Azure AD Connect Health często zadawane pytaniaAzure AD Connect Health frequently asked questions

Ten artykuł zawiera odpowiedzi na często zadawane pytania dotyczące programu Azure Active Directory (Azure AD) Connect Health.This article includes answers to frequently asked questions (FAQs) about Azure Active Directory (Azure AD) Connect Health. W tych często zadawanych pytań zawarto informacje na temat sposobu korzystania z usługi, która obejmuje model rozliczeń, możliwości, ograniczenia i pomoc techniczną.These FAQs cover questions about how to use the service, which includes the billing model, capabilities, limitations, and support.

Pytania ogólneGeneral questions

P: zarządzamy wieloma katalogami usługi Azure AD. Jak mogę przełączać się do tego, który ma Azure Active Directory — wersja Premium?Q: I manage multiple Azure AD directories. How do I switch to the one that has Azure Active Directory Premium?

Aby przełączać się między różnymi dzierżawami usługi Azure AD, wybierz nazwę aktualnie zalogowanego użytkownika w prawym górnym rogu, a następnie wybierz odpowiednie konto.To switch between different Azure AD tenants, select the currently signed-in User Name on the upper-right corner, and then choose the appropriate account. Jeśli konta nie ma na liście, wybierz pozycję Wyloguj, a następnie Użyj poświadczeń administratora globalnego katalogu, który ma Azure Active Directory — wersja Premium (P1 lub P2), aby się zalogować.If the account is not listed here, select Sign out, and then use the global admin credentials of the directory that has Azure Active Directory Premium (P1 or P2) enabled to sign in.

P: Jakie wersje ról tożsamości są obsługiwane przez Azure AD Connect Health?Q: What version of identity roles are supported by Azure AD Connect Health?

W poniższej tabeli wymieniono role i obsługiwane wersje systemu operacyjnego.The following table lists the roles and supported operating system versions.

RolaRole System operacyjny/wersjaOperating system / Version
Active Directory Federation Services (AD FS)Active Directory Federation Services (AD FS)
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 z dodatkiem R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019
Azure AD ConnectAzure AD Connect Wersja 1.0.9125 lub nowszaVersion 1.0.9125 or higher
Usługi domenowe Active Directory (AD DS)Active Directory Domain Services (AD DS)
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 z dodatkiem R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016
  • Windows Server 2019Windows Server 2019

Instalacje systemu Windows Server Core nie są obsługiwane.Windows Server Core installations are not supported.

Należy pamiętać, że funkcje udostępniane przez usługę mogą się różnić w zależności od roli i systemu operacyjnego.Note that the features provided by the service may differ based on the role and the operating system. Innymi słowy, wszystkie funkcje mogą nie być dostępne dla wszystkich wersji systemu operacyjnego.In other words, all the features may not be available for all operating system versions. Szczegółowe informacje można znaleźć w opisach funkcji.See the feature descriptions for details.

P: ile licencji muszę monitorować moją infrastrukturę?Q: How many licenses do I need to monitor my infrastructure?

  • Pierwszy Agent programu Connect Health wymaga co najmniej jednej licencji Azure AD — wersja Premium (P1 lub P2).The first Connect Health Agent requires at least one Azure AD Premium (P1 or P2) license.
  • Każdy dodatkowy zarejestrowany agent wymaga 25 dodatkowych licencji Azure AD — wersja Premium (P1 lub P2).Each additional registered agent requires 25 additional Azure AD Premium (P1 or P2) licenses.
  • Liczba agentów jest równoważna z łączną liczbą agentów zarejestrowanych we wszystkich monitorowanych rolach (AD FS, Azure AD Connect i/lub AD DS).Agent count is equivalent to the total number of agents that are registered across all monitored roles (AD FS, Azure AD Connect, and/or AD DS).
  • Licencjonowanie programu AAD Connect Health nie wymaga przypisywania licencji do określonych użytkowników.AAD Connect Health licensing does not require you to assign the license to specific users. Musisz mieć tylko wymaganą liczbę prawidłowych licencji.You only need to have the requisite number of valid licenses.

Informacje o licencjonowaniu znajdują się również na stronie cennika usługi Azure AD.Licensing information is also found on the Azure AD Pricing page.

Przykład:Example:

Zarejestrowani agenciRegistered agents Wymagana licencjaLicenses needed Przykładowa konfiguracja monitorowaniaExample monitoring configuration
11 11 1 Azure AD Connect serwer1 Azure AD Connect server
22 2626 1 Azure AD Connect Server i 1 kontroler domeny1 Azure AD Connect server and 1 domain controller
33 5151 1 Active Directory Federation Services (AD FS) serwer, 1 AD FS serwer proxy i 1 kontroler domeny1 Active Directory Federation Services (AD FS) server, 1 AD FS proxy, and 1 domain controller
44 7676 1 AD FS Server, 1 AD FS proxy i 2 kontrolery domeny1 AD FS server, 1 AD FS proxy, and 2 domain controllers
55 101101 1 Azure AD Connect Server, 1 AD FS Server, 1 AD FS proxy i 2 kontrolery domeny1 Azure AD Connect server, 1 AD FS server, 1 AD FS proxy, and 2 domain controllers

P: czy Azure AD Connect Health obsługiwać chmurę platformy Azure (Niemcy)?Q: Does Azure AD Connect Health support Azure Germany Cloud?

Azure AD Connect Health nie jest obsługiwana w chmurze w Niemczech, z wyjątkiem funkcji raportu błędy synchronizacji.Azure AD Connect Health is not supported in Germany Cloud except for the sync errors report feature.

RoleRoles FunkcjeFeatures Obsługiwane w chmurze niemieckiejSupported in German Cloud
Połącz kondycję z synchronizacjąConnect Health for Sync Monitorowanie/wgląd/alerty/analizaMonitoring / Insight / Alerts / Analysis NieNo
Raport o błędach synchronizacjiSync error report TakYes
Connect Health dla usług AD FSConnect Health for ADFS Monitorowanie/wgląd/alerty/analizaMonitoring / Insight / Alerts / Analysis NieNo
Podłączanie kondycji dla DodawanieConnect Health for ADDS Monitorowanie/wgląd/alerty/analizaMonitoring / Insight / Alerts / Analysis NieNo

Aby zapewnić łączność agenta programu Connect Health w celu synchronizacji, należy odpowiednio skonfigurować wymagania dotyczące instalacji .To ensure the agent connectivity of Connect Health for sync, please configure the installation requirement accordingly.

Pytania dotyczące instalacjiInstallation questions

P: jaki jest wpływ instalowania agenta Azure AD Connect Health na poszczególnych serwerach?Q: What is the impact of installing the Azure AD Connect Health Agent on individual servers?

W przypadku instalowania agenta programu Microsoft Azure AD Connect Health AD FS, serwerów proxy aplikacji sieci Web, serwerów Azure AD Connect (synchronizacji), kontrolery domeny jest minimalny w odniesieniu do procesora CPU, zużycia pamięci, przepustowości sieci i magazynu.The impact of installing the Microsoft Azure AD Connect Health Agent, AD FS, web application proxy servers, Azure AD Connect (sync) servers, domain controllers is minimal with respect to the CPU, memory consumption, network bandwidth, and storage.

Następujące liczby są przybliżeniem:The following numbers are an approximation:

  • Użycie procesora CPU: ~ 1-5% wzrostu.CPU consumption: ~1-5% increase.
  • Użycie pamięci: do 10% całkowitej pamięci systemowej.Memory consumption: Up to 10 % of the total system memory.

Uwaga

Jeśli Agent nie może komunikować się z platformą Azure, Agent przechowuje dane lokalnie ze zdefiniowanym maksymalnym limitem.If the agent cannot communicate with Azure, the agent stores the data locally for a defined maximum limit. Agent zastępuje "buforowane" dane na "najmniej niedawno serwisowane".The agent overwrites the “cached” data on a “least recently serviced” basis.

  • Magazyn lokalnych buforów dla agentów Azure AD Connect Health: ~ 20 MB.Local buffer storage for Azure AD Connect Health Agents: ~20 MB.
  • W przypadku serwerów AD FS zaleca się udostępnienie miejsca na dysku o rozmiarze 1 024 MB (1 GB) dla kanału inspekcji AD FS dla agentów Azure AD Connect Health, aby przetwarzać wszystkie dane inspekcji przed ich zastąpieniem.For AD FS servers, we recommend that you provision a disk space of 1,024 MB (1 GB) for the AD FS audit channel for Azure AD Connect Health Agents to process all the audit data before it is overwritten.

P: czy podczas instalacji agentów Azure AD Connect Health należy uruchomić ponownie moje serwery?Q: Will I have to reboot my servers during the installation of the Azure AD Connect Health Agents?

Nie.No. Instalacja agentów nie wymaga ponownego uruchomienia serwera.The installation of the agents will not require you to reboot the server. Jednak instalacja niektórych kroków wymagań wstępnych może wymagać ponownego uruchomienia serwera.However, installation of some prerequisite steps might require a reboot of the server.

Na przykład w systemie Windows Server 2008 R2 instalacja programu .NET 4,5 Framework wymaga ponownego uruchomienia serwera.For example, on Windows Server 2008 R2, installation of .NET 4.5 Framework requires a server reboot.

P: czy Azure AD Connect Health pracy przez serwer proxy przekazywania HTTP?Q: Does Azure AD Connect Health work through a pass-through HTTP proxy?

Tak.Yes. W przypadku bieżących operacji można skonfigurować agenta kondycji tak, aby korzystał z serwera proxy HTTP do przesyłania dalej wychodzących żądań HTTP.For ongoing operations, you can configure the Health Agent to use an HTTP proxy to forward outbound HTTP requests. Przeczytaj więcej na temat konfigurowania serwera proxy HTTP dla agentów kondycji.Read more about configuring HTTP Proxy for Health Agents.

Jeśli musisz skonfigurować serwer proxy podczas rejestracji agenta, być może musisz wcześniej zmodyfikować ustawienia serwera proxy programu Internet Explorer.If you need to configure a proxy during agent registration, you might need to modify your Internet Explorer Proxy settings beforehand.

  1. Otwórz program Internet Explorer > Ustawienia > Opcje internetowe > połączenia > sieci LAN.Open Internet Explorer > Settings > Internet Options > Connections > LAN Settings.
  2. Wybierz opcję Użyj serwera proxy dla sieci LAN.Select Use a Proxy Server for your LAN.
  3. Wybierz opcję Zaawansowane , jeśli masz różne porty serwera proxy dla protokołów HTTP i https/Secure.Select Advanced if you have different proxy ports for HTTP and HTTPS/Secure.

P: czy Azure AD Connect Health obsługuje uwierzytelnianie podstawowe podczas nawiązywania połączenia z serwerami proxy HTTP?Q: Does Azure AD Connect Health support Basic authentication when connecting to HTTP proxies?

Nie.No. Mechanizm określania dowolnych nazw użytkowników i haseł uwierzytelniania podstawowego nie jest obecnie obsługiwany.A mechanism to specify an arbitrary user name and password for Basic authentication is not currently supported.

P: jakie porty zapory muszę otworzyć, aby Agent Azure AD Connect Health działał prawidłowo?Q: What firewall ports do I need to open for the Azure AD Connect Health Agent to work?

Zapoznaj się z sekcją wymagania , aby zapoznać się z listą portów zapory i innych wymagań dotyczących łączności.See the requirements section for the list of firewall ports and other connectivity requirements.

P: Dlaczego widzę dwa serwery o tej samej nazwie w portalu Azure AD Connect Health?Q: Why do I see two servers with the same name in the Azure AD Connect Health portal?

Po usunięciu agenta z serwera serwer nie zostanie automatycznie usunięty z portalu Azure AD Connect Health.When you remove an agent from a server, the server is not automatically removed from the Azure AD Connect Health portal. Po ręcznym usunięciu agenta z serwera lub usunięciu samego serwera należy ręcznie usunąć wpis serwera z portalu Azure AD Connect Health.If you manually remove an agent from a server or remove the server itself, you need to manually delete the server entry from the Azure AD Connect Health portal.

Możesz odtworzyć z obrazu serwer lub utworzyć nowy serwer z takimi samymi informacjami (jak nazwa komputera).You might reimage a server or create a new server with the same details (such as machine name). Jeśli nie usunięto już zarejestrowanego serwera z portalu Azure AD Connect Health, a Agent programu został zainstalowany na nowym serwerze, mogą pojawić się dwa wpisy o tej samej nazwie.If you did not remove the already registered server from the Azure AD Connect Health portal, and you installed the agent on the new server, you might see two entries with the same name.

W takim przypadku należy ręcznie usunąć wpis, który należy do starszego serwera.In this case, manually delete the entry that belongs to the older server. Dane dla tego serwera powinny być nieaktualne.The data for this server should be out of date.

P: Czy można zainstalować agenta Azure AD Connect Health w systemie Windows Server Core?Q: Can I install the Azure AD Connect health agent on Windows Server Core?

Nie.No. Instalacja w trybie Server Core nie jest obsługiwana.Installation on Server Core is not supported.

Rejestracja agenta kondycji i aktualność danychHealth Agent registration and data freshness

P: Jakie są typowe przyczyny błędów rejestracji agenta kondycji i rozwiązywania problemów?Q: What are common reasons for the Health Agent registration failures and how do I troubleshoot issues?

Rejestracja agenta kondycji może zakończyć się niepowodzeniem ze względu na następujące możliwe przyczyny:The health agent can fail to register due to the following possible reasons:

  • Agent nie może komunikować się z wymaganymi punktami końcowymi, ponieważ Zapora blokuje ruch.The agent cannot communicate with the required endpoints because a firewall is blocking traffic. Jest to szczególnie typowe w przypadku serwerów proxy aplikacji sieci Web.This is particularly common on web application proxy servers. Upewnij się, że zezwolono na wychodzącą komunikację z wymaganymi punktami końcowymi i portami.Make sure that you have allowed outbound communication to the required endpoints and ports. Szczegółowe informacje znajdują się w sekcji wymagania .See the requirements section for details.
  • Komunikacja wychodząca podlega inspekcji protokołu TLS przez warstwę sieciową.Outbound communication is subjected to an TLS inspection by the network layer. Powoduje to, że certyfikat, którego używa Agent do zastąpienia przez serwer inspekcji/jednostkę, i kroki, które należy wykonać, aby zakończyć rejestrację agenta kończy się niepowodzeniem.This causes the certificate that the agent uses to be replaced by the inspection server/entity, and the steps to complete the agent registration fail.
  • Użytkownik nie ma dostępu do przeprowadzenia rejestracji agenta.The user does not have access to perform the registration of the agent. Domyślnie Administratorzy globalni mają dostęp.Global admins have access by default. Aby delegować dostęp do innych użytkowników, można użyć kontroli dostępu opartej na rolach (Azure RBAC) na platformie Azure .You can use Azure role-based access control (Azure RBAC) to delegate access to other users.

P: otrzymuję alerty informujące o tym, że "Usługa kondycji dane są nieaktualne". Jak mogę rozwiązać ten problem?Q: I am getting alerted that "Health Service data is not up to date." How do I troubleshoot the issue?

Azure AD Connect Health generuje alert, jeśli nie otrzyma wszystkich punktów danych z serwera w ciągu ostatnich dwóch godzin.Azure AD Connect Health generates the alert when it does not receive all the data points from the server in the last two hours. Przeczytaj więcej.Read more.

Pytania dotyczące operacjiOperations questions

P: Czy muszę włączyć inspekcję na serwerach proxy aplikacji sieci Web?Q: Do I need to enable auditing on the web application proxy servers?

Nie, nie trzeba włączać inspekcji na serwerach proxy aplikacji sieci Web.No, auditing does not need to be enabled on the web application proxy servers.

P: jak alerty programu Azure AD Connect Health zostać rozwiązane?Q: How do Azure AD Connect Health Alerts get resolved?

Alerty Azure AD Connect Health są rozwiązywane po pomyślnym spełnieniu warunku.Azure AD Connect Health alerts get resolved on a success condition. Azure AD Connect Health agenci wykrywają i raportują warunki sukcesu usługi okresowo.Azure AD Connect Health Agents detect and report the success conditions to the service periodically. W przypadku kilku alertów pomijanie jest oparte na czasie.For a few alerts, the suppression is time-based. Innymi słowy, jeśli ten sam warunek błędu nie zostanie zaobserwowany w ciągu 72 godzin od wygenerowania alertu, alert zostanie automatycznie rozwiązany.In other words, if the same error condition is not observed within 72 hours from alert generation, the alert is automatically resolved.

Pytanie: otrzymuję alerty informujące o tym, że "testowe żądanie uwierzytelniania (transakcja syntetyczna" nie może uzyskać tokenu "). Jak mogę rozwiązać ten problem?Q: I am getting alerted that "Test Authentication Request (Synthetic Transaction) failed to obtain a token." How do I troubleshoot the issue?

Azure AD Connect Health AD FS generuje ten alert, gdy Agent kondycji zainstalowany na serwerze AD FS nie może uzyskać tokenu w ramach transakcji syntetycznej zainicjowanej przez agenta kondycji.Azure AD Connect Health for AD FS generates this alert when the Health Agent installed on an AD FS server fails to obtain a token as part of a synthetic transaction initiated by the Health Agent. Agent kondycji używa kontekstu systemu lokalnego i próbuje uzyskać token dla jednostki uzależnionej.The Health agent uses the local system context and attempts to get a token for a self relying party. Jest to test "catch-all", aby upewnić się, że AD FS jest w stanie wystawiania tokenów.This is a catch-all test to ensure that AD FS is in a state of issuing tokens.

Najczęściej ten test nie powiedzie się, ponieważ agent kondycji nie może rozpoznać nazwy farmy AD FS.Most often this test fails because the Health Agent is unable to resolve the AD FS farm name. Może się tak zdarzyć, jeśli serwery AD FS znajdują się za usługą równoważenia obciążenia sieciowego, a żądanie zostanie zainicjowane z węzła, który znajduje się za modułem równoważenia obciążenia (w przeciwieństwie do zwykłego klienta, który jest przed modułem równoważenia obciążenia).This can happen if the AD FS servers are behind a network load balancers and the request gets initiated from a node that's behind the load balancer (as opposed to a regular client that is in front of the load balancer). Można to naprawić, aktualizując plik "hosts" znajdujący się w lokalizacji "C:\Windows\System32\drivers\etc" w celu uwzględnienia adresu IP serwera AD FS lub adresu IP sprzężenia zwrotnego (127.0.0.1) dla nazwy farmy AD FS (takiej jak sts.contoso.com).This can be fixed by updating the "hosts" file located under "C:\Windows\System32\drivers\etc" to include the IP address of the AD FS server or a loopback IP address (127.0.0.1) for the AD FS farm name (such as sts.contoso.com). Dodanie pliku hosta spowoduje krótki obwód połączenia sieciowego, dzięki czemu Agent kondycji może uzyskać token.Adding the host file will short-circuit the network call, thus allowing the Health Agent to get the token.

P: otrzymuję wiadomość e-mail z informacją o tym, że moje maszyny nie są zgodne z poprawkami dla ostatnich ataków z wykorzystaniem oprogramowania wymuszającego okup. Dlaczego otrzymuję tę wiadomość e-mail?Q: I got an email indicating my machines are NOT patched for the recent ransomware attacks. Why did I receive this email?

Usługa Azure AD Connect Health przeskanował wszystkie monitorowane maszyny, aby upewnić się, że zostały zainstalowane wymagane poprawki.Azure AD Connect Health service scanned all the machines it monitors to ensure the required patches were installed. Wiadomość e-mail została wysłana do administratorów dzierżawy, jeśli co najmniej jedna maszyna nie ma krytycznych poprawek.The email was sent to the tenant administrators if at least one machine did not have the critical patches. W celu dokonania tego ustalenia użyto następującej logiki.The following logic was used to make this determination.

  1. Znajdź wszystkie poprawki zainstalowane na komputerze.Find all the hotfixes installed on the machine.
  2. Sprawdź, czy istnieje co najmniej jedna poprawka ze zdefiniowanej listy.Check if at least one of the HotFixes from the defined list is present.
  3. Jeśli tak, komputer jest chroniony.If Yes, the machine is protected. W przeciwnym razie komputer jest narażony na ataki.If Not, the machine is at risk for the attack.

Możesz użyć następującego skryptu programu PowerShell, aby przeprowadzić to sprawdzenie ręcznie.You can use the following PowerShell script to perform this check manually. Implementuje powyższą logikę.It implements the above logic.

Function CheckForMS17-010 ()
{
    $hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"

    #checks the computer it's run on if any of the listed hotfixes are present
    $hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"

    #confirms whether hotfix is found or not
    if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
    {
        "Found HotFix: " + $hotfix.HotFixID
    } else {
        "Didn't Find HotFix"
    }
}

CheckForMS17-010

P: Dlaczego polecenie cmdlet programu PowerShell Get-MsolDirSyncProvisioningError wyświetla mniejszą ilość błędów synchronizacji w wyniku?Q: Why does the PowerShell cmdlet Get-MsolDirSyncProvisioningError show less sync errors in the result?

Get-MsolDirSyncProvisioningError zwróci tylko błędy aprowizacji narzędzia DirSync.Get-MsolDirSyncProvisioningError will only return DirSync provisioning errors. Oprócz tego program Connect Health portal wyświetla również inne typy błędów synchronizacji, takie jak błędy eksportu.Besides that, Connect Health portal also shows other sync error types such as export errors. Jest to zgodne z wynikiem różnic Azure AD Connect.This is consistent with Azure AD Connect delta result. Przeczytaj więcej na temat Azure AD Connect błędów synchronizacji.Read more about Azure AD Connect Sync errors.

P: Dlaczego nie są generowane żadne inspekcje usług ADFS?Q: Why are my ADFS audits not being generated?

Użyj polecenia cmdlet Get-ADFSProperties-AuditLevel programu PowerShell, aby upewnić się, że dzienniki inspekcji nie są w stanie wyłączenia.Please use PowerShell cmdlet Get-AdfsProperties -AuditLevel to ensure audit logs is not in disabled state. Przeczytaj więcej na temat dzienników inspekcji usług ADFS.Read more about ADFS audit logs. Zwróć uwagę, jeśli istnieją zaawansowane ustawienia inspekcji wypychane do serwera usług AD FS, wszelkie zmiany z auditpol.exe zostaną zastąpione (zdarzenie, jeśli wygenerowana aplikacja nie jest skonfigurowana).Notice if there are advanced audit settings pushed to the ADFS server, any changes with auditpol.exe will be overwritten (event if Application Generated is not configured). W takim przypadku należy ustawić zasady zabezpieczeń lokalnych, aby rejestrować błędy wygenerowane przez aplikację i powodzenie.In this case, please set the local security policy to log Application Generated failures and success.

P: Kiedy certyfikat agenta będzie automatycznie odnawiany przed wygaśnięciem?Q: When will the agent certificate be automatic renewed before expiration? Certyfikacja agenta zostanie automatycznie odnowiona na sześć miesięcy przed datą wygaśnięcia.The agent certification will be automatic renewed 6 months before its expiration date. Jeśli nie, upewnij się, że połączenie sieciowe agenta jest stabilne.If it is not renewed, please ensure the network connection of the agent is stable. Należy ponownie uruchomić usługi agenta lub zaktualizować do najnowszej wersji, aby rozwiązać problem.Restart the agent services or update to the latest version may also solve the issue.