Настройка ролей с помощью диспетчера серверов. Настройка удаленного управления с помощью диспетчера сервера

Помните ли вы день, когда в ваши руки попала Windows Server 2008? Это было замечательное событие. С момента выхода предыдущей операционной системы прошло пять долгих лет. С начальной установкой пришлось повозиться довольно долго.

Вы ввели имя пользователя и пароль в окне входа, после чего увидели окно нового мастера под названием «Задачи первоначальной настройки» (Initial Configuration Tasks). Закрыв мастер, вы впервые увидели сделавший много шума диспетчер сервера (Server Manager).

«Вот оно! - могли вы подумать в волнении, изучая роли и функциональность. - Всего лишь одно окно, а все консоли управления собраны в одном месте. Теперь щелкнем правой кнопкой корневой узел и попытаемся поуправлять другим сервером. Упс, что-то не так…»

Вы помните, что произошло дальше, - вы осознали, что первая версия диспетчера сервера не была решением для удаленного администрирования. Справедливости ради надо отметить, что в Microsoft не анонсировали предыдущую версию Windows Server 2008 как решение для удаленного администрирования. Тем не менее, большинство из нас были шокированы, узнав, что функциональности удаленного администрирования в диспетчере сервера не было.

Подключение к другому компьютеру

В Microsoft все же прислушиваются к своим потребителям. В конечном счете, в Microsoft Windows 2008 R2 появилась возможность удаленного администрирования. В этой версии ОС, щелкнув правой кнопкой корневой узел в диспетчере сервера, можно открыть контекстное меню, содержащее команду Connect to Another Computer (Подключиться к другому компьютеру).

Но новый элемент в контекстном меню еще не означает, что все сразу заработает. Вернемся к корневому узлу в диспетчере сервера. Щелкните правой кнопкой имя сервера и выберите «Подключиться к другому компьютеру». Вас ждет еще один сюрприз. Первая попытка удаленного управления компьютером закончится неудачно. В этот момент появится сообщение об ошибке (рис. 1 ). Прежде чем приступать к удаленному управлению с помощью диспетчера сервера, нужно настроить несколько параметров.

Рис. 1. Сообщение об ошибке при попытке подключения к другому компьютеру

Чтобы понять, зачем нужно настроить эти параметры, надо понять, как работает удаленное управление. Часть функциональности удаленного управления Server Manager обеспечивается за счет Windows PowerShell. При изменении настройки в диспетчере сервера фактически выполняется команда Windows PowerShell. Диспетчер сервера лишь предоставляет интерфейс для этих операций, от вашего имени выполняя команды Windows PowerShell и сообщая их результаты.

Windows PowerShell всего лишь механизм отправки удаленных команд. Для обеспечения полноценного цикла управления на каждом удаленном сервере должна быть служба для прослушивания входящих команд и их локального выполнения. Это служба удаленного администрирования Windows (Windows Remote Management, WinRM), которая по умолчанию не активирована и не настроена. Ее можно включить, используя групповые политики.

Создайте новый объект групповой политики (Group Policy Object, GPO) и свяжите его с подразделением, в котором находятся серверы. Затем последовательно раскройте узлы Computer Configuration/Policies/Administrative Templates/Windows Components/Windows Remote Management/WinRM Service (Настройка компьютера/Политики/Шаблоны администрирования/Компоненты Windows/Удаленное управление/Windows Служба WinRM). Нам нужна политика Allow automatic configuration of listeners (Разрешить автоматическую настройку слушателей). Эта политика включает WinRM и заставляет ее прослушивать команды удаленного управления.

Рис. 2. Включение автоматической настройки слушателей

Выполнив настройку на странице конфигурации (рис. 2 ) можно задать диапазон IP-адресов хостов, которым разрешено удаленно управлять серверами.

Далее нужно настроить второй параметр объекта GPO для управления средой, в которой работает брандмауэр Windows. Последовательно раскройте узлы Computer Configuration/Policies/Windows Settings/Security Settings/Windows Firewall with Advanced Security (Настройка компьютера/Политики/Параметры Windows/Параметры безопасности/Брандмауэр Windows c расширенными настройками безопасности). Создайте три предопределенных входящих правила, разрешающих трафик служб Remote Event Log Management (Удаленное управление журналом событий), Remote Service Management (Служба удаленного управления) и Windows Firewall Remote Management (Удаленное управление брандмауэром Windows).

Если групповые политики не используются, можно разрешить удаленное управление вручную с помощью диспетчера сервера. Откройте диалоговое окно настройки удаленного управления (рис. 3 ), щелкнув ссылку Configure Server Manager Remote Management (Настроить удаленное управление Server Manager). Отметьте флажок Enable remote management of this server from other computers (Разрешить удаленное управление этим сервером с других компьютеров). Это нужно сделать для всех серверов, которыми планируется управлять удаленно.

Рис. 3. Диалоговое окно настройки удаленного управления Server Manager

Теперь можно приступить к удаленному управлению другими компьютерами под управлением Windows Server 2008 R2. Сначала в средстве удаленного администрирования сервера (Remote Server Administration Tools) нужно установить инструменты для управления ролями удаленного управления, сервисами ролей и функциями локального компьютера. Для этого нужно:

  • добавить или удалить нужные роли, службы ролей и функции;
  • настроить параметры удаленного рабочего стола;
  • настроить параметры системы;
  • проверить новые роли;
  • изменить параметры автоматического обновления Windows;
  • изменить параметры настройки сети;
  • изменить имя компьютера и его членство в домене;
  • изменить параметры расширенной безопасности Internet Explorer;
  • если компьютер является сервером под управлением Windows Server 2008 R2, выполнить Мастер настройки безопасности (Security Configuration Wizard).

Прощай RPC, здравствуй WinRM!

