Einführung in das Operations Manager 2007 R2

Operations Manager 2007 R2Entwurfshandbuch
Microsoft Corporation
Datum der Veröffentlichung: Mai 2009
Autor
Christopher Fox
Die in diesem Dokument enthaltenen Informationen stellen die behandelten Themen aus der
Sicht der Microsoft Corporation zum Zeitpunkt der Veröffentlichung dar. Da Microsoft auf sich
ändernde Marktanforderungen reagieren muss, stellt dies keine Verpflichtung seitens Microsoft
dar, und Microsoft kann die Richtigkeit der hier dargelegten Informationen nach dem Zeitpunkt
der Veröffentlichung nicht garantieren.
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIESES
DOKUMENT JEDE GEWÄHRLEISTUNG AUS, SEI SIE AUSDRÜCKLICH, KONKLUDENT
ODER GESETZLICH GEREGELT, ABER ABDINGBAR.
Die Benutzer sind verantwortlich für das Einhalten aller anwendbaren Urheberrechtsgesetze.
Ungeachtet der Anwendbarkeit der entsprechenden Urheberrechtsgesetze darf ohne
ausdrückliche schriftliche Erlaubnis der Microsoft Corporation kein Teil dieses Dokuments für
irgendwelche Zwecke vervielfältigt oder in einem Datenempfangssystem gespeichert oder darin
eingelesen werden, unabhängig davon, auf welche Art und Weise oder mit welchen Mitteln
(elektronisch, mechanisch, durch Fotokopieren, Aufzeichnen, usw.) dies geschieht.
Es ist möglich, dass Microsoft Rechte an Patenten bzw. angemeldeten Patenten, an Marken,
Urheberrechten oder sonstigem geistigen Eigentum besitzt, die sich auf den fachlichen Inhalt
dieses Dokuments beziehen. Das Bereitstellen dieses Dokuments gibt Ihnen jedoch keinen
Anspruch auf diese Patente, Marken, Urheberrechte oder auf sonstiges geistiges Eigentum, es
sei denn, dies wird ausdrücklich in den schriftlichen Lizenzverträgen von Microsoft eingeräumt.
Die in den Beispielen verwendeten Firmen, Organisationen, Produkte, Domänennamen, E-MailAdressen, Logos, Personen, Orte und Ereignisse sind frei erfunden, soweit nichts anderes
angegeben ist. Jede Ähnlichkeit mit bestehenden Firmen, Organisationen, Produkten, Domänen,
Personen, Orten, Ereignissen, E-Mail-Adressen und Logos ist rein zufällig und nicht beabsichtigt.
© 2009 Microsoft Corporation. Alle Rechte vorbehalten.
Microsoft, Active Directory, ActiveSync, Internet Explorer, JScript, SharePoint, SQL Server, Visio,
Visual Basic, Visual Studio, Win32, Windows, Windows PowerShell, Windows Server und
Windows Vista sind Marken der Microsoft-Gruppe.
Alle anderen Marken sind Eigentum ihrer jeweiligen Inhaber.
Revisionsverlauf
Veröffentlichungsdatum
Änderungen
Mai 2009
Die Operations Manager 2007 R2-Version
dieses Handbuchs enthält die folgenden
Aktualisierungen und Ergänzungen:

Die Dokumentenroadmap wurde entfernt.

Sicherheitsinformationen zur UNIX- oder
Linux-Überwachung sowie Leistungs- und
Veröffentlichungsdatum
Änderungen
Bereichsangaben wurden hinzugefügt.

Bereichsangaben wurden aktualisiert.
Inhalt
Einführung in das Operations Manager 2007 R2-Entwurfshandbuch ............................................. 7
Übersicht über Operations Manager 2007 ................................................................................... 8
Ermitteln der Systemanforderungen für Operations Manager 2007 .......................................... 19
Abbilden der Anforderungen in einem Entwurf für Operations Manager 2007 .......................... 24
Entwickeln eines Implementierungsplans für Operations Manager 2007 .................................. 46
Einführung in das Operations Manager 2007
R2-Entwurfshandbuch
Jede IT-Umgebung ist spezifisch, und daher muss die für ihre Überwachung verwendete
Infrastruktur dieser Spezifik Rechnung tragen, um effizient zu sein. Es gibt keine
"allgemeingültige" Lösung für die Überwachung, die ein zufrieden stellendes Ergebnis liefert.
Andererseits können Unternehmen es sich nicht leisten, unternehmensspezifische
Überwachungslösungen von Grund auf neu zu entwickeln. Der hierfür erforderliche Kapital- und
Arbeitsaufwand verbietet dies.
Microsoft System Center Operations Manager 2007 bietet einen Mittelweg zwischen diesen zwei
Möglichkeiten, indem die Bausteine bereitgestellt werden, die für eine Ihren betrieblichen
Erfordernissen entsprechende Lösung benötigt werden. Wie Sie die Bausteine anordnen und
welche Beziehungen Sie zwischen ihnen herstellen, bleibt Ihrer Entscheidung überlassen und
wird Topologieplanung genannt. Ihre Topologie muss sich an den betrieblichen, technologischen,
die Sicherheit betreffenden und rechtlichen Erfordernissen Ihres Unternehmens orientieren, und
der Entwurfsvorgang ist die Phase, in der die Spezifik Ihrer konkreten Umgebung in Ihre
Operations Manager-Topologie integriert wird.
Bevor Sie mit dem Entwurf beginnen, müssen Sie die Sicherheitsaspekte von Operations
Manager 2007 vollständig verstanden haben, einschließlich der erforderlichen Konten und
Gruppen und der für sie benötigten Berechtigungen. Für Ihren Entwurfsvorgang ist es äußerst
wichtig, dass Sie die Rollen und die rollenbasierte Sicherheit, die in Operations Manager 2007
implementiert sind, sowie die Implikationen der obligatorischen gegenseitigen Authentifizierung
verstehen Eine vollständige Einführung zur Operations Manager 2007-Sicherheit finden Sie im
Operations Manager 2007-Sicherheitshandbuch unter
http://go.microsoft.com/fwlink/?LinkId=64017.
Operations Manager 2007 bietet einen modellbasierten Überwachungsansatz. Bei einer
modellbasierten Verwaltung werden alle Elemente, die an der Bereitstellung einer Funktion oder
eines Dienstes in Ihrem Unternehmen beteiligt sind, als Modelle dargestellt. Weitere
Informationen zur modellbasierten Verwaltung finden Sie im Operations Manager 2007Schlüsselkonzeptehandbuch unter http://go.microsoft.com/fwlink/?LinkId=124799.
Über dieses Handbuch
Dieses Handbuch besteht aus Abschnitten, die Sie durch den Entwurfs- und Testvorgang zur
Implementierung von Operations Manager 2007 führen. Dieses Handbuch soll Ihnen dabei
helfen, die Komponenten der Bausteinebene in Operations Manager 2007 zu verstehen, indem
Zusammenfassungen zu diesen Rollen gegeben werden. Es hilft Ihnen, die richtigen Fragen zu
formulieren, um sicherzustellen, dass Ihr Entwurf den Anforderungen Ihres Unternehmens
genügt. Es sorgt dafür, dass Sie die grundlegendsten Fragen des Entwurfs beantwortet haben,
um sicherzustellen, dass Ihr Entwurf flexibel und skalierbar ist. Es hilft Ihnen, mithilfe von Daten
7
aus dem Leistungs- und Größen-Handbuch die Operations Manager 2007-Topologie zu planen
und ihre Größe anzupassen. Es enthält eine Anleitung, wie Sie Ihren Entwurf in einer
Testumgebung überprüfen können.
Nachdem Sie dieses Handbuch durchgearbeitet haben, verfügen Sie über ein detailliertes
Infrastrukturdiagramm und eine geplante Konfiguration der Operations Manager 2007Komponenten. Sie haben dann diese Blaupausen in einer Testumgebung überprüft und sind
bereit, mit der Pilotbereitstellung in der Produktion zu beginnen. Hinweise für Ihr weiteres
Vorgehen finden Sie dann im Operations Manager 2007-Bereitstellungshandbuch.
Bitte beachten Sie, dass dieses Handbuch dazu bestimmt ist, Ihnen eine Anleitung zu geben. Die
Entscheidungen, die Sie treffen, und der Entwurf, zu dem Sie schließlich gelangen, müssen
letzten Endes Ihren Bedürfnissen entsprechen. Das Handbuch hilft sicherzustellen, dass Sie über
alle Informationen verfügen, die Sie benötigen, um für Ihre spezielle Situation die besten
Entscheidungen zu treffen.
Grundlegendes zum Operations Manager 2007Entwurfsvorgang
Das Entwerfen einer Operations Manager-Implementierung ist nichts anderes als ein Prozess,
bei dem Folgendes erreicht werden soll:

Verstehen der Features und Funktionen, die von Operations Manager 2007 bereitgestellt
werden.

Verstehen der betrieblichen und technischen Anforderungen Ihres Unternehmens, der
aktuellen Infrastruktur und Ihrer aktuellen Überwachungsverfahren.

Abbilden dieser Anforderungen auf eine Operations Manager 2007-Infrastruktur, die ihnen
entspricht.

