Мониторинг Windows Server 2008 посредством OpsMgr 2007

В долгожданный выпуск Windows Server 2008 внесены существенные изменения в ОС, добавляющие мощные функциональные возможности, такие как ядро сервера, серверные роли, контроллеры домена только для чтения, Hyper-V, шлюз служб терминалов и расширенная поддержка протокола Интернет версии 6 (IPv6). Хотя эти изменения и новые компоненты дают дополнительные преимущества, они некоторым образом изменяют способ использования System Center для управления системами Windows Server 2008 и осуществления контроля.

По мере того как организации внедряют Windows Server 2008 в производственные среды, им становится необходим способ управления и контроля работоспособности, производительности и доступности этих служб. К счастью, можно использовать существующие технологии System Center. В System Center Operations Manager 2007 (OpsMgr) недавно была добавлена поддержка для Windows Server 2008 в виде новых пакетов управления, а в System Center Configuration Manager 2007 (ConfigMgr) добавлена поддержка для Windows Server 2008 в виде выпуска ConfigMgr SP1.

Как работает OpsMgr

OpsMgr 2007 осуществляет текущий контроль и измерения работоспособности Windows Server 2008 и приложений на сервере с помощью агента, устанавливаемого на контролируемом сервере. Агент предоставляет отчеты с данными, такими как данные о событиях, предупреждениях и производительности, центральному серверу, который называется сервером управления. Сервер управления в свою очередь вносит эти данные в центральную базу данных SQL Server. Впоследствии эти данные можно визуализировать в консоли операций на любой рабочей станции (работающей под управлением Windows XP с пакетом обновления 2 (SP2) или более новой версии Windows) или посредством веб-консоли. Эта архитектура показана на рис. 4.

Рис. 1 Пример топологии группы управления Operations Manager 2007

После того как на серверах установлен и настроен агент OpsMgr, выявление приложений и служб, установленных на серверах, выполняется автоматически. Сервер управления отправляет агенту специальные правила мониторинга под названием «Операции обнаружения объектов». Эти правила выполняют проверку реестра и файловой системы, а также запускают сценарии, предназначенные для обнаружения всех установленных компонентов. Они также идентифицируют все роли, для которых можно настроить Windows Server 2008, например контроллер домена, сервер печати, веб-сервер или сервер кластеров.

Операции обнаружения объектов по умолчанию настраиваются на локальной машине на повторное выполнение с регулярными интервалами. Выполняя регулярные повторные проверки, OpsMgr выявляет изменения в приложениях и службах, настроенных на сервере с течением времени. Теперь можно обратиться к детальному разбору способов, которыми OpsMgr 2007 обеспечивает обзор инфраструктуры Windows Server 2008 изнутри.

База знаний для решения реальных проблем

Как упоминалось выше, пакеты управления делают возможными функции мониторинга ядра, предоставляя коллекцию правил, задач и отчетов мониторинга. Но хотя основной целью OpsMgr является выявление мелких проблем до того, как они превратятся в крупные, он делает больше, чем просто объявление тревоги при появлении признаков неполадок. В действительности пакеты управления содержат сведения о возможных причинах и рекомендуемых решениях для большого числа проблем, выявляемых правилами мониторинга. При просмотре предупреждающих сообщений эти сведения отображаются в контексте (см. рис. 2) как в области наблюдения, так и при обзоре состояния работоспособности системы с помощью Health Explorer.

Рис. 2. База знаний для программного продукта в представлении «Предупреждение» консоли операций

Помимо отображения текущего состояния работоспособности систем и приложений средство Health Explorer отображает также архив изменений работоспособности системы и приложения наряду с меткой времени для каждого изменения. Фактически, можно выбрать возникшее изменение состояния работоспособности и просмотреть подробные сведения, относящиеся к изменению, спровоцировавшему эту ситуацию.

Посредством специальных ответов под названием «Диагностика и восстановление», OpsMgr можно настроить на автоматическое извлечение данных настройки или среды при возникновении неполадки. Из рис. 3 видно, что когда выделено событие изменения состояния, связанное с медленным ответом от DNS-сервера Windows 2008, на нижней панели отображается список выполняющихся процессов, составленный при возникновении изменения на сервере. Эти данные могут оказаться решающими в определении служб, потреблявших в тот момент чрезмерное количество ресурсов.

Рис. 3 События изменения состояния в OpsMgr Health Explorer

Доступность и обозреваемость служб

Конечно, в Windows Server 2008 включены такие компоненты, как Internet Information Services 7.0 (которые можно использовать для предоставления приложений на платформе Microsoft .NET Framework и веб-служб), а также такие компоненты, как отказоустойчивая кластеризация и балансировка сетевой нагрузки, предназначенные для обеспечения высокой доступности служб. Хотя в среде Windows Server 2008 стало проще реализовывать кластеризацию и балансировку сетевой нагрузки и управлять ими, эти технологии по-прежнему усложняют задачи управления. Возможность визуализировать состояние работоспособности и производительность этих компонентов является насущной для обеспечения предсказуемой работы инфраструктуры и приложений.

