Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące usługi Microsoft Entra Połączenie Health. Te często zadawane pytania dotyczą sposobu korzystania z usługi, w tym modelu rozliczeń, możliwości, ograniczeń i pomocy technicznej.
Pytania ogólne
Zarządzam wieloma katalogami firmy Microsoft Entra. Jak mogę przełączyć się na ten, który ma identyfikator Microsoft Entra ID P1 lub P2?
Aby przełączyć się między różnymi dzierżawami firmy Microsoft Entra, wybierz aktualnie zalogowaną nazwę użytkownika w prawym górnym rogu, a następnie wybierz odpowiednie konto. Jeśli konto nie znajduje się na liście, wybierz pozycję Wyloguj się. Następnie użyj poświadczeń globalnego Administracja istratora katalogu z włączonym identyfikatorem Microsoft Entra ID P1 lub P2 (P1 lub P2).
Jaka wersja ról tożsamości jest obsługiwana przez firmę Microsoft Entra Połączenie Health?
W poniższej tabeli wymieniono role i obsługiwane wersje systemu operacyjnego.
| Rola | System operacyjny/wersja |
|---|---|
| Usługi federacyjne Active Directory (AD FS) |
|
| Microsoft Entra Connect | Wersja 1.0.9125 lub nowsza |
| Active Directory Domain Services (AD DS) |
|
Instalacje systemu Windows Server Core nie są obsługiwane.
Funkcje udostępniane przez usługę mogą się różnić w zależności od roli i systemu operacyjnego. Wszystkie funkcje mogą być niedostępne dla wszystkich wersji systemu operacyjnego. Aby uzyskać szczegółowe informacje, zobacz opisy funkcji.
Ile licencji muszę monitorować moją infrastrukturę?
- Pierwszy Połączenie Agent kondycji wymaga co najmniej jednej licencji Microsoft Entra P1 lub P2.
- Każdy dodatkowy zarejestrowany agent wymaga 25 kolejnych licencji firmy Microsoft Entra P1 lub P2.
- Liczba agentów jest równoważna całkowitej liczbie agentów zarejestrowanych we wszystkich monitorowanych rolach (AD FS, Microsoft Entra Połączenie i/lub AD DS).
- Licencjonowanie microsoft Entra Połączenie Health nie wymaga przypisania licencji do określonych użytkowników. Wymagana jest tylko wymagana liczba prawidłowych licencji.
Informacje o licencjonowaniu znajdują się również na stronie cennika firmy Microsoft Entra.
Przykład:
| Zarejestrowani agenci | Wymagane licencje | Przykładowa konfiguracja monitorowania |
|---|---|---|
| 1 | 1 | 1 Serwer microsoft Entra Połączenie |
| 2 | 26 | 1 Microsoft Entra Połączenie server i 1 kontroler domeny |
| 3 | 51 | 1 serwer usług Active Directory Federation Services (AD FS), 1 serwer proxy usług AD FS i 1 kontroler domeny |
| 100 | 76 | 1 serwer usług AD FS, 1 serwer proxy usług AD FS i 2 kontrolery domeny |
| 5 | 101 | 1 Microsoft Entra Połączenie serwer, 1 serwer usług AD FS, 1 serwer proxy usług AD FS i 2 kontrolery domeny |
Pytania dotyczące instalacji
Czy instalacja agenta jest aktualizowana automatycznie, gdy istnieje nowa wersja agenta?
Tak, wszyscy agenci zostaną automatycznie zaktualizowani po utworzeniu nowej wersji agenta.
Czy mogę zrezygnować lub wyłączyć automatyczne uaktualnianie agenta?
Nie, automatyczne uaktualnianie jest obowiązkowe. Jeśli nie chcesz, aby agent został uaktualniony po wydaniu nowej wersji, należy odinstalować agenta.
Jaki jest wpływ instalowania agenta microsoft Entra Połączenie Health na poszczególnych serwerach?
Wpływ instalowania agenta microsoft Entra Połączenie Health Agent, usług AD FS, serwerów proxy aplikacji internetowej, serwerów Microsoft Entra Połączenie (synchronizacja), kontrolery domeny są minimalne w odniesieniu do procesora CPU, zużycia pamięci, przepustowości sieci i magazynu.
Poniżej przedstawiono przybliżenie liczb:
- Użycie procesora CPU: wzrost o ok. 1–5%.
- Zużycie pamięci: do 10 % całkowitej pamięci systemowej.
Uwaga
Jeśli agent nie może komunikować się z platformą Azure, agent przechowuje dane lokalnie dla zdefiniowanego maksymalnego limitu. Agent zastępuje dane "buforowane" co najmniej ostatnio obsługiwane.
- Magazyn buforu lokalnego dla agentów usługi Microsoft Entra Połączenie Health: ~20 MB.
- W przypadku serwerów usług AD FS zalecamy aprowizację miejsca na dysku 1024 MB (1 GB) dla kanału inspekcji usług AD FS dla firmy Microsoft Entra Połączenie Agentów kondycji, aby przetworzyć wszystkie dane inspekcji przed jego zastąpieniem.
Czy podczas instalacji agentów usługi Microsoft Entra Połączenie Health agentów należy ponownie uruchomić serwery?
L.p. Instalacja agentów nie będzie wymagać ponownego uruchomienia serwera. Jednak instalacja niektórych kroków wymagań wstępnych może wymagać ponownego uruchomienia serwera.
Na przykład instalacja programu .NET 4.6.2 Framework może wymagać ponownego uruchomienia serwera.
Czy usługa Microsoft Entra Połączenie Health działa za pośrednictwem serwera proxy HTTP z przekazywaniem?
Tak. W przypadku bieżących operacji można skonfigurować agenta kondycji tak, aby używał serwera proxy HTTP do przekazywania wychodzących żądań HTTP. Przeczytaj więcej na temat konfigurowania serwera proxy HTTP dla agentów kondycji.
Jeśli musisz skonfigurować serwer proxy podczas rejestracji agenta, może być konieczne wcześniejsze zmodyfikowanie ustawień serwera proxy programu Internet Explorer.
- Otwórz Ustawienia lan Ustawienia> Internet w programie> Internet Explorer >Połączenie ions.>
- Wybierz pozycję Użyj serwera proxy dla sieci LAN.
- Wybierz pozycję Zaawansowane , jeśli masz różne porty serwera proxy dla protokołów HTTP i HTTPS/Secure.
Czy usługa Microsoft Entra Połączenie Health obsługuje uwierzytelnianie podstawowe podczas nawiązywania połączenia z serwerami proxy HTTP?
L.p. Mechanizm określania dowolnej nazwy użytkownika i hasła dla uwierzytelniania podstawowego nie jest obecnie obsługiwany.
Jakie porty zapory muszę otworzyć, aby program Microsoft Entra Połączenie Health Agent działał?
Zapoznaj się z sekcją wymagań, aby zapoznać się z listą portów zapory i innymi wymaganiami dotyczącymi łączności.
Dlaczego w portalu Microsoft Entra Połączenie Health są widoczne dwa serwery o tej samej nazwie?
Po usunięciu agenta z serwera serwer nie zostanie automatycznie usunięty z portalu Microsoft Entra Połączenie Health. Jeśli ręcznie usuniesz agenta z serwera lub usuniesz sam serwer, musisz ręcznie usunąć wpis serwera z portalu Microsoft Entra Połączenie Health. Aby usunąć monitorowane serwery z usługi Microsoft Entra Połączenie Health, musisz mieć uprawnienia konta microsoft Entra Global Administracja istrator lub rolę Współautor w kontroli dostępu opartej na rolach platformy Azure.
Możesz odtworzyć obraz serwera lub utworzyć nowy serwer z tymi samymi szczegółami (takimi jak nazwa maszyny). Jeśli nie usunięto jeszcze zarejestrowanego serwera z portalu Microsoft Entra Połączenie Health i zainstalowano agenta na nowym serwerze, mogą zostać wyświetlone dwa wpisy o tej samej nazwie.
W takim przypadku ręcznie usuń wpis należący do starszego serwera. Dane dla tego serwera powinny być nieaktualne.
Czy mogę zainstalować agenta Microsoft Entra Połączenie Health w systemie Windows Server Core?
L.p. Instalacja na serwerze Server Core nie jest obsługiwana.
Rejestracja agenta kondycji i świeżość danych
Jakie są typowe przyczyny niepowodzeń rejestracji agenta kondycji i jak rozwiązywać problemy?
Agent kondycji może nie zarejestrować się z następujących możliwych powodów:
- Agent nie może komunikować się z wymaganymi punktami końcowymi, ponieważ zapora blokuje ruch. Ten problem jest typowy na serwerach proxy aplikacji internetowej. Upewnij się, że zezwalasz na komunikację wychodzącą z wymaganymi punktami końcowymi i portami. Zobacz sekcję dotyczącą wymagań, aby uzyskać szczegółowe informacje.
- Komunikacja wychodząca jest poddawana inspekcji protokołu TLS przez warstwę sieciową. Powoduje to zastąpienie certyfikatu używanego przez agenta przez serwer inspekcji/jednostkę, a kroki ukończenia rejestracji agenta kończą się niepowodzeniem.
- Użytkownik nie ma dostępu do przeprowadzania rejestracji agenta. Administratorzy globalni domyślnie mają dostęp. Aby delegować dostęp do innych użytkowników, możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure.
Otrzymuję alert o tym, że "Usługa kondycji dane nie są aktualne". Jak mogę rozwiązać problem?
Firma Microsoft Entra Połączenie Health generuje alert, gdy nie odbiera wszystkich punktów danych z serwera w ciągu ostatnich dwóch godzin. Dowiedz się więcej.
Pytania dotyczące operacji
Czy muszę włączyć inspekcję na serwerach proxy aplikacji internetowej?
Nie, inspekcja nie musi być włączona na serwerach proxy aplikacji internetowej.
Jak są rozwiązywane alerty dotyczące kondycji Połączenie firmy Microsoft?
Alerty usługi Microsoft Entra Połączenie Health są rozwiązywane w warunku powodzenia. Firma Microsoft Entra Połączenie Health Agents wykrywa i okresowo zgłasza warunki powodzenia w usłudze. W przypadku kilku alertów pomijanie jest oparte na czasie. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.
Otrzymuję alert, że "Żądanie uwierzytelniania testowego (transakcja syntetyczna) nie może uzyskać tokenu". Jak mogę rozwiązać problem?
Program Microsoft Entra Połączenie Health dla usług AD FS generuje ten alert, gdy agent kondycji zainstalowany na serwerze usług AD FS nie może uzyskać tokenu w ramach syntetycznej transakcji zainicjowanej przez agenta kondycji. Agent kondycji używa lokalnego kontekstu systemu i próbuje uzyskać token dla jednostki uzależnionej. To zachowanie jest testem catch-all, aby upewnić się, że usługi AD FS są w stanie tokenów wystawiających.
Najczęściej ten test kończy się niepowodzeniem, ponieważ agent kondycji nie może rozpoznać nazwy farmy usług AD FS. Ten stan może wystąpić, jeśli serwery usług AD FS znajdują się za modułami równoważenia obciążenia sieciowego, a żądanie zostanie zainicjowane z węzła, który znajduje się za modułem równoważenia obciążenia (w przeciwieństwie do zwykłego klienta, który znajduje się przed modułem równoważenia obciążenia). Ten problem można rozwiązać, aktualizując plik "hosts" znajdujący się w obszarze "C:\Windows\System32\drivers\etc", aby uwzględnić adres IP serwera usług AD FS lub adres IP sprzężenia zwrotnego (127.0.0.1) dla nazwy farmy usług AD FS (na przykład sts.contoso.com). Dodanie pliku hosta spowoduje zwarcie wywołania sieciowego, co umożliwi agentowi kondycji pobranie tokenu.
Mam wiadomość e-mail z informacją, że moje maszyny nie są poprawiane w przypadku ostatnich ataków wymuszającego okup. Dlaczego otrzymuję tę wiadomość e-mail?
Usługa Microsoft Entra Połączenie Health przeskanowała wszystkie monitorowane maszyny, aby upewnić się, że zainstalowano wymagane poprawki. Wiadomość e-mail została wysłana do administratorów dzierżawy, jeśli co najmniej jedna maszyna nie ma poprawek krytycznych. Następująca logika została użyta do ustalenia tej decyzji.
- Znajdź wszystkie poprawki zainstalowane na maszynie.
- Sprawdź, czy istnieje co najmniej jeden z hotfixes ze zdefiniowanej listy.
- Jeśli tak, maszyna jest chroniona. Jeśli nie, maszyna jest zagrożona atakiem.
Aby wykonać to sprawdzanie ręcznie, możesz użyć następującego skryptu programu PowerShell. Implementuje on powyższą logikę.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Dlaczego polecenie cmdlet programu PowerShell "Get-MsolDirSyncProvisioningError" pokazuje mniej błędów synchronizacji w wyniku?
Polecenie Get-MsolDirSyncProvisioningError zwróci tylko błędy aprowizacji narzędzia DirSync. Portal Połączenie Health pokazuje również inne typy błędów synchronizacji, takie jak błędy eksportu. Dowiedz się więcej o błędach usługi Microsoft Entra Połączenie Sync.
Dlaczego moje inspekcje usług AD FS nie są generowane?
Użyj polecenia cmdlet programu PowerShell Get-AdfsProperties -AuditLevel , aby upewnić się, że dzienniki inspekcji nie są w stanie wyłączonym. Przeczytaj więcej na temat dzienników inspekcji usług AD FS. Zwróć uwagę, że istnieją zaawansowane ustawienia inspekcji wypychane do serwera usług AD FS, wszelkie zmiany z auditpol.exe zostaną zastąpione (zdarzenie, jeśli aplikacja wygenerowana nie jest skonfigurowana). W takim przypadku ustaw lokalne zasady zabezpieczeń, aby rejestrować błędy wygenerowane przez aplikację i powodzenie.
Kiedy certyfikat agenta zostanie automatycznie odnowiony przed wygaśnięciem?
Certyfikat agenta zostanie automatycznie odnowiony 6 miesięcy przed datą wygaśnięcia. Jeśli nie zostanie odnowiona, upewnij się, że połączenie sieciowe agenta jest stabilne. Ponowne uruchomienie usług agenta lub aktualizacja do najnowszej wersji może również rozwiązać problem.
Pokrewne łącza
- Microsoft Entra Połączenie Health
- Instalacja programu Microsoft Entra Połączenie Health Agent
- Microsoft Entra Połączenie Health operations (Operacje usługi Microsoft Entra Połączenie Health)
- Używanie usługi Microsoft Entra Połączenie Health z usługami AD FS
- Używanie usługi Microsoft Entra Połączenie Health do celów synchronizacji
- Używanie usługi Microsoft Entra Połączenie Health z usługami AD DS
- Historia wersji programu Microsoft Entra Połączenie Health