{"id":214374,"date":"2019-02-01T16:03:49","date_gmt":"2019-02-01T15:03:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214374"},"modified":"2020-04-25T09:35:14","modified_gmt":"2020-04-25T07:35:14","slug":"azure-active-directory-ausfall-und-ursache-cloud-ausflle","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/02\/01\/azure-active-directory-ausfall-und-ursache-cloud-ausflle\/","title":{"rendered":"Azure Active Directory-Ausfall und Ursache Cloud-Ausf&auml;lle"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2014\/02\/OneDrive.jpg\" width=\"58\" height=\"56\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/02\/02\/azure-active-directory-outage-rca-for-azure-cloud-hicups\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Am heutigen 1. Februar 2019 kam es wohl zu einem kurzzeitigen Azure Active Directory-Ausfall. Im Rahmen der Recherche habe ich dann auch einige Informationen gefunden, warum Microsoft seit dem 29. Januar 2019 unter Ausf\u00e4llen seiner Cloud leidet.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/16b7048f9fd242d99b6cabfbfab459dc\" alt=\"\" width=\"1\" height=\"1\" \/>Kunden der Microsoft-Cloud leiden ja seit Tagen unter sporadischen Ausf\u00e4llen, bei denen Dienste nicht erreichbar sind. Ich hatte zeitnah hier im Blog dar\u00fcber berichtet (siehe Artikellinks am Beitragsende). Selbst der Windows Updatedienst wurde davon nicht verschont. Seit heute Mittag ca. 14:30 kann ich hier mit meinem Clients wieder Updates abrufen. So viel als Vorbemerkung.<\/p>\n<h2>Azure Active Directory-Ausfall (1. Feb. 2019)<\/h2>\n<p>Als ich eben meinen Twitter-Stream durchgegangen bin, stie\u00df ich auf eine neue St\u00f6rungsmeldung von Tero Alhonen, der in Nordeuropa sitzt und \u00fcber einen Azure Active Directory-Ausfall berichtet. Zwischen 8:05 und 10:00 Uhr UTC (also 9:05 und 11:00 Uhr deutscher Zeit) kam es am 1. Februar 2019 zu diesem Ausfall beim Azure Active Directory.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Issues we had this morning accessing Azure Active Directory have been fixed <a href=\"https:\/\/t.co\/1w75mhxxaL\">https:\/\/t.co\/1w75mhxxaL<\/a> <a href=\"https:\/\/t.co\/Hn8fb0phGK\">pic.twitter.com\/Hn8fb0phGK<\/a><\/p>\n<p>\u2014 Tero Alhonen (@teroalhonen) <a href=\"https:\/\/twitter.com\/teroalhonen\/status\/1091323516178313216?ref_src=twsrc%5Etfw\">1. Februar 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Betroffen waren einige Kunden in Europa (u.a. Frankreich, Niederlande, Tschechien). Es waren diverse Dienste, auch Microsoft Teams, mit Mitleidenschaft gezogen. Hier die Statusmeldung mit den Details:<\/p>\n<blockquote>\n<h5>Active Directory &#8211; Mitigated<\/h5>\n<p>Between 08:05 and 10:00 UTC on 01st Feb 2019, a small subset of users in certain countries in Europe including France, Netherlands, Hungary, Czech Republic may have experienced intermittent issues while accessing functionality in Azure Portal, Azure Active Directory B2C, Azure Active Directory Privileged Identity Management, Managed Service Identity, Azure RBAC and Microsoft Teams.<\/p>\n<p>Engineering team have applied mitigation and all impacted services have been recovered 10:00 UTC.<\/p>\n<p>Engineers are continuing to monitor the health of all impacted services to ensure full mitigation.<\/p><\/blockquote>\n<p>Diese St\u00f6rung ist inzwischen behoben, die Azure-Dienste sollten wieder wie gewohnt arbeiten.<\/p>\n<h2>Ursache f\u00fcr die Ausf\u00e4lle (29.\/30. Januar 2019)<\/h2>\n<p>In der <a href=\"https:\/\/status.azure.com\/de-de\/status\" target=\"_blank\" rel=\"noopener noreferrer\">Seite f\u00fcr Azure-St\u00f6rungen<\/a> finden sich inzwischen auch Eintr\u00e4ge, warum es in den vergangenen Tagen zu Problemen kam.<\/p>\n<h3>30.1.2018: St\u00f6rung in den USA<\/h3>\n<p>Die St\u00f6rungen vom 30. Januar 2019 im Westen der USA wurden durch Netzwerk-Timeouts verursacht. Als vorl\u00e4ufige Ursache wurde der Ausfall von Netzwerkger\u00e4ten nach einer routinem\u00e4\u00dfigen Netzwerkwartung angegeben. Diese wirkten sich intermittierend auf die Azure Services aus, was erkl\u00e4rt, warum die Leute nur sporadische Probleme bemerkten.<\/p>\n<h3>29.1.2019: RCA &#8211; Network Infrastructure Event<\/h3>\n<p>Ab dem 29. Januar 2019 21:00 UTC bis zum 30. Januar 2019 00:10 UTC (in Deutschland ist das alles eine Stunde sp\u00e4ter) gab es Probleme beim Zugriff auf Microsoft Cloud-Ressourcen. Hier der Microsoft Text der Root Cause Analyse (RCA). Zudem gab es intermittierende Authentifizierungsprobleme bei mehreren Azure-Diensten, die die Azure Cloud, die US-Regierungs-Cloud und die deutsche Cloud betrafen.<\/p>\n<blockquote><p><strong>Summary of impact:<\/strong> Between 21:00 UTC on 29 Jan 2019 and 00:10 UTC on 30 Jan 2019, customers may have experienced issues accessing Microsoft Cloud resources, as well as intermittent authentication issues across multiple Azure services affecting the Azure Cloud, US Government Cloud, and German Cloud. This issue was mitigated for the Azure Cloud at 23:05 UTC on 29 Jan 2019. Residual impact to the Azure Government Cloud was mitigated at 00:00 UTC on 30 Jan 2019 and to the German Cloud at 00:10 UTC on 30 Jan 2019.<\/p>\n<p>Azure AD authentication in the Azure Cloud was impacted between 21:07 &#8211; 21:48 UTC, and MFA was impacted between 21:07 &#8211; 22:25 UTC.<br \/>\nCustomers using a subset of other Azure services including: Microsoft Azure portal, Azure Data Lake Store, Azure Data Lake Analytics, Application Insights, Azure Log Analytics, Azure DevOps, Azure Resource Graph, Azure Container Registries, and Azure Machine Learning may have experienced intermittent inability to access service resources during the incident. A limited subset of customers using SQL transparent data encryption with bring your own key support may have had their SQL database dropped after Azure Key Vault was not reachable. The SQL service restored all databases.<\/p>\n<p>For customers using Azure Monitor, there was a period of time where alerts, including Service Health alerts, did not fire. Azure internal communications tooling was also affected by the external DNS incident. As a result, we were delayed in publishing communications to the Service health status on the Azure Status Dashboard. Customers may have also been unable to log into their Azure Management Portal to view portal communications.<\/p><\/blockquote>\n<p>Dieses Problem wurde f\u00fcr die Azure Cloud um 23:05 UTC am 29. Januar 2019 behoben. Die verbleibenden Auswirkungen auf die Azure-Cloud wurden am 30. Januar 2019 um 00:00 Uhr UTC und am 30. Januar 2019 um 00:10 Uhr UTC auf die deutsche Wolke gemildert.<\/p>\n<blockquote><p>Laut meinen Blog-Beitr\u00e4gen begannen die Schwierigkeiten aber Stunden vorher und dauerten wohl auch l\u00e4nger an. Aber das sind nur Feinheiten.<\/p><\/blockquote>\n<p>Interessant ist die Begr\u00fcndung, warum diese St\u00f6rung auftrat. Schuld war ein externer DNS-Server-Betreiber, bei dem es nach einem Software-Update zu einem globalen Ausfall der DNS-Infrastruktur kam. Im Zusammenhang mit den Windows Update-Problemen ist mir der Name Comcast unter die Augen gekommen \u2013 wenn dieser Anbieter auch nicht im Microsoft-Statusbericht genannt wird. Hier die Microsoft-Erkl\u00e4rung zum Root Cause:<\/p>\n<blockquote><p><strong>Root Cause:<\/strong> An external DNS service provider experienced a global outage after rolling out a software update which exposed a data corruption issue in their primary servers and affected their secondary servers, impacting network traffic.<\/p>\n<p>A subset of Azure services, including Azure Active Directory were leveraging the external DNS provider at the time of the incident and subsequently experienced a downstream service impact as a result of the external DNS provider incident.<\/p>\n<p>Azure services that leverage Azure DNS were not impacted, however, customers may have been unable to access these services because of an inability to authenticate through Azure Active Directory.<\/p>\n<p>An extremely limited subset of SQL databases using \"bring your own key support\" were dropped after losing connectivity to Azure Key Vault. As a result of losing connectivity to Azure Key Vault, the key is revoked, and the SQL database dropped.