Replikation des Active Directory analysieren mit der Operations Management Suite

    Operations Management SuiteMit der Operations Manage­ment Suite (OMS) lassen sich Daten aus der Azure- und On-Premises-Infra­struktur erfassen und analy­sieren. Ihr Spek­trum reicht von der Per­for­mance-Ana­lyse über die Automa­ti­sierung von Aufgaben bis zum Backup. Dazu gehört auch eine Lösung für das AD-Trouble­shooting.

    Um den Einsatz der OMS an einem Beispiel zu beschreiben, habe ich mir ein bekanntes Analyse-Tool für lokale Infra­strukturen herausgepickt, das man bis dato ausschließlich auf einem eigenen Windows System installieren konnte. Es handelt sich dabei um das kostenlose AD Replication Status Tool (aka ADREPLSTATUS), welches Replikations­fehler zwischen diversen Domänen-Controllern einer AD-Domäne oder eines Forests aufspürt.

    Analyse der AD-Replikation in der Cloud

    Nach einem Routinestart vor langer Zeit zeigte das Tool schon den Hinweis an, wonach es nun auch als Teil von OMS in der Azure Public Cloud verfügbar sei. Am Rande: Das kurzzeitige Aus für jenes genanntes on-prem GUI-Tool, wurde abgelöst durch eine Wiederverfügbarkeit ab April 2016. Jedenfalls ist es nun also auch möglich, Daten der lokalen Domänen Controller einzu­sammeln und gebündelt in der Cloud auszuwerten. Hierbei hilft die Kern­komponente Log Search des Log Analytics Dienstes, welche eine granulare Untersuchung zulässt.

    Hinweis auf die Verfügbarkeit von ADREPLSTATUS in der OMS

    Doch die Verlagerung dieser Analyse in die Cloud setzt natürlich eine Online-Verbindung und einen Datentransfer der DCs dorthin voraus. Genau hierbei stößt man in der einen oder anderen Umgebung aus Sicherheits­gründen auf weniger Zuspruch, auch wenn Microsofts lokal ausgebrachter Monitoring Agent (MMA) nur verschlüsselt mit Azure via Port 443 in eine Richtung kommuniziert. Sofern Server nicht direkt an OMS angebunden werden dürfen, kann der OMS Gateway Proxy eine Lösung sein.

    Vorbereitungen bis zur Analyse

    Meine drei Domänen Controller sprechen jedoch direkt mit dem OMS-Service und erhalten je einen MMA, um Events zu sammeln. Damit bin ich in der Lage, neben Meldungen zur AD-Replikation auch Leistungsmetriken für jeden Knoten auszuwerten, also Performance Counter.

    Die Lab-Umgebung enthält 3 DCs, deren Replikation mit OMS überwacht wird.

    Folgender Fahrplan wird eingehalten, um Systeme auf Fehler untersuchen zu können:

    • Einen erforderlichen OMS-Workspace einrichten
    • Data Plan wählen für die Lösung AD Replication Status: Free, da in meinem Fall 500 MB Datentransfer pro Tag ausreichen
    • AD Replication Solution unter OMS hinzufügen
    • Microsoft Monitoring Agent herunterladen, auf den DCs installieren und registrieren

    Wenn Sie sich demnach für den neuen Workspace registriert haben und vorerst den kostenlosten Data Plan wählen, besteht anschließend die Möglichkeit, das AD Replication Status Solution Pack hinzuzufügen.

    Lösungskatalog mit AD Replication Status

    Weiter gelangt man über die Einstellungen zur Kategorie der Solutions, wo sich erkennen lässt, welche Lösungen aktuell hinzugefügt sind.

    Überblick über die Einstellungen und hinzugefügte Lösungen

    Klickt man von hier auf Connected Sources, dann gliedert sich die Ansicht in die Unterkategorien für Windows Servers, Linux Servers, Azure Storage, System Center und Windows Telemetry. Hinter Windows Servers verbirgt sich nun der Link zum Download des Windows Agent (64/32 Bit) inklusive Workspace ID und Schlüssel zur späteren Registrierung.

    MMA-Agenten stellen die Verbindung zwischen den lokalen DCs und der OMS her.

    Die ca. 29 MB große MMASetup-AMD64.exe wird nun auf jenen On-premises-Systemen installiert, die an OMS angeschlossen werden sollen. Das passiert entweder manuell, per Kommandozeile oder DSC. Beim Setup des Agenten handelt es sich um eine Standard­prozedur, welche ich an dieser Stelle nicht vertiefen möchte. Zwei Eckpunkte sind dabei jedoch interessant. Zum einen muss die Frage zur Konnektivität beantwortet werden und zweitens eine Registrierung mit Azure erfolgen.

    Hier stehen die Varianten einer direkten Verbindung oder eine Anbindung an den System Center Operations Manager (SCOM) zur Auswahl. Ich entscheide mich hier nur für den direkten Weg. Im weiteren Verlauf der Installation müssen dann die bereits angesprochene Workspace ID und ein Schlüssel aus dem OMS bereitgehalten werden.

    Registrierung des MMA für OMS

    Über die System­steuerung des jeweiligen Windows-Systems können dann folgend noch Einstellungen (AgentControlPanel.exe) am Monitoring-Agenten (HealthService.exe) vorgenommen werden. Über diesen Weg ist es zudem möglich, den Agenten mit mehreren Azure Log-Analytics-Workspaces zu verknüpfen oder später noch Angaben zum Proxy zu machen. Das entsprechende System erscheint im OMS-Portal fast ohne Verzögerung.

    Filterung und Auswertung mit Log Search

    Die Kern­komponente Log Search erlaubt nun eine granulare Filterung der umfangreichen Log-Daten aller angebundenen Systeme und die Syntax setzt sich aus mehreren Anweisungen/Filtern zusammen.

    Filtern und Analysieren der Replikationsdaten mit Log Search

    Ein Asterisk (*) gibt erst einmal alle Daten aus, am linken Rand lassen sich vordefinierte Filter hinzufügen. In unserem Beispiel schalten wir den Filter ADReplicationResult hinzu, und danach kann immer weiter gesiebt werden. Eine Zeile, welche Daten zur AD-Replikation eines bestimmten Ausgangs-Servers abfragt, lautet dann so:

    * (Type=ADReplicationResult) (SourceServer="CALLISTO-DC-02.kueppers.lab")

    Zusätzlich können Abfragen auf bestimmte Zeitfenster wie 6 Stunden, 1 Tag, 7 Tage oder benutzerdefiniert eingrenzt werden. Generell werden AD Replication Status Informationen alle 5 Tage geupdated. Derartige Suchen lassen sich für immer wiederkehrende Aufgaben speichern. Wichtig bei solch einem Troubleshooting ist ein Alerting, welches an Suchabfragen gebunden wird.

    Anzeige der OMS-Auswertung auf der App für Smartphones

    In meinem Lab nutze ich zusätzlich zum Browser auch die mobile OMS App auf dem Smartphone mit aktivierter Alarmierung bei Fehlern oder Warnungen.

    Keine Kommentare