Azure Monitor で Active Directory のレプリケーション状態を監視するMonitor Active Directory replication status with Azure Monitor

AD レプリケーションの状態のシンボル

Active Directory は、エンタープライズ IT 環境の重要なコンポーネントです。Active Directory is a key component of an enterprise IT environment. 各ドメイン コントローラーには、高い可用性とパフォーマンスを保証するために、Active Directory データベースのコピーが保持されています。To ensure high availability and high performance, each domain controller has its own copy of the Active Directory database. ドメイン コントローラーは、エンタープライズ全体に変更を反映するために、相互にレプリケートを行います。Domain controllers replicate with each other in order to propagate changes across the enterprise. このレプリケーション処理で失敗すると、エンタープライズ全体でさまざまな問題が発生します。Failures in this replication process can cause a variety of problems across the enterprise.

AD レプリケーションの状態ソリューションは、レプリケーションの失敗を Active Directory 環境で定期的に監視します。The AD Replication Status solution regularly monitors your Active Directory environment for any replication failures.

注意

この記事の以前のバージョンでは、Log Analytics をその独自のサービスと呼んでいました。Previous versions of this article referred to Log Analytics as its own service. その機能は変更されていませんが、Azure Monitor のログ機能に名前が変更されました。Its functionality hasn't changed, but it's been renamed to the log feature of Azure Monitor. この名前の変更によって、この記事では、そのデータが Azure Monitor の Log Analytics ワークスペースに格納されていると説明しています。With this rename, this article describes its data being stored in a Log Analytics workspace in Azure Monitor. 詳細については、Azure Monitor のブランドの変更に関するページを参照してください。For more information, see Azure Monitor branding changes.

ソリューションのインストールと構成Installing and configuring the solution

次の情報を使用して、ソリューションをインストールおよび構成します。Use the following information to install and configure the solution.

前提条件Prerequisites

  • AD レプリケーションの状態ソリューションを使用するには、各コンピューターに (Microsoft Monitoring Agent (MMA) とも呼ばれる) Windows 用の Log Analytics エージェントがインストールされ、4.6.2 以降のサポートされているバージョンの .NET Framework がインストールされている必要があります。The AD Replication Status solution requires a supported version of .NET Framework 4.6.2 or above installed on each computer that has the Log Analytics agent for Windows (also referred to as the Microsoft Monitoring Agent (MMA)) installed. このエージェントは、System Center 2016 (Operations Manager および Operations Manager 2012 R2) と Azure Monitor に使用されます。The agent is used by System Center 2016 - Operations Manager, Operations Manager 2012 R2, and Azure Monitor.
  • このソリューションは、Windows Server 2008 および 2008 R2、Windows Server 2012 および 2012 R2、および Windows Server 2016 を実行するドメイン コントローラーをサポートしています。The solution supports domain controllers running Windows Server 2008 and 2008 R2, Windows Server 2012 and 2012 R2, and Windows Server 2016.
  • Azure Portal で Azure Marketplace から Active Directory 正常性チェック ソリューションを追加する Log Analytics ワークスペース。A Log Analytics workspace to add the Active Directory Health Check solution from the Azure marketplace in the Azure portal. 追加の構成は必要ありません。There is no additional configuration required.

ドメイン コントローラーにエージェントをインストールするInstall agents on domain controllers

評価されるドメインのメンバーであるドメイン コントローラーに、エージェントをインストールする必要があります。You must install agents on domain controllers that are members of the domain to be evaluated. または、メンバー サーバーにエージェントをインストールし、AD レプリケーションのデータを Azure Monitor に送信するように、そのエージェントを構成する必要があります。Or, you must install agents on member servers and configure the agents to send AD replication data to Azure Monitor. Windows コンピューターを Azure Monitor に接続する方法について詳しくは、Azure Monitor への Windows コンピューターの接続に関する記事をご覧ください。To understand how to connect Windows computers to Azure Monitor, see Connect Windows computers to Azure Monitor. ドメイン コントローラーが、Azure Monitor に接続する既存の System Center Operations Manager 環境の一部である場合は、Azure Monitor への Operations Manager の接続に関する記事をご覧ください。If your domain controller is already part of an existing System Center Operations Manager environment that you want to connect to Azure Monitor, see Connect Operations Manager to Azure Monitor.

非ドメイン コントローラーを有効にするEnable non-domain controller

いずれのドメイン コントローラーも直接 Azure Monitor に接続しない場合、Azure Monitor に接続されているドメイン内の他の任意のコンピューターを使用して AD Replication Status ソリューション パック用にデータを収集し、そのデータを送信させることができます。If you don't want to connect any of your domain controllers directly to Azure Monitor, you can use any other computer in your domain connected to Azure Monitor to collect data for the AD Replication Status solution pack and have it send the data.

  1. コンピューターが、AD レプリケーションの状態ソリューションを使用して監視するドメインのメンバーであることを確認します。Verify that the computer is a member of the domain that you wish to monitor using the AD Replication Status solution.

  2. まだ接続されていない場合は、Windows コンピューターを Azure Monitor に接続するか、既存の Operations Manager 環境を使用してそれを Azure Monitor に接続しますConnect the Windows computer to Azure Monitor or connect it using your existing Operations Manager environment to Azure Monitor, if it is not already connected.

  3. そのコンピューターで、次のレジストリ キーを設定します。On that computer, set the following registry key:
    キー:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\Management Groups<ManagementGroupName>\Solutions\ADReplicationKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HealthService\Parameters\Management Groups<ManagementGroupName>\Solutions\ADReplication
    値:IsTargetValue: IsTarget
    値のデータ: trueValue Data: true

    注意

    こうした変更は、Microsoft Monitoring Agent サービス (HealthService.exe) を再起動するまで反映されません。These changes do not take effect until you restart the Microsoft Monitoring Agent service (HealthService.exe).

    ソリューションをインストールするInstall solution

    監視ソリューションをインストールする」で説明されている手順に従って、Active Directory Replication Status ソリューションをお使いの Log Analytics ワークスペースに追加します。Follow the process described in Install a monitoring solution to add the Active Directory Replication Status solution to your Log Analytics workspace. さらに手動で構成する必要はありません。There is no further configuration required.

AD レプリケーションの状態データの収集に関する詳細AD Replication Status data collection details

次の表は、AD レプリケーションの状態のデータの収集手段と、データの収集方法に関する各種情報をまとめたものです。The following table shows data collection methods and other details about how data is collected for AD Replication Status.

プラットフォームplatform 直接エージェントDirect Agent SCOM エージェントSCOM agent Azure StorageAzure Storage SCOM の要否SCOM required? 管理グループによって送信される SCOM エージェントのデータSCOM agent data sent via management group 収集の頻度collection frequency
WindowsWindows 5 日ごとevery five days

レプリケーションの問題を理解するUnderstanding replication errors

この監視ソリューションによって収集されたデータは Azure portal で、Azure Monitor の [概要] ページから使用できます。Data collected by this monitoring solution is available in the Azure Monitor Overview page in the Azure portal. このページは、Azure Monitor メニューの [Insights] セクションの [More](詳細) をクリックして開きます。Open this page from the Azure Monitor menu by clicking More under the Insights section. 各ソリューションは、タイルで表現されます。Each solution is represented by a tile. そのソリューションによって収集された詳細データについては、タイルをクリックします。Click on a tile for more detailed data collected by that solution.

AD Replication Status タイルには、現在発生しているレプリケーション エラーの数が表示されます。The AD Replication Status tile displays how many replication errors you currently have. 重大なレプリケーション エラーは、Active Directory フォレストの廃棄 (tombstone) の有効期間が 75% 以上のエラーです。Critical Replication Errors are errors that are at or above 75% of the tombstone lifetime for your Active Directory forest.

AD レプリケーションの状態タイル

タイルをクリックすると、エラーの詳細を確認できます。When you click the tile, you can view more information about the errors. AD レプリケーションの状態ダッシュボードAD Replication Status dashboard

移行先サーバーと移行元サーバーの状態Destination Server Status and Source Server Status

こうした列では、レプリケーション エラーが発生している移行先サーバーと移行元サーバーの状態を示しています。These columns show the status of destination servers and source servers that are experiencing replication errors. 各ドメイン コントローラー名の後には、そのドメイン コントローラーで発生したレプリケーション エラーの数があります。The number after each domain controller name indicates the number of replication errors on that domain controller.

トラブルシューティングを実行する場合、移行先サーバーの観点から問題を解決した方が簡単な場合と、移行元サーバーの観点から問題を解決した方が簡単な場合があるので、移行先サーバーと移行元サーバーの両方のエラーが表示されています。The errors for both destination servers and source servers are shown because some problems are easier to troubleshoot from the source server perspective and others from the destination server perspective.

この例では、多数の移行先サーバーのエラーがほぼ同数である中、1 つの移行元サーバー (ADDC35) には他より多くのエラーがあることを確認できます。In this example, you can see that many destination servers have roughly the same number of errors, but there's one source server (ADDC35) that has many more errors than all the others. ADDC35 に、レプリケーション パートナーへのデータ送信が失敗する原因となる、何らかの問題がある可能性があることがわかります。It's likely that there is some problem on ADDC35 that is causing it to fail to send data to its replication partners. その問題を ADDC35 で解決すると、移行先サーバー領域に表示されるエラーの多くを解決できる可能性があります。Fixing the problems on ADDC35 might resolve many of the errors that appear in the destination server area.

レプリケーション エラーの種類Replication Error Types

この領域には、エンタープライズ全体で検出されるエラーの種類の情報が示されます。This area gives you information about the types of errors detected throughout your enterprise. 各エラーには、一意の数値コードと、エラーの根本原因の特定に役立つメッセージがあります。Each error has a unique numerical code and a message that can help you determine the root cause of the error.

上部に示されるドーナツでは、環境内でどのエラーが多く、どのエラーが少ないかのイメージを示しています。The donut at the top gives you an idea of which errors appear more and less frequently in your environment.

ここでは、同じレプリケーション エラーが複数のドメイン コントローラーで発生している場合にそれが明確になります。It shows you when multiple domain controllers experience the same replication error. その場合、1 つのドメイン コントローラーで解決策を検出または特定し、同じエラーが発生している他のドメイン コントローラーでそれを繰り返します。In this case, you may be able to discover or identify a solution on one domain controller, then repeat it on other domain controllers affected by the same error.

廃棄 (tombstone) の有効期間Tombstone Lifetime

廃棄 (tombstone) の有効期間は、廃棄と呼ばれる削除されたオブジェクトが Active Directory データベースに保持される期間を決定します。The tombstone lifetime determines how long a deleted object, referred to as a tombstone, is retained in the Active Directory database. 削除されたオブジェクトは、廃棄 (tombstone) の有効期間を過ぎると、ガベージ コレクション処理によって Active Directory データベースから自動的に削除されます。When a deleted object passes the tombstone lifetime, a garbage collection process automatically removes it from the Active Directory database.

既定の廃棄 (tombstone) の有効期間は、最新バージョンの Windows では 180 日間ですが、古いバージョンでは 60 日でした。これは、Active Directory 管理者が明示的に変更することができます。The default tombstone lifetime is 180 days for most recent versions of Windows, but it was 60 days on older versions, and it can be changed explicitly by an Active Directory administrator.

廃棄 (tombstone) の有効期間が近づいている、またはそれが経過したレプリケーション エラーは把握しておく必要があります。It's important to know if you're having replication errors that are approaching or are past the tombstone lifetime. 廃棄 (tombstone) の有効期間が経過しても 2 つのドメイン コントローラー間でレプリケーション エラーが続いている場合、基になるレプリケーション エラーを修正しても、その 2 つのドメイン コントローラー間でのレプリケーションは無効となります。If two domain controllers experience a replication error that persists past the tombstone lifetime, replication is disabled between those two domain controllers, even if the underlying replication error is fixed.

廃棄 (tombstone) の有効期間の領域を使用すると、これが発生する危険性ある無効のレプリケーションがある場所を特定できます。The Tombstone Lifetime area helps you identify places where disabled replication is in danger of happening. [TSL 100% 超] カテゴリ内の各エラーは、少なくともフォレストの廃棄 (tombstone) の有効期間、移行元サーバーと移行先サーバーでレプリケーションが行われていないパーティションを表しています。Each error in the Over 100% TSL category represents a partition that has not replicated between its source and destination server for at least the tombstone lifetime for the forest.

このような場合、レプリケーション エラーを修正するだけでは不十分です。In this situation, simply fixing the replication error will not be enough. レプリケーションを再開するには、手動で調べて、残留オブジェクトを特定し、クリーンアップする必要があります。At a minimum, you need to manually investigate to identify and clean up lingering objects before you can restart replication. 場合によっては、ドメイン コントローラーの使用を停止する必要があります。You may even need to decommission a domain controller.

廃棄 (tombstone) の有効期間が経過しても続くレプリケーション エラーを特定するだけでなく、TSL 50 ~ 75% または TSL 75 ~ 100% カテゴリに分類されるすべてのエラーに注意を払う必要があります。In addition to identifying any replication errors that have persisted past the tombstone lifetime, you also want to pay attention to any errors falling into the 50-75% TSL or 75-100% TSL categories.

これらは、明らかに長引いている一時的なエラーではないため、介入して解決する必要があります。These are errors that are clearly lingering, not transient, so they likely need your intervention to resolve. さいわいにも、それらは廃棄 (tombstone) の有効期間には到達していません。The good news is that they have not yet reached the tombstone lifetime. これらの問題を、廃棄 (tombstone) の有効期間に 達する前に 迅速に解決した場合、最小限の介入でレプリケーションを再開できます。If you fix these problems promptly and before they reach the tombstone lifetime, replication can restart with minimal manual intervention.

前述のとおり、AD レプリケーションの状態ソリューションのダッシュボード タイルには、廃棄 (tombstone) の有効期間の 75% を経過した、環境内の 重大な レプリケーション エラーが示されています (これには、TSL の 100% を超えるエラーも含みます)。As noted earlier, the dashboard tile for the AD Replication Status solution shows the number of critical replication errors in your environment, which is defined as errors that are over 75% of tombstone lifetime (including errors that are over 100% of TSL). この数字は 0 に維持できるよう努めてください。Strive to keep this number at 0.

注意

廃棄 (tombstone) の有効期間のすべてのパーセンテージの計算は、Active Directory フォレストの実際の廃棄 (tombstone) の有効期限に基づいています。したがって廃棄 (tombstone) の有効期間の値をカスタマイズしている場合でも、それらのパーセンテージは正確であると信頼できます。All the tombstone lifetime percentage calculations are based on the actual tombstone lifetime for your Active Directory forest, so you can trust that those percentages are accurate, even if you have a custom tombstone lifetime value set.

AD レプリケーションの状態の詳細AD Replication status details

一覧のいずれかの任意の項目をクリックすると、ログ クエリにその詳細を表示できます。When you click any item in one of the lists, you see additional details about it using a log query. その項目に関連するエラーのみが表示されるよう、結果はフィルター処理されます。The results are filtered to show only the errors related to that item. たとえば、 [宛先サーバーの状態 (ADDC02)] の最初のドメイン コントローラーをクリックすると、クエリ結果がフィルター処理されて、エラーと、宛先サーバーとして示されているそのドメイン コントローラーが表示されます。For example, if you click on the first domain controller listed under Destination Server Status (ADDC02), you see query results filtered to show errors with that domain controller listed as the destination server:

クエリ結果内の AD レプリケーションの状態エラー

ここで、さらにフィルタリングを行い、ログ クエリなどの修正を行います。From here, you can filter further, modify the log query, and so on. Azure Monitor でのログ クエリの使用について詳しくは、「Azure Monitor でログ データを分析する」をご覧ください。For more information about using the log queries in Azure Monitor, see Analyze log data in Azure Monitor.

[HelpLink] フィールドには、その特定のエラーの追加情報を含む TechNet ページの URL が表示されます。The HelpLink field shows the URL of a TechNet page with additional details about that specific error. このエラーをトラブルシューティングして修正するには、このリンクをブラウザー ウィンドウにコピーして貼り付け、情報を確認します。You can copy and paste this link into your browser window to see information about troubleshooting and fixing the error.

