Microsoft Entra Bağlan Health hakkında sık sorulan sorular

Farklı Microsoft Entra kiracıları arasında geçiş yapmak için sağ üst köşedeki oturum açmış durumdaki Kullanıcı Adı'nı seçin ve ardından uygun hesabı seçin. Hesap burada listelenmiyorsa Oturumu kapat'ı seçin. Ardından, oturum açmak için Microsoft Entra ID P1 veya P2 (P1 veya P2) etkinleştirilmiş dizinin Genel Yönetici istrator kimlik bilgilerini kullanın.

Aşağıdaki tabloda roller ve desteklenen işletim sistemi sürümleri listelenmektedir.

Windows Server Core yüklemeleri desteklenmez.

Hizmet tarafından sağlanan özellikler role ve işletim sistemine göre farklılık gösterebilir. Tüm işletim sistemi sürümleri için tüm özellikler kullanılamayabilir. Ayrıntılar için özellik açıklamalarına bakın.

• İlk Bağlan Sistem Durumu Aracısı için en az bir Microsoft Entra P1 veya P2 lisansı gerekir.
• Her ek kayıtlı aracı için 25 Microsoft Entra P1 veya P2 lisansı daha gerekir.
• Aracı sayısı, izlenen tüm rollerde (AD FS, Microsoft Entra Bağlan ve/veya AD DS) kaydedilen toplam aracı sayısına eşdeğerdir.
• Microsoft Entra Bağlan Health lisansı, lisansı belirli kullanıcılara atamanızı gerektirmez. Yalnızca geçerli lisansların gerekli sayısına sahip olmanız gerekir.

Lisans bilgileri, Microsoft Entra fiyatlandırma sayfasında da bulunur.

Örnek:

Evet, aracının yeni bir sürümü olduğunda tüm aracılar otomatik olarak güncelleştirilir.

Hayır, otomatik yükseltme zorunludur. Yeni bir sürüm yayınlandığında aracının yükseltılmasını istemiyorsanız aracıyı kaldırmanız gerekir.

Microsoft Entra Bağlan Health Agent, AD FS, web uygulaması proxy sunucuları, Microsoft Entra Bağlan (eşitleme) sunucularını, etki alanı denetleyicilerini yüklemenin etkisi CPU, bellek tüketimi, ağ bant genişliği ve depolama açısından çok azdır.

Aşağıdaki sayılar bir yaklaşık değerdir:

• CPU tüketimi: yaklaşık %1-5 artış.
• Bellek tüketimi: Toplam sistem belleğinin %10'una kadar.

• Microsoft Entra Bağlan Sistem Durumu Aracıları için yerel arabellek depolama alanı: ~20 MB.
• AD FS sunucuları için, Microsoft Entra Bağlan Health Aracılarının üzerine yazılmadan önce tüm denetim verilerini işlemesi için AD FS denetim kanalı için 1.024 MB (1 GB) disk alanı sağlamanızı öneririz.

Hayır Aracıların yüklenmesi için sunucuyu yeniden başlatmanız gerekmez. Ancak bazı önkoşul adımlarının yüklenmesi için sunucunun yeniden başlatılması gerekebilir.

Örneğin, .NET 4.6.2 Framework yüklemesi sunucunun yeniden başlatılmasını gerektirebilir.

Evet. Devam eden işlemler için Sistem Durumu Aracısı'nı giden HTTP isteklerini iletmek için bir HTTP ara sunucusu kullanacak şekilde yapılandırabilirsiniz. Durum Aracıları için HTTP Proxy'sini yapılandırma hakkında daha fazla bilgi edinin.

Aracı kaydı sırasında ara sunucu yapılandırmanız gerekiyorsa, Internet Explorer Proxy ayarlarınızı önceden değiştirmeniz gerekebilir.

1. Internet Explorer >Ayarlar> Internet Seçenekleri> Bağlan ions>LAN Ayarlar açın.
2. LAN'ınız için Ara Sunucu Kullan'ı seçin.
3. HTTP ve HTTPS/Secure için farklı proxy bağlantı noktalarınız varsa Gelişmiş'i seçin.

Hayır Temel kimlik doğrulaması için rastgele bir kullanıcı adı ve parola belirtme mekanizması şu anda desteklenmiyor.

Güvenlik duvarı bağlantı noktalarının ve diğer bağlantı gereksinimlerinin listesi için gereksinimler bölümüne bakın.

Bir sunucudan aracı kaldırdığınızda, sunucu Microsoft Entra Bağlan Health portalından otomatik olarak kaldırılmaz. Bir aracıyı sunucudan el ile kaldırırsanız veya sunucunun kendisini kaldırırsanız, Microsoft Entra Bağlan Health portalından sunucu girdisini el ile silmeniz gerekir. Microsoft Entra Bağlan Health'ten izlenen sunucuları silmek için Microsoft Entra Global Yönetici istrator hesabı izinlerine veya Azure rol tabanlı erişim denetiminde Katkıda Bulunan rolüne sahip olmanız gerekir.

Bir sunucuyu yeniden oluşturabilir veya aynı ayrıntılara (makine adı gibi) sahip yeni bir sunucu oluşturabilirsiniz. Zaten kayıtlı olan sunucuyu Microsoft Entra Bağlan Health portalından kaldırmadıysanız ve aracıyı yeni sunucuya yüklediyseniz, aynı ada sahip iki girdi görebilirsiniz.

Bu durumda, eski sunucuya ait girişi el ile silin. Bu sunucunun verileri güncel olmamalıdır.

Hayır Sunucu Çekirdeği'ne yükleme desteklenmez.

Sistem durumu aracısı aşağıdaki olası nedenlerden dolayı kaydedilemiyor:

• Bir güvenlik duvarı trafiği engellediğinden aracı gerekli uç noktalarla iletişim kuramıyor. Bu sorun web uygulaması proxy sunucularında yaygındır. Gerekli uç noktalara ve bağlantı noktalarına giden iletişime izin verildiğinden emin olun. Ayrıntılar için gereksinimler bölümüne bakın.
• Giden iletişim, ağ katmanı tarafından bir TLS incelemesine tabi tutulur. Bu, aracının kullandığı sertifikanın denetim sunucusu/varlığı tarafından değiştirilmesine neden olur ve aracı kaydını tamamlama adımları başarısız olur.
• Kullanıcının aracının kaydını gerçekleştirme erişimi yoktur. Genel yöneticilerin varsayılan olarak erişimi vardır. Diğer kullanıcılara erişim yetkisi vermek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanabilirsiniz.

Microsoft Entra Bağlan Health, son iki saat içinde sunucudan tüm veri noktalarını almadığında uyarıyı oluşturur. Daha fazla bilgi edinin.

Hayır, web uygulaması proxy sunucularında denetimin etkinleştirilmesi gerekmez.

Microsoft Entra Bağlan Health uyarıları bir başarı koşuluyla çözülür. Microsoft Entra Bağlan Sistem Durumu Aracıları başarı koşullarını düzenli aralıklarla algılar ve hizmete bildirir. Birkaç uyarı için gizleme zamana bağlıdır. Başka bir deyişle, uyarı oluşturma işleminden itibaren 72 saat içinde aynı hata koşulu gözlemlenmezse uyarı otomatik olarak çözülür.

AD FS için Microsoft Entra Bağlan Health, bir AD FS sunucusuna yüklenen Sistem Durumu Aracısı, Sistem Durumu Aracısı tarafından başlatılan yapay bir işlemin parçası olarak belirteç alamadığında bu uyarıyı oluşturur. Health aracısı yerel sistem bağlamını kullanır ve kendi kendine bağlı olan bir taraf için belirteç almaya çalışır. Bu davranış, AD FS'nin belirteç verme durumunda olduğundan emin olmak için bir tümünü yakalama testidir.

Sistem Durumu Aracısı AD FS grup adını çözümleyemediğinden çoğu zaman bu test başarısız olur. AD FS sunucuları bir ağ yük dengeleyicinin arkasındaysa ve istek yük dengeleyicinin arkasındaki bir düğümden başlatılırsa (yük dengeleyicinin önündeki normal istemcinin aksine) bu durum oluşabilir. Bu sorun, "C:\Windows\System32\drivers\etc" altında bulunan "hosts" dosyası AD FS sunucusunun IP adresini veya AD FS grup adı (sts.contoso.com gibi) için bir geri döngü IP adresini (127.0.0.1) içerecek şekilde güncelleştirilerek düzeltilebilir. Konak dosyasının eklenmesi, ağ çağrısının kısa devresini oluşturur ve böylece Sistem Durumu Aracısı'nın belirteci almasına olanak tanır.

Microsoft Entra Bağlan Health hizmeti, gerekli düzeltme eklerinin yüklendiğinden emin olmak için izlediği tüm makineleri taradı. En az bir makinede kritik düzeltme ekleri yoksa, e-posta kiracı yöneticilerine gönderilir. Bu belirlemeyi yapmak için aşağıdaki mantık kullanılmıştır.

1. Makinede yüklü olan tüm düzeltmeleri bulun.
2. Tanımlı listedeki Sık Erişim Düzeltmelerinden en az birinin mevcut olup olmadığını denetleyin.
3. Evet ise makine korunur. Değilse, makine saldırı için risk altındadır.

Bu denetimi el ile gerçekleştirmek için aşağıdaki PowerShell betiğini kullanabilirsiniz. Yukarıdaki mantığı uygular.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

Get-MsolDirSyncProvisioningError yalnızca DirSync sağlama hataları döndürür. Bağlan Sistem Durumu portalı, dışarı aktarma hataları gibi diğer eşitleme hata türlerini de gösterir. Microsoft Entra Bağlan Eşitleme hataları hakkında daha fazla bilgi edinin.

Denetim günlüklerinin devre dışı durumda olmadığından emin olmak için lütfen Get-AdfsProperties -AuditLevel PowerShell cmdlet'ini kullanın. AD FS denetim günlükleri hakkında daha fazla bilgi edinin. AD FS sunucusuna gönderilen gelişmiş denetim ayarları varsa, auditpol.exe ile yapılan değişikliklerin üzerine yazılacağına dikkat edin (Uygulama Oluşturuldu yapılandırılmadıysa olay). Bu durumda, yerel güvenlik ilkesini Uygulama Tarafından Oluşturulan hataları ve başarıyı günlüğe kaydedecek şekilde ayarlayın.

Aracı sertifikası, son kullanma tarihinden 6 ay önce otomatik olarak yenilenir. Yenilenmediyse aracının ağ bağlantısının kararlı olduğundan emin olun. Aracı hizmetlerini yeniden başlatın veya en son sürüme güncelleştirin, sorunu da çözebilir.

İlgili bağlantılar

• Microsoft Entra Bağlan Health
• Microsoft Entra Bağlan Health Aracısı yüklemesi
• Microsoft Entra Bağlan Health işlemleri
• AD FS ile Microsoft Entra Bağlan Health kullanma
• Eşitleme için Microsoft Entra Bağlan Health kullanma
• AD DS ile Microsoft Entra Bağlan Health kullanma
• Microsoft Entra Bağlan Health sürüm geçmişi