Upravit

Sdílet prostřednictvím


Nejčastější dotazy ke službě Microsoft Entra Connect Health

Tento článek obsahuje odpovědi na nejčastější dotazy týkající se služby Microsoft Entra Connect Health. Tyto nejčastější dotazy se týkají otázek týkajících se používání služby, která zahrnuje fakturační model, možnosti, omezení a podporu.

Obecné otázky

Spravujem více adresářů Microsoft Entra. Návody přepnout na ten, který má Microsoft Entra ID P1 nebo P2?

Pokud chcete přepínat mezi různými tenanty Microsoft Entra, vyberte v pravém horním rohu aktuálně přihlášené uživatelské jméno a pak zvolte příslušný účet. Pokud tady účet není uvedený, vyberte Odhlásit se. Dále použijte přihlašovací údaje globálního správce adresáře s povoleným přihlášením Microsoft Entra ID P1 nebo P2 (P1 nebo P2).

Jakou verzi rolí identit podporuje Microsoft Entra Connect Health?

Následující tabulka uvádí role a podporované verze operačního systému.

Role Operační systém / verze
AD FS (Active Directory Federation Services)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Verze 1.0.9125 nebo novější
Služba Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Instalace jádra Windows Serveru se nepodporují.

Funkce poskytované službou se můžou lišit v závislosti na roli a operačním systému. Všechny funkce nemusí být dostupné pro všechny verze operačního systému. Podrobnosti najdete v popisech funkcí.

Kolik licencí potřebuji k monitorování infrastruktury?

  • První agent služby Connect Health vyžaduje alespoň jednu licenci Microsoft Entra P1 nebo P2.
  • Každý další registrovaný agent vyžaduje 25 dalších licencí Microsoft Entra P1 nebo P2.
  • Počet agentů odpovídá celkovému počtu agentů registrovaných napříč všemi monitorovanými rolemi (AD FS, Microsoft Entra Connect a/nebo AD DS).
  • Licencování služby Microsoft Entra Connect Health nevyžaduje přiřazení licence konkrétním uživatelům. Potřebujete jenom požadovaný počet platných licencí.

Informace o licencování najdete také na stránce s cenami Microsoft Entra.

Příklad:

Registrovaní agenti Potřebné licence Příklad konfigurace monitorování
1 1 1 Server Microsoft Entra Connect
2 26 1 Server Microsoft Entra Connect a 1 řadič domény
3 51 1 server Active Directory Federation Services (AD FS) (AD FS), 1 proxy server služby AD FS a 1 řadič domény
4 76 1 server služby AD FS, 1 proxy server služby AD FS a 2 řadiče domény
5 101 1 Server Microsoft Entra Connect, server 1 AD FS, 1 proxy server služby AD FS a 2 řadiče domény

Dotazy k instalaci

Aktualizuje se instalace agenta automaticky, když je k dispozici nová verze agenta?

Ano, všichni agenti se aktualizují automaticky, když je k dispozici nová verze agenta.

Můžu se odhlásit nebo zakázat automatický upgrade agenta?

Ne, automatický upgrade je povinný. Pokud nechcete, aby se agent při vydání nové verze upgradoval, měli byste agenta odinstalovat.

Jaký je dopad instalace agenta Microsoft Entra Connect Health na jednotlivé servery?

Dopad instalace agenta služby Microsoft Entra Connect Health, služby AD FS, proxy serverů webových aplikací, serverů Microsoft Entra Connect (synchronizace) a řadičů domény je minimální s ohledem na procesor, spotřebu paměti, šířku pásma sítě a úložiště.

Následující čísla představují aproximaci:

  • Spotřeba procesoru: zvýšení přibližně o 1–5 %.
  • Spotřeba paměti: Až 10 % celkové systémové paměti.

Poznámka:

Pokud agent nemůže komunikovat s Azure, agent ukládá data místně pro definovaný maximální limit. Agent přepíše data uložená v mezipaměti na základě "nejdéle obsluhované".

  • Místní úložiště vyrovnávací paměti pro agenty služby Microsoft Entra Connect Health: ~20 MB.
  • Pro servery SLUŽBY AD FS doporučujeme zřídit místo na disku 1 024 MB (1 GB) pro kanál auditu služby AD FS pro agenty služby Microsoft Entra Connect Health, abyste před přepsáním zpracovali všechna data auditu.

Budu muset restartovat servery během instalace agentů Služby Microsoft Entra Connect Health?

Ne. Instalace agentů nebude vyžadovat restartování serveru. Instalace některých požadovaných kroků ale může vyžadovat restartování serveru.

Například instalace rozhraní .NET 4.6.2 Framework může vyžadovat restartování serveru.

Funguje Microsoft Entra Connect Health prostřednictvím předávacího proxy serveru HTTP?

Ano. V případě probíhajících operací můžete agenta stavu nakonfigurovat tak, aby k předávání odchozích požadavků HTTP používal proxy server HTTP. Přečtěte si další informace o konfiguraci proxy serveru HTTP pro agenty stavu.

Pokud potřebujete nakonfigurovat proxy server během registrace agenta, možná budete muset předem upravit nastavení proxy aplikace Internet Explorer.

  1. Otevřete Nastavení Internet Exploreru >>Možnosti>síti LAN.
  2. Vyberte Použít proxy server pro síť LAN.
  3. Pokud máte pro HTTP a HTTPS/Secure jiné porty proxy serveru, vyberte Upřesnit .

Podporuje Microsoft Entra Connect Health základní ověřování při připojování k proxy serverům HTTP?

Ne. Mechanismus pro zadání libovolného uživatelského jména a hesla pro základní ověřování se v současné době nepodporuje.

Jaké porty brány firewall musím otevřít, aby fungoval agent Microsoft Entra Connect Health?

Seznamportůch

Proč se na portálu Microsoft Entra Connect Health zobrazují dva servery se stejným názvem?

Když z serveru odeberete agenta, server se automaticky neodebere z portálu Microsoft Entra Connect Health. Pokud ručně odeberete agenta ze serveru nebo odeberete samotný server, musíte položku serveru odstranit ručně z portálu Microsoft Entra Connect Health. Pokud chcete odstranit monitorované servery ze služby Microsoft Entra Connect Health, musíte mít oprávnění účtu globálního správce Microsoft Entra nebo roli Přispěvatel v řízení přístupu na základě role v Azure.

Můžete znovu vytvořit server nebo vytvořit nový server se stejnými podrobnostmi (jako je název počítače). Pokud jste již zaregistrovaný server neodebrali z portálu Microsoft Entra Connect Health a nainstalovali jste agenta na nový server, může se zobrazit dvě položky se stejným názvem.

V takovém případě ručně odstraňte položku, která patří ke staršímu serveru. Data pro tento server by měla být zahlcená.

Můžu na Windows Server Core nainstalovat agenta Microsoft Entra Connect Health?

Ne. Instalace na jádro serveru není podporovaná.

Proč je po instalaci služby Microsoft Entra Connect Sync s účtem s rolí Hybridní správce zakázaný agent Connect Health pro synchronizaci?

Abyste mohli nainstalovat službu Connect Health pro agenta synchronizace, musíte být globálním správcem. Pokud chcete agenta aktivovat, musíte agenta přeinstalovat pomocí účtu globálního správce.

Registrace agenta stavu a aktuálnost dat

Jaké jsou běžné důvody selhání registrace agenta stavu a jak řešit problémy?

Agent stavu se nemůže zaregistrovat z následujících možných důvodů:

  • Agent nemůže komunikovat s požadovanými koncovými body, protože brána firewall blokuje provoz. Tento problém je běžný na proxy serverech webových aplikací. Ujistěte se, že jste povolili odchozí komunikaci s požadovanými koncovými body a porty. Podrobnosti najdete v části Požadavky.
  • Odchozí komunikace podléhá kontrole protokolu TLS vrstvou sítě. To způsobí, že certifikát, který agent používá k nahrazení kontrolního serveru nebo entity, a kroky k dokončení registrace agenta selžou.
  • Uživatel nemůže provést registraci agenta. Globální správci můžou ve výchozím nastavení. K delegování přístupu jiným uživatelům můžete použít řízení přístupu na základě role v Azure (Azure RBAC ).

Zobrazuje se mi upozornění, že data služby Health Service nejsou aktuální. Návody problém vyřešit?

Microsoft Entra Connect Health vygeneruje výstrahu, když během posledních dvou hodin neobdrží všechny datové body ze serveru. Další informace.

Provozní otázky

Musím povolit auditování na proxy serverech webových aplikací?

Ne, auditování nemusí být povolené na proxy serverech webových aplikací.

Jak se vyřeší upozornění služby Microsoft Entra Connect Health?

Upozornění služby Microsoft Entra Connect Health se vyřešují v podmínce úspěchu. Agenti služby Microsoft Entra Connect Health pravidelně detekují a hlásí podmínky úspěchu služby. U několika upozornění je potlačení založené na čase. Jinými slovy, pokud se stejný chybový stav neodpozoruje do 72 hodin od generování upozornění, výstraha se automaticky vyřeší.

Zobrazuje se mi upozornění, že se nepodařilo získat token testem žádosti o ověření (syntetická transakce). Návody problém vyřešit?

Služba Microsoft Entra Connect Health pro službu AD FS vygeneruje tuto výstrahu, když agent stavu nainstalovaný na serveru služby AD FS nedokáže získat token jako součást syntetické transakce iniciované agentem health. Agent health používá kontext místního systému a pokusí se získat token pro předávající stranu. Toto chování je test catch-all, který zajistí, že služba AD FS je ve stavu vydávání tokenů.

Nejčastěji tento test selže, protože agent stavu nemůže přeložit název farmy služby AD FS. K tomuto stavu může dojít, pokud jsou servery SLUŽBY AD FS za nástroji pro vyrovnávání zatížení sítě a požadavek se zahájí z uzlu, který je za nástrojem pro vyrovnávání zatížení (na rozdíl od běžného klienta, který je před nástrojem pro vyrovnávání zatížení). Tento problém je možné vyřešit aktualizací souboru "hosts" umístěného v části C:\Windows\System32\drivers\etc tak, aby zahrnoval IP adresu serveru služby AD FS nebo IP adresu zpětné smyčky (127.0.0.1) pro název farmy služby AD FS (například sts.contoso.com). Přidání zkratek hostitelského souboru síťové volání, což agentu health umožňuje získat token.

Mám e-mail s oznámením, že moje počítače nejsou opravené pro nedávné útoky ransomware. Proč dostávám tenhle e-mail?

Služba Microsoft Entra Connect Health zkontrolovala všechny počítače, které monitoruje, aby se zajistilo, že byly nainstalovány požadované opravy. E-mail byl odeslán správcům tenanta, pokud alespoň jeden počítač neměl kritické opravy. K tomuto určení se použila následující logika.

  1. Vyhledejte všechny opravy hotfix nainstalované na počítači.
  2. Zkontrolujte, jestli existuje aspoň jedna z oprav hot fix z definovaného seznamu.
  3. Pokud ano, počítač je chráněný. Pokud ne, je počítač ohrožen útokem.

K provedení této kontroly můžete použít následující skript PowerShellu. Implementuje výše uvedenou logiku.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Proč rutina PowerShellu Get-MsolDirSyncProvisioningError ve výsledku zobrazuje méně chyb synchronizace?

Get-MsolDirSyncProvisioningError vrací pouze chyby zřizování nástroje DirSync. Portál Connect Health také zobrazuje další typy chyb synchronizace, jako jsou chyby exportu. Přečtěte si další informace o chybách synchronizace Microsoft Entra Connect.

Proč se negenerují audity služby AD FS?

Pomocí rutiny PowerShellu Get-AdfsProperties -AuditLevel ověřte, že protokoly auditu nejsou ve stavu zakázaného. Přečtěte si další informace o protokolech auditu služby AD FS. Všimněte si, že se na server SLUŽBY AD FS nasdílí nastavení auditu, všechny změny s auditpol.exe se přepíšou (událost, pokud není nakonfigurovaná aplikace generovaná). V takovém případě nastavte místní zásady zabezpečení tak, aby protokolovaly chyby generované aplikací a úspěch.

Kdy se certifikát agenta automaticky obnoví před vypršením platnosti?

Certifikace agenta se automaticky obnoví šest měsíců před datem vypršení platnosti. Pokud se neprodlouží, ujistěte se, že je síťové připojení agenta stabilní. Problém můžete vyřešit také restartováním služeb agenta nebo aktualizací na nejnovější verzi.