Monitoring

Ein Verzeichnisabgleich zwischen AzureAD und einem lokalen Forest bleibt so lange unbemerkt, wie alles funktioniert. Es sind die unbemerkten Unterbrechungen oder Probleme beim Abgleich einzelner Objekte, die oft zu zeitintensiven Analyse-Arbeiten führen und niemand an den Verzeichnisabgleich denkt. Daher sollten Sie unbedingt die Funktion von AzureAD Cloud Sync überwachen.

Meldung per Mail

Die aus meiner Sicht wichtigste Einstellung ist die Konfiguration einer zuverlässig erreichbaren Mailbox, die auch gelesen wird.

Absender ist dabei immer "Microsoft Azure <azure-noreply@microsoft.com> "

Hier landen mit etwas Verzögerung alle Nachrichten, die auf dauerhafte Probleme hinweisen. Bislang gesehen habe ich

Neben den Mails über Probleme gibt es natürlich noch andere Quellen:

Agentenstatus

Über Azure Portal können Sie natürlich genau sehen, welche Agenten wann das letzte Mal etwas übertragen haben.

Die Agenten sollten natürlich "grün" sein und über den Klick auf "Fehlerfrei" sehen Sie den Status

Azure ADConnect Protokolle

Über den Button "Protokolle" ist sogar ein direkter Einblick in den Abgleich von Objekten zu erhalten. Die Protokolle sind global auf den Tenant und nicht pro Agent. Sie können hier jeden einzelnen Abgleich nach Objekten betrachten.

Fehler sind mal mehr oder weniger aussagekräftig

Selbst ein Blick bis herunter auf einzelne Felder ist möglich.

In dem hier gezeigten Beispiel helfen die Daten allerdings nicht weiter, denn der Fehler lag wohl in einer fehlenden Mailadresse bei einem AD-Kontakt.

Den Status ist auch direkt auf der Azure AD Übersicht erreichbar.

MSOL-DirSync Status

Wie auch mit ADSync wird im Tentant selbst ein DirSync-Status gepflegt, den Sie auslesen können.

(Get-MSOLCompanyInformation) | fl lastdirsynctime

LastDirSyncTime : 20.04.2020 15:52:13

Lokaler Windows Service

Der AzureAD Cloud Sync ist ein Dienst. Über klassisches Servicemonitoring können und sollten Sie prüfen, dass der Dienst auch gestartet ist.

PS C:\> Get-Service AADConnectProvisioningAgent | fl *

Name                : AADConnectProvisioningAgent
RequiredServices    : {}
CanPauseAndContinue : False
CanShutdown         : True
CanStop             : True
DisplayName         : Microsoft Azure AD Connect Provisioning Agent
DependentServices   : {}
MachineName         : .
ServiceName         : AADConnectProvisioningAgent
ServicesDependedOn  : {}
ServiceHandle       : SafeServiceHandle
Status              : Running
ServiceType         : Win32OwnProcess
StartType           : Automatic
Site                :
Container           :

Windows Eventlog

Auch wenn das eigentliche Monitoring aus der Cloud passiert, protokolliert der Dienst auch munter ins lokale Eventlog seinen Start und Probleme, die eine Kommunikation mit der Cloud verhindern.

Fehler sind hier dann auch zu finden:

Log Name:      Microsoft-AzureADConnect-ProvisioningAgent/Admin
Source:        Microsoft-AzureADConnect-ProvisioningAgent
Date:          23.04.2020 23:06:37
Event ID:      12020
Task Category: None
Level:         Error
Keywords:      
User:          NT SERVICE\AADConnectProvisioningAgent
Computer:      DC01.carius.de
Description:
The Agent was unable to connect to the service due to networking issues. 
The Agent tried to access the following URL: 'https://eef62a09-7718-4063-82db-d7582dc8916f.bootstrap.msappproxy.net/', 
    Request ID: '{0d3783d5-b536-4b8d-a711-5dd9314af983}'. 
See Agent troubleshooting for more information: http://go.microsoft.com/fwlink/?LinkID=512316&clcid=0x409

Performance Monitor

Ich vermute, dass diese Funktion mit einem Updates korrigiert wird. Aktuell sehe ich im Eventlog nur entsprechende Fehler, dass die Performance Counter nicht geschrieben werden

  • Ich habe AzureAD Cloud Sync auf einem englischen Windows 2016 Server installiert. Dennoch finde ich keine Performance Counter. Allerdings findet sich im Eventlog ein Hinweis, dass da etwas noch fehlt und die angemahnte Neuinstallation hat leider nichts geändert.
Log Name:      Microsoft-AzureADConnect-ProvisioningAgent/Admin
Source:        Microsoft-AzureADConnect-ProvisioningAgent
Date:          24.04.2020 23:49:57
Event ID:      12009
Task Category: None
Level:         Error
Keywords:      
User:          NT SERVICE\AADConnectProvisioningAgent
Computer:      DC01.carius.de
Description:
Failed to initialize performance counters. You must uninstall and reinstall the Agent. 
Error: 'The requested Performance Counter is not a custom counter, it has to be initialized as ReadOnly.'

Lokale Protokolldateien

Ich der lokalen Festplatten protokolliert der Service schon in verschiedenen Dateien die ein oder anderen Aktivitäten. Allerdings sind genau die Dinge nicht dabei, die ich gesucht habe, z.B. die Verbindungen zum lokalen Active Directory, die Lesezugriffe auf geänderte Objekte und Schreibzugriffe beim Provisioning durch die Cloud.

In "C:\ProgramData\Microsoft\Azure AD Connect Provisioning Agent\Trace" sein ein paar Textdateien

RAM und Netzwerk

Auch der Ressource Monitor von Windows ist ein von mir gerne genutztes Werkzeug, um einem neuen Programm etwas auf die Finger zu schauen. Sie sehen in meiner Umgebung mehrere parallele Verbindungen zu IP-Adressen bei Microsoft:

In meinem System hat der Dienst mit ca. 100 MB RAM sehr sparsam gezeigt und die die ausgehenden Verbindungen per HTTPS auf die Endpunkte der Cloud waren auch so zu erwarten.

Weitere Links