В этой статье содержатся ответы на часто задаваемые вопросы о Microsoft Entra Подключение Health. Здесь представлены сведения об использовании службы, в частности о модели выставления счетов, возможностях, ограничениях и поддержке.
Общие вопросы
Я управляю несколькими каталогами Microsoft Entra. Разделы справки переключиться на тот, который имеет идентификатор Microsoft Entra ID P1 или P2?
Чтобы переключиться между разными клиентами Microsoft Entra, выберите имя пользователя, вошедшего в систему, в правом верхнем углу и выберите соответствующую учетную запись. Если учетная запись не указана здесь, нажмите кнопку "Выйти". Затем используйте учетные данные глобального Администратор istrator каталога с включенным идентификатором Microsoft Entra ID P1 или P2 (P1 или P2).
Какую версию ролей удостоверений поддерживает Microsoft Entra Подключение Health?
В следующей таблице перечислены роли и поддерживаемые версии операционной системы.
| Роль | Версия операционной системы |
|---|---|
| Службы федерации Active Directory (AD FS) |
|
| Microsoft Entra Connect | Версия 1.0.9125 или более поздняя |
| Доменные службы Active Directory (AD DS) |
|
Установки Windows Server Core не поддерживаются.
Обратите внимание, что функции, предоставляемые службой, могут отличаться в зависимости от роли и операционной системы. Не для всех версий операционной системы могут быть доступны все возможности. Ознакомьтесь с описанием функций, чтобы получить дополнительные сведения.
Сколько лицензий требуется для мониторинга инфраструктуры?
- Для первого агента работоспособности Подключение требуется по крайней мере одна лицензия Microsoft Entra P1 или P2.
- Для каждого дополнительного зарегистрированного агента требуется 25 лицензий Microsoft Entra P1 или P2.
- Число агентов эквивалентно общему количеству агентов, зарегистрированных во всех отслеживаемых ролях (AD FS, Microsoft Entra Подключение и (или) AD DS).
- Лицензирование Microsoft Entra Подключение Health не требует назначения лицензии определенным пользователям. Требуется только необходимое число действительных лицензий.
Сведения о лицензировании также находятся на странице ценообразования Microsoft Entra.
Пример:
| Зарегистрированные агенты | Необходимые лицензии | Пример конфигурации мониторинга |
|---|---|---|
| 1 | 1 | 1 Сервер Microsoft Entra Подключение |
| 2 | 26 | 1 Сервер Microsoft Entra Подключение и 1 контроллер домена |
| 3 | 51 | 1 сервер служб федерации Active Directory (AD FS), 1 прокси-сервер AD FS и 1 контроллер домена |
| 4 | 76 | 1 сервер AD FS, 1 прокси-сервер AD FS и 2 контроллера домена |
| 5 | 101 | 1 Сервер Microsoft Entra Подключение, 1 сервер AD FS, 1 прокси-сервер AD FS и 2 контроллера домена |
Вопросы, связанные с установкой
Будет ли автоматически обновляться установка агента при наличии новой версии агента?
Да, все агенты будут автоматически обновляться при наличии новой версии агента.
Можно ли отказаться от автоматического обновления агента или отключить его?
Нет, автоматическое обновление является обязательным. Если вы не хотите, чтобы агент обновлялся при выпуске новой версии, необходимо удалить агент.
Что влияет на установку агента работоспособности Microsoft Entra Подключение на отдельных серверах?
Влияние установки агента работоспособности Microsoft Entra Подключение, AD FS, прокси-серверов веб-приложений, серверов Microsoft Entra Подключение (синхронизация), контроллеров домена минимально в отношении ЦП, потребления памяти, пропускной способности сети и хранилища.
Следующие значения являются приблизительными:
- Загрузка ЦП: увеличение примерно на 1–5 %.
- Потребление памяти: до 10 % от общего объема системной памяти.
Примечание.
При невозможности обмена данными с Azure агент сохраняет данные локально до заданного максимального предела. Агент записывает данные поверх кэшированных по принципу давности обслуживания.
- Локальное хранилище буфера для агентов работоспособности Microsoft Entra Подключение: ~20 МБ.
- Для серверов AD FS рекомендуется подготовить дисковое пространство размером 1024 МБ (1 ГБ) для канала аудита AD FS для агентов работоспособности Microsoft Entra Подключение Health Agent для обработки всех данных аудита перед перезаписью.
Нужно ли перезагрузить мои серверы во время установки агентов работоспособности Microsoft Entra Подключение?
№ При установке агентов перезагрузка сервера не требуется. Однако при установке некоторых необходимых компонентов она может потребоваться.
