Artikel ini mencakup jawaban atas tanya jawab umum (FAQ) tentang Microsoft Entra Connect Health. Tanya Jawab Umum ini membahas pertanyaan tentang cara menggunakan layanan yang mencakup model penagihan, kemampuan, batasan, dan dukungan.
Pertanyaan umum
Saya mengelola beberapa direktori Microsoft Entra. Bagaimana cara beralih ke yang memiliki Microsoft Entra ID P1 atau P2?
Untuk beralih di antara penyewa Microsoft Entra yang berbeda, pilih Nama Pengguna yang saat ini masuk di sudut kanan atas, lalu pilih akun yang sesuai. Jika akun tidak tercantum di sini, pilih Keluar. Selanjutnya, gunakan info masuk Administrator Global direktori yang mengaktifkan Microsoft Entra ID P1 atau P2 (P1 atau P2) untuk masuk.
Versi peran identitas apa yang didukung oleh Microsoft Entra Connect Health?
Tabel berikut mencantumkan peran dan versi sistem operasi yang didukung.
Peran | Sistem operasi / Versi |
---|---|
Active Directory Federation Services (AD FS) |
|
Microsoft Entra Connect | Versi 1.0.9125 atau lebih tinggi |
Active Directory Domain Services (AD DS) |
|
Penginstalan Windows Server Core tidak didukung.
Fitur yang disediakan oleh layanan mungkin berbeda berdasarkan peran dan sistem operasi. Semua fitur mungkin tidak tersedia, untuk semua versi sistem operasi. Lihat deskripsi fitur untuk detailnya.
Berapa banyak lisensi yang saya perlukan untuk memantau infrastruktur saya?
- Connect Health Agent pertama memerlukan setidaknya satu lisensi Microsoft Entra P1 atau P2.
- Setiap agen terdaftar tambahan memerlukan 25 lisensi Microsoft Entra P1 atau P2 lainnya.
- Jumlah agen setara dengan jumlah total agen yang terdaftar di semua peran yang dipantau (AD FS, Microsoft Entra Connect, dan/atau AD DS).
- Lisensi Microsoft Entra Connect Health tidak mengharuskan Anda menetapkan lisensi untuk pengguna tertentu. Anda hanya perlu memiliki jumlah lisensi yang valid yang diperlukan.
Informasi lisensi juga ditemukan di halaman harga Microsoft Entra.
Contoh:
Agen terdaftar | Lisensi diperlukan | Contoh konfigurasi pemantauan |
---|---|---|
1 | 1 | 1 Server Microsoft Entra Connect |
2 | 26 | 1 Server Microsoft Entra Connect dan 1 pengendali domain |
3 | 51 | 1 Server Active Directory Federation Services (AD FS), 1 proksi AD FS, dan 1 pengontrol domain |
4 | 76 | 1 Server AD FS, 1 proksi AD FS, dan 2 pengontrol domain |
5 | 101 | 1 Server Microsoft Entra Connect, 1 server LAYANAN Federasi Direktori Aktif, 1 proksi LAYANAN Federasi Direktori Aktif, dan 2 pengontrol domain |
Pertanyaan penginstalan umum
Apakah penginstalan agen saya otomatis diperbarui ketika ada agen versi baru?
Ya, semua agen akan otomatis diperbarui ketika ada agen versi bari.
Dapatkah saya menolak atau menonaktifkan peningkatan otomatis agen?
Tidak, peningkatan otomatis bersifat wajib. Jika Anda tidak ingin agen ditingkatkan saat versi baru dirilis, Anda harus menghapus instalan agen.
Apa dampak menginstal Microsoft Entra Connect Health Agent pada server individual?
Dampak menginstal Microsoft Entra Connect Health Agent, AD FS, server proksi aplikasi web, server Microsoft Entra Connect (sinkronisasi), pengontrol domain minimal sehubungan dengan CPU, konsumsi memori, bandwidth jaringan, dan penyimpanan.
Angka-angka berikut adalah perkiraan:
- Konsumsi CPU: ~ peningkatan 1-5%.
- Konsumsi memori: Hingga 10% dari total memori sistem.
Catatan
Jika agen tidak dapat berkomunikasi dengan Azure, agen menyimpan data secara lokal untuk batas maksimum yang ditentukan. Agen menimpa data "cache" berdasarkan "paling sedikit dilayani baru-baru ini".
- Penyimpanan buffer lokal untuk Microsoft Entra Connect Health Agents: ~20 MB.
- Untuk server Layanan Federasi Direktori Aktif, kami sarankan Anda menyediakan ruang disk sebesar 1.024 MB (1 GB) untuk saluran audit Layanan Federasi Direktori Aktif untuk Agen Kesehatan Microsoft Entra Connect untuk memproses semua data audit sebelum ditimpa.
Apakah saya harus me-reboot server saya selama penginstalan Microsoft Entra Connect Health Agents?
Tidak. Penginstalan agen tidak akan mengharuskan Anda untuk me-reboot server. Namun, penginstalan beberapa langkah prasyarat mungkin memerlukan reboot server.
Misalnya, penginstalan .NET 4.6.2 Framework mungkin memerlukan boot ulang server.
Apakah Microsoft Entra Connect Health berfungsi melalui proksi HTTP pass-through?
Ya. Untuk operasi yang sedang berlangsung, Anda dapat mengonfigurasi Health Agent untuk menggunakan proksi HTTP untuk meneruskan permintaan HTTP keluar. Baca selengkapnya tentang mengonfigurasi Proksi HTTP untuk Health Agent.
Jika perlu mengonfigurasi proksi selama pendaftaran agen, Anda mungkin perlu mengubah pengaturan Internet Explorer Proxy terlebih dulu.
- Buka Internet Explorer >Pengaturan>Opsi Internet>Koneksi>Pengaturan LAN.
- Pilih Gunakan Proxy Server untuk LAN Anda.
- Pilih Tingkat Lanjut jika Anda memiliki port proksi yang berbeda untuk HTTP dan HTTPS/Secure.
Apakah Microsoft Entra Connect Health mendukung autentikasi Dasar saat menyambungkan ke proksi HTTP?
Tidak. Mekanisme untuk menentukan kata sandi dan nama pengguna arbitrer untuk Autentikasi dasar saat ini tidak didukung.
Port firewall apa yang perlu saya buka agar Microsoft Entra Connect Health Agent berfungsi?
Lihat bagian persyaratan untuk daftar port firewall dan persyaratan konektivitas lainnya.
Mengapa saya melihat dua server dengan nama yang sama di portal Microsoft Entra Connect Health?
Saat Anda menghapus agen dari server, server tidak dihapus secara otomatis dari portal Microsoft Entra Connect Health. Jika Anda menghapus agen secara manual dari server atau menghapus server itu sendiri, Anda perlu menghapus entri server secara manual dari portal Microsoft Entra Connect Health. Untuk menghapus server yang dipantau dari Microsoft Entra Connect Health, Anda harus memiliki izin akun Administrator Global Microsoft Entra atau peran Kontributor dalam kontrol akses berbasis peran Azure.
Anda bisa mengganti server atau membuat server baru dengan detail yang sama (seperti nama komputer). Jika Anda tidak menghapus server yang sudah terdaftar dari portal Microsoft Entra Connect Health, dan Anda menginstal agen di server baru, Anda mungkin melihat dua entri dengan nama yang sama.
Dalam hal ini, hapus entri yang dimiliki secara manual milik server yang lebih lama. Data untuk server ini seharusnya sudah kedaluwarsa.
Dapatkah saya menginstal agen Microsoft Entra Connect Health di Windows Server Core?
Tidak. Penginstalan pada Server Core tidak didukung.
Setelah menginstal Sinkronisasi Microsoft Entra Connect, dengan akun yang memiliki peran Administrator Hibrid, mengapa Connect Health for Sync Agent dinonaktifkan di layanan?
Untuk menginstal Connect Health for Sync Agent, Anda harus menjadi Administrator Global. Untuk mengaktifkan agen, Anda perlu menginstal ulang agen menggunakan akun administrator global.
Pendaftaran Health Agent dan kesegaran data
Apa alasan umum kegagalan pendaftaran Health Agent dan bagaimana cara memecahkan masalah?
Health agent dapat gagal didaftarkan karena alasan berikut:
- Agen tidak dapat berkomunikasi dengan titik akhir yang diperlukan karena firewall memblokir lalu lintas. Masalah ini sangat umum di server proksi aplikasi web. Pastikan Bahwa Anda telah mengizinkan komunikasi keluar ke titik akhir dan port yang diperlukan. Lihat bagian persyaratan untuk detailnya.
- Komunikasi keluar akan menjalani pemeriksaan TLS oleh lapisan jaringan. Ini menyebabkan sertifikat yang digunakan agen untuk digantikan oleh server/entitas inspeksi, dan langkah-langkah untuk menyelesaikan pendaftaran agen gagal.
- Pengguna tidak dapat melakukan pendaftaran agen. Administrator Global dapat secara default. Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk mendelegasikan akses ke pengguna lain.
Saya mendapatkan pemberitahuan bahwa "Data Layanan Kesehatan tidak diperbarui." Bagaimana cara mengatasi masalah ini?
Microsoft Entra Connect Health menghasilkan pemberitahuan saat tidak menerima semua poin data dari server dalam dua jam terakhir. Baca selengkapnya.
Pertanyaan operasi
Apakah saya perlu mengaktifkan audit pada server proxy aplikasi web?
Tidak, audit tidak perlu diaktifkan pada server proksi aplikasi web.
Bagaimana Microsoft Entra Connect Health Alerts diselesaikan?
Pemberitahuan Microsoft Entra Connect Health diselesaikan dengan kondisi keberhasilan. Agen Microsoft Entra Connect Health mendeteksi dan melaporkan kondisi keberhasilan ke layanan secara berkala. Untuk beberapa pemberitahuan, supresi berbasis waktu. Dengan kata lain, jika kondisi kesalahan yang sama tidak diamati dalam waktu 72 jam dari pembuatan peringatan, peringatan akan otomatis diselesaikan.
Saya mendapat pemberitahuan bahwa "Permintaan Autentikasi Pengujian (Transaksi Sintetis) gagal mendapatkan token." Bagaimana cara mengatasi masalah ini?
Microsoft Entra Connect Health untuk Layanan Federasi Direktori Aktif menghasilkan pemberitahuan ini ketika Agen Kesehatan yang diinstal pada server Layanan Federasi Direktori Aktif gagal mendapatkan token sebagai bagian dari transaksi sintetis yang dimulai oleh Agen Kesehatan. Health Agent menggunakan konteks sistem lokal dan berusaha untuk mendapatkan token untuk pihak yang mengandalkan diri sendiri. Perilaku ini adalah tes catch-all untuk memastikan bahwa AD FS dalam status menerbitkan token.
Umumnya, tes ini gagal karena Health Agent tidak dapat menyelesaikan nama farm AD FS. Status dapat terjadi jika server AD FS berada di belakang load balancer jaringan dan permintaan akan dimulai dari node yang berada di belakang load balancer (dibandingkan dengan klien reguler yang berada di depan load balancer). Masalah ini dapat diperbaiki dengan memperbarui file "host" yang terletak di bawah C:\Windows\System32\drivers\etc
untuk menyertakan alamat IP server AD FS atau alamat IP loopback (127.0.0.1
) untuk nama farm AD FS (seperti sts.contoso.com
). Menambahkan file host akan mengakibatkan short-circuit pada panggilan jaringan sehingga memungkinkan Health Agent untuk mendapatkan token.
Saya mendapat email yang menunjukkan bahwa mesin saya TIDAK ditambal untuk serangan ransomware baru-baru ini. Mengapa saya menerima email berikut ini?
Layanan Microsoft Entra Connect Health memindai semua komputer yang dipantaunya untuk memastikan patch yang diperlukan diinstal. Email dikirim ke administrator penyewa jika setidaknya satu komputer tidak memiliki patch penting. Logika berikut digunakan untuk membuat penetapan ini.
- Temukan semua hotfix yang terpasang pada komputer.
- Periksa apakah setidaknya salah satu HotFix dari daftar yang ditentukan ada.
- Jika Ya, komputer terlindungi. Jika Tidak, komputer berisiko terkena serangan tersebut.
Anda dapat menggunakan skrip PowerShell berikut ini untuk melakukan pemeriksaan ini secara manual. Ini mengimplementasikan logika di atas.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Mengapa cmdlet PowerShell 'Get-MsolDirSyncProvisioningError' menunjukkan lebih sedikit kesalahan sinkronisasi dalam hasil?
Get-MsolDirSyncProvisioningError hanya akan mengembalikan kesalahan penyediaan DirSync. Selain itu, portal Connect Health juga menampilkan jenis kesalahan sinkronisasi lainnya seperti kesalahan ekspor. Baca selengkapnya tentang kesalahan Sinkronisasi Microsoft Entra Connect.
Mengapa audit AD FS saya tidak dibuat?
Harap gunakan cmdlet PowerShell Get-AdfsProperties -AuditLevel untuk memastikan log audit tidak dalam status nonaktif. Baca selengkapnya tentang log audit AD FS. Perhatikan apakah ada pengaturan audit yang didorong ke server Layanan Federasi Direktori Aktif, setiap perubahan dengan auditpol.exe akan ditimpa (peristiwa jika Aplikasi Yang Dihasilkan tidak dikonfigurasi). Dalam hal ini, atur kebijakan keamanan lokal untuk mencatat kegagalan dan keberhasilan Aplikasi yang Dihasilkan.
Kapan sertifikat agen otomatis diperbarui sebelum kedaluwarsa?
Sertifikasi agen akan diperpanjang secara otomatis enam bulan sebelum tanggal kedaluwarsanya. Jika tidak diperpanjang, pastikan koneksi jaringan agen stabil. Mulai ulang layanan agen atau pembaruan ke versi terbaru juga dapat menyelesaikan masalah.
Tautan terkait
- Microsoft Entra Connect Health
- Penginstalan Agen Microsoft Entra Connect Health
- Operasi Microsoft Entra Connect Health
- Menggunakan Microsoft Entra Connect Health dengan Layanan Federasi Direktori Aktif
- Menggunakan Microsoft Entra Connect Health untuk sinkronisasi
- Menggunakan Microsoft Entra Connect Health dengan AD DS
- Riwayat versi Microsoft Entra Connect Health