Поделиться через

Запуск проверок анализатором соответствия рекомендациям и управление результатами проверок

В управлении Windows рекомендации — это инструкции по настройке сервера, которые эксперты считают наилучшими в обычных условиях. Например, для большинства серверных технологий считается оптимальным сохранять открытыми только порты, необходимые для обмена данными с другими компьютерами сети, и блокировать неиспользуемые порты. Хотя нарушение рекомендаций, даже очень важных, необязательно представляет собой проблему, они указывают конфигурации сервера, которые могут привести к снижению производительности и надежности, непредвиденным конфликтам, повышению рисков для безопасности и другим потенциальным неполадкам.

Анализатор рекомендаций (BPA) — это средство управления серверами, доступное в Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 и Windows Server 2008 R2. BPA может помочь администраторам уменьшить нарушения рекомендаций путем сканирования ролей, установленных на управляемых серверах, на которых выполняется поддерживаемая версия, и сообщать о нарушениях рекомендаций администратору.

Анализатор рекомендаций (BPA) можно выполнять либо из диспетчер сервера, с помощью графического интерфейса BPA, либо с помощью командлетов в Windows PowerShell. Начиная с Windows Server 2012, можно сканировать одну роль или несколько ролей одновременно на нескольких серверах, независимо от того, используется ли плитка Анализатора рекомендаций в консоли диспетчер сервера или командлетах Windows PowerShell для выполнения проверок. Также в анализаторе соответствия рекомендациям можно задать исключение или игнорирование результатов проверки, которые не нужно отображать.

Эта тема описана в следующих разделах.

Поиск BPA

Вы можете найти плитку Анализатора рекомендаций на страницах ролей и групп серверов диспетчер сервера в Windows Server или открыть сеанс Windows PowerShell с повышенными правами пользователя для выполнения командлетов Анализатора рекомендаций.

Как работает BPA

BPA работает путем измерения соответствия роли правилам рекомендаций в восьми различных категориях эффективности, надежности и надежности. Результатом такого измерения является один из трех уровней серьезности, которые описаны в следующей таблице.

Уровень серьезности Description
Ошибка Результат "Ошибка" возвращается в том случае, если роль не удовлетворяет условиям некоторого правила рекомендаций, в результате чего можно ожидать проблем с работоспособностью.
Информация Результат "Информация" возвращается в том случае, если роль удовлетворяет условиям правила.
Предупреждение Результат "Предупреждение" возвращается в том случае, если несоответствие может привести к проблемам, если не будут сделаны изменения. В настоящий момент роль может соответствовать условиям правила, но может утратить это соответствие, если не внести изменения в ее конфигурацию или параметры политики. Например, проверка служб удаленных рабочих столов может выдать результат "Предупреждение", если сервер лицензирования недоступен для роли, поскольку, даже если во время проверки нет активных удаленных подключений, отсутствие сервера лицензирования не позволяет новым удаленным подключениям получить действующие лицензии на клиентский доступ.

Категории правил

В следующей таблице описаны категории правил рекомендаций, по которым измеряются роли во время проверки анализатора рекомендаций.

Имя категории Описание
Безопасность Правила безопасности применяются для измерения относительного риска роли для воздействия угроз, таких как несанкционированные или вредоносные пользователи, или потеря или кража конфиденциальных или частных данных.
Производительность Правила производительности применяются для измерения способности роли обрабатывать запросы и выполнять свои предписанные обязанности в организации в течение ожидаемых периодов времени, учитывая рабочую нагрузку роли.
Настройка Правила конфигурации применяются для определения параметров роли, изменение которых может потребоваться для оптимального функционирования роли. Правила конфигурации помогают предотвратить конфликты параметров, которые могут привести к появлению сообщений об ошибках или помешать роли выполнять назначенные функции на предприятии.
Политика Правила политики применяются для определения параметров групповой политики или реестра Windows, которые могут потребовать изменения для оптимальной и безопасной работы роли.
Операция Правила использования применяются для выявления возможных сбоев при выполнении назначенных задач роли на предприятии.
Перед развертыванием Правила перед развертыванием применяются до того, как установленная роль будет развернута на предприятии. Они позволяют администраторам оценивать, соблюдены ли рекомендации, до использования роли на производстве.
После развертывания Правила после развертывания применяются после того, как все необходимые для роли службы будут запущены, и роль начнет выполняться на предприятии.
Необходимые компоненты Правила необходимых условий поясняют, какие параметры конфигурации, параметры политик и компоненты необходимы для роли, прежде чем анализатор будет применять конкретные правила из прочих категорий. Необходимое условие в результатах проверки указывает на неверный параметр, отсутствующую программу, неправильно включенную или отключенную политику, параметр раздела реестра или другие особенности конфигурации, из-за которых анализатору соответствия рекомендациям не удается применить одно или несколько правил во время проверки. Необходимое условие в результатах не означает соответствия или несоответствия. Оно говорит лишь о том, что правило нельзя применить, и поэтому не входит в результаты проверки.

