Domande frequenti su Azure AD Connect HealthAzure AD Connect Health frequently asked questions

Questo articolo include risposte alle domande frequenti su Azure Active Directory (Azure AD) Connect Health.This article includes answers to frequently asked questions (FAQs) about Azure Active Directory (Azure AD) Connect Health. Le domande sono relative all'uso del servizio, inclusi il modello di fatturazione, le funzionalità, le limitazioni e il supporto.These FAQs cover questions about how to use the service, which includes the billing model, capabilities, limitations, and support.

Domande generaliGeneral questions

D: Quando si gestiscono più directory di Azure AD, come è possibile passare a quella con Azure Active Directory Premium?Q: I manage multiple Azure AD directories. How do I switch to the one that has Azure Active Directory Premium?

Per spostarsi tra tenant di Azure AD diversi, selezionare il Nome utente attualmente connesso nell'angolo in alto a destra e scegliere l'account appropriato.To switch between different Azure AD tenants, select the currently signed-in User Name on the upper-right corner, and then choose the appropriate account. Se l'account non è incluso nell'elenco, selezionare Disconnetti e quindi usare le credenziali di amministratore globale della directory con Azure Active Directory Premium abilitato per l'accesso.If the account is not listed here, select Sign out, and then use the global admin credentials of the directory that has Azure Active Directory Premium enabled to sign in.

D: Quali versioni dei ruoli di identità sono supportate da Azure AD Connect Health?Q: What version of identity roles are supported by Azure AD Connect Health?

La tabella seguente elenca i ruoli e le versioni del sistema operativo supportate.The following table lists the roles and supported operating system versions.

RuoloRole Sistema operativo/VersioneOperating system / Version
Active Directory Federation Services (AD FS)Active Directory Federation Services (AD FS)
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016
Azure AD ConnectAzure AD Connect Versione 1.0.9125 o successivaVersion 1.0.9125 or higher
Active Directory Domain Services (AD DS)Active Directory Domain Services (AD DS)
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016

Si noti che le funzionalità offerte dal servizio possono variare in base al ruolo e al sistema operativo.Note that the features provided by the service may differ based on the role and the operating system. In altre parole, è possibile che non tutte le funzionalità siano disponibili per tutte le versioni del sistema operativo.In other words, all the features may not be available for all operating system versions. Vedere le descrizioni delle funzionalità per i dettagli.See the feature descriptions for details.

D: Quante licenze è necessario avere per monitorare l'infrastruttura?Q: How many licenses do I need to monitor my infrastructure?

  • Per il primo agente di Connect Health è necessaria almeno una licenza Premium di Azure AD.The first Connect Health Agent requires at least one Azure AD Premium license.
  • Ogni agente registrato successivamente richiede altre 25 licenze Azure AD Premium.Each additional registered agent requires 25 additional Azure AD Premium licenses.
  • Il numero di agenti è uguale al numero totale di agenti registrati in tutti i ruoli monitorati (AD FS, Azure AD Connect e/o AD DS).Agent count is equivalent to the total number of agents that are registered across all monitored roles (AD FS, Azure AD Connect, and/or AD DS).

È inoltre possibile trovare le informazioni sulle licenze sulla pagina dei prezzi di Azure AD.Licensing information is also found on the Azure AD Pricing page.

Esempio:Example:

Agenti registratiRegistered agents Licenze necessarieLicenses needed Esempio di configurazione di monitoraggioExample monitoring configuration
11 11 1 server di Azure AD Connect1 Azure AD Connect server
22 2626 1 server di Azure AD Connect e 1 controller di dominio1 Azure AD Connect server and 1 domain controller
33 5151 1 server di Active Directory Federation Services (AD FS), 1 proxy di AD FS e 1 controller di dominio1 Active Directory Federation Services (AD FS) server, 1 AD FS proxy, and 1 domain controller
44 7676 1 server di AD FS, 1 proxy di AD FS e 2 controller di dominio1 AD FS server, 1 AD FS proxy, and 2 domain controllers
55 101101 1 server di Azure AD Connect, 1 server di AD FS, 1 proxy di AD FS e 2 controller di dominio1 Azure AD Connect server, 1 AD FS server, 1 AD FS proxy, and 2 domain controllers

D: Azure AD Connect Health supporta il cloud di Azure Germania?Q: Does Azure AD Connect Health support Azure Germany Cloud?

