MECM Site System Audit
Optimierte Ressourcen, Skalierung, Leistung & Verwaltung.
(Gültig für System Center Configuration Manager V.1602 und höher)
Die Zeit verfliegt wie im Flug und seit der Erstveröffentlichung (5.0.8325.1000) im Dezember 2015 (1511), erreicht das digitale Ökosystem mit seinen neuen „Service Modellen (CB,CBB,LTSC)“,„Feature Upgrades“ und „Alles als Service“ aus den „Monster Wolken“, umfangreiche Qualitäten.
Komplexe IT Systeme reagieren oft genauso sensibel auf negative Einflüsse wie das bei Klimaveränderungen der Fall sein kann. Mit dem Unterschied, dass wir hier nicht unbedingt den Launen der Natur ausgesetzt sind und Maßnahmen ergreifen können, um nicht „aus allen Wolken zu fallen“ und dramatische Auswirkungen zu verhindern oder entgegenzuwirken.
Erfolgreiches und effizientes Management steht dabei häufig in Konjunktion mit stabilen Werkzeugen, zuverlässigen Mechanismen, Prozessen und einem hohen Wirkungs- bzw. Automatisierungsgrad.
"Audit..."
…muss keine unangenehme Sache sein, denn der „Grundreinigung“ liegt eine (größtenteils) automatisierte Inventur zu Füßen, die den Zustand der Systeme widerspiegelt sowie erforderliche Maßnahmen und Optimierungspotential offenlegt.
Nach Vorlage der Ergebnisse, dem gemeinsamen Review und Genehmigung der Maßnahmen, erfolgt die wiederum (größtenteils) automatisierte Umsetzung und Optimierung.
Im Abschlussbericht geben die erzielten Ergebnisse, über Auswirkungen, freigegebene Ressourcen sowie der Qualitätsverbesserung, visuellen Aufschluss und lässt – (gemäß dem anstehenden Frühlingsbeginn) – „die Sonne wieder heller scheinen“!
"Massnahmenkatalog"
- CLIENT
Thema: Negative Leistungseinflüsse bei exzessiven Hardware- und Softwareinventur Intervallen sowie unnötig definierten Inventur-Klassen. Wildwuchs, veraltete oder ungenehmigte Software, Duplikate sowie obsolete Pakete, Applikationen und Zuweisungen.
Maßnahme: Inventur der Client Agent Einstellungen, Software (Pakete, Applikationen) und Zuweisungen sowie Prüfung und ggf. Korrektur bzw. Bereinigung.
Ergebnis: Verbesserung der Site Server Systemleistung, Reduzierung von Datenbank und Festplattenspeicher-Größe.
- Boundaries
Thema: Veränderte, Erweiterte oder nicht Identifizierte Netzwerksegmente, fehlende Gruppenzuordnung oder Fallbackverhalten. Befindet sich ein Client außerhalb dieser Segmentierung und die Bereitstellungsregel enthält keine optionale Einstellung für Downloads (von einer Benachbarten oder Standard Site Boundary) oder Standortzuweisungen, kommt es zu Fehlverhalten wobei Software oder Updates am Client nicht angewendet werden. Im schlimmsten Fall, ist der Client durch fehlende Sicherheitsaktualisierungen und-oder Unternehmensrichtlinien potentiell gefährdet. Überlappende oder fehlende Begrenzungsgruppen führen zu erheblichen Verzögerungen oder Fehlern bei der Zuweisung von Standorten, Verwaltungs- oder Verteilungspunkten.
Maßnahme: Automatisierte (SQL/WQL/Report) Identifizierung von Clients, außerhalb definierter Site Boundaries. Anlage, Konfiguration und Zuweisung der fehlenden Adressbereiche.
Ergebnis: Erfolgreicher und Zeitoptimierter Download sowie Anwendung von Richtlinien, Zuweisungen, Software oder Updates.
- COLLECTIONS
Thema: Leistungseinbußen bei vollen Membership Updates in Verbindung mit Inkrementellen Updates. Unterschiedliche Zeitplän bei vollen Membership Updates, erfolgen teilweise unter der Betriebszeit. Negatives Verhalten bei überlappenden Wartungsfenstern.
Maßnahme: Automatisierte Identifizierung (Powershell) und ggf. Korrektur der Zeitpläne (zur Durchführung – außerhalb Betriebszeiten) sowie Abkündigung der vollen Updates, in Verbindung mit Inkrementellen Aktualisierungen.
Ergebnis: Verbesserung der Site Server Systemleistung und Verteilungsmechanismen sowie Client Interaktion/Operation.
- DISCOVERY
Thema: Leistungseinbußen bei vollen Aktualisierungen von Systemermittlungen in Verbindung mit Delta Updates.
Maßnahme: Inventur und Identifizierung unnötiger Aufgaben sowie ggf. Korrektur.
Ergebnis: Verbesserung der Site Server Systemleistung.