Удаленное управление с помощью Windows Remote Management (WinRM) может потребовать определенных усилий по настройке, но в итоге вы получите более удобную архитектуру удаленного управления сервером. Почему? Служба WinRM спроектирована для управления серверами Windows по ограниченному числу сетевых портов. Эта служба общается по протоколу HTTP через единственный TCP-порт 5985. Эта комбинация единственного порта и протокола устраняет множество проблем сетевой безопасности, присущих удаленному вызову процедур (Remote Procedure Call, RPC) – основному инструменту, применявшемуся в прошлом.

Как вы наверняка знаете, для управления серверами с помощью RPC требуется открыть целый диапазон портов на каждом Windows-сервере. Это плохо с точки зрения безопасности. С другой стороны, WinRM обеспечивает механизм управления серверами через единственную и надежно защищенную точку входа. Явное определение ограниченного числа доверенных IP-адресов обеспечивает дополнительную защиту от атак.

Кроме того, разрешение удаленного управления через единственный порт оказывается полезным, когда управляемый компьютер расположен за брандмауэром. С помощью WinRM можно удаленно управлять серверами в сетях периметра или в других защищенных сетях при значительном снижении угрозы атак.

На данный момент возможности удаленного управления средствами диспетчера сервера все еще несколько ограничены. Однако переход к использованию WinRM в качестве протокола и Windows PowerShell как оболочки - явный сигнал о том, что компания Microsoft движется в верном направлении.

Кто знает, может, когда-нибудь мы навсегда сможем отказаться от управления с применением RPC. Этот день я запомню навсегда.

Обслуживание и управление Windows Server 2008

Системы Windows Sever являются основой IT-инфраструктуры предприятия. Для оптимального ведения дел этими серверами необходимо управлять, и их же необходимо сопровождать. Управление и обслуживание сервера увеличивают инвестирование в инфраструктуру и повышают его отдачу. Они также способствуют эффективной работе IT-инфраструктуры и повышению доступности и надежности данных.В этой статье мы приведем выверенные на практике способы, которыми организация может сопровождать и управлять своей средой Windows Server 2008.

Windows Server 2008 содержит много новых средств и компонентов, облегчающих управление и сопровождение серверов. Это новая консоль Server Manager , усовершенствованный аудит, улучшенное конфигурирование серверов с помощью ролей и средств, усовершенствованное удаленное управление и множество новых возможностей. Многие задачи, ранее выполнявшиеся вручную, автоматизированы в Windows 2008 с помощью улучшенного планировщика задач, к которым относятся задачи дефрагментации и резервного копирования.

Управление сервером предполагает выполнение многих различных задач; это, в частности, администрирование и надзор за серверами на основе функциональных ролей, предупредительный мониторинг сетевой среды, отслеживание действий сервера и внедрение практики постоянного контроля изменений. Эти функции управления для Windows 2008 могут выполняться и локально, и удаленно.

Хотя администраторы могут легко завязнуть в повседневном администрировании и выполнении аварийных задач, все-таки важно структурировать управление и обслуживание Windows Server 2008, чтобы в дальнейшем сократить все излишние усилия. В Windows 2008 имеется множество инструментов, таких как серверные роли и Server Manager , позволяющих администраторам более эффективно управлять своими серверами.

Server Manager - универсальный центр для выполнения действий по управлению и мониторингу для большинства функций сервера Windows 2008. Операционная система автоматически добавляет нужные оснастки для управления компонентами и ролями при их установке. Это делает Server Manager "пристанищем" администраторов и упрощает их задачи по размещению средств и техник в одном месте.

Управление и сопровождение систем - не только полезные технологии, но и умение их применять. Следование правилам управления и обслуживания снижает затраты на администрирование, обслуживание и производственные затраты, увеличивая в то же время надежность, стабильность и безопасность системы.

Поскольку загрузка, возможности и использование систем изменяются, то для максимально эффективной работы эти системы необходимо сопровождать. Отсутствие такого обслуживания обычно приводит системы к замедлению времени ответа и уменьшению надежности.

Задачи первоначальной настройки

Одной из новых возможностей в Windows 2008 является мастер задач первоначальной настройки (Initial Configuration Tasks Wizard ), показанный на рис. 1. Стандартные шаги инсталляции в Windows 2008 существенно облегчены, позволяя администратору быстро создать новый сервер без необходимости отвечать на бесконечный поток вопросов.

Рис. 1. Мастер задач первоначальной настройки

Это помогает разделить задачи инсталляции базовой операционной системы и настройки сервера, экономя время администратора - долгожданное облегчение для всех администраторов, которые все время установки предыдущих версий Windows занимались тем, что наблюдали за копированием файлов с CD на жесткий диск.

После установки серверной операционной системы она загружается в защищенное состояние и становится готовой для выполнения задач первоначальной настройки. Эти задачи делятся на три обобщенных категории.

Provide Computer Information (Предоставление информации о компьютере). В данном разделе собрана информация, относящаяся к компьютеру: пароль администратора, часовой пояс, сетевая конфигурация и имя компьютера.

- Update This Server (Обновление данного сервера). В этом разделе собраны параметры автоматических обновлений и вручную установленные обновления.

Customize This Server (Настройка данного сервера). Здесь добавлены роли и средства компьютера, а также конфигурация удаленного рабочего стола и брандмауэра.

Первоначальные конфигурационные параметры довольно скудны (табл. 1) и обеспечивают минимальную защиту, а то и вовсе никакой. Например, к компьютеру не применены последние обновления безопасности, и система не настроена на их автоматическую загрузку. Поэтому брандмауэр Windows по умолчанию включен для защиты сервера от доступа из сети, пока не будет завершено первоначальное конфигурирование и средство Remote Desktop не будет отключено.

Каждый из этих параметров можно изменить с помощью мастеров, которые запускаются из мастера задач первоначальной настройки для облегчения настройки сервера.

Таблица 1. Стандартные конфигурационные параметры


Управление ролями и компонентами Windows Server 2008

Для организации и управления расширенными возможностями Windows 2008 в эту платформу включена новая парадигма - роли и компоненты. Они позволяют администраторам добавлять возможности в связанных блоках и управлять ими.

Роли в Windows Server 2008

Серверные роли в Windows 2008 используются для организации функциональности операционной системы. Это расширение серверных ролей предыдущих версий, но с существенными усовершенствованиями. Роли обычно включают в себя ряд связанных с ними функций или служб, которые и составляют возможности, предоставляемые сервером. Роль обозначает основную функцию сервера, хотя любой сервер может содержать несколько ролей.

В составе Windows 2008 имеются следующие роли.

Служба сертификации (Certificate Services) Active Directory

Служба доменов (Domain Services) Active Directory

Служба федерации (Federation Services) Active Directory

Облегченная служба каталогов (Lightweight Directory Services) Active Directory

Служба управления правами (Rights Management Services) Active Directory

Сервер приложений (Application Server)

Сервер DHCP

Сервер DNS

Сервер факсов

Файловая служба

Служба сетевых политик и доступа (Network Policy and Access Services)

Служба печати

Терминальная служба

Служба универсального описания, обнаружения и интеграции (Universal Description , Discovery , and Integration - UDDI )

Web-сервер (IIS)

Служба развертывания Windows (Windows Deployment Services)

Служба обновления серверов Windows (Windows Server Update Services)

В каждой роли имеется ряд служб, которые и составляют роль. Службы роли позволяют администратору загружать только те службы, которые нужны для данного конкретного сервера. В некоторых случаях, наподобие ролей сервера DHCP или DNS , роль и служба роли совпадают. В других случаях роль содержит несколько доступных для выбора служб. Например, роль файловой службы содержит перечисленные ниже службы.

Файловый сервер

Распределенная файловая система

Пространства имен DFS

Репликация DFS

Диспетчер ресурсов файлового сервера

Служба сетевой файловой системы

Служба поиска Windows

Файловая служба Windows Server 2003

Служба репликации файлов

Служба индексирования

При добавлении роли или службы роли выполняется установка двоичных (т.е. кодовых) файлов, которые обеспечивают функционирование службы. После установки роли обычно требуется выполнить дополнительные инсталляции и настройки - например, как в случае роли службы доменов Active Directory .

Загрузка только тех ролей, которые нужны на каждом сервере (т.е. только необходимых двоичных файлов), снижает сложность, площадь атаки и площадь применения исправлений. В результате получается более безопасный, менее сложный и более эффективный сервер - т.е. меньше головной боли для администратора, управляющего этим сервером!

Примечание. Площадь применения исправлений на сервере - это код на этом сервере, к которому нужно применить исправления. Чем больше эта площадь, тем больше потребность в исправлениях и, следовательно, время неработоспособности, а также затраты на администрирование. Если код установлен на сервере, к нему необходимо применять исправления, даже если он и не используется на сервере. Это похоже на площадь атаки сервера.

Хорошим примером может служить роль Web -сервера. Если на контроллер домена добавить роль Web -сервера, то необходимо установить и все исправления, применяемые к кодовым файлам роли Web -сервера. Это так даже в том случае, если службы роли отключены или просто не используются. Таким образом, площадь применения исправлений увеличивается.

Но если на контроллере домена установлены только роли (т.е. код) для необходимых функций, то нет необходимости применять исправления для других ролей на этом контроллере домена. Следовательно, площадь применения исправлений для контроллера домена уменьшена.

Компоненты в Windows Server 2008

В дополнение к ролям и службам ролей, в Windows 2008 имеется возможность добавлять компоненты. Компоненты обычно предназначены для поддержки ролей или служб ролей, но не зависят от них. К примеру, контроллер домена содержит роль службы доменов Active Directory (Active Directory Domain Services ). Но в некоторых организациях контроллеры доменов выполняют еще и функции сервера службы Internet -имен Windows (Windows Internet Naming Service - WINS ). Так вот WINS является компонентом в Windows 2008.

В Windows 2008 имеется много различных компонентов, часть из которых перечислена ниже.

NET Framework 3.0 Features (Компоненты.NET Framework 3.0)

BitLocker Drive Encryption (Шифрование диска BitLocker)

BITS Server Extensions (Серверные расширения BITS)

- Connection Manager Administration Kit (Инструментальный набор администрирования диспетчера подключений)

- Desktop Experience (Среда рабочих столов)

- Failover Clustering (Кластеризация подхвата)

Group Policy Management (Управление групповыми политиками)

Internet Printing Client (Клиент Internet-печати)

Internet Storage Name Server (Сервер имен Internet-хранилища данных, iSNS)

LPR Port Monitor (Монитор портов LPR)

Message Queuing (Служба очередей сообщений)

- Multipath I /O (Разветвленный ввод-вывод)

Network Load Balancing (Балансировка сетевой нагрузки)

Peer Name Resolution Protocol (Протокол разрешения сетей в одноранговых сетях)

Quality Windows Audio Video Experience (Среда качественного аудио и видео Windows, qWave)

Remote Assistance (Удаленный помощник)

Remote Differential Compression (Удаленное разностное сжатие)

- Remote Server Administration Tools (Средства администрирования удаленного сервера)

Removable Storage Manager (Диспетчер сменных носителей)

- RPC over HTTP Proxy (Прокси RPC поверх HTTP )

Simple TCP/IP Services Служба простого TCP/IP)

SMTP Server (Сервер SMTP)

SNMP Services (Служба SNMP)

Storage Manager for SANs (Диспетчер памяти для сетей SAN)

Subsystem for UNIX-Based Applications (Подсистема для UNIX-приложений)

Telnet Client (Клиент Telnet)

Telnet Server (Сервер Telnet)

TFTP Client (Клиент TFTP)

Windows Internal Database (Внутренняя база данных Windows)

Windows PowerShell

Windows Process Activation Service (Служба активации процессов Windows)

Windows Server Backup Features (Компонент резервного копирования сервера Windows)

Windows System Resource Manager (Диспетчер системных ресурсов Windows)

WINS Server (Сервер WINS)

Wireless LAN Service (Служба беспроводной LAN)

Все эти компоненты устанавливаются с помощью мастера добавления компонентов (Add Features Wizard ) из состава Server Manager . Для добавления какого-либо компонента выполните следующие шаги.

