Dit artikel bevat antwoorden op veelgestelde vragen over Microsoft Entra Connect Health. Deze veelgestelde vragen hebben betrekking op vragen over het gebruik van de service, waaronder het factureringsmodel, mogelijkheden, beperkingen en ondersteuning.
Algemene vragen
Ik beheer meerdere Microsoft Entra-mappen. Hoe kan ik overschakelen naar het exemplaar met Microsoft Entra ID P1 of P2?
Als u wilt schakelen tussen verschillende Microsoft Entra-tenants , selecteert u de momenteel aangemelde gebruikersnaam in de rechterbovenhoek en kiest u vervolgens het juiste account. Als het account hier niet wordt vermeld, selecteert u Afmelden. Gebruik vervolgens de referenties van de globale beheerder van de map waarvoor Microsoft Entra ID P1 of P2 (P1 of P2) is ingeschakeld om u aan te melden.
Welke versie van identiteitsrollen wordt ondersteund door Microsoft Entra Connect Health?
De volgende tabel bevat de rollen en ondersteunde besturingssysteemversies.
| Rol | Besturingssysteem/versie |
|---|---|
| Active Directory Federation Services (AD FS) |
|
| Microsoft Entra Connect | Versie 1.0.9125 of hoger |
| Active Directory-domein Services (AD DS) |
|
Windows Server Core-installaties worden niet ondersteund.
De functies van de service kunnen verschillen op basis van de rol en het besturingssysteem. Alle functies zijn mogelijk niet beschikbaar voor alle besturingssysteemversies. Zie de functiebeschrijvingen voor meer informatie.
Hoeveel licenties heb ik nodig om mijn infrastructuur te bewaken?
- Voor de eerste Connect Health Agent is ten minste één Microsoft Entra P1- of P2-licentie vereist.
- Voor elke extra geregistreerde agent zijn 25 meer Microsoft Entra P1- of P2-licenties vereist.
- Aantal agents is gelijk aan het totale aantal agents dat is geregistreerd voor alle bewaakte rollen (AD FS, Microsoft Entra Connect en/of AD DS).
- Voor Microsoft Entra Connect Health-licenties hoeft u de licentie niet toe te wijzen aan specifieke gebruikers. U hoeft alleen het vereiste aantal geldige licenties te hebben.
Licentiegegevens vindt u ook op de prijzenpagina van Microsoft Entra.
Voorbeeld:
| Geregistreerde agents | Benodigde licenties | Voorbeeld van bewakingsconfiguratie |
|---|---|---|
| 1 | 1 | 1 Microsoft Entra Connect-server |
| 2 | 26 | 1 Microsoft Entra Connect-server en 1 domeincontroller |
| 3 | 51 | 1 AD FS-server (Active Directory Federation Services), 1 AD FS-proxy en 1 domeincontroller |
| 4 | 76 | 1 AD FS-server, 1 AD FS-proxy en 2 domeincontrollers |
| 5 | 101 | 1 Microsoft Entra Connect-server, 1 AD FS-server, 1 AD FS-proxy en 2 domeincontrollers |
Installatievragen
Wordt de installatie van mijn agent automatisch bijgewerkt wanneer er een nieuwe versie van de agent is?
Ja, alle agents worden automatisch bijgewerkt wanneer er een nieuwe versie van de agent is.
Kan ik me afmelden of de automatische upgrade van de agent uitschakelen?
Nee, automatische upgrade is verplicht. Als u niet wilt dat de agent wordt bijgewerkt wanneer er een nieuwe versie wordt uitgebracht, moet u de agent verwijderen.
Wat is de impact van het installeren van de Microsoft Entra Connect Health Agent op afzonderlijke servers?
De impact van het installeren van de Microsoft Entra Connect Health Agent, AD FS, webtoepassingsproxyservers, Microsoft Entra Connect -servers (synchronisatieservers), domeincontrollers is minimaal met betrekking tot de CPU, geheugenverbruik, netwerkbandbreedte en opslag.
De volgende getallen zijn een benadering:
- CPU-verbruik: ~1-5% toename.
- Geheugenverbruik: tot 10 % van het totale systeemgeheugen.
Notitie
Als de agent niet kan communiceren met Azure, slaat de agent de gegevens lokaal op voor een gedefinieerde maximumlimiet. De agent overschrijft de gegevens in de cache op basis van 'minst recent onderhouden'.
- Lokale bufferopslag voor Microsoft Entra Connect Health Agents: ~20 MB.
- Voor AD FS-servers wordt u aangeraden een schijfruimte van 1024 MB (1 GB) in te richten voor het AD FS-auditkanaal voor Microsoft Entra Connect Health Agents om alle controlegegevens te verwerken voordat deze worden overschreven.
Moet ik mijn servers opnieuw opstarten tijdens de installatie van de Microsoft Entra Connect Health Agents?
Nee. Voor de installatie van de agents hoeft u de server niet opnieuw op te starten. Voor de installatie van een aantal vereiste stappen is echter mogelijk opnieuw opstarten van de server vereist.
De installatie van .NET 4.6.2 Framework kan bijvoorbeeld vereisen dat de server opnieuw wordt opgestart.
Werkt Microsoft Entra Connect Health via een passthrough-HTTP-proxy?
Ja. Voor lopende bewerkingen kunt u de Health Agent configureren voor het gebruik van een HTTP-proxy voor het doorsturen van uitgaande HTTP-aanvragen. Lees meer over het configureren van http-proxy voor statusagents.
Als u een proxy moet configureren tijdens de registratie van de agent, moet u mogelijk vooraf de proxy-instellingen van Internet Explorer wijzigen.
- Open De LAN-instellingen voor Internet Explorer-instellingen >>voor internetopties.>>
- Selecteer Een proxyserver gebruiken voor uw LAN.
- Selecteer Geavanceerd als u verschillende proxypoorten voor HTTP en HTTPS/Secure hebt.
Biedt Microsoft Entra Connect Health ondersteuning voor basisverificatie bij het maken van verbinding met HTTP-proxy's?
Nee. Een mechanisme voor het opgeven van een willekeurige gebruikersnaam en wachtwoord voor basisverificatie wordt momenteel niet ondersteund.
Welke firewallpoorten moet ik openen om de Microsoft Entra Connect Health Agent te laten werken?
Zie de sectie Vereisten voor de lijst met firewallpoorten en andere connectiviteitsvereisten.
Waarom zie ik twee servers met dezelfde naam in de Microsoft Entra Connect Health-portal?
Wanneer u een agent van een server verwijdert, wordt de server niet automatisch verwijderd uit de Microsoft Entra Connect Health-portal. Als u handmatig een agent van een server verwijdert of de server zelf verwijdert, moet u de serververmelding handmatig verwijderen uit de Microsoft Entra Connect Health-portal. Als u bewaakte servers wilt verwijderen uit Microsoft Entra Connect Health, moet u beschikken over de machtigingen van het Microsoft Entra Global Administrator-account of de rol Inzender in op rollen gebaseerd toegangsbeheer van Azure.
U kunt een nieuwe installatiekopie van een server maken of een nieuwe server maken met dezelfde gegevens (zoals de computernaam). Als u de reeds geregistreerde server niet hebt verwijderd uit de Microsoft Entra Connect Health-portal en u de agent op de nieuwe server hebt geïnstalleerd, ziet u mogelijk twee vermeldingen met dezelfde naam.
Verwijder in dit geval handmatig de vermelding die deel uitmaakt van de oudere server. De gegevens voor deze server moeten verouderd zijn.
Kan ik de Microsoft Entra Connect Health-agent installeren op Windows Server Core?
Nee. Installatie op Server Core wordt niet ondersteund.
Waarom is de Connect Health for Sync-agent in services uitgeschakeld na de installatie van Microsoft Entra Connect Sync, met een account met de rol Hybride beheerder?
Als u de Connect Health for Sync-agent wilt installeren, moet u een globale beheerder zijn. Als u de agent wilt activeren, moet u de agent opnieuw installeren met behulp van een globale beheerdersaccount.
Registratie van statusagent en nieuwheid van gegevens
Wat zijn veelvoorkomende redenen voor de registratiefouten van de Health Agent en hoe los ik problemen op?
De statusagent kan om de volgende mogelijke redenen niet registreren:
- De agent kan niet communiceren met de vereiste eindpunten omdat een firewall verkeer blokkeert. Dit probleem is gebruikelijk op webtoepassingsproxyservers. Zorg ervoor dat u uitgaande communicatie naar de vereiste eindpunten en poorten hebt toegestaan. Zie de sectie Vereisten voor meer informatie.
- Uitgaande communicatie wordt onderworpen aan een TLS-inspectie door de netwerklaag. Dit zorgt ervoor dat het certificaat dat de agent gebruikt wordt vervangen door de inspectieserver/entiteit en dat de stappen voor het voltooien van de agentregistratie mislukken.
- De gebruiker kan de registratie van de agent niet uitvoeren. Globale beheerders kunnen standaard. U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om toegang tot andere gebruikers te delegeren.
Ik krijg een waarschuwing dat Health Service-gegevens niet up-to-date zijn. Hoe kan ik het probleem oplossen?
Microsoft Entra Connect Health genereert de waarschuwing wanneer deze in de afgelopen twee uur niet alle gegevenspunten van de server ontvangt. Lees meer.
Vragen over bewerkingen
Moet ik controle inschakelen op de webtoepassingsproxyservers?
Nee, controle hoeft niet te worden ingeschakeld op de webtoepassingsproxyservers.
Hoe worden Microsoft Entra Connect Health-waarschuwingen opgelost?
Microsoft Entra Connect Health-waarschuwingen worden opgelost op basis van een geslaagde voorwaarde. Microsoft Entra Connect Health Agents detecteren en rapporteren de succesvoorwaarden regelmatig aan de service. Voor een paar waarschuwingen is de onderdrukking gebaseerd op tijd. Met andere woorden, als dezelfde foutvoorwaarde niet binnen 72 uur na het genereren van waarschuwingen wordt waargenomen, wordt de waarschuwing automatisch opgelost.
Ik krijg een waarschuwing dat 'Verificatieaanvraag testen (synthetische transactie) geen token kan verkrijgen.' Hoe kan ik het probleem oplossen?
Microsoft Entra Connect Health voor AD FS genereert deze waarschuwing wanneer de Health Agent die op een AD FS-server is geïnstalleerd, geen token kan verkrijgen als onderdeel van een synthetische transactie die is geïnitieerd door de Health Agent. De Health-agent gebruikt de lokale systeemcontext en probeert een token op te halen voor een self relying party. Dit gedrag is een catch-all-test om ervoor te zorgen dat AD FS zich in een status van uitgiftetokens bevindt.
Deze test mislukt meestal omdat de Health Agent de naam van de AD FS-farm niet kan oplossen. Deze status kan optreden als de AD FS-servers zich achter een netwerk load balancers bevinden en de aanvraag wordt gestart vanaf een knooppunt achter de load balancer (in plaats van een gewone client die zich vóór de load balancer bevindt). Dit probleem kan worden opgelost door het 'hosts'-bestand onder C:\Windows\System32\drivers\etc bij te werken om het IP-adres van de AD FS-server of een loopback-IP-adres (127.0.0.1) voor de AD FS-farmnaam (zoals sts.contoso.com). Als u het hostbestand toevoegt, wordt de netwerkoproep kortsluiting uitgevoerd, waardoor de Health Agent het token kan ophalen.
Ik heb een e-mail ontvangen die aangeeft dat mijn machines niet zijn gepatcht voor de recente ransomware-aanvallen. Waarom heb ik deze e-mail ontvangen?
De Microsoft Entra Connect Health-service heeft alle computers gescand die worden bewaakt om ervoor te zorgen dat de vereiste patches zijn geïnstalleerd. Het e-mailbericht is naar de tenantbeheerders verzonden als ten minste één computer niet over de kritieke patches beschikt. De volgende logica is gebruikt om deze beslissing te nemen.
- Zoek alle hotfixes die op de computer zijn geïnstalleerd.
- Controleer of ten minste één van de HotFixes uit de gedefinieerde lijst aanwezig is.
- Zo ja, dan is de machine beveiligd. Zo niet, dan loopt de machine het risico op de aanval.
U kunt het volgende PowerShell-script gebruiken om deze controle handmatig uit te voeren. De bovenstaande logica wordt geïmplementeerd.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Waarom worden in de PowerShell-cmdlet Get-MsolDirSyncProvisioningError minder synchronisatiefouten weergegeven in het resultaat?
Get-MsolDirSyncProvisioningError retourneert alleen DirSync-inrichtingsfouten. In de Connect Health-portal worden ook andere synchronisatiefouttypen weergegeven, zoals exportfouten. Lees meer over Microsoft Entra Connect Sync-fouten.
Waarom worden mijn AD FS-controles niet gegenereerd?
Gebruik de PowerShell-cmdlet Get-AdfsProperties -AuditLevel om ervoor te zorgen dat auditlogboeken niet de status Uitgeschakeld hebben. Lees meer over AD FS-auditlogboeken. U ziet dat er controle-instellingen naar de AD FS-server worden gepusht, eventuele wijzigingen met auditpol.exe worden overschreven (gebeurtenis als de gegenereerde toepassing niet is geconfigureerd). In dit geval stelt u het lokale beveiligingsbeleid in om gegenereerde fouten en geslaagde toepassingsfouten te registreren.
Wanneer wordt het agentcertificaat automatisch vernieuwd voordat het verloopt?
De certificering van de agent wordt zes maanden vóór de vervaldatum automatisch verlengd. Als deze niet wordt vernieuwd, controleert u of de netwerkverbinding van de agent stabiel is. Het probleem kan ook worden opgelost door de agentservices opnieuw op te starten of bij te werken naar de nieuwste versie.
Verwante koppelingen
- Microsoft Entra Connect Health
- Installatie van Microsoft Entra Connect Health Agent
- Microsoft Entra Connect Health-bewerkingen
- Microsoft Entra Connect Health gebruiken met AD FS
- Microsoft Entra Connect Health gebruiken voor synchronisatie
- Microsoft Entra Connect Health gebruiken met AD DS
- Versiegeschiedenis van Microsoft Entra Connect Health