Dit artikel bevat antwoorden op veelgestelde vragen over Microsoft Entra Verbinding maken Health. Deze veelgestelde vragen hebben betrekking op vragen over het gebruik van de service, waaronder het factureringsmodel, mogelijkheden, beperkingen en ondersteuning.
Algemene vragen
Ik beheer meerdere Microsoft Entra-mappen. Hoe kan ik overschakelen naar het exemplaar met Microsoft Entra ID P1 of P2?
Als u wilt schakelen tussen verschillende Microsoft Entra-tenants , selecteert u de momenteel aangemelde gebruikersnaam in de rechterbovenhoek en kiest u vervolgens het juiste account. Als het account hier niet wordt vermeld, selecteert u Afmelden. Gebruik vervolgens de referenties van global Beheer istrator van de map waarvoor Microsoft Entra ID P1 of P2 (P1 of P2) is ingeschakeld om u aan te melden.
Welke versie van identiteitsrollen wordt ondersteund door Microsoft Entra Verbinding maken Health?
De volgende tabel bevat de rollen en ondersteunde besturingssysteemversies.
| Role | Besturingssysteem/versie |
|---|---|
| Active Directory Federation Services (AD FS) |
|
| Microsoft Entra Connect | Versie 1.0.9125 of hoger |
| Active Directory-domein Services (AD DS) |
|
Windows Server Core-installaties worden niet ondersteund.
De functies van de service kunnen verschillen op basis van de rol en het besturingssysteem. Alle functies zijn mogelijk niet beschikbaar voor alle besturingssysteemversies. Zie de functiebeschrijvingen voor meer informatie.
Hoeveel licenties heb ik nodig om mijn infrastructuur te bewaken?
- Voor de eerste Verbinding maken Health Agent is ten minste één Microsoft Entra P1- of P2-licentie vereist.
- Voor elke extra geregistreerde agent zijn 25 meer Microsoft Entra P1- of P2-licenties vereist.
- Aantal agents is gelijk aan het totale aantal agents dat is geregistreerd voor alle bewaakte rollen (AD FS, Microsoft Entra Verbinding maken en/of AD DS).
- Voor Microsoft Entra Verbinding maken Health-licenties hoeft u de licentie niet toe te wijzen aan specifieke gebruikers. U hoeft alleen het vereiste aantal geldige licenties te hebben.
Licentiegegevens vindt u ook op de prijzenpagina van Microsoft Entra.
Voorbeeld:
| Geregistreerde agents | Benodigde licenties | Voorbeeld van bewakingsconfiguratie |
|---|---|---|
| 1 | 1 | 1 Microsoft Entra Verbinding maken-server |
| 2 | 26 | 1 Microsoft Entra Verbinding maken server en 1 domeincontroller |
| 3 | 51 | 1 AD FS-server (Active Directory Federation Services), 1 AD FS-proxy en 1 domeincontroller |
| 4 | 76 | 1 AD FS-server, 1 AD FS-proxy en 2 domeincontrollers |
| 5 | 101 | 1 Microsoft Entra Verbinding maken server, 1 AD FS-server, 1 AD FS-proxy en 2 domeincontrollers |
Installatievragen
Wordt de installatie van mijn agent automatisch bijgewerkt wanneer er een nieuwe versie van de agent is?
Ja, alle agents worden automatisch bijgewerkt wanneer er een nieuwe versie van de agent is.
Kan ik me afmelden of de automatische upgrade van de agent uitschakelen?
Nee, automatische upgrade is verplicht. Als u niet wilt dat de agent wordt bijgewerkt wanneer er een nieuwe versie wordt uitgebracht, moet u de agent verwijderen.
Wat is de impact van het installeren van de Microsoft Entra Verbinding maken Health Agent op afzonderlijke servers?
De impact van het installeren van de Microsoft Entra Verbinding maken Health Agent, AD FS, webtoepassingsproxyservers, Microsoft Entra Verbinding maken (synchronisatie) servers, domeincontrollers is minimaal met betrekking tot de CPU, geheugenverbruik, netwerkbandbreedte en opslag.
De volgende getallen zijn een benadering:
- CPU-verbruik: ~1-5% toename.
- Geheugenverbruik: tot 10 % van het totale systeemgeheugen.
Notitie
Als de agent niet kan communiceren met Azure, slaat de agent de gegevens lokaal op voor een gedefinieerde maximumlimiet. De agent overschrijft de gegevens in de cache op basis van 'minst recent onderhouden'.
- Lokale bufferopslag voor Microsoft Entra Verbinding maken Health Agents: ~20 MB.
- Voor AD FS-servers wordt u aangeraden een schijfruimte van 1024 MB (1 GB) in te richten voor het AD FS-auditkanaal voor Microsoft Entra Verbinding maken Health Agents voor het verwerken van alle controlegegevens voordat deze worden overschreven.
Moet ik mijn servers opnieuw opstarten tijdens de installatie van de Microsoft Entra Verbinding maken Health Agents?
Nee Voor de installatie van de agents hoeft u de server niet opnieuw op te starten. Voor de installatie van een aantal vereiste stappen is echter mogelijk opnieuw opstarten van de server vereist.
De installatie van .NET 4.6.2 Framework kan bijvoorbeeld vereisen dat de server opnieuw wordt opgestart.
Werkt Microsoft Entra Verbinding maken Health via een passthrough-HTTP-proxy?
Ja. Voor lopende bewerkingen kunt u de Health Agent configureren voor het gebruik van een HTTP-proxy voor het doorsturen van uitgaande HTTP-aanvragen. Lees meer over het configureren van http-proxy voor statusagents.
Als u een proxy moet configureren tijdens de registratie van de agent, moet u mogelijk vooraf de proxy-instellingen van Internet Explorer wijzigen.
- Open Internet Explorer >Instellingen> Internet options> Verbinding maken ions>LAN Instellingen.
- Selecteer Een proxyserver gebruiken voor uw LAN.
- Selecteer Geavanceerd als u verschillende proxypoorten voor HTTP en HTTPS/Secure hebt.
Biedt Microsoft Entra Verbinding maken Health ondersteuning voor basisverificatie bij het maken van verbinding met HTTP-proxy's?
Nee Een mechanisme voor het opgeven van een willekeurige gebruikersnaam en wachtwoord voor basisverificatie wordt momenteel niet ondersteund.
Welke firewallpoorten moet ik openen voor de Microsoft Entra Verbinding maken Health Agent?
Zie de sectie Vereisten voor de lijst met firewallpoorten en andere connectiviteitsvereisten.
Waarom zie ik twee servers met dezelfde naam in de Microsoft Entra Verbinding maken Health-portal?
Wanneer u een agent van een server verwijdert, wordt de server niet automatisch verwijderd uit de Microsoft Entra Verbinding maken Health-portal. Als u handmatig een agent van een server verwijdert of de server zelf verwijdert, moet u de serververmelding handmatig verwijderen uit de Microsoft Entra Verbinding maken Health-portal. Als u bewaakte servers wilt verwijderen uit Microsoft Entra Verbinding maken Health, moet u beschikken over microsoft Entra Global Beheer istrator-accountmachtigingen of de rol Inzender in op rollen gebaseerd toegangsbeheer van Azure.
U kunt een nieuwe installatiekopie van een server maken of een nieuwe server maken met dezelfde gegevens (zoals de computernaam). Als u de reeds geregistreerde server niet hebt verwijderd uit de Microsoft Entra Verbinding maken Health-portal en u de agent op de nieuwe server hebt geïnstalleerd, ziet u mogelijk twee vermeldingen met dezelfde naam.
Verwijder in dit geval handmatig de vermelding die deel uitmaakt van de oudere server. De gegevens voor deze server moeten verouderd zijn.
Kan ik de Microsoft Entra Verbinding maken Health-agent installeren in Windows Server Core?
Nee Installatie op Server Core wordt niet ondersteund.
Registratie van statusagent en nieuwheid van gegevens
Wat zijn veelvoorkomende redenen voor de registratiefouten van de Health Agent en hoe los ik problemen op?
De statusagent kan om de volgende mogelijke redenen niet registreren:
- De agent kan niet communiceren met de vereiste eindpunten omdat een firewall verkeer blokkeert. Dit probleem is gebruikelijk op webtoepassingsproxyservers. Zorg ervoor dat u uitgaande communicatie naar de vereiste eindpunten en poorten hebt toegestaan. Zie de sectie met vereisten voor meer informatie.
- Uitgaande communicatie wordt onderworpen aan een TLS-inspectie door de netwerklaag. Dit zorgt ervoor dat het certificaat dat de agent gebruikt wordt vervangen door de inspectieserver/entiteit en dat de stappen voor het voltooien van de agentregistratie mislukken.
- De gebruiker heeft geen toegang om de registratie van de agent uit te voeren. Globale beheerders hebben standaard toegang. U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot andere gebruikers te delegeren.
Ik krijg een waarschuwing dat Health Service-gegevens niet up-to-date zijn. Hoe kan ik het probleem oplossen?
Microsoft Entra Verbinding maken Health genereert de waarschuwing wanneer deze in de afgelopen twee uur niet alle gegevenspunten van de server ontvangt. Meer informatie.
Vragen over bewerkingen
Moet ik controle inschakelen op de webtoepassingsproxyservers?
Nee, controle hoeft niet te worden ingeschakeld op de webtoepassingsproxyservers.
Hoe worden Microsoft Entra Verbinding maken Health Alerts opgelost?
Microsoft Entra Verbinding maken Health-waarschuwingen worden opgelost op basis van een geslaagde voorwaarde. Microsoft Entra Verbinding maken Health Agents detecteren en rapporteren de succesvoorwaarden regelmatig aan de service. Voor een paar waarschuwingen is de onderdrukking op basis van tijd. Met andere woorden, als dezelfde foutvoorwaarde niet binnen 72 uur na het genereren van waarschuwingen wordt waargenomen, wordt de waarschuwing automatisch opgelost.
Ik krijg een waarschuwing dat 'Test Authentication Request (Synthetic Transaction) kan geen token verkrijgen.' Hoe kan ik het probleem oplossen?
Microsoft Entra Verbinding maken Health voor AD FS genereert deze waarschuwing wanneer de Health Agent die op een AD FS-server is geïnstalleerd, geen token kan verkrijgen als onderdeel van een synthetische transactie die is geïnitieerd door de Health Agent. De Health-agent gebruikt de lokale systeemcontext en probeert een token op te halen voor een self relying party. Dit gedrag is een catch-all-test om ervoor te zorgen dat AD FS zich in een status van uitgiftetokens bevindt.
Deze test mislukt meestal omdat de Health Agent de naam van de AD FS-farm niet kan oplossen. Deze status kan optreden als de AD FS-servers zich achter een netwerk load balancers bevinden en de aanvraag wordt gestart vanaf een knooppunt achter de load balancer (in plaats van een gewone client die zich vóór de load balancer bevindt). Dit probleem kan worden opgelost door het bestand 'hosts' onder 'C:\Windows\System32\drivers\etc' bij te werken om het IP-adres van de AD FS-server of een loopback-IP-adres (127.0.0.1) op te nemen voor de AD FS-farmnaam (zoals sts.contoso.com). Als u het hostbestand toevoegt, wordt de netwerkoproep kortsluiting uitgevoerd, waardoor de Health Agent het token kan ophalen.
Ik heb een e-mail ontvangen die aangeeft dat mijn machines niet zijn gepatcht voor de recente ransomware-aanvallen. Waarom heb ik deze e-mail ontvangen?
Microsoft Entra Verbinding maken Health Service heeft alle computers gescand die worden bewaakt om ervoor te zorgen dat de vereiste patches zijn geïnstalleerd. Het e-mailbericht is verzonden naar de tenantbeheerders als ten minste één computer de kritieke patches niet heeft. De volgende logica is gebruikt om deze beslissing te nemen.
- Zoek alle hotfixes die op de computer zijn geïnstalleerd.
- Controleer of ten minste één van de HotFixes uit de gedefinieerde lijst aanwezig is.
- Zo ja, dan is de machine beveiligd. Zo niet, dan loopt de machine het risico op de aanval.
U kunt het volgende PowerShell-script gebruiken om deze controle handmatig uit te voeren. De bovenstaande logica wordt geïmplementeerd.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Waarom worden in de PowerShell-cmdlet Get-MsolDirSyncProvisioningError minder synchronisatiefouten weergegeven in het resultaat?
Get-MsolDirSyncProvisioningError retourneert alleen DirSync-inrichtingsfouten. In de Verbinding maken Health-portal ziet u ook andere synchronisatiefouttypen, zoals exportfouten. Lees meer over Microsoft Entra Verbinding maken Synchronisatiefouten.
Waarom worden mijn AD FS-controles niet gegenereerd?
Gebruik de PowerShell-cmdlet Get-AdfsProperties -AuditLevel om ervoor te zorgen dat auditlogboeken niet de status Uitgeschakeld hebben. Lees meer over AD FS-auditlogboeken. U ziet dat er geavanceerde controle-instellingen naar de AD FS-server worden gepusht, eventuele wijzigingen met auditpol.exe worden overschreven (gebeurtenis als toepassing gegenereerd niet is geconfigureerd). In dit geval stelt u het lokale beveiligingsbeleid in om gegenereerde fouten en geslaagde toepassingsfouten te registreren.
Wanneer wordt het agentcertificaat automatisch vernieuwd voordat het verloopt?
De agentcertificering wordt 6 maanden vóór de vervaldatum automatisch verlengd. Als deze niet wordt vernieuwd, controleert u of de netwerkverbinding van de agent stabiel is. Het probleem kan ook worden opgelost door de agentservices opnieuw op te starten of bij te werken naar de nieuwste versie.
Verwante koppelingen
- Microsoft Entra Verbinding maken Health
- Installatie van Microsoft Entra Verbinding maken Health Agent
- Microsoft Entra Verbinding maken Health-bewerkingen
- Microsoft Entra Verbinding maken Health gebruiken met AD FS
- Microsoft Entra Verbinding maken Health gebruiken voor synchronisatie
- Microsoft Entra Verbinding maken Health gebruiken met AD DS
- Versiegeschiedenis van Microsoft Entra Verbinding maken Health