Comment documentez-vous les configurations du serveur Windows?


15

Je viens d'un arrière-plan Unix où la documentation de la configuration d'un service (email par exemple) pourrait être aussi simple que de récupérer quelques fichiers de configuration de texte et un paragraphe ou 2 de texte explicatif.

Face à la documentation de la configuration d'un grand nombre (50+) de boîtes Windows, je suis consterné de voir à quel point il est difficile d'avoir une vue d'une configuration de service. Je construis ces machines à partir de zéro, donc je suis confronté à la nécessité de maintenir la configuration cohérente sur toutes les machines. J'imaginerai tous les serveurs lorsque cela est possible en utilisant Ghost ou similaire, mais la configuration réelle de services comme AD ou Exchange est un processus de pointer-cliquer manuel qui pourrait être facile de se retrouver avec des incohérences.

Comment les gens me suggèrent-ils de créer une documentation de build qui garantira la cohérence? et deuxièmement, comment documentez-vous la configuration sans recourir à des charges de captures d'écran, etc.? En fait, j'envisage d'utiliser Camtasia pour saisir une vidéo du processus de configuration qui semble ridicule.

Merci de votre aide!

modifier: Certaines des réponses ci-dessous ont été très utiles et je pense que cela me permettra de trouver où je voudrais être. En particulier, l'utilisation de fichiers de réponses pour les installations scriptables aidera à créer des installations cohérentes et certains des outils WMI seront très utiles pour la documentation (LANsweeper, SYDisproject etc.)

Ce que je veux vraiment, c'est avoir un outil qui puisse cracher toute la configuration dans un format lisible / modifiable par l'homme et aussi tout réintégrer. Unix a pratiquement toujours fait cela avec des fichiers de configuration auto-documentés, c'est donc une grande déception de ne pas avoir la même fonctionnalité dans un système d'exploitation soi-disant moderne!


+1 car je partage le même problème. Beaucoup de captures d'écran et de fichiers txt pour moi pour le moment :(
Chris Driver

1
@Chris: Vous n'écrivez pas assez fort, alors ...> sourire <
Evan Anderson

Réponses:


7

Vous dites que vous construisez les systèmes à partir de zéro, donc il semble que vous soyez plus intéressé par la configuration automatisée que par la configuration d'un système "en direct".

L'installation de toutes les versions de Windows depuis Windows 2000 a été assez simple à automatiser via des "fichiers de réponses".

L'installation d'Active Directory (dcpromo.exe) peut être effectuée à partir d'un fichier de réponses.

Les objets peuvent être importés dans Active Directory à partir de fichiers CSV / LDIF, ou ajoutés par programmation via un script. Si vous créez un seul domaine, ces objets ne devront être importés qu'une seule fois et l'importation CSV / LDIF sera probablement correcte. Si vous créez plusieurs domaines ou plusieurs forêts, vous serez probablement mieux servi en écrivant un script (car les noms distinctifs des objets seront différents domaine par domaine, forêt par forêt).

L'installation de chaque version d'Exchange depuis Exchange 2000 peut être automatisée avec un fichier de réponses.

Dans un environnement Active Directory, une grande cohérence de configuration peut être obtenue en utilisant la stratégie de groupe pour appliquer les paramètres sur les ordinateurs. Je vis dans le but d'avoir tous les paramètres de configuration non stockés re: le système d'exploitation défini par la stratégie de groupe de telle sorte que lorsque je déploie un nouveau serveur, je ne coche pas les éléments de configuration à la main (autorisant «Bureau à distance», exécutant «Ajouter / Supprimer» Composants Windows / SYSOCMGR pour modifier les composants Windows chargés, en appliquant le système de fichiers local et les autorisations de registre, etc.).

Au-delà de l'installation initiale des produits, la connaissance de l'endroit où chaque produit stocke sa configuration vous mènera loin vers la cohérence. Les scripts pour manipuler le système de fichiers et le registre ne sont pas très différents sous Windows que la manipulation de fichiers de configuration sur une machine * nix. Lorsque la manipulation du registre n'est pas appropriée, il existe généralement des utilitaires de ligne de commande pour effectuer la plupart des autres tâches de configuration (netsh, la commande "net", les outils du kit de ressources, etc.). Je serais presque certain que la plupart des tâches de configuration que vous allez rencontrer ont déjà été automatisées et rendues scriptables par quelqu'un si vous regardez bien.

re: imagerie de disque - Si vous disposez d'un matériel identique, vous pouvez vous en sortir avec l'imagerie de disque après avoir utilisé l'outil SYSPREP pour réinitialiser l'ID de sécurité de l'ordinateur (SID) et le préparer pour l'imagerie. Si votre matériel n'est pas cohérent, je déconseille l'imagerie de disque. Votre fournisseur de serveur, en supposant qu'il s'agit d'une marque de nom, devrait avoir une «histoire» pour le déploiement automatisé du système d'exploitation qui comprend la fourniture des pilotes pour le matériel (OpenManage Server Assistant, SmartStart, etc.).


Cela semble très utile, merci Evan - l'option d'installation automatisée pourrait certainement aider à garantir la cohérence de l'installation, j'examinerai cela. J'utiliserai en effet un outil vendeur pour créer des images et le matériel est identique donc pas de difficulté là-bas.
John

L'idéal serait de créer automatiquement le fichier de réponses d'installation à partir d'une machine en cours d'exécution - est-ce possible? Mec, je ne sais pas du tout comment vous vous en sortez ;-)
John

1
@John: Ce n'est pas si mal que ça. Une fois que vous obtenez le coup de vous pouvez vraiment faire en utilisant la manipulation de registre de ligne de commande et quelques - uns des différents outils de ligne de commande de spécialité (dnscmd.exe à partir des outils de support, netsh.exe, etc.) LOT de la ligne de commande (et , donc, à partir de scripts) pour obtenir des configurations reproductibles. J'ai commencé ma vie avec de "vrais" logiciels dans le monde Unix (Xenix-- ick) et je suis devenu très bien avec la façon de faire de Windows. Le registre ressemble à un répertoire / etc pour moi. Microsoft a également beaucoup amélioré l'administration de la ligne de commande au cours des dernières années.
Evan Anderson

Il me semble que Windows fournit des interfaces raisonnables pour documenter une configuration en cours d'exécution et peut cracher certains bits de la configuration (comme l'exemple de GPO que quelqu'un a mentionné), mais il n'y a aucun moyen de les combiner, c'est-à-dire que je veux que la machine crache tous ses config sous une forme lisible / modifiable par l'homme qui me permettrait simplement de la transférer sur une autre machine avec quelques changements. Unix a fait cela pour toujours, il est étonnant que vous ne puissiez pas faire de même sous Windows. Merci pour votre aide, au moins je peux de toute façon obtenir ce que je veux!
John

5

Une autre option pour les systèmes "en direct" est SYDI ( http://sydiproject.com/ )

Depuis le site Web du projet: "Au niveau le plus élémentaire, SYDI consiste en une collection de scripts qui collecte des informations à partir de vos serveurs et réseaux, puis écrit les données dans un rapport.

Documenter un réseau peut sembler un énorme projet, SYDI vous aide à démarrer. Au lieu de collecter manuellement des informations telles que les adresses IP, la version du système d'exploitation, la configuration matérielle, les scripts les collectent automatiquement, ils peuvent les écrire directement dans Word (ou XML). "


2

Une grande partie de la configuration de Windows est en fait stockée de manière logique et logique et dans des emplacements logiques et logiques. Si vous y arrivez avec votre chapeau Unix bien en place, vous essayez probablement d'adopter une approche de type Unix pour collecter ces informations, ce qui vous conduira très rapidement dans un gâchis.

Pour prendre l'exemple des stratégies de groupe: afin de documenter la configuration de GPO, vous pouvez simplement utiliser gpmc pour (1) générer des documents de configuration lisibles par l'homme et (2) générer des exportations utilisables par machine de votre configuration de GPO actuelle. Ce ne sont que quelques clics de souris et vous aurez tout dans un bel emballage.

Pour la configuration du serveur, vous pouvez utiliser des scripts WMI pour vider n'importe quelle quantité d'informations imaginables dans le format précis que vous souhaitez, sans avoir à vous approcher d'AD, du système de fichiers ou du registre. Vous pouvez même utiliser des outils gratuits comme LANSweeper ( http://www.lansweeper.com/ ) pour automatiser le processus et rendre le résultat final disponible sur une page Web pour que tout le monde puisse le voir.

Un autre point à prendre en compte, qui a été abordé ci-dessus mais mérite d'être répété, est que dans un environnement AD, les serveurs n'existent pas isolément les uns des autres. La configuration de AD, Exchange et GPO est une tâche unique. Vous n'avez pas besoin de configurer les GPO séparément sur chaque contrôleur de domaine, par exemple.


Il y a beaucoup de cerceaux à franchir pour réaliser les choses les plus simples qu'il n'y paraît. Ma configuration est inhabituelle en ce sens que j'ai plusieurs domaines AD similaires et séparés qui sont complètement indépendants mais doivent partager des configurations très similaires pour faciliter l'administration, d'où le désir de configurations facilement documentables et reproductibles. Il semble facile de créer un document de configuration à l'aide de WMI une fois que vous avez un serveur en cours d'exécution, mais pas si facile de simplement cracher toute la configuration de telle manière qu'elle peut être rapidement modifiée et lue sur un autre serveur (c'est-à-dire la façon dont Unix a manipulé ce genre de choses pour toujours).
John

2

Nous avons des logiciels qui peuvent documenter IIS, les serveurs Windows, les instances SQL, Exchange.

Il existe une version GRATUITE qui peut couvrir certaines de vos exigences.

http://centrel-solutions.com/xiaconfiguration

Merci,

Dave


1

J'ai récemment commencé à jouer avec Spiceworks, et je dois admettre que je pense que cela fonctionne selon le principe FM.

Tant que vos machines sont authentifiées par domaine, elles s'occuperont de tout. À tout le moins, utilisez-le pour créer de la documentation sous une forme que vous connaissez mieux.


Merci pour la suggestion de Matt, il semble que ce serait un outil utile pour créer et maintenir des inventaires de réseaux en cours d'exécution. Cependant, il ne semble pas avoir la capacité, par exemple, de me donner la configuration complète d'un serveur d'échange de telle sorte qu'il puisse être rapidement reconstruit. Je dois dire que je suis étonné que cela semble si difficile à faire. Comme je l'ai mentionné, dans le monde Unix, quelques fichiers de configuration de texte et vous êtes hors tension. Vous vous inquiétez de la cohérence? Il suffit de différencier les 2 configurations! Facile.
John

@John: La configuration pour Exchange, par exemple, est stockée dans Active Directory et non "sur" l'ordinateur Exchange Server. Lorsque vous devez "reconstruire" une machine, la configuration est déjà là dans AD. L'exportation et la "modification" de la configuration des paramètres spécifiques au serveur pour Exchange ne seraient pas trop difficiles. Beaucoup d'administrateurs Windows ne regardent pas "sous le capot" et se rendent compte que la plupart de la configuration de leurs ordinateurs serveurs n'est qu'un tas de paires clé-valeur dans le système de fichiers, le registre ou Active Directory.
Evan Anderson

Merci Evan, c'est certainement beaucoup plus complexe que d'extraire un fichier de configuration et d'exécuter un diff si la configuration peut être répartie entre le système de fichiers, le registre et AD. Comment procéder pour consolider ce gâchis d'informations de manière cohérente et utile?
John
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.