1. В мастере задач первоначальной настройки или консоли Server Manager щелкните на ссылке Add Features (Добавить компоненты).

2. Выберите компонент или набор компонентов.

3. Щелкните на кнопке Next (Далее), чтобы подтвердить выбор компонентов.

4. Щелкните на кнопке Install (Установить), чтобы установить выбранные компоненты.

5. Щелкните на кнопке Close (Закрыть), чтобы выйти из мастера.

6. Закройте окно Server Manager . Теперь компонент установлен.

Консоль Server Manager

Server Manager (Диспетчер сервера) - новое средство, вобравшее в себе управление всеми ролями и компонентами, имеющимися в Windows 2008. Эта консоль предоставляет удобный административный доступ к полному операционному статусу, средствам мониторинга и средствам настройки для всего сервера.

Server Manager позволяет администратору выполнять следующие действия:

Добавлять на сервер роли и компоненты и удалять их;

Наблюдать за работой и управлять сервером;

Выполнять администрирование ролей и компонентов на сервере.

По сути, Server Manager представляет собой универсальный центр для выполнения администратором всех действий по управлению и мониторингу. Доступ к средствам Server Manager осуществляется через консоль Server Manager .

Если выбрать в дереве папок имя сервера, то на панели Details (Информация) появится главное окно Server Manager , поделенное на несколько разделов. Раздел Server Summary (Сводка информации о сервере), показанный на рис. 2, содержит информацию о компьютере: имя компьютера, информация о сети и активизирован ли удаленный рабочий стол.


Рис. 2. Раздел Server Summary консоли Server Manager

Здесь же находится информация о безопасности: разрешена ли работа брандмауэра Windows и состояние обновления Windows . В этом разделе находятся также активные ссылки, позволяющие администратору запустить какой-либо мастер для изменения конфигурации или получения справки.

Server Manager запускается автоматически при завершении работы мастера первоначальной настройки и при каждом входе пользователя в сервер.

В последующих разделах описываются компоненты и средства Server Manager .

Роли и компоненты Server Manager

Разделы Roles Summary (Сводка ролей) и Feature Summary (Сводка компонентов), показанные на рис. 3, показывают все установленные роли и компоненты. В разделе Roles Summary выводится также состояние ролей. В разделах сводок имеются также ссылки для добавления и удаления ролей и компонентов, а также для получения контекстно-зависимой подсказки.


Рис. 3. Разделы Roles Summary и Feature Summary консоли Server Manager

Страница Roles консоли Server Manager

Консоль Server Manager содержит дерево папок для отображения ролей, выполняющихся на сервере. При выборе в дереве консоли папки Roles (Роли) выводится сводка информации о ролях, установленных на сервере, а также страницы сводки для каждой из ролей. Такие страницы сводки отображают состояние роли, например, состояние системных служб и событий для роли.

Но выбор папки конкретной роли выводит страницу, характерную именно для этой роли Server Manager . Такие страницы зависят от конкретной роли и содержат операционную информацию об этой роли. Ниже будут описаны разделы, входящие в страницы конкретных ролей.

Раздел Events

Часто бывает затруднительно открыть полную оснастку Event Viewer и просматривать события для всех ролей, служб и операционной системы. Обычно при этом выдается так много информации, что администратор просто теряется и зачастую не может увидеть реальные проблемы. Раздел Events (События) на странице конкретной роли содержит только события, относящиеся только к данной роли.

В разделе Events можно просмотреть сводку событий, относящихся к данной роли, просмотреть подробную информацию об этих событиях, а при необходимости и отфильтровать события. Фильтр, применяемый по умолчанию, отображает только события за последние 24 часа, но его можно перенастроить с помощью кнопки Filter Events (Фильтр событий).

Из этого раздела можно запустить и полное средство Event Viewer .

Раздел System Services

Раздел System Services (Системные службы) содержит список служб, от которых зависит роль, и их состояние. Тут же имеются описания каждой службы и управляющие ссылки: Stop (Остановить), Start (Запустить), Restart (Перезапустить) и Preferences (Настройки).

Ссылка Preferences (Настройки) позволяет администратору настроить зависимые службы. Например, если администратор считает, что служба WINS обязательно нужна для роли службы доменов Active Directory (т.е. контроллера домена), то эту службу можно добавить в список Preferences (Настройки).

Раздел Role Services

Раздел Role Services (Службы роли) показывает, какие службы роли доступны для установленной роли. Имеются также ссылки для добавления или удаления служб роли.

Если в этом разделе выбрать какую-либо службу роли, то выводится краткое описание назначения этой службы, а также ссылка для получения более подробной информации о ней.

Раздел Advanced Tools

Для некоторых ролей имеется раздел Advanced Tools (Дополнительные средства) со списком средств для поддержки роли. Сюда относятся и утилиты командной строки, и консоли ММС с кратким описанием их функций.

К примеру, для роли службы доменов Active Directory (у которой наиболее развитый набор средств по сравнению с другими ролями) в этом разделе приведено 21 средство, среди которых перечисленные ниже.

Средства AD DS. Это консоль AD Domains and Trusts, консоль ADSI Edit и утилита ntdsutil.

Средства службы каталогов. К ним относятся DSADD , DSGET и DSMGMT .

Сетевые и другие средства. Это средства наподобие NSLOOKUP и W 32TM .

Любое из таких средств можно запустить, щелкнув на активной ссылке. В случае консольного средства запускается эта консоль. В случае утилиты командной строки она запускается с параметром вывода подсказки, т.е. списка опций утилиты.

Например, после установки на сервере роли службы доменов Active Directory из раздела Advanced Tools можно запустить средство DCPROMO и завершить конфигурирование службы доменов.


Рис. 4. Папки средств роли

Раздел Resources and Support

Раздел Resources and Support (Ресурсы и поддержка) необычайно полезен. В нем собраны краткие рекомендации по настройке, практические советы и ссылки на ресурсы.

Список рекомендаций собран в отдельном разделе; при выборе какой-либо рекомендации выводится ее краткое пояснение и ссылка на более подробное объяснение. Это очень удобно для изучения рекомендаций. Здесь же имеются ссылки на онлайновые ресурсы, например, соответствующий раздел TechCenter или Community Center для данной роли.

Папки средств

В каждой из папок ролей в дереве папок Server Manager имеются подпапки для оснасток ММС этой роли. Эта возможность предоставляет удобный доступ к средствам из Server Manager без необходимости разыскивать эти средства в папке Administrative Tools (Администрирование).

Например, у роли Active Directory Domain Services (Служба доменов Active Directory) имеются две папки средств. Это оснастки Active Directory Users and Computers и Active Directory Sites and Services (рис. 4).

Как видно на данном рисунке, это те же полноценные оснастки, которые можно запустить и из папки Administrative Tools . На рисунке выбран контейнер Users (Пользователи) и открыты свойства учетной записи пользователя Administrator .

Для других ролей на сервере (роли DHCP Server и DNS Server ) можно просмотреть другие средства.

Страница Features консоли Server Manager

Страница Features (Компоненты) содержит сводку по всем установленным компонентам. Здесь имеются также активные ссылки для добавления и удаления компонентов, а также ссылка для получения справки.

Для некоторых компонентов имеется подпапка папки Features , представляющая собой оснастку ММС для данного компонента. Например, роль службы доменов Active Directory автоматически устанавливает компонент Group Policy Management (Управление групповыми политиками); поэтому в папке Features имеется соответствующая подпапка Group Policy Management Console (Консоль управления групповыми политиками).

Страница Diagnostics консоли Server Manager

Страница Diagnostics (Диагностика) консоли Server Manager объединяет в одном месте три различные консоли:

- Event Viewer (Просмотр событий)

Reliability and Performance (Надежность и производительность)

- Device Manager (Диспетчер устройств)

В последующих разделах описываются различные компоненты этих трех консолей со страницы Diagnostics .


Рис. 5. Графики в окне Resource Overview

Event Viewer

Возможности Event Viewer (Просмотр событий) в Windows 2008 усовершенствованы по сравнению с предыдущей версией Windows Server . Это версия, выпущенная с Windows Vista . Журналы событий могут содержать огромные объемы информации, которые Event Viewer весьма эффективно обрабатывает и резюмирует.

При выборе папки Event Viewer (Просмотр событий) в папке Diagnostics (Диагностика) приводит к отображению страницы Overview and Summary (Обзор и сводка). В разделе Summary of Administrative Events (Сводка административных событий) этой страницы выводится высокоуровневая сводка административных событий, упорядоченных по уровням:

Критические (Critical )

Ошибки (Error )

Предупреждения (Warning )

Информация (Information )

Успешные попытки аудита (Audit Success )

Неудачные попытки аудита (Audit Failure )

Приводится общее количество событий за последний час, 24 часа, 7 дней и всего. Каждый из этих узлов можно раскрыть и просмотреть счетчики конкретных идентификаторов событий на каждом уровне. Если дважды щелкнуть на счетчике идентификатора события, то появится подробный список событий с таким идентификатором. Это очень полезно для просмотра конкретных событий и определения причин их возникновения.

На странице Overview and Summary имеется также раздел Log Summary (Сводка по журналу), содержащий список всех различных журналов, которые ведутся на сервере. Это важно, поскольку в Windows 2008 ведется уже более 100 различных журналов. Кроме стандартных журналов - система, безопасность и приложения - имеется еще журнал установки и журнал перенаправленных событий. Кроме того, имеется множество журналов для каждого приложения и службы и огромное количество журналов для диагностики и отладки. Для каждого из этих журналов в разделе Log Summary выводится имя журнала, текущий размер, максимальный размер, время последнего изменения (если отслеживается) и политика хранения журнала. Это позволяет администратору быстро оценить состояние всех журналов, что иначе было бы утомительным делом.

Конечно, журналы можно просматривать и непосредственно, раскрыв папку Windows Logs (Журналы Windows ), которая находится в папке Applications and Services Logs (Журналы приложений и служб). Папка Windows Logs содержит журналы для всех стандартных приложений, безопасности, установки, системы и перенаправленных событий. Журналы приложений и служб содержат все остальные журналы.

Можно создавать специализированные журналы для фильтрации событий и объединения журналов в единое согласованное представление. Имеется стандартное представление Administrative Events (Административные события), объединяющее критические события, ошибки и предупреждения из всех административных журналов. Для каждой роли, установленной на сервере, имеется свое специальное представление. А, кроме того, при необходимости администратор может создавать дополнительные представления.

Подписки могут собирать события с удаленных компьютеров и хранить их в журналах перенаправленных событий. Какие именно события собираются - указывается в подписке. Эта функциональность зависит от служб Windows Remote Management (Удаленное управление Windows , WinRM ) и Windows Event Collector (Сборщик событий Windows , Wecsvc ); они должны выполняться и на собирающем, и на перенаправляющем сервере.

Монитор надежности и производительности консоли Server Manager

В Server Manager встроен также монитор надежности и производительности (Reliability and Performance ). Впервые он появился в платформе Windows Vista . Это диагностическое средство позволяет администратору наблюдать за производительностью сервера в реальном времени, а также сохранять данные о производительности в журналах для последующего анализа.

