Schon mit dem ersten Release von Windows NT hat Microsoft die Ereignisanzeige und, als dahinter stehende Technologie, die Ereignisprotokollierung des Betriebssystems eingeführt. Die Ereignisanzeige selbst ist nur ein Administrationsprogramm, das auf einem Systemdienst aufsetzt. Die Ereignisprotokollierung kann dabei über definierte Schnittstellen von beliebigen Anwendungen genutzt werden.
Genau das macht auch der MOM. Im Gegensatz zu der lokalen Ereignisanzeige ist der MOM aber ein verteiltes System, mit dem Ereignisse auf unterschiedlichen Servern in einem Netzwerk von verschiedensten Anwendungen überwacht werden können. Der MOM steht also für verteiltes Ereignismanagement in Netzwerken. Das Werkzeug wurde allerdings nicht von Microsoft selbst entwickelt. Microsoft hat den MOM von NetIQ (www.netiq.com) übernommen. NetIQ fokussiert sich nun auf die Entwicklung und Vermarktung ergänzender Komponenten zum MOM, die
eXtended Management Packs.
Diese XMPs und generell die Management Packs stellen das "Wissen" über die Ereignisse, die in den überwachten Systemen auftreten können, und die Regeln für die Behandlung solcher Ereignisse in vorkonfigurierter Form bereit.
Der MOM wird standardmässig mit einem Core Management Pack ausgeliefert. Dieses unterstützt Ereignisse unter anderem vom Basisbetriebssystem Windows 2000, dem Active Directory, dem DHCP- und DNS-Dienst von Windows 2000, den Internetinformationsdiensten, dem MOM und dem Microsoft Systems Management Server 2.0. Zusätzlich bietet Microsoft noch das Application Management Pack an, das mit dem Exchange Server, dem SQL Server, dem Site Server und einigen anderen Produkten die wichtigsten der Microsoft .Net Server abdeckt.
Solche Management Packs umfassen mehrere wichtige Funktionsbereiche. Zum einen sind dort die Ereignisse mit ihren Ereignis-IDs definiert. Zu diesen Ereignissen gibt es umfassende Beschreibungen. Das können beispielsweise auch Verweise auf die Knowledge Base sein. Am wichtigsten sind in den Management Packs aber die vordefinierten Regeln. Es gibt alleine beim Basisbetriebssystem Windows 2000 mehrere tausend verschiedene Ereignisse. Der Sinn des MOM ist es, möglichst automatisiert auf diese Ereignisse zu reagieren. Dazu muss er aber Regeln haben, die festlegen, wann er welche Aktivität ergreifen soll. Allein mit dem standardmässig gelieferten Management Pack werden mehr als 5000 solcher Regeln geliefert. Management Packs sind also die Startpunkte, um sehr schnell mit dem Management verteilter Systeme beginnen zu können.
Nach der Installation eines Management Pack wird in vordefinierter Weise auf alle Ereignisse reagiert - der Administrator kann sich dann auf das Feintuning beschränken und muss sich nicht mit jedem einzelnen Event auseinandersetzen. Mit neuen Modulen in Form von XMPs kann die Funktionalität des Produkts schnell erweitert werden.
Diese Modularität macht den MOM überhaupt erst zu einer sinnvoll nutzbaren Anwendung. Der ausschlaggebende Grund für Administratoren, um sich mit diesem System auseinanderzusetzen, ist aber typischerweise ein anderer: Die Ereignisüberwachung von Windows 2000 arbeitet nur lokal. In einem Netzwerk mit vielen Servern ist das aber nicht praktikabel, da man auf kritische Ereignisse schnell reagieren muss und dazu nicht ständig die Ereignisprotokolle aller Server durchgehen kann. Der MOM fasst nun diese Informationen zusammen, wobei mehrere Komponenten zusammenspielen.
Auf den überwachten Servern wird jeweils ein Agent installiert. Diese Agents können automatisiert verteilt werden. Der MOM übergibt an die Agents die Regeln, so dass diese lokal entscheiden können, worauf reagiert werden muss, und nicht gleich alle Ereignisse über das LAN senden müssen. Sie sammeln die Informationen und führen den ersten Analyseschritt durch. Ausserdem können sie Befehle, die vom MOM beispielsweise als Reaktion auf einen kritischen Fehler übermittelt wurden, auf dem Server ausführen und damit Dienste neu starten, Dateien kopieren oder andere Aktionen ausführen.
