Partager via

Exécuter des analyses Best Practices Analyzer et gérer les résultats des analyses

Dans l’infrastructure de gestion Windows, les meilleures pratiques sont des recommandations considérées comme le moyen idéal, en conditions normales, de configurer un serveur tel que défini par des experts. Par exemple, il est reconnu comme meilleure pratique pour la plupart des applications serveur de ne laisser ouverts que les ports nécessaires à ces applications pour communiquer avec d’autres ordinateurs du réseau, et de bloquer les ports inutilisés. Bien que le non-respect des meilleures pratiques, même les plus capitales, ne soit pas forcément problématique, se conformer à ces méthodes conseillées permet néanmoins de détecter les configurations de serveur pouvant entraîner des performances médiocres, une fiabilité douteuse, des conflits inattendus, des risques de sécurité accrus ou d’autres problèmes potentiels.

Best Practices Analyzer (BPA) est un outil de gestion de serveur disponible dans Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 et Windows Server 2008 R2. Il peut aider les administrateurs à réduire les transgressions faites aux bonnes pratiques en analysant les rôles installés sur des serveurs gérés qui exécutent une version prise en charge et en signalant les transgressions détectées à l’administrateur.

Vous pouvez exécuter des analyses BPA à partir du Gestionnaire de serveur, à l’aide de l’interface graphique utilisateur de BPA ou à l’aide d’applets de commande dans Windows PowerShell. À compter de Windows Server 2012, vous pouvez analyser simultanément un ou plusieurs rôles, sur plusieurs serveurs, que vous utilisiez la vignette de Best Practices Analyzer dans la console du Gestionnaire de serveur ou les applets de commande Windows PowerShell pour exécuter les analyses. Vous pouvez également demander à BPA d’exclure ou d’ignorer les résultats des analyses que vous ne souhaitez pas consulter.

Cette rubrique contient les sections suivantes.

Accéder à Best Practices Analyzer (BPA)

Vous trouverez la vignette Best Practices Analyzer sur les pages de rôle et de groupe de serveurs du Gestionnaire de serveur dans Windows Server, ou vous pouvez ouvrir une session Windows PowerShell avec des droits d’utilisateur élevés pour exécuter des applets de commande Best Practices Analyzer.

Fonctionnement de BPA

BPA fonctionne en mesurant le niveau de conformité d’un rôle par rapport aux règles des bonnes pratiques instituées dans huit catégories différentes chargées d’évaluer l’efficacité, la fiabilité et l’intégrité d’un rôle. Les résultats de ces mesures se traduisent par l’un des trois niveaux de gravité décrits dans le tableau ci-dessous.

Niveau de gravité Description
Error Des résultats définis en tant qu’erreurs sont renvoyés lorsqu’un rôle ne respecte pas les conditions d’une règle relevant des meilleures pratiques et que des problèmes d’ordre fonctionnel sont attendus.
Information Des résultats à titre d’informations conformes sont renvoyés lorsqu’un rôle satisfait aux conditions d’une règle des meilleures pratiques.
Avertissement Des résultats d’avertissement sont renvoyés si les résultats de non-conformité peuvent causer des problèmes en cas de modifications. L’application peut être jugée conforme par rapport à son fonctionnement actuel, mais peut ne pas remplir les conditions d’une règle si des modifications ne sont pas apportées à ses paramètres de configuration ou de stratégie. Par exemple, une analyse des services Bureau à distance peut montrer un résultat d’avertissement si un serveur de licences n’est pas disponible pour le rôle, car même si aucune connexion distante n’est active au moment de l’analyse, le fait de ne pas avoir de serveur de licences empêche de futures connexions distantes d’obtenir des licences d’accès client valides.

Catégories de règles

Le tableau suivant détaille les catégories des règles de bonnes pratiques par rapport aux rôles mesurés pendant une analyse Best Practices Analyzer.