Azure AD Connect Health include un'installazione per Azure Germania.Azure AD Connect Health has an installation for Azure Germany. Tutti i dati per i clienti del cloud tedesco vengono conservati all'interno del cloud di Azure Germania.All the data for German Cloud customers is kept within Azure Germany Cloud.

Domande sull'installazioneInstallation questions

D: Qual è l'impatto dell'installazione dell'agente di Azure AD Connect Health in singoli server?Q: What is the impact of installing the Azure AD Connect Health Agent on individual servers?

L'impatto dell'installazione dell'agente di Microsoft Azure AD Connect Health, di AD FS, dei server proxy applicazione Web, dei server di Azure AD Connect (sincronizzazione) e dei controller di dominio è minimo per quanto riguarda CPU, utilizzo della memoria, larghezza di banda della rete e archiviazione.The impact of installing the Microsoft Azure AD Connect Health Agent, AD FS, web application proxy servers, Azure AD Connect (sync) servers, domain controllers is minimal with respect to the CPU, memory consumption, network bandwidth, and storage.

I numeri seguenti sono approssimativi:The following numbers are an approximation:

  • Utilizzo della CPU: ~1-5% di incremento.CPU consumption: ~1-5% increase.
  • Utilizzo della memoria: fino a al 10% della memoria di sistema totale.Memory consumption: Up to 10 % of the total system memory.

Nota

Se l'agente non può comunicare con Azure, archivia i dati localmente per un limite massimo definito.If the agent cannot communicate with Azure, the agent stores the data locally for a defined maximum limit. L'agente sovrascrive i dati "memorizzati nella cache" secondo un criterio di tipo "intervento di manutenzione meno recente".The agent overwrites the “cached” data on a “least recently serviced” basis.

  • Archiviazione buffer locale per gli agenti di Azure AD Connect Health: ~20 MB.Local buffer storage for Azure AD Connect Health Agents: ~20 MB.
  • Per i server di AD FS, è consigliabile effettuare il provisioning di 1.024 MB (1 GB) di spazio su disco per il canale di controllo di AD FS per consentire agli agenti di Azure AD Connect Health di elaborare tutti i dati di controllo prima che vengano sovrascritti.For AD FS servers, we recommend that you provision a disk space of 1,024 MB (1 GB) for the AD FS audit channel for Azure AD Connect Health Agents to process all the audit data before it is overwritten.

D: È necessario riavviare i server durante l'installazione degli agenti di Azure AD Connect Health?Q: Will I have to reboot my servers during the installation of the Azure AD Connect Health Agents?

No.No. Per l'installazione degli agenti non è necessario il riavvio del server.The installation of the agents will not require you to reboot the server. L'installazione di alcuni passaggi preliminare può richiedere tuttavia un riavvio del server.However, installation of some prerequisite steps might require a reboot of the server.

In Windows Server 2008 R2, ad esempio, l'installazione di .NET 4.5 Framework richiede un riavvio del server.For example, on Windows Server 2008 R2, installation of .NET 4.5 Framework requires a server reboot.

D: Il servizio Azure AD Connect Health usa un proxy HTTP pass-through?Q: Does Azure AD Connect Health work through a pass-through HTTP proxy?

Sì.Yes. Per le operazioni in corso, è possibile configurare l'agente per l'integrità in modo che usi un proxy HTTP per inoltrare le richieste HTTP in uscita.For ongoing operations, you can configure the Health Agent to use an HTTP proxy to forward outbound HTTP requests. Per altre informazioni, vedere la configurazione del proxy HTTP per gli agenti per l'integrità.Read more about configuring HTTP Proxy for Health Agents.

Se è necessario configurare un proxy durante la registrazione dell'agente, modificare prima di tutto le impostazioni del proxy di Internet Explorer.If you need to configure a proxy during agent registration, you might need to modify your Internet Explorer Proxy settings beforehand.

  1. Aprire Internet Explorer > Impostazioni > Opzioni Internet > Connessioni > Impostazioni LAN.Open Internet Explorer > Settings > Internet Options > Connections > LAN Settings.
  2. Selezionare Usa un server di proxy per la rete LAN.Select Use a Proxy Server for your LAN.
  3. Selezionare Avanzate se sono presenti porte proxy diverse per HTTP e HTTPS/Protetto.Select Advanced if you have different proxy ports for HTTP and HTTPS/Secure.

D: Il servizio Azure AD Connect Health supporta l'autenticazione di base per la connessione ai proxy HTTP?Q: Does Azure AD Connect Health support Basic authentication when connecting to HTTP proxies?

No.No. Non è attualmente supportato alcun meccanismo per specificare in modo arbitrario un nome utente o una password per l'autenticazione di base.A mechanism to specify an arbitrary user name and password for Basic authentication is not currently supported.

D: Quali porte del firewall è necessario aprire per garantire il funzionamento dell'agente di Azure AD Connect Health?Q: What firewall ports do I need to open for the Azure AD Connect Health Agent to work?

Vedere la sezione sui requisiti per l'elenco delle porte del firewall e altri requisiti di connettività.See the requirements section for the list of firewall ports and other connectivity requirements.

D: Perché vengono visualizzati due server con lo stesso nome nel portale di Azure AD Connect Health?Q: Why do I see two servers with the same name in the Azure AD Connect Health portal?

Quando si rimuove un agente da un server, tale server non viene automaticamente rimosso dal portale di Azure AD Connect Health.When you remove an agent from a server, the server is not automatically removed from the Azure AD Connect Health portal. Se si rimuove manualmente un agente da un server o se si rimuove il server stesso, è necessario eliminare manualmente la voce relativa al server dal portale di Azure AD Connect Health.If you manually remove an agent from a server or remove the server itself, you need to manually delete the server entry from the Azure AD Connect Health portal.

È possibile ricreare l'immagine di un server o creare un nuovo server con gli stessi dettagli, ad esempio il nome del computer.You might reimage a server or create a new server with the same details (such as machine name). Se il server già registrato non è stato rimosso dal portale di Azure AD Connect Health e l'agente è stato installato nel nuovo server, è possibile che vengano visualizzate due voci con lo stesso nome.If you did not remove the already registered server from the Azure AD Connect Health portal, and you installed the agent on the new server, you might see two entries with the same name.

In questo caso, eliminare manualmente la voce appartenente al server meno recente.In this case, manually delete the entry that belongs to the older server. I dati per questo server non dovrebbero essere aggiornati.The data for this server should be out of date.

Registrazione dell'agente per l'integrità e aggiornamento datiHealth Agent registration and data freshness

D: Quali sono le cause più comuni che generano errori nella registrazione dell'agente per l'integrità e come risolverle?Q: What are common reasons for the Health Agent registration failures and how do I troubleshoot issues?

Le possibili cause per cui un agente per l'integrità non riesce a eseguire la registrazione sono elencate di seguito:The health agent can fail to register due to the following possible reasons:

  • L'agente non può comunicare con gli endpoint necessari perché un firewall blocca il traffico.The agent cannot communicate with the required endpoints because a firewall is blocking traffic. Questa situazione è molto comune nei server proxy applicazione Web.This is particularly common on web application proxy servers. Assicurarsi di aver abilitato la comunicazione in uscita per le porte e gli endpoint obbligatori.Make sure that you have allowed outbound communication to the required endpoints and ports. Per informazioni dettagliate, vedere la sezione Requisiti.See the requirements section for details.
  • La comunicazione in uscita viene sottoposta a un'ispezione SSL dal livello di rete.Outbound communication is subjected to an SSL inspection by the network layer. In questo modo il certificato usato dall'agente viene sostituito dall'entità o dal server per l'ispezione e non è possibile eseguire i passaggi necessari per completare la registrazione dell'agente.This causes the certificate that the agent uses to be replaced by the inspection server/entity, and the steps to complete the agent registration fail.
  • L'utente non dispone dell'accesso per eseguire la registrazione dell'agente.The user does not have access to perform the registration of the agent. Per impostazione predefinita, agli amministratori globali l'accesso è consentito.Global admins have access by default. È possibile usare il Controllo degli accessi in base al ruolo per delegare l'accesso ad altri utenti.You can use Role Based Access Control to delegate access to other users.

D: Si ricevono avvisi che indicano che "I dati del Servizio integrità non sono aggiornati". Come si risolve il problema?Q: I am getting alerted that "Health Service data is not up to date." How do I troubleshoot the issue?

Azure AD Connect Health genera l'avviso quando non riceve tutti i punti dati dal server nelle ultime due ore.Azure AD Connect Health generates the alert when it does not receive all the data points from the server in the last two hours. I motivi per cui questo avviso viene generato possono essere diversi.There can be multiple reasons for this alert.

  • L'agente non può comunicare con gli endpoint necessari perché un firewall blocca il traffico.The agent cannot communicate with the required endpoints because a firewall is blocking traffic. Questa situazione è molto comune nei server proxy applicazione Web.This is particularly common on web application proxy servers. Assicurarsi di aver abilitato la comunicazione in uscita per le porte e gli endpoint obbligatori.Make sure that you have allowed outbound communication to the required end points and ports. Per informazioni dettagliate, vedere la sezione Requisiti.See the requirements section for details.
  • La comunicazione in uscita viene sottoposta a un'ispezione SSL dal livello di rete.Outbound communication is subjected to an SSL inspection by the network layer. In questo modo il certificato usato dall'agente viene sostituito dall'entità o dal server per l'ispezione e il processo non riesce a caricare i dati nel servizio Azure AD Connect Health.This causes the certificate that the agent uses to be replaced by the inspection server/entity, and the process fails to upload data to the Azure AD Connect Health service.
  • È possibile usare il comando di connettività predefinito nell'agente.You can use the connectivity command built into the agent. Altre informazioni.Read more.
  • Gli agenti supportano anche la connettività in uscita tramite un proxy HTTP non autenticato.The agents also support outbound connectivity via an unauthenticated HTTP Proxy. Altre informazioni.Read more.

Domande sulle operazioniOperations questions

D: è necessario abilitare il controllo nei server proxy applicazione Web?Q: Do I need to enable auditing on the web application proxy servers?

No, il controllo non deve essere abilitato nei server proxy applicazione Web.No, auditing does not need to be enabled on the web application proxy servers.

D: In che modo vengono risolti gli avvisi di Azure AD Connect Health?Q: How do Azure AD Connect Health Alerts get resolved?

Gli avvisi di Azure AD Connect Health vengono risolti se si verifica una condizione di esito positivo.Azure AD Connect Health alerts get resolved on a success condition. Gli agenti di Azure AD Connect Health rilevano e segnalano periodicamente al servizio le condizioni di esito positivo.Azure AD Connect Health Agents detect and report the success conditions to the service periodically. Per alcuni avvisi, l'eliminazione è basata sul tempo.For a few alerts, the suppression is time-based. In altri termini, se entro 72 ore dalla generazione dell'avviso non viene osservata la stessa condizione di errore, l'avviso viene automaticamente risolto.In other words, if the same error condition is not observed within 72 hours from alert generation, the alert is automatically resolved.

D: Viene visualizzato l'avviso "La richiesta di autenticazione di test (transazione sintetica) non è riuscita a ottenere un token." Come si risolve il problema?Q: I am getting alerted that "Test Authentication Request (Synthetic Transaction) failed to obtain a token." How do I troubleshoot the issue?

Azure AD Connect Health per AD FS genera questo avviso quando l'agente installato in un server AD FS non riesce a ottenere un token in quanto parte di una transazione sintetica avviata dall'agente stesso.Azure AD Connect Health for AD FS generates this alert when the Health Agent installed on an AD FS server fails to obtain a token as part of a synthetic transaction initiated by the Health Agent. L'agente di Azure AD Connect Health usa il contesto di sistema locale e tenta di ottenere un token per un self relying party.The Health agent uses the local system context and attempts to get a token for a self relying party. Si tratta di un test di tipo catch-all per assicurarsi che AD FS sia in uno stato di rilascio di token.This is a catch-all test to ensure that AD FS is in a state of issuing tokens.

Spesso questo test ha esito negativo perché l'agente di Azure AD Connect Health non può risolvere il nome della farm AD FS.Most often this test fails because the Health Agent is unable to resolve the AD FS farm name. Questa situazione può verificarsi se i server AD FS si trovano dietro un bilanciamento del carico di rete e la richiesta viene avviata da un nodo che si trova dietro il bilanciamento del carico, in contrapposizione a un client normale che si trova davanti al bilanciamento del carico.This can happen if the AD FS servers are behind a network load balancers and the request gets initiated from a node that's behind the load balancer (as opposed to a regular client that is in front of the load balancer). Questo problema può essere risolto aggiornando il file "hosts" in "C:\Windows\System32\drivers\etc" per includere l'indirizzo IP del server AD FS o un indirizzo IP di loopback (127.0.0.1) per il nome della farm AD FS, come ad esempio sts.contoso.com.This can be fixed by updating the "hosts" file located under "C:\Windows\System32\drivers\etc" to include the IP address of the AD FS server or a loopback IP address (127.0.0.1) for the AD FS farm name (such as sts.contoso.com). Quando si aggiunge il file host, la chiamata di rete viene messa in corto circuito, consentendo in tal modo all'agente di Azure AD Connect Health di ottenere il token.Adding the host file will short-circuit the network call, thus allowing the Health Agent to get the token.

D: Viene ricevuto un messaggio di posta elettronica che indica che il computer non ha le patch corrette per gli attacchi ransomeware recenti. Qual è il motivo per cui si riceve tale messaggio di posta elettronica?Q: I got an email indicating my machines are NOT patched for the recent ransomeware attacks. Why did I receive this email?

Il servizio di Azure AD Connect Health ha analizzato tutti i computer di cui esegue il monitoraggio per verificare che le patch necessarie siano installate.Azure AD Connect Health service scanned all the machines it monitors to ensure the required patches were installed. Se almeno un computer non dispone delle patch critiche, viene inviato tale messaggio di posta elettronica agli amministratori del tenant.The email was sent to the tenant administrators if at least one machine did not have the critical patches. Per arrivare a tale decisione, è stata usata la logica seguente.The following logic was used to make this determination.

  1. Trovare tutti gli hotfix installati nel computer.Find all the hotfixes installed on the machine.
  2. Controllare se è presente almeno uno degli hotfix inclusi nell'elenco definito.Check if at least one of the HotFixes from the defined list is present.
  3. Se sì, il computer è protetto.If Yes, the machine is protected. In caso contrario, il computer è a rischio di attacco.If Not, the machine is at risk for the attack.

Per eseguire manualmente questo controllo, è possibile usare lo script di PowerShell seguente.You can use the following PowerShell script to perform this check manually. In questo modo viene implementata la logica precedente.It implements the above logic.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010