Veelgestelde vragen over Azure AD Connect HealthAzure AD Connect Health frequently asked questions

In dit artikel bevat antwoorden op veelgestelde vragen over Azure Active Directory (Azure AD) Connect Health.This article includes answers to frequently asked questions (FAQs) about Azure Active Directory (Azure AD) Connect Health. Deze Veelgestelde vragen hebben betrekking op vragen over het gebruik van de service, waaronder het facturering model, mogelijkheden, beperkingen en ondersteuning.These FAQs cover questions about how to use the service, which includes the billing model, capabilities, limitations, and support.

Algemene vragenGeneral questions

V: Kan ik beheren meerdere Azure AD-directory's. Hoe kan ik schakelen naar de met Azure Active Directory Premium?Q: I manage multiple Azure AD directories. How do I switch to the one that has Azure Active Directory Premium?

Schakelen tussen de verschillende Azure AD-tenants, selecteert u de momenteel aangemelde gebruikersnaam in de rechterbovenhoek hoek en kies vervolgens het gewenste account.To switch between different Azure AD tenants, select the currently signed-in User Name on the upper-right corner, and then choose the appropriate account. Als het account hier niet wordt weergegeven, selecteert u Afmelden, en gebruik vervolgens de referenties van de globale beheerder van de directory met Azure Active Directory Premium aan te melden bij ingeschakeld.If the account is not listed here, select Sign out, and then use the global admin credentials of the directory that has Azure Active Directory Premium enabled to sign in.

V: Welke versie van de identiteit rollen worden ondersteund door Azure AD Connect Health?Q: What version of identity roles are supported by Azure AD Connect Health?

De volgende tabel geeft een lijst van de rollen en versies van besturingssystemen ondersteund.The following table lists the roles and supported operating system versions.

RolRole Besturingssysteem / versieOperating system / Version
Active Directory Federatieservices (AD FS)Active Directory Federation Services (AD FS)
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016
Azure AD ConnectAzure AD Connect Versie 1.0.9125 of hogerVersion 1.0.9125 or higher
Active Directory Domain Services (AD DS)Active Directory Domain Services (AD DS)
  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016

Houd er rekening mee dat de functies van de service op basis van de rol en het besturingssysteem verschillen kunnen.Note that the features provided by the service may differ based on the role and the operating system. Met andere woorden, alle functies mogelijk niet beschikbaar voor alle versies van besturingssystemen.In other words, all the features may not be available for all operating system versions. Zie de functiebeschrijvingen van de voor meer informatie.See the feature descriptions for details.

V: Hoeveel licenties heb ik nodig voor het bewaken van mijn infrastructuur?Q: How many licenses do I need to monitor my infrastructure?

  • De eerste Connect Health-Agent is ten minste één Azure AD Premium-licentie vereist.The first Connect Health Agent requires at least one Azure AD Premium license.
  • Voor elke extra geregistreerde agent vereist 25 extra Azure AD Premium-licenties.Each additional registered agent requires 25 additional Azure AD Premium licenses.
  • Aantal agents is gelijk aan het totale aantal agents die zijn geregistreerd voor alle bewaakte rollen (AD FS, Azure AD Connect en/of AD DS).Agent count is equivalent to the total number of agents that are registered across all monitored roles (AD FS, Azure AD Connect, and/or AD DS).
  • AAD Connect Health-licentieverlening vereist niet dat u de licentie toewijzen aan specifieke gebruikers.AAD Connect Health licensing does not require you to assign the license to specific users. U hoeft alleen het vereiste aantal geldige licenties hebt.You only need to have the requisite number of valid licenses.

Licentie-informatie is ook gevonden op de pagina met prijzen voor Azure AD.Licensing information is also found on the Azure AD Pricing page.

Voorbeeld:Example:

Geregistreerde agentsRegistered agents Benodigde licentiesLicenses needed Configuratie van de voorbeeld-bewakingExample monitoring configuration
11 11 1 azure AD Connect-server1 Azure AD Connect server
22 2626 1 azure AD Connect-server en 1-domeincontroller1 Azure AD Connect server and 1 domain controller
33 5151 1 active Directory Federation Services (AD FS)-server, 1 AD FS-proxy en 1-domeincontroller1 Active Directory Federation Services (AD FS) server, 1 AD FS proxy, and 1 domain controller
44 7676 1 AD FS-server, 1 AD FS-proxy en 2 domeincontrollers1 AD FS server, 1 AD FS proxy, and 2 domain controllers
55 101101 1 azure AD Connect-server, 1 AD FS-server 1 AD FS-proxy en 2 domeincontrollers1 Azure AD Connect server, 1 AD FS server, 1 AD FS proxy, and 2 domain controllers

V: Azure AD Connect Health biedt ondersteuning voor Azure-Cloud voor Duitsland?Q: Does Azure AD Connect Health support Azure Germany Cloud?

