Active Directory Replication Status Tool

Eigentlich habe ich nach was ganz anderes gesucht und bin eher zufällig auf ein frisch veröffentlichtest Tool von Microsoft gestoßen, was dann aber meine Aufmerksamkeit erregt hat:

Gerade mal ein paar Tage alt und kaum Informationen geschweige denn Bilder. Aber neugierig geworden, habe ich die 5 MB schnell herunter geladen und installiert.

Active Directory Replication Status Tool
http://www.microsoft.com/en-us/download/details.aspx?id=30005

Zuerst musste ich noch das ZIP-Archiv auspacken und darin findet sich ein SETUP und eine MSI-Datei. Mehr aber nicht und auch das Setup ist geradezu unspektakulär. Bie mir ist nicht einmal eine "Abschlussmeldung" erfolgt, so dass ich schon davon ausgegangen bin, das etwas fehlgeschlagen ist. Aber das Setup legt dann doch einen Eintrag im Startmenü und auf dem Desktop an, welches ein Administrator einfach starten kann.

Warum das aber Version 1.0 ist, während die Build Version schon 2.2.20717.1 lautet bleibt wohl das Geheimnis des Programmierers. Wenn man sich aber das Programmverzeichnis anschaut, dann sind da knapp 11 Megabyte hinzu gekommen.

ADReplStatus
https://github.com/ryanries/ADReplStatus
Ein Github Project eines Microsoft-Mitarbeiters, welches auch AD-Replikationen prüft

Discovery

Das Programm begrüßt sie mit Ribbon-Leiste und dem ersten Schritt des Discovery. Ich habe in meiner kleinen Umgebung einfach den Forest ausgewählt. Auf dem Bild sehen Sie schon das Ergebnis der Ermittlung: Einige Server und mehrere Partitionen:

Ein Start in einer größeren KundenUmgebung mit mehreren Domains hat aber bewiesen, dass es zwar länger dauert aber letztlich auch eine komplette Struktur erfassen kann, wenn die Voraussetzungen denn stimmen:

  • Admin
    Das Programm läuft mit dem angemeldeten Benutzer und erfragt aus dem AD erst einmal die Liste der DCs und verbindet sich dann im zweiten Schritt mit jedem einzelnen DC, um den Replikationsstatus zu erfragen. Als Domänenbenutzer werden Sie dies nicht können
  • Netzwerk
    Gerade in größeren verteilten Umgebungen muss zudem sichergestellt sein, dass der Computer mit dem Monitor eine Verbindung zu allen DCs herstellen kann. Firewalls mit Portfiltern, fehlerhafte DNS-Auflösung oder IP-Leitwege können dies vereiteln.

Analyse

Sofort nach Abschluss des Discovery werden auch schon alle Partitionen und Server abgelaufen um den aktuellen Status zu ermitteln und nach dem Abschluss anzuzeigen:

Die Standardansicht gruppiert die DCs erst nach dem Ziel-Domaincontroller "DestD" und dann nach der Quelle (Source DC). Sie können die Ansicht natürlich auch anpassen. Sie zeigt aber als einfache Liste schon direkt an, welche Replikationspartnerschaften eventuell ein Problem haben. Auf den Überschriften können Sie weitere Felder (z.B. USN) einblenden. Leider kann ich ihnen grade kein Bild mit Replikationsfehlern zeigen.

Einschränkungen

Das Programm ist sicher eine sehr gute Möglichkeit einer "AdHoc"-Analyse der Replikation einer AD-Umgebung. Als permanente Überwachung können Sie das Tool aber nicht wirklich nutzen, denn.

  • keine regelmäßige Aktualisierung
    Ich habe nicht gesehen, dass das Programm den Status eigenständig aktualisiert. Sie müssen also schon selbst ab und an einen neuen "Discover" starten.
  • keine Alarmfunktion
    Wenn das Programm dann permanent laufen würde, dann fehlt natürlich jede Möglichkeit einer Eskalation, z.B.: per MAIL
  • Kein Dienst
    Wenn das Programm dann permanent laufen würde, dann sollte der "Monitor-Prozess" als Dienst arbeiten und die Anzeige davon getrennt sein. Es muss ja keine Webseite sein. Das Programm kann heute schon die Daten exportieren und "offline" zur Anzeige importieren. Ein Dienst könnte also alle paar Minuten selbst einen Export machen und das Anzeigeprogramm einfach einen Reload der Daten anstoßen.

Ich will mich aber nicht beschweren, denn zum einen kostet es nichts und viele Administratoren aber auch Consultants werden die Arbeitserleichterung schätzen, wenn man Gewissheit über die Funktion des Active Directory benötigt. Genau für den AdHoc-Einsatz ist dieses kleine Tool prädestiniert und diese Aufgabe erfüllt es sehr gut. Es ist aber kein Baustein einer Überwachung wie SCOM o.ä.

Weitere Links