Nom de catégorie Description
Sécurité Les règles de sécurité sont appliquées pour mesurer le risque relatif d’un rôle de se trouver exposé à des menaces telles que des utilisateurs malveillants ou non autorisés, à la perte ou au vol de données confidentielles ou protégées.
Performances Les règles de performances s’appliquent pour mesurer la capacité d’un rôle à traiter des requêtes et à remplir les fonctions qui lui ont été attribuées dans l’entreprise, dans les délais prévus étant donné la charge de travail de ce rôle.
Configuration Les règles de configuration sont appliquées pour identifier des paramètres de rôle pouvant nécessiter des modifications au niveau du rôle afin que celui-ci s’exécute de façon optimale. Les règles de configuration permettent d’empêcher l’apparition de conflits entre paramètres pouvant se solder par des messages d’erreur ou par l’impossibilité pour le rôle d’assurer les fonctions qui lui ont été assignées dans l’entreprise.
Stratégie Des règles de stratégie sont appliquées pour identifier les paramètres de stratégie de groupe ou de Registre Windows pouvant nécessiter des modifications au niveau d’un rôle pour que celui-ci fonctionne de façon optimale et en toute sécurité.
Opération Les règles d’opération sont appliquées pour identifier les échecs possibles d’un rôle lors de l’exécution des tâches qui lui ont été prescrites dans l’entreprise.
Prédéploiement Les règles de prédéploiement sont appliquées avant le déploiement d’un rôle installé dans l’entreprise. Elles permettent aux administrateurs d’évaluer si les meilleures pratiques ont été respectées avant que le rôle ne soit utilisé à des fins de production.
Post-déploiement Les règles de postdéploiement sont appliquées une fois que tous les services requis ont démarré pour un rôle, et après que le rôle s’exécute dans l’entreprise.
Prérequis Les règles en matière de conditions préalables expliquent les paramètres de configuration, les paramètres de stratégie et les fonctionnalités qui sont nécessaires au rôle avant que l’analyseur BPA puisse appliquer des règles spécifiques à partir d’autres catégories. Une condition préalable dans les résultats d’analyse indique qu’un paramètre incorrect, un programme manquant, une stratégie activée ou désactivée de façon incorrecte, un paramètre de clé de Registre ou un autre élément de configuration a empêché BPA d’appliquer une ou plusieurs règles au cours d’une analyse. Un résultat de condition préalable n'implique pas la notion de conformité ou non-conformité. Cela signifie simplement qu’une règle n’a pas pu être appliquée et que, par conséquent, elle ne fait pas partie des résultats de l’analyse.

Exécution d’analyses BPA (Best Practices Analyzer) dans des rôles

Vous pouvez effectuer des analyses BPA sur des rôles par le biais de l’interface graphique utilisateur BPA dans le Gestionnaire de serveur, ou à l’aide d’applets de commande Windows PowerShell.

Dans Windows Server, certains rôles vous invitent à spécifier des paramètres supplémentaires tels que les noms de serveurs spécifiques ou de partages qui exécutent des parties de rôles, ou les ID de sous-modèles, avant de commencer une analyse BPA. Pour des analyses BPA dans des modèles exigeant l’apport de paramètres supplémentaires, utilisez les applets de commande BPA ; l’interface graphique utilisateur BPA ne peut pas accepter des paramètres supplémentaires comme les ID de sous-modèles. Par exemple, l'ID de sous-modèle FSRM représente le sous-modèle BPA Services de fichiers pour les Outils de gestion de ressources pour serveur de fichiers, un service de rôle des services de fichiers et de stockage. Pour exécuter une analyse uniquement sur le service de rôle Outils de gestion de ressources pour serveur de fichiers, exécutez une analyse BPA à l’aide d’applets de commande Windows PowerShell et ajoutez le paramètre SubmodelId à votre applet de commande.

Bien qu’il soit impossible de passer des paramètres supplémentaires à une analyse que vous démarrez dans l’interface graphique utilisateur de BPA, la vignette BPA dans le Gestionnaire de serveur affiche les résultats de l’analyse BPA la plus récente, quelle que soit la manière dont vous avez lancé l’analyse.

Analyse de rôles à l’aide de l’interface graphique utilisateur BPA

Procédez comme suit pour analyser un ou plusieurs rôles dans l’interface graphique utilisateur BPA.

