Установка агента Azure AD Connect HealthAzure AD Connect Health Agent Installation

В этом документе описываются этапы установки и настройки агентов Azure AD Connect Health.This document walks you through installing and configuring the Azure AD Connect Health Agents. Загрузить агенты можно отсюда:You can download the agents from here.

ТребованияRequirements

В таблице ниже приведен список предварительных требований для использования Azure AD Connect Health.The following table is a list of requirements for using Azure AD Connect Health.

ТребованиеRequirement ОПИСАНИЕDescription
Azure AD PremiumAzure AD Premium Служба Azure AD Connect Health относится к Azure AD Premium и требует наличия выпуска Azure AD Premium.Azure AD Connect Health is an Azure AD Premium feature and requires Azure AD Premium.

Дополнительные сведения см. в статье Приступая к работе с Azure Active Directory Premium.For more information, see Getting started with Azure AD Premium
Чтобы получить бесплатную 30-дневную пробную версию, перейдите по этой ссылке.To start a free 30-day trial, see Start a trial.
Для начала работы с Azure AD Connect Health требуются права глобального администратора Azure AD You must be a global administrator of your Azure AD to get started with Azure AD Connect Health По умолчанию только глобальный администратор может установить и настроить агенты работоспособности, чтобы приступить к работе, получить доступ к порталу и начать выполнять любые операции в Azure AD Connect Health.By default, only the global administrators can install and configure the health agents to get started, access the portal, and perform any operations within Azure AD Connect Health. Дополнительные сведения см. в статье Администрирование каталога Azure AD.For more information, see Administering your Azure AD directory.

С помощью управления доступом на основе ролей можно разрешить доступ к Azure AD Connect Health другим пользователям в организации.Using Role Based Access Control you can allow access to Azure AD Connect Health to other users in your organization. Дополнительные сведения см. в разделе Управление доступом с помощью контроля доступа на основе ролей.For more information, see Role Based Access Control for Azure AD Connect Health.

Важно! Учетная запись, которая используется во время установки агентов, должна быть рабочей или учебной.Important: The account used when installing the agents must be a work or school account. Учетную запись Майкрософт для этого использовать нельзя.It cannot be a Microsoft account. Дополнительные сведения см. в статье Подпишитесь на Azure как организация.For more information, see Sign up for Azure as an organization
Агент Azure AD Connect Health следует установить на всех целевых серверахAzure AD Connect Health Agent is installed on each targeted server Для использования Azure AD Connect Health на целевых серверах необходимо установить и настроить агенты работоспособности, чтобы получать данные и предоставлять возможности мониторинга и аналитики.Azure AD Connect Health requires the Health Agents to be installed and configured on targeted servers to receive the data and provide the Monitoring and Analytics capabilities.

Например, для получения данных об инфраструктуре AD FS необходимо установить агент на серверы AD FS и прокси-серверы веб-приложений.For example, to get data from your AD FS infrastructure, the agent must be installed on the AD FS and Web Application Proxy servers. Аналогично, для получения данных о локальной инфраструктуре AD DS агент необходимо установить на контроллеры домена.Similarly, to get data on your on-premises AD DS infrastructure, the agent must be installed on the domain controllers.

Исходящие подключения к конечным точкам службы AzureOutbound connectivity to the Azure service endpoints Во время установки и выполнения агенту требуется подключение к конечным точкам службы Azure AD Connect Health.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. При блокировке исходящего подключения с помощью брандмауэров убедитесь, что в список разрешенных добавлены указанные ниже конечные точки.If outbound connectivity is blocked using Firewalls, ensure that the following endpoints are added to the allowed list. См. здесь.See outbound connectivity endpoints
Исходящие подключения на основе IP-адресовOutbound connectivity based on IP Addresses Дополнительные сведения о фильтрации на основе IP-адресов в брандмауэрах см. в статье о диапазонах IP-адресов Azure.For IP address based filtering on firewalls, refer to the Azure IP Ranges.
Проверка SSL для исходящего трафика отфильтрована или отключенаSSL Inspection for outbound traffic is filtered or disabled Операции отправки данных или регистрация агента могут завершиться ошибкой в случае проверки SSL или завершения исходящего трафика на уровне сети.The agent registration step or data upload operations may fail if there is SSL inspection or termination for outbound traffic at the network layer. Ознакомьтесь с дополнительными сведениями о том, как настроить проверку SSL.Read more about how to setup SSL inspection
Порты брандмауэра на сервере с агентомFirewall ports on the server running the agent Агент требует открытия следующих портов брандмауэра для обмена данными с конечными точками службы Azure AD Health.The agent requires the following firewall ports to be open in order for the agent to communicate with the Azure AD Health service endpoints.