Überprüfen des Entwurfs der Operations Manager 2007-Infrastruktur in einer Testumgebung.
Während dieses Vorgangs müssen Sie eine Größen- und Kapazitätsplanung für Ihre
Verwaltungsgruppen durchführen; die dafür benötigten Daten sind in diesem Handbuch
enthalten.
Übersicht über Operations Manager 2007
Die Infrastruktur von Operations Manager 2007 setzt sich aus bestimmten Kernkomponenten
zusammen, die implementiert werden müssen, sowie aus einer Reihe optionaler Komponenten
und Funktionen, die Sie nach Bedarf implementieren können. In diesem Abschnitt werden diese
Komponenten und Funktionen entsprechend ihrer erforderlichen oder optionalen Klassifizierung
beschrieben. Im Allgemeinen wird eine Komponente von Ihrem Quellmedium installiert, während
eine Funktion konfiguriert werden muss, da zunächst die erforderlichen Komponenten für diese
Funktion installiert werden müssen.
8
Erforderliche Serverrollen und Komponenten
Die grundlegende Funktionseinheit für alle Operations Manager 2007-Implementierungen ist die
Verwaltungsgruppe. Voraussetzung ist die Installation von Microsoft SQL Server 2005 SP1 oder
höher oder Microsoft SQL Server 2008, die als Host für die OperationsManager-Datenbank dient.
Die Basiskomponenten einer Verwaltungsgruppe sind die Betriebskonsole und mindestens ein
Agent, der für überwachte Computer oder Geräte bereitgestellt wird.
OperationsManager-Datenbank
Die erste Komponente, die in allen Verwaltungsgruppen installiert werden muss, ist die
OperationsManager-Datenbank. Diese erfordert eine Installation von Microsoft SQL Server 2005
SP1 oder höher oder Microsoft SQL Server 2008 SP1. In dieser Datenbank sind alle
Konfigurationsdaten für Verwaltungsgruppe abgelegt. Zudem werden dort alle
Überwachungsdaten gespeichert, die durch die Agents gesammelt und verarbeitet werden.
Für eine optimierte Leistung von Operations Manager muss die Größe der OperationsManagerDatenbank kontrolliert verwaltet werden. Tests haben eine Größe von unter 50 GB als
geeigneten Wert ergeben. Damit diese Grenze nicht überschritten wird, bietet Operations
Manager 2007 einstellbare Parameter, die für eine automatische Löschung älterer, nicht mehr
gebrauchter Daten sorgen.
Da in einer Verwaltungsgruppe nur eine Operationsmanager-Datenbank vorhanden sein kann,
muss sie funktional für die gesamte Verwaltungsgruppe sein. Da eine einzige
Operationsmanager-Datenbankinstanz eine zentrale Fehlerstelle darstellen kann, besteht die
Möglichkeit, die Operationsmanager-Datenbank in einen Failovercluster eines Clusterdienstes
(früher unter der Bezeichnung MSCS geläufig) zu setzen. Darüber hinaus kann der
Protokollversand konfiguriert werden, so dass aktuelle Betriebsdaten und
Konfigurationsinformationen an einen anderen Microsoft SQL Server der gleichen Version, der
ein Duplikat der primären OperationsManager-Datenbank enthält, gesendet werden können.
Kommt es zu einem Fehler in der primären Datenbank, kann das Duplikat nach einer
Aktualisierung die Funktion übernehmen.
Stammverwaltungsserver
Der Stammverwaltungsserver (RMS) ist ein spezialisierter Verwaltungsservertyp in einer
Verwaltungsgruppe und gleichzeitig der erste Verwaltungsserver, der in einer Verwaltungsgruppe
installiert wird. Pro Verwaltungsgruppe kann immer nur ein Stammverwaltungsserver aktiv sein.
Kurz ausgedrückt ist der Stammverwaltungsserver der Fokuspunkt für die Administration,
Verwaltung und Konfiguration der Verwaltungsgruppe sowie für die Kommunikation mit den
Agents, der OperationsManager-Datenbank und anderen Datenbanken in der
Verwaltungsgruppe.
Zudem dient der Stammverwaltungsserver als Ziel für die Betriebskonsole und als bevorzugtes
Ziel für die Webkonsolen.
Der Stammverwaltungsserver fungiert als Host für die System Center-Datenzugriffs- und System
Center-Verwaltungskonfigurationsdienste. Diese Dienste werden nur auf dem
9
Stammverwaltungsserver ausgeführt. Der System Center-Datenzugriffsdienst bietet für alle
Clients einen sicheren Zugriff auf die OperationsManager-Datenbank, einschließlich
Betriebskonsole, Betriebsshell und Webkonsole. Der System CenterVerwaltungskonfigurationsdienst dient zur Berechnung und Verteilung der Konfigurationsdaten
aller Verwaltungsserver und Agents. Über diesen Dienst wird die Zuordnung der Management
Packs an die Komponenten bestimmt.
Gleichermaßen wie die OperationsManager-Datenbank kann die RMS-Rolle in einem MSCSFailovercluster installiert werden, um eine Hochverfügbarkeit zu erreichen. Darüber hinaus kann
anderen Verwaltungsservern in der Verwaltungsgruppe (falls vorhanden) manuell die RMS-Rolle
übertragen werden.
Agent
Bei einem Operations Manager 2007-Agent handelt es sich um einen Dienst, der für einen zu
überwachenden Computer bereitgestellt werden kann. Auf dem überwachten Gerät wird ein
Agent als System Center-Verwaltungsdienst aufgelistet. Jeder Agent sendet Informationen an
einen Verwaltungsserver innerhalb der Verwaltungsgruppe. Dieser Verwaltungsserver wird als
primärer Verwaltungsserver des Agents bezeichnet. Agents überwachen Datenressourcen auf
dem überwachten Gerät und sammeln entsprechend der Konfiguration, die sie von ihren
Verwaltungsservern erhalten, Informationen. Agents berechnen zudem den Integritätsstatus des
überwachten Geräts und senden diese Informationen zurück an den Verwaltungsserver. Wenn
sich der Integritätsstatus eines überwachten Geräts ändert oder andere Krtiterien erfüllt werden,
kann über den Agent eine Warnung generiert werden. Auf diese Weise werden Benutzer über
aufgetretene Probleme, die behandelt werden müssen, informiert.
Auf Agents stehen zudem verschiedene Aktionstypen zur Verfügung, die Sie bei der Diagnose
oder Korrektur von Problemen unterstützen können. Durch die Übermittlung von Integritätsdaten
an den Verwaltungsserver liefert ein Agent ein aktuelles Bild über den Integritätsszustand des
überwachten Geräts und der darauf befindlichen Anwendungen.
Geräte können auch ohne Agent überwacht werden. In diesem Fall führt der Verwaltungsserver
eine Fernüberwachung durch.
Betriebskonsole
Die Betriebskonsole ist eine zentrale, einheitliche Benutzeroberfläche für die Interaktion mit dem
Operations Manager 2007-System. Sie bietet Zugriff auf Überwachungsdaten, grundlegende
Konfigurationstools für Management Packs, Operations Manager 2007-Berichte sowie auf alle
Steuerelemente und Werkzeuge, die für die Verwaltung von Operations Manager 2007
erforderlich sind. Der Arbeitsbereich auf der Betriebskonsole kann angepasst werden.
Für den Zugriff auf die Betriebskonsole muss das Active Directory-Benutzerkonto des Benutzers
einer Operations Manager 2007-Benutzerrolle zugewiesen sein. Eine Benutzerrolle enthält einen
Gerätebereich, für den ein Zugriff gestattet ist, sowie ein Benutzerprofil, in dem die zulässigen
Aktiväten der Rolle innerhalb des definierten Bereichs festgelegt sind. Für die Betriebskonsole gilt
eine rollenbasierte Sicherheit, mit der ein Operations Manager-Administrator definieren kann,
10
welche Komponenten ein bestimmter Benutzer auf der Konsole anzeigen und welche Aktionen
der Benutzer in Bezug auf diese Komponenten ausführen kann. Weitere Informationen finden Sie
in diesem Dokument im Abschnitt "Rollenbasierte Sicherheit".
Management Packs
Management Packs enthalten eine Definition zur Integrität einer Anwendung, wie durch die
Anwendungsentwickler festgelegt. Nach dem Import eines Management Packs in das Operations
Manager-System können die entsprechenden Agents die Integrität einer Anwendung
überwachen, Warnungen generieren, wenn relevante Probleme in der Anwendung auftreten, und
Aktionen in der Anwendung und der unterstützenden Infrastruktur zur weiteren Diagnose oder zur
Wiederherstellung des Integritätszustands der Anwendung durchführen. Ohne ein anwendungs-,
betriebssystem- oder gerätespezifisches Management Pack ist das Operations Manager 2007System nicht in der Lage, eine Überwachung durchzuführen, da entsprechenden Entitäten nicht
erkannt werden.
Optionale Serverrollen und Komponenten
Diese zusätzlichen Serverrollen erweitern die Funktionalität einer Verwaltungsgruppe. Die
meisten dieser Komponenten werden getrennt von den erforderlichen Kernkomponenten
installiert. Manche können jedoch auch gleichzeitig installiert werden. Umfassende Angaben zur
Installation von Operations Manager 2007-Komponenten können Sie dem Operations
Manager 2007-Bereitstellungshandbuch entnehmen.
Verwaltungsserver
Die primären Aufgaben eines Verwaltungsservers liegen im Empfang von Konfigurationsdaten
und Management Packs über den Stammverwaltungsserver und in der Verteilung dieser
Informationen an die Agents, die wiederum Informationen an den Verwaltungsserver übermitteln.
Verwaltungsserver führen keine der speziellen Funktionen eines Stammverwaltungsservers
(RMS) aus. Einem Verwaltungsserver kann die RMS-Rolle übertragen werden, wenn der
ursprüngliche Stammverwaltungsserver ausfällt. Voraussetzung ist jedoch, dass der
Verwaltungsserver bereits vor dem RMS-Ausfall in der Verwaltungsgruppe vorhanden war. Die
Installation mehrerer Verwaltungsserver in einer Verwaltungsgruppe bietet zusätzliche Kapazität
für die Agentverwaltung. Neben der Skalierbarkeit kann mit dem Einsatz zusätzlicher
Verwaltungsserver in einer Verwaltungsgruppe eine Ausfallsicherheit konfiguriert werden. Wenn
ein Agent die Verbindung zu seinem primären Verwaltungsserver verliert, greift dann ein
Failovermechnismus, der es möglich macht, dass die Agentdaten an einen anderen
Verwaltungsserver übertragen werden können.
Der Verwaltungsserver kann auch zu Fernüberwachungszwecken genutzt werden (URLÜberwachung und plattformübergreifende Überwachung). In einer zusätzlichen Rolle kann ein
Verwaltungsserver als Host für den Überwachungssammlungsserver (ACS, Audit Collection
Service) fungieren. Der ACS-Sammlungsserver kann nur auf einem Verwaltungsserver oder
einem Gatewayserver installiert werden. Weitere Informationen finden Sie im Abschnitt
11
"Überwachungssammeldienst (ACS)" in diesem Dokument. Eine weitere Rolle ist der
Verwaltungsserver für die AEM-Freigabe. Entsprechende Ausführungen folgen.
Gatewayserver
Bevor ein Datenaustausch erfolgen kann, erfordert das Operation Manager 2007-System eine
gegenseitige Authentifizierung von Verwaltungsservern und Agents sowie die Einrichtung eines
verschlüsselten Kommunikationskanals. Das Standard-Authentifizierungsprotokoll ist Kerberos.
Wenn sich Agent und Verwaltungsserver in der gleichen Active Directory-Gesamtstruktur oder in
Gesamtstrukturen mit Gesamtstruktur-Vertrauensstellung befinden, erfolgt die gegenseitige
Authentifizierung automatisch. Dies leitet sich aus der Tatsache ab, dass Keberos das StandardAuthentifizierungsprotokoll in Active Directory ist.
Befinden sich Agents und Verwaltungsserver nicht innerhalb der gleichen KerberosVetrauensgrenze (d. h., nicht in der gleichen Active Directory-Gesamtstruktur oder nicht in
Gesamtstrukturen mit Gesamtstruktur-Vertauensstellung) müssen zertifikatbasierte
Authentifizierungsmechanismen verwendet werden. In dieser Situation muss für jene Agents und
für die Verwaltungsserver, an die sie Daten übermitteln, ein Zertifikat ausgegeben und verwaltet
werden. Wenn darüber hinaus zwischen Agents und Verwaltungsserver eine Firewall geschaltet
ist, stehen zwei Möglichkeiten zur Verfügung: entweder werden die Firewallregeln angepasst,
damit alle als Host für einen Agent dienenden Computer direkt über die Firewall kommunizieren
können, oder der eingehende Operations Manager-Kommunikationsport wird geöffnet.
Mit dem Einsatz von Operation Manager 2007-Gatewayservern kann der erforderliche
Verwaltungsaufwand für die Aufrechterhaltung der Kommunikation zwischen durch eine
Vertrauensgrenze getrennten Agents und Verwaltungsservern erheblich reduziert werden. Der
Gatewayserver agiert als Proxy für die Agentkommunikation. Der Gatewayserver wird innerhalb
der Vertrauensgrenze (diese kann einer Domäne entsprechen), in der sich die Agents befinden,
implementiert, so dass für alle Agents eine Kommunikation möglich ist. Unter Nutzung des
Computerzertifikats erfolgt die gegenseitige Authentifizierung mit dem Verwaltungsserver und die
anschließende Weiterleitung der Agent-zu-Verwaltungsserver- und der Verwaltungsserver-zuAgent-Kommunikation. Die erfordert nur ein Zertifikat für den Verwaltungsserver und ein Zertifikat
für das Gateway. Im Firewallszenario müssen für die Kommunikation miteinander nur der
Gatewayserver und der Verwaltungsserver autorisiert werden.
In einer Verwaltungsgruppe können im Sinne der Skalierbarkeit und zur Bereitstellung von
Failovermechanismen mehrere Gatewayserver installiert werden. Sollte ein Agent die Verbindung
zu seinem Gatewayserver verlieren, greifen dann die Failovermechanismen, und der Agent kann
einen anderen Gatewayserver innerhalb seiner Verwaltungsgruppe und innerhalb seiner
Vertrauensgrenze nutzen.
Gleichermaßen können Gatewayserver für ein Failover zwischen Verwaltungsservern in einer
Verwaltungsgruppe konfiguriert werden. Diese Konfiguration bietet auf diese Weise vollständig
redundante Kommunikationskanäle für Agents, die außerhalb der Vertrauensgrenze eines
Verwaltungsservers liegen.
12
Webkonsolenserver
Der Webkonsolenserver bietet eine Schnittstelle zur Verwaltungsgruppe, auf die über einen
Webbrowser zugegriffen werden kann. Die Webkonsole bietet jedoch nicht den vollen
Funktionsumfang der Betriebskonsole. Es können lediglich die Ansichten Überwachung,
Berichterstattung und Mein Arbeitsbereich aufgerufen werden. Die Webkonsole bietet Zugriff auf
alle Überwachungsdaten und Tasks, die als Aktionen in Bezug auf überwachte Computer über
die Betriebskonsole ausgeführt werden können. Der Zugriff auf Daten über die Webkonsole
unterliegt den gleichen Beschränkungen wie der Zugriff auf Inhalte über die Betriebskonsole.
Management Pack-Konfigurationskonsole
Bei der Operations Manager 2007 Konfigurationskonsole handelt es sich um eine eigenständige
Anwendung, die umfangreichere Konfigurationsoptionen für Management Packs bietet als im
Konfigurationsbereich der Betriebskonsole zur Verfügung stehen. Mithilfe der
Konfigurationskonsole können Sie neue Management Packs erstellen, vorhandene Management
Packs anzeigen und modifizieren, die Integrität von Management Packs verifizieren sowie
Importe und Exporte von Management Packs an bzw. von Verwaltungsgruppen durchführen. Die
Operations Manager 2007 Konfigurationskonsole können Sie unter folgender Adresse
herunterladen: http://go.microsoft.com/fwlink/?LinkId=136356.
Berichterstattungs-Data Warehouse
Im Berichterstattungs-Data Warehouse werden Überwachungs- und Warnungdaten für
Verlaufsanalysezwecke gespeichert. Die Daten der Verwaltungsserver werden gleichzeitig in die
Data Warehouse- und die OperationsManager-Datenbank geschrieben, so dass die generierten
Berichte stets aktuelle Daten enthalten. Im Data Warehouse werden Leistungsdaten auf
stündlicher oder täglicher Basis zusammengefasst. Auf diese Weise können
Langzeitrendberichte schneller ausgeführt werden. Außerdem müssen zur Unterstützung der
Langzeittrendberichterstattung weit weniger Daten aufbewahrt werden.
Im Berichterstattungs-Data Warehouse können Daten von mehreren Verwaltungsgruppen
empfangen werden. Zusammengefasste Ansichten der Daten sind in Berichten möglich.
Berichtsserver
Die Komponente Operations Manager-Berichtsserver wird auf einer Instanz von Microsoft
SQL 2005 Reporting Services SP1 oder später oder Microsoft SQL Server 2008 SP1 Reporting
Services installiert. Sie dient zur Erstellung und Präsentation der Berichte aus den Daten, die aus
dem Berichterstattungs-Data Warehouse abgerufen werden. Der Zugriff auf alle Berichte erfolgt
über die Betriebskonsole, d. h., der Zugriff wird über die rollenbasierte Sicherheit kontrolliert.
Überwachungssammeldienste (ACS)
Bei den Überwachungssammeldiensten (ACS) handelt es sich um eine hochperformante, sichere
Lösung für die Sammlung und Archivierung von Ereignissen aus dem Sicherheitsereignisprotokoll
überwachter Computer. Ereignisse werden in Microsoft SQL Server 2005 SP1 oder später oder
13
Microsoft SQL Server 2008 SP1 in einer separaten Datenbank, der ACS-Datenbank (weitere
Ausführungen folgen), gespeichert. ACS sammelt alle Ereignisse, die in das
Sicherheitsereignisprotokoll von Computern geschrieben wurden. Voraussetzung ist, dass auf
diesen die ACS-Weiterleitung aktiviert wurde. Die Ereignisse werden von den überwachten
Computern an den ACS-Sammlungsserver weitergeleitet, der auf einem Verwaltungsserver
ausgeführt wird, die erhaltenen Daten verarbeitet und diese in die ACS-Datenbank schreibt. Die
Ereignisse werden nahezu in Echtzeit und verschlüsselt von den Weiterleitungsdiensten an den
Sammlungsserver übertragen. Mithilfe der ACS-Berichterstattung, einer separaten Komponente,
werden dann aus den gespeicherten Daten Berichte generiert.
Der Schlüssel zu einer effektiven Nutzung der ACS-Funktion liegt in der Entwicklung einer
soliden Windows-Überwachungsgruppenrichtlinie, die als Domänengruppenrichtlinie
implementiert wird. Weitere Informationen zu den zu Windows-Überwachungsgruppenrichtlinien
und zur ACS-Implementierung finden Sie unter http://go.microsoft.com/fwlink/?LinkId=144734.
ACS-Weiterleitung
Die ACS-Weiterleitung ist integrierter Bestandteil des Operations Manager 2007-Agents, so dass
keine separate Bereitstellung oder Konfiguration erforderlich ist. Die ACS-Weiterleitung wird als
ACS-Weiterleitungsdienst angezeigt und ist standardmäßig deaktiviert. Auf einem individuellen
Computer oder auf einer Gruppe von Computern wird die ACS-Weiterleitung über einen Task in
der Betriebskonsole aktiviert.
ACS-Sammlungsserver
Die Hauptaufgabe des ACS-Sammlungsservers liegt in der Sammlung, Filterung und
Vorverarbeitung aller im Windows-Sicherheitsereignisprotokoll aufgezeichneter Daten, die
anschließend in die Datenbank eingefügt werden. Da der ACS-Server alle Sicherheitsereignisse
fast in Echtzeit sammelt, empfängt das System große Datenmengen über die Weiterleitungen.
Nicht alle diese Informationen sind von Interesse für Ihr Unternehmen, wie in der WindowsÜberwachungsgruppenrichtlinie für Ihr Unternehmen definiert. Der Filterungsmechanismus der
Sammlung ermöglicht Ihnen, anzugeben, welche Ereignisse zur Langzeitspeicherung in die ACSDatenbank geschrieben werden sollen.
Für den ACS-Sammlungsserver steht ein separates Installationsprogramm zur Verfügung, das
unabhängig von anderen Operations Manager-Komponenten ist. Ein ACS-Sammlungsserver
kann nur auf einem vorhandenen Verwaltungsserver oder einem Stammverwaltungsserver, wenn
Sie keine weiteren Verwaltungsserver installiert haben, installiert werden. Ein ACSSammlungsserver kann, je nach Serverrolle und Windows-Überwachungsgruppenrichtlinie,
Hunderte bis Tausende von Servern und Zehntausende von Arbeitsstationen unterstützen. Es
besteht jedoch eine Eins-zu-Eins-Beziehung zwischen ACS-Sammlungsserver und ACSDatenbank (weitere Ausführungen folgen im nächsten Abschnitt). Wenn Ihr Unternehmen im
Sinne der Skalierbarkeit oder aus Kontrollgründen zusätzliche ACS-Sammlungen erfordert, muss
pro ACS-Sammlung eine ACS-Datenbank vorhanden sein.
14
ACS-Datenbank
Nach der Vorverarbeitung der Daten durch den ACS-Sammlungsserver werden diese in die
zugehörige ACS-Datenbank geschrieben. Dabei handelt es sich einfach um eine Datenbank, die
auf einer Microsoft SQL Server 2005 SP1-oder SP2-Instanz angelegt wurde. Da es sich um eine
SQL-Standarddatenbank handelt, kann Sie im Sinne einer Hochverfügbarkeit geclustert werden.
Um der Eins-zu-Eins-Beziehung zwischen Sammlungsservern und Datenbanken Rechnung zu
tragen, können Sie über benannte Instanzen mehrere ACS-Datenbanken auf einem zentralen
SQL Server 2005 anlegen, solange dieser der zusätzlichen Last gewachsen ist. Weitere
Informationen zur Dimensionierung und Kapazitätenplanung für ASC finden Sie in einem
entsprechenden Absatz im weiteren Verlauf dieses Handbuchs.
ACS-Berichterstattung
Auch bei der ACS-Berichterstattung handelt es sich um eine separat zu installierende
Komponente. Es steht eine Reihe vorkonfigurierter Berichte zur Verfügung. Voraussetzung für die
Installation der ACS-Berichterstattung ist eine vorhandene Instanz von SQL Server 2005 SP1
(oder später) Reporting Services oder Microsoft SQL Server 2008 Reporting Services. Dabei
kann es sich um eine eigenständige Instanz handeln, oder Sie installieren die ACSBerichterstattung zusammen mit Operations Manager 2007 und gehen einen Kompromiss ein.
Wenn Sie die ACS-Berichterstattung auf die gleiche Reporting Services-Instanz setzen wie die
Operations Manager 2007-Berichterstattung, wird die ACS-Berichterstattung vollkommen in die
Operations Manager-Berichterstattung integriert. Dies hat einen geringeren Verwaltungsaufwand
zur Folge, da jeder Benutzer mit Zugriffsrechten auf die Operations Manager-Berichte
automatisch Zugriffsrechte auf die ACS-Berichte hat. Manche Unternehmen empfinden diese
Konfiguration möglicherweise als nicht wünschenswert und entscheiden sich für eine Installation
der ACS-Berichterstattung auf einer separaten SQL Server Reporting-Instanz. In diesem Fall
müssen Sie eigene Sicherheitsgruppen und -rollen definieren. Dies bedingt zwar einerseits einen
höheren Verwaltungsaufwand, andererseits erreichen Sie eine extrem strikte Kontrolle über den
Zugriff auf ACS-Daten.
Proxyagent
Operations Manager 2007 bietet die Möglichkeit, Netzwerkgeräte über SNMP v2, Computer, die
mit anderen Betriebssystemem als Windows aufgeführt werden, und Computer ohne Agents zu
überwachen. In diesen Fällen führt ein anderer Computer, auf dem ein Agent installiert ist, eine
Fernüberwachung durch. Der Computer, der die Fernüberwachung durchführt, wird als Proxagent
bezeichnet. Bei dem Agent, der als Proxy für die Überwachung anderer Geräte agiert, handelt es
sich um einen Operations Manager-Standardagent. Die Konfiguration unterscheidet sich nur
wenig: Wählen Sie in den Eigenschaften des Agents die Option Dieser Agent soll als
Proxyagent fungieren und verwaltete Objekte auf anderen Computern ermitteln.
Anschließend konfigurieren Sie das ohne Agent verwaltete Gerät, um den zu nutzenden
Proxyagent zuzuweisen. Weitere Informationen zur Agentbereitstellung und zur
Geräteverwaltung finden Sie im Operations Manager 2007-Betriebshandbuch.
15
Operations Manager 2007-Befehlsshell
Im Jahr 2006 führte Microsoft die Windows PowerShell Befehlszeilenschnittstelle für die Nutzung
auf den Betriebssystemen Windows Server 2003, Windows Server 2008, Windows XP und Vista
ein. Diese Schnittstelle wurde für die Automatisierung von Aufgaben durch Systemadministaroren
entwickelt. Die zugehörige Benutzeroberfläche bietet eine interaktive Eingabaufforderung sowie
eine Skriptumgebung, die kombiniert oder unabhängig voneinander genutzt werden können. Die
Objekte, mit denen Sie in der PowerShell interagieren, werden als "Commandlets" bezeichnet.
Diese Commandlets bestehen aus binären systemeigenen Befehlen im Windows PowerShellCode. Windows PowerShell-Befehle sind für den Umgang mit Objekten bestimmt. Dies sind
strukturierte Informationen, bei denen es sich um mehr handelt als um bloße Zeichenketten auf
dem Bildschirm. Die Ausgaben der Befehle liefern stets Zusatzinformationen, die Sie bei Bedarf
nutzen können.
Bei der Operations Manager 2007-Befehlsshell handelt es sich um eine Gruppe von 203
Commandlets, die speziell für die Automatisierung administrativer Aufgaben in Operations
Manager 2007 entwickelt wurde. Die Befehlsshell kann auf jedem Computer installiert werden,
auf dem die Betriebskonsole implementiert wird.
Funktionen
Funktionen sind standardmäßig vorhanden und müssen bei Bedarf für die Nutzung nur
konfiguriert werden. Die Möglichkeit, in Operations Manager Funktionen nach eigenem Bedarf zu
konfigurieren, unterstreicht die Flexibilität des Systems.
Plattformübergreifende Überwachung (UNIX- oder Linux-basierte
Computer)
Mit Operations Manager 2007 R2-Verwaltungsservern und -Gatewayservern können UNIX- und
Linux-Computer überwacht werden. Eine umfassende Liste der UNIX- und Linux-basierten
Betriebssysteme, die überwacht werden können, finden Sie unter "Operations Manager 2007 R2
Supported Configurations" (Unterstützte Konfigurationen in Operations Manager 2007 R2) unter
http://go.microsoft.com/fwlink/?LinkID=144400.
Bei der plattformübergreifenden Überwachung stellt der auf dem Verwaltungsserver oder
Gatewayserver ausgeführte System Center-Verwaltungsdienst die gesamte
Überwachungsintelligenz zur Verfügung. Die Kommunikation zwischen dem überwachenden
System Center-Verwaltungsdienst und dem überwachten Computer erfolgt über eine WSMANKommunikationsschicht, die sich auf beiden Komponenten befindet. Es ist eine zwingende
Voraussetzung, dass die WSMAN-Schicht auf dem überwachten Computer installiert ist. Die
Kommunikation zwischen den WSMAN-Schichten erfolgt über TCP-Port 1270 und geht immer
vom Verwaltungsserver oder vom Gatewayserver aus. In einigen Fällen, wenn z. B. keine
WSMAN-Schicht auf dem überwachten Gerät vorhanden ist oder ein Fehler auftritt, kann die
Kommunikation über SSH TCP 22 erfolgen. SSH kann für die Installation der WSMAN-Schicht
oder zu Diagnosezwecken genutzt werden.
16
Ausnahmeüberwachung ohne Agent
Wenn auf einem Computer mit einem Windows-Betriebssystem ein Anwendungsfehler auftritt,
kann der Watson-Dienst den Fehler aufzeichnen und die Fehlerinformationen an Microsoft
senden, um die Ursache des Problems aufzudecken. In der Regel erfolgt diese auf jedem
Computer auf individueller Basis. Da die Fehlerüberwachung und -meldung auf individueller
Basis stattfindet, haben IT-Administratoren keine Einsicht in diese Ausnahmen, die in Ihrem
Unternehmen auftreten.
Wenn die Funktion Ausnahmeüberwachung ohne Agent aktiviert ist, können alle Ausnahmen an
einen Verwaltungsserver in Ihrer Verwaltungsgruppe gesendet und dort zusammengefasst
werden. Da sie dann konzentriert an einem zentralen Ort archiviert werden, kann Ihr
Unternehmen diese Daten für die Analyse und Diagnose von Desktop- und
Serveranwendungsfehlern, wie sie in ihrem gesamten Unternehmen auftreten, nutzen. Bei Bedarf
können Sie den Verwaltungsserver auch für die Weiterleitung der
Ausnahmenüberwachungsdaten zu Analysezwecken an Microsoft konfigurieren. Weitere
Informationen zu diesem Thema finden Sie unter http://go.microsoft.com/fwlink/?LinkID=11699.
17
Connector Framework
Beim Connector Framework handelt es sich um eine Anwendungsprogrammierungsschnittstelle
(Application Programming Interface, API), mit der die Operations Manager-Funktionalität offen
gelegt wird, um eine Integration mit anderen Verwaltungsprodukten oder anderen Technologien,
wie z. B. Fehlerticketsysteme, zu ermöglichen. So wird die Entwicklung von Connectoren
ermöglicht, die bidirektional Informationen mit Verwaltungsservern austauschen können. Primär
interagiert das Connector Framework mit dem System Center-Datenzugriffsdienst auf dem
Stammverwaltungsserver. Weitere Informationen zur Entwicklung von Anwendungen, die das
Operations Manager 2007-Connector Framework nutzen, finden Sie unter
Operations Manager 2007 SDK.
Konzepte
Bei der Planung Ihrer Topologie ist ein Verständnis des Konzepts der rollenbasierten Sicherheit,
wie sie in Operations Manager implementiert ist, unumgänglich.
Rollenbasierte Sicherheit
Über die rollenbasierte Sicherheit wird gesteuert, welche Objekte ein Benutzer sehen kann und
welche Aktionen er in Bezug auf diese Objekte ausführen darf. Eine Rolle besteht aus zwei
Teilen. Der erst Teil ist ein Bereich, der die sichtbaren oder zugreifbaren Objekte enthält. So
könnte beispielsweise ein Bereich definiert werden, der nur Domänencontroller oder SQL Server
enthält. Der zweite Teil ist ein Profil. In jedem Profil werden Aktionen definiert, die in Bezug auf
die sichtbaren Objekte ausgeführt werden können. Standardmäßig bietet Operations
Manager 2007 folgende fünf Profile:

Administrator — Dieses Profil enthält alle in Operations Manager verfügbaren Rechte.

Erweiterter Operator — Dieses Profil verfügt über eingeschränkte Rechte zur Anpassung
der Überwachungskonfiguration durch Konfigurieren von Außerkraftsetzungen in Regeln oder
Monitoren.

Autor — Dieses Profil besitzt die Berechtigung, die Überwachungskonfigurationselemente,
wie Regeln, Tasks, Monitore und Ansichten, zu konfigurieren.

Operator — Dieses Profil bietet Zugriffsberechtigungen auf Warnungen, Ansichten und
Tasks.

Schreibgeschützter Operator — Dieses Profil bietet einen schreibgeschützten Zugriff auf
Warnungen und Ansichten.

Berichtsoperator — Dieses Profil enthält eine Lesezugriffsberechtigung für Operations
Manager-Berichte.
Operations Manager bietet zudem fünf vordefinierte Rollen, die jeweils einen globalen
Geltungsbereich besitzen. Die Operations Manager-Administratorenrolle nutzt beispielsweise das
Administratorprofil und verfügt über einen globalen Geltungsbereich, d. h. Inhaber dieser Rolle
können alle Objekte in Operations Manager sehen und manipulieren. Für jedes der zuvor
beschriebenen Profile gibt es entsprechende vordefinierte Rollen.
18
Zusätzlich zu den vordefinierten Rollen können Sie neue Rollen definieren, die auf den Profilen
Erweiterter Operator, Autor, Operator und Schreibgeschützter Operator basieren. Bei der
Erstellung einer neuen Rolle wählen Sie zunächst das entsprechende Profil. Anschließend legen
Sie den Bereich der Objekte fest, auf den die Rolle Zugriff erhalten soll. Mit dieser Methode
können Sie beispielsweise für Ihre Exchange-Administratoren eine Rolle erstellen, die auf dem
Profil Operator basiert, deren Bereich jedoch auf Microsoft Exchange Server beschränkt ist.
Wenn Sie die Exchange-Administratoren anschließend dieser Rolle zuweisen (entweder durch
Mitgliedschaft in einer Active Directory-Gruppe oder durch ein individuelles Konto), können die
Rollenbesitzer die Betriebskonsole öffnen, doch sie sehen nur die Excahnage Server und dürfen
lediglich Aktionen auf Warnungen, Ansichten und Tasks ausführen, die in Zusammenhang mit
Exchange stehen.
Die rollenbasierte Sicherheit wird unabhängig von der Art, wie auf die Operations ManagerFunktionalität zugegriffen wird, ob über die Webkonsole oder die Befehlsshell, angewendet.
Weitere Informationen zu Rollen und rollenbasierter Sicherheit finden Sie im Operations Manager
2007-Sicherheitshandbuch.
Ermitteln der Systemanforderungen für
Operations Manager 2007
Die Ermittlung der Anforderungen Ihres Unternehmens sind der nächste Schritt im Operations
Manager-Entwurfsprozess. Die Anforderungen untergliedern sich in drei Kategorien: betriebliche
Anforderungen, IT-Anforderungen und Optimierungsanforderungen oder Ziele. Das
Zusammentragen der Anforderungen ist der wichtigste Einzelschritt bei der Erarbeitung des
Operations Manager 2007-Entwurfs. Wenn Sie sich ein fundiertes Verständnis der bestehenden
Anforderungen angeeignet haben, können Sie eine Lösung erarbeiten, mit der Sie die daran
geknüpften Erwartungen erfüllen. Werden die Erwartungen mit dem Projektergebnis verfehlt, ist
der Projekterfolg fraglich.
Um sicherzustellen, dass Sie die Anforderungen genau durchschauen, müssen Sie
unterschiedliche Personengruppe zu Rate ziehen. Zu Beginn müssen Sie sich mit den
Erwartungen der wichtigsten Akteure und Kostenträger auseinandersetzen. Wenn diese
unerfüllbare Erwartungen an Operations Manager stellen, haben Sie zu diesem Zeitpunkt die
Möglichkeit, aufzuklären und realistische Erwartungen zu vermitteln. Des weiteren müssen Sie
mit der Gruppe der Personen zusammenarbeiten, die mit den aus Operations Manager
gewonnen Daten umgehen oder diese nutzen. Das betrifft nicht nur die Helpdesk- und
Anwendungsverwaltungsteams, sondern auch deren Vorgesetzte, die vermutlich die Operations
Manager-Berichte lesen werden und in der Lage sein möchten, den Status ihrer Anwendung auf
einen Blick zu erkennen.
Wenn Sie mit dem Sammeln der Anforderungen fertig sind, erstellen Sie eine Übersicht der
Daten, und veröffentlichen Sie diese an allgemein zugänglicher Stelle, damit alle interessierten
Parteien entsprechend informiert werden. Damit bietet sich eine neuerliche Gelegenheit zur
Klärung der Möglichkeiten. Wenn Sie sich noch stärker um Übereinstimmung in Bezug auf die
19
Anforderungen bemühen möchten, können Sie auch die Hauptakteure und Kostenträger bitten,
Ihre Aufstellung abzuzeichnen.
Betriebliche Anforderungen
Die Verantwortlichen auf betrieblicher Seite, mit denen Sie zusammenarbeiten müssen, sind nicht
nur die Führungskräfte der obersten Ebene, die als Kostenträger Ihres Operations ManagerProjekts auftreten, sondern auch die Manager und Vorstände, die für die Geschäftsprozesse
verantwortlich sind, mit denen Ihr Unternehmen Einkommen erwirtschaftet. Auch wenn die
betreffenden Personen kein großes Interesse an Operations Manager an sich haben, sind sie
doch sehr stark an den von der IT-Abteilung erbrachten Leistungen interessiert, die der
Unterstützung ihrer geschäftskritischen Anwendungen dienen.
Bei Ihren Diskussionen mit dem betreffenden Personenkreis stehen wahrscheinlich die folgenden
vier Bereiche im Zentrum des Interesses:

Laufender Service des IT-Bereichs

Leistungsdaten in Bezug auf die eigene Anwendung

Einhaltung der Vorschriften

Rendite der IT-Aufwendungen
Laufender Service des IT-Bereichs
In der Hauptsache erwarten sich die Verantwortlichen auf geschäftlicher Seite vom IT-Bereich,
dass er für die Verfügbarkeit und reibungslose Ausführung ihrer Anwendungen sorgt. Ist dies
nicht der Fall, muss dies umgehend gemeldet werden. Sie wollen über die Auswirkungen von
Ausfällen auf den Geschäftsprozess sowie deren voraussichtliche Dauer aufgeklärt werden. Die
Kenntnis des betreffenden Geschäftsprozesses ist die Grundvoraussetzung, um diese
Anforderungen erfüllen zu können. Achten Sie bei Ihren Gesprächen darauf, dass Sie mit den
folgenden Punkte vertraut sind:

Welche Anwendungen kommen beim den Abläufen in Verbindung mit dem Kerngeschäft zum
Einsatz? Anhand dieser Kenntnis können Sie ermitteln, für welche Anwendungen Sie eine
End-to-End-Dienstüberwachung bereitstellen müssen.

Welche Komponenten sind Bestandteil dieser Anwendungen? Diese Kenntnis hilft Ihnen
beim Erarbeiten eines verteilten Anwendungsmodells, das Gegenstand der Überwachung
sein wird.

Verfügt die benötigte Anwendung über eine kritische Komponente, die auf Arbeitsstationen
oder anderen Clients ausgeführt wird? Dieses Wissen ist wichtig für die Planung der
Clientüberwachungsstrategie.

Lassen Sie sich eine komplette Transaktion in der jeweiligen Anwendung erläutern. In
Operations Manager 2007 können synthetische Transaktionen für regelmäßige
Anwendungstests verwendet werden. Zudem können dadurch Überwachungsdaten erworben
werden, aus denen hervorgeht, wie sich die Benutzererfahrung mit der Anwendung gestaltet.
20
Leistungsdaten
Wenn Sie mit den Verantwortlichen auf geschäftlicher Seite erörtern, welche
anwendungsbezogenen Leistungsdaten benötigt werden, müssen Sie klar unterscheiden
zwischen der betrieblichen Leistung und der Anwendungsleistung. Daten (oder Messwerte) zu
Geschäftsprozessen werden von Unternehmensinformationsdiensten in der Regel in Form von
Berichten und ausgewogenen Kennzahlentafeln geliefert und gehören nicht hierher. Die
Erwartungen, mit denen Sie sich auseinandersetzen müssen, beziehen sich auf die
Anwendungsleistung. In diesem Zusammenhang müssen Sie mit den folgenden Punkte vertraut
sein und diese erörtern:

Wie sehen die Anwendungsleistungsdaten aus, die derzeit zur Verfügung stehen? Welche
Daten werden gewünscht? Dieses Wissen hilft Ihnen bei der Rollenplanung (Profile und
Bereiche).

