Windows Small Business Server Best Practices Analyzer (BPA) to bezpłatne narzędzie udostępnione użytkownikom przez Microsoft. BPA został zaprojektowany dla administratorów serwerów SBS (zarówno w wersji 2003 jak i 2008), nie wymagające wiedzy technicznej na poziomie eksperta. Jest to o tyle istotne, że serwery SBS są często zarządzane, przez administratorów stawiających dopiero pierwsze kroki, i brak im doświadczenia. Best Practices Analyzer zbierając informacje z wielu miejsc systemu, w tym z AD WMI, Rejestru oraz z metabazy, przedstawia w różnorodnej formie, czytelny raport, zawierający informacje oraz linki do materiałów opisujących co powinien zrobić administrator, by poprawić bezpieczeństwo i wydajność swojego serwera. W artykule przedstawię BPA w wersji dla serwera SBS 2008, zaznaczając przy tym różnice w stosunku do poprzedniej wersji Windows Small Business Server 2003.

Rysunek 1. Ekran informacji o programie Best Practices Analyzer w Windows Small Business Server 2008.

BPA - instalacja

Instalacja Best Practices Analyzer, zarówno w wersji Windows Small Business Server 2003 jak i Windows SBS 2008, jest bardzo prosta. Zasadniczo wystarczy uruchomić niewielki, jednoplikowy instalator, wybrać lub zaakceptować proponowaną ścieżkę instalacji, i odczekać co najwyżej kilkadziesiąt sekund.

Tak jednak jest w przypadku, gdy instalujemy program na właściwym systemie. Tu możemy dostrzec pierwszą różnicę między poprzednią (SBS 2003), a obecną (SBS 2008) wersją. Jeśli próbowaliśmy zainstalować wersję SBS 2003 w innym systemie niż serwer SBS, to instalator niestety rozpoczynał swoją pracę, nie sprawdzając macierzystego systemu. Jednakże instalacja taka kończyła się błędem z mało zrozumiałym komunikatem.

    Rysunek 2. Zakończenie instalacji wersji BPA for SBS 2003, gdy robimy to na innym systemie

W przypadku Windows Small Business Server 2008 Best Practices Analyzer rzecz ma się już o wiele lepiej. Co prawda instalator również rozpoczyna instalację, jednakże w tym wstępnym etapie sprawdza system, w którym chcemy zainstalować program i jeśli jest on inny niż SBS 2008, kończy instalację ale komunikatem informującym bardzo precyzyjnie, iż narzędzie może być zainstalowane tylko na serwerze SBS 2008.

Rysunek 3. Okienko informacyjne, w przypadku gdy próbujemy instalacji Windows SBS 2008 BPA w innym systemie operacyjnym

Wróćmy jednak do instalacji we właściwym systemie, czyli odpowiednio Windows SBS 2003 lub Windows SBS 2008. Zarówno podczas instalacji w systemie SBS 2003 jak i SBS 2008, wskazujemy ścieżkę instalacji. W przypadku SBS 2008 domyślnym katalogiem instalacji jest c:\Program Files (x86)\SBSBPA\, co sugeruje, że program niestety nie jest jeszcze przepisany jako aplikacja 64-bitowa, a szkoda, bo przecież SBS 2008 nie występuje już w wersji 32 bitowej.

Rysunek 4. Właściwa instalacja

W wersji Windows SBS 2008 BPA musimy podczas instalacji pamiętać o jednej ważnej rzeczy. Mianowicie o zaznaczeniu, jeśli chcemy oczywiście korzystać z tej opcji, integracji z konsolą serwera SBS. Możemy to zrobić tylko w tym momencie. Jeśli nie zaznaczymy tej opcji w czasie instalacji, nie będziemy mieli już później możliwości zdecydowania się na nią, o czym zresztą instalator uczciwie informuje w okienku informacyjnym.

Integracja z konsolą serwera SBS jest bardzo ciekawą opcją, gdyż wtedy alerty krytycznych błędów wykrytych w czasie skanowania, będą przesyłane do tejże konsoli, do zakładki alertów i będziemy mogli je zobaczyć w zakładce Other Alerts. Co prawda, w zakładce tej pojawi się tylko ogólna informacja o błędzie, a po szczegóły i informacje jak rozwiązać powstały problem, tak będziemy musieli przejść do programu BPA, ale i tak odciąża to nas od dodatkowego śledzenia raportów BPA. Jeśli wybierzemy tą opcję integracji, to zostanie ustawiony harmonogram codziennego skanowania systemu. Możemy oczywiście później zmienić częstotliwość i czas badania.

Ciekawostką jest też fakt, iż jeśli wybierzemy instalację z integracją narzędzia BPA z konsolą serwera, nie będziemy mogli się z niej później wycofać. Jedyną metodą jest wtedy ponowne uruchomienie instalatora, i wybranie opcji bez integracji. Zapisane wcześniej raporty nie są kasowane, dzięki czemu możemy łatwo do nich wrócić.

Rysunek 5. Domyślna ścieżka instalacji w systemie Windows Small Business Server 2008

Rysunek 6. Włączenie integracji BPA z konsolą serwera Windows SBS

Skanowanie

Bezpośrednio po zakończeniu instalacji program sprawdza najpierw, czy są dostępne na stronie Microsoftu jakieś aktualizacje do niego. Jeśli pobraliśmy właśnie najnowszą wersję z witryny firmy Microsoft, możemy nie czekając, zrezygnować ze sprawdzania, klikając Cancel the check.

Rysunek 7. Sprawdzenie dostępności aktualizacji do Best Practices Analyzer

W opcjach dostępnych po wybraniu z lewego panelu Updates, można również ustawić, czy program przy każdym uruchomieniu ma sprawdzać, czy są dostępne w witrynie Microsoftu jakieś uaktualnienia dla niego.

Rysunek 8. Ekran powitalny BPA w wersji Windows Small Business Server 2003

Na ekranie powitalnym BPA w wersji Small Business Server 2008 możemy zauważyć jedną nowość wśród dostępnych w lewym panelu opcji. Jest nią opcja Schedule a scan. Opcja ta umożliwia nam ustalenie harmonogramu testowania. Wrócimy jeszcze do niej w dalszej części artykułu; na razie odnotowujemy w pamięci pojawienie się takiej możliwości.

Rysunek 9. Ekran powitalny BPA w wersji Small Business Server 2008

Na ekranie powitalnym BPA mamy dostępne linki do wyboru nowego skanowania systemu, lub też do przeglądania i analizy wykonanych wcześniej i automatycznie zapisanych, raportów.

Zajmiemy się najpierw skanowaniem dostępnym w programie. Po wybraniu opcji nowego skanowania (Start a scan), zostaniemy poproszeni o nadanie etykiety - nazwy, nowego raportu. W programie nie jest podawana żadna nazwa domyślna, ale raport jest zapisywany w domyślnej ścieżce. Zaleca się, by w etykiecie pojawiła się między innymi data wykonywania skanowania, gdyż nie jest ona później wyświetlana przy wyborze raportów do przeglądania.

Na tym właściwie przygotowania się kończą. Możemy uruchomić skanowanie (start scanning) i pójść na zasłużoną kawę. Będziemy jednakże musieli pić ją dosyć szybko, gdyż samo skanowanie nie trwa zbyt długo. W zależności od złożoności naszego środowiska, ilości zainstalowanych komponentów, trwa od kilku do kilkunastu minut.

Zaraz po zakończeniu skanowania możemy przejść do przeglądania i analizy jego wyników. Możemy oczywiście również wyjść z programu, i wrócić do analizy w późniejszym terminie. Raport skanowania został automatycznie zapisany na dysku.

Jak już wspomniałem, możemy przejść do raportu z właśnie wykonanego skanowania, lub przejść (wybierając Select a Best Practices scan to view) do wyboru z listy zapisanych wcześniej raportów. W szczególności z opcji tej korzystamy, gdy chcemy zajrzeć do wcześniejszych wyników, by móc je porównać z obecnymi.

Rysunek 10. Nadawanie nazwy nowemu raportowi skanowania

Rysunek 11. Zakończenie skanowania przez BPA

Raport skanowania możemy przeglądać na kilka sposobów. Bezpośrednio pod nazwą wybranego raportu mamy możliwość wyboru oglądania wyników w postaci listy, w postaci drzewa zdarzeń oraz innych raportów.

W liście zdarzeń mamy do wyboru trzy zakładki. I tak możemy przeglądać tylko krytyczne kwestie (Critical Issues), wszystkie zagadnienia (All Issues) oraz pozycje informacyjne. Poza tym wszystkie pozycje są oznaczane ogólnie przyjętymi i znanymi ikonkami. Elementy krytyczny czerwonym kółkiem z krzyżykiem, ważne, niepoprawnie skonfigurowane elementy - żółtym trójkątem z wykrzyknikiem, a informacje niebieską literą i w kółku.

Dzięki takiemu podziałowi możemy szybko dotrzeć najpierw do najważniejszych, ocenionych jako krytyczne, elementów, bez przedzierania się przez gąszcz wszystkich pozycji.

Początkowo na liście są wyświetlane tylko hasła określające zbadaną kwestię. Dopiero po kliknięciu w wybraną pozycję, rozwija się szerszy opis, w którym znajdziemy więcej informacji o samym błędzie i jego przyczynie. Przeczytamy też co powinniśmy zrobić dla poprawy naszego serwera, a najczęściej znajdziemy bezpośredni link do właściwych artykułów w bazie wiedzy Microsoft, opisujących sposoby rozwiązania problemu.

W tym rozwiniętym opisie możemy też zrezygnować z wyświetlania danej pozycji raportu, klikając w link pod tekstem (Do not show me this item again for all instances). Nie musimy się obawiać - pozycja nie jest kasowana. Jeśli będziemy chcieli przywrócić jej wyświetlanie w przyszłości, znajdziemy ją w wyświetlaniu innych raportów (Other Reports).

Rysunek 12. W zakładce krytyczne są pokazywane tylko błędy oznaczone statusem krytyczny

W zakładce pozycji informacyjnych znajduje się lista zbadanych pozycji, które są poprawnie ustawione i skonfigurowane. Tym samym oczywiście nie ma w tym przypadku problemów do rozwiązania, i nie ma linków do innych źródeł. Lista ta jednak pozwala zorientować się administratorowi co zostało już poprawnie zrobione, czy jakie elementy zostały zainstalowane.

Rysunek 13. Zakładka wszystkie problemy pokazuje wszystkie błędy, oznaczone ikonkami ostrzeżeń lub błędów ważnych

Rysunek 14. Zakładka Informational Items wyświetla tylko elementy informacyjne

Ciekawym widokiem jest drzewo raportu (Tree Reports). Wyświetlane są wtedy, w postaci hierarchicznego, rozwijanego drzewa bardzo szczegółowe informacje. Dzięki hierarchicznej strukturze i wyświetlaniu również innych elementów niż sama informacja o błędzie, możemy łatwo się zorientować skąd pochodzi dana informacja. Możemy też wyświetlić jedynie podsumowanie raportu, które może być ciekawą opcją bieżącego dokumentowania stanu serwera SBS.

Rysunek 15. Tree Reports

Rysunek 16. Przywracanie wyświetlania elementów wcześniej wyłączonych

Rysunek 17. Widok podsumowania raportu

Rysunek 18. Szybkie filtrowanie wyświetlanych informacji

W końcu możemy raporty eksportować do jednego z trzech wybranych formatów: XML, HTML, CSV. Dzięki temu możemy je później przedstawiać w wygodniejszej formie, lub analizować - porównywać między sobą w innych narzędziach.

Rysunek 19. Dostępne formaty eksportu raportu

Wróćmy do harmonogramu cyklicznego skanowania. Zaplanowane w BPA zadanie skanowania systemu jest zapisywane w bibliotece harmonogramu zadań i dzięki temu może być łatwo zmieniane i dostosowywane do naszych wymagań terminowych i czasowych.

Rysunek 20. Zadanie skanowania BPA widoczne w bibliotece harmonogramu zadań

Integracja BPA z konsolą serwera SBS, harmonogram skanowania oraz w końcu wsparcie linii poleceń, to najbardziej widoczne i bardzo ważne nowości Windows SBS 2008 BPA.

Za działanie BPA w postaci okienkowego narzędzia, okresowego skanowania czy działania w linii poleceń odpowiedzialne są trzy oddzielne aplikacje: sbsbpa.exe uruchamia interfejs GUI, który powyżej opisywałem, bpatask.exe służy do okresowego skanowania systemu, i w końcu bpacmd.exe jest aplikacją działającą z wiersza poleceń. Wszystkie trzy programy instalują się w tym samym katalogu.

Chcąc skorzystać z BPA w linii poleceń, powinniśmy pamiętać, że musimy uruchomić konsolę CMD na prawach administratora. Przy standardowym uruchomieniu konsoli, program odmówi współpracy.

Wydając polecenie bpacmd.exe bez żadnych dodatkowych parametrów, uruchomimy automatycznie skanowanie. Raport jego działania zostanie zapisany w domyślnym folderze wyników działania BPA. Jest nim folder w ścieżce %AppData%\Microsoft\SBSBPA.

Pełną listę przełączników działania, których możemy użyć w Windows SBS BPA, poznamy oczywiście wydając polecenie z parametrem /?.

Otrzymamy wtedy następujący wynik:

Usage: C:\Program Files (x86)\SBSBPA\bpacmd.exe [<options>]

Options:

  -cfg <file>  Read the settings and rules from configuration <file>.

               The default is ExBPA.Config.xml in \program files\exbpa\<lang>.

  -dat <file>  Write the output data to <file>.  The default is

               output.<label>.<timestamp>.xml in the exbpa output directory.

  -in <file>   Load the data in <file> prior to the new run.  This can be

               used to collect data from additional scopes in the same file,

               or to reanalyze previous data.  If <file> is "$",

               it will use the output.<label>.<ts>.xml with the most recent

               timestamp.

  -d <server>  Access the directory using the global catalog server <server>.

               If not given, it will bind to the nearest one.

  -l <label>   Specify a <label> in the output.

  -u <context> [<domain>\]<user> (<password>|*) ...

               Provides separate credentials per context.

  -r <option>[=<value>][,...]

               Restrict the collection/analysis to include the specified

               restriction.  The default is "".

  -th <#>      Run a maximum of <#> threads at once (default 500).

  -to <#>      Timeout on data access after <#> seconds (default 300).

  -c           Collect data specified in the config file.  If no other

               operation steps are specified, this is enabled by default

  -a           Analyze the data using the rules from config XML file.

  -e           Strip off the values of any settings marked NotForExport.

  -s           Use the parameters stored in the registry by the GUI for scheduled runs.

  -?           Display this information.

Example: bpacmd.exe -dat output.xml -u ADLOGON food\administrator P@ssw0rd EXLOGON food\administrator P@ssw0rd -r "General,Level 3,Server=FOO-01|FOO-02" -c -a

Valid restrictions options:

Valid security contexts:

This tool gathers configuration information from a system and analyzes it against best practices.  It then reports on best practice violations.

Możliwość skorzystania z linii poleceń oraz istnienie dodatkowych przełączników ucieszy niewątpliwie wszystkich wielbicieli automatyzacji w postaci skryptów.

Rysunek 21. Zaznaczone trzy oddzielne aplikacje BPA

Rysunek 22. Zapisane wcześniej raporty

Podsumowanie

Windows Small Business Server 2008 Best Practices Analyzer:

• To bezpłatne narzędzie, które analizując wiele elementów serwera, dostarcza dużo cennych informacji, aprzede wszystkim wskazuje elementy wymagające poprawy, oraz podaje drogę zalecanego działania.
• Pozwala zaplanować i ustawić harmonogram skanowania.
• Integracja z konsolą serwera SBS, daje możliwość przesyłania informacji o krytycznych błędach, bezpośrednio do konsoli SBS.
• Działanie z linii poleceń daje możliwość napisania skryptów korzystających z tego narzędzia.

Zasoby dodatkowe

Windows Small Business Server 2008 Best Practices Analyzer

Windows Small Business Server 2003 Best Practices Analyzer

Autor:

Zygmunt Bularz

Od kilkunastu lat związany z IT w różnych obszarach branży. Ostatnio głównie różnego rodzaju serwisy WWW. Od kilku lat administruje siecią opartą o SBS w prywatnej firmie. Jako pasjonat informatyki, w 2006 roku rozpoczął ścieżkę certyfikacyjną dochodząc do MCSA. Zamierza ją dalej kontynuować w obszarze Windows Server 2008. Prywatnie pasjonat fotografii, podróży i.... komputerów. Członek WGUiSW.