Выполнение проверок анализатора рекомендаций по ролям

Вы можете выполнять проверку BPA на ролях с помощью графического интерфейса BPA в диспетчер сервера или с помощью командлетов Windows PowerShell.

В Windows Server некоторые роли запрашивают дополнительные параметры, такие как имена определенных серверов или общих папок, выполняющихся в роли, или идентификаторы подмоделей перед началом проверки BPA. В случае проверки анализатором соответствия рекомендациям моделей, требующих задавать дополнительные параметры, используйте командлеты BPA; пользовательский интерфейс анализатора соответствия рекомендациям не поддерживает дополнительные параметры, такие как идентификаторы подмоделей. Например, идентификатор подмодели FSRM представляет подмодель файловых служб BPA для диспетчера ресурсов файлового сервера — службу роли файловых служб и служб хранилища. Чтобы запустить проверку только в службе ролей Диспетчера файловых серверов, выполните проверку BPA с помощью командлетов Windows PowerShell и добавьте параметр SubmodelId в командлет.

Несмотря на то, что вы не можете передать дополнительные параметры в проверку, которая запускается в графическом интерфейсе BPA, плитка BPA в диспетчер сервера отображает результаты для последней проверки BPA независимо от того, как вы запустили сканирование.

Сканирование ролей с помощью графического интерфейса BPA

Для проверки одной роли в графическом интерфейсе пользователя анализатора соответствия рекомендациям выполните следующие действия.

Проверка роли при помощи графического интерфейса пользователя анализатора соответствия рекомендациям

  1. Выполните одно из следующих действий, чтобы открыть диспетчер сервера, если он еще не открыт.

    • На панели задач Windows нажмите кнопку диспетчер сервера.

    • На начальном экране щелкните плитку диспетчер сервера.

  2. В области переходов откройте страницу роли или группы.

    При проверке анализатором соответствия рекомендациям, которая выполняется со страницы роли или группы, проверяются все роли, установленные на серверах этой группы.

  3. В меню "Задачи" плитки Анализатора рекомендаций нажмите кнопку "Запустить проверку BPA".

  4. В зависимости от количества правил, соответствие которым оценивается для выбранной роли или группы, проверка может занять несколько минут.

Сканирование ролей с помощью командлетов Windows PowerShell

Используйте следующие процедуры для проверки одной или нескольких ролей с помощью командлетов Windows PowerShell.

Примечание.

В процедурах данного раздела показаны не все командлеты и параметры анализатора соответствия рекомендациям. Дополнительные сведения об операциях BPA в Windows PowerShell в сеансе Windows PowerShell введите параметр Get-helpBPACmdlet-full, где BPACmdlet может быть одним из следующих значений. Вы также можете найти разделы справки по командлетам BPA в Windows Server TechCenter.

  • Get-BPAmodel

  • Invoke-BPAmodel

  • Get-BPAResult

  • Set-BPAResult

Проверка одной роли с помощью командлетов Windows PowerShell

  1. Выполните одно из следующих действий, чтобы запустить Windows PowerShell с повышенными правами пользователя.

    • Чтобы запустить Windows PowerShell от имени администратора на начальном экране, щелкните правой кнопкой мыши плитку Windows PowerShell в результатах приложений, а затем на панели приложений нажмите кнопку "Запуск от имени администратора".

    • Чтобы запустить Windows PowerShell от имени администратора на рабочем столе, щелкните правой кнопкой мыши ярлык Windows PowerShell на панели задач и нажмите кнопку "Запуск от имени администратора".

  2. начиная с Windows PowerShell 3.0 модули командлетов автоматически импортируются в сеанс Windows PowerShell при первом использовании командлета из модуля. Импортировать или загружать модуль командлетов анализатора соответствия рекомендациям не требуется.

  3. Найдите идентификаторы модели всех ролей, для которых можно выполнять сканирование BPA, введя командлет Get-Bpamodel , как показано в следующем примере.

    Get-Bpamodel

  4. В результатах выполнения шага 3 найдите идентификаторы моделей ролей, которые нужно проверить анализатором соответствия рекомендациям.

  5. Чтобы запустить проверку конкретной роли анализатором соответствия рекомендациям, введите любую из следующих команд: В случае нескольких ролей разделяйте идентификаторы моделей запятыми.

    Invoke-BPAmodel -modelId <modelID_from_Step3>

    Invoke-BPAmodel <modelID_from_Step3>

    Пример:Invoke-BPAmodel -modelId Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices

    Примечание.

    Идентификатор модели содержит весь путь, который отображается в столбце Id — например Microsoft/Windows/Hyper-V.

    Можно также запустить проверку конкретной роли из результатов шага 3, направив результаты выполнения командлета Get-BPAmodel по конвейеру в командлет Invoke-BPAmodel , как показано в следующем примере.

    Get-BPAmodel <model_ID> | Invoke-BPAmodel

    Выполнение этого командлета без указания каналов идентификатора модели всех моделей, возвращаемых Get-BPAmodel командлетом в Invoke-BPAmodel командлет, запускает сканирование всех моделей, доступных на серверах, добавленных в пул серверов диспетчер сервера.

Проверка всех ролей с помощью командлетов Windows PowerShell

  1. Откройте сеанс Windows PowerShell с повышенными правами пользователя, если он еще не открыт. Инструкции см. в описании предыдущей процедуры.

  2. Для запуска проверок BPA передайте в командлет Invoke-BPAmodel по конвейеру все роли, для которых можно выполнить проверку анализатором соответствия рекомендациям.

    Get-BPAmodel | Invoke-BPAmodel

  3. После завершения проверки Windows PowerShell возвращает результаты, аналогичные приведенным ниже, для каждой роли, которая была проверена.

    modelId                 :  Microsoft/Windows/FileServices
SubmodelId              :
Success                 :  True
Scantime                :  1/01/2012  12:18:40 PM
ScantimeUtcOffset       :  -08:00:00
detail                  :  {server_name1, server_name2}

Управление результатами сканирования

После выполнения проверки в графическом интерфейсе анализатора соответствия рекомендациям можно просмотреть результаты проверки на плитке анализатора. Когда пользователь выбирает какой-либо результат на плитке, в области просмотра на этой плитке отображаются свойства результата, в том числе сведения о том, удовлетворяет ли роль соответствующей рекомендации. Если результат не соответствует требованиям, и вы хотите узнать, как устранить проблемы, описанные в свойствах результатов, гиперссылки в свойствах результатов ошибки и предупреждения открывают подробные справочные статьи по разрешению в Windows Server TechCenter.

Примечание.

Результаты проверки анализатором соответствия рекомендациям не сохраняются и не архивируются автоматически. При запуске новой проверки модели или подмодели результаты предыдущей проверки теряются. Сведения о сохранении результатов проверки анализатором соответствия рекомендациям для архивации, печати или пересылки другим пользователям см. в части To view BPA results from Windows PowerShell sessions in different formats этого раздела.

Исключение и включение результатов BPA

Если вам не нужно видеть некоторые результаты BPA, например результаты, которые часто происходят в проверках BPA, но не требуют разрешения, можно исключить результаты с помощью командлетов BPA GUI или BPA в Windows PowerShell. В любое время эти результаты можно будет включить снова.

Примечание.

Исключенные результаты также скрываются от просмотра на управляемых серверах. Другие администраторы не могут видеть исключенные результаты на управляемых серверах. Чтобы исключить результаты из представления только в локальной консоли диспетчер сервера, создайте настраиваемый запрос вместо команды "Исключить результат".

Исключить результаты сканирования

Параметр Исключить действует постоянно: исключенные результаты остаются таковыми при дальнейших проверках той же модели на том же компьютере, пока не будут снова включены.

Исключить результаты проверки можно с помощью командлета Set-BPAResult с параметром Exclude . Как и в плитке Анализатора рекомендаций в диспетчер сервера, можно исключить отдельные объекты результатов или исключить набор результатов, поля которых (категория, название и серьезность, например) равны или содержат указанные значения. Например, можно исключить все результаты Производительность из набора результатов проверки роли.

Примечание.

Чтобы использовать процедуры, описанные в этом разделе, необходимо выполнить хотя бы одну проверку модели анализатором соответствия рекомендациям.

Исключение результатов проверки при помощи графического интерфейса анализатора соответствия рекомендациям

  1. Откройте страницу роли или группы серверов в диспетчер сервера.

  2. На плитке Анализатора рекомендаций для роли или группы серверов щелкните правой кнопкой мыши результат в списке и нажмите кнопку " Исключить результат".

    Этот результат не будет отображаться в списке результатов.

  3. Чтобы просмотреть исключенные результаты в графическом интерфейсе пользователя, запустите встроенный запрос Исключенные результаты . Щелкните Сохраненные условия поиска, а затем Исключенные результаты.

    После выполнения запроса Исключенные результаты обратите внимание, что текст подзаголовка плитки с описанием отображаемых в списке результатов поменялся на Исключенные результаты. В этом списке фигурируют только исключенные результаты.

Исключение результатов проверки при помощи командлетов Windows PowerShell

  1. Откройте сеанс Windows PowerShell с повышенными правами пользователя.

  2. Исключите конкретные результаты из проверки модели путем запуска следующей команды.

    Get-BPAResult -modelId <model ID> | Where { $_.<Field Name> -eq "Value"} | Set-BPAResult -Exclude $true

    Предыдущая команда извлекает элементы результатов проверки BPA для идентификатора модели, представленного идентификатором модели.

    Второй сегмент команды фильтрует результаты командлета Get-BPAResult , отбирая из них только те результаты проверки, для которых значение поля, представленного заполнителем Имя поля, совпадает с текстом в кавычках.

    Последний сегмент команды, стоящий после второго знака вертикальной черты, исключает результаты, отобранные предыдущим сегментом.

    Пример:Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $true

Включение результатов проверки

Если требуется, чтобы ранее исключенные результаты проверки снова отображались, можно их включить. Параметр Включить действует постоянно: включенные результаты остаются таковыми при дальнейших проверках той же модели на том же компьютере.

Включение результатов сканирования с помощью графического интерфейса

  1. Откройте страницу роли или группы серверов в диспетчер сервера.

  2. На плитке Анализатора рекомендаций для роли или группы серверов щелкните правой кнопкой мыши исключенный результат в списке запросов исключенных результатов и нажмите кнопку "Включить результат".

    Этот результат более не будет отображаться в списке исключенных результатов. Очистите запрос, щелкнув Очистить все , чтобы увидеть включенный результат в списке всех включенных результатов.

Включение результатов сканирования с помощью командлетов Windows PowerShell

  1. Откройте сеанс Windows PowerShell с повышенными правами пользователя.

  2. Включите конкретные результаты проверки модели, введя следующую команду и нажав клавишу ВВОД:

    Get-BPAResult -modelId <model Id> | Where { $_.<Field Name> -eq "Value" } | Set-BPAResult -Exclude $false

    Предыдущая команда извлекает элементы результатов проверки BPA для модели, представленной идентификатором модели.

    Вторая часть команды после того, как первый символ канала ( | ) фильтрует результаты командлета Get-BPAResult, чтобы получить только те результаты сканирования, для которых значение поля результата, представленное именем поля поля, соответствует тексту в кавычках.

    После второго знака вертикальной черты последний сегмент команды включает результаты, отобранные вторым сегментом. Для этого в качестве значения параметра -Exclude устанавливается false.

    Пример:Get-BPAResult -Microsoft/Windows/FileServices | Where { $_.Severity -eq "Information"} | Set-BPAResult -Exclude $false

Просмотр и экспорт результатов проверки анализатором соответствия рекомендациям в Windows PowerShell

Сведения о просмотре результатов сканирования и управлении ими с помощью командлетов Windows PowerShell см. в следующих процедурах. Чтобы использовать процедуры, приведенные в этом разделе, необходимо выполнить хотя бы одну проверку модели или подмодели анализатором соответствия рекомендациям.

Просмотр результатов последней проверки роли с помощью Windows PowerShell

  1. Откройте сеанс Windows PowerShell с повышенными правами пользователя.

  2. Получите результаты последней проверки для указанного идентификатора модели. Введите следующую команду, в которой модель представлена идентификатором модели, а затем нажмите клавишу ВВОД. Можно получить результаты для нескольких моделей, разделив идентификаторы моделей запятыми.

    Get-BPAResult <model ID>

    Пример: Get-BPAResult Microsoft/Windows/DNSServer,Microsoft/Windows/FileServices

    Если вы сканировали подмодель модели, например службу ролей, получите результаты только для этого подмоделя, включив идентификатор подмоделя в командлет.

    Пример: Get-BPAResult Microsoft/Windows/FileServices -SubmodelID FSRM

Просмотр или сохранение результатов BPA из сеансов Windows PowerShell в разных форматах

  • В Windows PowerShell каждый результат BPA выглядит следующим образом.

    ResultNumber     :  14
ResultId         :  1557706192
modelId          :  Microsoft/Windows/FileServices
SubmodelId       :  FSRM
RuleId           :  16
computerName     :  server_name1, server_name2
Context          :  FileServices
Source           :  server_name1
Severity         :  Information
Category         :  Configuration
Title            :  Access Denied remediation requires remote management be enabled on this server
Problem          :
Impact           :
Resolution       :
compliance       :  The File Server Best Practices Analyzer scan has determined that you are in compliance with this best practice.
help             :
Excluded         :  False

    Выполните одно из следующих действий.

    • Чтобы представить результаты BPA в табличном виде, запустите следующий командлет, добавив интересующие вас свойства результата из предыдущего примера.

      Get-BPAResult model ID | format-Table -Property <property1,property2,property3...>

      Пример:Get-BPAResult Microsoft/Windows/FileServices | format-Table -Property modelId,SubmodelId,computerName,Source,Severity,Category,Title,Problem,Impact,Resolution,compliance,help

    • Чтобы отобразить результаты BPA в сетке графического интерфейса с фильтром по текстовой строке и заголовками столбцов, которые можно щелкать для сортировки, запустите следующий командлет.

      Get-BPAResult <model ID> | OGV

    • Чтобы экспортировать результаты BPA в HTML-файл, который можно архивировать или отправить получателям электронной почты, выполните следующий командлет, где путь представляет путь и имя файла, в которое требуется сохранить результаты HTML.

      Get-BPAResult <model ID> | convertTo-Html | Set-Content <path>

      Пример:Get-BPAResult Microsoft/Windows/FileServices | convertTo-Html | Set-Content C:\BPAResults\FileServices.htm

    • Чтобы экспортировать результаты BPA в текстовый файл, разделенный запятыми (CSV), выполните следующий командлет, где путь представляет путь и текстовое имя файла, в которое требуется сохранить результаты CSV. Результаты CSV можно импортировать в Microsoft Excel или другие программы, которые отображают данные в электронных таблицах или сетках.

      Get-BPAResult <model ID> | Export-CSV <path>

      Пример:Get-BPAResult Microsoft/Windows/FileServices | Export-CSV C:\BPAResults\FileServices.txt

См. также

Содержимое разрешения анализатора рекомендаций в фильтре TechCenter, сортировке и запросе данных в диспетчер сервера плиткахуправления несколькими удаленными серверами с помощью диспетчер сервера