  • TCP-порт 443TCP port 443
  • TCP-порт 5671TCP port 5671

  • Обратите внимание на то, что для последней версии агента больше не нужен порт 5671.Note that port 5671 is no longer required for the latest version of agent. Для обновления до последней версии требуется только порт 443.Upgrade to the latest version so only port 443 is required. Ознакомьтесь с дополнительными сведениями о включении портов брандмауэра.Read more about enable firewall ports
    Внесите следующие веб-сайты в список разрешенных, если включена политика усиленной безопасности IEAllow the following websites if IE Enhanced Security is enabled Если на сервере, на котором будет установлен агент, включена конфигурация усиленной безопасности, потребуется открыть доступ для следующих веб-сайтов:If IE Enhanced Security is enabled, then the following websites must be allowed on the server that is going to have the agent installed.

  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://login.windows.nethttps://login.windows.net
  • Сервер федерации вашей организации должен быть доверенным для Azure Active Directory.The federation server for your organization trusted by Azure Active Directory. Например: https://sts.contoso.com.For example: https://sts.contoso.com
  • Ознакомьтесь с дополнительными сведениями о том, как настроить IE.Read more about how to configure IE
    Установлена служба PowerShell 4.0 или более поздней версииEnsure PowerShell v4.0 or newer is installed
  • Windows Server 2008 R2 поставляется вместе с PowerShell версии 2.0, что недостаточно для агента.Windows Server 2008 R2 ships with PowerShell v2.0, which is insufficient for the agent. Обновите PowerShell, как описано ниже в разделе Установка агента на серверах Windows Server 2008 R2.Update PowerShell as explained below under Agent installation on Windows Server 2008 R2 Servers.
  • Windows Server 2012 поставляется вместе с PowerShell версии 3.0, что недостаточно для агента.Windows Server 2012 ships with PowerShell v3.0, which is insufficient for the agent. Обновите Windows Management Framework.Update the Windows Management Framework.
  • Windows Server 2012 R2 и более поздней версии поставляется с последней версией PowerShell.Windows Server 2012 R2 and later ship with a sufficiently recent version of PowerShell.
  • Отключение FIPSDisable FIPS FIPS не поддерживается агентами Azure Active Directory Connect Health.FIPS is not supported by Azure AD Connect Health agents.

    Исходящие подключения к конечным точкам службы AzureOutbound connectivity to the Azure service endpoints

    Во время установки и выполнения агенту требуется подключение к конечным точкам службы Azure AD Connect Health.During installation and runtime, the agent requires connectivity to Azure AD Connect Health service endpoints. При блокировке исходящего подключения с помощью брандмауэров убедитесь, что в список запрещенных не были по умолчанию добавлены указанные ниже URL-адреса.If outbound connectivity is blocked using Firewalls, make sure that the following URLs are not blocked by default. Не отключайте мониторинг безопасности или проверку URL-адресов, но предоставьте им разрешения такие же, как и интернет-трафику.Do not disable security monitoring or inspection of these URLs, but allow them as you would other internet traffic. Они разрешают обмен данными с конечными точками службы Azure AD Connect Health.They permit communication with Azure AD Connect Health service endpoints. Ознакомьтесь с дополнительными сведениями о проверке исходящего подключения.Read more about check outbound connectivity

    Доменная средаDomain Environment Требуемые конечные точки службы AzureRequired Azure service endpoints
    Общедоступная сетьGeneral Public
  • *.blob.core.windows.net*.blob.core.windows.net
  • *.aadconnecthealth.azure.com*.aadconnecthealth.azure.com
  • *.servicebus.windows.net, порт: 5671*.servicebus.windows.net - Port: 5671
  • *.adhybridhealth.azure.com/;*.adhybridhealth.azure.com/
  • https://management.azure.comhttps://management.azure.com
  • https://policykeyservice.dc.ad.msft.net/https://policykeyservice.dc.ad.msft.net/
  • https://login.windows.nethttps://login.windows.net
  • https://login.microsoftonline.comhttps://login.microsoftonline.com
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com. *Эта конечная точка используется только для обнаружения во время регистрации.https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Azure для ГерманииAzure Germany
  • *.blob.core.cloudapi.de;*.blob.core.cloudapi.de
  • *.servicebus.cloudapi.de;*.servicebus.cloudapi.de
  • *.aadconnecthealth.microsoftazure.de;*.aadconnecthealth.microsoftazure.de
  • https://management.microsoftazure.dehttps://management.microsoftazure.de
  • https://policykeyservice.aadcdi.microsoftazure.dehttps://policykeyservice.aadcdi.microsoftazure.de
  • https://login.microsoftonline.dehttps://login.microsoftonline.de
  • https://secure.aadcdn.microsoftonline-p.dehttps://secure.aadcdn.microsoftonline-p.de
  • https://www.office.de. *Эта конечная точка используется только для обнаружения во время регистрации.https://www.office.de *this endpoint is only used for discovery purposes during registration.
  • Azure GovernmentAzure Government
  • *.blob.core.usgovcloudapi.net*.blob.core.usgovcloudapi.net
  • *.servicebus.usgovcloudapi.net*.servicebus.usgovcloudapi.net
  • *.aadconnecthealth.microsoftazure.us*.aadconnecthealth.microsoftazure.us
  • https://management.usgovcloudapi.nethttps://management.usgovcloudapi.net
  • https://policykeyservice.aadcdi.azure.ushttps://policykeyservice.aadcdi.azure.us
  • https://login.microsoftonline.ushttps://login.microsoftonline.us
  • https://secure.aadcdn.microsoftonline-p.comhttps://secure.aadcdn.microsoftonline-p.com
  • https://www.office.com. *Эта конечная точка используется только для обнаружения во время регистрации.https://www.office.com *this endpoint is only used for discovery purposes during registration.
  • Скачивание и установка агента Azure AD Connect HealthDownload and install the Azure AD Connect Health Agent

