Разнообразие инструментов мониторинга систем и сетей ошеломляет. Большинство из них стоят очень дорого, совместимы с ограниченным числом продуктов и имеют узкую направленность. Для некоторых необходимо, чтобы отслеживаемые продукты и функции управления поддерживали определенный протокол, такой как SNMP. Одни предназначены исключительно для управления событиями системы безопасности, а другие ориентированы не только на безопасность, но и на более широкий круг задач.

Инструмент для мониторинга Microsoft Operations Manager (MOM) 2005 компании Microsoft относится к последней категории. MOM проектировался для крупных компаний. Это открытый и расширяемый продукт, который может использоваться для мониторинга не только продуктов Microsoft, но и решений других компаний; в его отчетах содержатся как сведения о событиях безопасности, так и другая информация.

Цена MOM 2005 слишком высока для небольших сетей, поэтому компания Microsoft выпустила MOM 2005 Workgroup Edition с розничной ценой 499 долл. для сетей, в которых насчитывается до 10 серверов. MOM Workgroup Edition будет отличным выбором и для крупных компаний, которым требуется отслеживать лишь небольшое число серверов или несколько групп серверов. В одной организации можно развернуть более одного экземпляра MOM Workgroup Edition.

В этой статье будет показано, как с помощью MOM 2005 Workgroup Edition отслеживать потенциальные события безопасности в системах и сетях и планировать развертывание и настройку конфигурации.

Подготовка к применению MOM

Прежде чем установить MOM 2005 Workgroup Edition, необходимо подготовить среду и установочный сервер. Первое требование — наличие и использование Active Directory (AD). В MOM 2005 Workgroup Edition, как и в полной версии продукта, AD требуется для проверки подлинности и обнаружения служб. Второе требование — 32-разрядная версия Windows Server 2003 на установочном сервере. Подходит любая редакция.

Для версии MOM 2005 Workgroup также необходимо, чтобы база данных была установлена на том же сервере, что и MOM. Удобно, что не требуется устанавливать полную версию Microsoft SQL Server 2000 (SQL Server 2005 не поддерживается), вместо нее можно бесплатно загрузить с узла http://download.microsoft.com и установить Microsoft SQL Server 2000 Desktop Engine (MSDE 2000). Необходимо настроить для автоматического запуска экземпляр SQL Server 2000 или MSDE и агент SQL Server Agent. И наконец, сервер, на котором установлен MOM 2005 Workgroup Edition, должен работать с Microsoft IIS, располагать версией Microsoft .NET Framework 1.1 и службой Background Intelligent Transfer Service (BITS) 2.0. BITS должна запускаться автоматически, так же как база данных и агент базы данных. Тип начального запуска можно изменить с помощью оснастки Services консоли Microsoft Management Console (MMC), введя в командной строке команду services.msc.

MOM 2005 Workgroup Edition можно установить (хотя не рекомендуется) на одном сервере с другими приложениями, такими как Windows Server Update Services (WSUS), и одной или несколькими базами данных. Совместная установка с другими приложениями целесообразна в тех случаях, когда нельзя превысить порог 10 лицензий. Если на сервере уже имеется установленная база данных и для MOM предполагается использовать особую базу данных, то можно установить новый экземпляр SQL Server или MSDE и выбрать его при установке MOM.

Установка MOM Server

Установить собственно MOM 2005 Workgroup Edition просто. После того как установочный диск будет вставлен в накопитель, запускается мастер Microsoft Operations Manager 2005 Setup Resources, в котором имеется несколько вкладок. На вкладке Setup Tasks (выбранной по умолчанию) обозначены три действия:

  1. Проверка соответствия системным требованиям.
  2. Установка MOM 2005 Workgroup Edition.
  3. Настройка MOM 2005 Workgroup Edition.

Щелкните на первом действии, Check Prerequisites, дабы убедиться, что компьютер соответствует перечисленным выше минимальным требованиям для установки MOM 2005 Workgroup Edition. Существует два варианта проверки соответствия. По умолчанию проверяется пригодность к полной установке на сервере. Второй вариант — проверить требования только для консоли; он используется при установке консоли MOM на рабочей станции. Щелкните на кнопке Check, чтобы начать проверку соответствия требованиям; результаты отображаются на Web-странице. Если какие-либо условия не соблюдены, можно увидеть подробные сведения о причинах и мерах по устранению проблем.

Щелкните на действии 2, чтобы запустить мастер установки MOM 2005 Workgroup Edition. Мастер запрашивает имя сотрудника, название организации и 25-символьный код продукта. После того как эти данные будут введены, система попросит указать установочную папку или подтвердить использование папки, выбираемой по умолчанию.

Затем мастер установки проверяет соответствие требованиям. В случае расхождений работа мастера останавливается. Затем, если имеется более одного экземпляра базы данных, требуется выбрать экземпляр MOM для дальнейшего использования. Экземпляр по умолчанию показан как имя сервера, на котором устанавливается MOM. Другие экземпляры отображаются в виде SERVERINSTANCE. Администратору следует выбрать нужный экземпляр.

На следующем этапе мастера установки запрашиваются имя пользователя, пароль и домен учетной записи, которая будет использоваться программой MOM 2005 Workgroup Edition. Эта учетная запись применяется для развертывания агентов MOM; ее владелец должен быть членом группы Domain Admins. Наконец, мастер установки спрашивает, нужно ли сообщать об ошибках в работе MOM в компанию Microsoft или на сервер отчетов компании-потребителя. Если MOM настроен на сбор данных об ошибках, то их можно отправить в Microsoft напрямую или поставить в очередь, чтобы администратор мог решить, какие из них следует отсылать. После того как определен режим отчетности по ошибкам, мастер предлагает начать процесс установки щелчком на кнопке Install.

Установка агентов MOM

После установки MOM 2005 Workgroup Edition автоматически открывается консоль MOM 2005 Administrator Console с указаниями по установке агентов MOM на серверах, работу которых предстоит отслеживать. Их можно устанавливать централизованно, запустив мастер Install/Uninstall Agents Wizard щелчком на кнопке в адмнистративной консоли MOM 2005, или загрузить с установочного компакт-диска на каждом сервере. При ручном методе разнообразие настроек увеличивается, как будет показано ниже.

Установка агентов с сервера MOM. Первый шаг при использовании мастера Install/Uninstall Agents Wizard — выбрать сервер или серверы для мониторинга с помощью MOM 2005 Workgroup Edition. Имена серверов можно вводить отдельно, по одному в строке, или использовать кнопку Browse мастера, чтобы выбрать серверы из AD. Не следует вводить имя сервера MOM — агент для него устанавливается автоматически. Если введено имя сервера MOM или имя любого другого сервера, управлять которым нельзя, то на экране появится приглашение удалить их из списка серверов перед продолжением работы.

На последнем этапе работы мастера отображаются действия, предпринимаемые им после щелчка по кнопке Finish. Составляется график установки агентов, а собственно установка производится с использованием служебной учетной записи MOM, указанной ранее. Если на последнем этапе работы мастера Install/Uninstall Wizard установлен режим Show task progress, то можно увидеть, как агенты развертываются в ходе установки.

Можно запустить мастер Install/Uninstall Wizard для установки агентов на компьютерах, обнаруженных AD, развернув узел Microsoft Operations ManagerAdministrationComputersUnmanaged Computers в консоли MOM 2005 Administrator Console. Укажите в правой панели консоли один или несколько компьютеров без агентов MOM, щелкните правой кнопкой мыши и выберите пункт Install. Этапы мастера слегка отличаются от описанных выше, и обычно достаточно щелкать на кнопке Next на каждом экране, принимая параметры по умолчанию. После того как агенты MOM будут установлены на компьютерах, они отображаются в узле ComputersAgent-managed Computers в консоли MOM 2005 Administrator Console.

Чтобы установить агентов вручную, необходимо сначала настроить сервер MOM 2005 Workgroup Edition для ручной установки. Самый простой способ — развернуть узел Microsoft Operations ManagerAdministrationGlobal Settings в консоли MOM 2005 Administrator Console, щелкнуть правой кнопкой мыши на Management Servers и выбрать пункт Properties, открыв диалоговое окно Management Servers Properties. Затем следует перейти на вкладку Agent Install и сбросить флажок Reject new manual agent installations (экран 1).

Активизация ручной установки агентов
Необходимо применить изменения конфигурации к MOM 2005 Workgroup Edition и перезапустить службу, чтобы новые настройки вступили в силу. В административной консоли MOM 2005 следует развернуть узел Microsoft Operations Manager, щелкнуть правой кнопкой мыши на Management Packs, а затем щелкнуть на кнопке Commit Configuration Change.

Перезапустите MOM, выполнив команду services.msc из командной строки, щелкните правой кнопкой мыши на службе MOM и выберите пункт Restart.

Локальная установка агентов с компакт-диска. Для установки агентов с компакт-диска MOM 2005 Workgroup Edition требуется вставить диск в сервер, которым предстоит управлять. После запуска инструмента установки MOM Setup Resources следует перейти на вкладку Custom Installs и щелкнуть на Install Microsoft Operations Manager 2005 Agent, чтобы запустить мастер Microsoft Operations Manager 2005 Agent Setup. Укажите папку назначения для агента или примите местоположение по умолчанию.

На следующем экране мастера нужно ввести имя группы Management Group Name и Management Server (экран 2). Имя управляемой группы можно найти в верхней части страницы Home административной консоли MOM 2005. Management Server — имя сервера. По умолчанию агенты MOM 2005 Workgroup Edition используют для связи с MOM-сервером TCP-порт 1270 и UDP-порт 1270. Если сервер MOM находится за брандмауэром или включен брандмауэр базового компьютера, нужно убедиться, что данный порт открыт. Возможно, придется следовать дополнительным инструкциям, приведенным в статье «How to install and manage Microsoft Operations Manager 2005 agent computers that are behind a firewall or in an untrusted domain» по адресу http://support.microsoft.com/kb/904866/en-us.

Ручная настройка агента
На том же экране следует выбрать уровень управления агентом. Значение по умолчанию — None. Если выбрать значение Full, то сервер MOM 2005 Workgroup Edition обеспечит дистанционное управление агентом, в том числе его настройку и модернизацию.

Следующий шаг мастера позволяет указать действующую учетную запись агента MOM. По умолчанию агент функционирует с учетной записью Local System (рекомендуемая конфигурация). Ее можно заменить на учетную запись Domain или Local.

Затем поступает запрос об использовании AD. Следует выбрать Yes, если AD используется, или No, если AD нет. Существуют и другие причины, чтобы выбрать No, но они неприменимы к большинству компаний. Мастер показывает сводку параметров конфигурации; щелкните на кнопке Install, чтобы начать установку агента.

Если нужно развернуть агент для мониторинга системы Internet Security and Acceleration Server, то необходимо изменить системную политику ISA Server, разрешив серверам MOM 2005 Workgroup Edition подключаться к ISA Server. Кроме того, придется вручную установить агент MOM.

Компьютеры без агентов. С помощью MOM 2005 Workgroup Edition можно управлять и компьютерами, на которых не установлены агенты MOM. Компьютеры без агентов учитываются при расчете ограничения в 10 серверов. Информация об этих компьютерах будет более скудной, но мониторинг без агентов может быть полезным, если не требуется полных отчетов и функциональности.

Чтобы управлять компьютером без агента, следует развернуть узел Unmanaged Computers, выбрать компьютеры, которые предстоит отслеживать без агента, щелкнуть правой кнопкой мыши и выбрать пункт Start Agentless Management. Компьютеры без агента отображаются в узле ComputersAgentless Managed Computers и в будущем при желании могут быть дополнены агентами.

Использование консоли MOM 2005

После того как установка MOM 2005 Workgroup Edition на сервере завершена, а агенты развернуты, можно приступать к мониторингу событий безопасности в компьютерах и сети через консоль оператора MOM 2005. Консоль можно запустить с административной консоли MOM 2005 или программной группы Microsoft Operations Manager 2005 в меню Start.

По умолчанию после запуска вид консоли оператора MOM 2005 — Alerts (экран 3). В верхней центральной панели показаны все предупреждения, которые собраны MOM 2005 Workgroup Edition или поступили из отслеживаемых компьютеров и агентов. Предупреждения разделены на категории по уровню опасности: Service Unavailable, Security Issue, Critical Error, Error, Warning, Information и Success.

Вид Alerts консоли оператора MOM 2005
Подробности о предупреждении, выбранном в верхней центральной панели, отображаются в нижней центральной панели. В частности, можно увидеть: свойства; связанные события; сведения о продукте от компании Microsoft, которые помогут устранить проблему; раздел знаний компании, на основе которых можно построить собственную базу знаний; предысторию.

Вид Alerts поможет просмотреть все неполадки, о которых сообщал MOM 2005 Workgroup Edition. Следует проанализировать предупреждения и обновить их состояние (экран 4). Если предупреждение отмечено как Resolved, то MOM убирает его из консоли.

Назначение способа реагирования для предупреждения
Другие виды могут быть столь же и даже более полезны, чем Alerts. Выберите Computers и Groups из списка видов в нижней левой панели, и MOM 2005 Workgroup Edition перечислит все компьютеры в верхней центральной панели. Для каждого отобразится состояние с использованием того же списка категорий, как для предупреждений; время, когда сервер MOM последний раз связался с компьютером и получил пакет «я жив»; число новых предупреждений для компьютера и число недоступных служб. В системе может быть более одной недоступной службы, в зависимости от конфигурации, набора программ и других факторов.

