Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące programu Microsoft Entra Connect Health. Te często zadawane pytania dotyczą sposobu korzystania z usługi, w tym modelu rozliczeń, możliwości, ograniczeń i pomocy technicznej.
Pytania ogólne
Zarządzam wieloma katalogami firmy Microsoft Entra. Jak mogę przełączyć się na ten, który ma identyfikator Microsoft Entra ID P1 lub P2?
Aby przełączyć się między różnymi dzierżawami firmy Microsoft Entra, wybierz aktualnie zalogowaną nazwę użytkownika w prawym górnym rogu, a następnie wybierz odpowiednie konto. Jeśli konto nie znajduje się na liście, wybierz pozycję Wyloguj się. Następnie użyj poświadczeń administratora globalnego katalogu z włączonym identyfikatorem Microsoft Entra ID P1 lub P2 (P1 lub P2), aby się zalogować.
Jaka wersja ról tożsamości jest obsługiwana przez program Microsoft Entra Connect Health?
W poniższej tabeli wymieniono role i obsługiwane wersje systemu operacyjnego.
| Rola | System operacyjny/wersja |
|---|---|
| Usługi federacyjne Active Directory (AD FS) |
|
| Microsoft Entra Connect | Wersja 1.0.9125 lub nowsza |
| Active Directory Domain Services (AD DS) |
|
Instalacje systemu Windows Server Core nie są obsługiwane.
Funkcje udostępniane przez usługę mogą się różnić w zależności od roli i systemu operacyjnego. Wszystkie funkcje mogą być niedostępne dla wszystkich wersji systemu operacyjnego. Aby uzyskać szczegółowe informacje, zobacz opisy funkcji.
Ile licencji muszę monitorować moją infrastrukturę?
- Pierwszy agent programu Connect Health wymaga co najmniej jednej licencji microsoft Entra P1 lub P2.
- Każdy dodatkowy zarejestrowany agent wymaga 25 kolejnych licencji firmy Microsoft Entra P1 lub P2.
- Liczba agentów jest równoważna całkowitej liczbie agentów zarejestrowanych we wszystkich monitorowanych rolach (AD FS, Microsoft Entra Connect i/lub AD DS).
- Licencjonowanie programu Microsoft Entra Connect Health nie wymaga przypisania licencji do określonych użytkowników. Wymagana jest tylko wymagana liczba prawidłowych licencji.
Informacje o licencjonowaniu znajdują się również na stronie cennika firmy Microsoft Entra.
Przykład:
| Zarejestrowani agenci | Wymagane licencje | Przykładowa konfiguracja monitorowania |
|---|---|---|
| 1 | 1 | 1 Serwer Microsoft Entra Connect |
| 2 | 26 | 1 Serwer Microsoft Entra Connect i 1 kontroler domeny |
| 3 | 51 | 1 serwer usług Active Directory Federation Services (AD FS), 1 serwer proxy usług AD FS i 1 kontroler domeny |
| 100 | 76 | 1 serwer usług AD FS, 1 serwer proxy usług AD FS i 2 kontrolery domeny |
| 5 | 101 | 1 Serwer Microsoft Entra Connect, 1 serwer usług AD FS, 1 serwer proxy usług AD FS i 2 kontrolery domeny |
Pytania dotyczące instalacji
Czy instalacja agenta jest aktualizowana automatycznie, gdy istnieje nowa wersja agenta?
Tak, wszyscy agenci zostaną automatycznie zaktualizowani po utworzeniu nowej wersji agenta.
Czy mogę zrezygnować lub wyłączyć automatyczne uaktualnianie agenta?
Nie, automatyczne uaktualnianie jest obowiązkowe. Jeśli nie chcesz, aby agent został uaktualniony po wydaniu nowej wersji, należy odinstalować agenta.
Jaki jest wpływ instalowania agenta programu Microsoft Entra Connect Health na poszczególnych serwerach?
Wpływ instalowania agenta programu Microsoft Entra Connect Health, usług AD FS, serwerów proxy aplikacji internetowych, serwerów microsoft Entra Connect (synchronizacja), kontrolery domeny są minimalne w odniesieniu do procesora CPU, zużycia pamięci, przepustowości sieci i magazynu.
Poniżej przedstawiono przybliżenie liczb:
- Użycie procesora CPU: wzrost o ok. 1–5%.
- Zużycie pamięci: do 10 % całkowitej pamięci systemowej.
Uwaga
Jeśli agent nie może komunikować się z platformą Azure, agent przechowuje dane lokalnie dla zdefiniowanego maksymalnego limitu. Agent zastępuje dane "buforowane" co najmniej ostatnio obsługiwane.
- Magazyn buforu lokalnego dla agentów programu Microsoft Entra Connect Health: ~20 MB.
- W przypadku serwerów usług AD FS zalecamy aprowizację miejsca na dysku o rozmiarze 1024 MB (1 GB) dla kanału inspekcji usług AD FS dla agentów programu Microsoft Entra Connect Health w celu przetworzenia wszystkich danych inspekcji przed jego zastąpieniem.
Czy podczas instalacji agentów programu Microsoft Entra Connect Health muszę ponownie uruchomić serwery?
L.p. Instalacja agentów nie będzie wymagać ponownego uruchomienia serwera. Jednak instalacja niektórych kroków wymagań wstępnych może wymagać ponownego uruchomienia serwera.
Na przykład instalacja programu .NET 4.6.2 Framework może wymagać ponownego uruchomienia serwera.
Czy program Microsoft Entra Connect Health działa za pośrednictwem przekazywanego serwera proxy HTTP?
Tak. W przypadku bieżących operacji można skonfigurować agenta kondycji tak, aby używał serwera proxy HTTP do przekazywania wychodzących żądań HTTP. Przeczytaj więcej na temat konfigurowania serwera proxy HTTP dla agentów kondycji.
Jeśli musisz skonfigurować serwer proxy podczas rejestracji agenta, może być konieczne wcześniejsze zmodyfikowanie ustawień serwera proxy programu Internet Explorer.
- Otwórz ustawienia>programu Internet Explorer> Ustawienia opcji>>internetowych Ustawienia sieci LAN.
- Wybierz pozycję Użyj serwera proxy dla sieci LAN.
- Wybierz pozycję Zaawansowane , jeśli masz różne porty serwera proxy dla protokołów HTTP i HTTPS/Secure.
Czy program Microsoft Entra Connect Health obsługuje uwierzytelnianie podstawowe podczas nawiązywania połączenia z serwerami proxy HTTP?
L.p. Mechanizm określania dowolnej nazwy użytkownika i hasła dla uwierzytelniania podstawowego nie jest obecnie obsługiwany.
Jakie porty zapory muszę otworzyć, aby agent programu Microsoft Entra Connect Health działał?
Zapoznaj się z sekcją wymagań, aby zapoznać się z listą portów zapory i innymi wymaganiami dotyczącymi łączności.
Dlaczego w portalu Microsoft Entra Connect Health są widoczne dwa serwery o tej samej nazwie?
Po usunięciu agenta z serwera serwer nie zostanie automatycznie usunięty z portalu Microsoft Entra Connect Health. Jeśli ręcznie usuniesz agenta z serwera lub usuniesz sam serwer, musisz ręcznie usunąć wpis serwera z portalu Microsoft Entra Connect Health. Aby usunąć monitorowane serwery z programu Microsoft Entra Connect Health, musisz mieć uprawnienia konta administratora globalnego firmy Microsoft lub rolę Współautor w kontroli dostępu opartej na rolach platformy Azure.
Możesz odtworzyć obraz serwera lub utworzyć nowy serwer z tymi samymi szczegółami (takimi jak nazwa maszyny). Jeśli nie usunięto jeszcze zarejestrowanego serwera z portalu Microsoft Entra Connect Health i zainstalowano agenta na nowym serwerze, mogą zostać wyświetlone dwa wpisy o tej samej nazwie.
W takim przypadku ręcznie usuń wpis należący do starszego serwera. Dane dla tego serwera powinny być nieaktualne.
Czy mogę zainstalować agenta Microsoft Entra Connect Health w systemie Windows Server Core?
L.p. Instalacja na serwerze Server Core nie jest obsługiwana.
Po zainstalowaniu programu Microsoft Entra Connect Sync z kontem, które ma rolę administratora hybrydowego, dlaczego program Connect Health dla agenta synchronizacji jest wyłączony w usługach?
Aby zainstalować program Connect Health dla agenta synchronizacji, musisz być administratorem globalnym. Aby aktywować agenta, należy ponownie zainstalować agenta przy użyciu konta administratora globalnego.
Rejestracja agenta kondycji i świeżość danych
Jakie są typowe przyczyny niepowodzeń rejestracji agenta kondycji i jak rozwiązywać problemy?
Agent kondycji może nie zarejestrować się z następujących możliwych powodów:
- Agent nie może komunikować się z wymaganymi punktami końcowymi, ponieważ zapora blokuje ruch. Ten problem jest typowy na serwerach proxy aplikacji internetowej. Upewnij się, że zezwalasz na komunikację wychodzącą z wymaganymi punktami końcowymi i portami. Zobacz sekcję dotyczącą wymagań, aby uzyskać szczegółowe informacje.
- Komunikacja wychodząca jest poddawana inspekcji protokołu TLS przez warstwę sieciową. Powoduje to zastąpienie certyfikatu używanego przez agenta przez serwer inspekcji/jednostkę, a kroki ukończenia rejestracji agenta kończą się niepowodzeniem.
- Użytkownik nie może wykonać rejestracji agenta. Administratorzy globalni mogą domyślnie. Aby delegować dostęp do innych użytkowników, możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Otrzymuję alert, że "Usługa kondycji dane nie są aktualne". Jak mogę rozwiązać problem?
Program Microsoft Entra Connect Health generuje alert, gdy nie odbiera wszystkich punktów danych z serwera w ciągu ostatnich dwóch godzin. Dowiedz się więcej.
