Bearbeiten

Freigeben über


Häufig gestellte Fragen zu Microsoft Entra Connect Health

Dieser Artikel enthält Antworten auf häufig gestellte Fragen zu Microsoft Entra Connect Health. Diese FAQs liefern Antworten zur Verwendung des Diensts, z.B. in Bezug auf das Abrechnungsmodell, Funktionen, Einschränkungen und den Support.

Allgemeine Fragen

Ich verwalte mehrere Microsoft Entra-Verzeichnisse. Wie kann ich zu dem Verzeichnis mit Microsoft Entra ID P1 oder P2 wechseln?

Sie können zwischen verschiedenen Microsoft Entra-Mandanten wechseln, indem Sie in der rechten oberen Ecke den derzeit angemeldeten Benutzernamen und dann das entsprechende Konto auswählen. Wenn das Konto hier nicht aufgeführt ist, wählen Sie Abmelden aus. Melden Sie sich dann mit Anmeldeinformationen der Rolle „Globaler Administrator“ des Verzeichnisses an, in dem Microsoft Entra ID P1 oder P2 (P1 oder P2) für die Anmeldung aktiviert ist.

Welche Version der Identitätsrollen wird von Microsoft Entra Connect Health unterstützt?

In der folgenden Tabelle werden die Rollen und unterstützten Betriebssystemversionen aufgelistet.

Role Betriebssystem/Version
Active Directory-Verbunddienste (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Version 1.0.9125 oder höher
Active Directory Domain Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Windows Server Core-Installationen werden nicht unterstützt.

Die vom Dienst bereitgestellten Funktionen können sich je nach Rolle und Betriebssystem unterscheiden. Möglicherweise sind nicht alle Funktionen für alle Betriebssystemversionen verfügbar. Näheres finden Sie in den Featurebeschreibungen für Details.

Wie viele Lizenzen benötige ich, um meine Infrastruktur zu überwachen?

  • Der erste Connect Health-Agent benötigt mindestens eine P1- oder -P2-Lizenz für Microsoft Entra.
  • Jeder zusätzliche registrierte Agent erfordert 25 weitere P1- oder -P2-Lizenzen für Microsoft Entra.
  • Die Anzahl der Agents entspricht der Gesamtanzahl der für alle überwachten Rollen registrierten Agents (AD FS, Microsoft Entra Connect und/oder AD DS).
  • Die Microsoft Entra Connect Health-Lizenzierung erfordert keine Zuweisung der Lizenz zu bestimmten Benutzer*innen. Sie müssen lediglich über die erforderliche Anzahl gültiger Lizenzen verfügen.

Lizenzierungsinformationen finden Sie auch auf der Preisseite zu Microsoft Entra.

Beispiel:

Registrierte Agents Benötigte Lizenzen Beispielüberwachungskonfiguration
1 1 1 Microsoft Entra Connect-Server
2 26 1 Microsoft Entra Connect-Server und 1 Domänencontroller
3 51 1 Server für Active Directory-Verbunddienste (AD FS), 1 AD FS-Proxy und 1 Domänencontroller
4 76 1 AD FS-Server, 1 AD FS-Proxy und 2 Domänencontroller
5 101 1 Microsoft Entra Connect-Server, 1 AD FS-Server, 1 AD FS-Proxy und 2 Domänencontroller

Fragen zur Installation

Wird meine Agent-Installation automatisch aktualisiert, wenn es eine neue Version des Agent gibt?

Ja, alle Agenten werden automatisch aktualisiert, wenn es eine neue Version des Agents gibt.

Kann ich das automatische Upgrade des Agenten ablehnen oder deaktivieren?

Nein, automatisches Upgrade ist obligatorisch. Wenn Sie nicht möchten, dass der Agent aktualisiert wird, wenn eine neue Version veröffentlicht wird, sollten Sie den Agent deinstallieren.

Wie wirkt sich die Installation des Microsoft Entra Connect Health-Agents auf die einzelnen Server aus?

Die Installation des Microsoft Entra Connect Health-Agents auf AD FS-Servern, Webanwendungs-Proxyservern, Microsoft Entra Connect-(Synchronisierungs-)Servern oder Domänencontrollern wirkt sich nur minimal auf CPU, Arbeitsspeichernutzung, Netzwerkbandbreite und Speicher aus.

Die folgenden Zahlen stellen eine Schätzung dar:

  • CPU-Auslastung: ~1–5 % Zunahme
  • Arbeitsspeichernutzung: Bis zu 10 % des insgesamt verfügbaren Systemarbeitsspeichers

Hinweis

Wenn der Agent nicht mit Azure kommunizieren kann, speichert der Agent die Daten bis zu einem definierten Höchstwert lokal. Dabei werden die zwischengespeicherten Daten zuerst überschrieben, deren Verwendung am längsten zurückliegt.

  • Lokaler Pufferspeicher für Microsoft Entra Connect Health-Agents: ca. 20 MB.
  • Für AD FS-Server wird empfohlen, 1.024 MB (1 GB) Festplattenspeicher für den AD FS-Überwachungskanal für Microsoft Entra Connect Health-Agents bereitzustellen, um sämtliche Überwachungsdaten zu verarbeiten, bevor sie überschrieben werden.

Muss ich meine Server während der Installation der Microsoft Entra Connect Health-Agents neu starten?

Nein. Die Installation der Agents erfordert keinen Serverneustart. Während der Installation einiger vorbereitender Schritte muss der Server jedoch möglicherweise neu gestartet werden.

Beispielsweise erfordert die Installation von .NET 4.6.2 Framework möglicherweise einen Serverneustart.

Nutzt Microsoft Entra Connect Health einen HTTP-Passthroughproxy?

Ja. Für laufende Vorgänge können Sie den Health-Agent zum Weiterleiten ausgehender HTTP-Anforderungen mithilfe eines HTTP-Proxys konfigurieren. Erfahren Sie mehr über das Konfigurieren des HTTP-Proxys für Health-Agents.

Wenn Sie während der Agent-Registrierung einen Proxy konfigurieren müssen, müssen Sie möglicherweise zuerst die Internet Explorer-Proxyeinstellungen ändern.

  1. Öffnen Sie Internet Explorer >Einstellungen>Internetoptionen>Verbindungen>LAN-Einstellungen.
  2. Wählen Sie Proxyserver für LAN verwenden aus.
  3. Wählen Sie Erweitert aus, falls Sie über unterschiedliche Proxyports für HTTP und HTTPS/Secure verfügen.

Unterstützt Microsoft Entra Connect Health die Standardauthentifizierung bei der Verbindung mit HTTP-Proxys?

Nein. Ein Mechanismus zum Angeben eines beliebigen Benutzernamens und Kennworts für die Basic-Authentifizierung wird derzeit nicht unterstützt.

Welche Firewallports muss ich öffnen, damit der Microsoft Entra Connect Health-Agent funktioniert?

Im Abschnitt Anforderungen finden Sie die Liste der Firewallports und andere Anforderungen an die Konnektivität.

Warum werden im Microsoft Entra Connect Health-Portal zwei Server mit demselben Namen angezeigt?

Wenn Sie einen Agent von einem Server entfernen, wird der Server nicht automatisch aus dem Microsoft Entra Connect Health-Portal entfernt. Wenn Sie einen Agent manuell von einem Server oder den Server selbst entfernen, müssen Sie den Servereintrag manuell aus dem Microsoft Entra Connect Health-Portal löschen. Um überwachte Server aus Microsoft Entra Connect Health zu löschen, müssen Sie entweder über globale Administratorberechtigungen für das Microsoft Entra-Konto oder über die Rolle „Mitwirkender“ in der rollenbasierten Zugriffssteuerung von Azure verfügen.

Sie können ein Reimaging für einen Server durchführen oder einen neuen Server mit den gleichen Daten (z.B. Computernamen) erstellen. Wenn Sie den bereits registrierten Server nicht aus dem Microsoft Entra Connect Health-Portal entfernt, aber den Agent auf dem neuen Server installiert haben, werden möglicherweise zwei Einträge mit demselben Namen angezeigt.

Löschen Sie in diesem Fall den Eintrag für den älteren Server manuell. Die Daten für diesen Server sollten veraltet sein.

Kann ich den Microsoft Entra Connect Health-Agent unter Windows Server Core installieren?

Nein. Die Installation auf Server Core wird nicht unterstützt.

Warum ist nach der Installation von Microsoft Entra Connect Sync mit einem Konto mit der Rolle „Hybrid Administrator“ der Connect Health for Sync Agent in den Diensten deaktiviert?

Um den Connect Health for Sync Agent zu installieren, müssen Sie ein globaler Administrator sein. Um den Agent zu aktivieren, müssen Sie den Agent mithilfe eines globalen Administratorkontos neu installieren.

Health-Agent-Registrierung und Datenaktualität

Was sind die häufigsten Gründe für Health-Agent-Registrierungsfehler, und wie werden sie behoben?

Bei der Registrierung des Health-Agents kann aus folgenden Gründen ein Fehler auftreten:

  • Der Agent kann nicht mit den erforderlichen Endpunkten kommunizieren, da der Datenverkehr durch eine Firewall blockiert wird. Dieses Problem tritt häufig auf Webanwendungs-Proxyservern auf. Stellen Sie sicher, dass Sie die ausgehende Kommunikation mit den erforderlichen Endpunkten und Ports zugelassen haben. Ausführliche Informationen finden Sie im Abschnitt Anforderungen.
  • Die ausgehende Kommunikation unterliegt einer TLS-Überprüfung durch die Vermittlungsschicht. Dies bewirkt, dass das vom Agent verwendete Zertifikat durch den Überprüfungsserver/die Überprüfungsentität ersetzt wird und nicht die Schritte zum Abschluss der Agent-Registrierung ausführt.
  • Der Benutzer kann die Registrierung des Agenten nicht durchführen. Globale Administratoren haben standardmäßig Zugriff. Sie können die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC) verwenden, um den Zugriff an andere Benutzer zu delegieren.

Ich werde gewarnt, dass „Gesundheitsdienstdaten nicht aktuell sind“. Wie kann ich das Problem beheben?

Diese Warnung wird von Microsoft Entra Connect Health generiert, wenn nicht alle Datenpunkte vom Server in den letzten zwei Stunden eingetroffen sind. Weitere Informationen.

Fragen zum Betrieb

Muss ich die Überwachung auf den Webanwendungsproxy-Servern aktivieren?

Nein, die Überwachung muss auf den Proxyservern der Webanwendung nicht aktiviert werden.

Wie werden Microsoft Entra Connect Health-Warnungen aufgelöst?

Microsoft Entra Connect Health-Warnungen-Warnungen werden basierend auf einer Erfolgsbedingung aufgelöst. Microsoft Entra Connect Health-Agenten erkennen und melden die Erfolgsbedingungen in regelmäßigen Abständen an den Dienst. Bei einigen Warnungen gilt eine zeitbasierte Unterdrückung. Mit anderen Worten, wenn dieselbe Fehlerbedingung nicht innerhalb von 72 Stunden nach Generierung der Warnung festgestellt wird, wird die Warnung automatisch behoben.

Ich habe die Meldung „Fehler der Testauthentifizierungsanforderungen (synthetischen Transaktionen) beim Abrufen eines Tokens“ erhalten. Wie kann ich das Problem beheben?

Microsoft Entra Connect Health für AD FS generiert diese Warnung, wenn der auf einem AD FS-Server installierte Health-Agent im Rahmen einer synthetischen Transaktion, die vom Health-Agent ausgelöst wurde, kein Token abrufen kann. Der Integritäts-Agent verwendet den Kontext des lokalen Systems und versucht, ein Token für eine sich selbst vertrauende Seite abzurufen. Dieses Verhalten ist ein Catch-all-Test, um sicherzustellen, dass sich AD FS in einem Status zum Ausstellen von Token befindet.

Dieser Test schlägt meistens fehl, weil der Integritäts-Agent den Namen der AD FS-Farm nicht auflösen kann. Dieser Zustand kann auftreten, wenn sich die AD FS-Server hinter einem Netzwerklastenausgleich befinden und die Anforderung von einem Knoten initiiert wird, der sich hinter dem Lastenausgleich befindet (im Gegensatz zu einem normalen Client, der sich vor dem Lastenausgleich befindet). Dieses Problem kann behoben werden, indem die Datei „hosts“ unter C:\Windows\System32\drivers\etc so aktualisiert wird, dass sie die IP-Adresse des AD FS-Servers oder eine Loopback-IP-Adresse (127.0.0.1) für den AD FS-Farmnamen (wie sts.contoso.com) enthält. Das Hinzufügen der Hostdatei verursacht einen Kurzschluss im Netzwerksaufruf, sodass der Integritäts-Agent das Token abrufen darf.

Ich habe eine E-Mail mit dem Hinweis erhalten, dass meine Computer NICHT für die aktuellen Ransomewareangriffe gepatcht wurden. Warum habe ich diese E-Mail erhalten?

Der Microsoft Entra Connect Health-Dienst hat alle von ihm überwachten Computer überprüft, um sicherzustellen, dass die erforderlichen Patches installiert wurden. Die E-Mail wurde an die Mandantenadministratoren gesendet, wenn auf mindestens einem Computer nicht kritische Patches vorhanden waren. Die folgende Logik wurde verwendet, um diese Entscheidung zu treffen.

  1. Suchen Sie alle auf dem Computer installierten Hotfixes.
  2. Überprüfen Sie, ob mindestens eines der Hotfixes aus der definierten Liste vorhanden ist.
  3. Falls dem so ist, wird der Computer geschützt. Wenn nicht, besteht für den Computer das Risiko eines Angriffs.

Sie können diese Überprüfung mithilfe des folgenden PowerShell-Skripts manuell durchführen. Es implementiert die oben genannten Logik.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Warum zeigt das PowerShell-Cmdlet „Get-MsolDirSyncProvisioningError“ weniger Synchronisierungsfehler im Ergebnis an?

Get-MsolDirSyncProvisioningError gibt nur Bereitstellungsfehler vom Typ „DirSync“ zurück. Das Connect Health-Portal zeigt auch andere Synchronisierungsfehlertypen wie Exportfehler an. Erfahren Sie mehr über Microsoft Entra Connect-Synchronisierungsfehler.

Warum werden meine AD FS-Überwachungen nicht generiert?

Bitte verwenden Sie das PowerShell-Cmdlet Get-AdfsProperties -AuditLevel um sicherzustellen, dass Überwachungsprotokolle nicht im deaktivierten Zustand sind. Weitere Informationen zu Active Directory Verbunddienste (ADFS)-Überwachungsprotokollen finden Sie hier. Beachten Sie, dass, wenn Überwachungseinstellungen an den AD FS-Server übertragen werden, alle Änderungen mit „auditpol.exe“ überschrieben werden (Ereignis, wenn „Anwendung generiert“ nicht konfiguriert ist). Stellen Sie in diesem Fall die lokale Sicherheitsrichtlinie so ein, dass von der Anwendung generierte Fehler und Erfolge protokolliert werden.

Wann wird das Agent-Zertifikat vor dem Ablauf automatisch verlängert?

Die Agentenzertifizierung wird 6 Monate vor Ablauf automatisch verlängert. Wenn es nicht erneuert wird, stellen Sie sicher, dass die Netzwerkverbindung des Agenten stabil ist. Ein Neustart der Agent-Dienste oder ein Update auf die neueste Version löst das Problem möglicherweise auch.