Replikation des Active Directory analysieren mit der Operations Management Suite

Nach einem Routinestart vor langer Zeit zeigte das Tool schon den Hinweis an, wonach es nun auch als Teil von OMS in der Azure Public Cloud verfügbar sei. Am Rande: Das kurzzeitige Aus für jenes genannte on-prem GUI-Tool, wurde abgelöst durch eine Wiederverfügbarkeit ab April 2016. Jedenfalls ist es nun also auch möglich, Daten der lokalen Domänen Controller einzu­sammeln und gebündelt in der Cloud auszuwerten. Hierbei hilft die Kern­komponente Log Search des Log Analytics Dienstes, welche eine granulare Untersuchung zulässt.

Doch die Verlagerung dieser Analyse in die Cloud setzt natürlich eine Online-Verbindung und einen Datentransfer der DCs dorthin voraus. Genau hierbei stößt man in der einen oder anderen Umgebung aus Sicherheits­gründen auf weniger Zuspruch, auch wenn Microsofts lokal ausgebrachter Monitoring Agent (MMA) nur verschlüsselt mit Azure via Port 443 in eine Richtung kommuniziert. Sofern Server nicht direkt an OMS angebunden werden dürfen, kann der OMS Gateway Proxy eine Lösung sein.

Vorbereitungen bis zur Analyse

Meine drei Domänen Controller sprechen jedoch direkt mit dem OMS-Service und erhalten je einen MMA, um Events zu sammeln. Damit bin ich in der Lage, neben Meldungen zur AD-Replikation auch Leistungsmetriken für jeden Knoten auszuwerten, also Performance Counter.

Folgender Fahrplan wird eingehalten, um Systeme auf Fehler untersuchen zu können:

• Einen erforderlichen OMS-Workspace einrichten
• Data Plan wählen für die Lösung AD Replication Status: Free, da in meinem Fall 500 MB Datentransfer pro Tag ausreichen
• AD Replication Solution unter OMS hinzufügen
• Microsoft Monitoring Agent herunterladen, auf den DCs installieren und registrieren

Wenn Sie sich demnach für den neuen Workspace registriert haben und vorerst den kostenlosten Data Plan wählen, besteht anschließend die Möglichkeit, das AD Replication Status Solution Pack hinzuzufügen.

Weiter gelangt man über die Einstellungen zur Kategorie der Solutions, wo sich erkennen lässt, welche Lösungen aktuell hinzugefügt sind.

Klickt man von hier auf Connected Sources, dann gliedert sich die Ansicht in die Unterkategorien für Windows Servers, Linux Servers, Azure Storage, System Center und Windows Telemetry. Hinter Windows Servers verbirgt sich nun der Link zum Download des Windows Agent (64/32 Bit) inklusive Workspace ID und Schlüssel zur späteren Registrierung.

Die ca. 29 MB große MMASetup-AMD64.exe wird nun auf jenen On-premises-Systemen installiert, die an OMS angeschlossen werden sollen. Das passiert entweder manuell, per Kommandozeile oder DSC. Beim Setup des Agenten handelt es sich um eine Standard­prozedur, welche ich an dieser Stelle nicht vertiefen möchte. Zwei Eckpunkte sind dabei jedoch interessant. Zum einen muss die Frage zur Konnektivität beantwortet werden und zweitens eine Registrierung mit Azure erfolgen.

Hier stehen die Varianten einer direkten Verbindung oder eine Anbindung an den System Center Operations Manager (SCOM) zur Auswahl. Ich entscheide mich hier nur für den direkten Weg. Im weiteren Verlauf der Installation müssen dann die bereits angesprochene Workspace ID und ein Schlüssel aus dem OMS bereitgehalten werden.

Über die System­steuerung des jeweiligen Windows-Systems können dann folgend noch Einstellungen (AgentControlPanel.exe) am Monitoring-Agenten (HealthService.exe) vorgenommen werden. Über diesen Weg ist es zudem möglich, den Agenten mit mehreren Azure Log-Analytics-Workspaces zu verknüpfen oder später noch Angaben zum Proxy zu machen. Das entsprechende System erscheint im OMS-Portal fast ohne Verzögerung.

Filterung und Auswertung mit Log Search

Die Kern­komponente Log Search erlaubt nun eine granulare Filterung der umfangreichen Log-Daten aller angebundenen Systeme und die Syntax setzt sich aus mehreren Anweisungen/Filtern zusammen.

Ein Asterisk (*) gibt erst einmal alle Daten aus, am linken Rand lassen sich vordefinierte Filter hinzufügen. In unserem Beispiel schalten wir den Filter ADReplicationResult hinzu, und danach kann immer weiter gesiebt werden. Eine Zeile, welche Daten zur AD-Replikation eines bestimmten Ausgangs-Servers abfragt, lautet dann so:

* (Type=ADReplicationResult) (SourceServer="CALLISTO-DC-02.kueppers.lab")

Zusätzlich können Abfragen auf bestimmte Zeitfenster wie 6 Stunden, 1 Tag, 7 Tage oder benutzerdefiniert eingrenzt werden. Generell werden AD Replication Status Informationen alle 5 Tage geupdated. Derartige Suchen lassen sich für immer wiederkehrende Aufgaben speichern. Wichtig bei solch einem Troubleshooting ist ein Alerting, welches an Suchabfragen gebunden wird.

In meinem Lab nutze ich zusätzlich zum Browser auch die mobile OMS App auf dem Smartphone mit aktivierter Alarmierung bei Fehlern oder Warnungen.