Eseguire analisi di Best Practice Analyzer e gestire i risultati delle analisi
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
In ambito di gestione di Windows, con procedure consigliate si fa riferimento a linee guida considerate ideali, in circostanze tipiche, per configurare un server in base al parere degli esperti. Per la maggior parte delle applicazioni server, ad esempio, le procedure consigliate prevedono l'apertura solo delle porte necessarie per la comunicazione delle applicazioni con altri computer di rete e il blocco delle porte non usate. Sebbene il mancato rispetto delle procedure consigliate, anche di quelle più importanti, non sia necessariamente problematico, potrebbero verificarsi cali nelle prestazioni, scarsa affidabilità, conflitti imprevisti, aumento dei rischi per la sicurezza e altri problemi potenziali.
Best Practices Analyzer (BPA) è uno strumento di gestione server disponibile in Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 e Windows Server 2008 R2. BPA può aiutare gli amministratori a ridurre la mancata conformità alle procedure consigliate analizzando i ruoli installati in server gestiti che eseguono una versione supportata e segnalando le violazioni delle procedure consigliate all'amministratore.
È possibile eseguire analisi di Best Practices Analyzer (BPA) da Server Manager, usando la GUI interfaccia utente grafica BPA o usando i cmdlet in Windows PowerShell. A partire da Windows Server 2012, è possibile analizzare uno o più ruoli contemporaneamente, su più server, usando il riquadro Best Practices Analyzer nella console di Server Manager oppure i cmdlet di Windows PowerShell per eseguire le analisi. È inoltre possibile impostare BPA in modo da escludere o ignorare i risultati dell'analisi che non si desidera visualizzare.
Questo argomento include le sezioni seguenti.
Trovare BPA
È possibile trovare il riquadro Best Practices Analyzer nelle pagine del ruolo e del gruppo di server di Server Manager in Windows Server oppure aprire una sessione di Windows PowerShell con diritti utente elevati per eseguire i cmdlet di Best Practices Analyzer.
Funzionamento di BPA
BPA funziona valutando la conformità di un ruolo alle regole delle procedure consigliate in otto diverse categorie relative a efficacia, attendibilità e affidabilità. I risultati delle analisi sono rappresentati da tre livelli di gravità descritti nella tabella seguente.
| Livello di gravità | Descrizione |
|---|---|
| Error | I risultati di questo tipo vengono restituiti quando un ruolo non soddisfa le condizioni di una regola delle procedure consigliate e possono verificarsi problemi di funzionalità. |
| Informazioni | I risultati di questo tipo vengono restituiti quando un ruolo soddisfa le condizioni di una regola delle procedure consigliate. |
| Avviso | I risultati di questo tipo vengono restituiti se i risultati di non conformità possono causare problemi qualora le modifiche non vengano apportate. L'applicazione può risultare conforme in base al funzionamento attuale, ma potrebbe non soddisfare le condizioni di una regola qualora non vengano apportate modifiche alle impostazioni di configurazione o dei criteri. Da un'analisi di Servizi Desktop remoto potrebbe ad esempio risultare un avviso qualora per il ruolo non sia disponibile un server licenze in quanto, anche se al momento dell'analisi non vi sono connessioni remote attive, la mancanza di un server licenze impedisce alle nuove connessioni remote di ottenere licenze CAL (Client Access License) valide. |
Categorie di regole
La tabella seguente descrive le categorie di regole delle procedure consigliate in base alle quali vengono valutati i ruoli durante un'analisi tramite Best Practices Analyzer.
| Category Name | Descrizione |
|---|---|
| Sicurezza | Le regole relative alla sicurezza vengono applicate per valutare il rischio relativo di un ruolo per quanto riguarda l'esposizione a minacce come utenti non autorizzati o malintenzionati oppure perdita o furto di dati riservati o proprietari. |
| Prestazioni | Le regole relative alle prestazioni vengono applicate per valutare la capacità di un ruolo di elaborare le richieste e svolgere i compiti previsti in un'organizzazione, entro il periodo di tempo previsto in base al carico di lavoro. |
| Impostazione | Le regole relative alla configurazione vengono applicate per identificare le impostazioni dei ruoli per le quali potrebbero essere necessarie modifiche per garantire il funzionamento ottimale del ruolo. Le regole relative alla configurazione possono aiutare a evitare conflitti tra impostazioni che possono comportare la visualizzazione di messaggi di errore o impedire a un ruolo di svolgere i compiti previsti in un'organizzazione. |
| Criteri | Le regole dei criteri vengono applicate per identificare le impostazioni di Criteri di gruppo o del Registro di sistema di Windows per le quali potrebbero essere necessarie modifiche per garantire il funzionamento ottimale e sicuro di un ruolo. |
| Operazione | Le regole delle operazioni vengono applicate per identificare i possibili casi in cui un ruolo non è in grado di svolgere i compiti previsti nell'organizzazione. |
| Pre-distribuzione | Le regole di pre-distribuzione vengono applicate prima che un ruolo installato venga distribuito nell'organizzazione. Consentono agli amministratori di valutare, prima di usare il ruolo nell'ambiente di produzione, se le procedure consigliate sono state soddisfatte. |
| Post-distribuzione | Le regole di post-distribuzione vengono applicate dopo che tutti i servizi necessari sono stati avviati per un ruolo e dopo che il ruolo è in esecuzione nell'organizzazione. |
| Prerequisiti | Le regole dei prerequisiti illustrano le impostazioni di configurazione, le impostazioni dei criteri e le funzionalità necessarie per un ruolo affinché tramite BPA possano essere applicate regole specifiche di altre categorie. Un prerequisito nei risultati di un'analisi indica che un'impostazione non corretta, un programma non presente, criteri abilitati o disabilitati in modo non corretto, un'impostazione di una chiave del Registro di sistema o un'altra configurazione ha impedito a BPA di applicare una o più regole durante un'analisi. Un risultato relativo a un prerequisito non implica la conformità o la non conformità, bensì indica che non è stato possibile applicare una regola che pertanto non è inclusa nei risultati dell'analisi. |
Eseguire analisi di Best Practice Analyzer sui ruoli
È possibile eseguire analisi BPA sui ruoli usando l'interfaccia utente grafica di BPA in Server Manager oppure i cmdlet di Windows PowerShell.
In Windows Server, alcuni ruoli richiedono l'impostazione di parametri aggiuntivi, ad esempio i nomi di server o condivisioni specifiche che eseguono parti del ruolo oppure gli ID dei sottomodelli, prima dell'avvio di un'analisi BPA. Per le analisi BPA su modelli che richiedono di specificare parametri aggiuntivi, usare i cmdlet di BPA. L'interfaccia utente grafica di BPA non accetta parametri aggiuntivi quali gli ID dei sottomodelli. Ad esempio, l'ID del sottomodello FSRM rappresenta il sottomodello BPA di Servizi file per Gestione risorse file server, un servizio ruolo di Servizi file e archiviazione. Per eseguire un'analisi solo sul servizio ruolo di Gestione risorse file server, eseguire un'analisi BPA usando i cmdlet di e quindi aggiungere il parametro SubmodelId al cmdlet.
Anche se non è possibile passare parametri aggiuntivi a un'analisi avviata tramite la GUI di BPA, nel riquadro BPA in Server Manager vengono visualizzati i risultati dell'analisi BPA più recente, indipendentemente dall'avvio della modalità.
Analizzare i ruoli usando l'interfaccia utente grafica (GUI) di BPA
Per analizzare uno o più ruoli usando l'interfaccia utente grafica di BPA, eseguire la procedura seguente.
Per analizzare i ruoli usando l'interfaccia utente grafica di BPA
Eseguire una delle seguenti operazioni per aprire Server Manager, se non è già aperto.
Dalla barra delle applicazioni di Windows fare clic sul pulsante Server Manager.
Dalla schermata start, fare clic sul riquadro Server Manager.
Nel pannello di navigazione aprire una pagina del ruolo o del gruppo.
L'esecuzione di analisi BPA dalla pagina di un ruolo o di un gruppo comporta l'analisi di tutti i ruoli installati nei server appartenenti a tale gruppo.
Dal menu Attività del riquadro Best Practices Analyzer scegliere avvia analisi BPA.
A seconda del numero di regole valutate per il ruolo o il gruppo selezionato, il completamento dell'analisi BPA potrebbe richiedere alcuni minuti.
Analizzare i ruoli usando i cmdlet di Windows PowerShell
Usare le procedure seguenti per analizzare uno o più ruoli usando i cmdlet di Windows PowerShell.
Nota
Nelle procedure descritte in questa sezione non sono mostrati tutti i parametri e i cmdlet di BPA. Per altre informazioni sulle operazioni BPA in Windows PowerShell, nella sessione di Windows PowerShell immettere Ottieni assistenzaBPACmdlet-full, dove BPACmdlet può essere uno dei seguenti valori. Gli argomenti della Guida relativi ai cmdlet di BPA sono disponibili anche nel TechCenter di Windows Server.