Auf welchem Wege werden die Anwendungsleistungsdaten derzeit geliefert? Welche Art der
Datenbereitstellung wird gewünscht? Aufgrund dieser Information können Sie entscheiden,
wie der Zugriff auf die Leistungsdaten zu gestalten ist. Wird beispielsweise eine
Betriebskonsole mit der Benutzerrolle "Schreibgeschützter Operator" und Zugriff auf Berichte
benötigt, die auf die jeweilige Anwendung eingeschränkt ist, oder reicht eine Webkonsole
aus?
Einhaltung der Vorschriften
Die Einhaltung von Vorschriften ist eine kritische Frage für Geschäftsprozessbesitzer, jetzt und in
Zukunft. In diesem Zusammenhang bauen viele der Prozessbesitzer auf IT-Unterstützung bei der
Umsetzung und fortgesetzten Einhaltung der Vorschriften. Sie müssen folgende Punkte klären:

Unterliegt der Geschäftsprozess bestimmten Vorschriften? Wie sehen diese aus? Dieses
Wissen ist Ihnen beim Planen des Überwachungssammeldiensts (ACS) und bei der
Rollenplanung nützlich.

Welche Art von Daten soll mithilfe der IT-Lösung geliefert werden und welche Zeiträume
gelten dafür? Auf der Basis dieses Wissens kann die Berichterstellung und die
Datenaufbewahrungsdauer geplant werden.
Rendite der IT-Aufwendungen
Die betrieblichen Führungskräfte bezahlen für IT-Dienste entweder über direkte Rückbelastungen
oder über einen indirekten Zuschlag, und wie alle guten Geschäftsleute wollen sie wissen, was
sie für ihr Geld bekommen. Zur Beantwortung dieser Frage können Sie die Operations ManagerBerichterstattung verwenden, doch müssen Sie wissen, welche Dienste für die
Geschäftsprozessbesitzer einen Wert darstellen. Sie müssen folgende Punkte klären:

Welcher Dienst gilt als wichtigste Serviceleistung der IT-Abteilung? Mit diesem Wissen
können Sie die Berichterstattung planen.

Ist den Verantwortlichen bewusst, welche Leistungen sie derzeit für ihren IT-Zuschlag
erhalten? Auf der Basis dieser Kenntnis können Sie gegebenenfalls unterschiedliche Berichte
21
zusammenstellen, um die Serviceleistungen zu belegen, die außerhalb der jeweiligen
Geschäftsanwendung liegen.
IT-Anforderungen
Die IT-Anforderungen sind die treibende Kraft für die Operations Manager-Topologie und die
dazugehörige Infrastruktur. Die zwei Faktoren, von denen Ihre IT-Anforderungen entscheidend
abhängen, sind die angestrebten Optimierungsziele und die IT-Umgebung, in der Operations
Manager zum Einsatz kommt. Sie müssen diese Anforderungen mithilfe IT-Kostenträgern,
Hauptakteuren und Nutzern der Operations Manager-Daten erarbeiten. Verwenden Sie in den
betreffenden Gesprächen breit angelegte, offene Fragen. Fragen Sie zu Beginn, wie Operations
Manager in der Umgebung eingesetzt werden und worauf die Optimierung der Implementierung
ausgerichtet sein soll. Die folgenden Punkte sind zu klären:
Optimierungsziele
Optimierungsziele sind die Aspekte der Operations Manager-Implementierung, denen der
Entwurf entsprechen muss. Sie lassen sich in Aussagen ausdrücken wie:

Verfügbarkeit/Wiederherstellbarkeit: Operations Manager muss verfügbar sein; Ausfälle
müssen sich auf ein absolutes Minimum beschränken. Auf dieser Grundlage können Sie Ihre
Planung auf hohe Verfügbarkeit und Sicherung/Wiederherstellung ausrichten.

Kosten: Operations Manager muss so kostengünstig wie möglich implementiert werden.
Kenntnis und Einhaltung des finanziellen Rahmens ist für den Projekterfolg
ausschlaggebend.

Leistung: Operations Manager muss beispielsweise Daten aus der Umgebung in weniger als
1 Minute melden, und der Konsolenzugriff darf nicht länger als 10 Sekunden ab
Konsolenstart dauern. Mit diesem Wissen können Sie die Planung für die Hardware
vornehmen.

Bereich: Operations Manager muss eine Ansicht der gesamten Umgebung liefern. Auf dieser
Basis können Sie die Anzahl der benötigten Verwaltungsgruppen sowie die Beziehungen
derselben untereinander planen.

Verwaltung: Die Operations Manager-Verwaltung muss auf bestimmte Gruppen
eingeschränkt werden (oder entsprechend verfügbar sein). Auf dieser Basis können Sie
Sicherheitsgruppen, Rollen, Zugriff und möglicherweise die Anzahl der Verwaltungsgruppen
planen, die zu implementieren sind.

Standort der Zugriffspunkte: Operations Manager-Daten dürfen nur über das UnternehmensIntranet zugänglich sein, oder sie müssen intern und extern zur Verfügung stehen. Auf dieser
Basis können Sie planen, wo Betriebs- und Webkonsolen eingerichtet werden.

Integration: Operations Manager muss in das bestehende Fehlerticketsystem oder andere
Unternehmensüberwachungsprodukte eingebunden werden. Auf dieser Basis können Sie
planen, an welcher Stelle sich Operations Manager und die dazugehörigen Features in Ihre
Umgebung einfügen lassen und welche Rolle dies spielt. Außerdem hilft Ihnen dies bei der
22
Entscheidung, ob Connectors von Drittanbietern oder intern entwickelte Connectors
erforderlich sind.
Inventar der aktuellen Umgebung
Eine exakte Bestandsaufnahme der aktuellen Umgebung ist in zweierlei Hinsicht nützlich. Zum
einen lässt sich daraus ersehen, welche Komponenten von Operations Manager überwacht
werden, zum zweiten lassen sich daraus die Beschränkungen und Grenzen erkennen, im
Rahmen derer das System funktionieren muss. Sie müssen die folgenden Punkte klären:

Bereich: Ungefähre Anzahl der Computer, die überwacht werden sollen.

Erforderliche Management Packs: Anwendungen, die überwacht werden sollen.

Art der Computer, die die Anwendungen unterstützen: Diese Liste enthält Windows-,
Netzwerk- und UNIX- oder Linux-basierte Computer.

Topologie: Physischer und Netzwerkstandort von Computern, die überwacht werden sollen.

Topologie- und Konsolenverteilung: Physischer und Netzwerkstandort der Personen, die
Operations Manager-Daten nutzen.

Erforderliche Zertifikate und Gatewayserver: Active Directory-Vertrauensgrenzen Ihrer
Umgebung.

Aktuelle Verwaltungs- und Helpdesk-Produkte: Alle anderen Produkte, die derzeit für
Überwachung, Warnung und Berichterstattung verwendet werden.

Topologie- und Gatewayplanung: Firewalls und WAN-Links (Wide Area Network), die die
Netzwerkgrenzen definieren.

Topologie- und Rollenplanung: IT-Verwaltungsgrenzen für überwachte Computer und
Anwendungen.

Topologie und Lokalisierung: Sprache und geopolitische Grenzen, über die sich Ihre
Umgebung erstreckt.
Inventar der aktuellen Vorgehensweisen
Alle Umgebungen werden auf irgendeine Weise überwacht und verwaltet. Die verwendeten
Techniken und Technologien unterscheiden sich in Entwicklungsniveau und Ausgereiftheit. Im
Rahmen des Infrastrukturoptimierungsmodells können alle Umgebungen mithilfe von vier
Kategorien beschrieben werden: Basis, Standardisiert, Rationalisiert und Dynamisch. Unter
http://go.microsoft.com/fwlink/?LinkId=92863 und Infrastrukturoptimierungstest finden Sie weitere
Informationen über diese vier Kategorien sowie ein Tool, mit dessen Hilfe Sie selbst feststellen
können, auf welchem Stand sich Ihr Prozess und Ihre Umgebung befindet.
Um den Einsatz der Möglichkeiten von Operations Manager 2007 zu planen, müssen Sie die
Vorgehensweisen kennen, die zum Überwachen und Verwalten Ihrer Umgebung derzeit
verwendet werden. Dadurch können Sie berücksichtigen, wie auf Warninformationen reagiert
wird und wer dafür zuständig ist. Sie können planen, wie und an wen Benachrichtigungen
versendet werden. Sie können die administrative Kontrolle über Verwaltungsgruppen und
Datensicherheit ausarbeiten.
23
Hier die wichtigsten Fragen, die in dieser Phase zu stellen sind:

Wie wird die Überwachung in unserem Unternehmen derzeit gehandhabt?

Wie werden in unserem Unternehmen die durch das Überwachungsverfahren/-system
ermittelten Informationen verwertet?
Zudem müssen Sie folgende Punkte klären:

Wer bearbeitet in der Regel Probleme oder Warnungen, die durch automatische Systeme
oder den Helpdesk gemeldet werden? Auf dieser Basis können Sie entscheiden, wer direkten
Zugriff auf die Betriebskonsole benötigt und welche Daten die Konsole liefern muss.

Werden Serverprobleme normalerweise vom Helpdesk behoben oder an
Serversupportteams weitergeleitet?

Verfügt das Unternehmen über eine personell besetzte Netzwerkbetriebszentrale oder ein
anderes personell besetztes Überwachungssystem? Falls ja, wie viele Personen und wie
viele Konsolen sind im ständigen Einsatz? Auf dieser Basis können Sie ermitteln, wo
Verwaltungsgruppen einzurichten sind, damit die Unterstützungsanforderungen erfüllt
werden.

An wie vielen Standorte außer den Rechenzentren werden Agents bereitgestellt und wo
befinden sich diese im Netzwerk?

Wie sieht die verfügbare Bandbreite der Verbindungen zwischen den Standorten aus, an
denen verwaltete Computer vorliegen?

Wie wird derzeit das Sicherheitsprotokoll geführt?

Wie werden derzeit Desktop- oder Clientanwendungen überwacht?

Wie erfolgt die Überwachung für UNIX- oder Linux-basierte Computer und Netzwerkgeräte?
Abbilden der Anforderungen in einem Entwurf für
Operations Manager 2007
Abbilden von Anforderungen in einem Entwurf
Im vorausgehenden Abschnitt haben Sie die folgenden drei Aufgaben abgeschlossen:

Sie haben die betrieblichen Anforderungen zusammengestellt, mit deren Hilfe Sie planen,
welche Operations Manager-Features zu implementieren sind.

Sie haben die IT-Anforderungen zusammengestellt, die Ihnen bei der Entscheidung für die
Verwaltungsgruppentopologie helfen.

Sie haben ermittelt, wie in Ihrem Unternehmen derzeit Überwachungsaktivitäten abgewickelt
werden, um planen zu können, wie Operations Manager zu konfigurieren ist.
In diesem Abschnitt werden die Entwurfsentscheidungen erläutert, mit deren Hilfe Sie all diese
gesammelten Informationen und Erkenntnisse in einem konkreten Entwurf abbilden. Hierbei
24
werden bewährte Methoden angewendet, um die Ausstattung und Kapazität im Hinblick auf
Serverrollen und Komponenten zu planen.
Verwaltungsgruppenentwurf
Alle Implementierungen von Operations Manager 2007 bestehen aus mindestens einer
Verwaltungsgruppe. Angesichts der Skalierbarkeit von Operations Manager 2007 ist eine einzige
Verwaltungsgruppe für manche Implementierungen vollkommen ausreichend. Je nach den
Anforderungen des Unternehmens werden eventuell gleich zu Beginn weitere
Verwaltungsgruppen benötigt oder können im Laufe der Zeit hinzugefügt werden. Den Prozess
der Aufteilung von Operations Manager-Diensten auf mehrere Verwaltungsgruppen nennt man
Partitionierung.
In diesem Abschnitt werden die allgemeinen Kriterien vorgestellt, die für mehrere
Verwaltungsgruppen sprechen. Die Planung der Zusammensetzung einzelner
Verwaltungsgruppen, z. B. Festlegen der Serverausstattung und Verteilung der Operations
Manager-Rollen unter den Servern einer Verwaltungsgruppe, wird im Abschnitt
"Zusammensetzung von Verwaltungsgruppen" behandelt.
Eine Verwaltungsgruppe
Gehen Sie die Planung für die Operations Manager-Verwaltungsarbeit mit der gleichen Haltung
an, wie die Planung Ihrer Active Directory-Domäne: Beginnen Sie mit einer Verwaltungsgruppe,
und fügen Sie weitere Gruppen nach Bedarf hinzu. Für die Auslegung einzelner Operations
Manager 2007 R2-Verwaltungsgruppen gelten folgende empfohlene Grenzwerte:

3.000 Agents können an einen Verwaltungsserver Bericht erstatten.

Die meisten Anforderungen im Hinblick auf Skalierbarkeit, Redundanz und
Notfallwiederherstellung können mit drei bis fünf Verwaltungsservern in einer Gruppe erfüllt
werden

50 gleichzeitig geöffnete Betriebskonsolen

1.500 Agents können an einen Gatewayserver Bericht erstatten.

25.000 Computer können zur Anwendungsfehlerüberwachung (AEM) an einen dedizierten
Verwaltungsserver Bericht erstatten.

100.000 AEM-Computer können an eine dedizierte Verwaltungsgruppe Bericht erstatten.

2.500 Sammelüberwachungs-Agents können an einen Verwaltungsserver Bericht erstatten.

10.000 Sammelüberwachungs-Agents können an eine Verwaltungsgruppe Bericht erstatten.

Insgesamt 6.000 Agents und UNIX- oder Linux-Computer pro Verwaltungsgruppe mit 50
offenen Konsolen

Insgesamt 10.000 Agents und UNIX- oder Linux-Computer pro Verwaltungsgruppe mit 25
offenen Konsolen

Pro dediziertem Verwaltungsserver können 500 UNIX- oder Linux-Computer überwacht
werden.

Pro dediziertem Gateway können 100 UNIX- oder Linux-Computer überwacht werden.
25

Pro dediziertem Verwaltungsserver können 3.000 URLs überwacht werden

Pro dedizierter Verwaltungsgruppe können 12.000 URLs überwacht werden.
Klicken Sie auf diesen Link für Informationen zu den empfohlenen Grenzwerten für Operations
Manager 2007 SP1.
Angesichts dieser Grenzwerte in Verbindung mit den Sicherheitsbereichen, die durch die
Verwendung von Operations Manager-Rollen für die Kontrolle des Datenzugriffs geboten werden,
bietet eine einzelne Verwaltungsgruppe eine hohe Skalierbarkeit, die für viele Situationen
ausreicht.
Partitionierung und mehrere Verwaltungsgruppen
Unabhängig von der Skalierbarkeit einer Verwaltungsgruppe benötigen Sie mehrere
Verwaltungsgruppen, wenn eines der folgenden Szenarien zu Ihren Anforderungen gehört:

Produktions- und Vorbereitungsfunktionalität: In Operations Manager empfiehlt es sich, eine
Produktions- und eine separate Vorbereitungsimplementierung zu haben. Erstere wird zur
Überwachung der Produktionsanwendungen eingesetzt wird, letztere weist nur minimale
Interaktion mit der Produktionsumgebung auf. Die Verwaltungsgruppe der
Vorbereitungsumgebung wird für das Testen und Optimieren der Management PackFunktionalität vor dessen Übernahme in die Produktionsumgebung verwendet. Darüber
hinaus verwenden manchen Unternehmen eine Bereitstellungsumgebung für Server, in der
neue Server für eine Anlaufperiode eingesetzt werden, bevor sie in der Produktion zum
Einsatz kommen. Die Vorbereitungs-Verwaltungsgruppe kann zur Überwachung der
Anlaufumgebung verwendet werden, um die Integrität der Server vor dem Produktionseinsatz
zu gewährleisten.

Dedizierte ACS-Funktionalität: Wenn gemäß Ihrer Anforderungen die Protokollereignisse der
Windows-Sicherheitsüberwachung gesammelt werden müssen, implementieren Sie den
Überwachungssammeldienst (ACS, Audit Collection Service). Es kann nützlich sein, eine
Verwaltungsgruppe zu implementieren, die ausschließlich die ACS-Funktion unterstützt,
wenn die Sicherheitsanforderungen Ihres Unternehmens vorschreiben, dass die ACSFunktion von einer eigenen Verwaltungsgruppe kontrolliert und verwaltet werden, die nicht
mit der Verwaltung der restlichen Produktionsumgebung befasst ist.