    Установка агента Azure AD Connect Health для AD FSInstalling the Azure AD Connect Health Agent for AD FS

    Примечание

    Сервер AD FS должен отличаться от сервера синхронизации.AD FS server should be different from your Sync server. Не устанавливайте агент AD FS на сервере синхронизации.Do not install AD FS agent to your Sync server.

    Перед установкой убедитесь, что имя узла сервера AD FS является уникальным и не существует в службе AD FS.Before installation, make sure your AD FS server host name is unique and not present in the AD FS service. Дважды щелкните скачанный EXE-файл, чтобы начать установку агента.To start the agent installation, double-click the .exe file that you downloaded. На первом экране щелкните «Установить».On the first screen, click Install.

    Проверка Azure AD Connect Health

    После завершения установки нажмите кнопку «Настроить сейчас».Once the installation is finished, click Configure Now.

    Проверка Azure AD Connect Health

    Откроется окно PowerShell, и начнется процесс регистрации агента.This launches a PowerShell window to initiate the agent registration process. При появлении запроса войдите с помощью учетной записи Azure AD, которая имеет доступ на выполнение регистрации агента.When prompted, sign in with an Azure AD account that has access to perform agent registration. По умолчанию учетная запись глобального администратора имеет такой доступ.By default the Global Admin account has access.

    Проверка Azure AD Connect Health

    После входа PowerShell продолжит выполнять команду.After signing in, PowerShell will continue. После завершения можно закрыть PowerShell. Настройка завершена.Once it completes, you can close PowerShell and the configuration is complete.

    На этом этапе службы агента должны запуститься автоматически, благодаря чему агент сможет безопасно загрузить необходимые данные в облачную службу.At this point, the agent services should be started automatically allowing the agent upload the required data to the cloud service in a secure manner.

    Если вы не выполнили все необходимые предварительные требования, которые были описаны в предыдущих разделах, в окне PowerShell будут отображаться предупреждения.If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. Обязательно выполните эти требования, прежде чем устанавливать агент.Be sure to complete the requirements before installing the agent. В качестве примера этих ошибок приведен следующий снимок экрана.The following screenshot is an example of these errors.

    Проверка Azure AD Connect Health

    Чтобы проверить, установлен ли агент, найдите на сервере приведенные ниже службы.To verify the agent has been installed, look for the following services on the server. Если вы выполнили настройку, эти службы должны работать.If you completed the configuration, they should already be running. Они не запустятся, пока не будет выполнена настройка.Otherwise, they are stopped until the configuration is complete.

    • Служба диагностики AD FS Azure AD Connect HealthAzure AD Connect Health AD FS Diagnostics Service
    • Служба AD FS получения ценной информации из данных о работоспособности Azure AD ConnectAzure AD Connect Health AD FS Insights Service
    • Служба наблюдения AD FS Azure AD Connect HealthAzure AD Connect Health AD FS Monitoring Service

    Проверка Azure AD Connect Health

    Установка агента на серверах Windows Server 2008 R2Agent installation on Windows Server 2008 R2 Servers

    Для серверов Windows Server 2008 R2 сделайте следующее:Steps for Windows Server 2008 R2 servers:

    1. Убедитесь, что сервер работает с пакетом обновления 1 или более поздней версии.Ensure that the server is running at Service Pack 1 or higher.
    2. Отключите IE ESC для установки агента.Turn off IE ESC for agent installation:
    3. Установите Windows PowerShell 4.0 на каждом из серверов перед установкой агента AD Health.Install Windows PowerShell 4.0 on each of the servers ahead of installing the AD Health agent. Чтобы установить Windows PowerShell 4.0, выполните следующие действия.To install Windows PowerShell 4.0:
      • Загрузите автономный установщик по ссылке и установите Microsoft .NET Framework 4.5 .Install Microsoft .NET Framework 4.5 using the following link to download the offline installer.
      • Установите интегрированную среду сценариев PowerShell (из компонентов Windows).Install PowerShell ISE (From Windows Features)
      • Установите Windows Management Framework 4.0Install the Windows Management Framework 4.0.
      • Установите на сервере Internet Explorer версии 10 или более поздней версии.Install Internet Explorer version 10 or above on the server. (Это необходимо службе работоспособности для аутентификации пользователя с учетными данными администратора Azure.)(Required by the Health Service to authenticate, using your Azure Admin credentials.)
    4. Дополнительные сведения об установке Windows PowerShell 4.0 на Windows Server 2008 R2 см. в вики-статье здесь.For more information on installing Windows PowerShell 4.0 on Windows Server 2008 R2, see the wiki article here.

    Включение аудита для AD FSEnable Auditing for AD FS

    Примечание

    Этот раздел относится только к серверам AD FS.This section only applies to AD FS servers. Эти действия не нужно выполнять на прокси-серверах веб-приложений.You do not have to follow these steps on the Web Application Proxy Servers.

    Чтобы функция аналитики по использованию могла осуществлять сбор и анализ данных, агенту Azure AD Connect Health нужна информация из журналов аудита AD FS.In order for the Usage Analytics feature to gather and analyze data, the Azure AD Connect Health agent needs the information in the AD FS Audit Logs. По умолчанию эти журналы не включены.These logs are not enabled by default. Используйте следующие процедуры для включения аудита AD FS и поиска журналов аудита AD FS на серверах AD FS.Use the following procedures to enable AD FS auditing and to locate the AD FS audit logs, on your AD FS servers.

    Включение аудита для AD FS на Windows Server 2008 R2To enable auditing for AD FS on Windows Server 2008 R2

    1. Нажиме кнопку Пуск, наведите указатель мыши на пункт Программы, а затем — на Администрирование и выберите Локальная политика безопасности.Click Start, point to Programs, point to Administrative Tools, and then click Local Security Policy.
    2. Перейдите к папке Параметры безопасности\Локальные политики\Предоставление прав пользователям, а затем дважды щелкните пункт Создание аудитов безопасности.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Убедитесь, что на вкладке Параметры локальной безопасности в списке указана учетная запись службы AD FS 2.0.On the Local Security Setting tab, verify that the AD FS 2.0 service account is listed. Если она отсутствует, щелкните Добавить пользователя или группу, добавьте учетную запись в список и нажмите кнопку ОК.If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. Чтобы включить аудит, откройте командную строку с более высоким уровнем привилегий и выполните следующую команду: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable.To enable auditing, open a Command Prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Закройте вкладку Параметры локальной безопасности.Close Local Security Policy.
      -- Следующие шаги требуются только для основных серверов AD FS.-- The following steps are only required for primary AD FS servers. --
    6. Откройте оснастку Управление AD FS.Open the AD FS Management snap-in. Чтобы открыть оснастку управления AD FS, нажмите кнопку Пуск, наведите указатель мыши на пункт Программы, а затем — на Администрирование и выберите пункт AD FS 2.0 Management (Управление AD FS 2.0).To open the AD FS Management snap-in, click Start, point to Programs, point to Administrative Tools, and then click AD FS 2.0 Management.
    7. На панели действий выберите действие Изменить свойства службы федерации.In the Actions pane, click Edit Federation Service Properties.
    8. В диалоговом окне Свойства службы федерации откройте вкладку События.In the Federation Service Properties dialog box, click the Events tab.
    9. Установите флажки Success audits (Успешные события аудита) и Failure audits (Неудачные события аудита).Select the Success audits and Failure audits check boxes.
    10. Последовательно выберите ОК.Click OK.

    Включение аудита для AD FS на Windows Server 2012 R2To enable auditing for AD FS on Windows Server 2012 R2

    1. Из раздела Диспетчер сервера на начальном экране или на панели задач откройте диалоговое окно Локальная политика безопасности. Затем выберите Сервис/Локальная политика безопасности.Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. Перейдите к папке Параметры безопасности\Локальные политики\Предоставление прав пользователям, а затем дважды щелкните пункт Создание аудитов безопасности.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Убедитесь, что на вкладке Параметры локальной безопасности в списке указана учетная запись службы AD FS.On the Local Security Setting tab, verify that the AD FS service account is listed. Если она отсутствует, щелкните Добавить пользователя или группу, добавьте учетную запись в список и нажмите кнопку ОК.If it is not present, click Add User or Group and add it to the list, and then click OK.
    4. Чтобы включить аудит, откройте командную строку с повышенным уровнем привилегий и выполните следующую команду: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable.To enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Закройте вкладку Параметры локальной безопасности.Close Local Security Policy.
      -- Следующие шаги требуются только для основных серверов AD FS.-- The following steps are only required for primary AD FS servers. --
    6. Откройте оснастку Управление AD FS (в разделе "Диспетчер сервера" выберите меню "Сервис" и щелкните "Управление AD FS").Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. На панели действий выберите действие Изменить свойства службы федерации.In the Actions pane, click Edit Federation Service Properties.
    8. В диалоговом окне Свойства службы федерации откройте вкладку События.In the Federation Service Properties dialog box, click the Events tab.
    9. Установите флажки для успешных и неудачных событий аудита и нажмите кнопку ОК.Select the Success audits and Failure audits check boxes and then click OK.

    Включение аудита для AD FS на Windows Server 2016To enable auditing for AD FS on Windows Server 2016

    1. Из раздела Диспетчер сервера на начальном экране или на панели задач откройте диалоговое окно Локальная политика безопасности. Затем выберите Сервис/Локальная политика безопасности.Open Local Security Policy by opening Server Manager on the Start screen, or Server Manager in the taskbar on the desktop, then click Tools/Local Security Policy.
    2. Перейдите к папке Параметры безопасности\Локальные политики\Предоставление прав пользователям, а затем дважды щелкните пункт Создание аудитов безопасности.Navigate to the Security Settings\Local Policies\User Rights Assignment folder, and then double-click Generate security audits.
    3. Убедитесь, что на вкладке Параметры локальной безопасности в списке указана учетная запись службы AD FS.On the Local Security Setting tab, verify that the AD FS service account is listed. Если она отсутствует, щелкните Добавить пользователя или группу, добавьте учетную запись службы AD FS в список и нажмите кнопку ОК.If it is not present, click Add User or Group and add the AD FS service account to the list, and then click OK.
    4. Чтобы включить аудит, откройте командную строку с повышенным уровнем привилегий и выполните следующую команду: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable.To enable auditing, open a command prompt with elevated privileges and run the following command: auditpol.exe /set /subcategory:{0CCE9222-69AE-11D9-BED3-505054503030} /failure:enable /success:enable
    5. Закройте вкладку Параметры локальной безопасности.Close Local Security Policy.
      -- Следующие шаги требуются только для основных серверов AD FS.-- The following steps are only required for primary AD FS servers. --
    6. Откройте оснастку Управление AD FS (в разделе "Диспетчер сервера" выберите меню "Сервис" и щелкните "Управление AD FS").Open the AD FS Management snap-in (in Server Manager, click Tools, and then select AD FS Management).
    7. На панели действий выберите действие Изменить свойства службы федерации.In the Actions pane, click Edit Federation Service Properties.
    8. В диалоговом окне Свойства службы федерации откройте вкладку События.In the Federation Service Properties dialog box, click the Events tab.
    9. Установите флажки для успешных и неудачных событий аудита и нажмите кнопку ОК.Select the Success audits and Failure audits check boxes and then click OK. Этот параметр должен быть включен по умолчанию.This should be enabled by default.
    10. Откройте окно PowerShell и выполните следующую команду: Set-AdfsProperties -AuditLevel Verbose.Open a PowerShell window and run the following command: Set-AdfsProperties -AuditLevel Verbose.

    Обратите внимание, что по умолчанию включен "базовый" уровень аудита.Note that "basic" audit level is enabled by default. См. дополнительные сведения об усовершенствовании аудита AD FS в Windows Server 2016.Read more about the AD FS Audit enhancement in Windows Server 2016

    Поиск журналов аудита AD FSTo locate the AD FS audit logs

    1. Откройте Средство просмотра событий.Open Event Viewer.

    2. Перейдите к разделу "Журналы Windows" и выберите пункт Безопасность.Go to Windows Logs and select Security.

    3. Справа щелкните Фильтровать текущие журналы.On the right, click Filter Current Logs.

    4. В разделе «Источник события» выберите Аудит AD FS.Under Event Source, select AD FS Auditing.

      Краткое примечание из раздела часто задаваемых вопросов о журналах аудита.And quick FAQ note for Audit logs.

    Журналы аудита AD FS

    Предупреждение

    Групповая политика может отключить аудит AD FS.A group policy can disable AD FS auditing. Если аудит AD FS отключен, аналитика по использованию в отношении действий входа недоступна.If AD FS auditing is disabled, usage analytics about login activities are not available. Убедитесь, что групповая политика, которая может отключить аудит AD FS, отсутствует.>Ensure that you don’t have a group policy that disables AD FS auditing.>

    Установка агента Azure AD Connect Health для синхронизацииInstalling the Azure AD Connect Health agent for sync

    В последней сборке Azure AD Connect агент Azure AD Connect Health для синхронизации устанавливается автоматически.The Azure AD Connect Health agent for sync is installed automatically in the latest build of Azure AD Connect. Чтобы использовать Azure AD Connect для синхронизации, скачайте и установите последнюю версию Azure AD Connect.To use Azure AD Connect for sync, you need to download the latest version of Azure AD Connect and install it. Последнюю версию можно загрузить здесь.You can download the latest version here.

    Чтобы проверить, установлен ли агент, найдите на сервере приведенные ниже службы.To verify the agent has been installed, look for the following services on the server. Если вы выполнили настройку, эти службы должны работать.If you completed the configuration, they should already be running. Они не запустятся, пока не будет выполнена настройка.Otherwise, they are stopped until the configuration is complete.

    • Служба Sync Insights Azure AD Connect HealthAzure AD Connect Health Sync Insights Service
    • Служба Sync Monitoring Azure AD Connect HealthAzure AD Connect Health Sync Monitoring Service

    Проверка Azure AD Connect Health для синхронизации

    Примечание

    Помните, что для использования службы Azure AD Connect Health требуется Azure AD Premium.Remember that using Azure AD Connect Health requires Azure AD Premium. Если Azure AD Premium отсутствует, вы не сможете завершить конфигурацию на портале Azure.If you do not have Azure AD Premium, you are unable to complete the configuration in the Azure portal. Дополнительные сведения о требованиях см. здесь.For more information, see the requirements page.

    Регистрация агента Azure AD Connect Health для синхронизации вручнуюManual Azure AD Connect Health for Sync registration

    Если после успешной установки Azure AD Connect произойдет сбой регистрации агента Azure AD Connect Health для синхронизации, можно использовать следующую команду PowerShell, чтобы зарегистрировать агент вручную.If the Azure AD Connect Health for Sync agent registration fails after successfully installing Azure AD Connect, you can use the following PowerShell command to manually register the agent.

    Важно!

    Использование этой команды PowerShell необходимо только в том случае, если после установки Azure AD Connect произошел сбой регистрации агента.Using this PowerShell command is only required if the agent registration fails after installing Azure AD Connect.

    Следующая команда PowerShell требуется, ТОЛЬКО если регистрация агента работоспособности завершается сбоем даже после успешной установки и настройки Azure AD Connect.The following PowerShell command is required ONLY when the health agent registration fails even after a successful installation and configuration of Azure AD Connect. Службы Azure AD Connect Health запустятся после того, как агент будет успешно зарегистрирован.The Azure AD Connect Health services will start after the agent has been successfully registered.

    Агент Azure AD Connect Health для синхронизации можно зарегистрировать вручную с помощью следующей команды PowerShell:You can manually register the Azure AD Connect Health agent for sync using the following PowerShell command:

    Register-AzureADConnectHealthSyncAgent -AttributeFiltering $false -StagingMode $false

    Команда принимает следующие параметры:The command takes following parameters:

    • AttributeFiltering. Значение $true (по умолчанию) используется, если служба Azure AD Connect не синхронизирует набор атрибутов по умолчанию и была настроена для использования отфильтрованного набора атрибутов.AttributeFiltering: $true (default) - if Azure AD Connect is not syncing the default attribute set and has been customized to use a filtered attribute set. В противном случае используется значение $false.$false otherwise.
    • StagingMode. Значение $false (по умолчанию) используется, если сервер Azure AD Connect НЕ находится в промежуточном режиме, $true — если сервер настроен на пребывание в промежуточном режиме.StagingMode: $false (default) - if the Azure AD Connect server is NOT in staging mode, $true if the server is configured to be in staging mode.

    При появлении запроса на аутентификацию следует использовать учетную запись глобального администратора (например, admin@domain.onmicrosoft.com) которая использовалась для настройки Azure AD Connect.When prompted for authentication you should use the same global admin account (such as admin@domain.onmicrosoft.com) that was used for configuring Azure AD Connect.

    Установка агента Azure AD Connect Health для AD DSInstalling the Azure AD Connect Health Agent for AD DS

    Дважды щелкните скачанный EXE-файл, чтобы начать установку агента.To start the agent installation, double-click the .exe file that you downloaded. На первом экране щелкните «Установить».On the first screen, click Install.

    Проверка Azure AD Connect Health

    После завершения установки нажмите кнопку «Настроить сейчас».Once the installation is finished, click Configure Now.

    Проверка Azure AD Connect Health

    Это приведет к запуску командной строки и оболочки PowerShell, которая выполнит команду Register-AzureADConnectHealthADDSAgent.A command prompt is launched, followed by some PowerShell that executes Register-AzureADConnectHealthADDSAgent. При появлении запроса на вход войдите в Azure.When prompted to sign in to Azure, go ahead and sign in.

    Проверка Azure AD Connect Health

    После входа PowerShell продолжит выполнять команду.After signing in, PowerShell will continue. После завершения можно закрыть PowerShell. Настройка завершена.Once it completes, you can close PowerShell and the configuration is complete.

    На этом этапе службы должны запускаться автоматически, а агент будет выполнять мониторинг и сбор данных.At this point, the services should be started automatically allowing the agent to monitor and gather data. Если вы не выполнили все необходимые предварительные требования, которые были описаны в предыдущих разделах, в окне PowerShell будут отображаться предупреждения.If you have not met all the pre-requisites outlined in the previous sections, warnings appear in the PowerShell window. Обязательно выполните эти требования, прежде чем устанавливать агент.Be sure to complete the requirements before installing the agent. В качестве примера этих ошибок приведен следующий снимок экрана.The following screenshot is an example of these errors.

    Проверка Azure AD Connect Health для AD DS

    Чтобы проверить, установлен ли агент, найдите приведенные ниже службы в контроллере домена.To verify the agent has been installed, look for the following services on the domain controller.

    • служба AD DS для Azure AD Connect Health;Azure AD Connect Health AD DS Insights Service
    • служба наблюдения AD DS Azure AD Connect Health.Azure AD Connect Health AD DS Monitoring Service

    Если вы выполнили настройку, эти службы должны работать.If you completed the configuration, these services should already be running. Они не запустятся, пока не будет выполнена настройка.Otherwise, they are stopped until the configuration is complete.

    Проверка Azure AD Connect Health

    Установка быстрого агента на нескольких серверахQuick agent installation in multiple servers

    1. Создание учетной записи пользователя в Azure AD с паролем.Create a user account in Azure AD with a password.
    2. Назначить владельца роль для этой локальной учетной записи AAD, в Azure AD Connect Health на портале.Assign the Owner role for this local AAD account in Azure AD Connect Health via the portal. Выполните действия, здесь.Follow the steps here. Назначьте роль для всех экземпляров службы.Assign the role to all service instances.
    3. Скачайте .exe MSI-файл в локальный контроллер домена для установки.Download the .exe MSI file in local domain controller for installation.
    4. Выполните следующий скрипт для регистрации.Run the following script to registration. Замените значения параметров создания новой учетной записи и пароль.Replace the parameters with the new user account created and its password.
    AdHealthAddsAgentSetup.exe /quiet
    Start-Sleep 30
    $userName = "NEWUSER@DOMAIN"
    $secpasswd = ConvertTo-SecureString "PASSWORD" -AsPlainText -Force
    $myCreds = New-Object System.Management.Automation.PSCredential ($userName, $secpasswd)
    import-module "C:\Program Files\Azure Ad Connect Health Adds Agent\PowerShell\AdHealthAdds"
     
    Register-AzureADConnectHealthADDSAgent -UserPrincipalName $USERNAME -Credential $myCreds
    
    
    1. Когда закончите, можно удалить доступ для локальной учетной записи, выполнив одно или несколько из следующих:Once you are done, you can remove access for the local account by doing one or more of the following:
      • Удалить назначение роли для локальной учетной записи для AAD Connect HealthRemove the role assignment for the local account for AAD Connect Health
      • Измените пароль локальной учетной записи.Rotate the password for the local account.
      • Отключить локальную учетную запись AADDisable the AAD local account
      • Удаление локальной учетной записи AADDelete the AAD local account

    Регистрация агента с помощью PowerShellAgent Registration using PowerShell

    После установки установочного файла для соответствующего агента в зависимости от роли вы можете зарегистрировать агент с помощью следующих команд PowerShell.After installing the appropriate agent setup.exe, you can perform the agent registration step using the following PowerShell commands depending on the role. Откройте окно PowerShell и выполните соответствующую команду.Open a PowerShell Window and execute the appropriate command:

        Register-AzureADConnectHealthADFSAgent
        Register-AzureADConnectHealthADDSAgent
        Register-AzureADConnectHealthSyncAgent
    
    

    Эти команды принимают учетные данные в качестве параметра, чтобы завершить регистрацию в неинтерактивном режиме или на основном серверном компьютере.These commands accept "Credential" as a parameter to complete the registration in a non-interactive manner or on a Server-Core machine.

    • Учетные данные можно указать в переменной PowerShell, которая передается в качестве параметра.The Credential can be captured in a PowerShell variable that is passed as a parameter.
    • Можно указать любое удостоверение Azure AD, которое имеет доступ на регистрацию агентов и в котором отключена Многофакторная идентификация.You can provide any Azure AD Identity that has access to register the agents and does NOT have MFA enabled.
    • По умолчанию глобальные администраторы имеют доступ на выполнение регистрации агента.By default Global Admins have access to perform agent registration. Можно также разрешить выполнять этот шаг другим, менее привилегированным пользователям.You can also allow other less privileged identities to perform this step. Дополнительные сведения см. в статье Контроль доступа на основе ролей в Azure.Read more about Role Based Access Control.
        $cred = Get-Credential
        Register-AzureADConnectHealthADFSAgent -Credential $cred
    
    

    Настройка агентов Azure AD Connect Health для использования HTTP-проксиConfigure Azure AD Connect Health Agents to use HTTP Proxy

    Вы можете настроить агенты Azure AD Connect Health на работу с HTTP-прокси.You can configure Azure AD Connect Health Agents to work with an HTTP Proxy.

    Примечание

    • Команда Netsh WinHttp set ProxyServerAddress не поддерживается, потому что для создания веб-запросов агент применяет System.Net, а не службы Microsoft Windows HTTP.Using “Netsh WinHttp set ProxyServerAddress” is not supported as the agent uses System.Net to make web requests instead of Microsoft Windows HTTP Services.
    • Настроенный адрес прокси-сервера HTTP будет использоваться для передачи зашифрованных сообщений HTTPS.The configured Http Proxy address is used to pass-through encrypted Https messages.
    • Прокси-серверы с проверкой подлинности (с помощью HTTPBasic) не поддерживаются.Authenticated proxies (using HTTPBasic) are not supported.

    Изменение конфигурации прокси-сервера агента работоспособностиChange Health Agent Proxy Configuration

    Доступны следующие варианты настройки агента Azure AD Connect Health для использования HTTP-прокси.You have the following options to configure Azure AD Connect Health Agent to use an HTTP Proxy.

    Примечание

    Необходимо перезапустить все службы агента Azure AD Connect Health, чтобы обновить параметры прокси-сервера.All Azure AD Connect Health Agent services must be restarted, in order for the proxy settings to be updated. Выполните следующую команду:Run the following command:
    Restart-Service AdHealth*Restart-Service AdHealth*

    Импорт имеющихся параметров прокси-сервераImport existing proxy Settings

    Импорт из Internet ExplorerImport from Internet Explorer

    Можно импортировать параметры прокси-сервера HTTP из Internet Explorer для использования агентами Azure AD Connect Health.Internet Explorer HTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Для этого на каждом сервере, где запущен агент работоспособности, выполните следующую команду PowerShell:On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromInternetSettings
    
    Импорт из WinHTTPImport from WinHTTP

    Можно импортировать параметры WinHTTP для использования агентами Azure AD Connect Health.WinHTTP proxy settings can be imported, to be used by the Azure AD Connect Health Agents. Для этого на каждом сервере, где запущен агент работоспособности, выполните следующую команду PowerShell:On each of the servers running the Health agent, execute the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -ImportFromWinHttp
    

    Задание адресов прокси-сервера вручнуюSpecify Proxy addresses manually

    Вы можете вручную задать адрес прокси-сервера, выполнив следующую команду PowerShell на каждом сервере, где запущен агент работоспособности.You can manually specify a proxy server on each of the servers running the Health Agent, by executing the following PowerShell command:

    Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress address:port
    

    Пример: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443Example: Set-AzureAdConnectHealthProxySettings -HttpsProxyAddress myproxyserver: 443

    • Значение "address" может быть именем сервера, разрешимым в DNS, или адресом IPv4."address" can be a DNS resolvable server name or an IPv4 address
    • Значение "port" можно опустить."port" can be omitted. Если это значение не указано, в качестве порта по умолчанию используется 443.If omitted then 443 is chosen as default port.

    Очистка существующей конфигурации прокси-сервераClear existing proxy configuration

    Чтобы очистить текущую конфигурацию прокси-сервера, выполните следующую команду:You can clear the existing proxy configuration by running the following command:

    Set-AzureAdConnectHealthProxySettings -NoProxy
    

    Считывание текущих параметров прокси-сервераRead current proxy settings

    Вы можете считать текущие параметры прокси-сервера с помощью следующей команды:You can read the currently configured proxy settings by running the following command:

    Get-AzureAdConnectHealthProxySettings
    

    Проверка подключения к службе Azure AD Connect HealthTest Connectivity to Azure AD Connect Health Service

    Существуют проблемы, при которых агент Azure AD Connect Health может потерять соединение со службой Azure AD Connect Health.It is possible that issues may arise that cause the Azure AD Connect Health agent to lose connectivity with the Azure AD Connect Health service. К ним относятся проблемы с сетью, с правами доступа и другие причины.These include network issues, permission issues, or various other reasons.

    Если агент не может отправить данные службе Azure AD Connect Health более двух часов, на портале появится подобное оповещение: "Данные службы работоспособности неактуальны".If the agent is unable to send data to the Azure AD Connect Health service for longer than two hours, it is indicated with the following alert in the portal: "Health Service data is not up to date." Чтобы проверить, может ли затронутый агент Azure AD Connect Health передавать данные в службу Azure AD Connect Health, выполните следующую команду PowerShell:You can confirm if the affected Azure AD Connect Health agent is able to upload data to the Azure AD Connect Health service by running the following PowerShell command:

    Test-AzureADConnectHealthConnectivity -Role ADFS
    

    Параметр role в настоящее время принимает следующие значения:The role parameter currently takes the following values:

    • ADFSADFS
    • SyncSync
    • ADDSADDS

    Примечание

    Чтобы использовать средство подключения, необходимо сначала завершить регистрацию агента.To use the connectivity tool, you must first complete the agent registration. Если зарегистрировать агент не получается, убедитесь, что соблюдены все требования для Azure AD Connect Health.If you are not able to complete the agent registration, make sure that you have met all the requirements for Azure AD Connect Health. Эта проверка подключения выполняется по умолчанию во время регистрации агента.This connectivity test is performed by default during agent registration.