Get-BPAmodel
Invoke-BPAmodel
Get-BPAResult
Set-BPAResult
Per analizzare un singolo ruolo usando i cmdlet di Windows PowerShell
Eseguire una di queste operazioni per aprire Windows PowerShell con diritti utente elevati.
Per eseguire Windows PowerShell come amministratore, dalla schermata.start fare clic con il pulsante destro del mouse sul riquadro Windows PowerShell nei risultati di Apps e poi, nella barra dell'app, fare clic su Esegui come amministratore.
Per eseguire Windows PowerShell come amministratore dal desktop, fare doppio clic sui Windows PowerShell scelta rapida dalla barra delle applicazioni e quindi fare clic su Esegui come amministratore.
a partire da Windows PowerShell 3.0, i moduli dei cmdlet vengono importati automaticamente nella sessione di Windows PowerShell la prima volta che si usa un cmdlet dal modulo. Non è necessario importare o caricare il modulo del cmdlet di BPA.
trovare gli ID modello di tutti i ruoli per i quali possono essere eseguite analisi BPA specificando il cmdlet Get-BpaModel , come illustrato nell'esempio seguente.
Get-BpamodelNei risultati del passaggio 3 individuare gli ID modello dei ruoli sui quali si desidera eseguire un'analisi BPA.
Immettere uno dei comandi seguenti per avviare l'analisi BPA per un ruolo specifico. Per più ruoli, separare gli ID modello con una virgola.
Invoke-BPAmodel -modelId <modelID_from_Step3>Invoke-BPAmodel <modelID_from_Step3>Esempio:
Invoke-BPAmodel -modelId Microsoft/Windows/DNSServer,Microsoft/Windows/FileServicesNota
L'ID modello include l'intero percorso visualizzato nella colonna Id , ad esempio Microsoft/Windows/Hyper-V.
È anche possibile avviare un'analisi in un ruolo specifico dai risultati del passaggio 3 eseguendo il piping dei risultati del cmdlet
Get-BPAmodelnel cmdletInvoke-BPAmodel, come illustrato nell'esempio seguente.Get-BPAmodel <model_ID> | Invoke-BPAmodelL'esecuzione di questo cmdlet senza specificare un ID modello comporta il piping di tutti i modelli restituiti dal
Get-BPAmodelcmdlet alInvoke-BPAmodelcmdlet, avviando l'analisi in tutti i modelli disponibili sui server aggiunti al pool di server del Server Manager.
Per analizzare tutti i ruoli usando i cmdlet di Windows PowerShell
Aprire una sessione di Windows PowerShell con diritti utente elevati, se non è già aperta. Per istruzioni, vedere la procedura precedente.
Eseguire il piping di tutti i ruoli per i quali possono essere eseguite analisi BPA nel cmdlet
Invoke-BPAmodelper avviare le analisi.Get-BPAmodel | Invoke-BPAmodelAl termine dell'analisi, Windows PowerShell restituisce risultati simili ai seguenti per ogni ruolo analizzato.
modelId : Microsoft/Windows/FileServices SubmodelId : Success : True Scantime : 1/01/2012 12:18:40 PM ScantimeUtcOffset : -08:00:00 detail : {server_name1, server_name2}
Gestire i risultati dell'analisi
Dopo aver completato un'analisi BPA nell'interfaccia utente grafica, è possibile visualizzare i risultati nel riquadro BPA. Quando si seleziona un risultato in un riquadro, vengono visualizzate in anteprima le proprietà del risultato, unitamente all'indicazione della conformità o meno del ruolo alle procedure consigliate associate. Se il risultato non è conforme e si desidera sapere come risolvere i problemi descritti nelle proprietà del risultato, i collegamenti disponibili nelle proprietà con un risultato di tipo errore e avviso consentono di aprire argomenti della Guida dettagliati nel TechCenter di Windows Server.
Nota
I risultati di un'analisi BPA non vengono automaticamente salvati o archiviati. L'esecuzione di una nuova analisi in un modello o sottomodello sovrascrive i risultati dell'ultima analisi. Per salvare i risultati dell'analisi BPA per l'archiviazione, la stampa o l'invio ad altri utenti, vedere To view BPA results from Windows PowerShell sessions in different formats più avanti in questa sezione.
Escludere e includere risultati BPA
Se non è necessario visualizzare alcuni risultati BPA, ad esempio quelli che si verificano frequentemente nelle analisi BPA ma che non richiedono alcuna risoluzione, è possibile escluderli usando l'interfaccia utente grafica di BPA o i cmdlet di BPA in Windows PowerShell. I risultati possono essere inclusi di nuovo in qualsiasi momento.
Nota
Quando vengono esclusi, i risultati sono esclusi anche dalla visualizzazione sui server gestiti e non possono essere visualizzati nemmeno da altri amministratori. Per escludere i risultati dalla visualizzazione solo in una console di Server Manager locale, creare una query personalizzata anziché usare il comando Escludi risultato.
Escludere risultati dell'analisi
L'impostazione Escludi è permanente. I risultati esclusi rimangono tali nelle analisi successive dello stesso modello nello stesso computer finché non vengono inclusi di nuovo.
È possibile escludere i risultati dell'analisi usando il cmdlet Set-BPAResult con il parametro Exclude . Come nel riquadro Best Practices Analyzer in Server Manager, è possibile escludere singoli oggetti di risultato o un set di risultati i cui campi, ad esempio relativi a categoria, titolo e gravità, equivalgono a valori specifici o li contengono. È ad esempio possibile escludere tutti i risultati Prestazioni da un insieme di risultati dell'analisi per un modello.
Nota
Prima di poter usare le procedura descritte in questa sezione, è necessario eseguire almeno un'analisi BPA su un modello.
Per escludere risultati dell'analisi usando l'interfaccia utente grafica
Aprire una pagina di gruppo di ruoli o di server in Server Manager.
Nel riquadro Best Practices Analyzer relativo al gruppo di ruoli o di server, fare clic con il pulsante destro del mouse su un risultato nell'elenco, quindi scegliere Escludi risultato.
Il risultato non verrà più visualizzato nell'elenco dei risultati.
Per visualizzare i risultati esclusi nell'interfaccia grafica utente, eseguire la query predefinita Risultati esclusi . Fare clic su Query di ricerca salvatee quindi su Risultati esclusi.
Dopo aver eseguito la query Risultati esclusi , il testo del sottotitolo del riquadro, una descrizione dei risultati visualizzati nell'elenco, viene modificato in Risultati esclusi. Nell'elenco vengono visualizzati solo i risultati esclusi.
Per escludere risultati dell'analisi usando i cmdlet di Windows PowerShell
Aprire una sessione di Windows PowerShell con diritti utente elevati.
Escludere risultati specifici dall'analisi di un modello eseguendo il comando seguente.
Get-BPAResult -modelId <model ID> | Where { $_.<Field Name> -eq "Value"} | Set-BPAResult -Exclude $trueIl comando precedente consente di recuperare gli elementi dei risultati dell'analisi BPA per l'ID modello rappresentato da ID modello.
La seconda sezione del comando consente di filtrare i risultati del cmdlet
Get-BPAResultper recuperare solo quelli il cui valore di un campo, rappresentato da Nome campo, corrisponde al testo tra virgolette.La sezione finale del comando, dopo la seconda barra verticale, consente di escludere i risultati filtrati dalla sezione precedente del cmdlet.
Esempio:
Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $true
Includere risultati dell'analisi
Quando si desidera visualizzare risultati dell'analisi esclusi in precedenza, è possibile includere tali risultati. L'impostazione Includi è permanente. I risultati inclusi rimangono tali nelle analisi successive dello stesso modello nello stesso computer.
Per includere risultati dell'analisi usando l'interfaccia utente grafica
Aprire una pagina di gruppo di ruoli o di server in Server Manager.
Nel riquadro Best Practices Analyzer relativo al gruppo di ruoli o di server, fare clic con il pulsante destro del mouse su un risultato escluso nell'elenco di query Risultati esclusi, poi fare clic su Includi risultato.
Il risultato non verrà più visualizzato nell'elenco dei risultati esclusi. Cancellare la query facendo clic su Cancella tutto per visualizzare il risultato incluso nell'elenco di tutti i risultati inclusi.
Per includere risultati dell'analisi usando i cmdlet di Windows PowerShell
Aprire una sessione di Windows PowerShell con diritti utente elevati.
Includere risultati specifici dell'analisi di un modello digitando il comando seguente e quindi premendo Invio.
Get-BPAResult -modelId <model Id> | Where { $_.<Field Name> -eq "Value" } | Set-BPAResult -Exclude $falseIl comando precedente consente di recuperare gli elementi dei risultati dell'analisi BPA per il modello rappresentato da ID modello.
