作的詳細資訊,例如系統管理、監視、效能及疑難排解,以讓您的 ISA Server 系統維持最佳服務,請造訪 Microsoft TechNet 的 Microsoft ISA Server 2006 - 操作。
詳細資訊
如需防火牆的詳細資訊,請造訪 Microsoft TechNet 並搜尋「防火牆」。
若要瞭解 Microsoft 如何管理防火牆及其他安全性風險,請造訪 https://www.microsoft.com/technet/itshowcase/content/securitywebapps.mspx (英文)。
檢查點: 集中化的防火牆服務
|
需求 |
|---|---|
安裝集中化的硬體或軟體防火牆。 |
如果您已經完成上列步驟,則貴組織就已達到「集中化的防火牆服務」標準化層級的最低要求。
建議您遵循 Windows Server System 參考架構 (英文) 的防火牆服務實作指南 (英文) 中,有關防火牆的其他最佳作法。
移至下一個自我評估問題。
需求: 內部管理的基本網路服務 (DNS、DHCP、WINS)
對象
如果您沒有內部伺服器以提供基本網路服務,請閱讀本章節。
概觀
現今組織的 IT 網路具有各式各樣的運算裝置,包括了高階的伺服器到個人電腦,都需要透過區域網路 (LAN) 與彼此通訊。若要如此操作,則每一項裝置都需要一個身分識別,這個識別可以是邏輯裝置名稱 (由組織選擇) 或是可唯一識別裝置及其網路上位置的位址。
對於小型網路 (不超過 500 部裝置) 而言,可以手動維護及發佈名稱與位址,但隨著網路的成長且日益複雜,有效的名稱解析服務維護就變得越來越耗費時間及資源。
DNS、DHCP 和 WINS 是三種機制,用於提供 IP 位址的分配,以及管理企業環境中的服務。雖然還有其他的機制,但大部分情況下 DNS 和 DHCP 是任何服務的基礎,而 WINS 則滿足分配 DNS 和 NetBIOS 定址配置的任何需求。
下列指引是以 Windows Server System 參考架構的網路服務簡介 (英文) 為基礎。
階段 1: 評估
基本網路服務的「評估階段」目標,在於定義名稱解析的業務需求,以及目前所使用的基礎結構為何 (如果有的話)。由於大量的採用目錄服務以提供簡化的企業資源存取,名稱解析目前已成為一項主要的網路服務。目錄服務需要可靠而有效的名稱解析系統,以便使用者、用戶端作業系統以及伺服器都可以使用名稱 (而非位址) 找到資源。這些功能必須能夠執行而不會降低網路的安全性,或影響網路所提供的服務。
階段 2: 識別
在貴組織評估名稱解析的需求後,您應該開始識別符合需求的技術。
網域名稱系統 (DNS)
DNS 的主要目的在於將易記且使用者可讀的主機名稱,轉譯成數值的 IP 位址。除了眾多其他的功能外,DNS 也能解析電子郵件地址以找出相關的收件人郵件 Exchange 伺服器。
動態主機設定通訊協定 (DHCP)
DHCP 是一種通訊協定,可讓電腦、路由器或其他網路裝置要求及取得唯一 IP 位址以及其他參數,例如伺服器 (內含網路的可用 IP 位址清單) 中的子網路遮罩。
Windows 網際網路名稱服務 (WINS)
Windows 網際網路名稱服務 (WINS) 是一種 NetBIOS 名稱解析服務,可讓用戶端電腦在動態的分散式資料庫中登錄其 NetBIOS 名稱及 IP 位址,以及將網路資源的 NetBIOS 名稱解析成 IP 位址。
WINS 和 DNS 都是 TCP/IP 網路的名稱解析服務。WINS 解析在 NetBIOS 命名空間中的名稱,DNS 則是解析在 DNS 網域命名空間中的名稱。WINS 主要支援的用戶端是執行舊版的 Windows,以及使用 NetBIOS 的應用程式。Microsoft Windows 2000、Microsoft Windows XP 和 Windows Server 2003 使用 DNS 名稱以及 NetBIOS 名稱。在部分電腦使用 NetBIOS 名稱及其他電腦使用網域名稱的環境中,必須同時包含 WINS 伺服器和 DNS 伺服器。如果您的網路中所有電腦都執行 Windows 2000 及更新的作業系統,就不應該使用 WINS,而要使用 Active Directory。
階段 3: 評估與規劃
在您找出組織的名稱解析需求以及要實作的網路服務後,必須評估提議的技術以及其如何支援貴組織的目標。
內部 DNS 伺服器
一般而言,部署 Windows Server 2003 DNS 是用以支援 Active Directory 目錄服務。在這個環境中,DNS 命名空間會反映組織所使用的 Active Directory 樹系與網域。網路主機和服務都使用 DNS 名稱進行設定,以方便在網路中尋找。同時也設定 DNS 伺服器以解析 Active Directory 網域控制站的名稱。Windows Server 2003 DNS 通常也會部署成非 Active Directory,或標準的 DNS 解決方案,以主控組織的網際網路。
建立內部 DNS 伺服器能提供您最大的彈性,以及對於內部和外部網域名稱解析的控制。這樣會減少內部及網際網路的網路流量。下圖示範如何一起部署 Active Directory 整合的區域以及檔案式的次區域,以提供企業 DNS 服務。
.jpg)
內部 DHCP 伺服器
在 Windows Server 2003 中,DHCP 服務提供下列優勢:
**可靠的 IP 位址設定。**DHCP 會將手動設定 IP 位址所造成的錯誤降至最低,例如打錯字或將一個 IP 位址同時指派給多部電腦而發生的位址衝突。
減少網路管理。 DHCP 包含下列功能,以減少網路管理:
集中化和自動化的 TCP/IP 設定。
可使用 DHCP 選項,指定完整範圍的 TCP/IP 設定值。
有效的處理必須經常更新的用戶端 IP 位址變更,例如無線網路上移動至不同位置的筆記型電腦。
使用 DHCP 轉接代理程式轉送初始 DHCP 訊息,因此免除每一個子網路上都有 DHCP 伺服器的必要。
WINS 與內部資源
需要名稱解析的 Windows Server 2003 元件,會嘗試使用這個 DNS 伺服器,然後才嘗試使用先前預設的 Windows 名稱解析服務 (WINS)。如果貴組織有電腦執行比 Windows 2000 更老舊的作業系統,就必須為這些系統實作 WINS。當您從基本基礎結構最佳化層級移至標準化層級時,最多只能執行兩種作業系統以整合您的 IT 環境。您要淘汰舊版系統並在新作業系統上執行標準化,以免除組織中 WINS 的需要。
階段 4: 部署
「部署階段」的目標在於實作選取的技術,以提供名稱解析所需的基本網路服務。如需部署 DNS 和 DHCP 的詳細指引,請參閱 Windows Server 2003 部署指南 (英文) 中的部署網路服務 (英文) 指引。
詳細資訊
如需 DNS 的詳細資訊,請造訪 http://technet2.microsoft.com/WindowsServer/f/?en/library/54375efb-2192-49b7-a823-57c08c6cc06c1033.mspx (英文)。
如需 DHCP 的詳細資訊,請造訪 http://technet2.microsoft.com/WindowsServer/f/?en/library/85add012-1c2c-41bb-b1ae-11bc07485ee31033.mspx (英文)。
如需 WINS 的詳細資訊,請造訪 http://technet2.microsoft.com/WindowsServer/f/?en/library/0bef84d9-dafe-4fa8-9e70-fb4f56f1af971033.mspx (英文)。
檢查點: 內部管理的基本網路服務 (DNS、DHCP、WINS)
|
需求 |
|---|---|
在組織內的伺服器或其他裝置上實作 DNS 服務。 |
|
|
在組織內的伺服器或其他裝置上實作 DHCP 服務。 |
|
在組織內的伺服器或其他裝置上實作適用於舊型作業系統的 WINS 服務。 |
如果您已經完成上列步驟,則貴組織就已達到「內部管理的基本網路服務 (DNS、DHCP、WINS)」標準化層級的最低要求。
建議您遵循 Windows Server System 參考架構 (英文) 的網路服務實作指南 (英文) 中,有關防火牆的其他最佳作法。
移至下一個自我評估問題。
需求: 關鍵伺服器的可用性監視
對象
如果您並沒有對 80% 以上的關鍵伺服器進行監視,請閱讀本章節。
概觀
貴組織的運算基礎結構有效性及生產力,必須視關鍵伺服器的可用性而定,例如 DNS、DHCP、檔案和列印以及電子郵件伺服器。您必須建立原則和程序以監視這些伺服器,才能立即知道效能是否降低或服務是否中斷。軟體可用於自動化監視,且將警示傳送給適當的對象以便採取修正措施。
階段 1: 評估
在關鍵伺服器的可用性監視之「評估階段」,貴組織應清查組織基礎結構中所有的伺服器。您可以手動識別伺服器及規格,或使用工具以自動化清查程序,例如 Systems Management Server (SMS) 2003 (英文) 的清查收集功能。
階段 2: 識別
清查了所有伺服器後,「識別階段」主要是排列伺服器的優先順序,以及分類哪些伺服器重要到必須要求可用性監視。伺服器必須按照其在無法使用時,對業務或營運的影響以排列優先順序。例如,訊息服務可能是企業營運的通訊基礎,此時監視就不應該只延伸至電子郵件伺服器,還必須延伸至網域控制站及服務所要求的其他伺服器。
階段 3: 評估與規劃
「評估與規劃階段」所探討的是定義的關鍵服務中,伺服器的可用性監視需求。在此階段,您要評估技術選項、決定要實作、測試及規劃部署的解決方案。
在評估技術解決方案之前的第一個步驟,就是確認要監視的項目以及衍生健全狀況模型。健全狀況模型定義系統或服務為狀況良好 (在正常狀況下運作) 或狀況不良 (故障或效能降低),以及此類狀態的轉換。維護及診斷執行中的系統,需要良好的系統健全狀況資訊。如需詳細資訊,請參閱 Microsoft Operations Framework 服務監視和控制。
可用性管理
可用性管理探討設計、實作、衡量及管理 IT 基礎結構的可用性,以確保符合先前所述的業務可用性需求。可用性管理可套用至定義為關鍵業務功能的 IT 服務,即使沒有服務等級協定 (在最佳化的標準化層級中是常見的情形) 亦是如此。如需詳細資訊,請參閱 Microsoft Operations Framework 可用性管理。
監視軟體
本節說明軟體如何用於監視關鍵伺服器的可用性。在本範例中,Microsoft® Operations Manager (MOM) (英文) 的角色是監視。監視伺服器可用性的軟體必須具備下列功能:
可收集伺服器屬性資訊,並按照屬性套用特定規則加以監視。
可取得事件記錄及特定規則所定義的其他提供者的資料。
可根據效能計數器收集效能資料。
可根據規則所指定的準則產生警示。
回應事件
您可以使用監視資料以量化、評估和維持高層級的 IT 服務。此層級的服務是以下列項目為基礎:
可用性 – 與伺服器通訊以確保伺服器正在執行,以監視可用性。
效能 – 監視效能計數器,以確保伺服器在可接受的參數範圍內執行。
容量 – 監視磁碟容量,以及容量分析與計畫。
錯誤識別 – 識別錯誤或是會影響服務層級的前三個層級的狀況。
如需設定可用性目標的資訊,請造訪 https://technet.microsoft.com/en-us/library/a4bb7ca6-5a62-442e-86db-c43b6d7665a4.aspx (英文)。
監視資料
在伺服器監視期間,會收集資料並儲存至資料庫。監視會產生四種類型的資料: 事件資料、效能資料、警示資料和探索資料。
事件資料
受管理的伺服器會將事件記錄至本機事件記錄中 (應用程式、安全性和系統)。例如,MOM 會收集這些記錄中的事件資訊。收集的事件資料可用於:
使用報表伺服器與報表資料庫以產生報表。
提供偵測到的問題內容 (以警示的形式)。
提供有關電腦狀態的資訊,這是衍生自整合事件或遺漏的事件中的相關資料。
效能資料
會從來源中收集數值效能資料,例如 Windows 效能計數器和 Windows Management Instrumentation (WMI)。收集的效能資料可用於:
使用不同的格式 (例如表格、清單及圖形) 以檢視操作員主控台中的效能資料。
使用報表伺服器與報表資料庫以產生報表。
識別關鍵閾值,超出此值可能表示效能發生問題。
警示資料
警示資料代表受管理的伺服器上偵測到的問題。警示資料內含有關所偵測問題的下列資訊:
問題的實體類型。描述成服務探索類型。
問題的實體。
問題的嚴重性。
警示名稱、描述、問題狀態、警示計數,以及解析狀態。
警示是一種指標,以通知使用者受管理電腦的健全狀況。警示也會提供狀態監視的基礎。
警示更新
收集到產生警示的伺服器相關的資訊時,儲存在資料庫中的警示資訊會持續更新。再以 MOM 為例,當偵測到問題時,就會產生警示。當警示代表新的問題時,警示會插入資料庫中。如果 MOM 偵測到問題消失,就會產生其他警示項目以更新原始警示的問題狀態。最後,資料庫中現有警示的問題狀態會更新且標示為已修正,但您還是需要解決警示,以表示收到警示。
警示歸併
警示歸併是一種機制,用來指定哪些警告應視為特殊的問題。警示歸併欄位已定義,這是產生警示的規則定義中的一部分。如果沒有設定警示歸併,則 MOM 執行時期所產生的新警示就會被視為新的問題。警示歸併欄位是用來指定警示的屬性,如果兩個警示代表相同的問題,則其值必須相同。
探索資料
探索資料內含特定範圍內所探索的實體快照。探索資料不同於其他作業資料,並不會直接提供給使用者。探索資料會以拓撲圖、電腦屬性、服務清單或電腦清單的方式提供。
階段 4: 部署
當您定義了監視所需的服務、判斷服務所需的裝置、開發健全狀狀模型,以及評估適合貴組織需求的監視軟體後,就要實作可用性監視解決方案。
如果貴組織選擇 Microsoft Operations Manager 技術以執行系統的可用性監視,請參閱 Microsoft TechNet 上的 MOM 2005 部署指南 (英文) 中詳細的部署指引。
作業
作業目標在於管理關鍵伺服器的可用性管理程序活動。作業程序應確保關鍵的 IT 服務能提供為組織所定義的可用性層級。
詳細資訊
如需使用 MOM 監視伺服器可用性的資訊,請造訪 https://www.microsoft.com/technet/prodtechnol/mom/mom2005/Library/faf19f47-facd-4467-9510-e7c84c671572.mspx?mfr=true (英文)。
如需使用 MOM 以其他功能最佳化伺服器監視的詳細資訊,請參閱解決方案加速器 (英文) 內容:
通知工作流 (英文) — 通知工作流是 Microsoft® SQL Server™ 型通知服務應用程式,可用於延伸 MOM 2005 的通知功能。
Autoticketing (英文) — Autoticketing 可提供自動化產生票證的指引,以自動將要求 (即票證) 張貼至用於事件管理的 Trouble Ticketing (TT) 系統。
警示微調解決方案 (英文) — 警示有助於減少部署 MOM 2005 管理組件時的警示量。
服務持續性 (英文) — 服務持續性有助於維持 MOM 2005 服務的可用性。
多重管理群組總集 (英文) — 多重管理群組總集讓企業可以把多重管理群組的資料大量填入一個資料倉儲,建立合併式的彙總報告。
若要瞭解 Microsoft 如何監視 Exchange Server 2003,請至 https://www.microsoft.com/technet/itshowcase/content/monittsb.mspx (英文)。
檢查點: 關鍵伺服器的可用性監視
|
需求 |
|---|---|
安裝可用性監視軟體,例如 Microsoft Operations Manager (MOM)。 |
|
|
監視 80% 的關鍵伺服器效能、事件與警示。 |
如果您已經完成上列步驟,則貴組織就已達到「關鍵伺服器的可用性監視」標準化層級的最低要求。
建議您遵循 Microsoft TechNet 的 Microsoft Operations Manager 2005 TechCenter (英文) 中所探討的其他最佳作法。
移至下一個自我評估問題。