| Россия, Стерлитамак |
Инспектор
Вы можете этот курс.
Опубликован: 08.12.2008 | Уровень: специалист | Доступ: платный
Лекция 6:
Мониторинг Exchange Server 2003
Аннотация: Одним из условий успешной работы сети является внимательное наблюдение за ее работой, особенно в случае сложной системы, такой как Microsoft Exchange Server 2003. Наблюдая за организацией и ее компонентами, можно выявлять потенциальные проблемы до их возникновения и быстро реагировать на те из них, которые все же возникают. Мониторинг позволяет также выявлять тенденции в использовании сети, которые говорят о возможностях оптимизации и будущего планирования. В этой лекции рассматривается значительная часть средств, используемых для мониторинга Exchange Server 2003. Некоторые из этих средств, такие как Event Viewer и System Monitor, включены в Microsoft Windows Server 2003. Другие средства - мониторы сервера и мониторы соединений - являются частью самой системы Exchange Server 2003.
Ключевые слова: Windows, server, event, viewer, tools, администрирование, меню, служба DNS, file replication, файл, CSV, текстовый редактор, ASCII, exchange server, критическое событие, протоколирование, exchange, diagnostics, logging, system, список, maximum, log, size, event log, wrapping, general, параметр, overwrite, AS, NOT, internet message access protocol, directory synchronization, address list, directory service, сервер глобального каталога, critical, thresholding, performance monitoring, unavailability, notification, пейджер, получатель сообщения, FQDN, window manager, instrumentation, сервер, center, system monitoring, network management, protocol, SNMP, протокол передачи данных, TCP/IP, поддержка, мониторинг, MIB
.
Использование утилиты Event Viewer (Просмотр событий)
Как вам, вероятно, известно, Windows Server 2003 записывает многие события в собственный журнал событий. Этот журнал можно просматривать как на локальных, так и удаленных серверах с помощью утилиты Event Viewer, которая находится в папке Administrative Tools (Администрирование) меню Programs (Программы). Windows поддерживает три различных журнала.
- Application (Журнал приложений) содержит записи событий, сгенерированных приложениями. Все службы Exchange 2000 Server записывают свою информацию о состоянии в этот журнал. Если вы активизируете диагностическое протоколирование (ведение журналов) для любых компонентов Exchange Server 2003, эта информация также записывается в журнал приложений. Журнал наиболее полезен для мониторинга общего состояния сервера Exchange. На рис. 6.1 показана запись, сделанная в журнале приложений после возникновения ошибки доступа к каталогу;
- Security (Журнал безопасности) содержит записи событий на основе параметров аудита, заданных в оснастке Active Directory Users and Computers (Active Directory - пользователи и компьютеры);
- System (Журнал системы) содержит записи событий, которые относятся к компонентам самой системы, включая такие события, как сбои сети или драйвера какого-либо устройства.
Примечание.Вы можете просматривать в Event Viewer дополнительные журналы событий, создаваемые службами, установленными на вашем сервере. Например, на сервере, где выполняется служба DNS, можно видеть журнал DNS Service. На контроллерах доменов можно работать с журналом File Replication Service и журналом Directory Service.Для сохранения файла журнала используется один из трех форматов: двоичный файла журнала событий с расширением .EVT, текстовый файл с расширением .ТХТ или текстовый файл с разделителями-запятыми (расширение .CSV). Двоичные файлы с расширением .EVT можно просматривать только с помощью Event Viewer; для чтения текстовых файлов подойдет любой текстовый редактор или средство просмотра текста в кодировке ASCII
В журналах событий можно встретить пять типов событий, каждый из которых идентифицируется своим уникальным значком, что позволяет легко отличать информационные записи от записей ошибок. В табл. 26.1 показаны эти значки и дается описание каждого из них. Обычно вы будете видеть только первые три значка, относящиеся к работе Exchange Server. Классификация событий контролируется приложениями и системой, и ее не могут изменять администраторы.
| Значок | Событие | Описание |
|---|---|---|
 |
Ошибка | Возникла серьезная проблема, например, неверно выполняется запуск какой-либо службы Exchange Server. |
 |
Предупреждение | Возникло событие, которое пока не приносит ущерба системе, но указывает на возможную проблему в будущем. |
 |
Информация | Успешное завершение операции. Такой тип события генерируется при успешном запуске какой-либо службы Exchange Server. |
 |
Аудит успеха | Контролируемая системой безопасности попытка доступа была успешной (например, успешный вход в систему). |
 |
Аудит отказа | Контролируемая системой безопасности попытка доступа была неудачной (например, отказ доступа к контролируемому файлу или каталогу). |
Использование диагностического протоколирования
Все службы Exchange Server 2003 записывают определенные критические события в журнал приложений Windows Server 2003. Но на некоторых серверах можно создать дополнительные уровни диагностического протоколирования (ведения журналов). Диагностическое протоколирование является одним из наиболее полезных средств для поиска и устранения проблем в системе Exchange Server 2003.
Вы можете модифицировать уровни диагностического протоколирования для всех служб на определенном сервере Exchange, используя вкладку Diagnostics Logging (Диагностическое протоколирование) страницы свойств этого сервера в оснастке Exchange System (см. рис. 6.2). В левой части этой вкладки представлена иерархическая структура всех служб на данном сервере, для которых можно активизировать расширенное диагностическое протоколирование. С правой стороны представлен список категорий, которые могут протоколироваться для выбранной службы.
Пример из практики.