Папка самого верхнего уровня в мониторе надежности и производительности выводит окно Resource Overview (Обзор ресурсов). В нем содержится исчерпывающий обзор использования ЦП, дисков, сети и памяти за последние 60 секунд (рис. 5). На графике приводится общее использование сервером этих четырех категорий. Кроме того, для каждой из этих категорий на панели Details (Подробно) выводится использование их каждым процессом.

Окно Monitoring Tools (Средства мониторинга) монитора надежности и производительности содержит монитор производительности (Performance Monitor ) и монитор надежности (Reliability Monitor ). Эти средства позволяют выполнять мониторинг производительности и надежности работы сервера.

Монитор производительности не изменился по сравнению с предыдущими версиями Windows . Он позволяет выбирать счетчики производительности и добавлять их на представление графика для наблюдения в реальном времени. Вид графика можно задать: линейный, столбчатый или даже текстовый отчет. Монитор показывает последнее, среднее, минимальное и максимальное значения и длительность замера (по умолчанию 1 минута 40 секунд).

Монитор надежности отслеживает события, которые потенциально могут влиять на стабильность работы сервера - такие как обновления, инсталляции и проблемы с оборудованием. Он использует эту информацию для генерирования индекса стабильности системы (System Stability Index ) - числа, которое может принимать значения от 1 (наименее стабильное) до 10 (наиболее стабильное). Индекс отслеживает следующие события:

Инсталляции и деинсталляции программного обеспечения (Software Installs / Uninstalls )

Сбои приложений (Application Failures)

Отказы оборудования (Hardware Failures)

Сбои Windows (Windows Failures)

Остальные сбои (Miscellaneous Failures)

Все эти события выводятся на диаграмме и используются для вычисления индекса стабильности системы. Он полезен для оценки общей работоспособности сервера и для устранения неполадок. Эти события отображаются на временной диаграмме, и можно оценить их потенциальное влияние на стабильность работы сервера и их корреляцию с действительными проблемами в стабильности.

И, наконец, для долговременного мониторинга можно использовать наборы собираемых данных (Data Collector Sets ). Эти наборы могут фиксировать данные из следующих источников:

Счетчики производительности (Performance Counters )

Трассировки событий (Event Traces )

Значения ключей системного реестра (Registry Key Values )

Эти данные можно накапливать в течение длительного периода времени, а затем просмотреть их.

Диспетчер устройств

Узел Device Manager (Диспетчер устройств) показывает оборудование, установленное на сервере. Оно группируется по категориям: дисковые приводы, адаптеры дисплеев и сетевые адаптеры. Каждый экземпляр устройства отображается в виде узла под типом устройств.

С помощью диспетчера устройств можно обновлять драйверы аппаратных компонентов, изменять настройки и устранять проблемы, возникшие с оборудованием. Конкретнее, вы можете выполнить следующие задачи:

Поиск нового оборудования

Распознавание проблем с оборудованием

Настройка конфигураций

Просмотр версий драйверов устройств

Обновление драйверов устройств

Откат обновлений драйверов устройств

Подключение или отключение оборудования

Например, иногда старые драйверы видеокарт или сетевых карт могут нарушить работу системы. Диспетчер устройств позволяет легко просмотреть онлайновое хранилище драйверов Microsoft . Чтобы проверить наличие обновлений драйвера для сетевого адаптера, выполните перечисленные ниже шаги.

1. Раскройте в диспетчере устройств узел Network Adapters (Сетевые адаптеры).

2. Выберите сетевой адаптер, для которого необходимо выполнить проверку.

3. Выберите пункт меню Action -> Update Driver Software (Действие -> Обновить программу драйвера).

4. Щелкните на кнопке Search Automatically for Updated Driver Software (Выполнить автоматический поиск обновленного драйвера).

5. Щелкните на кнопке Yes , Always Search Online (Recommended ) (Да, всегда выполнять поиск в Internet (рекомендуется)).

6. Если обновление найдено, установите его.

7. Щелкните на кнопке Close (Закрыть), чтобы выйти из мастера.

Примечание. Часто бывает, что последняя версия драйвера уже установлена. В таких случаях будет выведено сообщение "The best driver for your device is already installed " (Наилучший драйвер для вашего устройства уже установлен).

Всем привет сегодня хочу рассказывать, о том как установить и настроить диспетчер системных ресурсов Windows server 2008 R2. Напомню, что это компонент, который позволяет ограничить Службы удаленных рабочих столов и пулы приложений служб IIS по процессорам и оперативной памяти, так как на моей практике, были случаи, что iis выедала всю ОЗУ и виртуальная машина просто висла на прочь. Ниже мы рассмотрим как этого избежать.

И так принцип ясен, создаем лимит по ресурсам для определенной службы. Для начала нужно установить диспетчер системных ресурсов, он есть только в Windows server 2008 R2 Enterprise и Datacenter.

Устанавливаем компонент диспетчер системных ресурсов

Открываем диспетчер сервера > Компоненты > Добавить компоненты

Выбираем диспетчер системных ресурсов и жмем далее.

Вам покажут, что нужно добавить дополнительные компоненты.

жмем установить.

начнется процесс установки диспетчера системных ресурсов

Через пару минут компонент будет добавлен, не забудьте проверить обновления Windows, может для него, что то найдется.

теперь давайте его запустим, для этого идем в пуск > Администрирование > диспетчер системных ресурсов

Вот как выглядит сама оснастка.

Еще Microsoft предупреждает, что если у вас есть стороннее ПО, для управления ресурсами, то оно может конфликтовать со встроенным диспетчером системных ресурсов Windows server 2008 R2

Первым делом в Windows System Resource Manager делается условие, что именно за процесс или сборник процессов вы хотите ограничить. Щелкаем правым кликом по условие соответствия процессов и выбираем создать.

В открывшемся окне мастера введите понятное вам название, так как условий ограничения может быть много, чтобы у вас не было путаницы. Теперь жмете Добавить, и у вас на выбор 4 пункта

  • Зарегистрированная служба
  • Запущенный процесс
  • Приложение
  • Пул приложений IIS

Я для примера буду ограничивать приложение Google Chrome. для этого его нужно выбрать.

При желании можно добавлять много приложений.

если вы будите ограничивать IIS, то Windows System Resource Manager позволяет ограничивать даже конкретные пулы.

Создание политик выделения ресурсов

Для того, чтобы создать новую политику, щелкаем по корню правым кликом и выбираем Создать политику выделения ресурсов.

В мастере задаем имя политики и жмем добавить. Кстати если политик будет несколько, то их приоритет можно задавать с помощью стрелок.

У вас откроются 3 вкладки

  • Общие > даст задать условие и ограничить процессоры
  • Память > задать ограничение по памяти
  • Дополнительно

Ограничение лимита по процессорам

Я выбираю для примера IISAppPool и говорю, что он не может использовать более 95 процентов процессора. По сути вы указали максимальную величину процессорного времени, которое может потреблять выбранное приложение. При наличии всего одной политики вы можете установить для процессорного времени в любое значение от 0% до 99%.

Посмотрите еще параметр Процент оставшегося времени ЦП, это сколько процессорных мощностей у вас осталось. Простой пример вы задали политикой для приложения 25% из ресурсов вашего процессора, это значит что остальным приложениям будет доступно 74 процента один процент система оставляет себе на случай того, чтобы можно было достучаться до Windows System Resource Manager.

Но тут же можно и выбрать, то что создано заранее.

Теперь переходим на вкладку Память. Тут ставим галку Использовать максимум памяти для каждого процесса и выставляем лимит, а так же действие, что будет если будет превышен лимит, я выставил остановить..

С одной стороны, если приложение запущено на вашем сервере, то на это были причины. Поэтому вы, вероятно, не захотите, чтобы сервер остановил приложение, если можно обойтись без этого. С другой стороны, предположим, что в приложении происходит утечка памяти, и такое избыточное потребление памяти может привести к проблемам в работе других еще более важных приложений на том же самом сервере. В такой ситуации, разумнее было бы остановить приложение до того, как возникнет шанс его пересечения с другим приложением.

К сожалению данный лимит ни как не ограничит дальнейшее потребление, так вот сделано, но уж лучше потушить нужный процесс, чем он выведет из строя весь хост, с процессором вы задаете абсолютное значение, выше которого вы просто не сможете перейти

Осталась вкладка дополнительно, тут можно явным образом задать какие процессоры использовать и указать правила управления, о них ниже.

Если вы нажмете кнопку перераспределить ресурсы, то сможете добавить дополнительные условия.

Не забудьте еще настроить уведомления о событиях и все ваш Windows System Resource Manager, готов к работе.

Диспетчер сервера (Server Manager), появившийся в Win2k8, заменил десяток утилит из группы Computer Management в Win2k3. Это очень удобный инструмент, в котором все настройки собраны в одном месте. Но кроме графического Server Manager , в состав сервера входит и командная утилита ServerManagerCmd.exe , при помощи которой также можно управлять рядом настроек. Чтобы с ее помощью просмотреть список всех ролей и компонентов, имеющихся на сервере, используем параметр ‘-query/-q ‘.

> servermanagercmd -query c:\Query.xml

Внутри образованного файла будет несколько десятков строк вроде этой:

> servermanagercmd –install FS-FileServer

Но нужно быть внимательным при выборе Id. Например, возьмем такие, казалось бы, похожие строки:

Веб-сервер IIS (Web-Server) Веб-сервер (Web-WebServer)

Веб-сервер IIS (Web-Server) Веб-сервер (Web-WebServer)

При установке Web-Server будут автоматически добавлены все роли, относящиеся к IIS, т.е. ASP, ASP.NET, CGI, Web Security и другие. Дополнительные компоненты для Web-WebServer необходимо указать самостоятельно. Чтобы уберечь админа от лишних экспериментов, предусмотрен полезный параметр ‘-whatIf ‘ (А что если). При его использовании само действие выполняться не будет, но будут показаны все Id, которые планируются к установке/удалению, а также дополнительная информация (потребуется ли перезагрузка). В последнем случае, чтобы не производить перезагрузку вручную, просто добавляем ключ ‘-restart ‘ к вызову ServerManagerCmd. Некоторые роли или компоненты требуют наличия других компонентов, чтобы установить все зависимости, следует добавить ‘-allSubFeatures/-a ‘.
Удалить выбранный Id можно так:

> servermanagercmd –remove Web-Server –restart –resultPath result.xml

> servermanagercmd –remove Web-Server –restart –resultPath result.xml

Параметр ‘–resultPath/-rp’ позволяет сохранить результат выполнения в файл, что полезно для дальнейшего анализа. Ключи ‘-install ‘ и ‘-remove’ можно использовать только к одному компоненту. Для одновременной установки и/или удаления нескольких ролей более эффективно применять ключ ‘-inputPath ‘ с указанием XML файла с настройками (его формат аналогичен полученному при помощи ‘-query ‘).
Осталось добавить, что утилита ServerManagerCmd в Server Core отсутствует, а одновременное использование графической и командной оболочек Server Manager вызовет ошибку.

Служба администрирования задач и процессов Windows (диспетчер), как известно, является очень мощным средством отслеживания всех процессов, включая пользовательские и системные, инструментом устранения некоторых проблем, а также визуальным помощником в определении нагрузки на системные ресурсы. Но бывает и так, что пользователь вдруг ни с того ни с сего получает уведомление о том, что Диспетчер задач отключен администратором. Ладно, если его действительно отключил администратор локального компьютера или сети, а если терминал не имеет локального подключения, а пользователь сам, по идее, обладает правами администратора?

Почему возникает предупреждение «Диспетчер задач отключен администратором»?

Причин для появления такого сообщения может быть, сколько угодно. Прежде всего, это может быть связано с политикой безопасности, когда администратор компьютера или сети (сисадмин) отключает возможность его использования только для того, чтобы неопытный юзер, не дай бог, не завершил какие-либо жизненно важные системные процессы.

С другой стороны, если на терминале работает только один пользователь, то есть, сам администратор, тоже может возникнуть предупреждение, что Диспетчер задач отключен администратором. Windows 7, например, как и любая другая система, просто блокирует доступ к его основным функциям. Причем сразу совершенно непонятно, почему. Давайте рассмотрим основные методы решения этой проблемы.

Что делать в первую очередь, если Диспетчер задач отключен администратором (Windows всех версий)?

Для начала отметим, что паниковать явно не стоит. Проблема в большинстве случаев исправляется достаточно просто.

Если такая ситуация наблюдается на администраторском компьютере, очень может быть, что пользователь просто подхватил вирус (и это, кстати, очень частая ситуация). Как уже понятно, для ее исправления нужно запустить сканирование системы либо штатным антивирусом (углубленный анализ), либо портативной утилитой, либо средством проверки, запускаемым с диска или USB-носителя до старта самой «операционки». Однако, не всегда все так просто.

Включение Диспетчера в Windows XP

Рассмотрим в качестве одного из примеров ОС Windows XP при условии, что на одном терминале присутствует несколько учетных записей, и в данный момент пользователь работает в своем персональном сеансе без административных прав.

В данном случае при попытке запуска службы и появится уведомление «Диспетчер задач отключен администратором». Как включить этот процесс? Нет ничего проще. Для этого очень хорошо подходит утилита Windows XP Tweaker, которую можно найти в Интернете даже в виде портативной версии.

После запуска программы находим в левом поле утилит раздел «Защита», после чего справа откроется окно настроек системы. Если в поле запрета вызова Диспетчера стоит галочка, ее нужно просто убрать и сохранить изменения путем нажатия кнопки «Применить». После этого доступ к службе будет восстановлен. Если этого не произошло, и предупреждение «Диспетчер задач отключен администратором», появится снова, необходимо просто произвести перезагрузку компьютерного терминала.

Использование утилиты AVZ

Достаточно интересной и мощной является многозадачная утилита AVZ. Берем ту же ситуацию. У пользователя появляется уведомление, что Диспетчер задач отключен администратором. Как включить службу, используя AVZ? Практически так же, как и в прошлом случае.

Только здесь необходимо из меню «Файл» вызывать раздел восстановления настроек системы, а в окне процессов и служб поставить «птичку» напротив пункта «Разблокировка Диспетчера задач» (пункт 11). Доступ будет восстановлен даже без перезагрузки.

Кстати сказать, при помощи этой программы таким же методом можно разблокировать доступ к редактору системного реестра, который сисадмины частенько блокируют.

Использование клиента групповой политики

Теперь рассмотрим стандартное средство исправления ситуации, которое имеется в самой операционной системе. Это так называемый клиент групповой политики. Процесс, правда, выглядит несколько сложнее.

Итак, что делать, если Диспетчер задач отключен администратором в этом примере? Заходим в поле поиска, расположенное в главном меню «Пуск» и прописываем строку gpedit.msc, после чего в открывшемся клиенте слева обращаем внимание на раздел пользовательской конфигурации, в котором имеются подразделы административных шаблонов и системы. Справа в окне будет видна строка «Удаленный Диспетчер задач». После двойного клика на ней нужно выбрать либо параметр «Не задано», либо параметр «Отключить» (заметьте, параметр включения блокирует доступ к службе Диспетчера задач). Теперь просто сохраняем изменения, и доступ восстанавливается.

Включение службы в редакторе реестра

Приведем еще более сложную ситуацию, когда система информирует пользователя, что Диспетчер задач отключен администратором. Выходом из такой ситуации может стать вызов стандартного редактора системного реестра (при условии, что пользователь имеет к нему доступ). Если доступа нет, включить его можно при помощи утилиты AVZ, как это было описано выше.

В меню «Выполнить» прописываем regedit (или используем клавиши Win + R), а в реестре находим раздел System, запрятанный очень глубоко). Таких разделов может быть несколько, но использовать нужно именно тот, при клике на котором справа отобразится окно, содержащее строку Disable Task Manager (тип REG_DWORD). Поиск можно задать и по ключевой строке, так будет быстрее. Двойной клик на строке вызывает установленное значение. Если служба отключена, это будет «0». Как уже понятно, его нужно исправить на «1» и нажать кнопку «OK».

Использование командной строки

Напоследок, еще один, наверное, самый сложный для рядового пользователя вариант отключения уведомлений, сигнализирующих, что Диспетчер задач отключен администратором.

В этом примере необходимо в командной строке, запущенной от имени Администратора, прописать значение cmd. В окне редактора прописываем следующее: «REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System», через пробел «/v», затем еще раз через пробел «DisableTaskMgr», еще один пробел и параметр «/t», далее «REG_DWORD» и опять через пробел «/d 0 /f» (все команды без кавычек). Должно получиться как картинке.

После этого нажимается клавиша Enter (ввод). Теперь можно попробовать запустить сам Диспетчер задач, правда, делать это нужно исключительно из командной строки (в поле вводится команда taskmgr).

У этого метода есть один недостаток. Он позволяет включить службу одноразово. В случае, когда может потребоваться многократное использование, лучше заранее создать текстовый файл с вышеприведенными командами, а затем изменить его расширение на.bat (в любой программе типа стандартного «Блокнота»). Такой исполняемый файл для включения доступа нужно будет запускать исключительно от имени Администратора, что делается при помощи меню, вызываемого правым кликом на самом файле. Вот, собственно, и все.