- DISK
Thema: Konfiguration vom Festplatten-Verbund und Auslegung der Speicherzuordnung (SYSTEM,DATENBANK,DATEN)
Maßnahme: Bei ca. 1000 Verwalteten Geräten, sollte die Eingabe-Ausgabe pro Sekunde(IOPS) ungefähr 500 betragen, daher wird bei entsprechende Speicherbereichen, eine Messung der IOPS durchgeführt und ggf. einer Neukonfiguration unterzogen bzw. Empfehlungen zum Ersatz oder der Datenmigration gegeben. Eventuell In-Place Upgrade auf Server 2016 und ReFS Nutzung.
Ergebnis: Verbesserung der Site Server Systemleistung, effektive Speicherzuordnung und Verteilungsmechanismen sowie Operationen am Dateisystem.
- DATENBANKEN (SQL)
Thema: Dimensionierung und Konfiguration der SCCM/REORT/WSUS Datenbanken spielen eine entscheidende Rolle. Tägliche Aufgaben zur Index Optimierung, Integrität und Kalkulation mit optimierter Laufzeit bei natürlichem Wachstum.
Maßnahme: Inventur und Analyse bestehender Datenbanken-Systeme sowie ggf. Korrektur. Implementierung von Wartungsaufgaben für Datenbanken (CM_DB/SUSDB/REPORTING) Anpassungen der Log- und Reporting Datenbanken sowie Deaktivierung von unzulänglichen (Standard) Wartungsaufgaben (Maintenance Tasks) – diese werden durch effiziente SQL Aufgaben ersetzt.
Ergebnis: Stabile Laufzeit und verbesserte Site Server Systemleistung. Vermindertes Ausfallrisiko durch Überlauf oder Inkonsistenz.
- WSUS/SUP
Thema: Übergelaufene Speichermedien sind in diesem Zusammenhang keine Seltenheit. Durch vielfältige Betriebssystem-, Software- und Treiber-Aktualisierungen sind die Grenzen oft schnell erreicht. Auch die Masse an Daten erhöhen das Risiko zur Inkonsistenz und verringern den Durchsatz von Bereitstellungsaufgaben (Counter/Statistik/Scan/Evaluierung).
Maßnahme: Identifizierung ab-gekündigter Updates und Bereinigung des Festplattenspeichers. WSUS Healthcheck, Datenbank (SUSDB) Integritätsprüfung, Re-Indexierung und Definition geplanter (automatisierter) Wartungsaufgaben (Superseded, ExclusionPeriod, Cleanup). Anpassungen und Optimierung von Internet Information Services (IIS) Queue Length & Private Memory Limits.
Ergebnis: Speicherplatzreduktion, stabile Laufzeit und verbesserte Site Server Systemleistung. Vermindertes Ausfallrisiko durch Überlauf oder Inkonsistenz.
- Sicherheit, Stabilität & Datenschutz
Thema: Lokale oder Remote Benutzer-Anmeldungen (außer SCCM Administrator für Wartungsaufgaben) am Site Server, sind seit Einführung von Rollen-basierten Berechtigungskonzepten mit der eigenständigen Console unangebracht, und sollten dringend unterbunden werden. Benutzerprofile belegen (je nach Profilgröße) mehrere GB unnötigen Speicherplatz. Geöffnete Consolen am Site System benötigen 1GB RAM pro Benutzer. Benutzerkonten werden oft Gruppenrichtlinien zugewiesen die den Zustand des „Site Server Systems“ negativ beeinflussen bzw. zu Inkonsistenzen führen können. Beschränkung der Internetverbindung auf Geschäftsprozessebene (Updates & Lösungen) wie die explizite Port und Seitenfreigabe für Remoteverbindungen.
Maßnahme: Eine geeignete Backup & Disaster Recovery Lösung ist dringend zu empfehlen. Benutzerprofile löschen, Anmeldeberechtigungen (mit Ausnahme von SCCM Admin.) entziehen, Rollen-basiertes Berechtigungskonzept umsetzen und SCCM Console auf entsprechenden Clients verteilen. Identifikation der benötigten Internetkonnektivität (Updates/Subscriptions/[Cloud]Services) und Umsetzung von expliziten (Firewall/Proxy/etc.) Richtlinien.
Ergebnis: Speicherplatzreduktion, stabile Laufzeit und verbesserte Site Server Systemleistung. Vermindertes Ausfallrisiko durch Überlauf oder Inkonsistenz und Cyber Attacken.
Das durchschnittliche Optimierungspotential und die Ressourcenfreigabe variiert mit unterschiedlichen Ausprägungen der zugrundeliegenden Architektur. Die Regulierung von Objekten wird mit empfohlenen Werten aus aktuellen Microsoft Studien & Leitfäden sowie Best Practice Erfahrungswerte seit SMS 2.0/RIS/SCCM2007-2012 und Current Branch durchgeführt. Technische Umsetzung basiert auf SCCM Powershell cmdlet Library, Reporting Services, SQL/WQL Abfragen und Kommandozeilen.