ADSync EventLog
Auf der Seite Office 365: ADSync Monitoring haben ich verschiedene Ansätze zur Überwachung des Office 365 DirSync beschrieben. Ein wichtiger Aspekt ist etwas umfangreicher, so dass ich das Eventlog auf diese Seite ausgelagert habe.
DirSync/ADSync im Eventlog
Leider hinterlässt sich der DirSync nicht ein einem eigenen Eventlog, sondern füllt das Application Eventlog, obwohl es zwei eigene Eventlogs gibt, die beide aber per Default nicht aktiviert sind:
Entsprechend einfach ist eine Abfrage per PowerShell möglich:
Etwas irritierend ist dann aber schon, dass all die unterschiedlichen Events mit der gleichen ID "904" aufschlagen. Den Fehler im obigen Log habe ich provoziert (falschen Kennwort beim DirSync). Allerdings wurde im Eventlog deswegen kein Fehler geworfen.
Insofern ist aus meiner Sicht das Eventlog aktuell beim ADSync noch kein guter Indikator für den DirSync.
Die frühere Version des DirSync (nicht ADSync) hat hier schon interessantere Meldungen mit einer eigenen Source und und EventID geliefert.
Interessant ist, dass die meisten Meldungen durch den "DirectorySyncClientCMD" erfolgen und fast immer "Info"-Events sind.
Eventlog-Einträge von ADSync
Wenn beim DirSync aber Warnungen und Fehler aufgetreten sind, dann sind hingegen Meldungen von ADSync zu sehen. Diese sind aber unter der Masse an "DirectorySyncClientCMD" nur mit einem Filter auf "Warning/Error" oder auf die Quelle "ADSync" auszumachen.
Selbst bei meinem kleinen Demo-Tenant mit gerade mal 19 synchronisierten Objekten sind ca. 33.000 Application Events aufgelaufen, von denen 32 Stück dann ADSync darstellen.
Hier ein paar Beispiele von Fehlern, die natürlich ebenfalls einfach überwacht werden können. Alle Events sind aus dem "Application Eventlog" und der Quelle "ADSync".
Level | EventID | Description |
---|---|---|
Warning |
6100 |
Dieser Event scheint alles rund um "Fehler" zu melden. Leider hat er nur den Level "Warning" The management agent "msxfaq.onmicrosoft.com - AAD" step execution completed on run profile "Delta Synchronization" with errors. Additional Information Discovery Errors : "0" Synchronization Errors : "0" Metaverse Retry Errors : "1" Export Errors : "0" Warnings : "0" User Action View the management agent run history for details. The management agent "msxfaq.onmicrosoft.com - AAD" step execution completed on run profile "Export" with errors. Additional Information Discovery Errors : "0" Synchronization Errors : "0" Metaverse Retry Errors : "0" Export Errors : "1" Warnings : "0" User Action View the management agent run history for details. |
Warning |
6105 |
Analog dazu ist der 6105 anscheinend für Warnungen zuständig: The management agent "msxfaq.onmicrosoft.com - AAD" step execution completed on run profile "Delta Import" but some objects had exported changes that were not confirmed on import. Additional Information Discovery Errors : "0" Synchronization Errors : "0" Metaverse Retry Errors : "0" Export Errors : "0" Warnings : "2" User Action View the management agent run history for details. |
Warning |
6110 |
Kein Fehler, aber da er den "Wasserstand" nicht speichern konnte, könnten Änderungen beim nächsten Lauf als "pending" angesehen und erneut geschrieben werden. The management agent "msxfaq.onmicrosoft.com - AAD" step execution completed on run profile "Delta Import" but the watermark was not saved. Additional Information Discovery Errors : "0" Synchronization Errors : "0" Metaverse Retry Errors : "0" Export Errors : "0" Warnings : "0" User Action View the management agent run history for details. |
Warning |
6127 |
Eine Änderung der Regeln fordert einen Full Sync an. Log Name: Application Source: ADSync Event ID: 6127 Task Category: Management Agent Run Profile Level: Warning Keywords: Classic User: N/A Computer: DS1.msxfaq.de Description: The management agent "msxfaq.de - AAD" completed run profile "Delta Synchronization" with a delta import or delta synchronization step type. The rules configuration has changed since the last full synchronization. User Action To ensure the updated rules are applied to all objects, a run with step type of full synchronization should be completed. |
Error |
6801 |
Da dürfte wohl Office 365 ein "Problem" gehabe haben. ADSync hat die Gegenseite erreicht aber der DienstUser konnte sich nicht anmelden. Komischerweise ist das nun Fehler. The extensible extension returned an unsupported error. The stack trace is: "Microsoft.IdentityModel.Clients.ActiveDirectory.AdalServiceException: User_realm_discovery_failed: User realm discovery failed ---> System.Net.WebException: The operation has timed out at System.Net.HttpWebRequest.GetResponse() at Microsoft.IdentityModel.Clients.ActiveDirectory.HttpWebRequestWrapper. <GetResponseSyncOrAsync>d__2.MoveNext() ... ErrorCode: User_realm_discovery_failed StatusCode: 0 Azure AD Sync 1.1.110.0" |
Error |
6803 |
Ob da wohl die PowerShell zu Office 365 nicht verfügbar war ? The management agent "msxfaq.onmicrosoft.com - AAD" failed on run profile "Delta Import" because the server encountered errors. |
Error |
6941 |
Das ist nun ein interessanter Event, der ein echtes Problem beschreibt. Ich habe absichtlich z.B. den UPN oder das Feld "Mail" doppelt gemacht. Das kann in einem lokalen Active Directory durchaus mal passieren. ADSync kann dies natürlich nicht in die Cloud synchronisieren. ECMA2 MA export run caused an error. Error Name: AttributeValueMustBeUnique Error Detail: Das Objekt kann nicht aktualisiert werden, weil die folgenden dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: "UserPrincipalName User1@msxfaq.net;". Korrigieren oder entfernen Sie die doppelt vorhandenen Werte in Ihrem lokalen Verzeichnis. Weitere Informationen zur Erkennung von Objekten mit doppelt vorhandenen Attributwerten finden Sie unter http://support.microsoft.com/kb/2647098. Tracking Id: 571fb5c0-0a20-4d31-af1a-c3dfd75cfd94 ECMA2 MA export run caused an error. Error Name: InvalidSoftMatch Error Detail: Das Objekt kann nicht aktualisiert werden, weil die folgenden dem Objekt zugeordneten Attribute Werte aufweisen, die möglicherweise bereits einem anderen Objekt in Ihren lokalen Verzeichnisdiensten zugeordnet sind: "Mail Extern@netatwork.de;". Korrigieren oder entfernen Sie die doppelt vorhandenen Werte in Ihrem lokalen Verzeichnis. Weitere Informationen zur Erkennung von Objekten mit doppelt vorhandenen Attributwerten finden Sie unter http://support.microsoft.com/kb/2647098. Tracking Id: 37242ebd-f351-4c93-be40-d593cee397e3 |
Damit sind diese Einträge durchaus für eine Überwachung des Verzeichnisabgleich (Siehe auch Office 365: ADSync Monitoring) brauchbar.
Weitere Links
- Office 365: ADSync Monitoring
- O365:DirSync Setup
- Verify directory
synchronization
http://onlinehelp.microsoft.com/en-us/Office365-enterprises/ff652541.aspx - Field Notes: Azure Active
Directory Connect –
Troubleshooting Task Overview
https://azurecloudai.blog/2019/09/24/field-notes-azure-active-directory-troubleshooting-task-overview/