Monitoring der Active-Directory-Verbunddienste (2)
Die Active-Directory-Verbunddienste spielen in Unternehmen nach wie vor eine wichtige Rolle. Trotz vorhandener Alternativen können wichtige Vertrauensstellungen zur Microsoft-Cloud oder zu Partnerunternehmen darauf basieren. Daher sollten IT-Verantwortliche die Farm zu jeder Zeit im Auge behalten. Unser Workshop zeigt Wege, ADFS zu überwachen – sei es lokal auf den Servern mit kostenlosen Skripten und Bordmitteln oder aus dem Azure-Portal heraus. Im zweiten Teil geht es um den Server-Manager als Schaltzentrale und das Eventlog als Datenbasis.
Bordmittel bieten sich an
Die Liste kommerzieller Monitoringsoftware ist lang. Setzt der Admin bereits ein Produkt zur Überwachung ein, ist es meist ein Leichtes, die Server für ADFS für eine einheitliche Überwachung ebenfalls zu integrieren. Doch welche Möglichkeiten bestehen, wenn bislang keine Überwachungssoftware zum Einsatz kommt? Oder in netzwerktechnisch abgeschotteten Implementierungen, wie zum Beispiel in Testumgebungen? Auch diese können produktiven Charakter haben, etwa aus Sicht der Entwickler, was aber die Lizenzkosten für die Monitoringsuite (einschließlich der Lizenzierung von Azure AD Connect Health) nicht unbedingt rechtfertigen. In diesem Fall muss der Admin schauen, was die Bordmittel hergeben.
Bevor wir uns diesen Möglichkeiten widmen, noch ein wichtiger Aspekt vorweg: Eine ADFS-Farm hat selten den Umfang, wie ihn Admins von einer typischen Webserverfarm mit zwanzig oder noch mehr Servern kennen. Bei ADFS sind die Kapazitäten architekturbedingt kleiner. Als Richtwert empfiehlt Microsoft beispielsweise für 15.000 zu authentifizierende Benutzer lediglich zwei ADFS-Server. Etwas anders sieht es aus, wenn Microsoft 365 ins Spiel kommt. Trotzdem dürfte die Infrastruktur überschaubar bleiben – und da bieten sich die Bordmittel von Windows Server an.
Server-Manager als Schaltzentrale
Ein ADFS-Server zeichnet alle relevanten Ereignisse im ADFS-Protokoll in den Anwendungs- und Dienstprotokollen der Ereignisanzeige auf. Um nicht auf allen Servern in der Farm die Protokolle hin sichtlich möglicher Probleme durchsehen zu müssen, kann es sinnvoll sein, sämtliche Mitglieder der Farm von einem zentralen Ort aus zu verwalten. Der Server-Manager bietet hier viel mehr als nur das simple Installieren von Serverrollen und Funktionen. Wurden alle Server im Server-Manager hinzugefügt, gibt das Dashboard gesammelte Statusinformationen wieder.
Ein praktisches Beispiel könnte so aussehen: Über das Kontextmenü lassen sich gezielt Server von der Ferne aus administrieren und nach Wartungsarbeiten zum Beispiel neu starten. Ist der Server wieder online, ist innerhalb des Dashboards dann ersichtlich, dass der Remote-Server zwar gestartet worden ist, der ADFS-Dienst aber hängt. Wiederum über das Kontextmenü lässt sich der Dienst nun von hier aus zentral neu starten, womit die rot markierten Warnhinweise aus dem Server-Manager verschwinden.
Das Dashboard bietet auch die Möglichkeit, auf die erwähnten ADFS-Ereignisprotokolle der Server zuzugreifen. So holen Sie sich zentral alle Einträge der Farm auf den Bildschirm und erhalten Aufschluss über den Zustand der Umgebung. Über Filter lässt sich die Ansicht einschränken, um beispielsweise nur Ereignisse mit dem Schweregrad "kritisch" aus einem bestimmten Zeitraum zu suchen. Im unteren Bereich der Anzeige findet sich noch der "Best Practices Analyzer", der für das Monitoring weitere wichtige Informationen liefert.
Der Server-Manager ersetzt natürlich kein reinrassiges Monitoringsystem, ist aber insbesondere bei einer geringen Anzahl von Verbundserver durchaus eine Alternative, um nach dem Rechten zu schauen. Seine Möglichkeiten bieten selbst erfahrenen Administratoren Erkenntnisse, die sich im Alltag als nützlich erweisen.
Eventlog als Datenbasis
Ein Verbundserver ist von Haus aus recht geschwätzig, er schreibt zahlreiche Informationen in das Eventlog und bietet somit eine gute Basis für das Monitoring. Zwar ist es schwierig, bei der Fülle an Informationen die Spreu vom Weizen zu trennen, doch mit etwas Übung und Erfahrung bekommen Sie ein Gefühl für die wichtigen Einträge.
Grundlegend lässt sich in den Eigenschaften des ADFS-Servers einstellen, welche Art von Events er protokollieren soll. Navigieren Sie hierfür in der ADFS-Verwaltungskonsole mit der rechten Maustaste auf das Element "AD FS" und wählen Sie die Eigenschaften des Verbundservers aus. In den Verbunddiensteigenschaften enthält die rechte Registerkarte mit dem Namen "Ereignisse" die gewünschten Einstellungen.
Es hat sich gezeigt, dass Änderungen an diesen Settings immer nur auf dem primären ADFS-Server gespeichert werden und nicht für die Farm gelten. Wechseln Sie häufiger den primären Server, beispielsweise zu Wartungszwecken, sollten Sie bedenken, dass dann die Einstellungen des neuen Servers gelten und Sie eventuell hier nachjustieren müssen, damit das Logging wieder passt. Admins, die lieber in der PowerShell agieren, nutzen das Kommando
Get-AdfsProperties | select loglevel
um zu sehen, welche Art von Informationen aktuell protokolliert werden. Das Get-AdfsProperties-Cmdlet sollten Sie auch einmal ohne Parameter ausprobieren, um sich einen Überblick über die Konfiguration des Verbundservers zu schaffen. Sie werden zahlreiche interessante Optionen finden. Das Gegenstück, um den Loglevel zu setzen, lautet übrigens "Set-ADFSProperties" und lässt sich auch automatisiert in einem Skript verwenden. Wenn Sie häufiger die Rolle des primären Servers in einer Farm per PowerShell wechseln und dabei auch den Loglevel an aktuelle Bedürfnisse anpassen, ist so ein einheitlicher Stand garantiert.
ln/Klaus Bierschenk
Im dritten Teil der Workshopserie gehen wir vor allem darauf ein, wie Sie Protokolle automatisiert auslesen und dabei für einen hohen Detailgrad sorgen. Im ersten Teil haben wir einen Blick auf die Abhängigkeiten von ADFS geworfen und das Monitoring mit AD Connect Health erklärt.