OpsMgr справляется с этой сложностью с помощью пакетов управления для решений высокой доступности, встроенных в Windows Server 2008. Одни эти пакеты управления предоставляют сотни правил мониторингоа для обеспечения работоспособности каждого из этих компонентов.

Когда дело доходит до мониторинга служб, в конечном счете важно, чтобы критические для бизнеса приложения были доступными с точки зрения клиентов. Критическое веб-приложение, предназначенное для клиентов, может присутствовать на сервере, но быть недоступным из внешней сети. OpsMgr предлагает такие функции, как искусственная транзакция и мониторинг распределенных приложений, для обеспечения визуализации уровня обслуживания в части транзакционной работоспособности и доступности распределенных бизнес-приложений с точки зрения конечного пользователя.

С помощью простого мастера можно создать искусственный монитор URL для проверки доступности, времени отклика и содержимого, возвращаемого веб-приложением. OpsMgr проверяет транзакционную работоспособность приложений с помощью мониторинга стандартных компонентов. Но для настоящего мониторинга транзакций более сложных веб-приложений можно записать последовательность просмотра действий приложений, использующих веб-обозреватель, с целью включения в монитор URL для обеспечения более тщательной и практичной проверки.

Для обеспечения доступности с точки зрения конечного пользователя можно выбрать один или несколько компьютеров в разных точках сети (называемых узлами наблюдения) для выполнения проверки URL. Это выполняется в рамках того же простого мастера, как показано на рис. 4. Для того чтобы выступать в роли узла наблюдения, системе необходим установленный агент OpsMgr.

Рис 4. Выбор узлов наблюдения для искусственного мониторинга URL

Наблюдение за распределенным предприятием

С помощью конструктора распределенных приложений, входящего в OpsMgr 2007 администраторы могут создавать модель инфраструктуры распределенных приложений (см. рис. 5). Конструктор дает возможность перетаскивать компоненты приложения в отдельное представление и определять зависимости с целью демонстрации взаимосвязей между компонентами. Не важно, имеется у вас веб-узел IIS 7.0 или система Windows Server 2008, в которой работает Hyper-V и размещены виртуальные машины. В схему, представляющую подлинную картину вашего приложения, можно включить все контролируемые объекты.

Рис. 5 Моделирование распределенного приложения в OpsMgr

Можно даже создавать пользовательские алгоритмы работоспособности, допускающие проведение детального контроля над тем, из чего складываются работоспособные и неработоспособные состояния в приложении. Этот компонент удобен при настройке метода, которым OpsMgr вычисляет работоспособность компонентов с сбалансированной нагрузкой, которые в состоянии выдерживать многочисленные сбои (например, веб-ферма).

Отчетность об уровне обслуживания

В пакет управления операционной системы Windows Server 2008 включен ряд отчетов о производительности, которые можно использовать для оценки производительности. Но это только верхушка айсберга отчетности. В OpsMgr 2007 включены глобальные отчеты о производительности и доступности (находятся в библиотеке Microsoft Generic Report Library). Они дают возможность пользователям, имеющим доступ к отчетам, формировать отчеты о доступности любого контролируемого объекта из OpsMgr 2007.

Эта возможность может быть использована для определения производительности приложения и системы исходя из задач обслуживания ИТ-инфраструктуры. Например, можно использовать общий отчет о доступности, показанный на рис. 6, для определения доступности всех экземпляров Windows Server 2008, серверных ролей и компонентов ОС — потребуется всего пара нажатий кнопки мыши. Или можно использовать функцию «Рабочее время» в заголовках отчетов, чтобы генерировать отчеты о доступности, представляющие только конкретные периоды времени, в течение которых должны быть доступны приложения.

Рис. 6 Создание отчетов о доступности ОС Windows OS в OpsMgr

«Панель мониторинга уровня обслуживания» является компонентом, расширяющим функциональные возможности отчетов, и, в результате, дающая администраторам возможность настраивать эталонные данные для соглашений об условиях обслуживания (SLA), относящихся к производительности и доступности. Это дает возможность сравнивать такие данные с фактической доступностью распределенных приложений, чтобы понять, насколько производительность соответствует задачам производительности и доступности. Сведения отображаются на объединенной панели мониторинга, которая показана на рис. 7.

Рис. 7 Панель уровня обслуживания в OpsMgr

Объединение решений безопасности и аудита соответствия нормативным требованиям

Как вы наверняка знаете, вопросы о конфиденциальности данных привели к появлению ряда правительственных постановлений, таких как закон Сарбейнса-Оксли и Закон об отчетности в области медицинского страхования (HIPAA). Теперь приведение в соответствие корпоративных политик безопасности и оптимальных отраслевых методик является не просто хорошей идеей, а законом! Возможность сформулировать и объяснить, какие изменения произошли в системе, является делом первостепенной важности, а неспособность это сделать может обернуться штрафами в миллионы долларов.

Аудит системы безопасности в нескольких последних версиях Windows Server обеспечивался 9-ью крайне широкими категориями аудита безопасности, что зачастую приводило к информационной перегрузке. Windows Server 2008, однако, обеспечивает более 50 категорий аудита, предоставляемых новым компонентом с названием Granular Audit Policy (GAP) (Детальная политика аудита). Это позволяет выполнять аудит системы безопасности с гораздо большей степенью контроля, отфильтровывая не очень важную информацию из журнала событий без потери возможности получать обзор на уровне категорий. Например, если в конкретной системе требуется контролировать изменения, происходящие только с Active Directory, а не с локальными элементами, например реестром, можно настроить подкатегорию аудита «Служба каталогов», чтобы получать отчеты только по этим событиям. В командной строке можно активировать аудит успеха и/или неудачи этих изменений следующим образом.

Auditpol /set /subcategory:"Directory Service Changes" 
/failure:enable

Еще больше функций фильтрации и формирования отчетов по этим данным предоставляет единый интерфейс, входящий в OpsMgr, содержащий службы ACS. Эти службы автоматизируют сбор и централизованное архивирование распределенных событий безопасности Windows в едином хранилище базы данных.

Служба пересылки данных аудита (Audit Forwarding Service), загружаемая в рамках установки агента OpsMgr (но отключенная по умолчанию), отправляет события журнала безопасности на центральный сервер. Этот центральный сервер, носящий название сборщика ACS, вносит события безопасности в центральную базу данных аудита, размещенную на сервере, работающем под управлением SQL Server 2005. Эта архитектура показана на рис. 8. Пересылка событий выполняется практически в режиме реального времени, что минимизирует вероятность воздействия локальных администраторов на события журнала безопасности.

Рис. 8 Архитектура служб сбора данных аудита

После того, как события собраны, аудиторы и администраторы могут их анализировать с помощью приблизительно 20 отчетов, входящих в службы ACS (см. рис. 9). Отчеты ACS охватывают множество распространенных категорий аудита, например события управления учетными записями, предназначенные для судебных органов отчеты о действиях пользователей и отчеты, выявляющие возможные угрозы журналам событий безопасности Windows 2008 (например, попытки администраторов удалить содержимое журнала безопасности в контролируемой системе Windows).

Рис. 9 Отчеты по сбору данных аудита, входящие в Operations Manager 2007

Пакет управления для каждого приложения

В рамках обязательств по стратегии динамических систем корпорация Майкрософт обязалась предоставлять пакет управления для каждого нового серверного приложения. При наличии такого значительного числа служб, входящих в Windows Server, корпорация Майкрософт взяла на себя обязательство предоставить более 20 пакетов управления только для одной платформы Windows Server 2008. В список пакетов управления Windows Server 2008 для OpsMgr 2007 входят пакеты, представленные на рис. 10.

Рис. 10. Пакеты управления OpsMgr

Операционная система Windows Server 2008 (базовая ОС)

2008 Microsoft Cluster Server (MSCS)

Служба DNS 2008 (Domain Name Service)

Протокол DHCP 2008 (Dynamic Host Configuration Protocol)

Службы IIS 2008 (Internet Information Services)

Службы управления ключами Windows 2008 (KMS)

Групповая политика 2008

Сервер приложений 2008

Сервер печати 2008

Службы терминалов 2008 (TS)

Репликация DFS-R 2008

Пространство имен DFS 2008

Active Directory 2008

Защита доступа к сети 2008 (NAP)*

Службы 2008 для Unix

Балансировка сетевой нагрузки 2008 (NLB)

Службы управления правами в Windows 2008 (RMS)

Службы развертывания Windows 2008

Службы потокового мультимедиа 2008

Службы сертификации 2008

Службы федерации Active Directory 2008 (ADFS)

Службы AD для облегченного доступа к каталогам 2008 (ADLDS)

2008 Hyper-V

Факс-сервер 2008

Начало работы

Как видите, Windows Server 2008 и System Center Operations Manager 2007 предоставляют надежную корпоративную инфраструктуру для поддержки наиболее важных бизнес-служб. Обладая набором компонентов, предназначенных для предоставления ориентированного на службы мониторинга и обеспечивая интеграцию во всех надлежащих местах, OpsMgr 2007 позволяет организациям воспользоваться уже сделанными вложениями в Active Directory, упрощает администрирование и снижает общую стоимость владения развертываниями Windows Server 2008.

Рекомендую загрузить 60-дневную пробную версию Windows Server 2008, доступную на веб-странице по адресу microsoft.com/windowsserver2008/en/us/trial-software.aspx. Можно также загрузить 180-дневную пробную версию Operations Manager 2007 на веб-странице по адресу microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx.