Installieren der Azure AD Connect Health-Agents

In diesem Artikel erfahren Sie, wie Sie die Azure Active Directory (Azure AD) Connect Health-Agents installieren und konfigurieren. Informationen zum Herunterladen der Agents finden Sie hier.

Hinweis

Azure AD Connect Health ist in der China Sovereign Cloud nicht verfügbar

Requirements (Anforderungen)

In der folgenden Tabelle sind die Anforderungen für die Verwendung von Azure AD Connect Health aufgeführt.

Anforderung BESCHREIBUNG
Vorhandenes Azure AD Premium-Abonnement (P1 oder P2). Azure AD Connect Health ist ein Feature von Azure AD Premium (P1 oder P2). Weitere Informationen finden Sie unter Registrieren für Azure AD Premium.

Wenn Sie eine 30-tägige kostenlose Testversion nutzen möchten, navigieren Sie zu Aktivieren der Azure Active Directory Premium-Testversion.
Sie sind ein globaler Administrator in Azure AD. Standardmäßig können nur globale Administratoren die Health-Agents installieren und konfigurieren, auf das Portal zugreifen und Vorgänge in Azure AD Connect Health ausführen. Weitere Informationen finden Sie unter Verwalten Ihres Azure AD-Verzeichnisses.

Mit der rollenbasierten Zugriffssteuerung von Azure (Role-Based Access Control, Azure RBAC) können Sie anderen Benutzern in Ihrer Organisation den Zugriff auf Azure AD Connect Health gewähren. Weitere Informationen hierzu finden Sie unter Azure RBAC für Azure AD Connect Health.

Wichtig: Verwenden Sie für die Installation der Agents ein Geschäfts-, Schul- oder Unikonto. Ein Microsoft-Konto kann nicht verwendet werden. Weitere Informationen finden Sie unter Registrieren für Azure AD als Organisation.
Der Azure AD Connect Health-Agent ist auf jedem Zielserver installiert. Die Connect Health-Agents müssen auf den Zielservern installiert und konfiguriert sein, damit sie Daten empfangen und Überwachungs- und Analysefunktionen bereitstellen können.

Beispiel: Um Daten aus Ihrer Active Directory-Verbunddienste-Infrastruktur (Active Directory Federation Services, AD FS) abrufen zu können, müssen Sie den Agent auf dem AD FS-Server und auf dem Webanwendungs-Proxyserver installieren. Und um Daten aus Ihrer lokalen Azure AD Domain Services-Infrastruktur (Azure AD DS) abrufen zu können, müssen Sie den Agent auf den Domänencontrollern installieren.
Die Azure-Dienstendpunkte verfügen über ausgehende Verbindungen. Während der Installation und der Laufzeit erfordert der Agent Verbindungen mit den Endpunkten des Azure AD Connect Health-Diensts. Wenn ausgehende Verbindungen durch Firewalls blockiert werden, fügen Sie der Zulassungsliste die Endpunkte für ausgehende Verbindungen hinzu.
Ausgehende Verbindungen basieren auf IP-Adressen. Informationen zur Firewallfilterung auf der Grundlage von IP-Adressen finden Sie unter Azure-IP-Adressbereiche.
Die TLS-Überprüfung für ausgehenden Datenverkehr ist gefiltert oder deaktiviert. Beim Agent-Registrierungsschritt oder bei Datenuploads tritt möglicherweise ein Fehler auf, wenn auf der Netzwerkebene eine TLS-Überprüfung oder Beendigung für ausgehenden Datenverkehr erfolgt. Weitere Informationen finden Sie unter Einrichten der TLS-Überprüfung.
Firewallports auf dem Server für die Ausführung des Agents. Die folgenden Firewallports müssen offen sein, damit der Agent mit den Azure AD Connect Health-Dienstendpunkten kommunizieren kann:
  • TCP-Port 443
  • TCP-Port 5671

  • Für die neueste Agent-Version ist Port 5671 nicht erforderlich. Aktualisieren Sie auf die neueste Version, sodass nur Port 443 erforderlich ist. Weitere Informationen finden Sie unter Erforderliche Ports und Protokolle für die Hybrid-Identität.
    Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer aktiviert ist, lassen Sie die angegebenen Websites zu. Wenn die verstärkte Sicherheitskonfiguration für Internet Explorer aktiviert ist, lassen Sie die folgenden Websites auf dem Server zu, auf dem Sie den Agent installieren:
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.net
  • https://aadcdn.msftauth.net
  • Der Verbundserver für Ihre Organisation, dem Azure AD vertraut, z. B. https://sts.contoso.com)

  • Weitere Informationen finden Sie unter Konfigurieren von Internet Explorer. Wenn Sie in Ihrem Netzwerk einen Proxy verwenden, lesen Sie den Hinweis am Ende dieser Tabelle.
    PowerShell, Version 5.0 oder höher, ist installiert. Windows Server 2016 enthält PowerShell, Version 5.0.

    Wichtig

    Unter Windows Server Core wird die Installation des Azure AD Connect Health-Agents nicht unterstützt.

    Hinweis

    Wenn Sie über eine streng geschützte und eingeschränkte Umgebung verfügen, müssen Sie mehr als die in der Tabelle für die verstärkte Sicherheitskonfiguration für Internet Explorer aufgeführten URLs hinzufügen. Fügen Sie auch URLs hinzu, die in der Tabelle im nächsten Abschnitt aufgeführt sind.

    Neue Versionen des Agents und automatisches Upgrade

    Wenn eine neue Version des Integritäts-Agents veröffentlicht wird, werden alle vorhandenen installierten Agents automatisch aktualisiert.

    Ausgehende Verbindungen zu den Azure-Dienstendpunkten

    Während der Installation und zur Laufzeit ist für den Agent die Konnektivität mit den Azure AD Connect Health-Dienstendpunkten erforderlich. Wenn ausgehende Verbindungen durch Firewalls blockiert werden, müssen Sie sicherstellen, dass die in der folgenden Tabelle aufgeführten URLs nicht standardmäßig blockiert werden.

    Deaktivieren Sie nicht die Sicherheitsüberwachung oder die Überprüfung dieser URLs. Lassen Sie diese URLs stattdessen wie anderen Internetdatenverkehr zu.

    Diese URLs ermöglichen die Kommunikation mit den Azure AD Connect Health-Dienstendpunkten. Weiter unten in diesem Artikel erfahren Sie, wie Sie ausgehende Verbindungen mithilfe von Test-AzureADConnectHealthConnectivity testen.

    Domänenumgebung Erforderliche Azure-Dienstendpunkte
    Öffentlich
  • *.blob.core.windows.net
  • *.aadconnecthealth.azure.com
  • **.servicebus.windows.net – Port: 5671 (Wenn 5671 blockiert ist, greift der Agent auf 443 zurück, es wird jedoch die Verwendung von 5671 empfohlen. Dieser Endpunkt ist in der neuesten Version des Agents nicht erforderlich.)
  • *.adhybridhealth.azure.com/
  • https://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.net
  • https://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com (Dieser Endpunkt wird nur zu Ermittlungszwecken während der Registrierung verwendet.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Azure Deutschland
  • *.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.de
  • https://www.office.de (Dieser Endpunkt wird nur zu Ermittlungszwecken während der Registrierung verwendet.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Azure Government
  • *.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com (Dieser Endpunkt wird nur zu Ermittlungszwecken während der Registrierung verwendet.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Installieren des Agents

    Gehen Sie wie folgt vor, um den Azure AD Connect Health-Agent herunterzuladen und zu installieren:

    Installieren des Agents für AD FS

    Hinweis

    Ihr AD FS-Server sollte sich vom Synchronisierungsserver unterscheiden. Installieren Sie den AD FS-Agent nicht auf Ihrem Synchronisierungsserver.

    Stellen Sie vor dem Installieren des Agents sicher, dass der Hostname Ihres AD FS-Servers eindeutig und nicht im AD FS-Dienst vorhanden ist. Um die Installation des Agents zu starten, doppelklicken Sie auf die EXE-Datei, die Sie heruntergeladen haben. Wählen Sie im ersten Fenster die Option Installieren aus.

    Screenshot des Installationsfensters für den Azure AD Connect Health AD FS-Agent

    Wählen Sie nach Abschluss der Installation die Option Jetzt konfigurieren aus.

    Screenshot der Bestätigungsmeldung für die Installation des Azure AD Connect Health AD FS-Agents

    Es wird ein PowerShell-Fenster zum Starten des Agent-Registrierungsprozesses geöffnet. Melden Sie sich bei entsprechender Aufforderung mit einem Azure AD-Konto an, das über Berechtigungen zum Registrieren des Agents verfügt. Standardmäßig verfügt das globale Administratorkonto über diese Berechtigungen.

    Screenshot des Anmeldefensters für Azure AD Connect Health AD FS

    Nachdem Sie sich angemeldet haben, wird der Vorgang in PowerShell fortgesetzt. Nach Abschluss des Vorgangs können Sie PowerShell schließen. Die Konfiguration ist abgeschlossen.

    An diesem Punkt sollten die Agent-Dienste automatisch gestartet werden, sodass der Agent die erforderlichen Daten sicher in den Clouddienst hochladen kann.

    Wenn Sie nicht alle Voraussetzungen erfüllt haben, werden im PowerShell-Fenster Warnungen angezeigt. Stellen Sie sicher, dass die Anforderungen erfüllt sind, bevor Sie den Agent installieren. Im folgenden Screenshot sehen Sie ein Beispiel für diese Warnungen.

    Screenshot des Konfigurationsskripts für Azure AD Connect Health AD FS

    Suchen Sie auf dem Server nach den folgenden Diensten, um sicherzustellen, dass der Agent installiert wurde. Wenn Sie die Konfiguration durchgeführt haben, sollten sie bereits ausgeführt werden. Andernfalls werden sie gestoppt, bis die Konfiguration abgeschlossen ist.

    • Azure AD Connect Health AD FS Diagnostics Service
    • Azure AD Connect Health AD FS Insights Service
    • Azure AD Connect Health AD FS Monitoring Service

    Screenshot der Azure AD Connect Health AD FS-Dienste.

    Aktivieren der Überwachung für AD FS

    Hinweis

    Dieser Abschnitt gilt nur für AD FS-Server. Auf den Webanwendungs-Proxyservern müssen diese Schritte nicht ausgeführt werden.

    Die Nutzungsanalysefunktion muss Daten erfassen und analysieren. Daher benötigt der Azure AD Connect Health-Agent die Informationen in den AD FS-Überwachungsprotokollen. Diese Protokolle sind standardmäßig nicht aktiviert. Verwenden Sie die folgenden Verfahren, um auf Ihren AD FS-Servern die AD FS-Überwachung zu aktivieren und die AD FS-Überwachungsprotokolle zu ermitteln.

    So aktivieren Sie die Überwachung für AD FS unter Windows Server 2012 R2

    1. Öffnen Sie auf dem Startbildschirm die Komponente Server-Manager, und öffnen Sie dann Lokale Sicherheitsrichtlinie. Oder öffnen Sie auf der Taskleiste die Komponente Server-Manager, und wählen Sie dann Tools > Lokale Sicherheitsrichtlinie aus.

    2. Wechseln Sie zum Ordner Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten. Doppelklicken Sie dann auf Generieren von Sicherheitsüberwachungen.

    3. Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn das Konto nicht aufgeführt ist, wählen Sie Benutzer oder Gruppe hinzufügen aus, und fügen Sie es dann der Liste hinzu. Klicken Sie anschließend auf OK.

    4. Öffnen Sie zum Aktivieren der Überwachung ein Eingabeaufforderungsfenster mit erhöhten Rechten. Führen Sie dann den folgenden Befehl aus:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Schließen Sie Lokale Sicherheitsrichtlinie.

      Wichtig

      Die folgenden Schritte müssen nur für primäre AD FS-Server ausgeführt werden.

    6. Öffnen Sie das Snap-In AD FS-Verwaltung. (Wählen Sie in Server-Manager die Optionen Tools>AD FS-Verwaltung aus.)

    7. Wählen Sie im Bereich Aktionen die Option Verbunddiensteigenschaften bearbeiten aus.

    8. Wählen Sie im Dialogfeld Verbunddiensteigenschaften die Registerkarte Ereignisse aus.

    9. Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen, und wählen Sie dann „OK“ aus.

    10. Verwenden Sie den folgenden Befehl, um die ausführliche Protokollierung mithilfe von PowerShell zu aktivieren:

      Set-AdfsProperties -LOGLevel Verbose

    So aktivieren Sie die Überwachung für AD FS unter Windows Server 2016

    1. Öffnen Sie auf dem Startbildschirm die Komponente Server-Manager, und öffnen Sie dann Lokale Sicherheitsrichtlinie. Oder öffnen Sie auf der Taskleiste die Komponente Server-Manager, und wählen Sie dann Tools > Lokale Sicherheitsrichtlinie aus.

    2. Wechseln Sie zum Ordner Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten, und doppelklicken Sie dann auf Generieren von Sicherheitsüberwachungen.

    3. Vergewissern Sie sich auf der Registerkarte Lokale Sicherheitseinstellung, dass das AD FS-Dienstkonto aufgeführt wird. Wenn das Konto nicht aufgeführt ist, wählen Sie Benutzer oder Gruppe hinzufügen aus, und fügen Sie der Liste das AD FS-Dienstkonto hinzu. Klicken Sie anschließend auf OK.

    4. Öffnen Sie zum Aktivieren der Überwachung ein Eingabeaufforderungsfenster mit erhöhten Rechten. Führen Sie dann den folgenden Befehl aus:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Schließen Sie Lokale Sicherheitsrichtlinie.

      Wichtig

      Die folgenden Schritte müssen nur für primäre AD FS-Server ausgeführt werden.

    6. Öffnen Sie das Snap-In AD FS-Verwaltung. (Wählen Sie in Server-Manager die Optionen Tools>AD FS-Verwaltung aus.)

    7. Wählen Sie im Bereich Aktionen die Option Verbunddiensteigenschaften bearbeiten aus.

    8. Wählen Sie im Dialogfeld Verbunddiensteigenschaften die Registerkarte Ereignisse aus.

    9. Aktivieren Sie die Kontrollkästchen Erfolgreiche Überprüfungen und Fehlerüberprüfungen, und wählen Sie dann „OK“ aus. Erfolgreiche Überprüfungen und Fehlerüberprüfungen sollten standardmäßig aktiviert sein.

    10. Öffnen Sie ein PowerShell-Fenster, und führen Sie den folgenden Befehl aus:

      Set-AdfsProperties -AuditLevel Verbose

    Standardmäßig ist die Überwachungsebene „Basic“ aktiviert. Weitere Informationen finden Sie unter Optimierte AD FS-Überwachung unter Windows Server 2016.

    So ermitteln Sie die AD FS-Überwachungsprotokolle

    1. Öffnen Sie die Ereignisanzeige.

    2. Wechseln Sie zu Windows-Protokolle, und wählen Sie dann Sicherheit aus.

    3. Wählen Sie auf der rechten Seite die Option Aktuelle Protokolle filtern aus.

    4. Wählen Sie für Ereignisquellen den Eintrag AD FS-Überwachung aus.

      Weitere Informationen zu Überwachungsprotokollen finden Sie unter Fragen zum Betrieb.

      Screenshot des Fensters „Aktuelles Protokoll filtern“. Im Feld „Ereignisquellen“ ist die Option „AD FS-Überwachung“ ausgewählt.

    Warnung

    Die AD FS-Überwachung kann mithilfe einer Gruppenrichtlinie deaktiviert werden. Wenn die AD FS-Überwachung deaktiviert ist, sind keine Nutzungsanalysen für Anmeldeaktivitäten verfügbar. Stellen Sie sicher, dass die AD FS-Überwachung nicht durch eine Gruppenrichtlinie deaktiviert wird.

    Installieren des Agents für die Synchronisierung

    Der Azure AD Connect Health-Agent für die Synchronisierung wird in der neuesten Version von Azure AD Connect automatisch installiert. Damit Sie Azure AD Connect für die Synchronisierung verwenden können, müssen Sie die neueste Version von Azure AD Connect herunterladen und installieren.

    Suchen Sie auf dem Server nach den unten angegebenen Diensten, um sicherzustellen, dass der Agent installiert wurde. Wenn Sie die Konfiguration abgeschlossen haben, sollten die Dienste bereits ausgeführt werden. Andernfalls werden die Dienste gestoppt, bis die Konfiguration abgeschlossen ist.

    • Azure AD Connect Health Sync Insights-Dienst
    • Azure AD Connect Health Sync-Überwachungsdienst

    Screenshot, in dem die auf dem Server ausgeführten Azure AD Connect Health Sync-Dienste angezeigt werden.

    Hinweis

    Bedenken Sie, dass Sie über Azure AD Premium (P1 oder P2) verfügen müssen, um Azure AD Connect Health verwenden zu können. Wenn Sie nicht über Azure AD Premium verfügen, können Sie die Konfiguration nicht im Azure-Portal abschließen. Weitere Informationen finden Sie im Abschnitt Anforderungen.

    Manuelles Registrieren von Azure AD Connect Health für die Synchronisierung

    Wenn die Registrierung des Azure AD Connect Health-Agents für die Synchronisierung nach der erfolgreichen Installation von Azure AD Connect fehlschlägt, können Sie einen PowerShell-Befehl verwenden, um den Agent manuell zu registrieren.

    Wichtig

    Verwenden Sie diesen PowerShell-Befehl nur, wenn die Agent-Registrierung nach der Installation von Azure AD Connect fehlschlägt.

    Führen Sie den folgenden PowerShell-Befehl aus, um den Azure AD Connect Health-Agent für die Synchronisierung manuell zu registrieren. Die Azure AD Connect Health-Dienste werden gestartet, nachdem der Agent erfolgreich registriert wurde.

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $true -StagingMode $false

    Der Befehl hat folgende Parameter:

    • AttributeFiltering: $true (Standardwert) – wenn Azure AD Connect den Standardattributsatz nicht synchronisiert und für die Verwendung eines gefilterten Attributsatzes angepasst wurde. Verwenden Sie andernfalls $false.
    • StagingMode: $false (Standardwert) – wenn sich der Azure AD Connect-Server nicht im Stagingmodus befindet. Verwenden Sie $true, wenn der Server für den Stagingmodus konfiguriert ist.

    Wenn Sie zur Authentifizierung aufgefordert werden, verwenden Sie das globale Administratorkonto (z. B. admin@domain.onmicrosoft.com), das Sie zum Konfigurieren von Azure AD Connect verwendet haben.

    Installieren des Agents für Azure AD DS

    Um die Installation des Agents zu starten, doppelklicken Sie auf die EXE-Datei, die Sie heruntergeladen haben. Wählen Sie im ersten Fenster die Option Installieren aus.

    Screenshot des Installationsfensters für den Azure AD Connect Health-Agent für AD DS.

    Wählen Sie nach Abschluss der Installation die Option Jetzt konfigurieren aus.

    Screenshot des Fensters, in dem die Installation des Azure AD Connect Health-Agents für Azure AD DS abgeschlossen wurde.

    Es wird ein Eingabeaufforderungsfenster geöffnet. PowerShell führt den Befehl Register-AzureADConnectHealthADDSAgent aus. Melden Sie sich bei entsprechender Aufforderung bei Azure an.

    Screenshot des Anmeldefensters für den Azure AD Connect Health-Agent für Azure AD DS.

    Nachdem Sie sich angemeldet haben, wird der Vorgang in PowerShell fortgesetzt. Nach Abschluss des Vorgangs können Sie PowerShell schließen. Die Konfiguration ist abgeschlossen.

    An diesem Punkt sollten die Dienste automatisch gestartet werden, sodass der Agent die Daten überwachen und erfassen kann. Wenn Sie nicht alle in den vorherigen Abschnitten beschriebenen Voraussetzungen erfüllt haben, werden im PowerShell-Fenster Warnungen angezeigt. Stellen Sie sicher, dass die Anforderungen erfüllt sind, bevor Sie den Agent installieren. Im folgenden Screenshot sehen Sie ein Beispiel für diese Warnungen.

    Screenshot einer Warnung für die Konfiguration des Azure AD Connect Health-Agents für Azure AD DS.

    Suchen Sie auf dem Domänencontroller nach den folgenden Diensten, um sicherzustellen, dass der Agent installiert wurde:

    • Azure AD Connect Health AD DS Insights Service
    • Azure AD Connect Health AD DS Monitoring Service

    Wenn Sie die Konfiguration durchgeführt haben, sollten diese Dienste ausgeführt werden. Andernfalls werden sie gestoppt, bis die Konfiguration abgeschlossen ist.

    Screenshot, in dem die auf dem Domänencontroller ausgeführten Dienste angezeigt werden.

    Schnelles Installieren des Agents auf mehreren Servern

    1. Erstellen Sie ein Benutzerkonto in Azure AD. Schützen Sie es mit einem Kennwort.

    2. Weisen Sie im Portal die Rolle Besitzer für dieses lokale Azure AD-Konto in Azure AD Connect Health zu. Führen Sie folgende Schritte aus. Weisen Sie die Rolle allen Dienstinstanzen zu.

    3. Laden Sie die EXE-MSI-Datei auf den lokalen Domänencontroller für die Installation herunter.

    4. Führen Sie das folgende Skript aus. Ersetzen Sie die Parameter durch Ihr neues Benutzerkonto und das zugehörige Kennwort.

      AdHealthAddsAgentSetup.exe /quiet
      Start-Sleep 30
      $userName = "NEWUSER@DOMAIN"
      $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
      $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
      import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
      
      Register-AzureADConnectHealthADDSAgent -Credential $myCreds
      

    Wenn Sie damit fertig sind, können Sie den Zugriff für das lokale Konto entfernen, indem Sie mindestens eine der folgenden Aufgaben ausführen:

    • Entfernen Sie die Rollenzuweisung für das lokale Konto für Azure AD Connect Health.
    • Rotieren Sie das Kennwort für das lokale Konto.
    • Deaktivieren Sie das lokale Azure AD-Konto.
    • Löschen Sie das lokale Azure AD-Konto.

    Registrieren des Agents mit PowerShell

    Nachdem Sie den entsprechenden Agent (über die Datei setup.exe) installiert haben, können Sie den Agent abhängig von der Rolle mithilfe der folgenden PowerShell-Befehle registrieren. Öffnen Sie ein PowerShell-Fenster, und führen Sie den entsprechenden Befehl aus:

    Register-AzureADConnectHealthADFSAgent
    Register-AzureADConnectHealthADDSAgent
    Register-AzureADConnectHealthSyncAgent
    

    Hinweis

    Verwenden Sie die folgenden Befehlszeilen, um sich für unabhängige Clouds zu registrieren:

    Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
    Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
    Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user
    

    Diese Befehle akzeptieren Credential als Parameter, um die Registrierung nicht interaktiv oder auf einem Computer abzuschließen, auf dem Server Core ausgeführt wird. Bedenken Sie Folgendes:

    • Sie können Credential in einer PowerShell-Variable erfassen, die als Parameter übergeben wird.
    • Sie können eine beliebige Azure AD-Identität angeben, die über die Berechtigungen zum Registrieren der Agents verfügt und für die keine mehrstufige Authentifizierung aktiviert ist.
    • Standardmäßig verfügen globale Administratoren über die Berechtigungen zum Registrieren der Agents. Sie können auch weniger privilegierten Identitäten die Ausführung dieses Schritts erlauben. Weitere Informationen finden Sie unter Azure RBAC.
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    
    

    Konfigurieren von Azure AD Connect Health-Agents für die Verwendung eines HTTP-Proxys

    Sie können Azure AD Connect Health-Agents für die Arbeit mit einem HTTP-Proxy konfigurieren.

    Hinweis

    • Netsh WinHttp set ProxyServerAddress wird nicht unterstützt. Zum Senden von Webanforderungen verwendet der Agent „System.Net“ anstelle von Windows HTTP-Diensten.
    • Die konfigurierte HTTP-Proxyadresse wird für das Weiterleiten verschlüsselter HTTPS-Nachrichten verwendet.
    • Authentifizierte Proxys (mit HTTPBasic) werden nicht unterstützt.

    Ändern der Agent-Proxykonfiguration

    Wenn Sie den Azure AD Connect Health-Agent für die Verwendung eines HTTP-Proxy konfigurieren möchten, haben Sie die folgenden Möglichkeiten:

    • Sie können vorhandene Proxyeinstellungen importieren.
    • Sie können die Proxyadressen manuell angeben.
    • Sie können die vorhandene Proxykonfiguration löschen.

    Hinweis

    Sie müssen alle Azure AD Connect Health-Agent-Dienste neu starten, damit die Proxyeinstellungen aktualisiert werden. Führen Sie den folgenden Befehl aus:

    Restart-Service AzureADConnectHealth*

    Importieren vorhandener Proxyeinstellungen

    Sie können die HTTP-Proxyeinstellungen von Internet Explorer importieren, damit die Azure AD Connect Health-Agents diese Einstellungen verwenden können. Führen Sie den folgenden PowerShell-Befehl auf allen Servern aus, auf denen der Health-Agent ausgeführt wird:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    

    Sie können die WinHTTP-Proxyeinstellungen importieren, damit die Azure AD Connect Health-Agents diese Einstellungen verwenden können. Führen Sie den folgenden PowerShell-Befehl auf allen Servern aus, auf denen der Health-Agent ausgeführt wird:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    Manuelles Angeben von Proxyadressen

    Sie können einen Proxyserver manuell angeben. Führen Sie den folgenden PowerShell-Befehl auf allen Servern aus, auf denen der Health-Agent ausgeführt wird:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    Hier sehen Sie ein Beispiel:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    In diesem Beispiel:

    • Als address-Einstellung kann ein über DNS auflösbarer Servername oder eine IPv4-Adresse verwendet werden.
    • Sie können port weglassen. Wenn Sie dies tun, wird Port 443 als Standardport verwendet.

    Löschen der vorhandenen Proxykonfiguration

    Sie können die vorhandene Proxykonfiguration löschen, indem Sie den folgenden Befehl ausführen:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    Lesen der aktuellen Proxyeinstellungen

    Sie können die aktuellen Proxyeinstellungen lesen, indem Sie den folgenden Befehl ausführen:

    Get-AzureAdConnectHealthProxySettings
    

    Testen der Verbindung mit dem Azure AD Connect Health-Dienst

    Gelegentlich kann es zu Unterbrechungen der Verbindung zwischen dem Azure AD Connect Health-Agent und dem Azure AD Connect Health-Dienst kommen. Mögliche Ursachen für diese Verbindungsunterbrechungen sind Netzwerkprobleme, Berechtigungsprobleme und verschiedene andere Probleme.

    Wenn der Agent für mehr als zwei Stunden keine Daten an den Azure AD Connect Health-Dienst senden kann, wird im Portal die folgende Warnung angezeigt: „Die Daten des Integritätsdiensts sind nicht aktuell.“

    Durch Ausführen des folgenden PowerShell-Befehls können Sie herausfinden, ob der betroffene Azure AD Connect Health-Agent Daten für den Azure AD Connect Health-Dienst hochladen kann:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    Der Rollenparameter akzeptiert derzeit die folgenden Werte:

    • ADFS
    • Synchronisierung
    • ADDS

    Hinweis

    Um das Konnektivitätstool verwenden zu können, müssen Sie zunächst den Agent registrieren. Wenn Sie die Agent-Registrierung nicht abschließen können, müssen Sie sicherstellen, dass alle Anforderungen für Azure AD Connect Health erfüllt sind. Die Konnektivität wird bei der Agent-Registrierung standardmäßig getestet.

    Nächste Schritte

    Lesen Sie die folgenden verwandten Artikel: