вторник, 10 августа 2010 г.

Средства аудита инфраструктуры

При реализации тех или иных проектов исполнителям может потребоваться информации о существующей инфраструктуре заказчика. Редко когда существует достаточно подробная и точная пояснительная записки по инфраструктуре, гораздо чаще приходится записывать необходимые данные со слов администраторов, которые, между прочим, тоже люди, поэтому могут ошибаться.
Для облегчения процесса проведения аудита я использую следующие программы и утилиты.


Сбор общей информации об инфраструктуре

Microsoft Assessment & Planning Toolkit (MAPT) - одна из лучших утилит по инвентаризации серверов и рабочих станций в сети. Позволяет использовать различные варианты обнаружения компьютеров, включая поиск в Active Directory, через сетевое окружение, в указанном диапазоне IP адресов, импортирование имен из текстового файла.
С помощью WMI запросов к каждому компьютеру собирает необходимую информацию, включая версию и редакцию ОС, установленные программы и компоненты, аппаратную конфигурацию, сетевые настройки.

Для хранения собранных данных используется база SQL сервера (поддерживается SQL Server 2008 Express Edition).

Сильной стороной утилиты является возможность генерации различных отчетов в формате xls (по версиям ОС, сетевой или аппаратной конфигурации, установленным в организации серверам SQL и т.д.).

Active Directory Topology Diagrammer (ADTD) - утилита для построения диаграмм и схем в Visio (поддерживает Vision 2003 / 2007) на основе данных, собранных из AD.
ADTD позволяет строить диаграммы: лесов, доверительных отношений и доменов, существующей иерархии организационных подразделений, почтовых серверов Exchange и коннекторов отправителей, организации сайтов и настройки репликации.

Следующая утилита - Microsoft IT Environment Health Scanner позволяет проверить общее состояние вашей инфраструктуры. Среди проверяемых параметров:
  • Конфигурация сайтов и подсетей Active Directory.
  • Состояние репликации Active Directory с использование DFS и FRS.
  • Разрешение имен с помощью DNS.
  • Настройка сетевых адаптеров на всех контроллерах домена
  • Конфигурация серверов DNS и почтовых серверов Microsoft Exchange.
  • Ошибки в журналах событий, связанных с работой домена
Результат работы программы экспортируется в html файл.
При наличии ошибок или предупреждений в результирующий отчет также будет добавлено краткое описание проблемы и дана ссылка на статью из базы знаний Microsoft. Загрузить Microsoft IT Environment Health Scanner можно отсюда.

Для сбора информации о групповых политиках можно воспользоваться скриптами ListSOMPolicyTree.wsf и GetReportsForAllGPOs.wsf, входящими в состав Group Policy Management Console (GPMC).
ListSOMPolicyTree.wsf выводит структуру организационных подразделений Active Directory с указанием всех примененных к ним групповых политик.
GetReportsForAllGPOs.wsf генерирует отчеты в формате html по всем созданным групповым политикам в указанной папке.

Из сторонних программ неплохо себя зарекомендовала ADScribe от компании LEADUM Software. Как нетрудно догадаться, ADScribe собирает информацию об объектах каталога Active Directory (пользователях, группах, компьютерах, контактах, организационных подразделениях, принтерах), сайтах и групповых политиках и сохраняет их в виде единого справочного chm или html файла. Программа может быть запущена с любого компьютера, входящего в обследуемый домен, при наличии у пользователя соответствующих прав.
К сожалению, ADScribe несовместима с 64-разрядными ОС (проявляется в виде проблемы с регистрацией библиотеки msxml.dll). Для ознакомления доступна полнофункциональная trial версия на 15 дней.

Сбор информации о сервере
В качестве основного средства по сбору информации о конфигурации сервера можно использовать Microsoft Product Support Reports (MPSReports). MPSReports собирает подробную информацию о конфигурации и настройках сервера, включая текущую аппаратную конфигурацию, установленные программы, драйверы, службы, версии библиотек и системных файлов, сетевые настройки, вывод утилит NetDiag, DCDiag, GPResult. Дополнительно в отчет могут быть включены результаты проверки настроек системы обновлений WSUS, служб SQL и Exchange. Вся собранная информация будет упакована в один .cab архив. Для его просмотра лучше всего использовать Microsoft Product Support Reports Viewer (MPS Reports Viewer).

В Windows Server 2008 R2 также есть встроенные инструменты по анализу установленных компонентов сервера на соответствие рекомендациям (Best Practice Analyzer). BPA устанавливается вместе с той или иной ролью и доступен из оснастки Server Manager.
Для автоматизации процесса сбора информации с локального сервера вы можете выполнить приведенный ниже скрипт:
#Get-BPAResults.ps1
#v.1.0
Import-Module ServerManager
Import-Module BestPractices

$ResultDir = "C:\Temp\"

foreach ($BPAModel in Get-BpaModel)
{
$BPAinstance = $BPaModel.Id
$FileName = $BPAinstance.Substring($BPAinstance.LastIndexOf("/")+1)
Invoke-BpaModel $BPAinstance
Get-BPAResult $BPAinstance | ConvertTo-Html > ($ResultDir + $FileName + ".html")
}
Результат анализа BPA по каждой роли будет сохранен в отдельном HTML файле в папке "C:\Temp".

Заключение
Как видите существует достаточно много простых и понятных утилит для сбора информации об инфраструктуре. Их использование позволит вам получить точную информацию о текущей конфигурации серверов "из первых рук", без необходимости отрыва администраторов от производства.

Комментариев нет:

Отправить комментарий