Pour analyser des rôles à l’aide de l’interface graphique utilisateur BPA

  1. Effectuez une des actions suivantes pour ouvrir le Gestionnaire de serveur s’il n’est pas déjà ouvert.

    • Dans la barre des tâches Windows, cliquez sur le bouton Gestionnaire de serveur.

    • Dans l’écran d’accueil, cliquez sur la vignette Gestionnaire de serveur.

  2. Dans le volet de navigation, ouvrez la page d’un rôle ou d’un groupe.

    Lorsque vous exécutez des analyses BPA à partir de la page d’un rôle ou d’un groupe, tous les rôles installés sur les serveurs du groupe sont analysés.

  3. Dans le menu Tâches de la vignette Best Practices Analyzer, cliquez sur Commencer l’analyse BPA.

  4. En fonction du nombre de règles que vous évaluez pour le rôle ou le groupe sélectionné, l’exécution de l’analyse BPA peut prendre plusieurs minutes.

Analyse de rôles à l’aide d’applets de commande Windows PowerShell

Appliquez les procédures suivantes pour analyser un ou plusieurs rôles au moyen d’applets de commande Windows PowerShell.

Notes

Les procédures de cette section ne montrent pas toutes les applets de commande ni tous les paramètres. Pour plus d’informations sur les opérations BPA dans Windows PowerShell, dans votre session Windows PowerShell, entrez Get-helpapplet_BPAC-full, où applet_BPAC peut avoir l’une des valeurs suivantes. Vous pouvez également accéder aux rubriques d’aide des applets de commande BPA sur le site web Windows Server TechCenter.

  • Get-BPAmodel

  • Invoke-BPAmodel

  • Get-BPAResult

  • Set-BPAResult

Pour analyser un rôle unique à l’aide d’applets de commande Windows PowerShell

  1. Effectuez l’une des opérations suivantes pour exécuter Windows PowerShell avec des droits utilisateur élevés.

    • Pour exécuter Windows PowerShell en tant qu’administrateur à partir de l’écran d’accueil, cliquez avec le bouton droit sur la vignette de Windows PowerShell dans les résultats Applications puis, dans la barre de l’application, cliquez sur Run Exécuter en tant qu’administrateur

    • Pour exécuter Windows PowerShell en tant qu’administrateur à partir du Bureau, cliquez avec le bouton droit sur le raccourci de Windows PowerShell dans la barre d’outils, puis cliquez sur Exécuter en tant qu’administrateur.

  2. À compter de Windows PowerShell 3.0, les modules d’applets de commande sont importés automatiquement dans votre session Windows PowerShell lors de la première utilisation d’une applet de commande du module. Vous n’avez pas besoin d’importer ou de charger le module d’applets de commande BPA.

  3. Recherchez les ID de modèles de tous les rôles pour lesquels des analyses BPA peuvent être effectuées en entrant l’applet de commande Get-Bpamodel, comme indiqué dans l’exemple suivant.

    Get-Bpamodel

  4. Dans les résultats de l’étape 3, repérez les ID de modèles des rôles pour lesquels vous voulez effectuer une analyse BPA.

  5. Entrez l'une des commandes suivantes pour démarrer l'analyse BPA pour un rôle en particulier. Pour plusieurs rôles, séparez les ID des modèles par des virgules.

    Invoke-BPAmodel -modelId <modelID_from_Step3>

    Invoke-BPAmodel <modelID_from_Step3>

    Exemple :Invoke-BPAmodel -modelId Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices

    Notes

    L’ID de modèle comprend le chemin d’accès complet mentionné dans la colonne Id ; par exemple, Microsoft/Windows/Hyper-V.

    Vous pouvez également démarrer une analyse sur un rôle spécifique à partir des résultats de l’étape 3 en transférant les résultats de l’applet de commande Get-BPAmodel à l’applet de commande Invoke-BPAmodel , comme indiqué dans l’exemple suivant.