Azure AD Connect Health wordt niet ondersteund in de Duitse Cloud, behalve voor de synchronisatiefunctie fouten rapport.Azure AD Connect Health is not supported in Germany Cloud except for the sync errors report feature.

RollenRoles FunctiesFeatures Ondersteund in de Duitse CloudSupported in German Cloud
Connect Health for SyncConnect Health for Sync Bewaking / inzicht / waarschuwingen / analyseMonitoring / Insight / Alerts / Analysis NeeNo
Rapport over synchronisatiefoutenSync error report JaYes
Connect Health voor AD FSConnect Health for ADFS Bewaking / inzicht / waarschuwingen / analyseMonitoring / Insight / Alerts / Analysis NeeNo
Connect Health voor ADDSConnect Health for ADDS Bewaking / inzicht / waarschuwingen / analyseMonitoring / Insight / Alerts / Analysis NeeNo

Om te controleren of de agent met de connectiviteit van Connect Health voor synchroniseren, configureer de installatievereiste dienovereenkomstig.To ensure the agent connectivity of Connect Health for sync, please configure the installation requirement accordingly.

Vragen over de installatieInstallation questions

V: Wat zijn de gevolgen van de Azure AD Connect Health-Agent installeren op afzonderlijke servers?Q: What is the impact of installing the Azure AD Connect Health Agent on individual servers?

De impact van het installeren van de Microsoft Azure AD Connect Health-Agent, de AD FS, de WAP-servers, de Azure AD Connect (sync)-servers, domeincontrollers is minimale met betrekking tot de CPU, geheugengebruik, bandbreedte van het netwerk en opslag.The impact of installing the Microsoft Azure AD Connect Health Agent, AD FS, web application proxy servers, Azure AD Connect (sync) servers, domain controllers is minimal with respect to the CPU, memory consumption, network bandwidth, and storage.

De volgende getallen zijn een benadering:The following numbers are an approximation:

  • CPU-verbruik: ~ 1-5% verhogen.CPU consumption: ~1-5% increase.
  • Geheugengebruik: Maximaal 10% van de totale systeemgeheugen.Memory consumption: Up to 10 % of the total system memory.

Notitie

Als de agent kan niet met Azure communiceren, worden de gegevens voor een gedefinieerde maximumlimiet lokaal opgeslagen in de agent.If the agent cannot communicate with Azure, the agent stores the data locally for a defined maximum limit. De agent worden de gegevens 'in de cache' op basis van "minst recentelijk onderhouden" overschreven.The agent overwrites the “cached” data on a “least recently serviced” basis.

  • Lokale buffer opslag voor Azure AD Connect Health-Agents: ~ 20 MB.Local buffer storage for Azure AD Connect Health Agents: ~20 MB.
  • Voor AD FS-servers raden wij het inrichten van een schijfruimte van 1024 MB (1 GB) voor het kanaal voor het controleren van AD FS voor Azure AD Connect Health-Agents voor het verwerken van de controlegegevens voordat deze wordt overschreven.For AD FS servers, we recommend that you provision a disk space of 1,024 MB (1 GB) for the AD FS audit channel for Azure AD Connect Health Agents to process all the audit data before it is overwritten.

V: Ik moet mijn servers opnieuw tijdens de installatie van de Azure AD Connect Health-Agents?Q: Will I have to reboot my servers during the installation of the Azure AD Connect Health Agents?

Nee.No. De server opnieuw opstarten is niet nodig voor de installatie van de agents zijn vereist.The installation of the agents will not require you to reboot the server. Installatie van bepaalde vereiste stappen moet echter een opnieuw opstarten van de server.However, installation of some prerequisite steps might require a reboot of the server.

Installatie van .NET-Framework 4.5 vereist bijvoorbeeld op Windows Server 2008 R2, server opnieuw opstarten.For example, on Windows Server 2008 R2, installation of .NET 4.5 Framework requires a server reboot.

V: Werkt de Azure AD Connect Health via een Pass Through-HTTP-proxy?Q: Does Azure AD Connect Health work through a pass-through HTTP proxy?

Ja.Yes. U kunt de Health-Agent voor het gebruik van een HTTP-proxy voor het doorsturen van uitgaande HTTP-aanvragen te configureren voor lopende bewerkingen.For ongoing operations, you can configure the Health Agent to use an HTTP proxy to forward outbound HTTP requests. Meer informatie over HTTP-Proxy voor de Health-Agents configureren.Read more about configuring HTTP Proxy for Health Agents.

Als u een proxy configureren tijdens de registratie van de agent wilt, moet u mogelijk vooraf de Internet Explorer-Proxy-instellingen wijzigen.If you need to configure a proxy during agent registration, you might need to modify your Internet Explorer Proxy settings beforehand.

  1. Open Internet Explorer > instellingen > Internetopties > verbindingen > LAN-instellingen .Open Internet Explorer > Settings > Internet Options > Connections > LAN Settings.
  2. Selecteer een proxyserver gebruiken voor uw LAN.Select Use a Proxy Server for your LAN.
  3. Selecteer Geavanceerd hebt u verschillende proxyservers poorten voor HTTP en HTTPS/Secure.Select Advanced if you have different proxy ports for HTTP and HTTPS/Secure.

V: Ondersteunt Azure AD Connect Health basisverificatie wordt gebruikt bij het verbinden met HTTP-proxy's?Q: Does Azure AD Connect Health support Basic authentication when connecting to HTTP proxies?

Nee.No. Een mechanisme om op te geven van een willekeurige naam en het wachtwoord voor basisverificatie is momenteel niet ondersteund.A mechanism to specify an arbitrary user name and password for Basic authentication is not currently supported.

V: Welke firewall-poorten moet ik openen voor de Azure AD Connect Health-Agent om te werken?Q: What firewall ports do I need to open for the Azure AD Connect Health Agent to work?

Zie de gedeelte vereisten voor een lijst van firewall-poorten en andere vereisten voor connectiviteit.See the requirements section for the list of firewall ports and other connectivity requirements.

V: Waarom zie ik twee servers met dezelfde naam in de portal voor Azure AD Connect Health?Q: Why do I see two servers with the same name in the Azure AD Connect Health portal?

Wanneer u een agent van een server verwijderen, wordt de server niet automatisch verwijderd uit de Azure AD Connect Health-portal.When you remove an agent from a server, the server is not automatically removed from the Azure AD Connect Health portal. Als u handmatig een agent van een server verwijderen of de server zelf verwijderen, moet u de serververmelding handmatig verwijderen van de Azure AD Connect Health-portal.If you manually remove an agent from a server or remove the server itself, you need to manually delete the server entry from the Azure AD Connect Health portal.

U kunt de installatiekopie van een server terugzetten of een nieuwe server maken met de dezelfde informatie (zoals de naam van de machine).You might reimage a server or create a new server with the same details (such as machine name). Als u de reeds geregistreerde server niet hebt verwijderd uit de Azure AD Connect Health-portal en de agent op de nieuwe server hebt geïnstalleerd, ziet u mogelijk twee vermeldingen met dezelfde naam.If you did not remove the already registered server from the Azure AD Connect Health portal, and you installed the agent on the new server, you might see two entries with the same name.

In dit geval wordt de vermelding die deel uitmaakt van de oude server handmatig verwijderen.In this case, manually delete the entry that belongs to the older server. De gegevens voor deze server moet zijn verouderd.The data for this server should be out of date.

Registratie en gegevens nieuwheid van Health-AgentHealth Agent registration and data freshness

V: Wat zijn veelvoorkomende redenen voor de Health-Agent-registratiefouten en hoe los ik problemen?Q: What are common reasons for the Health Agent registration failures and how do I troubleshoot issues?

De health-agent kan niet worden geregistreerd door de volgende mogelijke oorzaken:The health agent can fail to register due to the following possible reasons:

  • De agent kan niet communiceren met de vereiste eindpunten omdat verkeer wordt geblokkeerd door een firewall.The agent cannot communicate with the required endpoints because a firewall is blocking traffic. Dit geldt met name op de WAP-servers.This is particularly common on web application proxy servers. Zorg ervoor dat u uitgaande communicatie naar de vereiste eindpunten en de poorten zijn toegestaan.Make sure that you have allowed outbound communication to the required endpoints and ports. Zie de gedeelte vereisten voor meer informatie.See the requirements section for details.
  • Uitgaande communicatie is door de netwerklaag een SSL-inspectie onderworpen.Outbound communication is subjected to an SSL inspection by the network layer. Dit zorgt ervoor dat het certificaat die gebruikmaakt van de agent moet worden vervangen door de controle-server/entiteit en de stappen voor het voltooien van de registratie van de agent mislukken.This causes the certificate that the agent uses to be replaced by the inspection server/entity, and the steps to complete the agent registration fail.
  • De gebruiker heeft geen toegang tot het uitvoeren van de registratie van de agent.The user does not have access to perform the registration of the agent. Globale beheerders hebben standaard toegang.Global admins have access by default. U kunt rollen gebaseerd toegangsbeheer voor toegang tot andere gebruikers delegeren.You can use Role Based Access Control to delegate access to other users.

V: Ik ben ophalen gewaarschuwd dat 'Health-servicegegevens is niet up-to-date." Hoe kan ik het probleem oplossen?Q: I am getting alerted that "Health Service data is not up to date." How do I troubleshoot the issue?

Azure AD Connect Health, wordt er een waarschuwing gegenereerd wanneer deze niet alle gegevenspunten van de server in de afgelopen twee uur ontvangen worden.Azure AD Connect Health generates the alert when it does not receive all the data points from the server in the last two hours. Meer informatie.Read more.

Operations-vragenOperations questions

V: Heb ik nodig om te controleren voor de WAP-servers inschakelen?Q: Do I need to enable auditing on the web application proxy servers?

Nee, controle hoeft niet te worden ingeschakeld op de WAP-servers.No, auditing does not need to be enabled on the web application proxy servers.

V: Hoe Azure AD Connect Health waarschuwingen opgelost?Q: How do Azure AD Connect Health Alerts get resolved?

Waarschuwingen van Azure AD Connect Health worden opgelost op een voorwaarde geslaagd.Azure AD Connect Health alerts get resolved on a success condition. Azure AD Connect Health-Agents detecteren en de voorwaarden succes periodiek rapporteren aan de service.Azure AD Connect Health Agents detect and report the success conditions to the service periodically. Voor enkele waarschuwingen is de onderdrukking op basis van tijd.For a few alerts, the suppression is time-based. Met andere woorden, als het hetzelfde probleem niet binnen 72 uur van het genereren van waarschuwingen is waargenomen, de waarschuwing automatisch opgelost.In other words, if the same error condition is not observed within 72 hours from alert generation, the alert is automatically resolved.

V: Ik ben ophalen gewaarschuwd dat 'Test-verificatieaanvraag (synthetische transactie) kan niet een token verkrijgen." Hoe kan ik het probleem oplossen?Q: I am getting alerted that "Test Authentication Request (Synthetic Transaction) failed to obtain a token." How do I troubleshoot the issue?

Azure AD Connect Health voor AD FS wordt deze waarschuwing gegenereerd wanneer de Health-Agent geïnstalleerd op een AD FS-server niet kan een token verkrijgen als onderdeel van een synthetische transactie is gestart door de Health-Agent.Azure AD Connect Health for AD FS generates this alert when the Health Agent installed on an AD FS server fails to obtain a token as part of a synthetic transaction initiated by the Health Agent. De Health-agent maakt gebruik van de lokale system-context en probeert op te halen van een token voor een relying party zelf.The Health agent uses the local system context and attempts to get a token for a self relying party. Dit is een catch-all-test om ervoor te zorgen dat AD FS heeft de status van het uitgeven van tokens.This is a catch-all test to ensure that AD FS is in a state of issuing tokens.

Deze test mislukt meestal omdat de Health-Agent niet kan omzetten van de naam van de AD FS-farm.Most often this test fails because the Health Agent is unable to resolve the AD FS farm name. Dit kan gebeuren als de AD FS-servers achter een load balancers voor het netwerk en de aanvraag wordt gestart vanaf een knooppunt dat achter de load balancer (in plaats van een reguliere-client die is voor de load balancer).This can happen if the AD FS servers are behind a network load balancers and the request gets initiated from a node that's behind the load balancer (as opposed to a regular client that is in front of the load balancer). Dit kan worden hersteld door het bijwerken van het Hostsbestand '' onder 'C:\Windows\System32\drivers\etc"het IP-adres van de AD FS-server of een loopback-IP-adres (127.0.0.1) voor de naam van de AD FS-farm (bijvoorbeeld sts.contoso.com) op te nemen.This can be fixed by updating the "hosts" file located under "C:\Windows\System32\drivers\etc" to include the IP address of the AD FS server or a loopback IP address (127.0.0.1) for the AD FS farm name (such as sts.contoso.com). Het bestand met de host toe te voegen, wordt de netwerkaanroep, waardoor de Health-Agent om op te halen van het token kortsluiting.Adding the host file will short-circuit the network call, thus allowing the Health Agent to get the token.

V: Er treedt een e-mailbericht dat aangeeft dat mijn machines zijn niet gevuld voor de recente aanvallen met ransomware. Waarom krijg ik dit e-mailbericht?Q: I got an email indicating my machines are NOT patched for the recent ransomware attacks. Why did I receive this email?

Azure AD Connect Health-service gescand alle computers die wordt bewaakt om te controleren of de vereiste patches zijn geïnstalleerd.Azure AD Connect Health service scanned all the machines it monitors to ensure the required patches were installed. Het e-mailbericht is verzonden naar de tenantbeheerders als ten minste één computer beschikt niet over de kritieke patches.The email was sent to the tenant administrators if at least one machine did not have the critical patches. De volgende logica is gebruikt om dit te bepalen.The following logic was used to make this determination.

  1. Alle hotfixes die zijn geïnstalleerd op de machine vinden.Find all the hotfixes installed on the machine.
  2. Controleer of ten minste één van de HotFixes in de lijst met gedefinieerde aanwezig is.Check if at least one of the HotFixes from the defined list is present.
  3. Als u Ja kiest, wordt de machine is beveiligd.If Yes, the machine is protected. Als dat niet het geval is, moet u de machine loopt het risico voor de aanval.If Not, the machine is at risk for the attack.

U kunt de volgende PowerShell-script gebruiken om uit te voeren van deze controle handmatig.You can use the following PowerShell script to perform this check manually. De bovenstaande logica geïmplementeerd.It implements the above logic.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

V: Waarom wordt de PowerShell-cmdlet Get-MsolDirSyncProvisioningError minder synchronisatiefouten in het resultaat weergeven?Q: Why does the PowerShell cmdlet Get-MsolDirSyncProvisioningError show less sync errors in the result?

Get-MsolDirSyncProvisioningError retourneert alleen fouten bij het inrichten DirSync.Get-MsolDirSyncProvisioningError will only return DirSync provisioning errors. Behalve dat bevat Connect Health-portal ook andere synchronisatiecomponenten fouttypen zoals exportfouten.Besides that, Connect Health portal also shows other sync error types such as export errors. Dit komt overeen met de Azure AD Connect delta-resultaat.This is consistent with Azure AD Connect delta result. Meer informatie over Azure AD Connect Sync fouten.Read more about Azure AD Connect Sync errors.

V: Waarom wordt mijn ADFS controles zijn uitgevoerd niet wordt gegenereerd?Q: Why are my ADFS audits not being generated?

Gebruik PowerShell-cmdlet Get-AdfsProperties - AuditLevel uitgeschakeld om te controleren of de logboeken voor controle is niet in staat.Please use PowerShell cmdlet Get-AdfsProperties -AuditLevel to ensure audit logs is not in disabled state. Meer informatie over AD FS-auditlogboeken.Read more about ADFS audit logs. U ziet dat als er geavanceerde controle-instellingen naar de ADFS-server gepusht, worden eventuele wijzigingen in auditpol.exe overschreven (gebeurtenis als toepassing gegenereerd niet is geconfigureerd).Notice if there are advanced audit settings pushed to the ADFS server, any changes with auditpol.exe will be overwritten (event if Application Generated is not configured). Stel in dat geval wordt het lokale beveiligingsbeleid om aan te melden fouten toepassing gegenereerd en het slagen.In this case, please set the local security policy to log Application Generated failures and success.

V: Wanneer worden certificaat van de agent automatisch vernieuwd voordat verlopen?Q: When will the agent certificate be automatic renewed before expiration? De certificering van de agent wordt automatisch worden vernieuwd 6 maanden vóór de vervaldatum.The agent certification will be automatic renewed 6 months before its expiration date. Als u deze niet verlengt, zorg ervoor dat de netwerkverbinding van de agent is stabiel.If it is not renewed, please ensure the network connection of the agent is stable. Start de agent-services of update van de meest recente versie kan het probleem ook oplossen.Restart the agent services or update to the latest version may also solve the issue.