Installatie van Azure AD Connect Health-AgentAzure AD Connect Health agent installation

In dit artikel leert u hoe u de Azure Active Directory (Azure AD) Connect Health-Agents installeert en configureert.In this article, you'll learn how to install and configure the Azure Active Directory (Azure AD) Connect Health agents. Zie deze instructiesvoor het downloaden van de agents.To download the agents, see these instructions.

VereistenRequirements

De volgende tabel bevat de vereisten voor het gebruik van Azure AD Connect Health.The following table lists requirements for using Azure AD Connect Health.

VereisteRequirement BeschrijvingDescription
Azure AD Premium is geïnstalleerd.Azure AD Premium is installed. Azure AD Connect Health is een functie van Azure AD Premium.Azure AD Connect Health is a feature of Azure AD Premium. Zie registreren voor Azure AD Premiumvoor meer informatie.For more information, see Sign up for Azure AD Premium.

Als u een gratis proef versie van 30 dagen wilt starten, raadpleegt u een proef versie starten.To start a free 30-day trial, see Start a trial.
U bent een globale beheerder in azure AD.You're a global administrator in Azure AD. Standaard kunnen alleen globale beheerders de Health-Agents installeren en configureren, de portal openen en bewerkingen uitvoeren in Azure AD Connect Health.By default, only global administrators can install and configure the health agents, access the portal, and do any operations within Azure AD Connect Health. Voor meer informatie raadpleegt u Uw Azure AD-directory beheren.For more information, see Administering your Azure AD directory.

Door gebruik te maken van op rollen gebaseerd toegangs beheer (Azure RBAC) van Azure kunt u andere gebruikers in uw organisatie toegang geven tot Azure AD Connect Health.By using Azure role-based access control (Azure RBAC), you can allow other users in your organization to access Azure AD Connect Health. Zie Azure RBAC voor Azure AD Connect Healthvoor meer informatie.For more information, see Azure RBAC for Azure AD Connect Health.

Belang rijk: gebruik een werk-of school account om de agents te installeren.Important: Use a work or school account to install the agents. U kunt geen Microsoft-account gebruiken.You can't use a Microsoft account. Zie registreren voor Azure als organisatievoor meer informatie.For more information, see Sign up for Azure as an organization.
De Azure AD Connect Health-Agent wordt op elke doel server geïnstalleerd.The Azure AD Connect Health agent is installed on each targeted server. Health-Agents moeten worden geïnstalleerd en geconfigureerd op de doel servers, zodat ze gegevens kunnen ontvangen en bewakings-en analyse mogelijkheden bieden.Health agents must be installed and configured on targeted servers so that they can receive data and provide monitoring and analytics capabilities.

Als u bijvoorbeeld gegevens wilt ophalen uit de infra structuur van uw Active Directory Federation Services (AD FS), moet u de agent installeren op de AD FS-server en de webtoepassingsproxy.For example, to get data from your Active Directory Federation Services (AD FS) infrastructure, you must install the agent on the AD FS server and the Web Application Proxy server. Op dezelfde manier moet u de agent op de domein controllers installeren om gegevens op te halen van uw on-premises Azure AD Domain Services (Azure AD DS)-infra structuur.Similarly, to get data from your on-premises Azure AD Domain Services (Azure AD DS) infrastructure, you must install the agent on the domain controllers.
De eind punten van de Azure-service hebben een uitgaande verbinding.The Azure service endpoints have outbound connectivity. Tijdens de installatie en runtime moet de agent verbonden zijn met de Azure AD Connect Health-service-eindpunten.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. Als firewalls uitgaande verbindingen blok keren, voegt u de uitgaande connectiviteit-eind punten toe aan de acceptatie lijst.If firewalls block outbound connectivity, add the outbound connectivity endpoints to the allow list.
Uitgaande connectiviteit is gebaseerd op IP-adressen.Outbound connectivity is based on IP addresses. Zie Azure IP-bereikenvoor informatie over het filteren van firewalls op basis van IP-adressen.For information about firewall filtering based on IP addresses, see Azure IP ranges.
TLS-inspectie voor uitgaand verkeer wordt gefilterd of uitgeschakeld.TLS inspection for outbound traffic is filtered or disabled. De agent registratie stap of het uploaden van gegevens kan mislukken als er TLS-inspectie of-beëindiging voor uitgaand verkeer op de netwerklaag is.The agent registration step or data upload operations might fail if there's TLS inspection or termination for outbound traffic at the network layer. Zie TLS-inspectie instellenvoor meer informatie.For more information, see Set up TLS inspection.
De agent wordt uitgevoerd op de firewall poorten op de server.Firewall ports on the server are running the agent. De agent moet de volgende firewall poorten open hebben zodat deze kan communiceren met de Azure AD Connect Health Service-eind punten:The agent requires the following firewall ports to be open so that it can communicate with the Azure AD Connect Health service endpoints:
  • TCP-poort 443TCP port 443
  • TCP-poort 5671TCP port 5671

