Часто задаваемые вопросы о работоспособности Microsoft Entra Connect

Эта статья содержит ответы на часто задаваемые вопросы о Microsoft Entra Connect Health. Здесь представлены сведения об использовании службы, в частности о модели выставления счетов, возможностях, ограничениях и поддержке.

Общие вопросы

Я управляю несколькими каталогами Microsoft Entra. Разделы справки переключиться на тот, который имеет идентификатор Microsoft Entra ID P1 или P2?

Чтобы переключиться между разными клиентами Microsoft Entra, выберите имя пользователя, вошедшего в систему, в правом верхнем углу и выберите соответствующую учетную запись. Если учетная запись не указана здесь, нажмите кнопку "Выйти". Затем используйте учетные данные глобального администратора каталога с включенным идентификатором Microsoft Entra ID P1 или P2 (P1 или P2).

Какая версия ролей удостоверений поддерживает microsoft Entra Connect Health?

В следующей таблице перечислены роли и поддерживаемые версии операционной системы.

Роль Версия операционной системы
Службы федерации Active Directory (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016 
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Версия 1.0.9125 или более поздняя
Доменные службы Active Directory (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016 
  • Windows Server 2019
  • Windows Server 2022

Установки Windows Server Core не поддерживаются.

Обратите внимание, что функции, предоставляемые службой, могут отличаться в зависимости от роли и операционной системы. Не для всех версий операционной системы могут быть доступны все возможности. Ознакомьтесь с описанием функций, чтобы получить дополнительные сведения.

Сколько лицензий требуется для мониторинга инфраструктуры?

  • Для первого агента работоспособности Connect требуется по крайней мере одна лицензия Microsoft Entra P1 или P2.
  • Для каждого дополнительного зарегистрированного агента требуется 25 лицензий Microsoft Entra P1 или P2.
  • Число агентов эквивалентно общему количеству агентов, зарегистрированных во всех отслеживаемых ролях (AD FS, Microsoft Entra Connect и /или AD DS).
  • Лицензирование Microsoft Entra Connect Health не требует назначения лицензии определенным пользователям. Вам потребуется только необходимое количество допустимых лицензий.

Сведения о лицензировании также находятся на странице ценообразования Microsoft Entra.

Пример:

Зарегистрированные агенты Необходимые лицензии Пример конфигурации мониторинга
1 1 1 Сервер Microsoft Entra Connect
2 26 1 Сервер Microsoft Entra Connect и 1 контроллер домена
3 51 1 сервер служб федерации Active Directory (AD FS), 1 прокси-сервер AD FS и 1 контроллер домена
4 76 1 сервер AD FS, 1 прокси-сервер AD FS и 2 контроллера домена
5 101 1 Сервер Microsoft Entra Connect, 1 сервер AD FS, 1 прокси-сервер AD FS и 2 контроллера домена

Вопросы, связанные с установкой

Будет ли автоматически обновляться установка агента при наличии новой версии агента?

Да, все агенты обновляются автоматически при наличии новой версии агента.

Можно ли отказаться от автоматического обновления агента или отключить его?

Нет, автоматическое обновление является обязательным. Если вы не хотите, чтобы агент обновлялся при выпуске новой версии, необходимо удалить агент.

Что влияет на установку агента работоспособности Microsoft Entra Connect на отдельных серверах?

Влияние установки агента работоспособности Microsoft Entra Connect, AD FS, прокси-серверов веб-приложений, серверов Microsoft Entra Connect (синхронизации) и контроллеров домена минимально в отношении ЦП, потребления памяти, пропускной способности сети и хранилища.

Следующие значения являются приблизительными:

  • Загрузка ЦП: увеличение примерно на 1–5 %.
  • Потребление памяти: до 10 % от общего объема системной памяти.

Примечание.

Если агент не может взаимодействовать с Azure, агент сохраняет данные локально для определенного максимального предела. Агент записывает данные поверх кэшированных по принципу давности обслуживания.