Вид State в левой нижней панели обеспечивает обзор состояния каждого из контролируемых компьютеров и его важнейших характеристик, в том числе пространства на жестком диске и операционной системы. MOM 2005 Workgroup Edition определяет, работают ли на контролируемых компьютерах такие службы, как AD на контроллере домена (DC), DNS, Microsoft Exchange Server, Microsoft SQL Server или Microsoft IIS, и показывает их состояние. Благодаря расширяемости MOM, можно добавить пакеты управления, чтобы отыскать другие службы, такие как ISA Server и службы независимых поставщиков.

Вид Diagram дает картину сети, из которой можно почерпнуть сведения о службах и их состоянии; вид Performance позволяет выбрать определенные счетчики из контролируемых компьютеров, чтобы опросить компьютеры и определить их состояние; вид Events позволяет увидеть каждое событие, собранное MOM, и предупреждения, генерируемые в результате каждого события.

Пользователь выбирает компьютеры, отображаемые в каждом виде, выделяя группу в раскрывающемся поле Group на панели инструментов консоли оператора MOM 2005. Если выбран MOM Administrator Scope, то MOM показывает все компьютеры, но можно выбирать среди многих других групп, в том числе Exchange Servers, SQL Servers и Domain Controllers.

С консоли оператора MOM 2005 запускается много типовых задач обслуживания и безопасности для управляемых компьютеров. Например, можно запросить IP-конфигурацию любого управляемого компьютера, выбрав IP Configuration в панели Tasks с правой стороны консоли и следуя указаниям мастера. Если панель Tasks не видна, ее можно вернуть на экран, щелкнув на Tasks в панели инструментов.

Панель Tasks контекстно-чувствительна, и по умолчанию MOM 2005 Workgroup Edition запустит любую выбранную пользователем задачу на компьютерах, указанных в виде State или Computers and Groups. Для некоторых задач, таких как IP Configuration, собранные данные будут представлены как генерируемые события и отображены в виде Events. Для других задач, таких как Computer Management или Remote Desktop, MOM открывает оснастку MMC или сеанс Terminal Services для выбранного компьютера.

Из панели Task консоли оператора MOM 2005 можно запустить анализатор базовой безопасности Microsoft (MBSA). Вместе с MOM Workgroup Edition поставляется версия MBSA 1.2. Ее можно заменить новейшей поддерживаемой версией, загрузив пакет MBSA Management Pack for MOM 2005 по адресу http://www.microsoft.com/downloads.

Когда пользователь выбирает команду Run MBSA Scan из консоли оператора MOM 2005, создается пакет, содержащий выполнимый файл MBSA, и загружается на целевой управляемый компьютер. Альтернативный способ — дать управляемому компьютеру команду получить файл mssecure.cab из Web-узла Microsoft или виртуального каталога на сервере MOM. Подробные сведения приведены в документе MBSA Management Pack Guide по адресу http://www.microsoft.com/downloads.

После того как будет выполнена загрузка, MBSA проверяет локальный компьютер и передает результаты в консоль оператора MOM 2005 как последовательность событий. Если присутствуют заслуживающие внимания данные о безопасности, то из событий генерируются предупреждения, и состояние управляемого компьютера соответствующим образом изменяется. Чтобы увидеть предупреждения и соответствующие события, следует щелкнуть на Alerts и Events в нижней левой панели консоли. Информация о том, как исправить неполадки, обнаруженные MBSA, отображается на вкладке Product Knowledge окна Alert.

В данной статье рассказано о возможностях MOM 2005 Workgroup Edition, но главные преимущества обеспечивают пакеты управления MOM. Рекомендую посетить специализированный Web-узел MOM компании Microsoft по адресу http://www.microsoft.com/mom, чтобы изучить характеристики продукта.

Благодаря полезной функциональности в сочетании с умеренной ценой, MOM 2005 Workgroup Edition идеально подходит для малых и средних сетей. В больших сетях можно использовать более мощную версию MOM с обширными дополнительными функциями, в том числе для построения иерархии серверов MOM и подготовки отчетов.

Джон Хоуи (jhowie@microsoft.com) — директор подразделения World Wide Services and IT Technical Community for Security компании Microsoft. Имеет более чем 15-летний опыт работы в области информационной безопасности и сертификаты CISSP, CISM и CISA