    • Voor de nieuwste versie van de agent is poort 5671 niet vereist.The latest version of the agent doesn't require port 5671. Voer een upgrade uit naar de nieuwste versie zodat alleen poort 443 is vereist.Upgrade to the latest version so that only port 443 is required. Zie voor meer informatie hybride identiteit vereiste poorten en protocollen.For more information, see Hybrid identity required ports and protocols.
    Als verbeterde beveiliging van Internet Explorer is ingeschakeld, kunt u opgegeven websites toestaan.If Internet Explorer enhanced security is enabled, allow specified websites. Als verbeterde beveiliging van Internet Explorer is ingeschakeld, kunt u de volgende websites op de server waarop u de Agent installeert, toestaan:If Internet Explorer enhanced security is enabled, then allow the following websites on the server where you install the agent:
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.nethttps://login.windows.net
  • https: / /aadcdn.msftauth.nethttps://aadcdn.msftauth.net
  • De Federatie server voor uw organisatie die wordt vertrouwd door Azure AD (bijvoorbeeld https: / /STS.contoso.com)The federation server for your organization that's trusted by Azure AD (for example, https://sts.contoso.com)

    • Zie How to configure Internet Explorer(Engelstalig) voor meer informatie.For more information, see How to configure Internet Explorer. Als u een proxy in uw netwerk hebt, kunt u de notitie aan het einde van deze tabel weer geven.If you have a proxy in your network, then see the note that appears at the end of this table.
    Power shell-versie 4,0 of hoger is geïnstalleerd.PowerShell version 4.0 or newer is installed. Windows Server 2012 bevat Power shell-versie 3,0.Windows Server 2012 includes PowerShell version 3.0. Deze versie is niet voldoende voor de agent.This version is not sufficient for the agent.

    Windows Server 2012 R2 en hoger bevatten een voldoende recente versie van Power shell.Windows Server 2012 R2 and later include a sufficiently recent version of PowerShell.
    FIPS (Federal Information Processing Standard) is uitgeschakeld.FIPS (Federal Information Processing Standard) is disabled. Azure AD Connect Health-Agents bieden geen ondersteuning voor FIPS.Azure AD Connect Health agents don't support FIPS.

    Belangrijk

    Windows Server Core biedt geen ondersteuning voor de installatie van de Azure AD Connect Health-Agent.Windows Server Core doesn't support installing the Azure AD Connect Health agent.

    Notitie

    Als u een zeer vergrendelde en beperkte omgeving hebt, moet u meer Url's toevoegen dan de tabel lijsten voor verbeterde beveiliging van Internet Explorer.If you have a highly locked-down and restricted environment, you need to add more URLs than the ones the table lists for Internet Explorer enhanced security. Voeg ook Url's toe die worden vermeld in de tabel in de volgende sectie.Also add URLs that are listed in the table in the next section.

    Uitgaande verbinding met de Azure-service-eindpuntenOutbound connectivity to the Azure service endpoints

    Tijdens de installatie en runtime moet de agent verbinding hebben met Azure AD Connect Health Service-eind punten.During installation and runtime, the agent needs connectivity to Azure AD Connect Health service endpoints. Als firewalls uitgaande verbindingen blok keren, zorgt u ervoor dat de Url's in de volgende tabel niet standaard worden geblokkeerd.If firewalls block outbound connectivity, make sure that the URLs in the following table aren't blocked by default.

    Schakel de beveiligings controle of inspectie van deze Url's niet uit.Don't disable security monitoring or inspection of these URLs. In plaats daarvan kunt u toestaan dat andere Internet verkeer wordt toegestaan.Instead, allow them as you would allow other internet traffic.

    Met deze Url's kunt u communicatie met Azure AD Connect Health Service-eind punten toestaan.These URLs allow communication with Azure AD Connect Health service endpoints. Verderop in dit artikel leert u hoe u de uitgaande connectiviteit kunt controleren met behulp van Test-AzureADConnectHealthConnectivity .Later in this article, you'll learn how to check outbound connectivity by using Test-AzureADConnectHealthConnectivity.

    Domein omgevingDomain environment Vereiste Azure-service-eindpuntenRequired Azure service endpoints
    Algemeen openbaarGeneral public
  • *.blob.core.windows.net*.blob.core.windows.net
  • *.aadconnecthealth.azure.com*.aadconnecthealth.azure.com
  • *. servicebus.windows.net-Port: 5671 (dit eind punt is niet vereist in de nieuwste versie van de agent.)*.servicebus.windows.net - Port: 5671 (This endpoint isn't required in the latest version of the agent.)
  • *.adhybridhealth.azure.com/*.adhybridhealth.azure.com/
  • https://management.azure.comhttps://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.nethttps://login.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https: / /www.Office.com (dit eind punt wordt alleen gebruikt voor detectie doeleinden tijdens de registratie.)https://www.office.com (This endpoint is used only for discovery purposes during registration.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
    		•
    Azure DuitslandAzure Germany
  • *.blob.core.cloudapi.de*.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de*.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de*.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.dehttps://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.dehttps://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.dehttps://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.dehttps://secure.aadcdn.microsoftonline-p.de
  • https: / /www.Office.de (dit eind punt wordt alleen gebruikt voor detectie doeleinden tijdens de registratie.)https://www.office.de (This endpoint is used only for discovery purposes during registration.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
    		•
    Azure GovernmentAzure Government
  • *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us*.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.nethttps://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.ushttps://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.ushttps://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https: / /www.Office.com (dit eind punt wordt alleen gebruikt voor detectie doeleinden tijdens de registratie.)https://www.office.com (This endpoint is used only for discovery purposes during registration.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
    		•

    De agent installerenInstall the agent

    De Azure AD Connect Health-Agent downloaden en installeren:To download and install the Azure AD Connect Health agent:

    De agent voor AD FS installerenInstall the agent for AD FS

    Notitie

    Uw AD FS-server moet verschillen van de synchronisatie server.Your AD FS server should be different from your Sync server. Installeer de AD FS-agent niet op de synchronisatie server.Don't install the AD FS agent on your Sync server.

    Voordat u de Agent installeert, moet u ervoor zorgen dat de hostnaam van de AD FS server uniek is en niet aanwezig is in de AD FS-service.Before you install the agent, make sure your AD FS server host name is unique and isn't present in the AD FS service. Dubbel klik op het exe -bestand dat u hebt gedownload om de installatie van de agent te starten.To start the agent installation, double-click the .exe file that you downloaded. Selecteer in het eerste venster installeren.In the first window, select Install.

    Scherm opname van het installatie venster voor de Azure AD Connect Health AD FS agent.

    Nadat de installatie is voltooid, selecteert u nu configureren.After the installation finishes, select Configure Now.

    Scherm afbeelding met het bevestigings bericht voor de installatie van de Azure AD Connect Health AD FS agent.

    Er wordt een Power shell-venster geopend om het registratie proces voor de agent te starten.A PowerShell window opens to start the agent registration process. Wanneer u hierom wordt gevraagd, meldt u zich aan met een Azure AD-account dat is gemachtigd om de agent te registreren.When you're prompted, sign in by using an Azure AD account that has permissions to register the agent. Het account van de globale beheerder heeft standaard machtigingen.By default, the global admin account has permissions.

    Scherm opname van het aanmeldings venster voor Azure AD Connect Health AD FS.

    Nadat u zich hebt aangemeld, wordt Power shell voortgezet.After you sign in, PowerShell continues. Wanneer de service is voltooid, kunt u Power shell sluiten.When it finishes, you can close PowerShell. De configuratie is voltooid.The configuration is complete.

    Op dit moment moet de agent services automatisch worden gestart zodat de agent de vereiste gegevens veilig kan uploaden naar de Cloud service.At this point, the agent services should start automatically to allow the agent to securely upload the required data to the cloud service.

    Als u niet alle vereisten hebt voldaan, worden er waarschuwingen weer gegeven in het Power shell-venster.If you haven't met all of the prerequisites, warnings appear in the PowerShell window. Zorg ervoor dat u de vereisten voltooit voordat u de Agent installeert.Be sure to complete the requirements before you install the agent. De volgende scherm afbeelding toont een voor beeld van deze waarschuwingen.The following screenshot shows an example of these warnings.

    Scherm opname met de Azure AD Connect Health AD FS script configureren.

    Als u wilt controleren of de agent is geïnstalleerd, zoekt u de volgende services op de server.To verify that the agent was installed, look for the following services on the server. Als de configuratie is voltooid, moeten deze services worden uitgevoerd.If you completed the configuration, they should already be running. Anders worden ze gestopt totdat de configuratie is voltooid.Otherwise, they're stopped until the configuration is complete.

    • Azure AD Connect Health AD FS Diagnostics-serviceAzure AD Connect Health AD FS Diagnostics Service
    • Azure AD Connect Health AD FS Insights-serviceAzure AD Connect Health AD FS Insights Service
    • Azure AD Connect Health AD FS Monitoring-serviceAzure AD Connect Health AD FS Monitoring Service

    Scherm opname van Azure AD Connect Health AD FS Services.