<\/p><\/blockquote>\n<p>Zum Thema gel\u00f6schte SQL-Datenbanken hatte ich auch was geschrieben. Laut Microsoft wurden die DNS-Dienste an einen alternativen DNS-Anbieter \u00fcbertragen, was das Problem zumindest entsch\u00e4rfte.<\/p>\n<p>Authentifizierungsanfragen, die vor den \u00c4nderungen am Routing aufgetreten sind, konnten in Folge dieses Fehlers fehlgeschlagen sein. Das war immer der Fall, wenn DNS-Anfragen \u00fcber den betroffenen DNS-Anbieter weitergeleitet wurde. W\u00e4hrend Azure Active Directory (AAD) mehrere DNS-Anbieter nutzt, war ein manueller Eingriff erforderlich, um einen Teil des AAD-Verkehrs an einen sekund\u00e4ren Anbieter weiterzuleiten.<\/p>\n<p>Laut Microsoft-Bericht hat der externe DNS-Dienstleister hat das Problem der kaputten DNS-Server behoben. Zudem hat dieser Anbieter Vorkehrungen getroffen, um die Wahrscheinlichkeit f\u00fcr einen solchen Fehler zu verringern. Laut Microsoft haben die Azure SQL-Ingenieure inzwischen auch alle SQL-Datenbanken wiederhergestellt, die aufgrund dieses Vorfalls gel\u00f6scht wurden.<\/p>\n<blockquote><p>Anmerkung 1: Die oben erw\u00e4hnten Updates beim DNS-Provider und bei den Microsoft Netzwerkger\u00e4ten k\u00f6nnten im Zusammenhang mit dem <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4489468\/windows-server-domain-name-system-dns-flag-day-compliance\" target=\"_blank\" rel=\"noopener noreferrer\">Windows Server Domain Name System (DNS) Flag Day Compliance<\/a>\u00a0stehen. Sicher bin ich aber nicht.<\/p>\n<p>Anmerkung 2:\u00a0Ich hatte zu diesen Ereignissen auch Artikel bei heise.de im Newsticker. Dort wurde ausgiebig diskutiert, ob Ausf\u00e4lle h\u00e4ufiger\/l\u00e4nger auf OnPremise-L\u00f6sungen im Hause oder in der Cloud passieren. Die Quintessenz der Vorf\u00e4lle zeigen aber, wie kritisch selbst kleine St\u00f6rungen in der Infrastruktur der Cloud oder des Internet sind. Und jetzt haben wir noch nicht einmal einen gro\u00dfangelegten Cyberangriff staatlicher Hacker auf diese Infrastruktur. Sondern das Einspielen simpler Updates, die nat\u00fcrlich vorher ausgiebig getestet waren, bewirkten eine weltweiten Schluckauf der Microsoft Azure-Cloud-Funktionen. Merkt ihr was?<\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/11\/29\/onedrive-gestrt-29-11-2018\/\">OneDrive, und Azure Data Lake Store gest\u00f6rt \u2026 (29.11.2018)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/24\/office-365-down-24-januar-2019\/\">Office 365 down (24. Januar 2019)?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/26\/update-zum-office365-ausfall-samstag-den-26-1-2019\/\">Update zum Office365-Ausfall (Samstag, den 26.1.2019)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/29\/office365-com-grostrung-behoben-dafr-links-blockiert-29-1-2019\/\">Office365.com: Gro\u00dfst\u00f6rung behoben, daf\u00fcr Links blockiert (29.1.2019)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/31\/dumm-gelaufen-microsoft-lscht-azure-cloud-datenbanken\/\">Dumm gelaufen: Microsoft l\u00f6scht Azure Cloud Datenbanken<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/01\/31\/microsoft-windows-update-service-global-gestrt-31-1-2018\/\">Microsoft Windows Update-Service global gest\u00f6rt? (31.1.2019)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Am heutigen 1. Februar 2019 kam es wohl zu einem kurzzeitigen Azure Active Directory-Ausfall. Im Rahmen der Recherche habe ich dann auch einige Informationen gefunden, warum Microsoft seit dem 29. Januar 2019 unter Ausf\u00e4llen seiner Cloud leidet.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263],"tags":[4375,1171],"class_list":["post-214374","post","type-post","status-publish","format-standard","hentry","category-cloud","tag-azure","tag-cloud"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214374","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214374"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214374\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214374"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214374"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214374"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}