Diese Agents arbeiten mit dem sogenannten Consolidator zusammen, der selbst mehrere Agents steuern kann. Der Consolidator ist einerseits für die Kommunikation mit den Agents und andererseits für die Verteilung von neuen Agents, das Update derselben sowie für die Übermittlung von Regeln an die Agents verantwortlich.
Der Consolidator arbeitet wiederum mit dem Data Access Server (DAS) zusammen. Der DAS schreibt die protokollierten Ereignisse, die Regeln und andere Informationen in eine Datenbank. Wenig überraschend, verwendet der MOM dafür Microsoft SQL Server 2000. Auf diese Datenbank kann direkt mit den Reporting-Funktionen des MOM zugegriffen werden, welche auf den Microsoft-Access-Berichten basieren.
Die Administration kann schliesslich sowohl über eine Web-basierende Schnittstelle als auch über eine MMC-Schnittstelle, also die Integration mit der Microsoft Management Console, erfolgen. Das zentrale Element in dieser Architektur ist die Datenbank. Diese kann von verschiedenen Systemen aus verwaltet und abgefragt werden. Consolidators können auf unterschiedlichen Systemen ausgeführt werden und wiederum verteilte Agenten verwalten. Damit können sie beispielsweise in verschiedenen Netzwerksegmenten positioniert werden und dort die lokalen Agenten überwachen. Diese Skalierbarkeit wird schon im Installationsprogramm deutlich, wo mehrere Optionen von kleinen bis hin zu sehr grossen Netzwerken angeboten werden. Die verschiedenen Komponenten können dann entsprechend verteilt werden.
Während in kleinen Netzwerken typischerweise alle Informationen an einige wenige Administratoren gesendet werden, gibt es in grösseren Netzen Operatoren mit unterschiedlicher Verantwortung. Beim MOM lassen sich Operatoren konfigurieren, die in Operatorengruppen zusammengefasst werden. Hier können beispielsweise Operatorengruppen für Netzwerkprobleme, solche für Anwendungsserver und die Basisbetriebssysteme erstellt werden. Die Benutzer können flexibel solchen Gruppen zugeordnet werden. Interessant dabei ist, dass sich in der Zuordnung auch Besonderheiten wie Schichtdienste berücksichtigen lassen.
• Regeln: Für Ereignisse müssen wiederum Regeln definiert werden. Hier gibt es, wie ausgeführt, in den Management Packs typischerweise Tausende von vorkonfigurierten Regeln. Diese können sich auch auf Ereigniskombinationen beziehen, wobei viele dieser Events in Kombination auftreten. So geht Startproblemen von Diensten beispielsweise oft ein Fehler beim Start anderer Dienste oder eine Meldung über einen Hardwarefehler voraus. Mit den Regeln wird der Zusammenhang zwischen den Ereignissen und den zu ergreifenden Aktionen konfiguriert.
• Aktionen: Eine Aktion legt fest, in welcher Form auf ein Ereignis reagiert werden soll. Das kann von der Protokollierung über Warnmeldungen an die Operatoren bis hin zur Ausführung von Scripts reichen. Durch den in Windows 2000 integrierten Windows Scripting Host (WSH) lassen sich solche Scripts sehr flexibel und leistungsfähig gestalten, wobei sie im Prinzip alle Systemfunktionen steuern können. Zu den Aktionen gehört aber auch die Benachrichtigung von Operatoren über Mail, Pager oder andere Mechanismen, das Senden von SNMP-Traps, das Setzen von Zustandsvariablen oder die Ausführung anderer Anwendungen. Mit diesen Aktionen kann automatisiert auf die meisten Ereignisse reagiert werden. Der MOM vereinfacht also nicht nur das Erkennen von Problemen im Netzwerk, sondern auch die Reaktion darauf, weil viele Ausnahmesituationen schon über die Standardregeln und die mit dem Core Management Pack gelieferten gut 40 Scripts automatisiert behandelt werden können.