Notfallwiederherstellungsfunktionalität: In Operations Manager 2007 werden alle
Interaktionen mit den OperationsManager-Datenbanken in Transaktionsprotokollen erfasst,
bevor Änderungen in die Datenbank übernommen werden. Diese Transaktionsprotokolle
können an einen anderen Server unter Microsoft SQL Server 2005 SP1 oder neuer bzw.
Microsoft SQL Server 2008 SP1 übermittelt und dort in eine Kopie der OperationsManagerDatenbank übernommen werden. Diese Technik nennt man Protokollversand. Die Ziel- oder
Failover-Verwaltungsgruppe muss keine voll aufgefüllte und aktive Verwaltungsgruppe sein.
Sie kann lediglich aus einem Stammverwaltungsserver (RMS) und einem Server unter SQL
Server 2005 SP1 oder neuer bzw. SQL Server 2008 SP1 bestehen. Wenn ein Failover
ausgeführt werden muss, ist für die verbleibenden Verwaltungsserver der
Ausgangsverwaltungsgruppe eine Registrierungsänderung sowie ein Neustart erforderlich,
damit sie als Mitglieder der Failover-Verwaltungsgruppe aktiv werden.
26

Kapazitätssteigerung: Operations Manager 2007 verfügt über keine integrierten Grenzwerte
in Bezug auf die Anzahl der Agents, die eine einzelne Verwaltungsgruppe unterstützen kann.
Je nach verwendeter Hardware und Überwachungsvolumen (je mehr Management Packs
bereitgestellt werden, um so höher das Überwachungsvolumen) in der Verwaltungsgruppe
werden eventuell mehrere Verwaltungsgruppen benötigt, um eine annehmbare Leistung zu
gewährleisten.

Konsolidierte Ansichten: Wenn mehrere Verwaltungsgruppen zur Überwachung einer
Umgebung verwendet werden, wird ein Mechanismus benötigt, um konsolidierte Ansichten
der Überwachungs- und Warnungsdaten aller Gruppen zu liefern. Dies kann durch die
Bereitstellung einer weiteren Verwaltungsgruppe erzielt werden (der ggf. eigene
Überwachungsaufgaben zugewiesen werden können), die auf alle Daten in allen anderen
Verwaltungsgruppen Zugriff hat. Diese Verwaltungsgruppen werden dann als verbunden
bezeichnet. Die Verwaltungsgruppe, die eine konsolidierte Ansicht der Daten liefert, nennt
man die lokale Verwaltungsgruppe, die anderen, die die Daten liefern, sind die verbundenen
Verwaltungsgruppen.

Installierte Sprachen: Für alle Server, auf denen eine Operations Manager-Serverrolle
installiert ist, muss die gleiche Sprache verwendet werden. Das heißt, dass Sie nicht auf dem
Stammverwaltungsserver die englische Version von Operations Manager 2007 und auf der
Betriebskonsole die japanische Version verwenden können. Wenn sich die
Überwachungsanforderungen auf mehrere Sprachen erstrecken, muss für jede erforderliche
Sprache eine zusätzliche Verwaltungsgruppe eingerichtet werden.

Sicherheit und Administration: Die Partitionierung von Verwaltungsgruppen aus Gründen der
Sicherheit und der Administration entspricht dem Konzept nach stark der Delegierung
administrativer Befugnisse über Active Directory-Organisationseinheiten oder Domänen an
unterschiedliche administrative Gruppen. Möglicherweise gibt es in Ihrem Unternehmen
mehrere IT-Gruppen, die jeweils einen eigenen Verantwortlichkeitsbereich haben. Dieser
richtet sich eventuell nach der geografischen Lage oder nach Geschäftsbereichen.
Beispielsweise kann dies bei einer Holding eine der Konzerngesellschaften sein. Wenn diese
Art der kompletten Delegierung administrativer Befugnisse von der zentralen IT-Gruppe
vorliegt, empfiehlt es sich möglicherweise, in jedem Bereich eigene
Verwaltungsgruppenstrukturen einzurichten. Diese können dann als verbundene
Verwaltungsgruppe mit einer lokalen Verwaltungsgruppe konfiguriert werden, deren Sitz sich
im Rechenzentrum der zentralen IT-Organisation befindet.
Mithilfe der vorgestellten Szenarien sollte Sie sich ein klares Bild von der Anzahl der benötigten
Verwaltungsgruppen in Ihrer Operations Manager-Infrastruktur machen können. Im nächsten
Abschnitt werden die Verteilung der Serverrollen in einer Verwaltungsgruppe und die
Ausstattungsanforderungen der betreffenden Systeme erläutert.
Zusammensetzung von Verwaltungsgruppen
Für die Anordnung der Operations Manager-Serverkomponenten in einer Verwaltungsgruppe gibt
es wenige Einschränkungen. Sie können alle auf demselben Server installiert werden (mit
Ausnahme der Gatewayserverrolle), oder sie können in unterschiedlichen Kombinationen über
27
mehrere Server verteilt werden. Manche Rollen können in einen Clusterdienst-Failovercluster
(früher auch MSCS-Failovercluster) installiert werden, um hohe Verfügbarkeit zu gewährleisten,
und es können mehrere Verwaltungsserver installiert werden, um Agents ein Failover
untereinander zu ermöglichen. Sie müssen anhand Ihrer IT-Anforderungen und der angestrebten
Optimierungsziele entscheiden, wie die Operations Manager-Serverkomponenten aufgeteilt und
welche Serverarten verwendet werden.
Serverrollenkompatibilität
Eine Operations Manager 2007-Verwaltungsgruppe kann vielfältige Dienste bereitstellen. Diese
Dienste können auf bestimmte Server verteilt werden, wodurch die Server für spezielle Rollen
klassifziert werden. Nicht alle Serverrollen und Dienste können nebeneinander bestehen. In der
folgenden Tabelle werden die Kompatibilitäten und Abhängigkeiten aufgeführt. Daneben wird
angegeben, ob die Rolle auf einem Failovercluster installiert werden kann:
Serverrolle
Kompatibel
Anforderungen
Kann in ein
mit anderen
Quorum-
Rollen
Failovercluster
eingefügt werden
Betriebsdatenbank
Ja
SQL
Ja
ÜberwachungssammeldiensteDatenbank (ACS)
Ja
SQL
Ja
Datenbank des
Berichterstattungs-Data
Warehouses
Ja
SQL
Ja
Reporting-Datenbank
Ja
Dedizierte SQL Server
Reporting ServicesInstanz; nicht auf
Domänencontroller
Ja
Stammverwaltungsserver
Ja
Nicht kompatibel mit
Verwaltungsserver- oder
Gatewayserverrolle
Ja
Verwaltungsserver
Ja
Nicht kompatibel mit
Stammverwaltungsserver
Nein
Verwaltungskonsole
Ja
Windows XP, Windows
Vista, Windows
Server 2003 und Windows
Server 2008
Nicht zutreffend
ACS-Sammlung
Ja
Kann mit Gatewayserver
und
Nein
28
Serverrolle
Kompatibel
Anforderungen
Kann in ein
mit anderen
Quorum-
Rollen
Failovercluster
eingefügt werden
Überwachungsdatenbank
kombiniert werden
Gatewayserver
Ja
Webkonsolenserver
Ja
Agent
Ja
Kann nur mit ACSSammlungskomponente
kombiniert werden; muss
Domänenmitglied sein
Nein
Nicht zutreffend
Wird automatisch auf dem
Stammverwaltungsserver
und dem
Verwaltungsserver in einer
Verwaltungsgruppe
bereitgestellt
Nicht zutreffend
Alle hier abgegebenen Empfehlungen basieren auf den folgenden Annahmen:

Die Zahlen zum Datenträgersubsystem basieren auf Laufwerken, die durchgängig 125
wahlfreie E/A-Vorgänge pro Sekunde pro Laufwerk vollziehen können. Viele Laufwerke
können höhere E/A-Raten durchhalten, sodass insgesamt weniger Laufwerke in der
Konfiguration erforderlich sind.

In Verwaltungsgruppen, in denen neben dem Stammverwaltungsserver noch
Verwaltungsserver bereitgestellt sind, müssen alle Agents die Verwaltungsserver als Primärund Sekundärverwaltungsserver verwenden und kein Agent darf den
Stammverwaltungsserver als Primär- oder Sekundärverwaltungsserver verwenden.

Bei den Richtlinien für die Überwachung ohne Agent wird von ungefähr einem bis zwei
Ausfällen pro Computer pro Woche ausgegangen, bei einer Durchschnittsgröße der CABDateien von 500 KB.

Die Clientsammelüberwachung enthält nur standardmäßige clientspezifische Management
Packs, einschließlich Windows Vista-, Windows XP- und Information Worker-Management
Packs.

Die Netzwerkverbindungen zwischen Agents und Servern verfügen über eine Kapazität von
100 MBit/s oder mehr.
Verfügbarkeit
Der Bedarf für hohe Verfügbarkeit der Datenbanken, des Stammverwaltungsservers, der
Verwaltungs- und Gatewayserver kann durch einen redundanten Aufbau der Verwaltungsgruppe
befriedigt werden.
29

Datenbank: Alle in Operations Manager 2007 verwendeten Datenbanken benötigen Microsoft
SQL Server 2005 SP1 oder neuer bzw. Microsoft SQL Server 2008 SP1 oder neuer. Diese
Datenplattformen können in einer MSCS-Quorumknoten-Failoverkonfiguration installiert
werden.
Hinweis
Weitere Informationen zu Clusterdiensten finden Sie in der Online-Hilfe zu
Windows Server 2003 und Windows Server 2008.

Stammverwaltungsserver: Der System Center-Datenzugriffsdienst und der System CenterVerwaltungskonfigurationsdienst können nur auf dem Stammverwaltungsserver ausgeführt
werden und stellen somit eine zentrale Fehlerquelle in der Verwaltungsgruppe dar. Aufgrund
der kritischen Rolle, die der Stammverwaltungsserver spielt, empfiehlt es sich, den
Stammverwaltungsserver in seinem eigenen Failovercluster mit zwei Knoten zu installieren,
falls hohe Verfügbarkeit zu Ihren Anforderungen gehört. Vollständige Details zur
Clusterinstallation des Stammverwaltungsservers finden Sie im Operations Manager 2007Bereitstellungshandbuch.

Verwaltungsserver: In Operations Manager können Agents einer Verwaltungsgruppe Berichte
an jeden Verwaltungsserver liefern, der der gleichen Gruppe angehört. Daher wird durch
mehrere verfügbare Verwaltungsserver für redundante Pfade für die Agent/Serverkommunikation gesorgt. Es empfiehlt sich in diesem Fall, neben dem
Stammverwaltungsserver einen oder zwei Verwaltungsserver bereitzustellen und den
Agentzuordnungs- und Failover-Assistenten zu verwenden, um die Agents den
Verwaltungsservern zuzuordnen und den Stammverwaltungsserver von der Handhabung von
Agents auszuschließen.

Gatewayserver: Gatewayserver dienen der Kommunikationsvermittlung zwischen
Verwaltungsservern und Agents, die außerhalb der Kerberos-Vertrauensgrenzen der
Verwaltungsserver liegen. Ein Failover von Agents zwischen Gatewayservern ist ebenso
möglich wie zwischen Verwaltungsservern, wenn jeweils die Kommunikation mit dem
Primärserver unterbrochen wird. Gleichermaßen können Gatewayserver für ein Failover
zwischen Verwaltungsservern konfiguriert werden, sodass für alle Pfade zwischen Agents
und Verwaltungsservern Redundanz besteht. Vorgehensweisen zur Bereitstellung einer
solchen Konfiguration finden Sie im Operations Manager 2007-Bereitstellungshandbuch.
Kosten
Je stärker die Verwaltungsgruppenserverrollen verteilt sind, um so mehr Ressourcen werden zur
Unterstützung der betreffenden Konfiguration benötigt. Hierzu gehören Verwaltungskosten für
Hardware, Infrastruktur, Lizenzierung, Betrieb und Wartung. Wenn die Kostenkontrolle als
Optimierungsziel für die Systemgestaltung verwendet wird, läuft das auf eine
Einzelserverimplementierung oder eine minimale Rollenverteilung hinaus, was sich wiederum auf
die Redundanz und somit potenziell auf die Leistung auswirkt.
30
Leistung
Wenn die Leistung als Optimierungsziel verwendet wird, ist mit einem besseren Ergebnis zu
rechnen, das auf einer stärker verteilten Konfiguration und Higher-End-Hardware aufbaut.
Entsprechend steigen die Kosten.
Konsolenverteilung und Standort der Zugriffspunkte
Die Betriebskonsole kommuniziert direkt mit dem Stammverwaltungsserver und dem
Berichtsserver, sofern die Berichtskomponente installiert ist. Daher ist die Entscheidung über den
Standort von Stammverwaltungsserver und Datenbankservern in Bezug auf die Betriebskonsole
kritisch für die Leistung. Stellen Sie sicher, dass diese Komponenten im Netzwerk nah
beieinander liegen.
Empfohlene Komponentenverteilung und Plattformausstattung
In den Tabellen unten werden Empfehlungen in Bezug auf die Komponentenverteilung und die
Plattformausstattung für Operations Manager 2007 R2 aufgeführt. Klicken Sie auf diesen Link für
Empfehlungen zur Komponentenverteilung und Plattformausstattung für Operations Manager
2007 SP1. Hierbei gilt: DB ist ein SQL-Datenbankserver, DW ist ein SQL-Datenbankserver, RS
ist der Reporting Server, RMS ist der Stammverwaltungsserver und MS ist ein
Verwaltungsserver. Informationen zum grundlegenden ACS-Entwurf und zur Planung finden Sie
weiter unten in dieser Veröffentlichung.
Einzelserver, Universalszenario
Anzahl überwachter Geräte
Serverrollen/Konfiguration
15 bis 250 Windows-Computer, 200 UNIXoder Linux-Computer
DB, DW, RS, RMS;
RAID 0+1 mit 4 Datenträgern, 8 GB RAM,
Quadprozessor
Mehrere Server, kleines Szenario
Anzahl überwachter
Serverrollen/Konfiguration
Serverrollen/Konfiguration
DB, DW, RS;
RMS;
RAID 0+1 mit 4 Datenträgern, 4
GB RAM, Dualprozessor
RAID 1 mit 2 Datenträgern, 4 GB
RAM, Dualprozessor
Geräte
250 bis 500 WindowsComputer, 500 UNIXoder Linux-Computer
Mehrere Server, mittleres Szenario
Um für Redundanz zu sorgen, können Sie mehrere Verwaltungsserver bereitstellen, die jeweils
die beschriebene Mindestkonfiguration aufweisen. Wenn Sie bei Datenbank- und
Stammverwaltungsserver für hohe Verfügbarkeit sorgen möchten, können Sie diese in einem
31
Cluster bereitstellen, wobei jeder Knoten die beschriebene Mindestkonfiguration sowie
Verbindungen zu einem extern freigegebenen Datenträger für Clusterressourcen aufweist.
Anzahl
Serverrolle/Konfigur
Serverrolle/Konfigur
Serverrolle/Konfigur
Serverrolle/Konfigur
überwach
ation
ation
ation
ation
DB;
MS;
DW, RS;
RMS;
RAID 0+1 mit 4
Datenträgern, 4 GB
RAM,
Dualprozessor
RAID 1 mit 2
Datenträgern, 4 GB
RAM,
Dualprozessor
RAID 0+1 mit 4
Datenträgern
(Daten), RAID 1 mit
2 Datenträgern
(Protokolle), 4 GB
RAM,
Dualprozessor
RAID 1 mit 2
Datenträgern, 8 GB
RAM,
Dualprozessor
ter Geräte
500 bis
750
Windows
Compute
r, 500
UNIXoder
LinuxCompute
r
Mehrere Server, großes Szenario
Um für Redundanz zu sorgen, können Sie mehrere Verwaltungsserver bereitstellen, die jeweils
die beschriebene Mindestkonfiguration aufweisen. Wenn Sie bei Datenbank- und
Stammverwaltungsserver für hohe Verfügbarkeit sorgen möchten, können Sie diese in einem
Cluster bereitstellen, wobei jeder Knoten die beschriebene Mindestkonfiguration sowie
Verbindungen zu einem extern freigegebenen Datenträger für Clusterressourcen aufweist.
Anzahl
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
überwa
iguration
iguration
iguration
iguration
iguration
DB;
DW;
RS;
RMS;
MS;
RAID 0+1 mit 4
Datenträgern
(Daten),
RAID 1 mit 2
Datenträgern
(Protokolle),
8 GB RAM,
Dualprozessor
RAID 0+1 mit 4
Datenträgern
(Daten),
RAID 1 mit 2
Datenträgern
(Protokolle),
8 GB RAM,
Dualprozessor.
Hinweis: Eine
RAID 5Konfiguration
RAID 1 mit 2
Datenträgern,
4 GB RAM,
Dualprozessor
RAID 1 mit 2
Datenträgern, 8
GB RAM,
Dualprozessor
RAID 1 mit 2
Datenträgern,
4 GB RAM,
Quadprozessor
chter
Geräte
750 bis
1000
Windo
wsCompu
ter,
Unixoder
LinuxCompu
ter
32
Anzahl
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
überwa
iguration
iguration
iguration
iguration
iguration
chter
Geräte
mit ähnlicher
Leistung kann
verwendet
werden, um die
DWSpeicheranford
erungen zu
erfüllen.
Mehrere Server, Unternehmen
Um für Redundanz zu sorgen, können Sie mehrere Verwaltungsserver bereitstellen, die jeweils
die beschriebene Mindestkonfiguration aufweisen. Wenn Sie bei Datenbank- und
Stammverwaltungsserver für hohe Verfügbarkeit sorgen möchten, können Sie diese in einem
Cluster bereitstellen, wobei jeder Knoten die beschriebene Mindestkonfiguration sowie
Verbindungen zu einem extern freigegebenen Datenträger für Clusterressourcen aufweist.
Anzahl
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
überwa
iguration
iguration
iguration
iguration
iguration
1.000
bis
3.000
Windo
wsCompu
ter, 500
UNIXoder
LinuxCompu
ter
DB;
DW;
RS;
RMS;
MS;
RAID 0+1 mit 8
Datenträgern
(Daten),
RAID 1 mit 2
Datenträgern
(Protokolle),
8 GB RAM,
Quadprozessor
RAID 0+1 mit 8
Datenträgern
(Daten),
RAID 1 mit 2
Datenträgern
(Protokolle),
8 GB RAM,
Quadprozessor
RAID 1 mit 2
Datenträgern,
4 GB RAM
RAID 0+1 mit 4
Datenträgern,
12 GB RAM,
64-BitQuadprozessor
RAID 0+1 mit 4
Datenträgern,
8 GB RAM,
Quadprozessor
3.000
bis
6.000
Windo
ws-
DB;
DW;
RS;
RMS;
MS;
RAID 0+1 mit
14
Datenträgern
RAID 0+1 mit
14
Datenträgern
RAID 1 mit 2
Datenträgern,
4 GB RAM,
RAID 0+1 mit 4
Datenträgern,
16 GB RAM,
RAID 0+1 mit 2
Datenträgern,
8 GB RAM,
chter
Geräte
Quadprozessor
33
Anzahl
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
Serverrolle/Konf
überwa
iguration
iguration
iguration
iguration
iguration
(Daten),
RAID 1 mit 2
Datenträgern
(Protokolle),
16 GB RAM,
Quadprozessor
(Daten),
Quadprozessor
RAID 1 mit 2
Datenträgern
(Protokolle),
16 GB RAM,
Quad/Dualprozessor.
Hinweis: Eine
RAID 5Konfiguration
mit ähnlicher
Leistung kann
verwendet
werden, um die
DWSpeicheranford
erungen zu
erfüllen.
Quadprozessor
Quadprozessor
chter
Geräte
Compu
ter,
Unixoder
LinuxCompu
ter
Komponentenrichtlinien und bewährte Methoden
Neben den eben erläuterten Ausstattungsrichtlinien gelten für die Planung der einzelnen
Operations Manager-Serverkomponenten weitere Erwägungen und bewährte Methoden.
Richtlinien und bewährte Methoden in Bezug auf den Stammverwaltungsserver
Auf dem Stammverwaltungsserver sind die kritischen Ressourcen der Arbeitsspeicher und die
Zentraleinheit, da viele der vom Stammverwaltungsserver durchgeführten Vorgänge viel Speicher
beanspruchen und daher unter übermäßigem Auslagern leiden. Neben anderen wirken sich die
folgenden Faktoren auf die Last des Stammverwaltungsservers aus:

Anzahl der Agents in der Verwaltungsgruppe: Da der Stammverwaltungsserver die
Konfiguration für alle Agents in der Verwaltungsgruppe berechnen muss, steigt bei
zunehmender Agentzahl der erforderliche Speicherplatz, unabhängig vom Volumen der von
den Agents übermittelten Vorgangsdaten.

Rate der Instanzbereichsänderungen: Unter dem Instanzbereich versteht man die Daten, die
von Operations Manager erfasst werden, um alle überwachten Computer, Dienste und
Anwendungen in der Verwaltungsgruppe zu beschreiben. Wenn diese Daten häufigen
Änderungen unterliegen, sind zusätzliche Ressourcen auf dem Stammverwaltungsserver
erforderlich, um die Konfigurationsaktualisierungen für die betroffenen Agents zu berechnen.
34
Die Rate der Instanzbereichsänderungen steigt mit jedem zusätzlich in die
Verwaltungsgruppe importierten Management Pack an. Durch Hinzufügen neuer Agents in
die Verwaltungsgruppe steigt die Rate der Instanzbereichsänderungen ebenfalls
vorübergehend an.

Anzahl gleichzeitig ausgeführter Betriebskonsolen und andere SDK-Clients: Beispiele für
andere SDK-Clients sind die Webkonsole sowie zahlreiche Tools von Drittanbietern, die eine
Verbindung mit Operations Manager unterhalten. Da der SDK-Dienst auf dem
Stammverwaltungsserver gehostet wird, beansprucht jede zusätzliche Verbindung Speicherund Prozessorkapazität.
Hier einige bewährte Methoden in Bezug auf die Ausstattung des Stammverwaltungsservers:

64-Bit-Hardware und Betriebssystem verwenden: Durch die Verwendung von 64-BitHardware kann der Speicher leicht auf über 4 GB gesteigert werden. Auch wenn für die
aktuelle Bereitstellung nicht mehr als 4 GB Arbeitsspeicher erforderlich sind, verschafft Ihnen
64-Bit-Hardware Spielraum für Systemerweiterungen später, um mit geänderten
Anforderungen Schritt halten zu können.

Anzahl der Agents beschränken oder auf Agents verzichten, die an den
Stammverwaltungsserver Bericht erstatten: In Verwaltungsgruppen mit weniger Agents ist es
in der Regel kein Problem, wenn die Agents direkt an den Stammverwaltungsserver Bericht
erstatten. Dadurch werden die Gesamtkosten für die erforderliche Hardware gesenkt. Bei
steigender Agentzahl empfiehlt es sich jedoch, die direkte Berichterstattung an den
Stammverwaltungsserver einzuschränken. Durch das Verlagern der von Agents verursachten
Arbeitslast auf andere Verwaltungsserver sinken die Hardwareanforderungen an den
Stammverwaltungsserver, wodurch in der Regel die Gesamtleistung und Zuverlässigkeit der
Verwaltungsgruppe verbessert wird.

Für hohe Bandbreite bei der Netzwerkverbindung mit der OperationsManager-Datenbank
und dem Data Warehouse sorgen: Der Stammverwaltungsserver kommuniziert häufig mit der
Operations-Datenbank und dem Data Warehouse. In der Regel wird für diese SQLVerbindungen mehr Bandbreite benötigt, und sie sind anfälliger für Netzwerklatenz als
Verbindungen zwischen Agents und dem Stammverwaltungsserver. Daher sollten Sie
generell dafür sorgen, dass sich der Stammverwaltungsserver, die OperationsManagerDatenbank und die Data Warehouse-Datenbank im gleichen LAN befinden.
Richtlinien und bewährte Methoden für die Operations-Datenbank
Wie bei allen Datenbankanwendungen hängt die Leistung der Operations-Datenbank am
stärksten von der Leistung des Datenträgersubsystems ab. Da alle Operations Manager-Daten
die OperationsManager-Datenbank durchlaufen, steigt die Leistung mit einem schnelleren
Datenträger entsprechend an. Auch die Zentraleinheit und der Arbeitsspeicher beeinflussen die
Leistung. Neben anderen wirken sich die folgenden Faktoren auf die Last der
OperationsManager-Datenbank aus:

Rate der Datensammlung: Der Stammverwaltungsserver kommuniziert häufig mit der
Operations-Datenbank und dem Data Warehouse. In der Regel wird für diese SQLVerbindungen mehr Bandbreite benötigt, und sie sind anfälliger für Netzwerklatenz als
35
Verbindungen zwischen Agents und dem Stammverwaltungsserver. Daher sollten Sie
generell dafür sorgen, dass sich der Stammverwaltungsserver, die OperationsManagerDatenbank und die Data Warehouse-Datenbank im gleichen LAN befinden.

Rate der Instanzbereichsänderungen: Unter dem Instanzbereich versteht man die Daten, die
von Operations Manager erfasst werden, um alle überwachten Computer, Dienste und
Anwendungen in der Verwaltungsgruppe zu beschreiben. Die Aktualisierung dieser Daten in
der OperationsManager-Datenbank ist relativ kostspielig verglichen mit dem Speichern neuer
operativer Daten in der Datenbank. Darüber hinaus richtet der Stammverwaltungsserver bei
Instanzbereichsänderungen zusätzliche Abfragen an die Operations Manager-Datenbank,
um die Konfigurations- und Gruppenänderungen zu berechnen. Die Rate der
Instanzbereichsänderungen steigt mit jedem zusätzlich in die Verwaltungsgruppe
importierten Management Pack an. Durch Hinzufügen neuer Agents in die
Verwaltungsgruppe steigt die Rate der Instanzbereichsänderungen ebenfalls vorübergehend
an.

Gleichzeitig ausgeführte Betriebskonsolen und andere SDK-Clients: Jede offene Instanz der
Betriebskonsole ruft Daten aus der OperationsManager-Datenbank ab. Die Abfrage dieser
Daten führt möglicherweise zu umfangreichen Datenträgeraktivitäten und beansprucht die
Zentraleinheit und den Arbeitsspeicher. Konsolen, auf denen große Mengen operativer Daten
in der Ereignisansicht, Statusansicht, Warnungsansicht und Leistungsansicht angezeigt
werden, verursachen oft die stärkste Belastung der Datenbank. Um maximale Skalierbarkeit
zu erzielen, sollten Sie die Bereichsdefinition von Ansichten in Betracht ziehen, sodass nur
benötigte Daten angezeigt werden.
Hier einige bewährte Methoden in Bezug auf die Ausstattung des OperationsManagerDatenbankservers:

Geeignetes Datenträgersubsystem auswählen: Das Datenträgersubsystem der
OperationsManager-Datenbank ist die wichtigste Komponente für die allgemeine
Skalierbarkeit und Leistung der Verwaltungsgruppe. Als Datenträgervolume für die
Datenbank sollte in der Regel RAID 0+1 mit einer geeigneten Anzahl an Spindeln zum
Einsatz kommen. RAID 5 ist normalerweise ungeeignet für diese Komponente, da hierbei der
Speicherplatz auf Kosten der Leistung optimiert wird. Da der Primärfaktor bei der Auswahl
eines Datenträgersubsystems für die OperationsManager-Datenbank die Leistung, nicht der
Gesamtspeicherplatz ist, eignet sich RAID 0+1 besser. Wenn Ihre Ansprüche im Hinblick auf
die Skalierbarkeit die Durchsatzkapazität eines Einzellaufwerks nicht überschreiten, ist
RAID 1 oft eine passende Wahl, da hierbei Fehlertoleranz ohne Leistungseinbußen geboten
wird.

Datendateien und Transaktionsprotokolle: Bei Bereitstellungen von geringem Umfang ist es
oft am kostenwirksamsten, die SQL-Datendatei und die Transaktionsprotokolle auf einem
physischen Volume zu kombinieren, da das Transaktionsprotokoll nur geringe Aktivität
verursacht. Bei zunehmender Agentzahl empfiehlt es sich jedoch, separate Volumes für die
SQL-Datendatei und das Transaktionsprotokoll zu verwenden. Dadurch können auf dem
Volume des Transaktionsprotokolls Lese- und Schreibzugriffe effizienter abgewickelt werden,
da die Arbeitslast überwiegend aus sequenziellen Schreibzugriffen besteht. Ein RAID 136
Volume mit einer Spindel kann sehr hohe Mengen sequenzieller Schreibzugriffe abwickeln
und sollte für nahezu alle Bereitstellungen ausreichen, sogar bei extrem großen Ausmaßen.

64-Bit-Hardware und Betriebssystem verwenden: Die OperationsManager-Datenbank
profitiert häufig von einem großen Arbeitsspeicher, und dies kann eine kostenwirksame
Methode zur Senkung der Datenträgeraktivität auf dem Server sein. Durch die Verwendung
von 64-Bit-Hardware kann der Speicher leicht auf über 4 GB gesteigert werden. Auch wenn
für die aktuelle Bereitstellung nicht mehr als 4 GB Arbeitsspeicher erforderlich sind, verschafft
Ihnen 64-Bit-Hardware Spielraum für Systemerweiterungen später, um mit geänderten
Anforderungen Schritt halten zu können.

Batterieunterstützten Datenträgercontroller mit Schreibcache verwenden: Tests haben
gezeigt, dass Datenträger mit Schreibcache für die Arbeitslast der OperationsManagerDatenbank von Vorteil sind. Daher wird empfohlen, dass Sie beim Konfigurieren von Schreibund Lesecache auf dem Datenträgercontroller die Cachekapazität zu 100 Prozent dem
Schreibcache zuweisen. Generell ist bei der Verwendung von Datenträgercontrollern mit
Schreibcache in Verbindung mit Datenbanksystemen darauf zu achten, dass ein geeignetes
batteriegestütztes Sicherungssystem vorhanden ist, um Datenverlust im Fall eines Systemoder Stromausfalls zu vermeiden.
Richtlinien und bewährte Methoden für das Data Warehouse
In Operations Manager 2007 werden Daten nahezu in Echtzeit im Data Warehouse gespeichert.
Dadurch weist dieses eine ähnliche Last wie der Computer der OperationsManager-Datenbank
auf. Da es sich hierbei um einen SQL-Server handelt, ist das Datenträgersubsystem die
wichtigste Komponente für die Gesamtleistung, gefolgt von Arbeitsspeicher und Zentraleinheit.
Die Operations Manager Reporting Services belasten den Data Warehouse-Server auch auf
leicht unterschiedliche Weise. Neben anderen wirken sich die folgenden Faktoren auf die Last
des Data Warehouses aus:

Rate der Dateneinfügung: Um eine effizientere Berichterstattung zu ermöglichen, werden im
Data Warehouse neben einer begrenzten Menge an Rohdaten aggregierte Daten berechnet
und gespeichert. Dieser zusätzliche Arbeitsaufwand bedeutet, dass die Sammlung der
operativen Daten im Data Warehouse geringfügig teurer ist als in der OperationsManagerDatenbank. Diese zusätzlichen Kosten werden in der Regel durch die geringeren
Verarbeitungskosten für Ermittlungsdaten aus dem Data Warehouse im Vergleich zur
Verarbeitung der Daten aus der OperationsManager-Datenbank ausgeglichen.

Anzahl der Benutzer, die gleichzeitig Bericht erstatten: Da in Berichten häufig umfangreiche
Mengen an Daten zusammengefasst werden, kann jeder berichterstattende Benutzer eine
beträchtliche Last für das System darstellen. Sowohl die Anzahl der gleichzeitig erstellten
Berichte als auch die Art der Berichte, die jeweils ausgeführt werden, haben Auswirkungen
auf die Kapazitätsanforderungen. Im Allgemeinen beanspruchen Berichte, die umfangreiche
Datenbereiche oder eine große Anzahl an Objekten abfragen, am meisten
Systemressourcen.
Hier einige bewährte Methoden zur Ausstattung des Data Warehouse-Servers:
37

Geeignetes Datenträgersubsystem auswählen: Da das Data Warehouse inzwischen ein
integraler Bestandteil des Gesamtdatenflusses innerhalb der Verwaltungsgruppe ist, ist die
Entscheidung für ein geeignetes Datenträgersubsystem für das Data Warehouse äußerst
wichtig. Wie bei der OperationsManager-Datenbank stellt oft RAID 0+1 die beste Option dar.
Im Allgemeinen sollte das Datenträgersubsystem für das Data Warehouse dem der
OperationsManager-Datenbank ähnlich sein.

