Instalacja agenta Azure AD Connect HealthAzure AD Connect Health agent installation

W tym artykule dowiesz się, jak zainstalować i skonfigurować agentów programu Azure Active Directory (Azure AD) Connect Health.In this article, you'll learn how to install and configure the Azure Active Directory (Azure AD) Connect Health agents. Aby pobrać agentów, zobacz te instrukcje.To download the agents, see these instructions.

WymaganiaRequirements

W poniższej tabeli przedstawiono wymagania dotyczące korzystania z Azure AD Connect Health.The following table lists requirements for using Azure AD Connect Health.

WymaganieRequirement OpisDescription
Istnieje Azure AD — wersja Premium (P1 lub P2) subskrypcji.There is an Azure AD Premium (P1 or P2) Subsciption. Azure AD Connect Health jest funkcją Azure AD — wersja Premium (P1 lub P2).Azure AD Connect Health is a feature of Azure AD Premium (P1 or P2). Aby uzyskać więcej informacji, zobacz Rejestrowanie się w usłudze Azure AD — wersja Premium.For more information, see Sign up for Azure AD Premium.

Aby rozpocząć korzystanie z bezpłatnej 30-dniowej wersji próbnej, zobacz Rozpoczynanie korzystania z wersji próbnej.To start a free 30-day trial, see Start a trial.
Jesteś administratorem globalnym w usłudze Azure AD.You're a global administrator in Azure AD. Domyślnie tylko Administratorzy globalni mogą instalować i konfigurować agentów kondycji, uzyskiwać dostęp do portalu i wykonywać dowolne operacje w Azure AD Connect Health.By default, only global administrators can install and configure the health agents, access the portal, and do any operations within Azure AD Connect Health. Aby więcej informacji, zobacz Administering your Azure AD directory (Administrowanie katalogiem usługi Azure AD).For more information, see Administering your Azure AD directory.

Za pomocą kontroli dostępu opartej na rolach (Azure RBAC) można zezwolić innym użytkownikom w organizacji na dostęp do Azure AD Connect Health.By using Azure role-based access control (Azure RBAC), you can allow other users in your organization to access Azure AD Connect Health. Aby uzyskać więcej informacji, zobacz Azure RBAC dla Azure AD Connect Health.For more information, see Azure RBAC for Azure AD Connect Health.

Ważne: Użyj konta służbowego, aby zainstalować agentów.Important: Use a work or school account to install the agents. Nie można użyć konto Microsoft.You can't use a Microsoft account. Aby uzyskać więcej informacji, zobacz Rejestrowanie się w usłudze Azure jako organizacja.For more information, see Sign up for Azure as an organization.
Agent Azure AD Connect Health jest instalowany na każdym serwerze dodanym.The Azure AD Connect Health agent is installed on each targeted server. Agenci kondycji muszą być zainstalowani i skonfigurowani na serwerach, aby mogły odbierać dane i zapewniać możliwości monitorowania i analizy.Health agents must be installed and configured on targeted servers so that they can receive data and provide monitoring and analytics capabilities.

Na przykład aby uzyskać dane z infrastruktury Active Directory Federation Services (AD FS), należy zainstalować agenta na serwerze AD FS i serwerze proxy aplikacji sieci Web.For example, to get data from your Active Directory Federation Services (AD FS) infrastructure, you must install the agent on the AD FS server and the Web Application Proxy server. Podobnie Aby uzyskać dane z infrastruktury lokalnej Azure AD Domain Services (Azure AD DS), należy zainstalować agenta na kontrolerach domeny.Similarly, to get data from your on-premises Azure AD Domain Services (Azure AD DS) infrastructure, you must install the agent on the domain controllers.
Punkty końcowe usługi platformy Azure mają łączność wychodzącą.The Azure service endpoints have outbound connectivity. Podczas instalowania i w czasie pracy agent wymaga łączności z punktami końcowymi usługi Azure AD Connect Health.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. Jeśli zapory blokują łączność wychodzącą, Dodaj punkty końcowe łączności wychodzącej do listy dozwolonych.If firewalls block outbound connectivity, add the outbound connectivity endpoints to the allow list.
Łączność wychodząca jest oparta na adresach IP.Outbound connectivity is based on IP addresses. Informacje o filtrowaniu zapory na podstawie adresów IP znajdują się w temacie zakresy adresów IP platformy Azure.For information about firewall filtering based on IP addresses, see Azure IP ranges.
Inspekcja protokołu TLS dla ruchu wychodzącego jest filtrowana lub wyłączona.TLS inspection for outbound traffic is filtered or disabled. Krok rejestracji agenta lub operacje przekazywania danych mogą się nie powieść, jeśli istnieje Inspekcja lub przerwa dla ruchu wychodzącego w warstwie sieciowej.The agent registration step or data upload operations might fail if there's TLS inspection or termination for outbound traffic at the network layer. Aby uzyskać więcej informacji, zobacz Konfigurowanie inspekcji protokołu TLS.For more information, see Set up TLS inspection.
Na portach zapory na serwerze jest uruchomiony Agent programu.Firewall ports on the server are running the agent. Agent wymaga otwarcia następujących portów zapory, aby mógł komunikować się z punktami końcowymi usługi Azure AD Connect Health:The agent requires the following firewall ports to be open so that it can communicate with the Azure AD Connect Health service endpoints:
  • Port TCP 443TCP port 443
  • Port TCP 5671TCP port 5671

  • Najnowsza wersja agenta nie wymaga portu 5671.The latest version of the agent doesn't require port 5671. Uaktualnij do najnowszej wersji, aby wymagany był tylko port 443.Upgrade to the latest version so that only port 443 is required. Aby uzyskać więcej informacji, zobacz wymagania dotyczące portów i protokołów dla tożsamości hybrydowej.For more information, see Hybrid identity required ports and protocols.
    W przypadku włączenia zwiększonych zabezpieczeń programu Internet Explorer Zezwalaj na określone witryny sieci Web.If Internet Explorer enhanced security is enabled, allow specified websites. W przypadku włączenia zwiększonych zabezpieczeń programu Internet Explorer na serwerze, na którym jest instalowany Agent, należy zezwolić na następujące witryny sieci Web:If Internet Explorer enhanced security is enabled, then allow the following websites on the server where you install the agent:
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.nethttps://login.windows.net
  • https: / /aadcdn.msftauth.NEThttps://aadcdn.msftauth.net
  • Serwer federacyjny dla organizacji, który jest zaufany przez usługę Azure AD (na przykład https: / /STS.contoso.com)The federation server for your organization that's trusted by Azure AD (for example, https://sts.contoso.com)

  • Aby uzyskać więcej informacji, zobacz jak skonfigurować program Internet Explorer.For more information, see How to configure Internet Explorer. Jeśli masz serwer proxy w sieci, zobacz uwagę, która pojawia się na końcu tej tabeli.If you have a proxy in your network, then see the note that appears at the end of this table.
    Program PowerShell w wersji 4,0 lub nowszej jest zainstalowany.PowerShell version 4.0 or newer is installed. System Windows Server 2012 zawiera program PowerShell w wersji 3,0.Windows Server 2012 includes PowerShell version 3.0. Ta wersja nie jest wystarczająca dla agenta.This version is not sufficient for the agent.

    System Windows Server 2012 R2 lub nowszy zawiera wystarczającą najnowszą wersję programu PowerShell.Windows Server 2012 R2 and later include a sufficiently recent version of PowerShell.
    FIPS (Federal Information Processing Standard) jest wyłączony.FIPS (Federal Information Processing Standard) is disabled. Agenci Azure AD Connect Health nie obsługują standardu FIPS.Azure AD Connect Health agents don't support FIPS.

    Ważne

    System Windows Server Core nie obsługuje instalowania agenta Azure AD Connect Health.Windows Server Core doesn't support installing the Azure AD Connect Health agent.

    Uwaga

    Jeśli masz wysoce zablokowanie i ograniczone środowisko, musisz dodać więcej adresów URL niż listy tabel dla zwiększonych zabezpieczeń programu Internet Explorer.If you have a highly locked-down and restricted environment, you need to add more URLs than the ones the table lists for Internet Explorer enhanced security. Należy również dodać adresy URL, które są wymienione w tabeli w następnej sekcji.Also add URLs that are listed in the table in the next section.

    Łączność wychodząca z punktami końcowymi usług AzureOutbound connectivity to the Azure service endpoints

    Podczas instalacji i środowiska uruchomieniowego Agent musi mieć łączność z punktami końcowymi usługi Azure AD Connect Health.During installation and runtime, the agent needs connectivity to Azure AD Connect Health service endpoints. Jeśli zapory blokują łączność wychodzącą, upewnij się, że adresy URL w poniższej tabeli nie są domyślnie blokowane.If firewalls block outbound connectivity, make sure that the URLs in the following table aren't blocked by default.

    Nie należy wyłączać monitorowania zabezpieczeń ani inspekcji tych adresów URL.Don't disable security monitoring or inspection of these URLs. Zamiast tego Zezwalaj na to, jak zezwolisz na inny ruch internetowy.Instead, allow them as you would allow other internet traffic.

    Te adresy URL umożliwiają komunikację z punktami końcowymi usługi Azure AD Connect Health.These URLs allow communication with Azure AD Connect Health service endpoints. W dalszej części tego artykułu dowiesz się, jak sprawdzić łączność wychodzącą przy użyciu programu Test-AzureADConnectHealthConnectivity .Later in this article, you'll learn how to check outbound connectivity by using Test-AzureADConnectHealthConnectivity.

    Środowisko domenyDomain environment Wymagane punkty końcowe usług platformy AzureRequired Azure service endpoints
    Ogół publicznyGeneral public
  • *.blob.core.windows.net*.blob.core.windows.net
  • *. aadconnecthealth.azure.com*.aadconnecthealth.azure.com
  • *. servicebus.windows.net-port: 5671 (ten punkt końcowy nie jest wymagany w najnowszej wersji agenta).*.servicebus.windows.net - Port: 5671 (This endpoint isn't required in the latest version of the agent.)
  • *.adhybridhealth.azure.com/*.adhybridhealth.azure.com/
  • https://management.azure.comhttps://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.nethttps://login.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https: / /www.Office.com (ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).https://www.office.com (This endpoint is used only for discovery purposes during registration.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Azure (Niemcy)Azure Germany
  • *.blob.core.cloudapi.de*.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de*.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de*.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.dehttps://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.dehttps://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.dehttps://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.dehttps://secure.aadcdn.microsoftonline-p.de
  • https: / /www.Office.de (ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).https://www.office.de (This endpoint is used only for discovery purposes during registration.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Azure GovernmentAzure Government
  • *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us*.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.nethttps://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.ushttps://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.ushttps://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https: / /www.Office.com (ten punkt końcowy jest używany tylko do celów odnajdywania podczas rejestracji).https://www.office.com (This endpoint is used only for discovery purposes during registration.)
  • https://aadcdn.msftauth.net
  • https://aadcdn.msauth.net
  • Instalowanie agentaInstall the agent

    Aby pobrać i zainstalować agenta Azure AD Connect Health:To download and install the Azure AD Connect Health agent:

    Zainstaluj agenta dla AD FSInstall the agent for AD FS

    Uwaga

    Serwer AD FS powinien być inny niż serwer synchronizacji.Your AD FS server should be different from your Sync server. Na serwerze synchronizacji nie należy instalować agenta AD FS.Don't install the AD FS agent on your Sync server.

    Przed zainstalowaniem agenta upewnij się, że nazwa hosta serwera AD FS jest unikatowa i nie występuje w usłudze AD FS.Before you install the agent, make sure your AD FS server host name is unique and isn't present in the AD FS service. Aby rozpocząć instalację agenta, kliknij dwukrotnie pobrany plik exe .To start the agent installation, double-click the .exe file that you downloaded. W pierwszym oknie wybierz pozycję Zainstaluj.In the first window, select Install.

    Zrzut ekranu przedstawiający okno instalacji agenta AD FS Azure AD Connect Health.

    Po zakończeniu instalacji wybierz pozycję Konfiguruj teraz.After the installation finishes, select Configure Now.

    Zrzut ekranu przedstawiający komunikat z potwierdzeniem instalacji agenta AD FS Azure AD Connect Health.

    Zostanie otwarte okno programu PowerShell, w którym rozpocznie się proces rejestracji agenta.A PowerShell window opens to start the agent registration process. Po wyświetleniu monitu zaloguj się przy użyciu konta usługi Azure AD, które ma uprawnienia do rejestracji agenta.When you're prompted, sign in by using an Azure AD account that has permissions to register the agent. Domyślnie konto administratora globalnego ma uprawnienia.By default, the global admin account has permissions.

    Zrzut ekranu przedstawiający okno logowania Azure AD Connect Health AD FS.

    Po zalogowaniu program PowerShell kontynuuje działanie.After you sign in, PowerShell continues. Po zakończeniu można zamknąć program PowerShell.When it finishes, you can close PowerShell. Konfiguracja została ukończona.The configuration is complete.

    W tym momencie usługi agenta powinny być uruchamiane automatycznie, aby umożliwić agentowi bezpieczne przekazanie wymaganych danych do usługi w chmurze.At this point, the agent services should start automatically to allow the agent to securely upload the required data to the cloud service.

    Jeśli wszystkie wymagania wstępne nie zostały spełnione, w oknie programu PowerShell są wyświetlane ostrzeżenia.If you haven't met all of the prerequisites, warnings appear in the PowerShell window. Przed zainstalowaniem agenta upewnij się, że zostały spełnione wymagania .Be sure to complete the requirements before you install the agent. Poniższy zrzut ekranu przedstawia przykład tych ostrzeżeń.The following screenshot shows an example of these warnings.

    Zrzut ekranu przedstawiający Azure AD Connect Health AD FS konfigurowania skryptu.

    Aby sprawdzić, czy Agent został zainstalowany, poszukaj następujących usług na serwerze.To verify that the agent was installed, look for the following services on the server. Jeśli konfiguracja została zakończona, te usługi powinny być uruchomione.If you completed the configuration, they should already be running. W przeciwnym razie są one zatrzymane do momentu zakończenia konfiguracji.Otherwise, they're stopped until the configuration is complete.

    • Usługa diagnostyczna usług AD FS programu Azure AD Connect HealthAzure AD Connect Health AD FS Diagnostics Service
    • Usługa szczegółowych informacji usług AD FS programu Azure AD Connect HealthAzure AD Connect Health AD FS Insights Service
    • Usługa monitorowania usług AD FS programu Azure AD Connect HealthAzure AD Connect Health AD FS Monitoring Service

    Zrzut ekranu przedstawiający Azure AD Connect Health AD FS Services.

    Włącz inspekcję dla AD FSEnable auditing for AD FS

    Uwaga

    Ta sekcja dotyczy tylko serwerów AD FS.This section applies only to AD FS servers. Nie musisz wykonywać tych kroków na serwerach proxy aplikacji sieci Web.You don't have to follow these steps on the Web Application Proxy servers.

    Funkcja analizy użycia musi zbierać i analizować dane.The Usage Analytics feature needs to gather and analyze data. Agent Azure AD Connect Health potrzebuje informacji w dziennikach inspekcji AD FS.So the Azure AD Connect Health agent needs the information in the AD FS audit logs. Te dzienniki nie są domyślnie włączone.These logs aren't enabled by default. Poniższe procedury służą do włączania inspekcji AD FS i lokalizowania AD FS dzienników inspekcji na serwerach AD FS.Use the following procedures to enable AD FS auditing and to locate the AD FS audit logs on your AD FS servers.

    Aby włączyć inspekcję usług AD FS w systemie Windows Server 2012 R2To enable auditing for AD FS on Windows Server 2012 R2

    1. Na ekranie startowym Otwórz Menedżer serwera, a następnie otwórz pozycję zasady zabezpieczeń lokalnych.On the Start screen, open Server Manager, and then open Local Security Policy. Lub na pasku zadań Otwórz Menedżer serwera, a następnie wybierz pozycję narzędzia/zasady zabezpieczeń lokalnych.Or on the taskbar, open Server Manager, and then select Tools/Local Security Policy.

    2. Przejdź do folderu Przypisywanie praw zabezpieczeń \ zasady lokalne\przypisanie .Go to the Security Settings\Local Policies\User Rights Assignment folder. Następnie kliknij dwukrotnie pozycję Generuj inspekcje zabezpieczeń.Then double-click Generate security audits.

    3. Na karcie Ustawianie zabezpieczeń lokalnych sprawdź, czy jest wymienione konto usługi AD FS.On the Local Security Setting tab, verify that the AD FS service account is listed. Jeśli nie ma go na liście, wybierz pozycję Dodaj użytkownika lub grupę, a następnie dodaj ją do listy.If it's not listed, then select Add User or Group, and add it to the list. Następnie wybierz przycisk OK.Then select OK.

    4. Aby włączyć inspekcję, Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień.To enable auditing, open a Command Prompt window with elevated privileges. Uruchom następujące polecenie:Then run the following command:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Zamknij okno Zasady zabezpieczeń lokalnych.Close Local Security Policy.

      Ważne

      Poniższe kroki są wymagane tylko w przypadku serwerów głównych AD FS.The following steps are required only for primary AD FS servers.

    6. Otwórz przystawkę Zarządzanie usługami AD FS.Open the AD FS Management snap-in. (W Menedżer serwera wybierz pozycję Narzędzia > Zarządzanie AD FSą).(In Server Manager, select Tools > AD FS Management.)

    7. W okienku Akcje wybierz pozycję Edytuj usługa federacyjna właściwości.In the Actions pane, select Edit Federation Service Properties.

    8. W oknie dialogowym właściwości usługa federacyjna wybierz kartę zdarzenia .In the Federation Service Properties dialog box, select the Events tab.

    9. Zaznacz pola wyboru inspekcje zakończone sukcesem i inspekcje niepowodzeń , a następnie wybierz przycisk OK.Select the Success audits and Failure audits check boxes, and then select OK.

    10. Aby włączyć pełne rejestrowanie za pomocą programu PowerShell, użyj następującego polecenia:To enable verbose logging through PowerShell, use the following command:

      Set-AdfsProperties -LOGLevel Verbose

    Aby włączyć inspekcję usług AD FS w systemie Windows Server 2016To enable auditing for AD FS on Windows Server 2016

    1. Na ekranie startowym Otwórz Menedżer serwera, a następnie otwórz pozycję zasady zabezpieczeń lokalnych.On the Start screen, open Server Manager, and then open Local Security Policy. Lub na pasku zadań Otwórz Menedżer serwera, a następnie wybierz pozycję narzędzia/zasady zabezpieczeń lokalnych.Or on the taskbar, open Server Manager, and then select Tools/Local Security Policy.

    2. Przejdź do folderu \ zasady Security Lokalne\przypisanie Rights przypisywania praw , a następnie kliknij dwukrotnie pozycję Generuj inspekcje zabezpieczeń.Go to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.

    3. Na karcie Ustawianie zabezpieczeń lokalnych sprawdź, czy jest wymienione konto usługi AD FS.On the Local Security Setting tab, verify that the AD FS service account is listed. Jeśli nie ma go na liście, wybierz pozycję Dodaj użytkownika lub grupę, a następnie Dodaj do listy konto usługi AD FS.If it's not listed, then select Add User or Group, and add the AD FS service account to the list. Następnie wybierz przycisk OK.Then select OK.

    4. Aby włączyć inspekcję, Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień.To enable auditing, open a Command Prompt window with elevated privileges. Uruchom następujące polecenie:Then run the following command:

      auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable

    5. Zamknij okno Zasady zabezpieczeń lokalnych.Close Local Security Policy.

      Ważne

      Poniższe kroki są wymagane tylko w przypadku serwerów głównych AD FS.The following steps are required only for primary AD FS servers.

    6. Otwórz przystawkę Zarządzanie usługami AD FS.Open the AD FS Management snap-in. (W Menedżer serwera wybierz pozycję Narzędzia > Zarządzanie AD FSą).(In Server Manager, select Tools > AD FS Management.)

    7. W okienku Akcje wybierz pozycję Edytuj usługa federacyjna właściwości.In the Actions pane, select Edit Federation Service Properties.

    8. W oknie dialogowym właściwości usługa federacyjna wybierz kartę zdarzenia .In the Federation Service Properties dialog box, select the Events tab.

    9. Zaznacz pola wyboru inspekcje zakończone sukcesem i inspekcje niepowodzeń , a następnie wybierz przycisk OK.Select the Success audits and Failure audits check boxes, and then select OK. Inspekcje sukcesów i inspekcje błędów powinny być domyślnie włączone.Success audits and failure audits should be enabled by default.

    10. Otwórz okno programu PowerShell i uruchom następujące polecenie:Open a PowerShell window and run the following command:

      Set-AdfsProperties -AuditLevel Verbose

    Poziom inspekcji "podstawowa" jest domyślnie włączony.The "basic" audit level is enabled by default. Aby uzyskać więcej informacji, zobacz AD FS ulepszenie inspekcji w systemie Windows Server 2016.For more information, see AD FS audit enhancement in Windows Server 2016.

    Aby zlokalizować dzienniki inspekcji usług AD FSTo locate the AD FS audit logs

    1. Otwórz Podgląd zdarzeń.Open Event Viewer.

    2. Przejdź do pozycji Dzienniki systemu Windows, a następnie wybierz pozycję zabezpieczenia.Go to Windows Logs, and then select Security.

    3. Po prawej stronie wybierz pozycję Filtruj bieżące dzienniki.On the right, select Filter Current Logs.

    4. W obszarze źródła zdarzeń wybierz pozycję Inspekcja AD FS.For Event sources, select AD FS Auditing.

      Aby uzyskać więcej informacji na temat dzienników inspekcji, zobacz pytania dotyczące operacji.For more information about audit logs, see Operations questions.

      Zrzut ekranu przedstawiający okno Filtruj bieżący dziennik.

    Ostrzeżenie

    Zasady grupy mogą wyłączyć inspekcję usług AD FS.A group policy can disable AD FS auditing. Jeśli inspekcja AD FS jest wyłączona, analiza użycia informacji o działaniach związanych z logowaniem jest niedostępna.If AD FS auditing is disabled, usage analytics about login activities are unavailable. Upewnij się, że nie masz zasad grupy, które uniemożliwiają inspekcję AD FS.Ensure that you have no group policy that disables AD FS auditing.

    Zainstaluj agenta na potrzeby synchronizacjiInstall the agent for Sync

    Agent Azure AD Connect Health dla synchronizacji jest instalowany automatycznie w najnowszej wersji programu Azure AD Connect.The Azure AD Connect Health agent for Sync is installed automatically in the latest version of Azure AD Connect. Aby użyć Azure AD Connect do synchronizacji, Pobierz najnowszą wersję Azure AD Connect i zainstaluj ją.To use Azure AD Connect for Sync, download the latest version of Azure AD Connect and install it.

    Aby sprawdzić, czy agent został zainstalowany, znajdź następujące usługi na serwerze:To verify the agent has been installed, look for the following services on the server. Jeśli konfiguracja została ukończona, usługi powinny być już uruchomione.If you completed the configuration, the services should already be running. W przeciwnym razie usługi zostaną zatrzymane do momentu zakończenia konfiguracji.Otherwise, the services are stopped until the configuration is complete.

    • Usługa szczegółowych informacji synchronizacji programu Azure AD Connect HealthAzure AD Connect Health Sync Insights Service
    • Usługa monitorowania synchronizacji programu Azure AD Connect HealthAzure AD Connect Health Sync Monitoring Service

    Zrzut ekranu przedstawiający uruchomioną Azure AD Connect Health dla usług synchronizacji na serwerze.

    Uwaga

    Należy pamiętać, że Azure AD — wersja Premium (P1 lub P2) mogą korzystać z Azure AD Connect Health.Remember that you must have Azure AD Premium (P1 or P2) to use Azure AD Connect Health. Jeśli nie masz Azure AD — wersja Premium, nie możesz ukończyć konfiguracji w Azure Portal.If you don't have Azure AD Premium, you can't complete the configuration in the Azure portal. Aby uzyskać więcej informacji, zobacz wymagania.For more information, see the requirements.

    Ręcznie Zarejestruj Azure AD Connect Health na potrzeby synchronizacjiManually register Azure AD Connect Health for Sync

    Jeśli Azure AD Connect Health rejestracji agenta synchronizacji zakończy się niepowodzeniem po pomyślnym zainstalowaniu Azure AD Connect, można użyć polecenia programu PowerShell, aby ręcznie zarejestrować agenta.If the Azure AD Connect Health for Sync agent registration fails after you successfully install Azure AD Connect, then you can use a PowerShell command to manually register the agent.

