Szerkesztés

Megosztás a következőn keresztül:

Microsoft Entra Connect Health – gyakori kérdések

  • GYIK

Ez a cikk válaszokat tartalmaz a Microsoft Entra Connect Health szolgáltatással kapcsolatos gyakori kérdésekre (GYIK). Ezek a gyakori kérdések a szolgáltatás használatával kapcsolatos kérdéseket ismertetik, beleértve a számlázási modellt, a képességeket, a korlátozásokat és a támogatást.

Általános kérdések

Több Microsoft Entra-címtárat kezelek. Hogyan váltson arra, amelyik p1 vagy P2 Microsoft Entra-azonosítóval rendelkezik?

A különböző Microsoft Entra-bérlők közötti váltáshoz válassza ki az aktuálisan bejelentkezett felhasználónevet a jobb felső sarokban, majd válassza ki a megfelelő fiókot. Ha a fiók nem szerepel a listán, válassza a Kijelentkezés lehetőséget . Ezután használja annak a címtárnak a globális rendszergazdai hitelesítő adatait, amelynél a Microsoft Entra ID P1 vagy P2 (P1 vagy P2) engedélyezve van a bejelentkezéshez.

Az identitásszerepkörök melyik verzióját támogatja a Microsoft Entra Connect Health?

Az alábbi táblázat a szerepköröket és a támogatott operációsrendszer-verziókat sorolja fel.

Szerep Operációs rendszer / Verzió
Active Directory összevonási szolgáltatások (AD FS) (AD FS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022
Microsoft Entra Connect 1.0.9125-ös vagy újabb verzió
Active Directory tartományi szolgáltatások (AD DS)
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019
  • Windows Server 2022

A Windows Server Core telepítései nem támogatottak.

A szolgáltatás által biztosított funkciók a szerepkör és az operációs rendszer alapján eltérhetnek. Előfordulhat, hogy az összes funkció nem érhető el az összes operációsrendszer-verzióhoz. A részletekért tekintse meg a szolgáltatás leírását.

Hány licencre van szükségem az infrastruktúra monitorozásához?

  • Az első Connect Health-ügynökhöz legalább egy Microsoft Entra P1 vagy P2 licenc szükséges.
  • Minden további regisztrált ügynökhöz további 25 Microsoft Entra P1 vagy P2 licenc szükséges.
  • Az ügynökök száma megegyezik az összes figyelt szerepkörben (AD FS, Microsoft Entra Connect és/vagy AD DS) regisztrált ügynökök teljes számával.
  • A Microsoft Entra Connect Health licenceléséhez nincs szükség a licenc adott felhasználókhoz való hozzárendelésére. Csak a szükséges számú érvényes licenccel kell rendelkeznie.

A licencelési információk a Microsoft Entra díjszabási oldalán is megtalálhatók.

Példa:

Regisztrált ügynökök Szükséges licencek Példa monitorozási konfigurációra
1 1 1 Microsoft Entra Connect-kiszolgáló
2 26 1 Microsoft Entra Connect-kiszolgáló és 1 tartományvezérlő
3 51 1 Active Directory összevonási szolgáltatások (AD FS) (AD FS)-kiszolgáló, 1 AD FS-proxy és 1 tartományvezérlő
4 76 1 AD FS-kiszolgáló, 1 AD FS-proxy és 2 tartományvezérlő
5 101 1 Microsoft Entra Connect-kiszolgáló, 1 AD FS-kiszolgáló, 1 AD FS-proxy és 2 tartományvezérlő

Telepítési kérdések

Automatikusan frissül az ügynök telepítése, ha az ügynök új verziója van?

Igen, minden ügynök automatikusan frissül, ha az ügynök új verziója van.

Letilthatom vagy letilthatom az ügynök automatikus frissítését?

Nem, az automatikus frissítés kötelező. Ha nem szeretné, hogy az ügynök frissüljön egy új verzió megjelenésekor, távolítsa el az ügynököt.

Milyen hatással van a Microsoft Entra Connect Health Agent telepítése az egyes kiszolgálókra?

A Microsoft Entra Connect Health Agent, az AD FS, a webalkalmazás-proxykiszolgálók, a Microsoft Entra Connect (szinkronizálási) kiszolgálók, a tartományvezérlők telepítése minimális a processzor, a memóriahasználat, a hálózati sávszélesség és a tárterület tekintetében.

A következő számok közelítést jelentenek:

  • CPU-használat: ~1-5%-os növekedés.
  • Memóriahasználat: A rendszer teljes memóriájának legfeljebb 10 %-a.

Jegyzet

Ha az ügynök nem tud kommunikálni az Azure-ral, az ügynök helyileg tárolja az adatokat egy meghatározott maximális korlátért. Az ügynök felülírja a "gyorsítótárazott" adatokat a "legkevésbé legutóbb szervizelt" alapon.

  • A Microsoft Entra Connect Health-ügynökök helyi puffertárolója: ~20 MB.
  • Az AD FS-kiszolgálók esetében azt javasoljuk, hogy a Microsoft Entra Connect Health-ügynökök AD FS-naplózási csatornája számára 1024 MB (1 GB) lemezterületet állítsunk ki az összes naplózási adat felülírása előtt történő feldolgozásához.

Újra kell indítani a kiszolgálóimat a Microsoft Entra Connect Health-ügynökök telepítése során?

Nem. Az ügynökök telepítéséhez nem szükséges újraindítani a kiszolgálót. Egyes előfeltételek telepítéséhez azonban szükség lehet a kiszolgáló újraindítására.

Előfordulhat például, hogy a .NET 4.6.2-keretrendszer telepítése kiszolgáló újraindítást igényel.

Működik a Microsoft Entra Connect Health egy átmenő HTTP-proxyn keresztül?

Igen. A folyamatban lévő műveletekhez konfigurálhatja az állapotügynököt, hogy HTTP-proxyt használjon a kimenő HTTP-kérések továbbításához. További információ a HTTP-proxy állapotügynökökhöz való konfigurálásáról.

Ha proxyt kell konfigurálnia az ügynökregisztráció során, előfordulhat, hogy előbb módosítania kell az Internet Explorer proxybeállításait.

  1. Nyissa meg az Internet Explorer >Beállításai>internetbeállítások>kapcsolatainak>LAN-beállításait.
  2. Válassza a Proxykiszolgáló használata a lan-hoz lehetőséget.
  3. Válassza a Speciális lehetőséget, ha eltérő proxyportokkal rendelkezik a HTTP-hez és a HTTPS/Secure-hez.

Támogatja a Microsoft Entra Connect Health az alapszintű hitelesítést a HTTP-proxykhoz való csatlakozáskor?

Nem. Jelenleg nem támogatott egy tetszőleges felhasználónév és jelszó megadására szolgáló mechanizmus az alapszintű hitelesítéshez.

Milyen tűzfalportokat kell megnyitnom ahhoz, hogy a Microsoft Entra Connect Health Agent működjön?

Tekintse meg a tűzfalportok és egyéb csatlakozási követelmények listáját ismertető szakaszt .

Miért látok két azonos nevű kiszolgálót a Microsoft Entra Connect Health portálon?

Amikor eltávolít egy ügynököt egy kiszolgálóról, a kiszolgáló nem lesz automatikusan eltávolítva a Microsoft Entra Connect Health portálról. Ha manuálisan távolít el egy ügynököt egy kiszolgálóról, vagy eltávolítja magát a kiszolgálót, manuálisan kell törölnie a kiszolgáló bejegyzését a Microsoft Entra Connect Health portálról. A figyelt kiszolgálók Microsoft Entra Connect Healthből való törléséhez Microsoft Entra globális rendszergazdai fiókengedélyekkel vagy az Azure szerepköralapú hozzáférés-vezérlési szerepkörével kell rendelkeznie.

Előfordulhat, hogy újraimáz egy kiszolgálót, vagy létrehoz egy új kiszolgálót ugyanazokkal a részletekkel (például a gép nevével). Ha nem távolította el a már regisztrált kiszolgálót a Microsoft Entra Connect Health portálról, és telepítette az ügynököt az új kiszolgálón, két azonos nevű bejegyzés jelenhet meg.

Ebben az esetben manuálisan törölje a régebbi kiszolgálóhoz tartozó bejegyzést. A kiszolgáló adatainak elavultnak kell lenniük.

Telepíthetem a Microsoft Entra Connect Health-ügynököt a Windows Server Core-ra?

Nem. A Server Core telepítése nem támogatott.

A Microsoft Entra Connect Sync telepítése után egy hibrid rendszergazdai szerepkörrel rendelkező fiókkal miért van letiltva a Connect Health for Sync ügynök a szolgáltatásokban?

A Connect Health for Sync-ügynök telepítéséhez globális rendszergazdának kell lennie. Az ügynök aktiválásához újra kell telepítenie az ügynököt egy globális rendszergazdai fiókkal.

Az állapotügynök regisztrálása és az adatok frissessége

Mik az állapotügynök regisztrációs hibáinak gyakori okai, és hogyan háríthatom el a problémákat?

Az állapotügynök a következő lehetséges okok miatt nem regisztrálható:

  • Az ügynök nem tud kommunikálni a szükséges végpontokkal, mert egy tűzfal blokkolja a forgalmat. Ez a probléma gyakori a webalkalmazás-proxykiszolgálókon. Győződjön meg arról, hogy engedélyezte a kimenő kommunikációt a szükséges végpontokkal és portokkal. A részletekért tekintse meg a követelmények szakaszt .
  • A kimenő kommunikációt a hálózati réteg TLS-vizsgálatnak veti alá. Ez azt eredményezi, hogy az ügynök által használt tanúsítványt az ellenőrző kiszolgáló/entitás lecseréli, és az ügynökregisztráció végrehajtásának lépései sikertelenek lesznek.
  • A felhasználó nem tudja elvégezni az ügynök regisztrációját. A globális rendszergazdák alapértelmezés szerint megtehetik. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával delegálhat hozzáférést más felhasználóknak.

Értesítést kapok arról, hogy "Állapotfigyelő szolgáltatás adatok nem naprakészek". Hogyan elhárítja a problémát?

A Microsoft Entra Connect Health akkor hozza létre a riasztást, ha nem kapja meg az összes adatpontot a kiszolgálótól az elmúlt két órában. További információ.

Üzemeltetési kérdések

Engedélyezni kell a naplózást a webalkalmazás-proxykiszolgálókon?

Nem, a naplózást nem kell engedélyezni a webalkalmazás-proxykiszolgálókon.

Hogyan oldhatók fel a Microsoft Entra Connect állapotriasztásai?

A Microsoft Entra Connect Health-riasztások sikerességi feltétel esetén lesznek feloldva. A Microsoft Entra Connect Health-ügynökök rendszeresen észlelik és jelentik a sikerességi feltételeket a szolgáltatásnak. Néhány riasztás esetén a letiltás időalapú. Más szóval, ha ugyanazt a hibafeltételt nem figyeli meg a riasztásgenerálástól számított 72 órán belül, a rendszer automatikusan feloldja a riasztást.

A rendszer értesítést kap arról, hogy "A hitelesítési kérelem (szintetikus tranzakció) tesztelése nem tudott jogkivonatot lekérni." Hogyan elhárítja a problémát?

A Microsoft Entra Connect Health for AD FS akkor hozza létre ezt a riasztást, ha az AD FS-kiszolgálón telepített állapotügynök nem tud jogkivonatot beszerezni az állapotügynök által kezdeményezett szintetikus tranzakció részeként. Az Állapotügynök a helyi rendszerkörnyezetet használja, és megkísérli lekérni egy jogkivonatot egy saját függő entitáshoz. Ez a viselkedés egy mindenható teszt, amely biztosítja, hogy az AD FS jogkivonatok kibocsátása állapotban legyen.

Ez a teszt leggyakrabban azért sikertelen, mert az állapotügynök nem tudja feloldani az AD FS-farm nevét. Ez az állapot akkor fordulhat elő, ha az AD FS-kiszolgálók egy hálózati terheléselosztó mögött vannak, és a kérést a terheléselosztó mögött található csomópont kezdeményezi (szemben a terheléselosztó előtti normál ügyfélrel). Ez a probléma az AD FS-kiszolgáló IP-címének vagy az AD FS-farm nevének (például) visszacsatolási IP-címének (127.0.0.1példáulsts.contoso.com) a "gazdagépek" fájljának C:\Windows\System32\drivers\etc frissítésével javítható. A gazdagépfájl hozzáadásával rövidre zárhatja a hálózati hívást, így az állapotügynök lekérheti a jogkivonatot.

Kaptam egy e-mailt, amely azt jelzi, hogy a gépeim NINCSENEK javítva a legutóbbi ransomware-támadásokhoz. Miért kaptam meg ezt az e-mailt?

A Microsoft Entra Connect Health szolgáltatás megvizsgálta az összes monitorozott gépet, hogy meggyőződjön a szükséges javítások telepítéséről. A rendszer elküldte az e-mailt a bérlő rendszergazdáinak, ha legalább egy gép nem rendelkezik a kritikus javításokkal. Ezt a meghatározást a következő logikával határozták meg.

  1. Keresse meg a gépen telepített összes gyorsjavítást.
  2. Ellenőrizze, hogy a megadott lista legalább egyik gyorsjavítása megtalálható-e.
  3. Ha igen, a gép védett. Ha nem, a gép veszélyben van a támadás miatt.

Ezt az ellenőrzést a következő PowerShell-szkripttel végezheti el manuálisan. Implementálja a fenti logikát.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Miért jelenik meg kevesebb szinkronizálási hiba az eredményben a Get-MsolDirSyncProvisioningError PowerShell-parancsmaggal?

A Get-MsolDirSyncProvisioningError csak DirSync kiépítési hibákat ad vissza. A Connect Health portálon egyéb szinkronizálási hibatípusok is megjelennek, például exportálási hibák. További információ a Microsoft Entra Connect Szinkronizálási hibáiról.

Miért nem jönnek létre az AD FS-auditjaim?

A Get-AdfsProperties -AuditLevel PowerShell-parancsmaggal győződjön meg arról, hogy a naplók nincsenek letiltva. További információ az AD FS naplózási naplóiról. Figyelje meg, hogy az AD FS-kiszolgálóra leküldött naplózási beállítások felülírják a auditpol.exe módosításait (ha az alkalmazás generált verziója nincs konfigurálva). Ebben az esetben állítsa be a helyi biztonsági szabályzatot az alkalmazás által generált hibák és sikerek naplózására.

Mikor újul meg automatikusan az ügynöktanúsítvány a lejárat előtt?

Az ügynöktanúsítvány a lejárati dátum előtt hat hónappal automatikusan megújul. Ha nem újul meg, győződjön meg arról, hogy az ügynök hálózati kapcsolata stabil. Az ügynökszolgáltatások újraindítása vagy a legújabb verzióra való frissítés szintén megoldhatja a problémát.