    Get-BPAmodel <model_ID> | Invoke-BPAmodel

    L’exécution de cette applet de commande sans spécifier d’ID de modèle entraîne le transfert de tous les modèles renvoyés par l’applet de commande Get-BPAmodel vers l’applet de commande Invoke-BPAmodel, et démarre des analyses sur tous les modèles disponibles sur les serveurs qui ont été ajoutés au pool de serveurs Gestionnaire de serveur.

Pour analyser tous les rôles à l’aide d’applets de commande Windows PowerShell

  1. Ouvrez une session Windows PowerShell avec des droits d’utilisateur élevés, si ce n’est déjà fait. Reportez-vous à la procédure précédente pour obtenir des instructions.

  2. Redirigez tous les rôles pour lesquels les analyses BPA peuvent être effectuées dans l’applet de commande Invoke-BPAmodel pour démarrer les analyses.

    Get-BPAmodel | Invoke-BPAmodel

  3. Une fois l’analyse terminée, Windows PowerShell retourne des résultats similaires aux suivants pour chaque rôle analysé.

    modelId                 :  Microsoft/Windows/FileServices
SubmodelId              :
Success                 :  True
Scantime                :  1/01/2012  12:18:40 PM
ScantimeUtcOffset       :  -08:00:00
detail                  :  {server_name1, server_name2}

Gérer les résultats des analyses

Après avoir réalisé une analyse BPA dans l’interface graphique utilisateur, vous pouvez afficher les résultats de l’analyse dans une vignette BPA. Lorsque vous sélectionnez un résultat dans une vignette, un volet de visualisation dans cette dernière affiche les propriétés du résultat, et notamment un élément indiquant si le rôle est conforme à la meilleure pratique qui lui est associé. Si un résultat n’est pas conforme et si vous souhaitez savoir comment résoudre les problèmes décrits dans les propriétés de ce résultat, servez-vous des liens hypertexte des avertissements et des erreurs signalés dans les propriétés pour accéder à des rubriques d’aide sur le site Windows Server TechCenter.

Notes

Les résultats d’analyse BPA ne sont pas automatiquement enregistrés ou archivés. Lorsque vous soumettez un modèle ou un sous-modèle à une nouvelle analyse, les résultats de la dernière analyse sont remplacés. Pour enregistrer les résultats d’analyse BPA à des fins d’archivage, d’impression ou d’envoi à d’autres personnes, voir Pour afficher ou enregistrer des résultats BPA à partir de sessions Windows PowerShell dans différents formats dans cette section.

Exclure et inclure des résultats BPA

Si vous n’avez pas besoin d’afficher certains résultats BPA, tels que ceux qui sont récurrents dans vos analyses BPA mais ne nécessitent aucune résolution, vous pouvez exclure ces résultats à l’aide de l’interface graphique utilisateur de BPA ou des applets de commande BPA dans Windows PowerShell. Les résultats peuvent être réintégrés à tout moment.

Notes

Lorsque vous excluez des résultats, ceux-ci sont également exclus de l’affichage sur les serveurs gérés. D’autres administrateurs ne peuvent pas voir les résultats exclus sur les serveurs gérés. Pour exclure des résultats de l’affichage dans une console Gestionnaire de serveur locale uniquement, créez une requête personnalisée au lieu d’utiliser la commande Exclure les résultats.

Exclure des résultats d’analyse

Le paramètre Exclure est persistant ; les résultats que vous excluez demeurent exclus des analyses ultérieures du même modèle sur le même ordinateur, à moins qu’ils ne soient de nouveau inclus.

Vous pouvez exclure des résultats d’analyse en exécutant l’applet de commande Set-BPAResult avec le paramètre Exclude . Comme avec la vignette de Best Practices Analyzer dans le Gestionnaire de serveur, vous pouvez exclure des objets de résultats individuels ou un ensemble de résultats dont les champs (catégorie, titre et gravité, par exemple) sont égaux à certaines valeurs spécifiées ou les contiennent. Par exemple, vous pouvez exclure tous les résultats Performance d’un ensemble de résultats d’analyse pour un modèle.

