Tags: Log-Management, Azure, Monitoring, Active Directory
Mit der Operations Management Suite (OMS) lassen sich Daten aus der Azure- und On-Premises-Infrastruktur erfassen und analysieren. Ihr Spektrum reicht von der Performance-Analyse über die Automatisierung von Aufgaben bis zum Backup. Dazu gehört auch eine Lösung für das AD-Troubleshooting.
Um den Einsatz der OMS an einem Beispiel zu beschreiben, habe ich mir ein bekanntes Analyse-Tool für lokale Infrastrukturen herausgepickt, das man bis dato ausschließlich auf einem eigenen Windows System installieren konnte. Es handelt sich dabei um das kostenlose AD Replication Status Tool (aka ADREPLSTATUS), welches Replikationsfehler zwischen diversen Domänen-Controllern einer AD-Domäne oder eines Forests aufspürt.
Analyse der AD-Replikation in der Cloud
Nach einem Routinestart vor langer Zeit zeigte das Tool schon den Hinweis an, wonach es nun auch als Teil von OMS in der Azure Public Cloud verfügbar sei. Am Rande: Das kurzzeitige Aus für jenes genannte on-prem GUI-Tool, wurde abgelöst durch eine Wiederverfügbarkeit ab April 2016. Jedenfalls ist es nun also auch möglich, Daten der lokalen Domänen Controller einzusammeln und gebündelt in der Cloud auszuwerten. Hierbei hilft die Kernkomponente Log Search des Log Analytics Dienstes, welche eine granulare Untersuchung zulässt.
Doch die Verlagerung dieser Analyse in die Cloud setzt natürlich eine Online-Verbindung und einen Datentransfer der DCs dorthin voraus. Genau hierbei stößt man in der einen oder anderen Umgebung aus Sicherheitsgründen auf weniger Zuspruch, auch wenn Microsofts lokal ausgebrachter Monitoring Agent (MMA) nur verschlüsselt mit Azure via Port 443 in eine Richtung kommuniziert. Sofern Server nicht direkt an OMS angebunden werden dürfen, kann der OMS Gateway Proxy eine Lösung sein.
Vorbereitungen bis zur Analyse
Meine drei Domänen Controller sprechen jedoch direkt mit dem OMS-Service und erhalten je einen MMA, um Events zu sammeln. Damit bin ich in der Lage, neben Meldungen zur AD-Replikation auch Leistungsmetriken für jeden Knoten auszuwerten, also Performance Counter.
Folgender Fahrplan wird eingehalten, um Systeme auf Fehler untersuchen zu können:
- Einen erforderlichen OMS-Workspace einrichten
- Data Plan wählen für die Lösung AD Replication Status: Free, da in meinem Fall 500 MB Datentransfer pro Tag ausreichen
- AD Replication Solution unter OMS hinzufügen
- Microsoft Monitoring Agent herunterladen, auf den DCs installieren und registrieren
Wenn Sie sich demnach für den neuen Workspace registriert haben und vorerst den kostenlosten Data Plan wählen, besteht anschließend die Möglichkeit, das AD Replication Status Solution Pack hinzuzufügen.
Weiter gelangt man über die Einstellungen zur Kategorie der Solutions, wo sich erkennen lässt, welche Lösungen aktuell hinzugefügt sind.
Klickt man von hier auf Connected Sources, dann gliedert sich die Ansicht in die Unterkategorien für Windows Servers, Linux Servers, Azure Storage, System Center und Windows Telemetry. Hinter Windows Servers verbirgt sich nun der Link zum Download des Windows Agent (64/32 Bit) inklusive Workspace ID und Schlüssel zur späteren Registrierung.
Die ca. 29 MB große MMASetup-AMD64.exe wird nun auf jenen On-premises-Systemen installiert, die an OMS angeschlossen werden sollen. Das passiert entweder manuell, per Kommandozeile oder DSC. Beim Setup des Agenten handelt es sich um eine Standardprozedur, welche ich an dieser Stelle nicht vertiefen möchte. Zwei Eckpunkte sind dabei jedoch interessant. Zum einen muss die Frage zur Konnektivität beantwortet werden und zweitens eine Registrierung mit Azure erfolgen.
Hier stehen die Varianten einer direkten Verbindung oder eine Anbindung an den System Center Operations Manager (SCOM) zur Auswahl. Ich entscheide mich hier nur für den direkten Weg. Im weiteren Verlauf der Installation müssen dann die bereits angesprochene Workspace ID und ein Schlüssel aus dem OMS bereitgehalten werden.
Über die Systemsteuerung des jeweiligen Windows-Systems können dann folgend noch Einstellungen (AgentControlPanel.exe) am Monitoring-Agenten (HealthService.exe) vorgenommen werden. Über diesen Weg ist es zudem möglich, den Agenten mit mehreren Azure Log-Analytics-Workspaces zu verknüpfen oder später noch Angaben zum Proxy zu machen. Das entsprechende System erscheint im OMS-Portal fast ohne Verzögerung.
Filterung und Auswertung mit Log Search
Die Kernkomponente Log Search erlaubt nun eine granulare Filterung der umfangreichen Log-Daten aller angebundenen Systeme und die Syntax setzt sich aus mehreren Anweisungen/Filtern zusammen.
Ein Asterisk (*) gibt erst einmal alle Daten aus, am linken Rand lassen sich vordefinierte Filter hinzufügen. In unserem Beispiel schalten wir den Filter ADReplicationResult hinzu, und danach kann immer weiter gesiebt werden. Eine Zeile, welche Daten zur AD-Replikation eines bestimmten Ausgangs-Servers abfragt, lautet dann so:
* (Type=ADReplicationResult) (SourceServer="CALLISTO-DC-02.kueppers.lab")
Zusätzlich können Abfragen auf bestimmte Zeitfenster wie 6 Stunden, 1 Tag, 7 Tage oder benutzerdefiniert eingrenzt werden. Generell werden AD Replication Status Informationen alle 5 Tage geupdated. Derartige Suchen lassen sich für immer wiederkehrende Aufgaben speichern. Wichtig bei solch einem Troubleshooting ist ein Alerting, welches an Suchabfragen gebunden wird.
In meinem Lab nutze ich zusätzlich zum Browser auch die mobile OMS App auf dem Smartphone mit aktivierter Alarmierung bei Fehlern oder Warnungen.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris. Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions. Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
// Kontakt: E-Mail, Twitter, LinkedIn //
Ähnliche Beiträge
- EventSentry 4.0: Änderungen im Active Directory überwachen
- Auditing: Administratoren im Active Directory überwachen
- Microsoft Operations Management Suite: Systemverwaltung aus der Cloud
- ManageEngine mit Log-Analyse-Tool für Multi-Clouds
- Dell und Securonix bieten Security Analytics für Active Directory
Weitere Links