Bei der Nutzung des MOM darf man allerdings nicht übersehen, dass die Management Packs zwar eine schnelle produktive Nutzung des Systems ermöglichen, eine Anpassung aber weiterhin sehr komplex ist. Wer die vordefinierten Regeln an seine Bedürfnisse anpassen, optimieren und erweitern möchte, muss sich sowohl mit dem MOM, mit dem Windows-Scripting als auch mit den einzelnen Ereignissen, die bei Windows 2000 und den anderen vom MOM unterstützten Systemen auftreten können, sehr gut auskennen. Und er muss sich mit den vordefinierten Regeln auseinandersetzen, um Konflikte mit bereits definierten Regeln zu verhindern.
Ein schneller Start mit dem MOM ist dennoch machbar. Nach der Installation müssen nur die Operatoren konfiguriert und die Agents verteilt werden. Die Standardregeln führen dann bereits zu einer sinnvollen Überwachung des Systems. Dann gilt es, die Operatorenkonzepte und die Form der Warnmeldungen an die eigenen Bedürfnisse anzupassen. Im nächsten Schritt können dann Regeln optimiert sowie eigene Regeln und Scripts hinzugefügt werden. Die vordefinierten Ereignisse können mit eigenen Hinweisen für die Fehlerbehandlung ergänzt werden. Damit lässt sich der MOM einerseits sofort nutzen und kann andererseits Schritt für Schritt optimiert werden.
Der MOM ist in der von Microsoft gelieferten Form, auch in Verbindung mit dem Application Management Pack, zunächst auf Microsofts Plattformwelt ausgelegt. Neben Windows 2000 wird nur noch Windows NT 4.0 über einen Agent unterstützt. Gerade in grösseren Netzwerken gibt es aber einerseits bereits etablierte Management-Konsolen für das Systemmanagement wie BMC Patrol, Tivoli Enterprise, Computer Associates' Unicenter TNG oder die Lösungen von HP. Darüber hinaus müssen neben Windows 2000 und den darauf ausgeführten Serveranwendungen auch andere Systemplattformen wie Linux und Solaris überwacht werden.
Hier liefert NetIQ eine ständig wachsende Zahl von XMPs aus. Solche XMPs gibt es für andere Betriebssysteme wie Linux und Solaris, für andere Anwendungsserver wie Oracle und für die Integration mit Enterprise-Management-Systemen wie Tivoli Enterprise.
Der MOM kann dann einerseits sehr umfassende Funktionen für das Systemmanagement in Windows-Umgebungen bereitstellen und übertrifft hier die Funktionalität von anderen Systemmanagementlösungen deutlich. Auf der anderen Seite kann aber auch gezielt gesteuert werden, welche der auftretenden Ereignisse an andere Management-Systeme für die weitere Behandlung übergeben werden müssen.
Wer mittlere und grössere Windows-2000-Netzwerke ab etwa 10 bis 20 Servern betreibt, kommt am MOM kaum vorbei. Denn kein anderes System bietet derzeit eine so umfassende Funktionalität. Dafür sind einerseits das modulare Konzept, andererseits aber auch die Vielzahl vordefinierter Regeln verantwortlich. Der MOM ist, neben dem Microsoft Systems Management Server, dem Microsoft Application Center und den in Windows 2000 integrierten Funktionen wie den Gruppenrichtlinien, ein weiterer Baustein für das Systemmanagement von Windows-Plattformen.
Trotz der einfachen Installation und dem hohen Mass an vorkonfigurierten Informationen darf die Komplexität des Systems allerdings nicht unterschätzt werden. Wer den MOM optimal an seine Umgebung anpassen will, muss viel Arbeit investieren. Darüber hinaus sollte man sich auch vorab mit den Lizenzmodellen von Microsoft und NetIQ intensiv auseinandersetzen. Denn neben dem Basispreis des MOM ist das Application Management Pack praktisch unverzichtbar. Und gerade in heterogenen Umgebungen wird man auch kaum an weiteren XMPs von NetIQ oder anderen Anbietern vorbeikommen. Dem steht die schnellere Reaktion auf kritische Ereignisse und damit die potentielle Reduktion schwerwiegender Fehler und Ausfallzeiten sowie das einfachere Operating entgegen.
Zumindest in grösseren Netzwerkumgebungen werden sich die Investitionen in den MOM daher in jedem Fall lohnen.