Например, для установки .NET 4.6.2 Framework может потребоваться перезагрузка сервера.
Работает ли Microsoft Entra Подключение Работоспособности через сквозной прокси-сервер HTTP?
Да. Для текущих операций можно настроить агент работоспособности, чтобы пересылать исходящие HTTP-запросы, используя прокси-сервер HTTP. Узнайте больше о настройке прокси-сервера HTTP для агентов работоспособности.
Если необходимо настроить прокси-сервер во время регистрации агента, следует заранее изменить параметры прокси-сервера для Internet Explorer.
- Откройте Internet Explorer и последовательно выберите >Сервис>Свойства браузера>Подключения>Настройка параметров локальной сети.
- Установите флажок Использовать прокси-сервер для локальной сети.
- Выберите Дополнительно, если для HTTP и HTTPS используются различные порты прокси-сервера.
Поддерживает ли Microsoft Entra Подключение работоспособности обычную проверку подлинности при подключении к прокси-серверам HTTP?
№ Сейчас механизм указания произвольного имени пользователя и пароля для обычной проверки подлинности не поддерживается.
Какие порты брандмауэра необходимо открыть для работы агента работоспособности Microsoft Entra Подключение?
В разделе Требования перечислены порты брандмауэра и другие требования к подключению.
Почему на портале Microsoft Entra Подключение Работоспособности отображаются два сервера с одинаковым именем?
При удалении агента с сервера сервер не удаляется автоматически с портала Microsoft Entra Подключение Health. Если вы вручную удалите агент с сервера или удалите сам сервер, необходимо вручную удалить запись сервера с портала Microsoft Entra Подключение Health. Чтобы удалить отслеживаемые серверы из Microsoft Entra Подключение Health, необходимо иметь разрешения учетной записи Microsoft Entra Global Администратор istrator или роль участника в управлении доступом на основе ролей Azure.
Можно пересоздать образ сервера или создать новый сервер, указав те же сведения (например, имя компьютера). Если вы не удалили уже зарегистрированный сервер на портале работоспособности Microsoft Entra Подключение, а агент установлен на новом сервере, может появиться две записи с одинаковым именем.
В этом случае вручную удалите запись, которая относится к старому серверу. Данные для этого сервера устарели.
Можно ли установить агент работоспособности Microsoft Entra Подключение в Windows Server Core?
№ Установка на Server Core не поддерживается.
Регистрация агента работоспособности и актуальность данных
Каковы общие причины сбоев при регистрации агента работоспособности и как их устранить?
Ниже перечислены возможные причины, по которым регистрация агента работоспособности может завершиться сбоем:
- Агент не может подключиться к необходимым конечным точкам, так как трафик блокируется брандмауэром. Это особенно часто происходит на прокси-серверах веб-приложений. Убедитесь, что исходящие подключения к необходимым конечным точкам и портам разрешены. Дополнительные сведения см. в разделе Требования.
- Исходящие подключения проверяются протоколом TLS на сетевом уровне. В результате сертификат, используемый агентом, заменяется проверяющим сервером или сущностью, что приводит к ошибке регистрации агента.
- Пользователь не имеет доступа для регистрации агента. По умолчанию доступ имеют глобальные администраторы. Можно использовать управление доступом на основе ролей Azure (Azure RBAC) и делегировать доступ другим пользователям.
Я получаю оповещения о том, что данные службы работоспособности устарели. Как решить эту проблему?
Microsoft Entra Подключение Health создает оповещение, если он не получает все точки данных с сервера за последние два часа. Дополнительные сведения
Вопросы, связанные с работой
Нужно ли включать аудит прокси-серверов веб-приложений?
Нет, включать аудит на прокси-серверах веб-приложений не требуется.
Как устранены оповещения о работоспособности microsoft Entra Подключение?
Оповещения о работоспособности Microsoft Entra Подключение разрешаются при условии успешности. Microsoft Entra Подключение Агенты работоспособности периодически обнаруживают и сообщают об условиях успеха в службе. Для нескольких оповещений подавление осуществляется на основе времени. Иными словами, если одно и то же условие ошибки не наблюдается в течение 72 часов с момента создания оповещения, оповещение разрешается автоматически.
Я получаю предупреждение о том, что тестовому запросу проверки подлинности (искусственной транзакции) не удалось получить токен. Как решить эту проблему?
Microsoft Entra Подключение Health for AD FS создает это оповещение, когда агент работоспособности, установленный на сервере AD FS, не может получить маркер в рамках искусственной транзакции, инициированной агентом работоспособности. Агент работоспособности использует контекст локальной системы и пытается получить токен для самопроверяющей стороны. Это всеобъемлющая проверка, которая проверяет, находится ли AD FS в состоянии выдачи токенов.
Чаще всего происходит сбой этой проверки, так как агенту работоспособности не удается разрешить имя фермы AD FS. Это может происходить, если серверы AD FS находятся за балансировщиками нагрузки сети, и запрос инициируется из узла за балансировщиком нагрузки (в отличие от регулярного клиента, который находится перед балансировщиком нагрузки). Это можно исправить, обновив файл "hosts" в разделе "C:\Windows\System32\drivers\etc": включите в него IP-адрес сервера AD FS или петлевой IP-адрес (127.0.0.1) для имени фермы AD FS (например, sts.contoso.com). Добавление этого файла узла сократит сетевой вызов, что позволит агенту работоспособности получить токен.
Мне пришло письмо о том, что на моих компьютерах НЕ установлено исправление для защиты от новейших атак программ-вымогателей. Почему мне пришло это письмо?
Microsoft Entra Подключение Health service сканировал все компьютеры, которые он отслеживает, чтобы обеспечить установку необходимых исправлений. Если хотя бы на одном компьютере отсутствовали критические исправления, администраторам клиентов было отправлено электронное письмо. Для определения этого использовалась следующая логика.
- Найти все исправления, установленные на компьютере.
- Проверить, присутствует ли хотя бы одно исправление в списке.
- Если да, компьютер защищен. Если нет, компьютер находится под угрозой атаки.
Вы можете использовать следующий сценарий PowerShell, чтобы выполнить проверку вручную. Она реализует указанную выше логику.
Function CheckForMS17-010 ()
{
$hotfixes = "KB3205409", "KB3210720", "KB3210721", "KB3212646", "KB3213986", "KB4012212", "KB4012213", "KB4012214", "KB4012215", "KB4012216", "KB4012217", "KB4012218", "KB4012220", "KB4012598", "KB4012606", "KB4013198", "KB4013389", "KB4013429", "KB4015217", "KB4015438", "KB4015546", "KB4015547", "KB4015548", "KB4015549", "KB4015550", "KB4015551", "KB4015552", "KB4015553", "KB4015554", "KB4016635", "KB4019213", "KB4019214", "KB4019215", "KB4019216", "KB4019263", "KB4019264", "KB4019472", "KB4015221", "KB4019474", "KB4015219", "KB4019473"
#checks the computer it's run on if any of the listed hotfixes are present
$hotfix = Get-HotFix -ComputerName $env:computername | Where-Object {$hotfixes -contains $_.HotfixID} | Select-Object -property "HotFixID"
#confirms whether hotfix is found or not
if (Get-HotFix | Where-Object {$hotfixes -contains $_.HotfixID})
{
"Found HotFix: " + $hotfix.HotFixID
} else {
"Didn't Find HotFix"
}
}
CheckForMS17-010
Почему командлет PowerShell Get-MsolDirSyncProvisioningError показывает меньше ошибок синхронизации в результате?
Командлет Get-MsolDirSyncProvisioningError вернет только ошибки подготовки DirSync. Кроме этого, портал Connect Health также показывает другие типы ошибок синхронизации, такие как ошибки экспорта. Дополнительные сведения об ошибках синхронизации Microsoft Entra Подключение.
Почему не создаются журналы аудита ADFS?
Убедитесь, что журналы аудита не отключены, с помощью командлета PowerShell Get-AdfsProperties -AuditLevel. Подробнее о журналах аудита AD FS. Обратите внимание: если расширенные параметры аудита отправляются на сервер AD FS, все изменения, внесенные в файл auditpol.exe, перезаписываются (даже если созданное приложение не настроено). В этом случае настройте локальную политику безопасности для ведения журнала сбоев и успешных выполнений созданного приложения.
Когда сертификат агента будет автоматически продлен до окончания срока действия?
Сертификат агента будет автоматически продлен за 6 месяцев до даты окончания срока действия. Если он не продлевается, убедитесь, что сетевое подключение агента стабильно. Кроме того, можно перезапустить службы агента или выполнить обновление до последней версии.
Дополнительные ссылки
- Microsoft Entra Подключение Health
- Установка агента работоспособности Microsoft Entra Подключение
- Операции microsoft Entra Подключение Health
- Использование Microsoft Entra Подключение Health с AD FS
- Использование Microsoft Entra Подключение Health для синхронизации
- Использование Microsoft Entra Подключение Health с AD DS
- Журнал версий microsoft Entra Подключение Health