Notes

Vous devez exécuter au moins une analyse BPA dans un modèle avant de pouvoir utiliser des procédures dans cette section.

Pour exclure des résultats d’analyse à l’aide de l’interface graphique utilisateur

  1. Ouvrez une page de groupe de rôles ou de serveurs dans le Gestionnaire de serveur.

  2. Dans la vignette de Best Practices Analyzer pour le groupe de serveurs ou de rôles, cliquez avec le bouton droit sur un résultat dans la liste, puis cliquez sur Exclure les résultats.

    Le résultat n’apparaît plus dans la liste des résultats.

  3. Pour afficher les résultats exclus dans l’interface graphique utilisateur, exécutez la requête Résultats exclus intégrée. Cliquez sur Requêtes de recherche enregistrées, puis sur Résultats exclus.

    Après l’exécution de la requête Résultats exclus, notez que le texte de sous-en-tête de vignette, une description des résultats affichés dans la liste, devient Résultats exclus. Seuls les résultats exclus s’affichent dans la liste.

Pour exclure des résultats d’analyse à l’aide d’applets de commande Windows PowerShell

  1. Ouvrez une session Windows PowerShell avec des droits de l'utilisateur élevés.

  2. Excluez des résultats spécifiques d'une analyse de modèle en exécutant la commande suivante :

    Get-BPAResult -modelId <model ID> | Where { $_.<Field Name> -eq "Value"} | Set-BPAResult -Exclude $true

    La commande précédente récupère des éléments de résultats d’analyse BPA pour l’ID de modèle représenté par l’ID du modèle (model ID).

    La deuxième partie de la commande filtre les résultats de l’applet de commande Get-BPAResult pour n’extraire que les résultats d’analyse pour lesquels la valeur d’un champ de résultat, représentée par nom_champ, correspond au texte mis entre guillemets.

    La dernière partie de la commande qui suit la deuxième barre verticale exclut les résultats filtrés par la précédente section de l'applet de commande.

    Exemple :Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $true

Inclure des résultats d’analyse

Lorsque vous voulez afficher des résultats d’analyse exclus, il suffit de les inclure. Le paramètre Inclure est persistant ; les résultats inclus demeurent inclus dans les analyses ultérieures du même modèle sur le même ordinateur.

Pour inclure des résultats d’analyse à l’aide de l’interface graphique utilisateur

  1. Ouvrez une page de groupe de rôles ou de serveurs dans le Gestionnaire de serveur.

  2. Dans la vignette de Best Practices Analyzer pour le groupe de serveurs ou de rôles, cliquez avec le bouton droit sur un résultat exclu dans la liste de requêtes Résultats exclus, puis cliquez sur Inclure les résultats.

    Le résultat n’apparaît plus dans la liste des résultats exclus. Effacez la requête en cliquant sur Effacer tout pour afficher le résultat inclus dans la liste de tous les résultats inclus.

Pour inclure des résultats d’analyse à l’aide d’applets de commande Windows PowerShell

  1. Ouvrez une session Windows PowerShell avec des droits de l'utilisateur élevés.

  2. Incluez des résultats spécifiques d'une analyse de modèle en tapant la commande suivante et en appuyant sur Entrée.

    Get-BPAResult -modelId <model Id> | Where { $_.<Field Name> -eq "Value" } | Set-BPAResult -Exclude $false

    La commande précédente récupère des éléments de résultats d’analyse BPA pour le modèle représenté par l’ID de modèle (model Id).

    La deuxième partie de la commande, après la première barre verticale ( | ) filtre les résultats de l’applet de commande Get-BPAResult afin de ne récupérer que les résultats d’analyse pour lesquels la valeur du champ de résultat, représentée par le nom du champ (Field Name), correspond au texte mis entre guillemets.

    La dernière partie de la commande, après la deuxième barre verticale, intègre les résultats qui sont filtrés par la deuxième partie de l'applet de commande en définissant la valeur du paramètre -Exclude sur false.

    Exemple :Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $false

Afficher et exporter des résultats d’analyse BPA dans Windows PowerShell

Pour afficher et gérer les résultats d’analyse à l’aide des applets de commande Windows PowerShell, consultez les procédures suivantes. Avant d’utiliser l’une des procédures suivantes, exécutez au moins une analyse BPA sur un au moins un modèle ou un sous-modèle.

Pour afficher les résultats de l’analyse la plus récente d’un rôle à l’aide de Windows PowerShell

  1. Ouvrez une session Windows PowerShell avec des droits de l'utilisateur élevés.

  2. Procurez-vous les résultats de l’analyse la plus récente pour un ID de modèle défini. Tapez la commande qui suit, dans laquelle le modèle est représenté par model ID, puis appuyez sur Entrée. Vous pouvez obtenir les résultats de plusieurs ID de modèles en séparant les ID par des virgules.

    Get-BPAResult <model ID>

    Exemple : Get-BPAResult Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices

    Si vous avez analysé un sous-modèle ou un modèle (un service de rôle, par exemple), procurez-vous seulement les résultats du sous-modèle en question en incluant son ID dans l’applet de commande.

    Exemple : Get-BPAResult Microsoft/Windows/FileServices -SubmodelID FSRM

Pour afficher ou enregistrer des résultats BPA à partir de sessions Windows PowerShell dans différents formats

  • Dans Windows PowerShell, chaque résultat BPA ressemble à ce qui suit.

    ResultNumber     :  14
ResultId         :  1557706192
modelId          :  Microsoft/Windows/FileServices
SubmodelId       :  FSRM
RuleId           :  16
computerName     :  server_name1, server_name2
Context          :  FileServices
Source           :  server_name1
Severity         :  Information
Category         :  Configuration
Title            :  Access Denied remediation requires remote management be enabled on this server
Problem          :
Impact           :
Resolution       :
compliance       :  The File Server Best Practices Analyzer scan has determined that you are in compliance with this best practice.
help             :
Excluded         :  False

    Procédez de l'une des manières suivantes :

    • Pour mettre en forme des résultats BPA dans un tableau, exécutez l’applet de commande suivante en ajoutant les propriétés de résultat de l’exemple précédent que vous souhaitez afficher.

      Get-BPAResult model ID | format-Table -Property <property1,property2,property3...>

      Exemple :Get-BPAResult Microsoft/Windows/FileServices | format-Table -Property modelId,SubmodelId,computerName,Source,Severity,Category,Title,Problem,Impact,Resolution,compliance,help

    • Pour mettre en forme des résultats BPA dans une grille basée sur l’interface graphique utilisateur, avec un filtre pour les chaînes de caractères et des en-têtes de colonne sur lesquels vous pouvez cliquer pour trier des résultats, exécutez l’applet de commande suivante.

      Get-BPAResult <model ID> | OGV

    • Pour exporter des résultats BPA vers un fichier HTML qui peut être archivé ou envoyé à des destinataires d’e-mail, exécutez l’applet de commande suivante, où path représente le chemin et le nom de fichier où vous souhaitez enregistrer les résultats HTML.

      Get-BPAResult <model ID> | convertTo-Html | Set-Content <path>

      Exemple :Get-BPAResult Microsoft/Windows/FileServices | convertTo-Html | Set-Content C:\BPAResults\FileServices.htm

    • Pour exporter des résultats BPA vers un fichier de valeurs séparées par des virgules (.CSV), exécutez l’applet de commande suivante, où path représente le chemin et le nom de fichier où vous souhaitez enregistrer les résultats au format CSV. Les résultats CSV peuvent être importés dans Microsoft Excel ou tout autre programme affichant des données dans des feuilles de calcul ou des grilles.

      Get-BPAResult <model ID> | Export-CSV <path>

      Exemple :Get-BPAResult Microsoft/Windows/FileServices | Export-CSV C:\BPAResults\FileServices.txt

Voir aussi

Contenu de résolution de Best Practices Analyzer sur le site Windows Server TechCenterFiltrer, trier et interroger des données dans les vignettes du Gestionnaire de serveurGérer plusieurs serveurs distants avec le Gestionnaire de serveur