System Center

透過 OpsMgr 2007 監視 Windows Server 2008

Pete Zerger

本文中討論的部分功能仍處於 Beta 測試階段，而且可能有所異動。

綜覽：

• OpsMgr 的運作方式
• 內建知識
• 診斷問題
• 報告和稽核

目錄

OpsMgr 的運作方式
解決實際問題的知識
服務可用性和可視性
分散式企業一覽無遺
服務等級報告
安全性與循規稽核齊頭並進
每個應用程式都適用的管理組件
入門

眾所期待的 Windows Server 2008 版本對 OS 進行了大幅的變動，添加了諸如 Server Core、伺服器角色、唯讀 DC、Hyper-V、終端機服務閘道，以及對網際網路通訊協定第 6 版 (IPv6) 的增強支援等強大功能。雖然這些變更和新功能帶來不少好處，但它們多少還是改變了您使用 System Center 來管理和監視 Windows Server 2008 系統的方式。

隨著各公司將 Windows Server 2008 併入它們的生產環境，它們需要一種途徑來管理和監視這些服務的健全狀況、效能和可用性。所幸，您可以運用現有的 System Center 技術。System Center Operations Manager 2007 (OpsMgr) 最近透過新管理組件的推出，添增了對 Windows Server 2008 的支援，而 System Center Configuration Manager 2007 (ConfigMgr) 也隨著 ConfigMgr SP1 的發行而增添了對 Windows Server 2008 的支援。

OpsMgr 的運作方式

OpsMgr 2007 會使用安裝在要監視的伺服器上的代理程式，來監視和測量您伺服器上的 Windows Server 2008 和應用程式的健全狀況。此代理程式會向中央伺服器 (稱為管理伺服器) 報告諸如事件、警示和效能資料等資料。管理伺服器接著將這項資料插入中央 SQL Server 資料庫。此資料隨後可以在任何工作站 (執行 Windows XP SP2 或較新的 Windows 版本) 或透過 Web 主控台，在操作主控台中進行轉譯。[圖 1] 圖解說明此架構。

[圖 1] Operations Manager 2007 管理群組拓撲範例 (按一下以放大影像)

伺服器上一旦安裝和設定好 OpsMgr 代理程式，便會自動探索伺服器上安裝的應用程式和服務。管理伺服器會傳送特殊的監視規則 (稱為物件探索) 給代理程式。這些規則會對登錄和檔案系統執行檢查，也會執行指令碼來探索到底安裝了哪些元件。它們也會識別可為 Windows Server 2008 伺服器設定的所有角色，例如網域控制站、列印伺服器、網頁伺服器或叢集伺服器。

根據預設，物件探索設定成在本機電腦上定期重複執行。透過定期重複執行檢查，OpsMgr 可識別出伺服器上設定的應用程式和服務在一段時間以來的變動。現在就讓我深入探究一下 OpsMgr 2007 如何提供 Windows Server 2008 基礎結構的可視性。

解決實際問題的知識

前面有提到，管理組件提供了一組監視規則、工作和報告，來達成核心監視功能。雖說 OpsMgr 的主要目的是要在小問題演變成大問題前就把它抓出來，但它在發現問題的徵兆時，不只會提出警示而已。管理組件實際上對於監視規則所識別的許多問題也提供潛在導因和建議解決方案等資訊。這些資訊會在您查看警示時顯示在相關內容中 (見 [圖 2])，包括在 [監視] 空間中，還有當您使用健全狀況總管檢視系統健全狀況狀態時。

[圖 2] 在操作主控台的 [警示] 檢視中提供的產品知識 (按一下以放大影像)

除了顯示系統和應用程式目前的健全狀況狀態之外，健全狀況總管工具還會顯示系統和應用程式健全狀況裡面的變更歷程記錄，並且附上每項變更的時間戳記。您實際上可以選取健全狀況狀態中找到的任何一項變更，然後檢視與觸發狀況的變更相關的詳細資料。

您可以透過稱為「診斷」與「復原」的特殊回應，設定 OpsMgr 在發生問題時自動擷取設定或環境資料。在 [圖 3] 中您可以看到，當一個與 Windows 2008 DNS 伺服器的緩慢回應相關的狀態變更事件被反白顯示時，下方的窗格會顯示一份在伺服器上發生變更時收集到的執行中處理序清單。這項資料可能是找出當時哪些服務耗用過多資源的關鍵。

[圖 3] 在 OpsMgr 健全狀況總管中的狀態變更事件 (按一下以放大影像)

服務可用性與可視性

Windows Server 2008 當然也包括像是 Internet Information Services 7.0 (可用來提供以 Microsoft .NET Framework 為基礎的應用程式和 Web 服務) 等功能，還有像是容錯移轉叢集和網路負載平衡等功能，讓這些服務高度可用。雖然叢集和網路負載平衡在 Windows Server 2008 中已經比較容易實作和管理，但這些技術仍舊增加了管理工作的複雜度。具備對這些元件的健全狀況和效能的可視性，是確保基礎結構和應用程式如預期般執行所不可少的。

OpsMgr 透過以 Windows Server 2008 內建的高可用性解決方案的管理組件來解決這樣的複雜性。光是這些管理組件，就提供了上百條監視規則來確保當中各個元件的健全狀況。

說到服務監視，從客戶的觀點來看，最重要的是能夠使用業務關鍵應用程式。專為客戶設計的關鍵 Web 應用程式，可能在伺服器上可以使用，卻無法從外部使用。OpsMgr 提供了像是綜合交易和分散式應用程式監視等功能，從使用者的觀點就交易健全狀況和分散式企業營運應用程式的可用性提供服務等級的可視性。

使用簡單的精靈，您可以建立綜合 URL 監視器來測試 Web 應用程式的可用性、回應時間和它傳回的內容。OpsMgr 可以使用現成的監視功能來驗證應用程式的交易健全狀況。若要對較複雜的 Web 應用程式進行實際的交易監視，您可以記錄一連串以瀏覽器為主的瀏覽動作，將之包含在 URL 監視器中，提供更周全且切實的測試。

為了確保以使用者的角度來提供可用性，您可以在網路上的不同位置中選擇一或多部電腦 (稱為監看員節點) 來執行 URL 測試。這也是在相同的精靈中完成，如 [圖 4] 所示。系統若要以監看員節點的身分執行，必須安裝 OpsMgr 代理程式。

[圖 4] 選擇監看員節點進行綜合 URL 監視 (按一下以放大影像)

分散式企業一覽無遺

系統管理員可以使用 OpsMgr 2007 中的分散式應用程式設計工具，為他們的分散式應用程式基礎結構建立模型 (見 [圖 5])。此設計工具可讓您將應用程式的元件拖放到單一檢視，並且定義相依性來說明元件彼此的關係。無論您擁有的是 IIS 7.0 網站或執行 Hyper-V 和主控虛擬機器的 Windows Server 2008 系統都所謂，所有的監視物件都可以包含在圖表中，呈現您應用程式的真實面貌。

[圖 5] OpsMgr 2007 中的分散式應用程式模型 (按一下以放大影像)

您甚至可以建立自訂健全狀況演算法，允許更細微地控制構成您應用程式健全和不健全狀態的要素。這項功能在設定 OpsMgr 如何計算可承受多次失敗的負載平衡元件 (例如 Web 伺服陣列) 時相當實用。

服務等級報告

Windows Server 2008 作業系統管理組件包含了許多效能報告，可用來精確測量伺服器效能。但這不過是報告功能的冰山一角，OpsMgr 2007 包括通用效能和可用性報告 (位於 Microsoft Generic Report Library 中)，可讓能夠存取報告的使用者報告 OpsMgr 2007 中任何監視物件的可用性。

這項功能可用來比照 IT 服務交付目標測量應用程式和系統效能。例如，您可以使用 [圖 6] 中所示的一般可用性報告，按幾次滑鼠按鍵，即可判斷出您環境內所有 Windows Server 2008 例項、伺服器角色和 OS 元件的可用性。或者，您可以使用報告標頭中的「營業時間」功能，來產生只涵蓋應用程式必須處於可用狀態的特定時段的可用性報告。

[圖 6] OpsMgr 2007 中的 Windows OS 可用性報告 (按一下以放大影像)

「服務等級儀表板 (Service Level Dashboard)」是一項可擴充報告功能的功能，因而允許系統管理員針對效能和可用性服務等級協定 (SLA) 來設定基準。您之後可以將此基準與實際的分散式應用程式可用性相比較，看看效能在效能和可用性目標下的能耐。這項資訊顯示在整合式儀表板中，如 [圖 7] 所示。

[圖 7] OpsMgr 2007 中的服務等級儀表板 (按一下以放大影像)

安全性與循規稽核齊頭並進

您肯定都知道，資料隱私權的問題催生了許多政府強制的法規，例如沙賓法案 (SOX) 和美國健康保險流通與責任法案 (HIPAA)。使企業安全性原則符合業界最佳作法不再只是個好主意而已 — 而是法律規定！能夠描述和解釋系統上發生的變更乃是首要之務，如果做不到則可能使公司賠償上百萬的罰金。

過去幾版 Windows Server 中的安全性稽核都是由非常廣泛的 9 大安全性稽核類別所涵蓋，常常使得資訊超過負荷。而 Windows Server 2008 則提供了超過 50 種稽核類別，透過一項稱為「細微稽核原則 (Granular Audit Policy，GAP)」的新功能提供。這可讓您以更高的掌控能力執行安全性稽核，從事件記錄檔中篩選出非關鍵的資訊，同時不致於失去類別層級的可見性。例如，您在特定系統中只想監視對 Active Directory 而不想監視對本機項目 (例如登錄) 的變更，您可以設定目錄服務稽核子類別，只報告這些事件。您可以在命令列中啟用這些變更的成功和/或失敗稽核，像這樣：

Auditpol /set /subcategory:"Directory Service Changes" 
/failure:enable

OpsMgr 中的稽核收集服務 (ACS) 提供的單一介面，甚至還有更多這方面的篩選和報告功能。這項服務可在單一資料庫存放庫中，將分散式 Windows 安全性事件記錄檔的收集與集中保存作業自動化。

作為 OpsMgr 代理程式安裝一部分載入 (但預設是停用的) 的 Audit Forwarding Service，會傳送安全性事件記錄檔事件給中央伺服器。這部中央伺服器稱為 ACS 收集器，隨後會將安全性事件插入在執行 SQL Server 2005 的伺服器上主控的中央稽核資料庫中。[圖 8] 圖解說明此架構。藉由以近乎即時的方式轉寄事件，本機系統管理員干擾安全性記錄事件的可能性因而降至最低。

[圖 8] 稽核收集服務架構 (按一下以放大影像)

這些事件一經收集，稽核人員與系統管理員接著可透過稽核收集服務內含將近 20 種報告來分析它們 (見 [圖 9])。ACS 報告涵蓋各種常見的稽核類別，例如帳戶管理事件、以使用者活動為目標的鑑識報告，以及揭示您 Windows 2008 安全性事件記錄檔中具有潛在威脅的報告 (例如系統管理員嘗試清除受監視之 Windows 系統上的安全性事件記錄檔)。

[圖 9] Operations Manager 2007 中的稽核收集報告

每個應用程式都適用的管理組件

Microsoft 在「動態系統行動 (Dynamic System Initiative)」下了承諾，誓言要為每個新伺服器應用程式提供管理組件。而 Windows Server 內提供的服務這麼多，Microsoft 光是就 Windows Server 2008 平台，已致力提供了超過 20 個管理組件。適用於 OpsMgr 2007 的 Windows Server 2008 管理組件清單包含 [圖 10] 中所顯示的。

[圖 10] OpsMgr 管理組件

入門

正如您所見，Windows Server 2008 和 System Center Operations Manager 2007 提供了穩固、適合企業使用的基礎結構，來支援您最關鍵的商務服務。具備一籮筐專為提供服務導向監視功能與適當整合而設計的功能，OpsMgr 2007 不僅讓公司得以利用 Active Directory 中現有的投資，使管理工作更具效率，還降低了 Windows Server 2008 部署的整體擁有成本。

我建議您下載 Windows Server 2008 的 60 天試用版，網址是 microsoft.com/windowsserver2008/en/us/trial-software.aspx。您也可以下載 Operations Manager 2007 的 180 天試用版，網址是 microsoft.com/technet/opsmgr/2007/downloads/trials/privacy.mspx。

Pete Zerger 是 AKOS Technology Services 的顧問夥伴。在 IT 產業已有九年經驗的 Pete，擅長設計與部署企業營運管理、目錄服務和訊息解決方案。