Delen via

Best Practices Analyzer-scans uitvoeren en scanresultaten beheren

In Windows-beheer zijn aanbevolen procedures richtlijnen die worden beschouwd als de ideale manier, onder normale omstandigheden, om een server te configureren zoals gedefinieerd door experts. Het wordt bijvoorbeeld beschouwd als een aanbevolen procedure voor de meeste servertoepassingen om alleen de poorten te openen die nodig zijn voor de toepassingen om te communiceren met andere computers in het netwerk en ongebruikte poorten te blokkeren. Hoewel schendingen van best practices, zelfs cruciale, niet noodzakelijkerwijs problematisch zijn, geven ze serverconfiguraties aan die kunnen leiden tot slechte prestaties, slechte betrouwbaarheid, onverwachte conflicten, verhoogde beveiligingsrisico's of andere potentiële problemen.

Best Practices Analyzer (BPA) is een hulpprogramma voor serverbeheer dat beschikbaar is in Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 en Windows Server 2008 R2. BPA kan beheerders helpen om schendingen van best practices te verminderen door rollen te scannen die zijn geïnstalleerd op beheerde servers waarop een ondersteunde versie wordt uitgevoerd, en het rapporteren van schendingen van best practices aan de beheerder.

U kunt BPA-scans (Best Practices Analyzer) uitvoeren vanuit Serverbeheer, met behulp van de BPA-GUI of met behulp van cmdlets in Windows PowerShell. Vanaf Windows Server 2012 kunt u één rol of meerdere rollen tegelijk scannen op meerdere servers, ongeacht of u de tegel Best Practices Analyzer gebruikt in de Serverbeheer-console of Windows PowerShell-cmdlets om scans uit te voeren. U kunt BPA ook instrueren om scanresultaten die u niet wilt zien, uit te sluiten of te negeren.

Dit onderwerp bevat de volgende secties.

BPA zoeken

U vindt de tegel Best Practices Analyzer op de pagina's van De functie en servergroep van Serverbeheer in Windows Server, of u kunt een Windows PowerShell-sessie met verhoogde gebruikersrechten openen om Best Practices Analyzer-cmdlets uit te voeren.

Hoe BPA werkt

BPA werkt door de naleving van de best practice-regels voor een rol te meten in acht verschillende categorieën van effectiviteit, betrouwbaarheid en vertrouwenswaardigheid. De resultaten van metingen kunnen een van de drie ernstniveaus zijn die in de volgende tabel worden beschreven.

Ernstniveau Beschrijving
Fout Foutresultaten worden geretourneerd wanneer een rol niet voldoet aan de voorwaarden van een best practice-regel en functionaliteitsproblemen kunnen worden verwacht.
Gegevens Informatieresultaten worden geretourneerd wanneer een rol voldoet aan de voorwaarden van een best practice-regel.
Waarschuwing Waarschuwingsresultaten worden geretourneerd als de resultaten van niet-naleving problemen kunnen veroorzaken als er geen wijzigingen worden aangebracht. De toepassing is momenteel mogelijk compatibel, maar voldoet mogelijk niet aan de voorwaarden van een regel als er geen wijzigingen worden aangebracht in de configuratie- of beleidsinstellingen. Een scan van de Extern bureaublad-service kan bijvoorbeeld een waarschuwing geven als een licentieserver niet beschikbaar is voor de rol. Want zelfs als er op het moment van de scan geen externe verbindingen actief zijn, verhindert de afwezigheid van de licentieserver dat nieuwe externe verbindingen geldige clienttoegangslicenties verkrijgen.

Regelcategorieën

In de volgende tabel worden de best practice-regelscategorieën beschreven waarmee rollen worden gemeten tijdens een Best Practices Analyzer-scan.

Categorienaam Beschrijving
Veiligheid Beveiligingsregels worden toegepast om het relatieve risico van een rol te meten voor blootstelling aan bedreigingen, zoals onbevoegde of kwaadwillende gebruikers, of verlies of diefstal van vertrouwelijke of eigendomsgegevens.
Prestatie Prestatieregels worden toegepast om de mogelijkheid van een rol te meten om aanvragen te verwerken en de voorgeschreven taken in de onderneming binnen verwachte tijdsperioden uit te voeren op basis van de workload van de rol.
Configuratie Configuratieregels worden toegepast om rolinstellingen te identificeren die mogelijk moeten worden gewijzigd om de rol optimaal uit te voeren. Configuratieregels kunnen helpen conflicten in instellingen te voorkomen die kunnen resulteren in foutberichten of voorkomen dat de rol de voorgeschreven taken in een onderneming uitvoert.
Beleid Beleidsregels worden toegepast om groepsbeleid- of Windows-registerinstellingen te identificeren die mogelijk moeten worden gewijzigd voor een rol om optimaal en veilig te werken.
Operatie Bewerkingsregels worden toegepast om mogelijke fouten van een rol te identificeren voor het uitvoeren van voorgeschreven taken in de onderneming.
Voorbereidende inzet Predeploymentregels worden toegepast voordat een geïnstalleerde rol in de onderneming wordt geïmplementeerd. Ze laten beheerders evalueren, voordat de rol wordt gebruikt in productie, of aan de aanbevolen procedures is voldaan.
Na-deploymentfase Postdeployment-regels worden toegepast nadat alle vereiste services zijn gestart voor een rol en nadat de rol in de onderneming wordt uitgevoerd.
Vereiste voorwaarden Vereistenregels verklaren configuratie-instellingen, beleidsinstellingen en functies die vereist zijn voor een rol voordat BPA specifieke regels uit andere categorieën kan toepassen. Een vereiste in scanresultaten geeft aan dat een onjuiste instelling, een ontbrekend programma, een onjuist ingeschakeld of uitgeschakeld beleid, een registersleutelinstelling of een andere configuratie BPA heeft verhinderd om een of meer regels toe te passen tijdens een scan. Een voorwaarderesultaat impliceert geen naleving of niet-naleving. Dit betekent dat een regel niet kan worden toegepast en daarom geen deel uitmaakt van de scanresultaten.

Best Practices Analyzer-scans uitvoeren op rollen

U kunt BPA-scans uitvoeren op rollen met behulp van de BPA-GUI in Serverbeheer of met behulp van Windows PowerShell-cmdlets.

In Windows Server vragen sommige functies u extra parameters op te geven, zoals de namen van specifieke servers of shares die onderdelen van de functie uitvoeren, of de id's van submodellen, voordat u een BPA-scan start. Gebruik de BPA-cmdlets voor BPA-scans op modellen waarvoor u extra parameters moet opgeven; de BPA-GUI kan geen aanvullende parameters, zoals submodel-id's, accepteren. De submodel-ID FSRM vertegenwoordigt bijvoorbeeld het BPA-submodel bestandsservices voor Bestandsserverbronbeheer, een functieservice van Bestands- en opslagservices. Als u een scan alleen wilt uitvoeren in de functieservice Bestandsserverbronbeheer, voert u een BPA-scan uit met behulp van Windows PowerShell-cmdlets en voegt u de parameter SubmodelId toe aan uw cmdlet.

Hoewel u geen extra parameters kunt doorgeven aan een scan die u start in de BPA-GUI, geeft de BPA-tegel in Serverbeheer resultaten weer voor de meest recente BPA-scan, ongeacht hoe u de scan hebt gestart.

Rollen scannen met behulp van de BPA-GUI

Volg deze stappen om een of meer rollen in de BPA-GUI te scannen.

Rollen scannen door gebruik te maken van de BPA-GUI

  1. Voer een van de volgende handelingen uit om Serverbeheer te openen als deze nog niet is geopend.

    • Klik op de Windows-taakbalk op de knop Serverbeheer.

    • Klik op het startscherm op de Serverbeheer-tegel.

  2. Open een rol- of groepspagina in het navigatiedeelvenster.

    Als u BPA-scans uitvoert vanaf een rol- of groepspagina, worden alle rollen gescand die op servers in die groep zijn geïnstalleerd.

  3. Klik in het menu Taken van de tegel Best Practices Analyzer op BPA Scan starten.

  4. Afhankelijk van het aantal regels dat wordt geëvalueerd voor de rol of groep die u hebt geselecteerd, kan het enkele minuten duren voordat de BPA-scan is voltooid.

Rollen scannen met Windows PowerShell-cmdlets

Gebruik de volgende procedures om een of meer rollen te scannen met windows PowerShell-cmdlets.

Opmerking

In de procedures in deze sectie worden niet alle BPA-cmdlets en -parameters weergegeven. Voor meer informatie over BPA-bewerkingen in Windows PowerShell voert u in uw Windows PowerShell-sessie Get-helpBPACmdlet-full in, waarbij BPACmdlet een van de volgende waarden kan zijn. U vindt ook help-onderwerpen over BPA-cmdlets in het Windows Server TechCenter.

  • BPAmodel ophalen

  • BPAmodel aanroepen

  • Get-BPAResult

  • Set-BPAResult

Eén rol scannen met behulp van Windows PowerShell-cmdlets

  1. Voer een van de volgende handelingen uit om Windows PowerShell uit te voeren met verhoogde gebruikersrechten.

    • Als u Windows PowerShell wilt uitvoeren als beheerder vanaf het startscherm , klikt u met de rechtermuisknop op de tegel Windows PowerShell in de resultaten van apps en klikt u vervolgens op de app-balk op Als administrator uitvoeren.

    • Als u Windows PowerShell wilt uitvoeren als beheerder vanaf het bureaublad, klikt u met de rechtermuisknop op de snelkoppeling Windows PowerShell op de taakbalk en klikt u vervolgens op Als administrator uitvoeren.

  2. vanaf Windows PowerShell 3.0 worden cmdlet-modules automatisch geïmporteerd in uw Windows PowerShell-sessie wanneer een cmdlet uit de module voor het eerst wordt gebruikt. U hoeft de BPA-cmdlet-module niet te importeren of te laden.

  3. zoek de model-id's van alle rollen waarvoor BPA-scans kunnen worden uitgevoerd door de Get-Bpamodel-cmdlet in te voeren, zoals wordt weergegeven in het volgende voorbeeld.

    Get-Bpamodel

  4. Zoek in de resultaten van stap 3 de model-id's van de rollen waarop u een BPA-scan wilt uitvoeren.

  5. Voer een van de volgende opdrachten in om de BPA-scan voor een specifieke rol te starten. Voor meerdere rollen, scheidt u model-ID's met komma's.

    Invoke-BPAmodel -modelId <modelID_from_Step3>

    Invoke-BPAmodel <modelID_from_Step3>

    Voorbeeld:Invoke-BPAmodel -modelId Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices

    Opmerking

    De model-id bevat het volledige pad dat wordt weergegeven in de kolom Id ; Bijvoorbeeld Microsoft/Windows/Hyper-V.

    U kunt ook een scan starten op een specifieke rol vanuit de resultaten van stap 3 door de resultaten van de Get-BPAmodel cmdlet aan de Invoke-BPAmodel cmdlet door te geven, zoals wordt weergegeven in het volgende voorbeeld.

    Get-BPAmodel <model_ID> | Invoke-BPAmodel

    Als u deze cmdlet uitvoert zonder een model-id op te geven, worden alle modellen die door de Get-BPAmodel cmdlet zijn doorgevoerd naar de Invoke-BPAmodel cmdlet, en worden scans gestart op alle modellen die beschikbaar zijn op servers die aan de Serverbeheer servergroep zijn toegevoegd.

Alle rollen scannen met windows PowerShell-cmdlets

  1. Open een Windows PowerShell-sessie met verhoogde gebruikersrechten als deze nog niet is geopend. Zie de voorgaande procedure voor instructies.

  2. Geef alle rollen door waarvoor BPA-scans in de Invoke-BPAmodel cmdlet kunnen worden uitgevoerd, zodat de scans kunnen starten.

    Get-BPAmodel | Invoke-BPAmodel

  3. Wanneer de scan is voltooid, retourneert Windows PowerShell resultaten die vergelijkbaar zijn met de volgende, voor elke rol die is gescand.

    modelId                 :  Microsoft/Windows/FileServices
SubmodelId              :
Success                 :  True
Scantime                :  1/01/2012  12:18:40 PM
ScantimeUtcOffset       :  -08:00:00
detail                  :  {server_name1, server_name2}

Scanresultaten beheren

Nadat een BPA-scan is voltooid in de GUI, kunt u de scanresultaten bekijken in de BPA-tegel. Wanneer u een resultaat in de tegel selecteert, worden in een voorbeeldvenster op de tegel resultaateigenschappen weergegeven, inclusief een indicatie of de rol voldoet aan de bijbehorende aanbevolen procedure. Als een resultaat niet compatibel is en u wilt weten hoe u de problemen kunt oplossen die worden beschreven in de resultaateigenschappen, openen hyperlinks in fout- en waarschuwingsresultaten gedetailleerde Help-onderwerpen over oplossingen in het Windows Server TechCenter.

Opmerking

BPA-scanresultaten worden niet automatisch opgeslagen of gearchiveerd. Als u een nieuwe scan uitvoert op een model of submodel, worden de resultaten van de laatste scan overschreven. Als u BPA-scanresultaten wilt opslaan voor archivering, afdrukken of verzenden naar anderen, raadpleegt u BPA-resultaten van Windows PowerShell-sessies weergeven in verschillende indelingen in deze sectie.

BPA-resultaten uitsluiten en opnemen

Als u sommige BPA-resultaten niet hoeft te zien, zoals die resultaten die vaak in uw BPA-scans voorkomen maar geen oplossing vereisen, dan kunt u de resultaten uitsluiten met de BPA-GUI of BPA-cmdlets in Windows PowerShell. Resultaten kunnen op elk gewenst moment opnieuw worden opgenomen.

Opmerking

Wanneer u resultaten uitsluit, worden ze ook uitgesloten van weergave op beheerde servers. Andere beheerders kunnen geen uitgesloten resultaten zien op beheerde servers. Als u alleen resultaten wilt uitsluiten van de weergave in een lokale Serverbeheer-console, maakt u een aangepaste query in plaats van de opdracht Resultaat uitsluiten .

Scanresultaten uitsluiten

De instelling Uitsluiten is permanent; resultaten die u uitsluit, blijven uitgesloten in toekomstige scans van hetzelfde model op dezelfde computer, tenzij ze opnieuw worden opgenomen.

U kunt scanresultaten uitsluiten met behulp van de Set-BPAResult cmdlet met de Exclude parameter. Net als in de tegel Best Practices Analyzer in Serverbeheer kunt u afzonderlijke resultaatobjecten uitsluiten of kunt u ook een set resultaten uitsluiten waarvan de velden (categorie, titel en ernst, bijvoorbeeld) gelijk zijn aan of opgegeven waarden bevatten. U kunt bijvoorbeeld alle prestatieresultaten uitsluiten van een set scanresultaten voor een model.

Opmerking

U moet ten minste één BPA-scan uitvoeren op een model voordat u procedures in deze sectie kunt gebruiken.

Scanresultaten uitsluiten met behulp van de GUI

  1. Open een functie- of servergroeppagina in Serverbeheer.

  2. Klik in de tegel Best Practices Analyzer voor de functie of servergroep met de rechtermuisknop op een resultaat in de lijst en klik vervolgens op Resultaat uitsluiten.

    Het resultaat wordt niet meer weergegeven in de lijst met resultaten.

  3. Als u uitgesloten resultaten in de GUI wilt weergeven, voert u de ingebouwde query uitgesloten resultaten uit. Klik op Opgeslagen zoekquery's en klik vervolgens op Uitgesloten resultaten.

    Nadat u de query uitgesloten resultaten hebt uitgevoerd, moet u er rekening mee houden dat de subkoptekst van de tegel, een beschrijving van de resultaten die in de lijst worden weergegeven, wordt gewijzigd in uitgesloten resultaten. Alleen uitgesloten resultaten worden weergegeven in de lijst.

Scanresultaten uitsluiten met windows PowerShell-cmdlets

  1. Open een Windows PowerShell-sessie met verhoogde gebruikersrechten.

  2. Sluit specifieke resultaten van een modelscan uit door de volgende opdracht uit te voeren.

    Get-BPAResult -modelId <model ID> | Where { $_.<Field Name> -eq "Value"} | Set-BPAResult -Exclude $true

    Met de voorgaande opdracht worden BPA-scanresultatenitems opgehaald voor de model-id die wordt vertegenwoordigd door model-id.

    In het tweede gedeelte van de opdracht worden de resultaten van de Get-BPAResult cmdlet gefilterd om alleen de scanresultaten op te halen waarvoor de waarde voor een resultaatveld, vertegenwoordigd door veldnaam, overeenkomt met de tekst tussen aanhalingstekens.

    Het laatste deel van de opdracht, na het tweede pipe-teken, sluit de resultaten uit die gefilterd zijn door de voorgaande sectie van de cmdlet.

    Voorbeeld:Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $true

Scanresultaten opnemen

Als u scanresultaten wilt weergeven die zijn uitgesloten, kunt u deze scanresultaten opnemen. De instelling Opnemen is permanent; opgenomen resultaten blijven opgenomen in toekomstige scans van hetzelfde model op dezelfde computer.

Scanresultaten opnemen met behulp van de GUI

  1. Open een functie- of servergroeppagina in Serverbeheer.

  2. Klik in de tegel Best Practices Analyzer voor de functie of servergroep met de rechtermuisknop op een uitgesloten resultaat in de lijst met uitgesloten resultaten en klik vervolgens op Resultaat opnemen.

    Het resultaat wordt niet meer weergegeven in de lijst met uitgesloten resultaten. Wis de query door op Alles wissen te klikken om het opgenomen resultaat weer te geven in de lijst met alle opgenomen resultaten.

Scanresultaten opnemen met windows PowerShell-cmdlets

  1. Open een Windows PowerShell-sessie met verhoogde gebruikersrechten.

  2. Voeg specifieke resultaten van een modelscan toe door de volgende opdracht te typen en op Enter te drukken.

    Get-BPAResult -modelId <model Id> | Where { $_.<Field Name> -eq "Value" } | Set-BPAResult -Exclude $false

    Met de voorgaande opdracht worden BPA-scanresultatenitems opgehaald voor het model dat wordt vertegenwoordigd door de model-id.

    Het tweede deel van de opdracht, na het eerste pipeteken ( | ) filtert de resultaten van de Get-BPAResult-cmdlet om alleen de scanresultaten op te halen waarvoor de waarde van het resultaatveld, vertegenwoordigd door veldnaam, overeenkomt met de tekst tussen aanhalingstekens.

    Het laatste deel van de opdracht, na het tweede pipe-teken, bevat resultaten die worden gefilterd op het tweede deel van de cmdlet, door de waarde van de parameter -Exclude in te stellen op false.

    Voorbeeld:Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $false

BPA-scanresultaten weergeven en exporteren in Windows PowerShell

Zie de volgende procedures om scanresultaten weer te geven en te beheren met behulp van Windows PowerShell-cmdlets. Voordat u een van de volgende procedures kunt gebruiken, voert u ten minste één BPA-scan uit op ten minste één model of submodel.

Resultaten van de meest recente scan van een rol weergeven met behulp van Windows PowerShell

  1. Open een Windows PowerShell-sessie met verhoogde gebruikersrechten.

  2. Haal de resultaten op van de meest recente scan voor een opgegeven model-id. Typ het volgende, waarin het model wordt vertegenwoordigd door de model-id en druk op Enter. U kunt resultaten verkrijgen voor meerdere model-id's door de model-id's te scheiden met komma's.

    Get-BPAResult <model ID>

    Voorbeeld:Get-BPAResult Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices

    als u een submodel van een model, zoals een functieservice, hebt gescand, haalt u alleen de resultaten op voor dat submodel door de submodel-id in de cmdlet op te halen.

    Voorbeeld:Get-BPAResult Microsoft/Windows/FileServices -SubmodelID FSRM

BPA-resultaten van Windows PowerShell-sessies weergeven of opslaan in verschillende indelingen

  • In Windows PowerShell ziet elk BPA-resultaat er ongeveer als volgt uit.

    ResultNumber     :  14
ResultId         :  1557706192
modelId          :  Microsoft/Windows/FileServices
SubmodelId       :  FSRM
RuleId           :  16
computerName     :  server_name1, server_name2
Context          :  FileServices
Source           :  server_name1
Severity         :  Information
Category         :  Configuration
Title            :  Access Denied remediation requires remote management be enabled on this server
Problem          :
Impact           :
Resolution       :
compliance       :  The File Server Best Practices Analyzer scan has determined that you are in compliance with this best practice.
help             :
Excluded         :  False

    Ga op een van de volgende manieren te werk.

    • Als u BPA-resultaten in een tabel wilt opmaken, voert u de volgende cmdlet uit en voegt u de resultaateigenschappen toe die u wilt zien in het vorige voorbeeld.

      Get-BPAResult model ID | format-Table -Property <property1,property2,property3...>

      Voorbeeld:Get-BPAResult Microsoft/Windows/FileServices | format-Table -Property modelId,SubmodelId,computerName,Source,Severity,Category,Title,Problem,Impact,Resolution,compliance,help

    • Als u BPA-resultaten wilt opmaken in een rasterviewer op basis van een GUI, met een teksttekenreeksfilter en kolomkoppen waarop kan worden geklikt om resultaten te sorteren, voert u de volgende cmdlet uit.

      Get-BPAResult <model ID> | OGV

    • Als u BPA-resultaten wilt exporteren naar een HTML-bestand dat kan worden gearchiveerd of verzonden naar e-mailontvangers, voert u de volgende cmdlet uit, waarbij het pad het pad en de bestandsnaam vertegenwoordigt waarnaar u de HTML-resultaten wilt opslaan.

      Get-BPAResult <model ID> | convertTo-Html | Set-Content <path>

      Voorbeeld:Get-BPAResult Microsoft/Windows/FileServices | convertTo-Html | Set-Content C:\BPAResults\FileServices.htm

    • Als u BPA-resultaten wilt exporteren naar een csv-tekstbestand (door komma's gescheiden waarden), voert u de volgende cmdlet uit, waarbij het pad het pad en de bestandsnaam vertegenwoordigt waarnaar u de CSV-resultaten wilt opslaan. CSV-resultaten kunnen worden geïmporteerd in Microsoft Excel of andere programma's die gegevens weergeven in spreadsheets of tabelweergaves.

      Get-BPAResult <model ID> | Export-CSV <path>

      Voorbeeld:Get-BPAResult Microsoft/Windows/FileServices | Export-CSV C:\BPAResults\FileServices.txt

Zie ook

Inhoud van Best Practices Analyzer-resolutie op het Windows Server TechCenterFilteren, sorteren en query's uitvoeren op gegevens in ServerbeheertegelsBeheren van meerdere externe servers met Server Manager