Redigera

Dela via


Vanliga frågor och svar om Microsoft Entra Connect Health

Den här artikeln innehåller svar på vanliga frågor och svar om Microsoft Entra Connect Health. De här vanliga frågorna beskriver frågor om hur du använder tjänsten, som omfattar faktureringsmodellen, funktioner, begränsningar och support.

Allmänna frågor

Jag hanterar flera Microsoft Entra-kataloger. Hur gör jag för att växla till den som har Microsoft Entra ID P1 eller P2?

Om du vill växla mellan olika Microsoft Entra-klienter väljer du det inloggade användarnamnet i det övre högra hörnet och väljer sedan lämpligt konto. Om kontot inte visas här väljer du Logga ut. Använd sedan autentiseringsuppgifterna global administratör för katalogen som har Microsoft Entra ID P1 eller P2 (P1 eller P2) aktiverat för att logga in.

Vilken version av identitetsroller stöds av Microsoft Entra Connect Health?

I följande tabell visas roller och operativsystemversioner som stöds.

Roll Operativsystem/version
Active Directory Federation Services (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect Version 1.0.9125 eller senare
Active Directory-domän Services (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

Windows Server Core-installationer stöds inte.

Funktionerna som tillhandahålls av tjänsten kan skilja sig beroende på rollen och operativsystemet. Alla funktioner kanske inte är tillgängliga för alla operativsystemversioner. Mer information finns i funktionsbeskrivningarna.

Hur många licenser behöver jag för att övervaka min infrastruktur?

  • Den första Connect Health-agenten kräver minst en Microsoft Entra P1- eller P2-licens.
  • Varje ytterligare registrerad agent kräver ytterligare 25 Microsoft Entra P1- eller P2-licenser.
  • Antalet agenter motsvarar det totala antalet agenter som är registrerade för alla övervakade roller (AD FS, Microsoft Entra Connect och/eller AD DS).
  • Microsoft Entra Connect Health-licensiering kräver inte att du tilldelar licensen till specifika användare. Du behöver bara ha det nödvändiga antalet giltiga licenser.

Licensieringsinformation finns också på prissättningssidan för Microsoft Entra.

Exempel:

Registrerade agenter Licenser som behövs Exempel på övervakningskonfiguration
1 1 1 Microsoft Entra Connect-server
2 26 1 Microsoft Entra Connect-server och 1 domänkontrollant
3 51 1 Active Directory Federation Services (AD FS) server (AD FS), 1 AD FS-proxy och 1 domänkontrollant
4 76 1 AD FS-server, 1 AD FS-proxy och 2 domänkontrollanter
5 101 1 Microsoft Entra Connect-server, 1 AD FS-server, 1 AD FS-proxy och 2 domänkontrollanter

Installationsfrågor

Uppdateras min agentinstallation automatiskt när det finns en ny version av agenten?

Ja, alla agenter uppdateras automatiskt när det finns en ny version av agenten.

Kan jag välja bort eller inaktivera automatisk uppgradering av agenten?

Nej, automatisk uppgradering är obligatorisk. Om du inte vill att agenten ska uppgraderas när en ny version släpps bör du avinstallera agenten.

Vad är effekten av att installera Microsoft Entra Connect Health Agent på enskilda servrar?

Effekten av att installera Microsoft Entra Connect Health Agent, AD FS, webbprogramproxyservrar, Microsoft Entra Connect-servrar (synkronisering), domänkontrollanter är minimal när det gäller PROCESSOR, minnesförbrukning, nätverksbandbredd och lagring.

Följande tal är en uppskattning:

  • CPU-förbrukning: ~1–5 % ökning.
  • Minnesförbrukning: Upp till 10 % av det totala systemminnet.

Kommentar

Om agenten inte kan kommunicera med Azure lagrar agenten data lokalt för en definierad maxgräns. Agenten skriver över "cachelagrade" data på basis av "senast betjänade".

  • Lokal buffertlagring för Microsoft Entra Connect Health Agents: ~20 MB.
  • För AD FS-servrar rekommenderar vi att du etablerar ett diskutrymme på 1 024 MB (1 GB) för AD FS-granskningskanalen för Microsoft Entra Connect Health-agenter för att bearbeta alla granskningsdata innan de skrivs över.

Måste jag starta om mina servrar under installationen av Microsoft Entra Connect Health Agents?

Nej. Installationen av agenterna kräver inte att du startar om servern. Installationen av vissa nödvändiga steg kan dock kräva en omstart av servern.

Installationen av .NET 4.6.2 Framework kan till exempel kräva en omstart av servern.

Fungerar Microsoft Entra Connect Health via en HTTP-proxy för direktströmning?

Ja. För pågående åtgärder kan du konfigurera hälsoagenten så att den använder en HTTP-proxy för att vidarebefordra utgående HTTP-begäranden. Läs mer om hur du konfigurerar HTTP-proxy för hälsoagenter.

Om du behöver konfigurera en proxy under agentregistreringen kan du behöva ändra proxyinställningarna för Internet Explorer i förväg.

  1. Öppna Internet Explorer-inställningar >>Internetalternativ>Anslutningar LAN-inställningar.>
  2. Välj Använd en proxyserver för ditt LAN.
  3. Välj Avancerat om du har olika proxyportar för HTTP och HTTPS/Secure.

Stöder Microsoft Entra Connect Health grundläggande autentisering vid anslutning till HTTP-proxyservrar?

Nej. En mekanism för att ange ett godtyckligt användarnamn och lösenord för grundläggande autentisering stöds inte för närvarande.

Vilka brandväggsportar behöver jag öppna för att Microsoft Entra Connect Health Agent ska fungera?

Se avsnittet krav för listan över brandväggsportar och andra anslutningskrav.

Varför visas två servrar med samma namn i Microsoft Entra Connect Health-portalen?

När du tar bort en agent från en server tas inte servern bort automatiskt från Microsoft Entra Connect Health-portalen. Om du tar bort en agent manuellt från en server eller tar bort själva servern måste du ta bort serverposten manuellt från Microsoft Entra Connect Health-portalen. Om du vill ta bort övervakade servrar från Microsoft Entra Connect Health måste du ha antingen kontobehörigheter för Microsoft Entra Global Administrator eller rollen Deltagare i rollbaserad åtkomstkontroll i Azure.

Du kan återskapa en server eller skapa en ny server med samma information (till exempel datornamn). Om du inte har tagit bort den redan registrerade servern från Microsoft Entra Connect Health-portalen och du har installerat agenten på den nya servern kan du se två poster med samma namn.

I det här fallet tar du bort posten som tillhör den äldre servern manuellt. Data för den här servern ska vara inaktuella.

Kan jag installera Microsoft Entra Connect Health-agenten på Windows Server Core?

Nej. Installation på Server Core stöds inte.

Varför är Connect Health för synkroniseringsagenten inaktiverad i tjänster när du har installerat Microsoft Entra Connect Sync med ett konto som har rollen Hybridadministratör?

För att kunna installera Connect Health for Sync Agent måste du vara global administratör. För att aktivera agenten måste du installera om agenten med ett globalt administratörskonto.

Hälsoagentregistrering och datas färskhet

Vilka är vanliga orsaker till fel i hälsoagentregistreringen och hur felsöker jag problem?

Hälsoagenten kan inte registrera sig på grund av följande möjliga orsaker:

  • Agenten kan inte kommunicera med de nödvändiga slutpunkterna eftersom en brandvägg blockerar trafik. Det här problemet är vanligt på webbprogramproxyservrar. Kontrollera att du har tillåtit utgående kommunikation till de slutpunkter och portar som krävs. Läs mer i avsnittet med förutsättningar.
  • Utgående kommunikation genomgår en TLS-inspektion av nätverksskiktet. Detta gör att certifikatet som agenten använder ersätts av inspektionsservern/entiteten, och stegen för att slutföra agentregistreringen misslyckas.
  • Användaren kan inte utföra registreringen av agenten. Globala administratörer kan som standard. Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att delegera åtkomst till andra användare.

Jag får en varning om att "Hälsotjänst data inte är uppdaterade". Hur gör jag för att felsöka problemet?

Microsoft Entra Connect Health genererar aviseringen när den inte tar emot alla datapunkter från servern under de senaste två timmarna. Läs mer.

Frågor om åtgärder

Behöver jag aktivera granskning på webbprogramproxyservrarna?

Nej, granskning behöver inte aktiveras på webbprogramproxyservrarna.

Hur löses Microsoft Entra Connect-hälsoaviseringar?

Microsoft Entra Connect Health-aviseringar löses på ett lyckat villkor. Microsoft Entra Connect-hälsoagenter identifierar och rapporterar regelbundet framgångsvillkoren till tjänsten. För några aviseringar är undertryckningen tidsbaserad. Med andra ord, om samma feltillstånd inte observeras inom 72 timmar från aviseringsgenereringen löses aviseringen automatiskt.

Jag får en avisering om att "Test Authentication Request (Synthetic Transaction) failed to obtain a token". Hur gör jag för att felsöka problemet?

Microsoft Entra Connect Health för AD FS genererar den här aviseringen när hälsoagenten som är installerad på en AD FS-server inte kan hämta en token som en del av en syntetisk transaktion som initierats av hälsoagenten. Hälsoagenten använder den lokala systemkontexten och försöker hämta en token för en självberoende part. Det här beteendet är ett catch-all-test för att säkerställa att AD FS är i ett tillstånd där token utfärdas.

Det här testet misslyckas oftast eftersom hälsoagenten inte kan matcha AD FS-servergruppens namn. Det här tillståndet kan inträffa om AD FS-servrarna ligger bakom en nätverkslastbalanserare och begäran initieras från en nod som ligger bakom lastbalanseraren (i motsats till en vanlig klient som finns framför lastbalanseraren). Det här problemet kan åtgärdas genom att uppdatera filen "hosts" som finns under C:\Windows\System32\drivers\etc för att inkludera IP-adressen för AD FS-servern eller en loopback IP-adress (127.0.0.1) för AD FS-servergruppens namn (till exempel sts.contoso.com). Om du lägger till värdfilen kommer nätverksanropet att kortslutas, vilket gör att hälsoagenten kan hämta token.

Jag fick ett e-postmeddelande som anger att mina datorer inte är korrigerade för de senaste utpressningstrojanattackerna. Varför fick jag det här e-postmeddelandet?

Microsoft Entra Connect Health-tjänsten genomsöktes av alla datorer som den övervakar för att säkerställa att nödvändiga korrigeringar har installerats. E-postmeddelandet skickades till klientadministratörerna om minst en dator inte hade de kritiska korrigeringarna. Följande logik användes för att göra den här bedömningen.

  1. Hitta alla snabbkorrigeringar som är installerade på datorn.
  2. Kontrollera om minst en av snabbkorrigeringarna från den definierade listan finns.
  3. Om ja är datorn skyddad. Om inte, är datorn i riskzonen för attacken.

Du kan använda följande PowerShell-skript för att utföra den här kontrollen manuellt. Den implementerar logiken ovan.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Varför visar PowerShell-cmdleten Get-MsolDirSyncProvisioningError färre synkroniseringsfel i resultatet?

Get-MsolDirSyncProvisioningError returnerar endast DirSync-etableringsfel. Connect Health-portalen visar även andra typer av synkroniseringsfel, till exempel exportfel. Läs mer om Microsoft Entra Connect Sync-fel.

Varför genereras inte mina AD FS-granskningar?

Använd PowerShell-cmdleten Get-AdfsProperties -AuditLevel för att säkerställa att granskningsloggarna inte är i inaktiverat tillstånd. Läs mer om AD FS-granskningsloggar. Observera att om det finns granskningsinställningar som skickas till AD FS-servern skrivs alla ändringar med auditpol.exe över (händelse om programgenererade inte har konfigurerats). I det här fallet anger du den lokala säkerhetsprincipen för att logga programgenererade fel och lyckade fel.

När förnyas agentcertifikatet automatiskt innan det upphör att gälla?

Agentcertifieringen förnyas automatiskt sex månader före utgångsdatumet. Om den inte förnyas kontrollerar du att agentens nätverksanslutning är stabil. Starta om agenttjänsterna eller uppdatera till den senaste versionen kan också lösa problemet.