  • Локальное хранилище буфера для агентов работоспособности Microsoft Entra Connect: ~20 МБ.
  • Для серверов AD FS рекомендуется подготовить дисковое пространство размером 1024 МБ (1 ГБ) для канала аудита AD FS для агентов работоспособности Microsoft Entra Connect, чтобы обработать все данные аудита перед перезаписью.

Нужно ли перезагрузить мои серверы во время установки агентов работоспособности Microsoft Entra Connect?

№ Установка агентов не требует перезагрузки сервера. Однако при установке некоторых необходимых компонентов она может потребоваться.

Например, для установки .NET 4.6.2 Framework может потребоваться перезагрузка сервера.

Работает ли Microsoft Entra Connect Health через сквозной прокси-сервер HTTP?

Да. Для текущих операций можно настроить агент работоспособности, чтобы пересылать исходящие HTTP-запросы, используя прокси-сервер HTTP. Узнайте больше о настройке прокси-сервера HTTP для агентов работоспособности.

Если необходимо настроить прокси-сервер во время регистрации агента, следует заранее изменить параметры прокси-сервера для Internet Explorer.

  1. Откройте Internet Explorer и последовательно выберите >Сервис>Свойства браузера>Подключения>Настройка параметров локальной сети.
  2. Установите флажок Использовать прокси-сервер для локальной сети.
  3. Выберите Дополнительно, если для HTTP и HTTPS используются различные порты прокси-сервера.

Поддерживает ли Microsoft Entra Connect Health обычную проверку подлинности при подключении к прокси-серверам HTTP?

№ Сейчас механизм указания произвольного имени пользователя и пароля для обычной проверки подлинности не поддерживается.

Какие порты брандмауэра необходимо открыть для работы агента работоспособности Microsoft Entra Connect?

В разделе Требования перечислены порты брандмауэра и другие требования к подключению.

Почему на портале Microsoft Entra Connect Health отображаются два сервера с одинаковым именем?

При удалении агента с сервера сервер не удаляется автоматически с портала Microsoft Entra Connect Health. Если вы вручную удалите агент с сервера или удалите сам сервер, необходимо вручную удалить запись сервера на портале Microsoft Entra Connect Health. Чтобы удалить отслеживаемые серверы из Microsoft Entra Connect Health, необходимо иметь разрешения учетной записи глобального администратора Microsoft Entra или роль участника в управлении доступом на основе ролей Azure.

Можно пересоздать образ сервера или создать новый сервер, указав те же сведения (например, имя компьютера). Если вы не удалили уже зарегистрированный сервер с портала Microsoft Entra Connect Health и установили агент на новом сервере, вы можете увидеть две записи с одинаковым именем.

В этом случае вручную удалите запись, которая относится к старому серверу. Данные для этого сервера устарели.

Можно ли установить агент Работоспособности Microsoft Entra Connect в Windows Server Core?

№ Установка на Server Core не поддерживается.

После установки Службы синхронизации Microsoft Entra Connect с учетной записью, которая имеет роль гибридного администратора, почему агент connect Health for Sync Agent отключен в службах?

Чтобы установить агент синхронизации Connect Health для агента синхронизации, необходимо быть глобальным администратором. Чтобы активировать агент, необходимо переустановить агент с помощью учетной записи глобального администратора.

Регистрация агента работоспособности и актуальность данных

Каковы общие причины сбоев при регистрации агента работоспособности и как их устранить?

Ниже перечислены возможные причины, по которым регистрация агента работоспособности может завершиться сбоем:

  • Агент не может взаимодействовать с необходимыми конечными точками, так как брандмауэр блокирует трафик. Это особенно часто происходит на прокси-серверах веб-приложений. Убедитесь, что вы разрешили исходящее подключение к необходимым конечным точкам и портам. Дополнительные сведения см. в разделе Требования.
  • Исходящие подключения проверяются протоколом TLS на сетевом уровне. В результате сертификат, используемый агентом, заменяется проверяющим сервером или сущностью, что приводит к ошибке регистрации агента.
  • Пользователь не может выполнить регистрацию агента. Глобальные администраторы могут по умолчанию. Можно использовать управление доступом на основе ролей Azure (Azure RBAC) и делегировать доступ другим пользователям.

Я получаю оповещение о том, что "служба работоспособности данные не актуальны". Как решить эту проблему?

Microsoft Entra Connect Health создает оповещение, если он не получает все точки данных с сервера за последние два часа. Дополнительные сведения

Вопросы, связанные с работой

Нужно ли включать аудит прокси-серверов веб-приложений?

Нет, включать аудит на прокси-серверах веб-приложений не требуется.

Как разрешить оповещения работоспособности Microsoft Entra Connect?

Оповещения о работоспособности Microsoft Entra Connect разрешаются при условии успешности. Агенты работоспособности Microsoft Entra Connect обнаруживают и сообщают о условиях успешности в службу периодически. Для нескольких оповещений подавление осуществляется на основе времени. Иными словами, если одно и то же условие ошибки не наблюдается в течение 72 часов с момента создания оповещения, оповещение разрешается автоматически.

Я получаю оповещение о том, что "Запрос проверки подлинности (синтетическая транзакция) не удалось получить маркер". Как решить эту проблему?

Microsoft Entra Connect Health для AD FS создает это оповещение, когда агент работоспособности, установленный на сервере AD FS, не может получить маркер в рамках искусственной транзакции, инициированной агентом работоспособности. Агент работоспособности использует контекст локальной системы и пытается получить токен для самопроверяющей стороны. Это всеобъемлющая проверка, которая проверяет, находится ли AD FS в состоянии выдачи токенов.

Чаще всего происходит сбой этой проверки, так как агенту работоспособности не удается разрешить имя фермы AD FS. Это может происходить, если серверы AD FS находятся за балансировщиками нагрузки сети, и запрос инициируется из узла за балансировщиком нагрузки (в отличие от регулярного клиента, который находится перед балансировщиком нагрузки). Эту проблему можно устранить, обновив файл hosts, расположенный в разделе C:\Windows\System32\drivers\etc , чтобы включить IP-адрес сервера AD FS или IP-адрес обратного цикла (127.0.0.1) для имени фермы AD FS (например sts.contoso.com). Добавление короткого сетевого вызова файла узла, что позволяет агенту работоспособности получить маркер.

Мне пришло письмо о том, что на моих компьютерах НЕ установлено исправление для защиты от новейших атак программ-вымогателей. Почему мне пришло это письмо?

Служба Microsoft Entra Connect Health проверила все компьютеры, которые он отслеживает, чтобы убедиться, что установлены необходимые исправления. Сообщение электронной почты было отправлено администраторам клиента, если по крайней мере один компьютер не имеет критически важных исправлений. Для определения этого использовалась следующая логика.

  1. Найти все исправления, установленные на компьютере.
  2. Проверить, присутствует ли хотя бы одно исправление в списке.
  3. Если да, компьютер защищен. Если нет, компьютер находится под угрозой атаки.

Вы можете использовать следующий сценарий PowerShell, чтобы выполнить проверку вручную. Она реализует указанную выше логику.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Почему командлет PowerShell Get-MsolDirSyncProvisioningError показывает меньше ошибок синхронизации в результате?

Get-MsolDirSyncProvisioningError возвращает только ошибки подготовки DirSync. Кроме этого, портал Connect Health также показывает другие типы ошибок синхронизации, такие как ошибки экспорта. Дополнительные сведения об ошибках синхронизации Microsoft Entra Connect.

Почему не создаются журналы аудита ADFS?

Убедитесь, что журналы аудита не отключены, с помощью командлета PowerShell Get-AdfsProperties -AuditLevel. Подробнее о журналах аудита AD FS. Обратите внимание, что есть параметры аудита, отправленные на сервер AD FS, все изменения с auditpol.exe перезаписываются (событие, если создано приложение не настроено). В этом случае настройте локальную политику безопасности для ведения журнала сбоев и успешных выполнений созданного приложения.

Когда сертификат агента будет автоматически продлен до окончания срока действия?

Сертификация агента автоматически обновляется шесть месяцев до истечения срока действия. Если он не продлевается, убедитесь, что сетевое подключение агента стабильно. Кроме того, можно перезапустить службы агента или выполнить обновление до последней версии.