Ez a cikk válaszokat tartalmaz a Microsoft Entra Csatlakozás Health szolgáltatással kapcsolatos gyakori kérdésekre (GYIK). Ezek a gyakori kérdések a szolgáltatás használatával kapcsolatos kérdéseket ismertetik, beleértve a számlázási modellt, a képességeket, a korlátozásokat és a támogatást.
Általános kérdések
Több Microsoft Entra-címtárat kezelek. Hogyan váltson arra, amelyik p1 vagy P2 Microsoft Entra-azonosítóval rendelkezik?
A különböző Microsoft Entra-bérlők közötti váltáshoz válassza ki az aktuálisan bejelentkezett felhasználónevet a jobb felső sarokban, majd válassza ki a megfelelő fiókot. Ha a fiók nem szerepel a listán, válassza a Kijelentkezés lehetőséget. Ezután használja annak a könyvtárnak a globális Rendszergazda istrator-hitelesítő adatait, amelyeknél a Microsoft Entra ID P1 vagy P2 (P1 vagy P2) engedélyezve van a bejelentkezéshez.
Az identitásszerepkörök melyik verzióját támogatja a Microsoft Entra Csatlakozás Health?
Az alábbi táblázat a szerepköröket és a támogatott operációsrendszer-verziókat sorolja fel.
| Szerepkör | Operációs rendszer / Verzió |
|---|---|
| Active Directory Federation Services (AD FS) |
|
| Microsoft Entra Csatlakozás | 1.0.9125-ös vagy újabb verzió |
| Active Directory Domain Services (AD DS) |
|
A Windows Server Core telepítései nem támogatottak.
A szolgáltatás által biztosított funkciók a szerepkör és az operációs rendszer alapján eltérhetnek. Előfordulhat, hogy az összes funkció nem érhető el az összes operációsrendszer-verzióhoz. A részletekért tekintse meg a szolgáltatás leírását.
Hány licencre van szükségem az infrastruktúra monitorozásához?
- Az első Csatlakozás Health Agenthez legalább egy Microsoft Entra P1 vagy P2 licenc szükséges.
- Minden további regisztrált ügynökhöz további 25 Microsoft Entra P1 vagy P2 licenc szükséges.
- Az ügynökök száma megegyezik az összes figyelt szerepkörben (AD FS, Microsoft Entra Csatlakozás és/vagy AD DS) regisztrált ügynökök teljes számával.
- A Microsoft Entra Csatlakozás Health licenceléséhez nincs szükség a licenc adott felhasználókhoz való hozzárendelésére. Csak a szükséges számú érvényes licenccel kell rendelkeznie.
A licencelési információk a Microsoft Entra díjszabási oldalán is megtalálhatók.
Példa:
| Regisztrált ügynökök | Szükséges licencek | Példa monitorozási konfigurációra |
|---|---|---|
| 0 | 0 | 1 Microsoft Entra Csatlakozás kiszolgáló |
| 2 | 26 | 1 Microsoft Entra Csatlakozás kiszolgáló és 1 tartományvezérlő |
| 3 | 51 | 1 Active Directory összevonási szolgáltatások (AD FS) (AD FS)-kiszolgáló, 1 AD FS-proxy és 1 tartományvezérlő |
| 4 | 76 | 1 AD FS-kiszolgáló, 1 AD FS-proxy és 2 tartományvezérlő |
| 5 | 101 | 1 Microsoft Entra Csatlakozás kiszolgáló, 1 AD FS-kiszolgáló, 1 AD FS-proxy és 2 tartományvezérlő |
Telepítési kérdések
Automatikusan frissül az ügynök telepítése, ha az ügynök új verziója van?
Igen, minden ügynök automatikusan frissül, ha az ügynök új verziója van.
Letilthatom vagy letilthatom az ügynök automatikus frissítését?
Nem, az automatikus frissítés kötelező. Ha nem szeretné, hogy az ügynök frissüljön egy új verzió megjelenésekor, távolítsa el az ügynököt.
Milyen hatással van a Microsoft Entra Csatlakozás Health Agent telepítése az egyes kiszolgálókra?
A Microsoft Entra Csatlakozás Health Agent, az AD FS, a webalkalmazás-proxykiszolgálók, a Microsoft Entra Csatlakozás (szinkronizálási) kiszolgálók, a tartományvezérlők telepítése minimális a processzor, a memóriahasználat, a hálózati sávszélesség és a tárterület tekintetében.
A következő számok közelítést jelentenek:
- CPU-használat: ~1-5%-os növekedés.
- Memóriahasználat: A rendszer teljes memóriájának legfeljebb 10 %-a.
Feljegyzés
Ha az ügynök nem tud kommunikálni az Azure-ral, az ügynök helyileg tárolja az adatokat egy meghatározott maximális korlátért. Az ügynök felülírja a "gyorsítótárazott" adatokat a "legkevésbé legutóbb szervizelt" alapon.
- A Microsoft Entra Csatlakozás Health Agents helyi puffertárolója: ~20 MB.
- Az AD FS-kiszolgálók esetében azt javasoljuk, hogy a Microsoft Entra Csatlakozás Health Agents AD FS-naplózási csatornája számára 1024 MB (1 GB) lemezterületet állítsunk ki az összes naplózási adat felülírása előtt történő feldolgozásához.
Újra kell indítani a kiszolgálóimat a Microsoft Entra Csatlakozás Health Agents telepítése során?
Szám Az ügynökök telepítéséhez nem szükséges újraindítani a kiszolgálót. Egyes előfeltételek telepítéséhez azonban szükség lehet a kiszolgáló újraindítására.
Előfordulhat például, hogy a .NET 4.6.2-keretrendszer telepítése kiszolgáló újraindítást igényel.
A Microsoft Entra Csatlakozás Health egy átmenő HTTP-proxyn keresztül működik?
Igen. A folyamatban lévő műveletekhez konfigurálhatja az állapotügynököt, hogy HTTP-proxyt használjon a kimenő HTTP-kérések továbbításához. További információ a HTTP-proxy állapotügynökökhöz való konfigurálásáról.
Ha proxyt kell konfigurálnia az ügynökregisztráció során, előfordulhat, hogy előbb módosítania kell az Internet Explorer proxybeállításait.
- Nyissa meg az Internet Explorer >Gépház> Internet beállításai> Csatlakozás lan>Gépház.
- Válassza a Proxykiszolgáló használata a lan-hoz lehetőséget.
- Válassza a Speciális lehetőséget, ha eltérő proxyportokkal rendelkezik a HTTP-hez és a HTTPS/Secure-hez.
Támogatja a Microsoft Entra Csatlakozás Health az alapszintű hitelesítést a HTTP-proxykhoz való csatlakozáskor?
Szám Jelenleg nem támogatott egy tetszőleges felhasználónév és jelszó megadására szolgáló mechanizmus az alapszintű hitelesítéshez.
Milyen tűzfalportokat kell megnyitnom a Microsoft Entra Csatlakozás Health Agent működéséhez?
Miért látok két azonos nevű kiszolgálót a Microsoft Entra Csatlakozás Health portálon?
Amikor eltávolít egy ügynököt egy kiszolgálóról, a kiszolgáló nem lesz automatikusan eltávolítva a Microsoft Entra Csatlakozás Health portálról. Ha manuálisan távolít el egy ügynököt egy kiszolgálóról, vagy eltávolítja magát a kiszolgálót, manuálisan kell törölnie a kiszolgáló bejegyzését a Microsoft Entra Csatlakozás Health portálról. A figyelt kiszolgálók Microsoft Entra Csatlakozás Health szolgáltatásból való törléséhez a Microsoft Entra Global Rendszergazda istrator-fiók engedélyekkel vagy az Azure szerepköralapú hozzáférés-vezérlés közreműködői szerepkörével kell rendelkeznie.
Előfordulhat, hogy újraimáz egy kiszolgálót, vagy létrehoz egy új kiszolgálót ugyanazokkal a részletekkel (például a gép nevével). Ha nem távolította el a már regisztrált kiszolgálót a Microsoft Entra Csatlakozás Health portálról, és telepítette az ügynököt az új kiszolgálón, két azonos nevű bejegyzés jelenhet meg.
Ebben az esetben manuálisan törölje a régebbi kiszolgálóhoz tartozó bejegyzést. A kiszolgáló adatainak elavultnak kell lenniük.
Telepíthetem a Microsoft Entra Csatlakozás Health-ügynököt a Windows Server Core-ra?
Szám A Server Core telepítése nem támogatott.
Az állapotügynök regisztrálása és az adatok frissessége
Mik az állapotügynök regisztrációs hibáinak gyakori okai, és hogyan háríthatom el a problémákat?
Az állapotügynök a következő lehetséges okok miatt nem regisztrálható:
- Az ügynök nem tud kommunikálni a szükséges végpontokkal, mert egy tűzfal blokkolja a forgalmat. Ez a probléma gyakori a webalkalmazás-proxykiszolgálókon. Győződjön meg arról, hogy engedélyezte a kimenő kommunikációt a szükséges végpontokkal és portokkal. További részleteket a követelményeket ismertető szakaszban talál.
- A kimenő kommunikációt a hálózati réteg TLS-vizsgálatnak veti alá. Ez azt eredményezi, hogy az ügynök által használt tanúsítványt az ellenőrző kiszolgáló/entitás lecseréli, és az ügynökregisztráció végrehajtásának lépései sikertelenek lesznek.
- A felhasználó nem rendelkezik hozzáféréssel az ügynök regisztrációjának végrehajtásához. A globális rendszergazdák alapértelmezés szerint rendelkeznek hozzáféréssel. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával delegálhat hozzáférést más felhasználóknak.
Értesítést kapok arról, hogy "Állapotfigyelő szolgáltatás adatok nem naprakészek". Hogyan elhárítja a problémát?
A Microsoft Entra Csatlakozás Health akkor hozza létre a riasztást, ha nem kapja meg az összes adatpontot a kiszolgálótól az elmúlt két órában. További információ.
Üzemeltetési kérdések
Engedélyezni kell a naplózást a webalkalmazás-proxykiszolgálókon?
Nem, a naplózást nem kell engedélyezni a webalkalmazás-proxykiszolgálókon.
Hogyan oldhatók fel a Microsoft Entra Csatlakozás állapotriasztások?
A Microsoft Entra Csatlakozás Health-riasztások sikerességi állapot esetén lesznek feloldva. A Microsoft Entra Csatlakozás állapotügynökei rendszeresen észlelik és jelentik a sikerességi feltételeket a szolgáltatásnak. Néhány riasztás esetén a letiltás időalapú. Más szóval, ha ugyanazt a hibafeltételt nem figyeli meg a riasztásgenerálástól számított 72 órán belül, a rendszer automatikusan feloldja a riasztást.
A rendszer értesítést kap arról, hogy "A hitelesítési kérelem (szintetikus tranzakció) tesztelése nem tudott jogkivonatot lekérni." Hogyan elhárítja a problémát?
A Microsoft Entra Csatlakozás Health for AD FS akkor hozza létre ezt a riasztást, ha az AD FS-kiszolgálón telepített állapotügynök nem tud jogkivonatot beszerezni az állapotügynök által kezdeményezett szintetikus tranzakció részeként. Az Állapotügynök a helyi rendszerkörnyezetet használja, és megkísérli lekérni egy jogkivonatot egy saját függő entitáshoz. Ez a viselkedés egy mindenható teszt, amely biztosítja, hogy az AD FS jogkivonatok kibocsátása állapotban legyen.
Ez a teszt leggyakrabban azért sikertelen, mert az állapotügynök nem tudja feloldani az AD FS-farm nevét. Ez az állapot akkor fordulhat elő, ha az AD FS-kiszolgálók egy hálózati terheléselosztó mögött vannak, és a kérést a terheléselosztó mögött található csomópont kezdeményezi (szemben a terheléselosztó előtti normál ügyfélrel). Ez a probléma a "C:\Windows\System32\drivers\etc" alatt található "gazdagépek" fájl frissítésével javítható, hogy tartalmazza az AD FS-kiszolgáló IP-címét vagy az AD FS-farm nevének visszacsatolási IP-címét (127.0.0.1) (például sts.contoso.com). A gazdagépfájl hozzáadásával rövidre zárhatja a hálózati hívást, így az állapotügynök lekérheti a jogkivonatot.
Kaptam egy e-mailt, amely azt jelzi, hogy a gépeim NINCSENEK javítva a legutóbbi ransomware-támadásokhoz. Miért kaptam meg ezt az e-mailt?
A Microsoft Entra Csatlakozás Health szolgáltatás minden monitorozott gépet megvizsgált, hogy a szükséges javítások telepítve legyenek. A rendszer elküldte az e-mailt a bérlő rendszergazdáinak, ha legalább egy gép nem rendelkezik a kritikus javításokkal. Ezt a meghatározást a következő logikával határozták meg.
- Keresse meg a gépen telepített összes gyorsjavítást.
- Ellenőrizze, hogy a megadott lista legalább egyik gyorsjavítása megtalálható-e.
- Ha igen, a gép védett. Ha nem, a gép veszélyben van a támadás miatt.
Ezt az ellenőrzést a következő PowerShell-szkripttel végezheti el manuálisan. Implementálja a fenti logikát.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Miért jelenik meg kevesebb szinkronizálási hiba az eredményben a Get-MsolDirSyncProvisioningError PowerShell-parancsmaggal?
A Get-MsolDirSyncProvisioningError csak DirSync kiépítési hibákat ad vissza. Az Csatlakozás Állapot portál egyéb szinkronizálási hibatípusokat is mutat, például exportálási hibákat. További információ a Microsoft Entra Csatlakozás szinkronizálási hibáiról.
Miért nem jönnek létre az AD FS-auditjaim?
A Get-AdfsProperties -AuditLevel PowerShell-parancsmaggal győződjön meg arról, hogy a naplók nincsenek letiltva. További információ az AD FS naplózási naplóiról. Figyelje meg, hogy ha az AD FS-kiszolgálóra speciális naplózási beállítások vannak leírva, a auditpol.exe módosításai felülíródnak (ha az alkalmazás generált verziója nincs konfigurálva). Ebben az esetben állítsa be a helyi biztonsági szabályzatot az alkalmazás által generált hibák és sikerek naplózására.
Mikor újul meg automatikusan az ügynöktanúsítvány a lejárat előtt?
Az ügynöktanúsítvány a lejárati dátum előtt 6 hónappal automatikusan megújul. Ha nem újul meg, győződjön meg arról, hogy az ügynök hálózati kapcsolata stabil. Az ügynökszolgáltatások újraindítása vagy a legújabb verzióra való frissítés szintén megoldhatja a problémát.
Kapcsolódó hivatkozások
- Microsoft Entra Csatlakozás Health
- A Microsoft Entra Csatlakozás Health Agent telepítése
- Microsoft Entra Csatlakozás Health-műveletek
- A Microsoft Entra Csatlakozás Health használata az AD FS-vel
- A Microsoft Entra Csatlakozás Health használata szinkronizáláshoz
- A Microsoft Entra Csatlakozás Health használata az AD DS-vel
- Microsoft Entra Csatlakozás Health verzióelőzményei