Pytania dotyczące operacji
Czy muszę włączyć inspekcję na serwerach proxy aplikacji internetowej?
Nie, inspekcja nie musi być włączona na serwerach proxy aplikacji internetowej.
Jak są rozwiązywane alerty programu Microsoft Entra Connect Health?
Alerty programu Microsoft Entra Connect Health są rozwiązywane w warunku powodzenia. Agenci programu Microsoft Entra Connect Health okresowo wykrywają i zgłaszają warunki powodzenia w usłudze. W przypadku kilku alertów pomijanie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.
Otrzymuję alert, że "Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu". Jak mogę rozwiązać problem?
Program Microsoft Entra Connect Health dla usług AD FS generuje ten alert, gdy agent kondycji zainstalowany na serwerze usług AD FS nie może uzyskać tokenu w ramach syntetycznej transakcji zainicjowanej przez agenta kondycji. Agent kondycji używa lokalnego kontekstu systemu i próbuje uzyskać token dla jednostki uzależnionej. To zachowanie jest testem catch-all, aby upewnić się, że usługi AD FS są w stanie tokenów wystawiających.
Najczęściej ten test kończy się niepowodzeniem, ponieważ agent kondycji nie może rozpoznać nazwy farmy usług AD FS. Ten stan może wystąpić, jeśli serwery usług AD FS znajdują się za modułami równoważenia obciążenia sieciowego, a żądanie zostanie zainicjowane z węzła, który znajduje się za modułem równoważenia obciążenia (w przeciwieństwie do zwykłego klienta, który znajduje się przed modułem równoważenia obciążenia). Ten problem można rozwiązać, aktualizując plik "hosts" znajdujący się w obszarze C:\Windows\System32\drivers\etc w celu uwzględnienia adresu IP serwera usług AD FS lub adresu IP sprzężenia zwrotnego () dla nazwy farmy usług AD FS (127.0.0.1na przykład sts.contoso.com). Dodanie pliku hosta spowoduje zwarcie wywołania sieciowego, co umożliwi agentowi kondycji pobranie tokenu.
Mam wiadomość e-mail z informacją, że moje maszyny nie są poprawiane w przypadku ostatnich ataków wymuszającego okup. Dlaczego otrzymuję tę wiadomość e-mail?
Usługa Microsoft Entra Connect Health przeskanowała wszystkie monitorowane maszyny, aby upewnić się, że zainstalowano wymagane poprawki. Wiadomość e-mail została wysłana do administratorów dzierżawy, jeśli co najmniej jedna maszyna nie ma poprawek krytycznych. Następująca logika została użyta do ustalenia tej decyzji.
- Znajdź wszystkie poprawki zainstalowane na maszynie.
- Sprawdź, czy istnieje co najmniej jeden z hotfixes ze zdefiniowanej listy.
- Jeśli tak, maszyna jest chroniona. Jeśli nie, maszyna jest zagrożona atakiem.
Aby wykonać to sprawdzanie ręcznie, możesz użyć następującego skryptu programu PowerShell. Implementuje on powyższą logikę.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Dlaczego polecenie cmdlet programu PowerShell "Get-MsolDirSyncProvisioningError" pokazuje mniej błędów synchronizacji w wyniku?
Polecenie Get-MsolDirSyncProvisioningError zwróci tylko błędy aprowizacji narzędzia DirSync. Portal Connect Health pokazuje również inne typy błędów synchronizacji, takie jak błędy eksportu. Dowiedz się więcej o błędach synchronizacji programu Microsoft Entra Connect.
Dlaczego moje inspekcje usług AD FS nie są generowane?
Użyj polecenia cmdlet programu PowerShell Get-AdfsProperties -AuditLevel , aby upewnić się, że dzienniki inspekcji nie są w stanie wyłączonym. Przeczytaj więcej na temat dzienników inspekcji usług AD FS. Zwróć uwagę, że istnieją ustawienia inspekcji wypychane do serwera usług AD FS, wszelkie zmiany z auditpol.exe zostaną zastąpione (zdarzenie, jeśli aplikacja wygenerowana nie jest skonfigurowana). W takim przypadku ustaw lokalne zasady zabezpieczeń, aby rejestrować błędy wygenerowane przez aplikację i powodzenie.
Kiedy certyfikat agenta zostanie automatycznie odnowiony przed wygaśnięciem?
Certyfikacja agenta zostanie automatycznie odnowiona sześć miesięcy przed datą wygaśnięcia. Jeśli nie zostanie odnowiona, upewnij się, że połączenie sieciowe agenta jest stabilne. Ponowne uruchomienie usług agenta lub aktualizacja do najnowszej wersji może również rozwiązać problem.
Pokrewne łącza
- Microsoft Entra Connect Health
- Instalacja agenta programu Microsoft Entra Connect Health
- Operacje programu Microsoft Entra Connect Health
- Używanie programu Microsoft Entra Connect Health z usługami AD FS
- Używanie programu Microsoft Entra Connect Health do celów synchronizacji
- Używanie programu Microsoft Entra Connect Health z usługami AD DS
- Historia wersji programu Microsoft Entra Connect Health