ПО Rove Mobile Admin 5.1 предоставляет администраторам центров обработки данных отличную возможность отслеживать и оптимизировать работу серверов и приложений с помощью мобильного устройства. Таким образом они могут осуществлять более качественный и оперативный контроль, даже находясь вне офиса.
В Mobile Admin имеется “слой представления”, приспособленный для работы на мобильных устройствах и позволяющий реорганизовывать серверы, операционные системы, а также “родные” API и функции корпоративных приложений в простые наборы отладочных инструментов, умещающиеся на небольших экранах современных смартфонов. Хотя такие популярные технологии удаленного доступа, как VNC и Remote Desktop, тоже встроены в Mobile Admin, слой представления обеспечивает более быстрый и интуитивный доступ, особенно для такого форм-фактора.
Компания Rove предлагает две версии Mobile Admin — профессиональную (Professional) и базовую (Basics). Базовая (цена 295 долл. за каждую пользовательскую учетную запись) обеспечивает удаленный доступ через SSH, TN3270/TN5250 и RDP плюс стандартный набор функций Microsoft для управления сервером и мониторинга, что позволяет администраторам просматривать журналы событий, манипулировать с файлами, запускать приложения, составлять расписания для различных заданий, перезагружать машины или перезапускать сервисы, а также выполнять всевозможные операции по устранению неполадок.
Я тестировал профессиональную версию (цена 595 долл. на каждого пользователя). В дополнение к возможностям базовой в ней есть поддержка технологий мониторинга, предлагаемых третьими фирмами (Nagios, BMC Remedy или Microsoft System Center Operations Manager), а также различных средств виртуализации (VMware или Hyper-V), СУБД (Oracle или Microsoft SQL Server), пакетов программ для управления мобильными устройствами (BlackBerry Enterprise Server или Microsoft Mobile Device Manager) и продуктами Microsoft вроде Exchange или IIS.
Пакет Mobile Admin 5.1, выпущенный в феврале, включает усовершенствованный интерфейс удаленного управления, более соответствующий подходу многих администраторов и организаций к работе с сетью. В предыдущих версиях администрирование выстраивалось по серверам — администратор мог проследить сверху донизу путь к конкретной машине, к которой хотел получить доступ. В версии 5.1 добавился режим просмотра Services, в котором инфраструктура выстраивается в расчете на определенные инструменты управления. В результате, к примеру, все серверы Exchange или IIS автоматически группируются в Mobile Admin UI в единый блок для соответствующих приложений.
Для ряда мобильных устройств Rove предлагает клиентские приложения. Очень многие операции в ходе тестирования я проводил на iPhone и BlackBerry — нужные приложения можно загрузить на сайтах соответствующих поставщиков. Mobile Admin снабжается также приложениями для Windows Mobile версии 6.0 и выше; кроме того, администраторы могут пользоваться Web-интерфейсом через браузер для ПК. Недавно Rove начала бета-тестирование нового клиентского приложения для платформы Android.
В Mobile Admin предусмотрено несколько способов, позволяющих администратору защитить свой трафик в процессе удаленного управления. Система поддерживает HTTPS, так что я смог сконфигурировать мобильных клиентов, обеспечив доступ к серверу Mobile Admin, непосредственно проделав отверстие для порта TCP 4055 в брандмауэре, защищающем периметр. Правда, Rove рекомендует вместо этого использовать для доступа к защищенным ресурсам уже существующую инфраструктуру VPN, при условии что у вас имеется VPN-клиент для устройств, применяемых в процессе управления.
Более элегантное решение — предлагаемое Rove мобильное приложение для BlackBerry на основе канала MDS, встроенного в инфраструктуру BlackBerry Enterprise Server. Здесь используется канал с шифрованием 3DES или AES, через который идет весь корпоративный трафик для BlackBerry — от отдельных устройств через сеть BlackBerry и на BES, где информация дешифруется и передается на сервер Mobile Admin.
В своих тестах я с помощью Mobile Admin администрировал несколько серверов Windows, находящихся либо в одном домене с Mobile Admin, либо в рабочей группе. Управлять базовой функциональностью Windows было очень просто: я мог оперативно останавливать и запускать сервисы, добавлять пользователей в домене, составлять расписание задач и пользоваться утилитой NSLookup. Для корпоративных Windows-приложений я мог задавать ограничения на размеры входящих и исходящих сообщений, контролировать очереди и хранилища в Exchange 2003. Работая с IIS, я мог дистанционно запускать и выключать сайты и изменять их настройки безопасности.
Я настроил Mobile Admin для управления средой BlackBerry Enterprise Server 5.0, что позволило мне видеть состояние сервера BES, идентификаторы, информацию о лицензиях, а также конфигурацию и состояние системы управления при отказе для BES. Можно было останавливать или запускать сервис распределения, который выдавал полезные предупреждения о том, что при управлении через устройство BlackBerry отключение этого сервиса приведет к обрыву связи. Мне была доступна разнообразная информация о работе отдельных пользователей, в частности об успешных и неудавшихся попытках входа в систему, о действующих политиках для BlackBerry и о статусе доставки сообщений. Система позволяла добавлять пользователей и посылать почтовые сообщения для активации регистрации для пользователей, уже внесенных в базу данных BlackBerry. Я не обнаружил средств для управления оперативной синхронизацией между этой базой данных и доменом Windows, которые позволили бы сразу добавлять пользователей, внесенных в Active Directory.
Далее я настроил Mobile Admin для удаленного доступа к инфраструктуре VMware vSphere лаборатории eWeek Labs. С помощью интерфейса управления я мог просматривать весь дата-центр VMware и прослеживать детали вплоть до кластеров со всеми входящими в них серверными хостами. Можно было посмотреть, какие клиентские машины работали на каждом хосте кластера, как используются ресурсы ЦПУ и памяти. Я просматривал информацию о IP и DNS и мог выполнять некоторые действия на виртуальных машинах — включать и выключать клиентские ВМ, получать данные о назначенных и завершенных задачах и событиях. Также можно было редактировать виртуальные настройки, например, уменьшать или увеличивать число процессоров и объемы памяти, выделенные ВМ. К сожалению, Mobile Admin не показывает сведения о состоянии ВМ при редактировании конфигурации, и назначенные параметры посылаются независимо от того, функционирует ВМ или нет. Если ВМ выключена, изменения вступают в силу, но если она работает, VMware попросту игнорирует команду от Mobile Admin.
Проблемы с UAC
Система не позволяла мне осуществлять с помощью VMotion миграцию виртуальных машин между серверами. Впрочем, представители Rove признают, что это востребованная функция, и заявляют, что компания работает над ее реализацией.
В Mobile Admin предусмотрена возможность подключения внутренних серверов и управления ими без применения управляемых хостов. Для этого используются имеющиеся интерфейсы и API. Правда, для установки соединения администратору может потребоваться инсталлировать новое ПО или изменить серверную конфигурацию. В некоторых случаях мне пришлось инсталлировать компоненты непосредственно на наш сервер Mobile Admin. К примеру, для управления нашей инфраструктурой VMWare 4.0 понадобилось установить и VMware vSphere PowerCLI, и PowerShell (я установил Mobile Admin на Windows Server 2003, для которого PowerShell является отдельной инсталляцией). А для управления Exchange 2003 потребовалось установить на сервер Mobile Admin инструментарий Exchange System Management Tools.
В отдельных случаях необходимо было вносить изменения на управляемых серверах. Скажем, для управления инфраструктурой BES 5.0 через Mobile Admin нужно было инсталлировать на серверы BES интерфейс BlackBerry Administration API (в случае с BES 4.x требовался пакет BlackBerry Enterprise Resource Kit). Этот API включен в состав пакета обновления BES 5.0 Service Pack 1, однако для исходной версии BES его надо устанавливать отдельно. Кроме того, необходимость в BlackBerry Administration API означает, что Mobile Admin не будет работать с новой версией BlackBerry Server Express, не поддерживающей API.
Еще более неприятным мне показалось содержащееся в документации Mobile Admin предупреждение о том, что на управляемых серверах с версией Windows Server 2008 и выше средства UAC (контроль пользовательских учетных записей) должны быть отключены. Как показали мои тесты, при попытке управлять через Mobile Admin серверами Windows 2008 Server с функцией UAC администратор видит только Active Directory и сервисы RDP. Отключение UAC на сервере открывает доступ к остальным важнейшим функциям управления Windows.
Как поясняют представители Rove, их средства управления Windows используют механизм WMI (Windows Management Instrumentation, инструментарий управления Windows), требующий доступа к административным общим ресурсам по умолчанию на управляемом сервере. Это позволяет передавать сведения об операциях WMI серверу Mobile Admin. Но UAC обычно по умолчанию не дает доступа к этим ресурсам.
Вопреки тому, что говорится в документации, менеджер подразделения разработки Rove Роб Макатир заявил: “Мы не хотим, чтобы наши клиенты отключали механизм UAC. Если у пользователя Mobile Admin, управляющего удаленным сервером 2008, есть администраторские права на этом сервере, не имеет смысла использовать административный общий ресурс”.
Между тем мой опыт показал, что это справедливо лишь в том случае, если сервер Mobile Admin и управляемый хост являются членами одного и того же домена Windows. Когда я пытался получить доступ к управляемому серверу в другом домене, даже при указании в Windows Server 2008 прав для части группы “Администраторы” система UAC блокировала управление через Mobile Admin. Но если я указывал атрибуты для администраторской учетной записи, попытка удавалась.
Хотя отключение UAC снимает эти проблемы, я бы не рекомендовал такое решение в реальной практике. Я нашел еще одно решение — добавление в Реестр ключа, позволяющего в сеансах удаленного доступа работать с административным общим ресурсом. Это решение делает систему в целом менее защищенной, но оно кажется более предпочтительным, чем простое отключение UAC. Макатир подтвердил действенность такого решения и добавил, что Rove намерена убрать из документации требование об отключении UAC.