大家翘首以盼的 Windows Server 2008 版本对操作系统进行了重大更改,添加了诸如 Server Core、服务器角色、只读 DC、Hyper-V、终端服务网关以及对 Internet 协议版本 6 (IPv6) 的增强支持等强大功能。虽然这些更改和新功能带来了不少好处,但它们仍然改变了使用 System Center 管理和监视 Windows Server 2008 系统的方式。
随着各种组织将 Windows Server 2008 引入它们的生产环境,这些组织需要一种方法来管理和监视上述服务的运行状况、性能和可用性。幸运的是,您可以利用现有的 System Center 技术。System Center Operations Manager 2007 (OpsMgr) 最近通过推出新的管理包,增加了对 Windows Server 2008 的支持,而 System Center Configuration Manager 2007 (ConfigMgr) 也随着 ConfigMgr SP1 的发行增加了对 Windows Server 2008 的支持。
OpsMgr 的工作原理
OpsMgr 2007 使用安装在要监视的服务器上的代理来监视和度量服务器上 Windows Server 2008 和应用程序的运行状况。此代理会将事件、警告和性能等数据报告给中央服务器(称为管理服务器)。然后,管理服务器将这些数据插入到中央 SQL Server 数据库。这些数据即可在任何工作站(运行 Windows XP SP2 或更新的 Windows 版本)或 Web 控制台的操作控制台中呈现。图 1 说明了这一体系结构。
图 1 Operations Manager 2007 管理组拓扑示例
在服务器上安装和配置 OpsMgr 代理后,便会自动发现在服务器上安装的应用程序和服务。管理服务器会将特殊的监视规则(称为对象发现)发送给代理。这些规则会对注册表和文件系统执行检查,也会执行脚本来查找安装了哪些组件。它们还会识别可为 Windows Server 2008 服务器配置的所有角色,例如域控制器、打印服务器、Web 服务器或群集服务器。
默认情况下,会将对象发现配置为在本地计算机上定期重复执行。通过定期重复执行检查,OpsMgr 可识别出服务器上配置的应用程序和服务在一段时间以来的更改。现在,我可以深入探讨一下 OpsMgr 2007 如何提供 Windows Server 2008 基础结构的可见性。
解决实际问题的知识
如上所述,管理包通过提供监视规则、任务和报告的集合启用核心监视功能。虽然 OpsMgr 的主要目的是防微杜渐,找出潜在的问题,但它在发现问题的征兆时并不只发出警报。管理包实际上还提供监视规则所识别的许多问题的可能原因并建议解决方案。这些信息会在您查看警报时显示在上下文中(请参见图 2),在“监视”区域中以及使用 Health Explorer 查看系统运行状况状态时都会显示这些信息。
图 3 OpsMgr Health Explorer 中的状态更改事件
服务可用性和可见性
当然,Windows Server 2008 也包括 Internet Information Services 7.0(可用来提供基于 Microsoft .NET Framework 的应用程序和 Web 服务)等功能,以及故障转移群集和网络负载平衡等功能,以使这些服务高度可用。虽然群集和网络负载平衡在 Windows Server 2008 中很容易实现和管理,但这些技术仍然增加了管理任务的复杂性。深入了解这些组件的运行状况和性能,是确保基础结构和应用程序按预期方式执行的关键。
OpsMgr 通过将高可用性解决方案的管理包内置到 Windows Server 2008 解决了这一复杂性。仅这些管理包就提供了成百上千条监视规则来确保这些组件中每个组件的运行状况。
提到服务监视,从客户的角度来看,最重要的是能够使用业务关键应用程序。专为客户设计的关键 Web 应用程序,可能已在服务器上提供,但无法从外部访问。OpsMgr 提供了综合事务和分布式应用程序监视等功能,以便从最终用户的角度提供对事务性运行状况的服务级别可见性和分布式业务线应用程序的可用性。
使用一个简单向导,您可以创建综合 URL 监视器来测试可用性、响应时间和 Web 应用程序返回的内容。OpsMgr 可以使用现成的监视功能来验证应用程序的事务性运行状况。但是,若要对较复杂的 Web 应用程序进行实际的事务性监视,您可以记录一连串基于浏览器的浏览动作,使其包含在 URL 监视器中,从而提供更全面、真实的测试。
为了确保以最终用户的角度来提供可用性,您可以在网络上的不同位置选择一台或多台计算机(称为观察者节点)来执行 URL 测试。此操作也在该向导中完成,如图 4 所示。若要使系统以观察者节点的身份执行,必须安装 OpsMgr 代理。
图 4 选择观察者节点进行综合 URL 监视(单击可获得大图)
了解分布式企业
使用 OpsMgr 2007 中的分布式应用程序设计器,系统管理员可以为他们的分布式应用程序基础结构创建模型(请参见图 5)。通过设计器,您可以将应用程序的组件拖放到单一视图,并且定义依赖关系来说明组件之间的相互关系。无论您拥有的是 IIS 7.0 网站还是运行 Hyper-V 和承载虚拟机的 Windows Server 2008 系统都无所谓,所有的监视对象都可以包含在图表中,呈现应用程序的真实面貌。
图 5 OpsMgr 2007 中的分布式应用程序模型
您甚至可以创建自定义运行状况算法,允许更精细地控制构成您的应用程序运行状况和非正常运行状况状态的要素。此功能在配置 OpsMgr 如何计算可承受多次失败的负载平衡组件(例如 Web 场)时相当实用。
服务级别报告
Windows Server 2008 操作系统管理包包含许多性能报告,可用来精确度量服务器性能。但这不过是报告功能的冰山一角。OpsMgr 2007 包括全局性能和可用性报告(位于 Microsoft Generic Report Library 中),允许能够访问报告的用户报告 OpsMgr 2007 中任何监视对象的可用性。
此功能可用来对照 IT 服务交付目标度量应用程序和系统性能。例如,您可以使用图 6 中所示的一般可用性报告,按几次鼠标按键,即可确定您的环境中所有 Windows Server 2008 实例、服务器角色和操作系统组件的可用性。或者,您可以使用报告标题中的“工作时间”功能,生成只涵盖应用程序必须处于可用状态的特定时段的可用性报告。
图 6 OpsMgr 2007 中的 Windows OS 可用性报告
服务级别仪表板是一项可扩展报告功能的功能,因此,它允许管理员针对性能和可用性服务级别协议 (SLA) 来配置基准。然后,您可以将此基准与实际的分布式应用程序可用性相比较,看看性能达到性能和可用性目标的程度。此信息显示在统一的仪表板中,如图 7 所示。
图 7 OpsMgr 2007 中的服务级别仪表板
Auditpol /set /subcategory:"Directory Service Changes"
/failure:enable
安全性与遵从性审核齐头并进
您肯定知道,数据隐私的问题催生了许多政府强制性法规,例如萨班斯-奥克斯利法案 (SOX) 和健康保险可携性与责任法案 (HIPAA)。使企业安全策略符合行业最佳实践不再只是建议 — 而是法律规定!能够描述和解释系统上发生的更改是当务之急,否则可能使公司支付上百万的罚金。
过去 Windows Server 中安全审核的几个版本都是由非常广泛的 9 大安全审核类别所涵盖,常常导致信息量过大。但是,Windows Server 2008 通过一种称为 Granular Audit Policy 的新功能提供了 50 多种审核类别。这使您能够以更高的控制能力执行安全审核,从事件日志中过滤掉非关键信息,而不会在类别级损失可视性。例如,您在特定系统中只想监视对 Active Directory 进行的更改,而不想监视对本地项(例如注册表)进行的更改,则可以将目录服务审核子类别配置为只报告这些事件。您可以在命令行中启用这些更改的成功和/或失败审核,如下所示:
OpsMgr 中的审核收集服务 (ACS) 提供了单一接口以及更多这方面的过滤和报告功能。此服务可在单一数据库存储库中自动收集和集中存档分布式 Windows 安全事件日志。
作为 OpsMgr 代理安装一部分加载(但在默认情况下是禁用的)的 Audit Forwarding Service,会将“安全事件日志”事件发送到中心服务器。该中心服务器称为 ACS 收集器,随后会将安全事件插入到在运行 SQL Server 2005 的服务器上承载的中心审核数据库中。<strong>图 8</strong> 阐明了此体系结构。通过近乎实时地转发事件,本地管理员干扰安全日志事件的可能性会降至最低。
图 8“审核收集服务”体系结构
收集这些事件后,审计员和管理员可通过审核收集服务中包含的近 20 种报告来分析它们(请参见图 9)。ACS 报告涵盖各种常见的审核类别,例如帐户管理事件、以用户活动为目标的取证报告,以及揭示 Windows 2008 安全事件日志中具有潜在威胁的报告(例如管理员尝试清除受监视的 Windows 系统上的安全事件日志)。
图 9 Operations Manager 2007 中的审核收集报告
适用于每个应用程序的管理包
作为“动态系统计划”目标的一部分,Microsoft 承诺要提供适用于每个新服务器应用程序的管理包。由于 Windows Server 中提供的服务众多,因此 Microsoft 承诺仅针对 Windows Server 2008 平台就提供 20 多个管理包。适用于 OpsMgr 2007 的 Windows Server 2008 管理包列表包含图 10 中所显示的所有管理包。
图 10 OpsMgr 管理包
2008 Windows Server Operating System (Base OS) |
---|
2008 Microsoft Cluster Server (MSCS) |
2008 Domain Name Service (DNS) |
2008 Dynamic Host Configuration Protocol (DHCP) |
2008 Internet Information Services (IIS) |
2008 Windows Key Management Services (KMS) |
2008 Group Policy |
2008 Application Server |
2008 Print Server |
2008 Terminal Services (TS) |
2008 DFS-R (Replication) |
2008 DFS-N (Namespace) |
2008 Active Directory |
2008 Network Access Protection (NAP)* |
2008 Services for Unix |
2008 Network Load Balancing (NLB) |
2008 Windows Rights Management Services (RMS) |
2008 Windows Deployment Services |
2008 Streaming Media Services |
2008 Certificate Services |
2008 Active Directory Federation Services (ADFS) |
2008 AD Lightweight Directory Services (ADLDS) |
2008 Hyper-V |
2008 Fax Server |
入门
您可以看到,Windows Server 2008 和 System Center Operations Manager 2007 提供了坚实、适合于企业的基础结构来支持最关键的业务服务。OpsMgr 2007 提供了一系列旨在提供面向服务的监视并在适当位置集成的功能,不仅使组织可以利用 Active Directory 中现有的投资,简化了管理工作,还降低了 Windows Server 2008 部署的整体拥有成本。
我建议您下载 Windows Server 2008 的 60 天试用版,网址是 microsoft.com/windowsserver2008/en/us/trial-software.aspx。您也可以下载 Operations Manager 2007 的 180 天试用版,网址是 microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx。
Pete Zerger 是 AKOS Technology Services 公司的咨询合作伙伴。Pete 拥有九年的 IT 行业工作经验,主攻设计和部署企业操作管理、目录服务和消息传送解决方案。
原文链接:http://technet.microsoft.com/zh-cn/magazine/2008.11.monitoring.aspx