    Ważne

    Tego polecenia programu PowerShell należy użyć tylko wtedy, gdy rejestracja agenta kończy się niepowodzeniem po zainstalowaniu Azure AD Connect.Use this PowerShell command only if the agent registration fails after you install Azure AD Connect.

    Ręcznie Zarejestruj agenta Azure AD Connect Health na potrzeby synchronizacji przy użyciu następującego polecenia programu PowerShell.Manually register the Azure AD Connect Health agent for Sync by using the following PowerShell command. Usługi programu Azure AD Connect Health zostaną uruchomione po pomyślnym zarejestrowaniu agenta.The Azure AD Connect Health services will start after the agent has been successfully registered.

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false

    Polecenie przyjmuje następujące parametry:The command takes following parameters:

    • AttributeFiltering: $true (wartość domyślna), jeśli Azure AD Connect nie synchronizuje domyślnego zestawu atrybutów i został dostosowany do korzystania z filtrowanego zestawu atrybutów.AttributeFiltering: $true (default) if Azure AD Connect isn't syncing the default attribute set and has been customized to use a filtered attribute set. W przeciwnym razie użyj $false .Otherwise, use $false.
    • Przejściowy: $false (domyślnie), jeśli serwer Azure AD Connect nie jest w trybie przejściowym.StagingMode: $false (default) if the Azure AD Connect server is not in staging mode. Jeśli serwer jest skonfigurowany do pracy w trybie przejściowym, użyj $true .If the server is configured to be in staging mode, use $true.

    Gdy zostanie wyświetlony monit o uwierzytelnienie, użyj tego samego konta administratora globalnego (na przykład admin@domain.onmicrosoft.com ), które zostało użyte do skonfigurowania Azure AD Connect.When you're prompted for authentication, use the same global admin account (such as admin@domain.onmicrosoft.com) that you used to configure Azure AD Connect.

    Zainstaluj agenta dla usługi Azure AD DSInstall the agent for Azure AD DS

    Aby rozpocząć instalację agenta, kliknij dwukrotnie pobrany plik exe .To start the agent installation, double-click the .exe file that you downloaded. W pierwszym oknie wybierz pozycję Zainstaluj.In the first window, select Install.

    Zrzut ekranu przedstawiający okno Azure AD Connect Health agenta dla AD DS instalacji.

    Po zakończeniu instalacji wybierz pozycję Konfiguruj teraz.When the installation finishes, select Configure Now.

    Zrzut ekranu przedstawiający okno, w którym kończy się Instalacja agenta Azure AD Connect Health dla AD DS platformy Azure.

    Zostanie otwarte okno wiersza polecenia.A Command Prompt window opens. Działa program PowerShell Register-AzureADConnectHealthADDSAgent .PowerShell runs Register-AzureADConnectHealthADDSAgent. Po wyświetleniu monitu zaloguj się do platformy Azure.When you're prompted, sign in to Azure.

    Zrzut ekranu przedstawiający okno logowania agenta Azure AD Connect Health dla AD DS platformy Azure.

    Po zalogowaniu program PowerShell kontynuuje działanie.After you sign in, PowerShell continues. Po zakończeniu można zamknąć program PowerShell.When it finishes, you can close PowerShell. Konfiguracja została ukończona.The configuration is complete.

    W tym momencie usługi powinny być uruchamiane automatycznie, co pozwala agentowi monitorować i zbierać dane.At this point, the services should be started automatically, allowing the agent to monitor and gather data. Jeśli nie zostały spełnione wszystkie wymagania wstępne opisane w poprzednich sekcjach, w oknie programu PowerShell są wyświetlane ostrzeżenia.If you haven't met all of the prerequisites outlined in the previous sections, then warnings appear in the PowerShell window. Przed zainstalowaniem agenta upewnij się, że zostały spełnione wymagania .Be sure to complete the requirements before you install the agent. Poniższy zrzut ekranu przedstawia przykład tych ostrzeżeń.The following screenshot shows an example of these warnings.

    Zrzut ekranu przedstawiający ostrzeżenie dotyczące Azure AD Connect Health agenta usługi Azure AD DS Configuration.

    Aby sprawdzić, czy Agent jest zainstalowany, Wyszukaj następujące usługi na kontrolerze domeny:To verify that the agent is installed, look for the following services on the domain controller:

    • Usługa szczegółowych informacji usług AD DS programu Azure AD Connect HealthAzure AD Connect Health AD DS Insights Service
    • Usługa monitorowania usług AD DS programu Azure AD Connect HealthAzure AD Connect Health AD DS Monitoring Service

    Jeśli konfiguracja została zakończona, te usługi powinny być uruchomione.If you completed the configuration, these services should already be running. W przeciwnym razie są one zatrzymane do momentu zakończenia konfiguracji.Otherwise, they're stopped until the configuration finishes.

    Zrzut ekranu przedstawiający uruchomione usługi na kontrolerze domeny.

    Szybka instalacja agenta na wielu serwerachQuickly install the agent on multiple servers

    1. Utwórz konto użytkownika w usłudze Azure AD.Create a user account in Azure AD. Zabezpiecz go przy użyciu hasła.Secure it by using a password.

    2. Przypisz rolę właściciela dla tego lokalnego konta usługi Azure AD w Azure AD Connect Health przy użyciu portalu.Assign the Owner role for this local Azure AD account in Azure AD Connect Health by using the portal. Wykonaj te kroki.Follow these steps. Przypisz rolę do wszystkich wystąpień usługi.Assign the role to all service instances.

    3. Pobierz plik msi . exe na lokalny kontroler domeny w celu instalacji.Download the .exe MSI file in the local domain controller for the installation.

    4. Uruchom poniższy skrypt.Run the following script. Zastąp parametry nowym kontem użytkownika i jego hasłem.Replace the parameters with your new user account and its password.

      AdHealthAddsAgentSetup.exe /quiet
      Start-Sleep 30
      $userName = "NEWUSER@DOMAIN"
      $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
      $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
      import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
      
      Register-AzureADConnectHealthADDSAgent -Credential $myCreds
      
      

    Po zakończeniu możesz usunąć dostęp do konta lokalnego, wykonując co najmniej jedno z następujących zadań:When you finish, you can remove access for the local account by doing one or more of the following tasks:

    • Usuń przypisanie roli dla konta lokalnego Azure AD Connect Health.Remove the role assignment for the local account for Azure AD Connect Health.
    • Obróć hasło do konta lokalnego.Rotate the password for the local account.
    • Wyłącz konto lokalne usługi Azure AD.Disable the Azure AD local account.
    • Usuń konto lokalne usługi Azure AD.Delete the Azure AD local account.

    Rejestrowanie agenta przy użyciu programu PowerShellRegister the agent by using PowerShell

    Po zainstalowaniu odpowiedniego pliku setup.exe agenta można zarejestrować agenta za pomocą następujących poleceń programu PowerShell, w zależności od roli.After you install the appropriate agent setup.exe file, you can register the agent by using the following PowerShell commands, depending on the role. Otwórz okno programu PowerShell i uruchom odpowiednie polecenie:Open a PowerShell window and run the appropriate command:

        Register-AzureADConnectHealthADFSAgent
        Register-AzureADConnectHealthADDSAgent
        Register-AzureADConnectHealthSyncAgent
    
    

    Uwaga

    Aby zarejestrować się w odniesieniu do chmur suwerennych, użyj następujących wierszy poleceń:To register against sovereign clouds, use the following command lines:

    Register-AzureADConnectHealthADFSAgent -UserPrincipalName upn-of-the-user
    Register-AzureADConnectHealthADDSAgent -UserPrincipalName upn-of-the-user
    Register-AzureADConnectHealthSyncAgent -UserPrincipalName upn-of-the-user
    

    Te polecenia akceptują Credential jako parametr w celu przeprowadzenia rejestracji w trybie nieinteraktywnym lub do ukończenia rejestracji na komputerze z uruchomionym rdzeniem serwera.These commands accept Credential as a parameter to complete the registration noninteractively or to complete the registration on a machine that runs Server Core. Należy pamiętać, że:Keep in mind that:

    • Można przechwytywać Credential w zmiennej programu PowerShell, która jest przenoszona jako parametr.You can capture Credential in a PowerShell variable that's passed as a parameter.
    • Możesz podać dowolną tożsamość usługi Azure AD, która ma uprawnienia do rejestrowania agentów, dla których nie włączono uwierzytelniania wieloskładnikowego.You can provide any Azure AD identity that has permissions to register the agents and that does not have multifactor authentication enabled.
    • Domyślnie Administratorzy globalni mają uprawnienia do rejestrowania agentów.By default, global admins have permissions to register the agents. Aby wykonać ten krok, można również zezwolić na tożsamości o niższych uprawnieniach.You can also allow less-privileged identities to do this step. Aby uzyskać więcej informacji, zobacz Azure RBAC.For more information, see Azure RBAC.
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    
    

    Konfigurowanie agentów Azure AD Connect Health do korzystania z serwera proxy HTTPConfigure Azure AD Connect Health agents to use HTTP proxy

    Można skonfigurować agentów Azure AD Connect Health do pracy z serwerem proxy HTTP.You can configure Azure AD Connect Health agents to work with an HTTP proxy.

    Uwaga

    • Netsh WinHttp set ProxyServerAddress nie jest obsługiwana.Netsh WinHttp set ProxyServerAddress is not supported. Agent używa System.Net zamiast usług HTTP systemu Windows, aby wykonywać żądania sieci Web.The agent uses System.Net instead of Windows HTTP Services to make web requests.
    • Skonfigurowany adres serwera proxy HTTP jest używany do przekazywania szyfrowanych komunikatów HTTPS.The configured HTTP proxy address is used to pass-through encrypted HTTPS messages.
    • Uwierzytelniane (przy użyciu metody HTTPBasic) serwery proxy nie są obsługiwane.Authenticated proxies (using HTTPBasic) are not supported.

    Zmiana konfiguracji serwera proxy agentaChange the agent proxy configuration

    Aby skonfigurować agenta Azure AD Connect Health do korzystania z serwera proxy HTTP, można:To configure the Azure AD Connect Health agent to use an HTTP proxy, you can:

    • Importuj istniejące ustawienia serwera proxy.Import existing proxy settings.
    • Ręcznie Określ adresy serwerów proxy.Specify proxy addresses manually.
    • Wyczyść istniejącą konfigurację serwera proxy.Clear the existing proxy configuration.

    Uwaga

    Aby zaktualizować ustawienia serwera proxy, należy ponownie uruchomić wszystkie usługi agenta Azure AD Connect Health.To update the proxy settings, you must restart all Azure AD Connect Health agent services. Uruchom następujące polecenie:Run the following command:

    Restart-Service AzureADConnectHealth*

    Importuj istniejące ustawienia serwera proxyImport existing proxy settings

    Można zaimportować ustawienia serwera proxy HTTP programu Internet Explorer, aby agenci Azure AD Connect Health mogli korzystać z tych ustawień.You can import Internet Explorer HTTP proxy settings so that the Azure AD Connect Health agents can use the settings. Na każdym serwerze, na którym jest uruchomiony Agent kondycji, uruchom następujące polecenie programu PowerShell:On each of the servers that run the health agent, run the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    

    Ustawienia serwera proxy WinHTTP można zaimportować, aby agenci Azure AD Connect Health mogli ich używać.You can import WinHTTP proxy settings so that the Azure AD Connect Health agents can use them. Na każdym serwerze, na którym jest uruchomiony Agent kondycji, uruchom następujące polecenie programu PowerShell:On each of the servers that run the health agent, run the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    Ręczne Określanie adresów serwera proxySpecify proxy addresses manually

    Można ręcznie określić serwer proxy.You can manually specify a proxy server. Na każdym serwerze, na którym jest uruchomiony Agent kondycji, uruchom następujące polecenie programu PowerShell:On each of the servers that run the health agent, run the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    Oto przykład:Here's an example:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    W tym przykładzie:In this example:

    • addressUstawienie może być rozpoznawaną przez system DNS nazwą serwera lub adresem IPv4.The address setting can be a DNS-resolvable server name or an IPv4 address.
    • Możesz pominąć port .You can omit port. Jeśli to zrobisz, następnie 443 jest portem domyślnym.If you do, then 443 is the default port.

    Wyczyść istniejącą konfigurację serwera proxyClear the existing proxy configuration

    Istniejącą konfigurację serwera proxy możesz wyczyścić, uruchamiając następujące polecenie:You can clear the existing proxy configuration by running the following command:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    Odczytywanie bieżących ustawień serwera proxyRead current proxy settings

    Bieżące ustawienia serwera proxy można odczytać, uruchamiając następujące polecenie:You can read the current proxy settings by running the following command:

    Get-AzureAdConnectHealthProxySettings
    

    Testowanie łączności z usługą Azure AD Connect HealthTest connectivity to Azure AD Connect Health service

    Czasami agent Azure AD Connect Health może utracić łączność z usługą Azure AD Connect Health.Occasionally, the Azure AD Connect Health agent can lose connectivity with the Azure AD Connect Health service. Przyczyną utraty łączności mogą być problemy z siecią, problemy z uprawnieniami i różne inne problemy.Causes of this connectivity loss can include network problems, permission problems, and various other problems.

    Jeśli Agent nie może wysyłać danych do usługi Azure AD Connect Health przez dłużej niż dwie godziny, w portalu pojawi się następujący alert: "dane Usługa kondycji nie są aktualne".If the agent can't send data to the Azure AD Connect Health service for longer than two hours, the following alert appears in the portal: "Health Service data is not up to date."

    Aby dowiedzieć się, czy Agent Azure AD Connect Health, którego to dotyczy, można przekazać dane do usługi Azure AD Connect Health, uruchamiając następujące polecenie programu PowerShell:You can find out whether the affected Azure AD Connect Health agent can upload data to the Azure AD Connect Health service by running the following PowerShell command:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    Parametr roli obecnie przyjmuje następujące wartości:The role parameter currently takes the following values:

    • ADFSADFS
    • SynchronizujSync
    • ADDSADDS

    Uwaga

    Aby korzystać z narzędzia łączności, należy najpierw zarejestrować agenta.To use the connectivity tool, you must first register the agent. Jeśli nie możesz zakończyć rejestracji agenta, upewnij się, że zostały spełnione wszystkie wymagania dotyczące Azure AD Connect Health.If you can't complete the agent registration, make sure that you have met all of the requirements for Azure AD Connect Health. Łączność jest domyślnie testowana podczas rejestracji agenta.Connectivity is tested by default during agent registration.

    Następne krokiNext steps

    Zapoznaj się z następującymi artykułami:Check out the following related articles: