Test: System Center Operations Manager 2007
Zentrale Konsole für Windows-Netze
Microsofts neuer System Center Operations Manager (SCOM) 2007 ist der Nachfolger des Microsoft Operations Manager (MOM) 2005. Mittlerweile steht das erste Service-Pack der Serverüberwachungslösung kurz vor der Fertigstellung. Es erweitert die Lösung und erhöht deren Stabilität. Dieser Beitrag durchleuchtet die Möglichkeiten von SCOM 2007.
SCOM 2007 ist mittlerweile nach MOM 2000 und 2005 das dritte Produkt in dieser Linie. Microsoft
hat es deutlich überarbeitet und erweitert. SCOM 2007 überwacht jetzt auch die Arbeitsstationen, um
sicherzustellen, dass nicht nur die Server im Unternehmen funktionieren, sondern auch die
Client-Geräte. Auch End-to-End-Überwachung, zum Beispiel die die Erreichbarkeit spezieller
Serverdienste wie Exchange-Postfach oder SQL-Datenbank auf dem Server, ist jetzt möglich.
Allerdings handelt es sich dabei um keine umfassende Client-Lifecycle-Management-(CLM)-Suite, da
SCOM weder Patches verteilen noch das Betriebssystem ausrollen kann. Es findet lediglich eine
Überwachung des Netzwerks auch aus Sicht der Clients statt. Wer eine CLM-Lösung sucht, für den ist
SCOM nur ein Teil der Lösung. Im Zusammenspiel mit dem System Center Configuration Manager (SCCM)
2007 und den Windows Server Update Services (WSUS) 3.0 kann SCOM als Bestandteil einer CLM-Lösung
fungieren. In diesem Fall muss das Unternehmen vor allem beim SCCM etwas tiefer in die Tasche
greifen. Kleineren Unternehmen helfen die System Center Essentials 2007, die Funktionen von SCOM,
SCCM und WSUS enthalten. Allerdings ist hier die Überwachung auf 30 Server beschränkt.
SCOM 2007 dient vor allem der Überwachung von Servern im Unternehmen. Die Administratoren sehen
auf einer grafischen Oberfläche den Status aller Server und können die Probleme sofort lösen,
sobald bestimmte Fehler auftauchen. Ohne eine automatisierte Überwachung fallen viele Fehler erst
dann auf, wenn zum Beispiel die Benutzer keine Verbindung mehr mit einem Server aufbauen können.
Die konsequente Überwachung ist einer der Bausteine, um die Stabilität und Ausfallsicherheit eines
Netzwerks zu gewährleisten und die Arbeitsfähigkeit der Anwender sicherzustellen. SCOM verwaltet
mit speziellen Agenten, die auf den zu überwachenden Servern installiert werden, die Funktionalität
der einzelnen Serverdienste und erstellt im Überblick dar, wie diese angeordnet sind. So kann sich
der Systemverwalter zum Beispiel die aktuelle Exchange-Server- Infrastruktur anzeigen lassen.
SCOM geht deutlich über eine einfache Überwachung der Netzwerkerreichbarkeit, CPU-Last und
Arbeitsspeicherauslastung hinaus. Die Software überwacht bis ins Detail einzelne Serverdienste,
deren Erreichbarkeit sowie die Funktionalität aus Sicht der Clients. Die Server-agenten sammeln
notwendige Informationen und senden diese an den zentralen Managementserver. Dieser bereitet die
Daten auf. Automatische Gegenmaßnahmen wie der Neustart eines Dienstes oder das Versenden von
E-Mails sind regelbasiert konfigurierbar. Die Installation der Agenten sowie deren Konfiguration
lässt sich vollkommen automatisiert durchführen. Wird ein neuer Server in das Netzwerk integriert,
erkennt der SCOM dies und ins-talliert den Agenten automatisch auf dem Server.
Management-Packs
Zahlreiche Management-Packs stehen teils kostenpflichtig, aber oft auch kostenlos zur Verfügung.
Diese erweitern die Überwachungsfunktion des Servers und der Agenten um weitere Aufgaben, zum
Beispiel Exchange-spezifische Aufgaben, SQL-Datenbanken, DNS-Konfiguration oder die Überwachung der
Serverhardware. Management-Packs enthalten vordefinierte Regeln, Grenzwerte und Skripts, die
speziell für ein Produkt entwickelt wurden. Die meisten Management-Packs umfassen zudem
Informationen und Fehlerbehebungstipps, die automatisch angezeigt werden, wenn ein spezifischer
Fehler auftritt.
Sofort nach der Installation eines Management-Packs und der damit verbundenen Integration in den
Server findet die Überwachung der hinterlegten Komponenten statt, man muss also nicht jedes
Management-Pack einzeln überwachen. Da bereits zahlreiche Regeln automatisch hinterlegt sind, ist
eine weitergehende Konfiguration nur zu Optimierungszwecken notwendig. Für nahezu jede
Microsoft-Serverlösung finden sich kostenlose Management-Packs auf Microsofts Internetseiten zum
Down-load. Da bei deren Entwicklung das Know-how der Entwickler einfließt, stellen sie eine sehr
effiziente Hilfe zur Überwachung von Microsoft-Servern dar.
Management-Packs für SCOM 2007 gibt es nur noch in einer Version. Jedes Paket enthält alle
Sprachen, die SCOM unterstützt. Berichte und Regeln werden dann in der Sprache angezeigt, in der
der Server installiert ist. Allerdings ist die Funktion, die für die Berichterstellung zuständig
ist, noch sehr fehleranfällig und etwas unzuverlässig. Die Einrichtung dieser Funktion ist nicht
gerade einfach, selbst für geübte Administratoren. Hier wünscht sich so mancher Systemverwalter
etwas mehr Unterstützung seitens Microsoft. Vor allem durch die Verwendung des SQL-Servers stoßen
viele Administratoren schnell an ihre Grenzen, wenn zum Beispiel Berichte nicht erstellt oder die
Daten nicht in die Datenbank eingetragen werden. Da es hier ein sehr komplexes Rechtemodell gibt,
das vor allem für große Unternehmen mit vielen Administratoren eine wichtige Funktion ist, sind
viele Einstellungen oft erst mühsam zu erlernen.
Finden Administratoren für ein Problem, das auf einem Server auftrat, selbst eine Lösung, können
sie diese in einer Datenbank auf dem SCOM-Server hinterlegen. Dazu wird das Problem wie als Ticket
behandelt, vom Administrator geschlossen und die Fehlerbehebung in ein Textfeld eingetragen. Tritt
der Fehler noch einmal auf, weist der Server auf die mögliche Problemlösung hin.
Der Operations Manager prüft nicht nur die Verfügbarkeit eines Servers, sondern auch die
Stabilität und Erreichbarkeit einzelner Systemdienste und Komponenten. Zum Beispiel sind im
Management-Pack für die Überwachung von Exchange-Servern die Regeln enthalten, die auch der
Exchange Best Practises Analyzer for Exchange bietet. Diese Regeln prüft das Programm nicht nur
beim Start, sondern es überwacht ständig die Länge der Warteschlangen, die Systemdienste,
Einstellungen und die Erreichbarkeit der einzelnen Dienste in Echtzeit. Sobald ein Problem
auftritt, leitet es Maßnahmen ein, oft bevor das Problem sich gravierend auswirkt. In der Übersicht
erscheinen Fehler auf den Servern sowie deren Auswirkung auf die anderen Server.
Nur noch eine Konsole
Waren bei MOM 2005 noch Berichts-, Operator- und Administratorkonsole notwendig, gibt es bei
SCOM 2007 nur noch die Operator-Konsole für die zentrale Durchführung aller Aufgaben. Microsoft hat
die Konsole dazu komplett überarbeitet, orientierte sich aber an der MOM-2005-Konsole, sodass ein
Umlernen generell nicht notwendig ist.
Wie bei den Vorgängern lässt sich die Konsole auch auf Arbeitsstationen installieren. Das
Hauptfenster zeigt eine Zusammenfassung des Netzwerks und aller vorhandenen Fehler. Die generelle
Bedienung ähnelt der des Vorgängers sehr: Durch intuitives Klicken mit der Maus kann der Anwender
die Infrastruktur bis zum einzelnen Server und Fehler "auffalten". Allerdings entsteht dadurch
schnell der Eindruck, dass die Überwachung des Netzwerks ein Kinderspiel ist und alle notwendigen
Aufgaben schnell zusammengeklickt sind. Das Problem dabei ist, dass in der Konsole eben nur die
angebundenen Server erscheinen und Fehler durch die zahlreichen Funktionen schnell untergehen. Da
es in den Vorgängerversionen für weniger Umfang drei Konsolen gab, ist aber klar, dass die
Informationsfülle der verbleibenden Konsole zugenommen hat.
Ebenfalls neu ist die Möglichkeit, Einträge aus den Sicherheitsprotokollen der Ereignisanzeigen
aller überwachten Server zu sammeln und in der Datenbank abzulegen. Für diese Überwachung ist kein
Agent erforderlich. Auch andere Protokolle lassen sich durch diese neue Funktion überwachen. In die
Leistungs- und Verfügbarkeitsüberwachung fließen daher jetzt nicht mehr nur die Ergebnisse der
Management-Packs und Agenten ein. Dadurch sind auch sicherheitskritische Bereiche auf allen Servern
effizient zu überwachen. Viele Administratoren kennen diese Funktion noch als "Audit Collection
Services" (ACS), die viele Unternehmen in der Betaversion genutzt haben, um die
Sicherheitsprotokolle zum Beispiel aller Domänen-Controller zu sammeln und zentral auszuwerten.
Dies ist nun fester Bestandteil von SCOM 2007, eine eigene Infrastruktur wird nicht mehr
benötigt.
Damit Fehlermeldungen den Administrator per E-Mail erreichen, muss ein SMTP-Server zur Verfügung
stehen. Unterstützt wird neben Exchange auch der interne SMTP-Dienst von Windows Server 2003/2008
sowie weitere SMTP-Server, zum Beispiel beim Internet-Service-Provider.
Alle Komponenten sind auch auf einem einzelnen Server installierbar. Allerdings steigt dadurch
natürlich dessen Last stark an, und fällt dieser aus, ist keine Überwachung mehr verfügbar. In
fehlertoleranten und größeren Umgebungen sollte die Datenbank auf einem eigenen Server liegen,
unter Umständen sogar geclustert sein. Außerdem sollte man mehrere Managementserver installieren.
Mit dem neuen System Center Capacity Planner 2007 lässt sich eine Serverstruktur für SCOM 2007
planen, da er Zugriff und Verwaltung in komplexen Umgebungen simuliert.
Installation der Agenten
Die Installation der Agenten kann entweder automatisiert über die Softwareverteilung, aber auch
skriptbasiert über die Windows Powershell erfolgen. Die Einrichtung und Konfiguration des Servers
und der Agenten ist allerdings nicht gerade einfach. Durch die verspielte Microsoft-Oberfläche
entsteht oft der Eindruck, dass die Einrichtung einfach ist; aber jeder, der die Lösung
installiert, stellt schnell fest, dass es noch zahlreiche Haken und Ösen gibt, die die Einrichtung
und Installation der Agenten deutlich verzögern: Die Agenten werden zwar zum größten Teil
automatisch auf den Servern installiert, aber oft gibt es bei dieser Installation Schwierigkeiten.
Probleme können zum Beispiel auftreten, wenn Virenscanner oder Firewall auf dem zu überwachenden
Server die Installation blockieren. Auch wenn sich manche Server nicht zuverlässig beim SCOM-Server
melden oder SCOM neue Server im Netzwerk nicht entdeckt, findet keine automatische Installation
statt. Administratoren sollten daher regelmäßig überprüfen, ob auf den Servern auch der Agent
installiert ist.
Gateway-Server
Mit dem neuen Gateway-Server lassen sich auch Computer in nicht vertrauten Domänen oder der DMZ
überwachen. Dazu wird auf einem SCOM-Server diese neue Rolle zusätzlich installiert. Der Server
dient dann zukünftig dazu, die SCOM-Infrastruktur mit der unvertrauten Domäne oder der DMZ zu
verbinden.
Die dazu notwendige Authentifizierung läuft über entsprechende Zertifikate. Der Gateway-Server
initiiert den Verbindungaufbau zur Überwachung, sodass in den Firewalls zum Beispiel zwischen
Netzwerk und DMZ nur ein Server mit den entsprechenden Ports berechtigt werden muss. Damit ist aber
kein Push von Agenten auf den zu überwachenden Servern möglich. Dies liegt daran, dass der
RPC-Verkehr zwischen vertrauten und nicht vertrauten Netzwerken oft blockiert wird. In diesem Fall
sollte der Systemverwalter den Agenten auf andere Weise installieren, also manuell oder per Skript.
Andernfalls muss er dem Managementserver den RPC-Zugriff auf die DMZ gestatten, die durch den
Gateway-Server mit der SCOM-Infrastruktur überwacht wird.
Will man von MOM 2005 zu SCOM 2007 migrieren, empfiehlt Microsoft den parallelen Aufbau der
neuen Umgebung. Auf den überwachten Servern wird dazu parallel zu den MOM-2005-Agenten der
SCOM-2007-Agent installiert. Erst wenn die IT-Abteilung mit der Überwachung auf SCOM 2007
gewechselt ist, sollte man die alte MOM-2005-Infrastruktur entfernen. Bestehende Regeln und
Grenzwerte von MOM-2005-Management-Packs sind zu SCOM 2007 migrierbar. Der Import von
MOM-2000-Regeln wird allerdings nicht unterstützt.
Auf der Microsoft-Produktseite steht eine voll funktionsfähige 180-Tage-Testversion zur
Verfügung. Beim Download erhält man eine E-Mail, die zahlreiche Links zu weiterführenden
Informationen und Whitepapers enthält. Vor der Installation lassen sich die Systemvoraussetzungen
prüfen und ein Bericht ausgeben, wo nachgearbeitet werden muss. Auf der Internetseite
technet.microsoft.com/en-us/opsmgr/bb98676 3.aspx stellt Microsoft zahlreiche Lehrvideos für
SCOM 2007 bereit, das Microsoft-Technet bietet dazu zahlreiche Webcasts.
Systemvoraussetzungen
Die Überwachungsdaten sammelt SCOM 2007 in einer Datenbank. Dazu benötigt es einen Server mit
SQL Server 2005 SP1. Der SQL-Serverdienst sollte mit minimalen Rechten gestartet werden, zumindest
wenn kein anderer Dienst mehr Rechte benötigt. Ausreichend ist zum Beispiel der Benutzer "
Netzwerkdienst". Für die Installation von SCOM ist mindestens Windows Server 2003 mit SP1 – besser
SP2 – erforderlich. Außerdem muss auf dem Server die Windows Powershell sowie das neue
Dotnet-Framework 3.0 installiert sein.
Die Agenten unterstützen aber so gut wie alle Microsoft-Serverprodukte sowie Unix- und
Linux-Server. Allerdings werden Unix- und Linux-Server nicht so tiefgehend überwacht wie
Microsoft-Server, dazu sind die Welten zu verschieden. Der Fokus von SCOM liegt natürlich
hauptsächlich auf Netzwerken mit vielen Microsoft-Servern.
Preise
Die Serverlizenz für SCOM liegt bei etwa 570 Dollar, die Lizenz zusammen mit einem SQL-Server
bei etwa 1300 Dollar. Die Lizenzpreise für die zu überwachenden Geräte im Netzwerk liegen zwischen
32 und 430 Dollar, abhängig von der zu überwachenden Software. Diese Preise sind natürlich nur
Richtlinien und variieren abhängig vom mit Microsoft geschlossenen Lizenzvertrag.
Info: Microsoft Tel.: 01805/672330 Web:
www.microsoft.com/germany/systemcenter/opsmgr/default.mspx
Lesen Sie mehr zum Thema
