ADSync EventLog

Auf der Seite Office 365: DirSync Monitoring haben ich verschiedene Ansätze zur Überwachung des Office 365 DirSync beschrieben. Ein wichtiger Aspekt ist etwas umfangreicher, so dass ich das Eventlog auf diese Seite ausgelagert habe.

DirSync/ADSync im Eventlog

Leider hinterlässt sich der DirSync nicht ein einem eigenen Eventlog, sondern füllt das Application Eventlog, obwohl es zwei eigene Eventlogs gibt, die beide aber per Default nicht aktiviert sind:

Entsprechend einfach ist eine Abfrage per PowerShell möglich:

Etwas irritierend ist dann aber schon, dass all die unterschiedlichen Events mit der gleichen ID "904" aufschlagen. Den Fehler im obigen Log habe ich provoziert (falschen Kennwort beim DirSync). Allerdings wurde im Eventlog deswegen kein Fehler geworfen.

Insofern ist aus meiner Sicht das Eventlog aktuell beim ADSync noch kein guter Indikator für den DirSync.

Die frühere Version des DirSync (nicht ADSync) hat hier schon interessantere Meldungen mit einer eigenen Source und und EventID geliefert.

Interessant ist, dass die meisten Meldungen durch den "DirectorySyncClientCMD" erfolgen und fast immer "Info"-Events sind.

Eventlog-Einträge von ADSync

Wenn beim DirSync aber Warnungen und Fehler aufgetreten sind, dann sind hingegen Meldungen von ADSync zu sehen. Diese sind aber unter der Masse an "DirectorySyncClientCMD" nur mit einem Filter auf "Warning/Error" oder auf die Quelle "ADSync" auszumachen.

Selbst bei meinem kleinen Demo-Tenant mit gerade mal 19 synchronisierten Objekten sind ca. 33.000 Application Events aufgelaufen, von denen 32 Stück dann ADSync darstellen

Hier ein paar Beispiele von Fehlern, die natürlich ebenfalls einfach überwacht werden können. Alle Events sind aus dem "Application Eventlog" und der Quelle "ADSync"

Level EventID Description

Warning

6100

Dieser Event scheint alles rund um "Fehler" zu melden. Leider hat er nur den Level "Warning"

The management agent "carius.onmicrosoft.com - AAD" step execution 
completed on run profile "Delta Synchronization" with errors.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "1"
 Export Errors          : "0"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.
The management agent "carius.onmicrosoft.com - AAD" step execution 
completed on run profile "Export" with errors.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "1"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.

Warning

6105

Analog dazu ist der 6105 anscheinend für Warnungen zuständig:

The management agent "carius.onmicrosoft.com - AAD" step execution
 completed on run profile "Delta Import" but some objects had 
exported changes that were not confirmed on import.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "0"
 Warnings               : "2"
 
 User Action
 View the management agent run history for details.

Warning

6110

kein Fehler aber da er den "Wasserstand" nicht speichern konnte, könnten Änderungen beim nächsten Lauf als "pending" angesehen und erneut geschrieben werden.

The management agent "carius.onmicrosoft.com - AAD" step execution 
completed on run profile "Delta Import" but the watermark was not saved.
 
 Additional Information
 Discovery Errors       : "0"
 Synchronization Errors : "0"
 Metaverse Retry Errors : "0"
 Export Errors          : "0"
 Warnings               : "0"
 
 User Action
 View the management agent run history for details.

Error

6803

Ob da wohl die PowerShell zu Office 365 nicht verfügbar war ?

The management agent "carius.onmicrosoft.com - AAD" failed on run profile 
"Delta Import" because the server encountered errors.

Error

6801

Da dürfte wohl Office 365 ein "Problem" gehabe haben. ADSync hat die Gegenseite erreicht aber der Dienstuser konnte sich nicht anmelden. Komischerweise ist das nun Fehler.

The extensible extension returned an unsupported error.
 The stack trace is:
 
 "Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException: 
user_realm_discovery_failed: User realm discovery failed 
---> System.Net.WebException: The operation has timed out
   at System.Net.HttpWebRequest.GetResponse()
   at Microsoft.IdentityModel.Clients.ActiveDirectory.HttpWebRequestWrapper.
<GetResponseSyncOrAsync>d__2.MoveNext()
...
	ErrorCode: user_realm_discovery_failed
	StatusCode: 0Azure AD Sync 1.1.110.0"

Error

6941

Das ist nun ein interessanter Event, der ein echtes Problem beschreibt. Ich habe absichtlich z.B. den UPN oder das Feld "Mail" doppelt gemacht. Das kann in einem lokalen Active Directory durchaus mal passieren. ADSync kann dies natürlich nicht in die Cloud synchronisieren.

ECMA2 MA export run caused an error. 
 
Error Name: AttributeValueMustBeUnique 
Error Detail: Das Objekt kann nicht aktualisiert werden, weil die folgenden 
dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits 
einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: 
"UserPrincipalName user1@msxfaq.net;". Korrigieren oder entfernen Sie die 
doppelt vorhandenen Werte in Ihrem lokalen Verzeichnis. Weitere 
Informationen zur Erkennung von Objekten mit doppelt vorhandenen 
Attributwerten finden Sie unter http://support.microsoft.com/kb/2647098.

Tracking Id: 571fb5c0-0a20-4d31-af1a-c3dfd75cfd94
ECMA2 MA export run caused an error. 
 
Error Name: InvalidSoftMatch 
Error Detail: Das Objekt kann nicht aktualisiert werden, weil die folgenden 
dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits 
einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: 
"Mail Extern@netatwork.de;". Korrigieren oder entfernen Sie die doppelt 
vorhandenen Werte in Ihrem lokalen Verzeichnis. Weitere Informationen 
zur Erkennung von Objekten mit doppelt vorhandenen Attributwerten 
finden Sie unter http://support.microsoft.com/kb/2647098.

Tracking Id: 37242ebd-f351-4c93-be40-d593cee397e3

Damit sind diese Einträge durchaus für eine Überwachung des Verzeichnisabgleich (Siehe auch Office 365: DirSync Monitoring) brauchbar.

Weitere Links