Schon vor längerer Zeit habe ich einmal in unsere SCOM-Installation das „Microsoft System Center Configuration Manager 2007 SP2 Management Pack for Microsoft System Center Operations Manager 2007 R2“ (Version 6.0.6000.2) importiert, um damit unsere Configuration Manager Umgebung zu überwachen.  Denn wieso soll ich z.B. regelmässig selber manuell den Site Status unserer Sites kontrollieren, wenn das der Operations Manager für mich tun kann?

Doch an diesem Management-Pack hatte ich keine Freude. Zwar funktionierte die Erkennung von Fehlern recht zuverlässig:

• Ein Paket konnte nicht auf einen Distribution Point bereitgestellt werden. Alert von SCOM!
• Ein Site Backup konnte nicht erstellt werden. Alert von SCOM!
• Der SMS Executive crashte auf einem Server. Alert von SCOM!
• usw.

Die entsprechenden Fehler wurden behoben und die Alerts geschlossen. Alles bestens, oder?

Nein, leider nicht ganz, denn kurz darauf:

• Alert von SCOM: Ein Paket konnte nicht auf einem Distribution Point bereitgestellt werden!
• Alert von SCOM: Ein Site Backup konnte nicht erstellt werden!
• Alert von SCOM: Der SMS Executive crashte auf einem Server!
• usw.

Was schon wieder? Tatsächlich: SCOM rapportierte dieselben Ereignisse nochmals. Ja, exakt „dieselben Ereignisse“ nochmals, obwohl der Fehler längst behoben war! Egal, wieviele Male man die betreffenden Alerts schloss, kurz darauf waren sie wieder erneut da. Dies natürlich immer mitsamt Generierung der entsprechenden Alert-Mails usw. Erst am Tag darauf kehrte wieder Ruhe ein.

Vor allem als uns etwa vor einem Monat die Verbindung zum Datenbankserver tauchte, herrschte nachher reger Mailverkehr in meiner Mailbox. Und die SCOM-Konsole war komplett unübersichtlich: Unzählige Alerts wurden da aufgelistet und man verlor völlig den Ãœberblick. Und egal wieviele Male man diese Alerts schloss, um wieder eine aufgeräumte Konsole zu erhalten, füllte sich diese innert weniger Minuten erneut. Und die Mailbox dazu…

Ich war kurz davor, das Management-Pack wegen „völliger Unbrauchbarkeit“ zu entsorgen. Und dann las ich den Blogbeitrag „Want to drastically quiet down your ConfigMgr 2007 MP?“ von Kevin Holman, publiziert am 1. September 2010.

Dieser Blogbeitrag beschreibt genau dieses Phänomen und nennt die Ursache dieser wiederholten Alarme. So schreibt Kevin Holman über die sog. „Consolidation Rules“, die noch von MOM 2005 her stammen:

„What happens is – this consolidation rule causes the alert to continuously repeat, even if the status message is no longer in the database!  If you resolve the condition, close the alert, the alert will be regenerated within a few minutes from the Healthservice that loaded this converted consolidation rule.  The purpose behind these consolidation rules was to control a burst of status messages that occur within a short period of time.  However – they aren’t working as designed today, and furthermore are the cause of the massive repeat counts and re-alerting on old conditions.“

Kevin Holman nennt dann auch die simple Lösung für das Problem: „Consolidation Rules“ deaktivieren! Und netterweise liefert er auch mit seinem Beitrag noch ein „Addendum Management Pack“ mit, das genau diese Aufgabe übernimmt.

Tatsächlich: Seit ich dieses (in seinem Blogbeitrag verlinkte) „Addendum Management Pack“ importiert habe, funktioniert die Ãœberwachung genau so wie ich mir das vorstelle:

• Problem in SCCM, Alert in SCOM
• SCCM-Problem gefixt, SCOM-Alert geschlossen.
• Problem doch nicht erfolgreich gefixt, Alert wieder da…
• SCCM-Problem erfolgreich gefixt. Kein erneuter Alert mehr.

Mit dem „Addendum Management Pack“ von Kevin Holman wird das „SCCM 2007 SP2 Management Pack“ tatsächlich brauchbar!

Thank you very much, Mr. Holman!