Microsoft Entra Connect Health 常见问题解答

本文包含有关 Microsoft Entra Connect Health 的常见问题解答 (FAQ)。 这些常见问题涉及到服务使用方法,包括计费模式、功能、限制和支持。

一般问题

我要管理多个 Microsoft Entra 目录。 如何切换到具有 Microsoft Entra ID P1 或 P2 的目录?

要在不同 Microsoft Entra 租户之间切换,可以在右上角选择当前登录的用户名,并选择相应的帐户。 如果此处未列出该帐户,请选择“退出登录”。然后,使用已启用 Microsoft Entra ID P1 或 P2 的目录的全局管理员凭据来登录。

Microsoft Entra Connect Health 支持哪个版本的标识角色?

下表列出了角色,以及支持的操作系统版本。

角色 操作系统/版本
Active Directory 联合身份验证服务 (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect 版本 1.0.9125 或更高版本
Active Directory 域服务 (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

不支持 Windows Server Core 安装。

该服务提供的功能可能因角色和操作系统而有所不同。 并非所有功能都适用于所有操作系统版本。 有关详细信息,请参阅功能说明。

需要多少许可证来监视我的基础结构?

  • 第一个 Connect Health 代理需要至少一个 Microsoft Entra P1 或 P2 许可证。
  • 后续每个注册代理都需要 25 个额外的 Microsoft Entra P1 或 P2 许可证。
  • 代理计数等于在所有受监视角色(AD FS、Microsoft Entra Connect 和/或 AD DS)中注册的总代理数。
  • Microsoft Entra Connect Health 许可不需要将许可证分配给特定用户。 只需拥有必要数量的有效许可证。

许可信息还可在 Microsoft Entra 定价页中找到。

示例:

注册的代理数 所需的许可证数 示例监视配置
1 1 1 台 Microsoft Entra Connect 服务器
2 26 1 台 Microsoft Entra Connect 服务器和 1 个域控制器
3 51 1 个 Active Directory 联合身份验证服务 (AD FS) 服务器、1 个 AD FS 代理和 1 个域控制器
4 76 1 个 AD FS 服务器、1 个 AD FS 代理和 2 个域控制器
5 101 1 台 Microsoft Entra Connect 服务器、1 台 AD FS 服务器、1 个 AD FS 代理和 2 个域控制器

安装问题

当有新版本的代理时,代理是否会自动更新?

是的,当有新版本的代理时,所有代理都会自动更新。

是否可以选择退出或禁用代理的自动升级?

否,自动升级是强制性的。 如果不希望在发布新版本时升级代理,则应卸载代理。

在单个服务器上安装 Microsoft Entra Connect Health 代理有何影响?

安装 Microsoft Entra Connect Health 代理、AD FS、Web 应用程序代理服务器、Microsoft Entra Connect(同步)服务器、域控制器对 CPU、内存消耗、网络带宽和存储的影响很小。

以下数字是近似值:

  • CPU 占用率:增加约 1-5%。
  • 内存消耗:最多为系统总内存的 10%。

注意

如果代理无法与 Azure 通信,代理会将定义的最大限制的数据存储在本地。 代理会根据“最近获得的服务最少”这一标准覆盖“缓存的”数据。

  • Microsoft Entra Connect Health 代理的本地缓冲区存储:约 20 MB。
  • 对于 AD FS 服务器,建议预配一个 1,024 MB (1 GB) 大小的磁盘空间,方便 Microsoft Entra Connect Health 代理的 AD FS 审核通道在所有审核数据被覆盖之前将其处理掉。

在 Microsoft Entra Connect Health 代理安装期间,是否必须重启我的服务器?

否。 安装代理时不需要重新启动服务器。 但是,安装某些先决条件步骤可能需要重新启动服务器。

例如,安装 .NET 4.6.2 Framework 可能需要重新启动服务器。

Microsoft Entra Connect Health 是否通过直通型 HTTP 代理进行工作?

是的。 对于正在进行的操作,可以将 Health 代理配置为使用 HTTP 代理转发出站 HTTP 请求。 有关详细信息,请阅读为 Health 代理配置 HTTP 代理

如果要在代理注册过程中配置代理,可能需要事先修改 Internet Explorer 代理设置。

  1. 打开“Internet Explorer”>“设置”>“Internet 选项”>“连接”>“LAN 设置”。
  2. 选择“为 LAN 使用代理服务器”。
  3. 如果针对 HTTP 和 HTTPS/Secure 设置不同的代理端口,请选择“高级”。

Microsoft Entra Connect Health 在连接到 HTTP 代理时是否支持基本身份验证?

否。 目前不支持指定任意用户名和密码进行基本身份验证的机制。

若要确保 Microsoft Entra Connect Health 代理正常使用,需要打开哪些防火墙端口?

有关防火墙端口列表和其他连接要求的信息,请参阅要求部分

Microsoft Entra Connect Health 门户中为何有两个同名的服务器?

从某个服务器中移除代理时,该服务器不会自动从 Microsoft Entra Connect Health 门户中移除。 如果手动从服务器中移除代理或移除服务器本身,需要从 Microsoft Entra Connect Health 门户中手动移除该服务器条目。 要从 Microsoft Entra Connect Health 中删除受监视的服务器,必须在 Azure 基于角色的访问控制中具有 Microsoft Entra 全局管理员帐户权限或参与者角色。

可能会使用相同的详细信息(例如计算机名称)重置服务器的映像或创建新服务器。 如果没有从 Microsoft Entra Connect Health 门户中移除已注册服务器,而是在新服务器上安装了代理,则会看到两个服务器条目具有同一名称。

在这种情况下,请手动删除属于较旧服务器的条目。 此服务器的数据会过期。

我能否在 Windows Server Core 上安装 Microsoft Entra Connect Health 代理?

否。 不支持在 Server Core 上安装。

使用混合管理员角色账号安装 Microsoft Entra Connect Sync 后,为什么 Sync Agent 的 Connect Health 会在服务中禁用?

全局管理员才可以为 Sync Agent 安装 Connect Health。 若要激活代理,需要使用全局管理员帐户重新安装代理。

Health 代理注册和数据刷新

Health 代理注册故障的常见原因有哪些,如何排查问题?

由于下列可能的原因,Health 代理可能无法注册:

  • 该代理无法与所需的终结点通信,因为防火墙阻止流量。 这个问题在 Web 应用程序代理服务器上很常见。 请确保已允许出站通信到所需终结点和端口。 有关详细信息,请参阅要求部分
  • 网络层会对出站通信进行 TLS 检查。 这会导致代理使用的证书被检查服务器/实体替换,并且无法执行完成代理注册所需的步骤。
  • 用户无法执行代理注册。 默认情况下,全局管理员具有此权限。 可以使用 Azure 基于角色的访问控制 (Azure RBAC) 将访问权限委派给其他用户。

我收到有关“运行状况服务数据不是最新”的警报。 如何解决此问题?

如果过去两小时内未从服务器收到所有数据点,Microsoft Entra Connect Health 将生成此警报。 了解详细信息

操作问题

我需要在 Web 应用程序代理服务器上启用审核吗?

否,不需在 Web 应用程序代理服务器上启用审核。

如何解除 Microsoft Entra Connect Health 警报?

在成功的情况下,将解除 Microsoft Entra Connect Health 警报。 Microsoft Entra Connect Health 代理将定期检测并向服务报告成功的情况。 某些警报的解除取决于时间。 换句话说,如果在警报生成后的 72 小时内未观察到相同的错误条件,则警报会自动解除。

我收到警报显示:“测试身份验证请求(合成事务)无法获取令牌。” 如何解决此问题?

当 AD FS 服务器上安装的 Health 代理无法获取由 Health 代理启动的作为综合事务一部分的令牌时,AD FS 的 Microsoft Entra Connect Health 就会生成此警报。 Health 代理使用本地系统上下文,并尝试为自信赖方获取令牌。 该行为是一个全面测试,可确保 AD FS 处于发出令牌的状态。

此测试通常会失败,因为 Health 代理无法解析 AD FS 场名称。 如果 AD FS 服务器位于网络负载均衡器之后,并且请求从位于负载均平衡器后面的节点(而不是位于负载均衡器前面的常规客户端)启动,则可能会出现这种状态。 若要修复此问题,可以更新位于 C:\Windows\System32\drivers\etc 下的“hosts”文件来,在其中添加 AD FS 服务器的 IP 地址或 AD FS 场名称(如 sts.contoso.com)的环回 IP 地址 (127.0.0.1)。 添加主机文件会使网络调用短路,从而使 Health 代理获得令牌。

我收到一封电子邮件,指示我的计算机没有应用最新的勒索攻击修补程序。 我为什么会收到这个电子邮件?

Microsoft Entra Connect Health 服务会扫描其所监视的所有计算机,以确保已安装所需的修补程序。 如果至少有一台计算机未安装关键修补程序,则会向租户管理员发送此电子邮件。 以下逻辑用于做出此判断。

  1. 查找计算机上安装的所有修补程序。
  2. 检查定义的列表中是否至少存在一个修补程序。
  3. 如果是,则计算机受保护。 如果不是,则计算机有受到攻击的风险。

以下 PowerShell 脚本可用于手动执行此检查。 它可实现上述逻辑。

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

PowerShell cmdlet“Get-MsolDirSyncProvisioningError”显示的同步错误为什么比较少?

Get-MsolDirSyncProvisioningError 只返回 DirSync 预配错误。 Connect Health 门户还会显示其他类型的同步错误,例如导出错误。 详细了解 Microsoft Entra Connect 同步错误

为什么未生成 AD FS 审核?

请使用 PowerShell cmdlet Get-AdfsProperties -AuditLevel 确保审核日志未处于禁用状态。 详细了解 AD FS 审核日志。 请注意,如果有审核设置推送到 ADFS 服务器,则通过 auditpol.exe 进行的任何更改都将被覆盖 (即使未配置“已生成应用程序”)。 在这种情况下,请设置本地安全策略来记录“已生成应用程序”失败和成功。

代理证书在到期前多久会自动续订?

代理证书将在到期日期前 6 个月时自动续订。 如果未续订,请确保该代理具有稳定的网络连接。 重启代理服务或更新到最新版本也可能解决此问题。