Überwachen des Active Directory-Replikationsstatus mit Azure Monitor
Active Directory ist eine wichtige Komponente der IT-Umgebung eines Unternehmens. Um für Hochverfügbarkeit und eine hohe Leistung zu sorgen, verfügt jeder Domänencontroller über eine eigene Kopie der Active Directory-Datenbank. Domänencontroller werden miteinander repliziert, um Änderungen im ganzen Unternehmen zu verteilen. Fehler bei diesem Replikationsprozess können zu einer Vielzahl von Problemen im Unternehmen führen.
Mit der AD-Replikationsstatusmonitor-Lösung wird die Active Directory-Umgebung regelmäßig auf Replikationsfehler überwacht.
Installieren und Konfigurieren der Lösung
Verwenden Sie die folgenden Informationen zum Installieren und Konfigurieren der Lösung.
Voraussetzungen
- Für die AD-Replikationsstatusmonitor-Lösung muss eine unterstützte Version von .NET Framework 4.6.2 oder höher auf jedem Computer installiert sein, auf dem der Log Analytics-Agent für Windows (auch als Microsoft Monitoring Agent (MMA) bezeichnet) installiert ist. Der Agent wird von System Center 2016 – Operations Manager, Operations Manager 2012 R2 sowie Azure Monitor verwendet.
- Die Lösung unterstützt Domänencontroller unter Windows Server 2008 und 2008 R2, Windows Server 2012 und 2012 R2 sowie Windows Server 2016.
- Ein Log Analytics-Arbeitsbereich zum Hinzufügen der Active Directory-Integritätsüberprüfung-Lösung aus dem Azure Marketplace in das Azure-Portal. Es ist keine zusätzliche Konfiguration erforderlich.
Installieren von Agents auf Domänencontrollern
Agents müssen auf Domänencontrollern installiert werden, die Mitglieder der auszuwertenden Domäne sind. Alternativ müssen Sie Agents auf Mitgliedsservern installieren und für das Senden von AD-Replikationsdaten an Azure Monitor konfigurieren. Informationen zur Verbindung von Windows-Computern mit Azure Monitor finden Sie unter Verbinden von Windows-Computern mit Azure Monitor. Wenn Ihr Domänencontroller bereits Teil einer vorhandenen System Center Operations Manager-Umgebung ist, die Sie mit Azure Monitor verbinden möchten, helfen Ihnen die Informationen unter Herstellen einer Verbindung zwischen Operations Manager und Azure Monitor weiter.
Aktivieren eines Nichtdomänencontrollers
Wenn Sie Ihre Domänencontroller nicht direkt mit Azure Monitor verbinden möchten, können Sie einen beliebigen anderen Computer mit Azure Monitor-Verbindung in Ihrer Domäne verwenden, um Daten für das AD-Replikationsstatusmonitor-Lösungspaket zu sammeln und die Daten zu senden.
Stellen Sie sicher, dass der Computer Mitglied der Domäne ist, die Sie mit der AD-Replikationsstatus-Lösung überwachen möchten.
Verbinden Sie den Windows-Computer mit Azure Monitor, oder stellen Sie die Verbindung mit Azure Monitor über die vorhandene Operations Manager-Umgebung her, falls die Verbindung noch nicht besteht.
Legen Sie auf diesem Computer den folgenden Registrierungsschlüssel fest:
Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\Management Groups<Verwaltungsgruppenname>\Solutions\ADReplication
Wert: IsTarget
Wertdaten: trueHinweis
Diese Änderungen werden erst wirksam, wenn Sie den Microsoft Monitoring Agent-Dienst (HealthService.exe) neu starten.
Installieren der Lösung
Fügen Sie mithilfe des unter Installieren einer Überwachungslösung beschriebenen Prozesses die Active Directory-Replikationsstatus-Lösung Ihrem Log Analytics-Arbeitsbereich hinzu. Es ist keine weitere Konfiguration erforderlich.
Details der AD-Replikationsstatus-Datensammlung
Die folgende Tabelle zeigt die Datensammlungsmethoden und weitere Details dazu, wie Daten für AD-Replikationsstatus gesammelt werden.
| Plattform | Direkt-Agent | SCOM-Agent | Azure Storage | SCOM erforderlich? | Daten von SCOM-Agent über Verwaltungsgruppe gesendet | Sammlungshäufigkeit |
|---|---|---|---|---|---|---|
| Windows | • | • | • | Alle fünf Tage |
Grundlegendes zu Replikationsfehlern
Die von dieser Überwachungslösung gesammelten Daten sind im Azure-Portal auf der Seite Zusammenfassung zum Arbeitsbereich (veraltet) verfügbar. Öffnen Sie diese Seite aus den Log Analytics-Arbeitsbereichen für den Arbeitsbereich mit Ihrer Lösung, und wählen Sie dann Zusammenfassung zum Arbeitsbereich (veraltet) im Abschnitt Klassisch des Menüs aus. Jede Lösung wird in einer Kachel dargestellt. Wählen Sie eine Kachel aus, um von der jeweiligen Lösung gesammelte detailliertere Daten anzuzeigen.
Auf der Kachel „AD-Replikationsstatus“ wird angezeigt, wie viele Replikationsfehler derzeit vorliegen. Kritische Replikationsfehler sind Fehler, die bei mindestens 75 % der Tombstonelebensdauer für die Active Directory-Gesamtstruktur liegen.
Wenn Sie auf die Kachel klicken, werden weitere Informationen zu den Fehlern angezeigt.
Zielserverstatus und Quellserverstatus
In diesen Spalten wird der Status der Zielserver und Quellserver angezeigt, auf denen Replikationsfehler auftreten. Die Zahl hinter jedem Namen eines Domänencontrollers gibt die Anzahl von Replikationsfehlern auf dem jeweiligen Domänencontroller an.
Die Fehler für Ziel- und Quellserver werden angezeigt, da einige Fehler einfacher aus Quellserversicht und andere einfacher aus Zielserversicht behoben werden können.
In diesem Beispiel können Sie sehen, dass viele Zielserver in etwa dieselbe Anzahl von Fehlern aufweisen. Für einen Quellserver (ADDC35) sind aber deutlich mehr Fehler als für alle anderen Server angefallen. Wahrscheinlich wird durch ein Problem auf ADDC35 verhindert, dass Daten an die Replikationspartner gesendet werden. Das Beheben der Probleme auf ADDC35 kann dazu führen, dass auch viele Fehler beseitigt werden, die im Zielserverbereich angezeigt werden.
Replication Error Types (Typen von Replikationsfehlern)
Dieser Bereich enthält Informationen zu den Typen von Fehlern, die im gesamten Unternehmen erkannt wurden. Jeder Fehler verfügt über einen eindeutigen numerischen Code und eine Nachricht, anhand der Sie die Grundursache des Fehlers ermitteln können.
Im oben angeordneten Ringdiagramm können Sie erkennen, welche Fehler in Ihrer Umgebung mehr oder weniger häufig auftreten.
Er zeigt, ob auf mehreren Domänencontrollern der gleiche Replikationsfehler auftritt. In diesem Fall kann es sein, dass Sie auf einem Domänencontroller eine Lösung erkennen oder diese auf anderen Domänencontrollern identifizieren, auf denen der gleiche Fehler aufgetreten ist.
Tombstonelebensdauer
Mit der Tombstonelebensdauer wird ermittelt, wie lange ein gelöschtes Objekt (als „Tombstone“ bezeichnet“) in der Active Directory-Datenbank aufbewahrt wird. Wenn ein gelöschtes Objekt die Tombstonelebensdauer überschreitet, wird es von einem Garbage Collection-Prozess automatisch aus der Active Directory-Datenbank entfernt.
Die standardmäßige Tombstonelebensdauer beträgt 180 Tage für die aktuelleren Versionen von Windows. Für ältere Versionen lag dieser Wert bei 60 Tagen, und der Wert kann von einem Active Directory-Administrator explizit geändert werden.
Es ist wichtig zu wissen, ob Sie über Replikationsfehler verfügen, die kurz vor der Tombstonelebensdauer stehen oder diese überschritten haben. Wenn auf zwei Domänencontrollern ein Replikationsfehler auftritt, der über die Tombstonelebensdauer hinaus beibehalten wird, wird die Replikation zwischen diesen beiden Domänencontrollern deaktiviert. Dies gilt auch, wenn der zugrunde liegende Replikationsfehler behoben wurde.
Im Bereich „Tombstonelebensdauer“ können Sie Orte identifizieren, an denen die Gefahr besteht, dass eine deaktivierte Replikation auftritt. Jeder Fehler der Kategorie Over 100% TSL (TSL über 100%) steht für eine Partition, die mindestens für die Tombstonelebensdauer der Gesamtstruktur nicht zwischen Quell- und Zielserver repliziert wurde.
In dieser Situation reicht das einfache Beheben des Replikationsfehlers nicht aus. Sie müssen zumindest eine manuelle Untersuchung durchführen, um fortbestehende Objekte zu identifizieren und zu bereinigen, bevor Sie die Replikation neu starten können. Es kann sogar sein, dass Sie einen Domänencontroller außer Betrieb nehmen müssen.
Zusätzlich zur Identifizierung von Replikationsfehlern, die über die Tombstonelebensdauer hinaus beibehalten wurden, sollten Sie auch auf Fehler achten, die in die Kategorie 50-75 % TSL oder 75-100 % TSL fallen.
Dies sind Fehler, die eindeutig länger erhalten bleiben und nicht nur vorübergehend auftreten, sodass ein Eingriff Ihrerseits erforderlich ist. Die gute Nachricht ist, dass sie die Tombstonelebensdauer noch nicht erreicht haben. Wenn Sie diese Probleme schnell und vor dem Erreichen der Tombstonelebensdauer beheben, kann die Replikation mit minimalem manuellem Aufwand neu gestartet werden.
Wie bereits erwähnt, wird auf der Dashboardkachel für die AD-Replikationsstatus-Lösung die Anzahl von kritischen Replikationsfehlern in Ihrer Umgebung angezeigt. Dies sind Fehler, deren Wert für die Tombstonelebensdauer über 75 % liegt (einschließlich der Fehler, deren TSL-Wert über 100 % liegt). Setzen Sie sich immer das Ziel, dass diese Anzahl möglichst 0 beträgt.
Hinweis
Alle Berechnungen der prozentualen Tombstonelebensdauer basieren auf der tatsächlichen Tombstonelebensdauer für die Active Directory-Gesamtstruktur. Sie können also sicher sein, dass diese Prozentangaben auch dann genau sind, wenn Sie einen benutzerdefinierten Wert für die Tombstonelebensdauer festgelegt haben.
Details des AD-Replikationsstatus
Wenn Sie in einer der Listen auf ein Element klicken, werden weitere Details mithilfe einer Protokollabfrage angezeigt. Die Ergebnisse werden gefiltert, damit nur die Fehler zu diesem Element angezeigt werden. Wenn Sie beispielsweise auf den ersten Domänencontroller klicken, der unter Zielserverstatus (ADDC02) aufgeführt ist, sehen Sie Abfrageergebnisse, die so gefiltert sind, dass Fehler mit diesem Domänencontroller angezeigt werden, der als Zielserver aufgelistet ist:
Hier können Sie weiter filtern, die Protokollabfrage ändern usw. Weitere Informationen zur Verwendung der Protokollabfragen in Azure Monitor finden Sie unter Analysieren von Protokolldaten in Azure Monitor.
Im Feld HelpLink wird die URL einer TechNet-Seite mit zusätzlichen Details zum jeweiligen Fehler angezeigt. Sie können diesen Link kopieren und in das Browserfenster einfügen, um Informationen zur Problembehandlung und Fehlerbehebung anzuzeigen.
Sie können auch auf Exportieren klicken, um die Ergebnisse nach Excel zu exportieren. Durch Exportieren der Daten können Replikationsfehlerdaten wie gewünscht visualisiert werden.
Häufig gestellte Fragen
F: Wie oft werden AD-Replikationsstatusdaten aktualisiert? A: Die Informationen werden alle fünf Tage aktualisiert.
F: Kann konfiguriert werden, wie oft die Daten aktualisiert werden? Antwort: Derzeit nicht.
F: Muss ich all meine Domänencontroller zu meinem Log Analytics-Arbeitsbereich hinzufügen, um den Replikationsstatus sehen zu können? A: Nein. Sie müssen nur einen einzigen Domänencontroller hinzufügen. Wenn Sie in Ihrem Log Analytics-Arbeitsbereich mehrere Domänencontroller verwenden, werden Daten von allen Domänencontrollern an Azure Monitor gesendet.
F: Ich möchte meinem Log Analytics-Arbeitsbereich keine Domänencontroller hinzufügen. Kann ich die AD-Replikationsstatus-Lösung trotzdem verwenden?
A: Ja. Sie können den Wert eines Registrierungsschlüssels festlegen, um ihn zu aktivieren. Weitere Informationen finden Sie unter Aktivieren eines Nichtdomänencontrollers.
F: Wie lautet der Name des Prozesses, der die Daten sammelt? A: AdvisorAssessment.exe
F: Wie lange dauert das Sammeln der Daten? A: Die Dauer der Datensammlung hängt von der Größe der Active Directory-Umgebung ab, aber normalerweise dauert der Vorgang nicht länger als 15 Minuten.
F: Welche Arten von Daten werden gesammelt? A: Es werden Replikationsinformationen per LDAP gesammelt.
F: Gibt es eine Möglichkeit, den Zeitpunkt der Datensammlung zu konfigurieren? Antwort: Derzeit nicht.
F: Welche Berechtigungen benötige ich, um Daten sammeln zu können? A: Normale Benutzerberechtigungen für Active Directory sind ausreichend.
Problembehandlung bei der Datensammlung
Zum Sammeln von Daten ist für das AD-Replikationsstatusmonitor-Lösungspaket mindestens ein Domänencontroller erforderlich, der mit Ihrem Log Analytics-Arbeitsbereich verbunden ist. Nachdem Sie eine Verbindung mit einem Domänencontroller hergestellt haben, wird eine Meldung angezeigt, die besagt, dass nach wie vor Daten erfasst werden.
Falls Sie Informationen zum Herstellen der Verbindung für einen Domänencontroller benötigen, können Sie die Dokumentation unter Verbinden von Windows-Computern mit Azure Monitoranzeigen. Wenn der Domänencontroller bereits mit einer vorhandenen System Center Operations Manager-Umgebung verbunden ist, können Sie alternativ dazu die Dokumentation unter Verbinden von System Center Operations Manager mit Azure Monitorverwenden.
Falls Sie keinen Domänencontroller direkt mit Azure Monitor oder System Center Operations Manager verbinden möchten, helfen Ihnen die Informationen unter Aktivieren eines Nichtdomänencontrollers weiter.
Nächste Schritte
- Verwenden Sie Protokollabfragen in Azure Monitor, um ausführliche Active Directory-Replikationsstatus-Daten anzuzeigen.