Datendateien und Transaktionsprotokolle: Wie bei der OperationsManager-Datenbank
empfiehlt es sich in der Regel mit zunehmender Anzahl an Agents, die SQL-Daten und die
Transaktionsprotokolle zu trennen. Wenn sowohl die OperationsManager-Datenbank als
auch das Data Warehouse auf dem gleichen Computer beheimatet sind, müssen die
Transaktionsprotokolle für die OperationsManager-Datenbank in einem eigenen Volume
getrennt vom Data Warehouse geführt werden, um Vorteile erkennen zu können. Die
Datendateien für die OperationsManager-Datenbank und das Data Warehouse können auf
dem gleichen Volume vorliegen, vorausgesetzt, die Kapazität ist ausreichend.

64-Bit-Hardware und Betriebssystem verwenden: Das Data Warehouse profitiert in der Regel
von einem großen Arbeitsspeicher, und dies kann eine kostenwirksame Methode zur
Senkung der Datenträgeraktivität auf dem Server sein. Durch die Verwendung von 64-BitHardware kann der Speicher leicht auf über 4 GB gesteigert werden. Auch wenn für die
aktuelle Bereitstellung nicht mehr als 4 GB Arbeitsspeicher erforderlich sind, verschafft Ihnen
64-Bit-Hardware Spielraum für Systemerweiterungen später, um mit geänderten
Anforderungen Schritt halten zu können.

Dedizierte Serverhardware für das Data Warehouse verwenden: Obwohl bei Bereitstellungen
von geringem Umfang zumeist die OperationsManager-Datenbank und das Data Warehouse
auf dem gleichen Computer konsolidiert werden können, ist es bei zunehmender Anzahl an
Agents und damit verbunden steigendem Volumen eingehender operativer Daten vorteilhaft,
diese zu trennen. Eine Trennung von Data Warehouse- und Berichterstattungsserver führt
zudem zu einer besseren Leistung bei der Berichterstattung.

Batterieunterstützten Datenträgercontroller mit Schreibcache verwenden: Tests haben
gezeigt, dass Datenträger mit Schreibcache für die Data Warehouse-Arbeitslast von Vorteil
sind. Daher wird empfohlen, dass Sie beim Konfigurieren von Schreib- und Lesecache auf
dem Datenträgercontroller die Cachekapazität zu 100 Prozent dem Schreibcache zuweisen.
Generell ist bei der Verwendung von Datenträgercontrollern mit Schreibcache in Verbindung
mit Datenbanksystemen darauf zu achten, dass ein geeignetes batteriegestütztes
Sicherungssystem vorhanden ist, um Datenverlust im Fall eines System- oder Stromausfalls
zu vermeiden.
Richtlinien und bewährte Methoden in Bezug auf Verwaltungsserver
Der größte Anteil der Last eines Verwaltungsservers wird durch die Sammlung operativer Daten
und die Einfügung von Daten in die OperationsManager- und Data Warehouse-Datenbanken
verursacht. Es ist wichtig, hervorzuheben, dass Verwaltungsserver diese Vorgänge direkt
ausführen, ohne vom Stammverwaltungsserver abhängig zu sein. Für die Datenspeicherung in
der Warteschlange verwenden Verwaltungsserver dabei zumeist den Arbeitsspeicher, um nicht
auf einen langsameren Datenträger angewiesen zu sein, wodurch die Leistung steigt. Die
38
wichtigste Ressource für Verwaltungsserver ist die Zentraleinheit, doch haben Tests ergeben,
dass hierfür in der Regel keine High-End-Hardware erforderlich ist. Neben anderen wirken sich
die folgenden Faktoren auf die Last eines Verwaltungsservers aus:

Rate der Sammlung operativer Daten: Da die Sammlung operativer Daten die Primäraktivität
eines Verwaltungsservers ist, wirkt sich diese Rate am stärksten auf die Gesamtauslastung
des Servers aus. Allerdings haben Tests gezeigt, dass Verwaltungsserver in der Regel hohe
Verarbeitungsraten für operative Daten bei niedriger bis mäßiger Auslastung realisieren
können. Primär hängt die Rate der Sammlung operativer Daten von der Art der
bereitgestellten Management Packs in der Verwaltungsgruppe ab.
Hier einige bewährte Methoden zur Ausstattung eines Verwaltungsservers:

Hardware für Verwaltungsserver nicht überdimensionieren: In den meisten Szenarien ist der
Einsatz eines gängigen Dienstprogrammservers ausreichend für die von einem
Verwaltungsserver erledigte Arbeit. Die Einhaltung der Hardwarerichtlinien in diesem
Dokument sollte für die meisten Arbeitslasten ausreichen.

Das maximale Verhältnis zwischen Agent und Verwaltungsservern von 3.000 zu 1 dar nicht
überschritten werden. Die tatsächliche Serverleistung variiert je nach Volumen der
gesammelten operativen Daten, doch haben Tests gezeigt, dass Verwaltungsserver in der
Regel problemlos bis zu 2.000 Agents mit relativ hohem Volumen an eingehenden operativen
Daten unterstützen können. Der Höchstwert von 2.000 Agents pro Verwaltungsserver ist ein
Richtwert, der aus Erfahrungstests gewonnen wurde, und stellt kein striktes Limit dar. Sie
müssen selbst feststellen, ob in Ihrer Umgebung die Anzahl der unterstützten Agents
eventuell höher oder niedriger liegt; beides ist durchaus möglich.

Um ein optimales Verhältnis zwischen UNIX- oder Linux-Computern und Verwaltungsservern
(500:1) zu erreichen, empfiehlt es sich, dass Sie dedizierte Verwaltungsserver für die
plattformübergreifende Überwachung verwenden.

Die Redundanzanforderungen mit der geringstmöglichen Anzahl an Verwaltungsservern pro
Verwaltungsgruppe erfüllen: Der Hauptgrund für die Bereitstellung mehrerer
Verwaltungsserver hat nichts mit Skalierbarkeit zu tun, sondern besteht darin, für Redundanz
und Notfallwiederherstellung vorzusorgen. Anhand von Tests hat sich gezeigt, dass die
meisten Bereitstellungen mit drei bis fünf Verwaltungsservern auskommen, um diese
Anforderungen vollständig zu erfüllen.
Richtlinien und bewährte Methoden in Bezug auf Gatewayserver
Gatewayserver fungieren als Relaisstation für die Kommunikation zwischen Verwaltungsservern
und Agents, die auf entgegengesetzten Seiten von Kerberos-Vertrauensgrenzen liegen. Der
Gatewayserver verwendet eine zertifikatbasierte Authentifizierung für die wechselseitige
Authentifizierung mit dem Verwaltungsserver, wobei er nur eine Verbindung benötigt anstelle der
mehrfachen Verbindungen, die zwischen Agents und Verwaltungsserver erforderlich wären.
Dadurch wird die Verwaltung der zertifikatbasierten Authentifizierung von nicht
vertrauenswürdigen Domänen einfacher und praktikabler. Neben anderen wirken sich die
folgenden Faktoren auf die Last eines Gatewayservers aus:
39

Rate der Sammlung operativer Daten: Primär hängt die Last des Gateways von der Rate ab,
mit der operative Daten gesammelt werden. Diese Rate ergibt sich aus der Anzahl der
Agents, die an das Gateway Bericht erstatten, und den in der Verwaltungsgruppe
bereitgestellten Management Packs.
Hier einige bewährte Methoden zur Ausstattung eines Gatewayservers:

Gatewayserver können nützlich für die Verwaltung der Bandbreitennutzung sein: Aus Sicht
der Leistung können Gateways als Hilfsmittel empfohlen werden, um die Bandbreitennutzung
in Umgebungen mit niedriger Bandbreite zu optimieren, da sie die gesamte Kommunikation
mit dem Verwaltungsserver in gewissem Umfang komprimieren.

Das maximale Verhältnis zwischen Agent und Verwaltungsservern von 1.500 zu 1 darf nicht
überschritten werden. Anhand von Tests hat sich gezeigt, dass bei mehr als 1.000 Agents
pro Gateway mit einer Beeinträchtigung im Hinblick auf die Wiederherstellungsmöglichkeiten
zu rechnen ist, falls das Gateway bei einem längeren Ausfall (mehrere Stunden) nicht mit
dem Verwaltungsserver kommunizieren kann. Wenn in Ihrer Umgebung mehr als 1.000
Agents an das Gateway Bericht erstatten müssen, sollten Sie den Einsatz mehrerer
Gatewayserver in Betracht ziehen. Wenn Sie die Zahl von 1.500 Agents pro Gateway
überschreiten wollen und die Wiederherstellungszeit des Gateways in Ihrer Umgebung von
Bedeutung ist, ist es unbedingt zu empfehlen, dass Sie Ihr System testen, um
sicherzustellen, dass das Gateway die Warteschlange nach einem längeren Ausfall zwischen
Gateway und Verwaltungsserver rasch leeren kann.

Für eine große Anzahl an Gateways und über Gateway verbundenen Agents einen
dedizierten Verwaltungsserver verwenden: Wenn Sie einen Verwaltungsserver ausschließlich
für die Verbindung mit allen Gateways und ohne jede Agentverbindung bereitstellen, können
Sie dadurch die Wiederherstellungszeit bei einem längeren Ausfall verkürzen.
Richtlinien und bewährte Methoden im Hinblick auf die Anwendungsfehlerüberwachung
Auf dem Verwaltungsserver, der für die Anwendungsfehlerüberwachung (AEM, Application Error
Monitoring) verwendet wird, gehen die Daten vom Client für die Fehlerberichterstattung ein und
werden dort in einer Dateifreigabe gespeichert. Wenn diese Dateifreigabe lokal vorliegt, wirkt sich
dies auf den Verwaltungsserver aus.
Im folgenden einige bewährte Methoden für die Planung der Anwendungsfehlerüberwachung:

Der Speicherplatz für die Dateifreigabe kann lokal oder auf einem angeschlossenen NAS(Network Attached Storage) oder SAN-Gerät (Storage Area Network) bereitgestellt werden.

Es empfiehlt sich, für die Anwendungsfehlerüberwachung einen eigenen Datenträger zu
verwenden, der unabhängig ist vom Datenträger, der für die Data Warehouse- oder
OperationsManager-Datenbanken verwendet wird.

Wenn der Speicherplatz in einem verteilten Dateisystem (DFS) eingerichtet wurde, muss die
DFS-Replikation deaktiviert werden.

Gatewayserver dürfen nicht als AEM-Sammlung verwendet werden.
40
Anzahl überwachter Geräte
Verwaltungsserver für AEM-Dateifreigabe
0 bis 10.000
200 GB Speicherplatz als RAID 1 mit 2
Laufwerken, 4 GB RAM, Dualprozessor
10.000 bis 25.000
500 GB Speicherplatz als RAID 1 mit 2
Laufwerken, 8 GB RAM, Dualprozessor
Richtlinien und bewährte Methoden im Hinblick auf die Clientsammelüberwachung
Im Rahmen der kollektiven Integritätsüberwachung werden Ereignis- und Leistungsdaten
zahlreicher Computer gesammelt und die Daten zum Zweck der Berichterstattung und
Auswertung nach Systemgruppen zusammengestellt. Beispielsweise werden Daten zur
Speicherleistung von Windows XP- und Windows Vista-Clients auf unterschiedlicher Hardware
gesammelt. Anschließend werden die Daten zusammengefasst und ausgewertet, um Berichte
über die Speicherleistung bestimmter Systemgruppen, etwa nach Betriebssystem oder
Hardwarehersteller, zu liefern. Dadurch wird die Analyse der Gesamtleistung im Vergleich zur
Alternativmethode erleichtert, bei der lange Listen einzelner Systemleistungsberichte durchsucht
werden müssen. Der Sammelüberwachungsmodus ermöglicht somit die Warnung und
Überwachung auf kollektiver statt individueller Ebene.
Zu den Management Packs der Clientsammelüberwachung gehören: Information Worker,
Windows Client, Windows XP, Windows Vista, Network Address Protocol und andere
clientorientierte Management Packs.
Jeder Client, der von einem Agent überwacht wird, erzeugt normalerweise in regelmäßigen
Abständen zusammenfassende Ereignisse, die ihrerseits verwendet werden, um die kollektive
Integrität des Clientbestands zu berechnen. Die Warnungsausgabe einzelner Agents ist
deaktiviert, daher werden von den auf den Clients ausgeführten Agents keine Warnungsdaten
erzeugt.
Je nach Anzahl der bereitgestellten Management Packs und Volumen des Agentverkehrs können
einzelne Verwaltungsserver an die 3.000 bis 4.000 mit Agents verwaltete Clients verwalten.
Beim Planen des Rollouts kollektiver Überwachungsclients empfiehlt es sich, die Agents in
Sätzen von maximal 1.000 zu genehmigen, damit ausreichend Zeit für ihre Synchronisierung mit
der aktuellen Konfiguration zur Verfügung steht.
In der folgenden Tabelle steht die Abkürzung DW für Data Warehouse, ODB steht für
OperationsManager-Datenbank, RMS bezeichnet den Stammverwaltungsserver und MSFS2
bezieht sich auf einen zweiten Dateifreigabecomputer auf Verwaltungssserverbasis.
Empfehlungen für eine kleine Konfiguration:
Anzahl überwachter Geräte
Serverrolle/Konfiguration
0 bis 2500
DW, ODB, MSFS2, RMS;
30 GB Speicherplatz als RAID 1 mit 2
Laufwerken, 4 GB RAM
41
Empfehlungen für eine mittlere Konfiguration:
Anzahl überwachter
Serverrolle/Konfiguration
Serverrolle/Konfiguration
DW, ODB;
MSFS2, RMS;
50 GB Speicherplatz als RAID 1
mit 2 Laufwerken, 4 GB RAM
RAID 1 mit 2 Laufwerken, 4 GB
RAM
Geräte
2500 bis 5000
Empfehlungen für eine umfangreiche Konfiguration:
Anzahl
Serverrolle/Konfiguration
Serverrolle/Konfiguration
Serverrolle/Konfiguration
DW, ODB;
MSFS2;
RMS;
überwachter
Geräte
5.000 bis
7.500
100 GB Speicherplatz als RAID 1 mit 2 Laufwerken, RAID 1 mit 2 Laufwerken,
RAID 1 mit 2 Laufwerken, 4 GB RAM
4 GB RAM
4 GB RAM
Empfehlungen für eine Unternehmenskonfiguration:
Anzahl
Serverrolle/Konfigur
Serverrolle/Konfigur
Serverrolle/Konfigur
Serverrolle/Konfigur
überwach
ation
ation
ation
ation
DW;
ODB;
MSFS2;
RMS;
300 GB
Speicherplatz als
RAID 1 mit 2
Laufwerken, 4 GB
RAM
300 GB
Speicherplatz als
RAID 1 mit 2
Laufwerken, 4 GB
RAM
RAID 1 mit 2
Laufwerken,
RAID 1 mit 2
Laufwerken,
4 GB RAM
4 GB RAM
ter Geräte
7.500 bis
10.000
Entwerfen von Überwachungssammeldiensten (ACS)
Dieser Abschnitt enthält allgemeine Ratschläge, mit deren Hilfe Sie die Planung Ihrer ACSImplementierung in Angriff nehmen können.
ACS ist keine eigenständige Lösung. Diese Dienste können nur in einer bestehenden
Verwaltungsgruppe gehostet werden, da der betreffende Agent in den Operations ManagerAgent integriert ist und mit diesem zusammen installiert wird. Ferner kann die ACS-Sammlung
nur auf einem Verwaltungs- oder Gatewayserver installiert werden. Die verbleibenden
Komponenten, die ACS-Datenbank und die ACS-Berichterstattung, können auf dem gleichen
42
SQL Server 2005-Server oder der gleichen Instanz installiert werden wie die anderen Operations
Manager-Datenbank- und Berichterstattungskomponenten. Allerdings sprechen Gründe wie
Leistung, Kapazität und Sicherheit für eine Installation auf dedizierter Hardware.
Entwurfsentscheidungen
Bei der Planung der ACS-Implementierung müssen Sie vier grundlegende
Entwurfsentscheidungen treffen. Hierbei dürfen Sie nicht vergessen, dass zwischen dem ACSSammlungsserver und der dazugehörigen ACS-Datenbank eine Eins-zu-Eins-Beziehung besteht.
Eine ACS-Datenbank kann jeweils nur eine einzige ACS-Sammlung haben, von der ihr Daten
zugeführt werden, und jede ACS-Sammlung muss über ihre eigene ACS-Datenbank verfügen. Es
ist möglich, in einer Verwaltungsgruppe mehrere ACS-Sammlungs-/Datenbank-Paarungen zu
haben, allerdings stehen keine vorgefertigten Lösungen bereit, um die Daten mehrerer ACSDatenbanken in einer einzigen Datenbank zu konsolidieren.
Als erstes müssen Sie entscheiden, ob Sie eine Verwaltungsgruppe bereitstellen wollen, die
ausschließlich für die Unterstützung von ACS dient, oder ob ACS in einer Verwaltungsgruppe
bereitgestellt werden soll, die auch Integrationsüberwachungs- und Warnungsdienste leistet. Hier
die Merkmale dieser beiden ACS-Bereitstellungsszenarien.


Szenario 1 - ACS gehostet in Produktionsverwaltungsgruppe:

Skalierte ACS-Nutzung: Da ACS alle Sicherheitsereignisse der Systeme sammelt, auf
denen ACS-Weiterleitungen aktiviert sind, kann durch die Nutzung von ACS ein riesiges
Datenvolumen erzeugt werden. Wenn Sie keine dedizierte Hardware für die ACSSammlungs- und Datenbankrollen verwenden, kann sich die Verarbeitung dieser Daten
negativ auf die Leistung der Hostverwaltungsgruppe auswirken, insbesondere auf
Datenbankebene.

Trennung von Verwaltung und Sicherheit ist nicht erforderlich: Da ACS in einer
Verwaltungsgruppe gehostet wird, verfügen Personen mit administrativer Kontrolle über
die Verwaltungsgruppe über Verwaltungsrechte für ACS. Wenn aufgrund von
betrieblichen, Ordnungs-/Überprüfungs- und IT-Anforderungen eine Verpflichtung
besteht, die informationstechnische Kontrolle über ACS außerhalb der
Produktionsumgebung anzusiedeln, steht die Option der Bereitstellung von ACS in einer
Produktionsverwaltungsgruppe nicht zur Verfügung.
Szenario 2 - ACS gehostet in dedizierter Verwaltungsgruppe:

Trennung von Verwaltung und Sicherheit ist erforderlich: Wenn eine eigene
administrative Gruppe besteht, die im Unternehmen für Überprüfungs- und
Sicherheitskontrolle zuständig ist, empfiehlt es sich, ACS in einer dedizierten
Verwaltungsgruppe zu hosten, die von der Überprüfungs-/Sicherheitsgruppe verwaltet
wird.
Als zweites müssen Sie entscheiden, ob die ACS-Berichterstattung in derselben SQL
Server 2005 Reporting Services-Instanz wie die Operations Manager 2007Berichterstattungskomponente bereitgestellt werden soll. Hier die Merkmale dieser beiden
Szenarien.

Integration von ACS-Berichterstattung und Operations Manager-Berichterstattung:
43

Einzelkonsole für alle Berichte: Wenn die ACS-Berichterstattung gemeinsam mit der
Operations Manager-Berichterstattung installiert ist, erfolgt der Zugriff auf die ACSBerichte über die Operations Manager-Betriebskonsole.

Gemeinsames Sicherheitsmodell: Wenn die Operations Manager 2007-Berichterstattung
im Rahmen der SQL Server 2005 Reporting Services installiert ist, wird das
Standardsicherheitsmodell überschrieben und durch das rollenbasierte Sicherheitsmodell
von Operations Manager ersetzt. Die ACS-Berichterstattung ist mit diesem Modell
kompatibel. Alle Benutzer, die der Rolle "Report-Operator" zugewiesen wurden, können
auf die ACS-Berichte zugreifen, vorausgesetzt, sie verfügen auch über die erforderliche
Berechtigung für die ACS-Datenbank.
Hinweis
Falls die Operations Manager-Berichterstattung später deinstalliert wird, muss
das ursprüngliche SRS-Sicherheitsmodell unter Verwendung des
Dienstprogramms ResetSRS.exe, das auf dem Installationsmedium im
Verzeichnis SupportTools zu finden ist, manuell wiederhergestellt werden.

Bei Installation der ACS-Berichterstattung auf einer dedizierten Instanz von SQL Server
Reporting Services:

Eigene Konsole für ACS- und Operations Manager-Berichte: Bei der Installation in einer
dedizierten SRS-Instanz erfolgt der Zugriff auf die ACS-Berichte über die SRS-Website,
die bei der Installation hierfür erstellt wird. Dadurch besteht mehr Flexibilität im Hinblick
auf die Konfiguration der Ordnerstruktur und die Verwendung des SRS ReportDesigners.

Eigenes Sicherheitsmodell: Wenn Sie eine dedizierte SRS-Instanz verwenden, können
Sie Sicherheitsrollen nach Bedarf erstellen, um die betrieblichen und IT-Anforderungen
zu erfüllen, die sich in Verbindung mit der Kontrolle des Zugriffs auf die ACS-Berichte
ergeben. Beachten Sie, dass für die ACS-Datenbank weiterhin die erforderliche
Berechtigung erteilt werden muss.
Die dritte Entscheidung, die Sie treffen müssen, gilt der Anzahl der ACS-Sammlungs-/DatenbankPaarungen, die zur Unterstützung Ihrer Umgebung bereitgestellt werden soll. Die Unterstützung,
die eine einzelne ACS-Sammlungs-/Datenbank-Paarung für die laufende Sammlung und
Einfügung von Ereignissen leisten kann, lässt sich nicht auf eine absoluten Zahl festlegen. Sie
hängt ab von der Leistung des Speichersubsystems, mit dem der Datenbankserver verbunden
ist. Beispielsweise kann eine einfache SAN-Lösung in der Regel 2.500 bis 3.000
Sicherheitsereignisse pro Sekunde unterstützen. Unabhängig hiervon wurde bei der ACSSammlung die Bewältigung kurzfristiger Spitzen von 20.000 Sicherheitsereignissen pro Sekunde
beobachtet. Die folgenden Faktoren wirken sich auf die Anzahl der pro Sekunde erzeugten
Sicherheitsereignisse aus:

Die Überwachungsrichtlinienkonfiguration: Mit zunehmender Aggressivität der
Überwachungsrichtlinie steigt auch die Anzahl der Sicherheitsereignisse, die von den
überwachten Computern erzeugt werden.
44

Die Rolle des Computers, auf dem die ACS-Weiterleitung aktiviert ist, je nach
Standardüberwachungsrichtlinie; der Domänencontroller erzeugt die meisten
Sicherheitsereignisse. Mitgliedsserver erzeugen die nächsthöchste und Arbeitsstationen die
geringste Menge.
Computerrolle
Ungefähre Anzahl ungefilterter
Sicherheitsereignisse pro Sekunde, die bei hoher
Last erzeugt werden
Windows Server 2003-Domänencontroller
40 Ereignisse pro Sekunde
Windows Server 2003-Mitgliedsserver
2 Ereignisse pro Sekunde
Arbeitsstation
0,2 Ereignisse pro Sekunde

Auf der Basis der Zahlen in der vorausgehenden Tabelle kann eine einzige High-EndPaarung von ACS-Sammlung/Datenbank bis zu 150 Domänencontroller, 3.000
Mitgliedsserver oder 20.000 Arbeitsstationen (bei angewendetem passendem ACSSammlungsfilter) unterstützen.

Menge der Benutzeraktivität im Netzwerk: Wenn Ihr Netzwerk von High-End-Benutzern
verwendet wird, die umfangreiche Transaktionen durchführen, wie dies beispielsweise bei
Microsoft der Fall ist, werden mehr Ereignisse erzeugt. Wenn Ihre Netzwerkbenutzer relativ
wenige Transaktionen durchführen, wie das bei einem Verkaufskiosk oder in einem
Warenlager der Fall ist, sind weniger Sicherheitsereignisse zu erwarten.

Konfiguration von ACS-Sammlungsfiltern: ACS sammelt alle Sicherheitsereignisse aus dem
Sicherheitsereignisprotokoll eines überwachten Computers. Unter all diesen gesammelten
Ereignissen sind wahrscheinlich nur einige wenige für Sie von Interesse. ACS bietet die
Möglichkeit, die unerwünschten Ereignisse herauszufiltern, sodass von der Sammlung nur
die erwünschten verarbeitet und in die ACS-Datenbank eingefügt werden. Mit zunehmender
Filterung werden weniger Ereignisse verarbeitet und in die ACS-Datenbank eingefügt.
Die letzte Entwurfsentscheidung, die Sie fällen müssen, betrifft die SQL Server-Version (2005
oder 2008), die Sie für die ACS-Datenbank verwenden wollen. ACS unterstützt den Einsatz von
SQL Server 2005 Standard Edition und SQL Server 2005 Enterprise Edition bzw. SQL
Server 2008 Standard oder Enterprise Edition. Die verwendete Version wirkt sich auf das
Verhalten des Systems während des täglichen Datenbankwartungsfensters aus. Bei der Wartung
werden Datenbankpartitionen, deren Zeitstempel außerhalb des Datenbeibehaltungsplans liegt
(in der Regel ist die Datenbeibehaltung auf 14 Tage eingestellt), aus der Datenbank gelöscht. Bei
Verwendung von SQL Server Standard Edition wird die Einfügung von Sicherheitsereignissen
angehalten, und Ereignisse verbleiben in der ACS-Sammlungswarteschlange, bis die Wartung
abgeschlossen ist. Bei Verwendung von SQL Server Enterprise Edition wird die Einfügung
verarbeiteter Sicherheitsereignisse fortgesetzt, wobei die Rate auf 30 bis 40 Prozent des üblichen
Werts reduziert ist. Dies ist ein Grund, weshalb Sie den Zeitraum für die tägliche
Datenbankwartung mit Sorgfalt auswählen und sich für eine Zeit entscheiden sollten, zu der
möglichst wenig Benutzer- und Anwendungsaktivität im Netzwerk stattfindet.
45
Richtlinien und bewährte Methoden im Hinblick auf den Überwachungssammeldienst
Für die Gesamtleistung des ACS-Systems ist die Leistung der ACS-Datenbank und des
Datenträgersubsystems am stärksten ausschlaggebend. Angesichts einer kontinuierlichen
Einfügerate von Tausenden von Ereignissen pro Sekunde mit potenziellen Spitzen in den
Zehntausenden Ereignissen pro Sekunde, ist dies offensichtlich. Bei vielen überwachten
Computern, einschließlich Domänencontrollern, sammelt sich nicht selten in einer 14-tägigen
Zeitspanne ein Terabyte an Daten in der ACS-Datenbank an. Im Folgenden einige bewährte
Methoden für ACS:

Verwenden Sie für Sammlung und SQL Server 64-Bit-Hardware und ein entsprechendes
Betriebssystem sowie eine leistungsstarke SAN-Lösung.

Trennen Sie die Datenbankdateien von den Transaktionsprotokollen.

Verwenden Sie dedizierte Hardware als ACS-Host, falls gerechtfertigt.

Verwenden Sie straffe Filter, um die Anzahl der rauschbedingten Sicherheitsereignisse, die in
die Datenbank eingefügt werden, zu senken.

Planen Sie Ihre Windows-Überwachungsrichtlinie sorgfältig, sodass auf den überwachten
Systemen nur relevante Ereignisse protokolliert werden.

Aktivieren Sie die ACS-Weiterleitung nur auf notwendigen Systemen.

Konfigurieren Sie Sicherheitsereignisprotokolle mit ausreichend Speicherplatz, sodass bei
einem Verlust der Kommunikation mit der ACS-Sammlung die
Sicherheitsereignisprotokolldatei nicht am Ende umbricht und vorausgehende Ereignisse
überschrieben werden mit dem Ergebnis, dass Ereignisdaten verloren gehen.
Entwickeln eines Implementierungsplans für
Operations Manager 2007
Entwickeln eines Implementierungsplans
Zu diesem Zeitpunkt des Entwurfsvorgangs sollten Sie über verschiedene Dokumente verfügen:

Eine Liste der Ziele Ihres Operations Manager 2007-Implementierungsprojekts

Eine Zusammenfassung der betrieblichen, rechtlichen und IT-Anforderungen

Ein zuverlässiges Bestandsverzeichnis Ihrer aktuellen Produktionsumgebung

Eine zuverlässige Beschreibung der gegenwärtig angewendeten Verfahren zur Durchführung
der Überwachung

Eine Auflistung der Operations Manager 2007-Dienste, die implementiert werden sollen, und
der Komponenten, die zur Unterstützung dieser Dienste notwendig sind

Ein detailliertes Diagramm Ihrer geplanten Verwaltungsgruppen mit Angaben, wie diese in
Ihrer Umgebung angeordnet werden sollen

Einen detaillierten Plan, wie Operations Manager mit Ihren aktuellen
Überwachungsprozessen integriert werden soll
46

Hardwarespezifikationen für die Server in den geplanten Verwaltungsgruppen
Das letzte Element, bei dessen Entwicklung dieses Handbuch Sie unterstützen soll, ist ein
Implementierungsplan.
Prüfen in einer Testumgebung
Ein Implementierungsplan ist einfach eine nicht übermäßig detaillierte Auflistung der Schritte, die
notwendig sind, um die Überwachungsumgebung aus ihrem gegenwärtigen, "Startzustand"
genannten Zustand in den "gewünschten Endzustand" zu überführen. Der einzige Weg, um einen
Implementierungsplan ordnungsgemäß zu entwickeln, führt über das Prüfen in einer
Testumgebung. Das Ziel des Prüfens in einer Testumgebung, als Teil der Entwicklung eines
Implementierungsplans, besteht darin, Konfiguration und Verfahren zu überprüfen, nicht jedoch
darin, die Skalierbarkeit nachzuweisen, da es sich aus Kostengründen gewöhnlich verbietet, die
Produktionsumgebung mit ihrer ganzen Komplexität vollständig zu modellieren und in eine
Testumgebung zu laden.
Beginnen Sie mit dem Entwurf der Testumgebung, indem Sie die kritischen Komponenten in Ihrer
Produktionsumgebung identifizieren, welche die Überwachungsumgebung unterstützen, zum
Beispiel das Active Directory und DNS. Identifizieren Sie außerdem Komponenten, mit denen
Operations Manager interagieren wird, zum Beispiel Anwendungen, Server und Arbeitsstationen.
Sichern Sie die Hardware, welche die Testumgebung des Startzustands hosten soll. Da Sie keine
Prüfung auf Skalierbarkeit durchführen, sollten Sie die Verwendung von Microsoft Virtual Server
in Erwägung ziehen, um diese Komponenten als virtuelle Maschinen zu hosten. Die Verwendung
von Virtual Server hat außerdem den Vorteil, dass sie die Möglichkeit bietet, die Testumgebung
nach einem Testlauf schnell auf einen leeren Startzustand zurückzusetzen. Bauen Sie die
Infrastruktur der kritischen Komponenten und andere Komponenten des Startzustands in dieser
Umgebung auf. Gehen Sie dabei mit der gebotenen Sorgfalt vor, um sicherzustellen, dass die
Testumgebung der Produktionsumgebung möglichst ähnlich ist. Je größer die Ähnlichkeit im
Hinblick auf Konfiguration, Dienste und Daten ist, desto aussagekräftiger ist die nachfolgende
Prüfung.
Stellen Sie dann die Hardware bereit, die verwendet werden soll, um die
Produktionsimplementierung Ihrer Verwaltungsgruppen zu unterstützen, und bringen Sie diese in
der Testumgebung zum Laufen. Dies gibt Ihnen Gelegenheit zu überprüfen, ob die gesamte
Hardware vorhanden ist und einwandfrei arbeitet. Stellen Sie danach eine grobe Liste der
Schritte zusammen, mit denen die Bereitstellung von Operations Manager erfolgen soll. Damit
sind die vorbereitenden Schritte abgeschlossen.
Nun sollten Sie schrittweise die Implementierung in der Testumgebung durchführen und dabei die
Verfahren jeweils entsprechend aktualisieren. Es ist zu erwarten, dass während dieses Vorgangs
Probleme auftreten. Das Ziel besteht hierbei darin, möglichst viele Probleme, welche die
Implementierung behindern, zu identifizieren und Lösungen oder Verfahren zur Überwindung
dieser Probleme zu entwickeln. Sie müssen damit rechnen, dass dieser Prozess viele Male
wiederholt werden muss, wobei Sie jedes Mal etwas weiter kommen und nach Bedarf die
Testumgebung auf den Startzustand zurücksetzen.
47
Sobald Sie in der Lage sind, die Implementierung vom Startzustand bis zum gewünschten
Endzustand erfolgreich zu durchlaufen, können Sie sicher sein, dass Sie über einen
zuverlässigen und wirklich nützlichen Implementierungsplan verfügen.
48