[エクスポート] をクリックして、結果を Excel にエクスポートすることもできます。You can also click Export to export the results to Excel. データのエクスポートは、求めている方法でレプリケーション エラー データを視覚化するうえで役に立ちます。Exporting the data can help you visualize replication error data in any way you'd like.

Excel にエクスポートされた AD レプリケーションの状態エラー

AD レプリケーションの状態の FAQAD Replication Status FAQ

Q:AD レプリケーションの状態データはどのような頻度で更新されますか?Q: How often is AD replication status data updated? A:この情報は 5 日おきに更新されます。A: The information is updated every five days.

Q:このデータの更新頻度を構成する方法がありますか?Q: Is there a way to configure how often this data is updated? A:現時点ではありません。A: Not at this time.

Q:レプリケーションの状態の確認用に、Log Analytics ワークスペースにすべてのドメイン コントローラーを追加する必要がありますか?Q: Do I need to add all of my domain controllers to my Log Analytics workspace in order to see replication status? A:いいえ。ドメイン コントローラーは 1 つのみ追加します。A: No, only a single domain controller must be added. Log Analytics ワークスペースにドメイン コントローラーが複数ある場合、それらのすべてのデータが Azure Monitor に送信されます。If you have multiple domain controllers in your Log Analytics workspace, data from all of them is sent to Azure Monitor.

Q:Log Analytics ワークスペースに、ドメイン コントローラーを追加したくありません。それでも AD レプリケーションの状態ソリューションを使用できますか?Q: I don't want to add any domain controllers to my Log Analytics workspace. Can I still use the AD Replication Status solution?

A:はい。A: Yes. レジストリ キー値を設定して、これを有効にできます。You can set the value of a registry key to enable it. 非ドメイン コントローラーを有効にする」をご覧ください。See Enable non-domain controller.

Q:データ収集を行うプロセスの名前は何ですか?Q: What is the name of the process that does the data collection? A:AdvisorAssessment.exe です。A: AdvisorAssessment.exe

Q:データの収集にはどれくらいの時間がかかりますか?Q: How long does it take for data to be collected? A:Active Directory 環境の規模によって異なりますが、データの収集時間は通常は 15 分未満です。A: Data collection time depends on the size of the Active Directory environment, but usually takes less than 15 minutes.

Q:どのような種類のデータが収集されますか?Q: What type of data is collected? A:LDAP 経由でレプリケーションの情報は収集されます。A: Replication information is collected via LDAP.

Q:データが収集されるタイミングを構成する方法はありますか?Q: Is there a way to configure when data is collected? A:現時点ではありません。A: Not at this time.

Q:データを収集するには、どのようなアクセス許可が必要ですか?Q: What permissions do I need to collect data? A:Active Directory への標準のアクセス許可で十分です。A: Normal user permissions to Active Directory are sufficient.

データの収集の問題のトラブルシューティングTroubleshoot data collection problems

AD レプリケーションの状態ソリューション パックでデータを収集する場合、Log Analytics ワークスペースには少なくとも 1 つのドメイン コントローラーが接続されている必要があります。In order to collect data, the AD Replication Status solution pack requires at least one domain controller to be connected to your Log Analytics workspace. ドメイン コントローラーに接続するまで、データをまだ収集していることを示すメッセージが表示されます。Until you connect a domain controller, a message appears indicating that data is still being collected.

1 つのドメイン コントローラーの接続に支援が必要な場合は、Azure Monitor への Windows コンピューターの接続に関する記事をご覧ください。If you need assistance connecting one of your domain controllers, you can view documentation at Connect Windows computers to Azure Monitor. または、ドメイン コントローラーが既存の System Center Operations Manager 環境に接続されている場合は、Azure Monitor への System Center Operations Manager の接続に関する記事をご覧ください。Alternatively, if your domain controller is already connected to an existing System Center Operations Manager environment, you can view documentation at Connect System Center Operations Manager to Azure Monitor.

ドメイン コントローラーを Azure Monitor または System Center Operations Manager に直接接続しない場合は、「非ドメイン コントローラーを有効にする」をご覧ください。If you don't want to connect any of your domain controllers directly to Azure Monitor or to System Center Operations Manager, see Enable non-domain controller.

次のステップNext steps