Размер журнала приложений для Event Viewer
При диагностическом протоколировании компонентов Exchange Server 2003 в журнале приложений Event Viewer генерируется много записей, особенно в том случае, если оно работает на уровне Maximum. Вам следует использовать диагностическое протоколирование только для поиска и устранения потенциальных проблем в определенных компонентах, и вы должны отключить его, когда завершите эту работу. По умолчанию для файла журнала приложений задан максимальный размер в 512 Кб. Мы рекомендуем задавать не менее 1 Мб для обычного использования и еще больше - для диагностического протоколирования. По умолчанию в каждом файле журнала происходит запись поверх информации, срок хранения которой превысил семь дней.
Вы можете конфигурировать установки по умолчанию для размера и режима затирания старых записей, изменяя параметры Maximum Log Size (Максимальный размер журнала) и Event Log Wrapping (Затирание журнала событий) на странице свойств этого журнала. Чтобы открыть страницу свойств, щелкните правой кнопкой мыши на рассматриваемом журнале в окне Event Viewer, а затем щелкните на пункте Properties. Эти параметры находятся в секции Log Size (Размер журнала) вкладки General (Общие). Параметр Maximum Log Size (Максимальный размер журнала) изменяется с шагом 64 Кб.
Можно выбрать один из трех вариантов затирания записей журнала: Overwrite Events As Needed (Затирать события по необходимости), Overwrite Events Older Than X Days (Затирать события старше X дней) и Do Not Overwrite Events (He затирать события). (Выбрав последний вариант, вы должны будете очищать журнал вручную.) Убедитесь в том, что вы правильно задали параметры затирания для задач, которые собираетесь выполнять. Например, выбрав вариант Overwrite Events As Needed, можно потерять критически важную информацию, которая могла бы помочь вам в разрешении проблемы, выявленной в ходе диагностики.
Все основные службы представлены на этой странице свойств, включая следующие:
- IMAP4Svc.Обеспечивает работу службы Internet Message Access Protocol (IMAP4) для клиентов. При остановке этой службы клиенты не смогут подключаться к данному компьютеру с помощью протокола IMAP4;
- MSExchangeActiveSyncNotify.Используйте диагностическое протоколирование этой службы для выявления и устранения проблем с синхронизацией между беспроводными клиентами и Exchange Server при использовании программы ActiveSync;
- MSExchangeADDXA (Microsoft Exchange Active Directory Directory Synchronization Agent). Используйте диагностическое протоколирование этой службы для выявления и устранения проблем синхронизации каталога в Active Directory;
- MSExchangeAL (Microsoft Exchange Address List). Используйте диагностическое протоколирование этой службы для выявления и устранения проблем, связанных с созданием и синхронизацией списков адресов;
- MSExchangeDSAccess (Microsoft Exchange Directory Services Access). Используйте диагностическое протоколирование этой службы для выявления и устранения проблем, связанных с доступом и взаимодействием с Active Directory;
- MSExchangelS (Microsoft Exchange Information Store Service). На самом деле не нужно активизировать протоколирование для службы Information Store в целом. Элемент MSExchangelS раскрывается, позволяя активизировать диагностическое протоколирование отдельно для хранилища общих папок и для хранилища почтовых ящиков, а также для различных протоколов интернета (см. рис. 6.3). Используйте диагностическое протоколирование этой службы для мониторинга выполняемых в Exchange фоновых задач, таких как обслуживание хранилища информации.
- MSExchangeMTA (Microsoft Exchange Message Transfer Agent). Используйте диагностическое протоколирование этой службы для устранения проблем доставки сообщений и соединений через шлюзы.
- MSExchangeSA (Microsoft Exchange System Attendant). Обеспечивает работу служб мониторинга, обслуживания и поиска в Active Directory, таких как мониторинг служб и коннекторов, дефрагмента-ция хранилища Exchange и перенаправление поиска в Active Directory на сервер глобального каталога. При остановке этой службы станут недоступными службы мониторинга, обслуживания и поиска. При отключении службы не смогут запуститься все службы, непосредственно зависящие от нее;
- POP3Svc Provides Post Office Protocol version 3 (POP3) Services to clients.При остановке этой службы клиенты не смогут подключаться к данному компьютеру с помощью протокола РОРЗ.
- Вы можете активизировать четыре различных уровня диагностического протоколирования. Все события, которые происходят в Exchange Server 2003, задаются на уровнях событий 0, 1, 3 или 5. Задаваемый уровень протоколирования определяет уровни событий, которые будут записываться в журнал.
- None (Нет).В журнал записываются только события с уровнем протоколирования 0. К этим событиям относятся отказы приложений и системы.
- Minimum (Минимальный).В журнал записываются все события с уровнями протоколирования 1 или 0.
- Medium (Средний).В журнал записываются все события с уровнями протоколирования 3 или ниже.
- Maximum (Максимальный).Записываются все события с уровнями протоколирования 5 или ниже. Протоколируются все события, относящиеся к определенной службе.
Пример из практики.Использование высоких уровней диагностического протоколирования
Хотя диагностическое протоколирование бывает очень полезным в определенных обстоятельствах, в иных случаях оно может оказаться скорее помехой, чем помощью. Активизация высоких уровней диагностического протоколирования (Medium или Maximum) может привести к быстрому заполнению журнала событий, зачастую скрывая важные события уровня 0 в потоке тривиальных событий. Кроме того, многие события протоколируются так, что выглядят как ошибка. К таким событиям относятся повседневные ошибки и простои, которые возникают при нормальной работе Exchange Server 2003.
И, наконец, протоколируются многие события, которые не документированы в описании продукта. Разработчики Exchange часто используют эти недокументированные события для выполнения диагностики.
Мы рекомендуем оставить диагностическое протоколирование на уровне None для обычных целей. Если нужно устранить нарушения в работе определенных служб, попробуйте установить на короткое время уровень Low или Medium.