La seconda parte del comando, dopo il primo carattere pipe ( | ) filtra i risultati del cmdlet Get-BPAResult per recuperare solo quei risultati di scansione per i quali il valore del campo del risultato, rappresentato da Nome campo, corrisponde al testo tra virgolette.
La parte finale del comando, dopo la seconda barra verticale, consente di includere i risultati filtrati dalla seconda parte del cmdlet, impostando il valore del parametro -Exclude su false.
Esempio:
Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $false
Visualizzare ed esportare risultati dell'analisi BPA in Windows PowerShell
Per visualizzare e gestire i risultati dell'analisi usando cmdlet di Windows PowerShell, vedere le procedure riportate di seguito. Prima di poter usare le procedure seguenti, eseguire almeno un'analisi BPA su almeno un modello o sottomodello.
Per visualizzare i risultati dell'analisi più recente di un ruolo usando Windows PowerShell.
Aprire una sessione di Windows PowerShell con diritti utente elevati.
Ottenere i risultati dell'analisi più recente per un ID modello specificato. Digitare quanto segue, in cui il modello è rappresentato dall'ID modello poi premere INVIO. È possibile ottenere risultati per più ID modello separandoli con virgole.
Get-BPAResult <model ID>Esempio:
Get-BPAResult Microsoft/Windows/DNSServer,Microsoft/Windows/FileServicesse è stata eseguita l'analisi di un sottomodello di un modello, ad esempio un servizio ruolo, ottenere i risultati solo per tale sottomodello includendo l'ID sottomodello nel cmdlet.
Esempio:
Get-BPAResult Microsoft/Windows/FileServices -SubmodelID FSRM
Per visualizzare o salvare i risultati BPA dalle sessioni di Windows PowerShell in formati diversi
In Windows PowerShell, ogni risultato BPA è simile al seguente.
ResultNumber : 14 ResultId : 1557706192 modelId : Microsoft/Windows/FileServices SubmodelId : FSRM RuleId : 16 computerName : server_name1, server_name2 Context : FileServices Source : server_name1 Severity : Information Category : Configuration Title : Access Denied remediation requires remote management be enabled on this server Problem : Impact : Resolution : compliance : The File Server Best Practices Analyzer scan has determined that you are in compliance with this best practice. help : Excluded : FalseEffettuare una delle seguenti operazioni.
Per formattare i risultati BPA in una tabella, eseguire il cmdlet riportato di seguito, aggiungendo le proprietà dei risultati che si desidera visualizzare dall'esempio precedente.
Get-BPAResult model ID | format-Table -Property <property1,property2,property3...>Esempio:
Get-BPAResult Microsoft/Windows/FileServices | format-Table -Property modelId,SubmodelId,computerName,Source,Severity,Category,Title,Problem,Impact,Resolution,compliance,helpPer formattare i risultati BPA in un visualizzatore di tipo griglia basato su interfaccia grafica utente, con un filtro per le stringhe di testo e intestazioni di colonna su cui è possibile fare clic per ordinare i risultati, eseguire il cmdlet riportato di seguito.
Get-BPAResult <model ID> | OGVPer esportare i risultati BPA in un file HTML che è possibile archiviare o inviare a destinatari di posta elettronica, eseguire il cmdlet riportato di seguito, dove Percorso rappresenta il percorso e il nome file da usare per il salvataggio dei risultati in HTML.
Get-BPAResult <model ID> | convertTo-Html | Set-Content <path>Esempio:
Get-BPAResult Microsoft/Windows/FileServices | convertTo-Html | Set-Content C:\BPAResults\FileServices.htmPer esportare i risultati BPA in un file di testo con valori delimitati da virgole (CSV), eseguire il cmdlet riportato di seguito, dove Percorso rappresenta il percorso e il nome del file di testo da usare per il salvataggio dei risultati in CSV. I risultati in formato CSV possono essere importati in Microsoft Excel o in altri programmi nei quali è possibile visualizzare i dati in fogli di calcolo o griglie.
Get-BPAResult <model ID> | Export-CSV <path>Esempio:
Get-BPAResult Microsoft/Windows/FileServices | Export-CSV C:\BPAResults\FileServices.txt
Vedi anche
Contenuto della risoluzione di Best Practices Analyzer nel filtro TechCenter di Windows Server, ordinare ed eseguire query sui dati nei riquadri di Server ManagerGestisci più server remoti con Server Manager