    Controle inschakelen voor AD FSEnable auditing for AD FS

    Notitie

    Deze sectie is alleen van toepassing op AD FS-servers.This section applies only to AD FS servers. U hoeft deze stappen niet uit te voeren op de Web Application proxy-servers.You don't have to follow these steps on the Web Application Proxy servers.

    De functie voor gebruiks analyse moet gegevens verzamelen en analyseren.The Usage Analytics feature needs to gather and analyze data. Daarom heeft de Azure AD Connect Health-Agent de informatie nodig in de AD FS controle Logboeken.So the Azure AD Connect Health agent needs the information in the AD FS audit logs. Deze logboeken zijn niet standaard ingeschakeld.These logs aren't enabled by default. Gebruik de volgende procedures om AD FS controle in te scha kelen en de AD FS controle logboeken op uw AD FS-servers te vinden.Use the following procedures to enable AD FS auditing and to locate the AD FS audit logs on your AD FS servers.

    Controle inschakelen voor AD FS in Windows Server 2012 R2To enable auditing for AD FS on Windows Server 2012 R2

    1. Open Serverbeheer op het Start scherm en open vervolgens lokaal beveiligings beleid.On the Start screen, open Server Manager, and then open Local Security Policy. Open Serverbeheer op de taak balk en selecteer vervolgens extra/lokaal beveiligings beleid.Or on the taskbar, open Server Manager, and then select Tools/Local Security Policy.

    2. Ga naar de map beveiligings-Beleid\toewijzing rechten toewijzen .Go to the Security Settings\Local Policies\User Rights Assignment folder. Dubbel klik vervolgens op beveiligings controle genereren.Then double-click Generate security audits.

    3. Controleer op het tabblad Lokale beveiligingsinstelling of het AD FS-serviceaccount wordt vermeld.On the Local Security Setting tab, verify that the AD FS service account is listed. Als deze niet wordt weer gegeven, selecteert u gebruiker of groep toevoegen en voegt u deze toe aan de lijst.If it's not listed, then select Add User or Group, and add it to the list. Selecteer vervolgens OK.Then select OK.

    4. Als u controle wilt inschakelen, opent u een opdracht prompt venster met verhoogde bevoegdheden.To enable auditing, open a Command Prompt window with elevated privileges. Voer vervolgens de volgende opdracht uit:Then run the following command:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Kies Lokaal beveiligingsbeleid.Close Local Security Policy.

      Belangrijk

      De volgende stappen zijn alleen vereist voor primaire AD FS-servers.The following steps are required only for primary AD FS servers.

    6. Open de module AD FS-beheer.Open the AD FS Management snap-in. (Selecteer in Serverbeheer extra > AD FS beheer.)(In Server Manager, select Tools > AD FS Management.)

    7. Selecteer in het deel venster acties de optie Federation service eigenschappen bewerken.In the Actions pane, select Edit Federation Service Properties.

    8. Selecteer in het dialoog venster Eigenschappen van Federation service het tabblad gebeurtenissen .In the Federation Service Properties dialog box, select the Events tab.

    9. Selecteer de selectie vakjes geslaagde controles en mislukte controles en selecteer vervolgens OK.Select the Success audits and Failure audits check boxes, and then select OK.

    10. Als u uitgebreide logboek registratie via Power shell wilt inschakelen, gebruikt u de volgende opdracht:To enable verbose logging through PowerShell, use the following command:

      Set-AdfsProperties -LOGLevel Verbose

    Controle inschakelen voor AD FS in Windows Server 2016To enable auditing for AD FS on Windows Server 2016

    1. Open Serverbeheer op het Start scherm en open vervolgens lokaal beveiligings beleid.On the Start screen, open Server Manager, and then open Local Security Policy. Open Serverbeheer op de taak balk en selecteer vervolgens extra/lokaal beveiligings beleid.Or on the taskbar, open Server Manager, and then select Tools/Local Security Policy.

    2. Ga naar de map Security-Beleid\toewijzing Rights Assignment en dubbel klik vervolgens op beveiligings controle genereren.Go to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.

    3. Controleer op het tabblad Lokale beveiligingsinstelling of het AD FS-serviceaccount wordt vermeld.On the Local Security Setting tab, verify that the AD FS service account is listed. Als deze niet wordt weer gegeven, selecteert u gebruiker of groep toevoegen en voegt u de AD FS-service account toe aan de lijst.If it's not listed, then select Add User or Group, and add the AD FS service account to the list. Selecteer vervolgens OK.Then select OK.

    4. Als u controle wilt inschakelen, opent u een opdracht prompt venster met verhoogde bevoegdheden.To enable auditing, open a Command Prompt window with elevated privileges. Voer vervolgens de volgende opdracht uit:Then run the following command:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Kies Lokaal beveiligingsbeleid.Close Local Security Policy.

      Belangrijk

      De volgende stappen zijn alleen vereist voor primaire AD FS-servers.The following steps are required only for primary AD FS servers.

    6. Open de module AD FS-beheer.Open the AD FS Management snap-in. (Selecteer in Serverbeheer extra > AD FS beheer.)(In Server Manager, select Tools > AD FS Management.)

    7. Selecteer in het deel venster acties de optie Federation service eigenschappen bewerken.In the Actions pane, select Edit Federation Service Properties.

    8. Selecteer in het dialoog venster Eigenschappen van Federation service het tabblad gebeurtenissen .In the Federation Service Properties dialog box, select the Events tab.

    9. Selecteer de selectie vakjes geslaagde controles en mislukte controles en selecteer vervolgens OK.Select the Success audits and Failure audits check boxes, and then select OK. Geslaagde controles en mislukte controles moeten standaard worden ingeschakeld.Success audits and failure audits should be enabled by default.

    10. Open een Power shell-venster en voer de volgende opdracht uit:Open a PowerShell window and run the following command:

      Set-AdfsProperties -AuditLevel Verbose

    Het Basic-controle niveau is standaard ingeschakeld.The "basic" audit level is enabled by default. Zie AD FS controle verbetering in Windows Server 2016voor meer informatie.For more information, see AD FS audit enhancement in Windows Server 2016.

    De AD FS-auditlogboeken zoekenTo locate the AD FS audit logs

    1. Open Logboeken.Open Event Viewer.

    2. Ga naar Windows-logboeken en selecteer vervolgens beveiliging.Go to Windows Logs, and then select Security.

    3. Selecteer aan de rechter kant filter huidige logboeken.On the right, select Filter Current Logs.

    4. Selecteer AD FS controle voor gebeurtenis bronnen.For Event sources, select AD FS Auditing.

      Zie Operations questions(Engelstalig) voor meer informatie over audit Logboeken.For more information about audit logs, see Operations questions.

      Scherm opname van het venster huidig logboek filteren.

    Waarschuwing

    Met een groepsbeleid kan AD FS-controle worden uitgeschakeld.A group policy can disable AD FS auditing. Als AD FS controle is uitgeschakeld, zijn gebruiks analyses over aanmeldings activiteiten niet beschikbaar.If AD FS auditing is disabled, usage analytics about login activities are unavailable. Zorg ervoor dat er geen groeps beleid is waarmee AD FS controle wordt uitgeschakeld.Ensure that you have no group policy that disables AD FS auditing.

    De agent voor synchronisatie installerenInstall the agent for Sync

    De Azure AD Connect Health-Agent voor synchronisatie wordt automatisch geïnstalleerd in de meest recente versie van Azure AD Connect.The Azure AD Connect Health agent for Sync is installed automatically in the latest version of Azure AD Connect. Als u Azure AD Connect voor synchronisatie wilt gebruiken, downloadt u de meest recente versie van Azure AD Connect en installeert u deze.To use Azure AD Connect for Sync, download the latest version of Azure AD Connect and install it.

    Als u wilt controleren of de agent is geïnstalleerd, zoekt u de volgende services op de server.To verify the agent has been installed, look for the following services on the server. Als u de configuratie hebt voltooid, zijn de Services al actief.If you completed the configuration, the services should already be running. Anders worden de services gestopt totdat de configuratie is voltooid.Otherwise, the services are stopped until the configuration is complete.

    • Azure AD Connect Health Sync Insights-serviceAzure AD Connect Health Sync Insights Service
    • Azure AD Connect Health Sync Monitoring-serviceAzure AD Connect Health Sync Monitoring Service

    Scherm afbeelding met de actieve Azure AD Connect Health voor synchronisatie Services op de server.

    Notitie

    Houd er rekening mee dat u Azure AD Premium moet hebben om Azure AD Connect Health te gebruiken.Remember that you must have Azure AD Premium to use Azure AD Connect Health. Als u niet beschikt over Azure AD Premium, kunt u de configuratie in de Azure Portal niet volt ooien.If you don't have Azure AD Premium, you can't complete the configuration in the Azure portal. Zie de vereistenvoor meer informatie.For more information, see the requirements.

    Azure AD Connect Health voor synchronisatie hand matig registrerenManually register Azure AD Connect Health for Sync

    Als de Azure AD Connect Health voor de registratie van de synchronisatie agent mislukt nadat u Azure AD Connect hebt geïnstalleerd, kunt u een Power shell-opdracht gebruiken om de agent hand matig te registreren.If the Azure AD Connect Health for Sync agent registration fails after you successfully install Azure AD Connect, then you can use a PowerShell command to manually register the agent.

    Belangrijk

    Gebruik deze Power shell-opdracht alleen als de registratie van de agent mislukt nadat u Azure AD Connect hebt geïnstalleerd.Use this PowerShell command only if the agent registration fails after you install Azure AD Connect.

    Registreer de Azure AD Connect Health Agent hand matig voor synchronisatie met behulp van de volgende Power shell-opdracht.Manually register the Azure AD Connect Health agent for Sync by using the following PowerShell command. De Azure AD Connect Health-services worden niet gestart nadat de agent is geregistreerd.The Azure AD Connect Health services will start after the agent has been successfully registered.

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false

    Voor de opdracht worden de volgende parameters gebruikt:The command takes following parameters:

    • AttributeFiltering: $true (standaard) als Azure AD Connect de standaardkenmerkset niet synchroniseert en is aangepast voor het gebruik van een gefilterde kenmerkset.AttributeFiltering: $true (default) if Azure AD Connect isn't syncing the default attribute set and has been customized to use a filtered attribute set. Gebruik anders $false .Otherwise, use $false.
    • StagingMode: $false (standaard) als de Azure AD Connect-server zich niet in de faserings modus bevindt.StagingMode: $false (default) if the Azure AD Connect server is not in staging mode. Als de server is geconfigureerd om te worden uitgevoerd in de faserings modus, gebruikt u $true .If the server is configured to be in staging mode, use $true.

    Wanneer u wordt gevraagd om verificatie, gebruikt u hetzelfde globale beheerders account (zoals admin@domain.onmicrosoft.com ) dat u hebt gebruikt om Azure AD Connect te configureren.When you're prompted for authentication, use the same global admin account (such as admin@domain.onmicrosoft.com) that you used to configure Azure AD Connect.

    De agent voor Azure AD DS installerenInstall the agent for Azure AD DS

    Dubbel klik op het exe -bestand dat u hebt gedownload om de installatie van de agent te starten.To start the agent installation, double-click the .exe file that you downloaded. Selecteer in het eerste venster installeren.In the first window, select Install.

    Scherm afbeelding van het installatie venster Azure AD Connect Health Agent voor AD DS.

    Wanneer de installatie is voltooid, selecteert u nu configureren.When the installation finishes, select Configure Now.

    Scherm opname van het venster waarin de installatie van de Azure AD Connect Health Agent voor Azure AD DS is voltooid.

    Er wordt een opdracht prompt venster geopend.A Command Prompt window opens. Power shell wordt uitgevoerd Register-AzureADConnectHealthADDSAgent .PowerShell runs Register-AzureADConnectHealthADDSAgent. Wanneer u wordt gevraagd, meldt u zich aan bij Azure.When you're prompted, sign in to Azure.

    Scherm opname van het aanmeldings venster voor de Azure AD Connect Health Agent voor Azure AD DS.

    Nadat u zich hebt aangemeld, wordt Power shell voortgezet.After you sign in, PowerShell continues. Wanneer de service is voltooid, kunt u Power shell sluiten.When it finishes, you can close PowerShell. De configuratie is voltooid.The configuration is complete.

    Op dit moment moeten de services automatisch worden gestart, zodat de agent gegevens kan bewaken en verzamelen.At this point, the services should be started automatically, allowing the agent to monitor and gather data. Als u niet voldoet aan alle vereisten die in de vorige secties zijn beschreven, worden er waarschuwingen weer gegeven in het Power shell-venster.If you haven't met all of the prerequisites outlined in the previous sections, then warnings appear in the PowerShell window. Zorg ervoor dat u de vereisten voltooit voordat u de Agent installeert.Be sure to complete the requirements before you install the agent. De volgende scherm afbeelding toont een voor beeld van deze waarschuwingen.The following screenshot shows an example of these warnings.

    Scherm opname met een waarschuwing voor de configuratie van de Azure AD Connect Health Agent voor Azure AD DS.

    Als u wilt controleren of de agent is geïnstalleerd, zoekt u de volgende services op de domein controller:To verify that the agent is installed, look for the following services on the domain controller:

    • Azure AD Connect Health AD DS Insights-serviceAzure AD Connect Health AD DS Insights Service
    • Azure AD Connect Health AD DS Monitoring-serviceAzure AD Connect Health AD DS Monitoring Service

    Als de configuratie is voltooid, worden deze services als het goed is al uitgevoerd.If you completed the configuration, these services should already be running. Anders worden ze gestopt tot de configuratie is voltooid.Otherwise, they're stopped until the configuration finishes.

    Scherm afbeelding met de actieve services op de domein controller.

    De agent snel op meerdere servers installerenQuickly install the agent on multiple servers

    1. Maak een gebruikers account in azure AD.Create a user account in Azure AD. Beveilig het met een wacht woord.Secure it by using a password.

    2. Wijs de rol van eigenaar voor dit lokale Azure ad-account in azure AD Connect Health toe met behulp van de portal.Assign the Owner role for this local Azure AD account in Azure AD Connect Health by using the portal. Volg deze stappen.Follow these steps. Wijs de rol toe aan alle service-exemplaren.Assign the role to all service instances.

    3. Down load het exe MSI-bestand in de lokale domein controller voor de installatie.Download the .exe MSI file in the local domain controller for the installation.

    4. Voer het volgende script uit.Run the following script. Vervang de para meters door uw nieuwe gebruikers account en het bijbehorende wacht woord.Replace the parameters with your new user account and its password.

      AdHealthAddsAgentSetup.exe /quiet
Start-Sleep 30
$userName = "NEWUSER@DOMAIN"
$secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
$myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"

Register-AzureADConnectHealthADDSAgent -Credential $myCreds

    Wanneer u klaar bent, kunt u de toegang tot het lokale account verwijderen door een of meer van de volgende taken uit te voeren:When you finish, you can remove access for the local account by doing one or more of the following tasks:

    • Verwijder de roltoewijzing voor het lokale account voor Azure AD Connect Health.Remove the role assignment for the local account for Azure AD Connect Health.
    • Het wacht woord voor het lokale account draaien.Rotate the password for the local account.
    • Schakel het lokale Azure AD-account uit.Disable the Azure AD local account.
    • Verwijder het lokale Azure AD-account.Delete the Azure AD local account.

    De agent registreren met behulp van Power shellRegister the agent by using PowerShell

    Nadat u het juiste agent setup.exe -bestand hebt geïnstalleerd, kunt u de agent registreren met behulp van de volgende Power shell-opdrachten, afhankelijk van de rol.After you install the appropriate agent setup.exe file, you can register the agent by using the following PowerShell commands, depending on the role. Open een Power shell-venster en voer de juiste opdracht uit:Open a PowerShell window and run the appropriate command:

        Register-AzureADConnectHealthADFSAgent
    Register-AzureADConnectHealthADDSAgent
    Register-AzureADConnectHealthSyncAgent

    Notitie

    Als u zich wilt registreren bij soevereine Clouds, gebruikt u de volgende opdracht regels:To register against sovereign clouds, use the following command lines:

    Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user

    Deze opdrachten accepteren Credential als een para meter voor het niet interactief volt ooien van de registratie of voor het volt ooien van de registratie op een computer waarop Server kernen worden uitgevoerd.These commands accept Credential as a parameter to complete the registration noninteractively or to complete the registration on a machine that runs Server Core. Denk hierbij aan het volgende:Keep in mind that:

    • U kunt vastleggen Credential in een Power shell-variabele die wordt door gegeven als een para meter.You can capture Credential in a PowerShell variable that's passed as a parameter.
    • U kunt een Azure AD-identiteit opgeven die machtigingen heeft voor het registreren van de agents en waarvoor geen multi-factor Authentication is ingeschakeld.You can provide any Azure AD identity that has permissions to register the agents and that does not have multifactor authentication enabled.
    • Standaard hebben globale beheerders machtigingen voor het registreren van de agents.By default, global admins have permissions to register the agents. U kunt ook de identiteiten met minder privileges toestaan om deze stap uit te voeren.You can also allow less-privileged identities to do this step. Zie Azure RBACvoor meer informatie.For more information, see Azure RBAC.
        $cred = Get-Credential
    Register-AzureADConnectHealthADFSAgent -Credential $cred

    Azure AD Connect Health agents configureren voor het gebruik van HTTP-proxyConfigure Azure AD Connect Health agents to use HTTP proxy

    U kunt Azure AD Connect Health agents configureren voor gebruik met een HTTP-proxy.You can configure Azure AD Connect Health agents to work with an HTTP proxy.

    Notitie

    • Netsh WinHttp set ProxyServerAddress wordt niet ondersteund.Netsh WinHttp set ProxyServerAddress is not supported. De agent gebruikt System.Net in plaats van Windows HTTP-Services om webaanvragen te maken.The agent uses System.Net instead of Windows HTTP Services to make web requests.
    • Het geconfigureerde HTTP-proxy adres wordt gebruikt om versleutelde HTTPS-berichten door te geven.The configured HTTP proxy address is used to pass-through encrypted HTTPS messages.
    • Proxy’s die zijn geverifieerd (met HTTPBasic), worden niet ondersteund.Authenticated proxies (using HTTPBasic) are not supported.

    De configuratie van de agent proxy wijzigenChange the agent proxy configuration

    Als u de Azure AD Connect Health-Agent voor het gebruik van een HTTP-proxy wilt configureren, kunt u het volgende doen:To configure the Azure AD Connect Health agent to use an HTTP proxy, you can:

    • Bestaande proxy-instellingen importeren.Import existing proxy settings.
    • Geef proxy adressen hand matig op.Specify proxy addresses manually.
    • Wis de bestaande proxy configuratie.Clear the existing proxy configuration.

    Notitie

    Als u de proxy-instellingen wilt bijwerken, moet u alle Azure AD Connect Health Agent-services opnieuw starten.To update the proxy settings, you must restart all Azure AD Connect Health agent services. Voer de volgende opdracht uit:Run the following command:

    Restart-Service AzureADConnectHealth*

    Bestaande proxy-instellingen importerenImport existing proxy settings

    U kunt de HTTP-proxy-instellingen van Internet Explorer importeren, zodat de Azure AD Connect Health-Agents de instellingen kunnen gebruiken.You can import Internet Explorer HTTP proxy settings so that the Azure AD Connect Health agents can use the settings. Voer de volgende Power shell-opdracht uit op elk van de servers waarop de Health-Agent wordt uitgevoerd:On each of the servers that run the health agent, run the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings

    U kunt WinHTTP-proxy-instellingen importeren, zodat de Azure AD Connect Health Agent deze kunnen gebruiken.You can import WinHTTP proxy settings so that the Azure AD Connect Health agents can use them. Voer de volgende Power shell-opdracht uit op elk van de servers waarop de Health-Agent wordt uitgevoerd:On each of the servers that run the health agent, run the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp

    Proxy adressen hand matig opgevenSpecify proxy addresses manually

    U kunt hand matig een proxy server opgeven.You can manually specify a proxy server. Voer de volgende Power shell-opdracht uit op elk van de servers waarop de Health-Agent wordt uitgevoerd:On each of the servers that run the health agent, run the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port

    Hier volgt een voorbeeld:Here's an example:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    In dit voorbeeld geldt het volgende:In this example:

    • De address instelling kan een DNS-herstel bare server naam of een IPv4-adres zijn.The address setting can be a DNS-resolvable server name or an IPv4 address.
    • U kunt weglaten port .You can omit port. Als u dit doet, is 443 de standaard poort.If you do, then 443 is the default port.

    De bestaande proxy configuratie wissenClear the existing proxy configuration

    U kunt de bestaande proxyconfiguratie wissen door de volgende opdracht uit te voeren:You can clear the existing proxy configuration by running the following command:

    Set-AzureAdConnectHealthProxySettings -NoProxy

    De huidige proxyinstellingen lezenRead current proxy settings

    U kunt de huidige proxy-instellingen lezen door de volgende opdracht uit te voeren:You can read the current proxy settings by running the following command:

    Get-AzureAdConnectHealthProxySettings

    Verbinding met Azure AD Connect Health-Service testenTest connectivity to Azure AD Connect Health service

    In sommige gevallen kan de Azure AD Connect Health-Agent de verbinding met de Azure AD Connect Health-Service verliezen.Occasionally, the Azure AD Connect Health agent can lose connectivity with the Azure AD Connect Health service. Oorzaken van dit verbindings verlies kunnen netwerk problemen, machtigings problemen en verschillende andere problemen zijn.Causes of this connectivity loss can include network problems, permission problems, and various other problems.

    Als de agent gedurende meer dan twee uur geen gegevens kan verzenden naar de Azure AD Connect Health-Service, wordt de volgende waarschuwing weer gegeven in de portal: ' Health Service gegevens zijn niet bijgewerkt. 'If the agent can't send data to the Azure AD Connect Health service for longer than two hours, the following alert appears in the portal: "Health Service data is not up to date."

    U kunt nagaan of de betrokken Azure AD Connect Health Agent gegevens kan uploaden naar de Azure AD Connect Health-Service door de volgende Power shell-opdracht uit te voeren:You can find out whether the affected Azure AD Connect Health agent can upload data to the Azure AD Connect Health service by running the following PowerShell command:

    Test-AzureADConnectHealthConnectivity -Role ADFS

    De rolparameter heeft momenteel de volgende waarden:The role parameter currently takes the following values:

    • ADFSADFS
    • SynchroniserenSync
    • ADDSADDS

    Notitie

    Als u het connectiviteits hulpprogramma wilt gebruiken, moet u de agent eerst registreren.To use the connectivity tool, you must first register the agent. Als u de registratie van de agent niet kunt volt ooien, moet u ervoor zorgen dat u aan alle vereisten voor Azure AD Connect Health hebt voldaan.If you can't complete the agent registration, make sure that you have met all of the requirements for Azure AD Connect Health. De connectiviteit wordt standaard getest tijdens de registratie van de agent.Connectivity is tested by default during agent registration.

    Volgende stappenNext steps

    Bekijk de volgende verwante artikelen:Check out the following related articles: