Řešení běžných chyb při ověřování vstupních parametrů

Tento článek popisuje chyby, ke kterým může dojít při ověřování vstupních parametrů, a způsob jejich řešení.

Pokud při vytváření místních parametrů narazíte na problémy, použijte tento skript a požádejte ho o pomoc.

Tento skript je navržený tak, aby vám pomohl řešit potíže související s vytvářením místních parametrů. Získejte přístup ke skriptu a využijte jeho funkce k řešení potíží, se kterými se můžete setkat při vytváření místních parametrů.

Skript spustíte takto:

1. Stáhněte si skript a spusťte ho s možností -Help , abyste získali parametry.
2. Přihlaste se pomocí přihlašovacích údajů domény k počítači připojenému k doméně. Počítač musí být v doméně, která se používá pro spravovanou instanci SCOM. Po přihlášení spusťte skript se zadanými parametry.
3. Pokud se ověření nezdaří, proveďte opravné akce podle návrhu skriptu a spusťte skript znovu, dokud neprojde všemi ověřeními.
4. Jakmile jsou všechna ověření úspěšná, použijte stejné parametry jako ve skriptu, například pro vytvoření.

Ověřovací kontroly a podrobnosti

Ověřování	Description
Kontroly ověřování vstupu Azure
Nastavení požadavků na testovacím počítači	1. Nainstalujte modul AD PowerShell. 2. Nainstalujte Zásady skupiny modul PowerShellu.
Připojení k internetu	Zkontroluje, jestli je na testovacích serverech dostupné odchozí připojení k internetu.
Připojení sql spravované instance	Zkontroluje, jestli je poskytnutá spravovaná instance SQL dosažitelná ze sítě, ve které jsou vytvořené testovací servery.
Připojení k serveru DNS	Zkontroluje, jestli je zadaná IP adresa serveru DNS dosažitelná a jestli se přeloží na platný server DNS.
Připojení k doméně	Zkontroluje, jestli je zadaný název domény dostupný a jestli je přeložený na platnou doménu.
Ověření připojení k doméně	Pomocí zadané cesty organizační jednotky a přihlašovacích údajů domény zkontroluje, jestli připojení k doméně proběhne úspěšně.
Přidružení plně kvalifikovaného názvu domény statické IP adresy a nástroje pro vyrovnávání zatížení	Zkontroluje, jestli se pro zadanou statickou IP adresu vytvořil záznam DNS proti zadanému názvu DNS.
Ověření skupin počítačů	Zkontroluje, jestli zadanou skupinu počítačů spravuje zadaný uživatel domény, a správce může aktualizovat členství ve skupině.
Ověření účtu gMSA	Zkontroluje, jestli je povolené zadané gMSA: – . – Má název hostitele DNS nastavený na zadaný název DNS nástroje pro vyrovnávání zatížení. – Název účtu SAM má délku nejméně 15 znaků. - Má nastavená správná hlavní názvy služby. Heslo můžou načíst členové zadané skupiny počítačů.
Ověření zásad skupiny	Zkontroluje, jestli je doména (nebo cesta organizační jednotky, která je hostitelem serverů pro správu) ovlivněná zásadami skupiny, které změní místní skupinu Administrators.
Vyčištění po ověření	Odpojte připojení k doméně.

Obecné pokyny pro spuštění ověřovacího skriptu

Během procesu onboardingu se ověřování provádí ve fázi nebo kartě ověření. Pokud jsou všechna ověření úspěšná, můžete přejít do poslední fáze vytváření spravované instance SCOM. Pokud se ale některé ověření nezdaří, nemůžete ve vytváření pokračovat.

V případech, kdy selže více ověření, je nejlepší vyřešit všechny problémy najednou ručním spuštěním ověřovacího skriptu na testovacím počítači.

Důležité

Nejprve vytvořte nový testovací virtuální počítač s Windows Serverem (2022/2019) ve stejné podsíti vybrané pro vytvoření spravované instance SCOM. Následně můžou správce SLUŽBY AD i správce sítě tento virtuální počítač využít jednotlivě k ověření účinnosti příslušných změn. Tento přístup výrazně šetří čas strávený na zpětné komunikaci mezi správcem AD a správcem sítě.

Ověřovací skript spustíte takto:

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM. Podívejte se například níže:

   

2. Stáhněte ověřovací skript do testovacího virtuálního počítače a extrahujte ho. Skládá se z pěti souborů:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Podle kroků uvedených v souboru Readme.txt spusťte RunValidationAsSCOMAdmin.ps1. Před spuštěním souboru nezapomeňte vyplnit hodnotu nastavení v RunValidationAsSCOMAdmin.ps1 příslušnými hodnotami.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. Obecně platí, žeRunValidationAsSCOMAdmin.ps1 spouští všechna ověření. Pokud chcete spustit určitou kontrolu, otevřete ScomValidation.ps1 a okomentujte všechny ostatní kontroly, které jsou na konci souboru. Do konkrétní kontroly můžete také přidat bod zarážky, abyste kontrolu odladili a lépe porozuměli problémům.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Ověřovací skript zobrazí všechny ověřovací kontroly a jejich příslušné chyby, které vám pomůžou problémy s ověřením vyřešit. Pro rychlé řešení spusťte skript v prostředí PowerShell ISE s bodem přerušení, který může proces ladění urychlit.

   Pokud všechny kontroly úspěšně proběhnou, vraťte se na stránku onboardingu a znovu spusťte proces onboardingu.

Připojení k internetu

Problém: Odchozí připojení k internetu na testovacích serverech neexistuje

Způsobit: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.

Řešení:

1. Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
2. Ujistěte se, že virtuální síť, která se používá k vytváření spravované instance SCOM, je v dohledu serveru DNS.

Problém: Nejde se připojit k účtu úložiště kvůli stažení bitů produktu SCOM Managed Instance

Způsobit: Dochází k problému s připojením k internetu.

Rozlišení: Vytvoření testovacího virtuálního počítače ve stejné podsíti jako spravovaná instance SCOM a testování odchozího připojení z testovacího virtuálního počítače ověřte, že virtuální síť používaná k vytvoření spravované instance SCOM má odchozí přístup k internetu.

Problém: Test připojení k internetu selhal. Požadované koncové body nejsou dostupné z virtuální sítě

Příčina: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.

Řešení:

• Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.

• Ujistěte se, že virtuální síť, která se používá k vytváření spravované instance SCOM, je v dohledu serveru DNS.

• Ujistěte se, že spravovaná instance SCOM má odchozí přístup k internetu a že je správně nakonfigurovaná skupina zabezpečení sítě nebo brána firewall tak, aby umožňovala přístup k požadovaným koncovým bodům, jak je popsáno v požadavcích na bránu firewall.

Obecný postup řešení potíží s připojením k internetu

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateStorageConnectivity . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

4. Pokud chcete zkontrolovat připojení k internetu, spusťte následující příkaz:

   Test-NetConnection www.microsoft.com -Port 80
   

   Tento příkaz ověří připojení k www.microsoft.com na portu 80. Pokud se to nezdaří, znamená to problém s odchozím internetovým připojením.

5. Pokud chcete ověřit nastavení DNS, spusťte následující příkaz:

   Get-DnsClientServerAddress
   

   Tento příkaz načte IP adresy serveru DNS nakonfigurované na počítači. Ujistěte se, že jsou nastavení DNS správná a přístupná.

6. Pokud chcete zkontrolovat konfiguraci sítě, spusťte následující příkaz:

   Get-NetIPConfiguration
   

   Tento příkaz zobrazí podrobnosti o konfiguraci sítě. Ověřte, že jsou nastavení sítě přesná a odpovídají vašemu síťovému prostředí.

Připojení sql spravované instance

Problém: Odchozí připojení k internetu na testovacích serverech neexistuje

Způsobit: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.

Řešení:

1. Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
2. Ujistěte se, že virtuální síť, která se používá k vytváření spravované instance SCOM, je v dohledu serveru DNS.

Problém: Nepodařilo se nakonfigurovat přihlášení k databázi pro MSI ve spravované instanci SQL

Příčina: K problému dochází v případě, že MSI není správně nakonfigurovaná pro přístup ke spravované instanci SQL.

Řešení: Zkontrolujte, jestli je MSI nakonfigurovaná jako Microsoft Entra Správa ve spravované instanci SQL. Ujistěte se, že spravovaná instance SQL poskytuje požadovaná oprávnění Microsoft Entra ID, aby ověřování MSI fungovalo.

Problém: Z této instance se nepodařilo připojit k SQL MI

Způsobit: Nastane v případě, že virtuální síť SQL MI není delegovaná nebo nemá správný partnerský vztah s virtuální sítí spravované instance SCOM.

Řešení:

1. Ověřte, že je spravovaná instance SQL správně nakonfigurovaná.
2. Ujistěte se, že virtuální síť, která se používá pro vytváření spravované instance SCOM, má na očích spravovanou instanci SQL, a to buď ve stejné virtuální síti, nebo prostřednictvím partnerského vztahu virtuálních sítí.

Obecný postup řešení potíží s připojením sql spravované instance

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateSQLConnectivity . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

4. Pokud chcete zkontrolovat odchozí připojení k internetu, spusťte následující příkaz:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Tento příkaz ověří odchozí připojení k internetu tím, že se pokusí navázat připojení k www.microsoft.com na portu 80. Pokud připojení selže, značí to potenciální problém s připojením k internetu.

5. Pokud chcete ověřit nastavení DNS a konfiguraci sítě, ujistěte se, že jsou IP adresy serveru DNS správně nakonfigurované, a ověřte nastavení konfigurace sítě na počítači, na kterém se provádí ověřování.

6. Pokud chcete otestovat připojení SQL MI, spusťte následující příkaz:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Nahraďte $sqlMiName názvem hostitele SQL MI.

   Tento příkaz otestuje připojení k instanci SQL MI. Pokud je připojení úspěšné, znamená to, že je spravovaná instance SQL dosažitelná.

Připojení k serveru DNS

Problém: Zadaná IP adresa DNS (<IP adresa> DNS) je nesprávná nebo server DNS není dostupný

Rozlišení: Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.

Obecné řešení potíží s připojením k serveru DNS

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateDnsIpAddress . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

4. Pokud chcete zkontrolovat překlad DNS pro zadanou IP adresu, spusťte následující příkaz:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Nahraďte $ipAddress IP adresou, kterou chcete ověřit.

   Tento příkaz zkontroluje zadanou IP adresu v překladu DNS. Pokud příkaz nevrátí žádné výsledky nebo vyvolá chybu, značí potenciální problém s překladem DNS.

5. Pokud chcete ověřit síťové připojení k IP adrese, spusťte následující příkaz:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Nahraďte $ipAddress IP adresou, kterou chcete testovat.

   Tento příkaz zkontroluje síťové připojení k zadané IP adrese na portu 80. Pokud připojení selže, značí to problém s připojením k síti.

Připojení k doméně

Problém: Řadič domény pro název> domény <není dostupný z této sítě nebo není otevřený port alespoň na jednom řadiči domény.

Způsobit: Dochází k problému se zadanou IP adresou serveru DNS nebo konfigurací sítě.

Řešení:

1. Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
2. Ujistěte se, že je překlad názvů domén správně směrovaný na určený řadič domény nakonfigurovaný pro Azure nebo spravovanou instanci SCOM. Ověřte, že je tento řadič domény uvedený v horní části mezi vyřešené řadiče domény. Pokud je překlad směrovaný na jiné servery dc, znamená to problém s překladem domény AD.
3. Zkontrolujte název domény a ujistěte se, že je řadič domény nakonfigurovaný pro Azure a spravovanou instanci SCOM spuštěný a spuštěný.

   Poznámka

   Porty 9389, 389/636, 88, 3268/3269, 135, 445 by měly být otevřené na řadiči domény nakonfigurovaném pro Azure nebo spravovanou instanci SCOM a všechny služby na řadiči domény by měly být spuštěné.

Obecný postup řešení potíží s připojením k doméně

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateDomainControllerConnectivity . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

4. Pokud chcete zkontrolovat dostupnost řadiče domény, spusťte následující příkaz:

   Resolve-DnsName -Name $domainName 
   

   Nahraďte $domainName názvem domény, kterou chcete testovat.

   Ujistěte se, že je překlad názvů domén správně směrovaný na určený řadič domény nakonfigurovaný pro Azure nebo spravovanou instanci SCOM. Ověřte, že je tento řadič domény uvedený v horní části mezi vyřešené řadiče domény. Pokud je překlad směrovaný na jiné servery dc, znamená to problém s překladem domény AD.

5. Ověření nastavení serveru DNS:

   • Ujistěte se, že jsou nastavení serveru DNS na počítači, na kterém probíhá ověřování, správně nakonfigurovaná.
   • Ověřte, jestli jsou IP adresy serveru DNS přesné a přístupné.

6. Ověření konfigurace sítě:

   • Ověřte nastavení konfigurace sítě na počítači, na kterém probíhá ověřování.
   • Ujistěte se, že je počítač připojený ke správné síti a má potřebná síťová nastavení pro komunikaci s řadičem domény.

7. Pokud chcete otestovat požadovaný port na řadiči domény, spusťte následující příkaz:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Nahraďte názvem domény, kterou chcete testovat, a $portToCheck nahraďte $domainName jednotlivými porty z následujícího čísla seznamu:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Spusťte zadaný příkaz pro všechny výše uvedené porty.

   Tento příkaz zkontroluje, jestli je zadaný port otevřený na určeném řadiči domény, který je nakonfigurovaný pro vytvoření spravované instance Azure nebo SCOM. Pokud příkaz zobrazí úspěšné připojení, znamená to, že jsou otevřené potřebné porty.

Ověření připojení k doméně

Problém: Serverům pro správu testů se nepodařilo připojit k doméně

Způsobit: K problému dochází z důvodu nesprávné cesty organizační jednotky, nesprávných přihlašovacích údajů nebo problému s připojením k síti.

Řešení:

1. Zkontrolujte přihlašovací údaje vytvořené ve službě Key Vault. Tajný klíč uživatelského jména a hesla musí odrážet správné uživatelské jméno a formát hodnoty uživatelského jména musí být doména\uživatelské_jméno a heslo, které mají oprávnění k připojení počítače k doméně. Ve výchozím nastavení můžou uživatelské účty do domény přidat maximálně 10 počítačů. Informace o konfiguraci najdete v tématu Výchozí omezení počtu, pokud se uživatel může připojit k doméně pracovních stanic.
2. Ověřte, že je cesta organizační jednotky správná a neblokuje připojení nových počítačů k doméně.

Obecný postup řešení potíží s ověřováním připojení k doméně

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateDomainJoin . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

4. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit doménu k počítači pomocí přihlašovacích údajů, spusťte následující příkaz:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Nahraďte uživatelské jméno, heslo, $domainName $ouPath správnými hodnotami.

   Po spuštění výše uvedeného příkazu spusťte následující příkaz a zkontrolujte, jestli se počítač úspěšně připojil k doméně:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Přidružení plně kvalifikovaného názvu domény statické IP adresy a nástroje pro vyrovnávání zatížení

Problém: Testy nešlo spustit, protože se serverům nepodařilo připojit se k doméně.

Rozlišení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží v části Ověření připojení k doméně.

Problém: Nepovedlo se přeložit název <> DNS

Rozlišení: Zadaný název DNS v záznamech DNS neexistuje. Zkontrolujte název DNS a ujistěte se, že je správně přidružený k zadané statické IP adrese.

Problém: Zadaná statická IP <adresa> a název DNS> Load Balancer DNS <se neshoduje.

Rozlišení: Zkontrolujte záznamy DNS a zadejte správnou kombinaci názvu DNS a statické IP adresy. Další informace najdete v tématu Vytvoření statické IP adresy a konfigurace názvu DNS.

Obecný postup řešení potíží s přidružením statické IP adresy a plně kvalifikovaného názvu domény nástroje pro vyrovnávání zatížení

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateStaticIPAddressAndDnsname . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

4. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

5. Získejte IP adresu a přidružený název DNS a spusťte následující příkazy, abyste zjistili, jestli se shodují. Přeložte název DNS a načtěte skutečnou IP adresu:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Pokud název DNS nejde přeložit, ujistěte se, že je název DNS platný a přidružený ke skutečné IP adrese.

Ověření skupin počítačů

Problém: Test nejde spustit, protože se serverům nepodařilo připojit se k doméně

Rozlišení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží uvedených v části Ověření připojení k doméně.

Problém: Skupina počítačů s názvem <název> skupiny počítačů nebyla ve vaší doméně nalezena.

Rozlišení: Ověřte existenci skupiny a zkontrolujte zadaný název nebo vytvořte novou, pokud ještě není vytvořená.

Problém: Název> skupiny počítačů vstupní skupiny <počítačů není spravovaný uživatelským jménem domény.<>

Rozlišení: Přejděte do vlastností skupiny a nastavte tohoto uživatele jako správce. Další informace najdete v tématu Vytvoření a konfigurace skupiny počítačů.

Problém: Uživatelské jméno> domény správce <názvu> skupiny počítačů vstupní skupiny <počítačů nemá potřebná oprávnění ke správě členství ve skupině.

Rozlišení: Přejděte do vlastností skupiny a zaškrtněte políčko Spravovat může aktualizovat seznam členství . Další informace najdete v tématu Vytvoření a konfigurace skupiny počítačů.

Obecný postup řešení potíží s ověřováním skupin počítačů

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidateComputerGroup . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

4. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

5. Spuštěním následujícího příkazu importujte moduly:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Pokud chcete ověřit, jestli je virtuální počítač připojený k doméně, spusťte následující příkaz:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Pokud chcete ověřit existenci domény a jestli je aktuální počítač už připojený k doméně, spusťte následující příkaz:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Nahraďte $usernamehodnotou odpovídajícími password hodnotami.

8. Pokud chcete ověřit existenci uživatele v doméně, spusťte následující příkaz:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Nahraďte $usernamehodnotou odpovídajícími hodnotami. $domainUserCredentials

9. Pokud chcete ověřit existenci skupiny počítačů v doméně, spusťte následující příkaz:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Nahraďte $computerGroupNamehodnotou odpovídajícími $domainUserCredentials hodnotami.

10. Pokud uživatel a skupina počítačů existují, určete, zda je uživatel správcem skupiny počítačů.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Pokud managerCanUpdateMembership má hodnotu True, má uživatel domény oprávnění k aktualizaci členství ve skupině počítačů. Pokud managerCanUpdateMembership je hodnota False, udělte uživateli domény oprávnění ke správě skupiny počítačů.

Ověření účtu gMSA

Problém: Test se nespustí, protože se serverům nepodařilo připojit se k doméně

Rozlišení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží uvedených v části Ověření připojení k doméně.

Problém: Skupina počítačů s názvem <název> skupiny počítačů se ve vaší doméně nenašla. Členové této skupiny musí být schopni načíst heslo gMSA.

Rozlišení: Ověřte existenci skupiny a zkontrolujte zadaný název.

Problém: GMSA s názvovou <doménou gMSA> se ve vaší doméně nenašlo

Rozlišení: Ověřte existenci účtu gMSA a zkontrolujte zadaný název nebo vytvořte nový, pokud ještě není vytvořený.

Problém: Doména gMSA <není povolená> .

Rozlišení: Povolte ho pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problém: Doména gMSA <> musí mít název hostitele DNS nastavený na <Název DNS.>

Rozlišení: GMSA nemá vlastnost správně nastavenou DNSHostName . Vlastnost nastavte DNSHostName pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problém: Název účtu SAM pro doménu gMSA <gMSA> překračuje limit 15 znaků.

Rozlišení: K nastavení použijte SamAccountName následující příkaz:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problém: Název> skupiny počítačů skupiny <počítačů musí být nastavený jako PrincipalsAllowedToRetrieveManagedPassword pro doménu gMSA <gMSA.>

Rozlišení: Účet gMSA není PrincipalsAllowedToRetrieveManagedPassword správně nastavený. K nastavení použijte PrincipalsAllowedToRetrieveManagedPassword následující příkaz:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problém: Hlavní názvy služeb (SPN) nejsou správně nastavené pro doménu gMSA <gMSA.>

Rozlišení: GMSA nemá nastavené správné hlavní názvy služby. Hlavní názvy služby nastavte pomocí následujícího příkazu:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Obecný postup řešení potíží s ověřováním účtů gMSA

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem Invoke-ValidategMSAAccount . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

4. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.

5. Spuštěním následujícího příkazu importujte moduly:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Pokud chcete ověřit, že se servery úspěšně připojily k doméně, spusťte následující příkaz:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Pokud chcete zkontrolovat existenci skupiny počítačů, spusťte následující příkaz:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Nahraďte uživatelské jméno, heslo a název_skupiny_počítače příslušnými hodnotami.

8. Pokud chcete zkontrolovat existenci účtu gMSA, spusťte následující příkaz:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Pokud chcete ověřit vlastnosti účtu gMSA, zkontrolujte, jestli je účet gMSA povolený:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Pokud příkaz vrátí hodnotu False, povolte účet v doméně.

10. Pokud chcete ověřit, že název hostitele DNS účtu gMSA odpovídá zadanému názvu DNS (název DNS nástroje pro vyrovnávání zatížení), spusťte následující příkazy:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Pokud příkaz nevrátí očekávaný název DNS, aktualizujte název hostitele DNS gMsaAccount na název DNS nástroje pro vyrovnávání zatížení.

11. Ujistěte se, že název účtu Sam pro účet gMSA nepřekračuje limit 15 znaků:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Pokud chcete ověřit PrincipalsAllowedToRetrieveManagedPassword vlastnost, spusťte následující příkazy:

    Zkontrolujte, jestli je zadaná skupina počítačů nastavená jako "PrincipalsAllowedToRetrieveManagedPassword" pro účet gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Nahraďte gMSAAccount a ComputerGroupName příslušnými hodnotami.

13. Pokud chcete ověřit hlavní názvy služeb (SPN) pro účet gMSA, spusťte následující příkaz:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Zkontrolujte, jestli výsledky obsahují správné hlavní názvy služeb (SPN). Nahraďte $dnsName názvem DNS pro vyrovnávání zatížení zadaným při vytváření spravované instance SCOM. Nahraďte $dnsHostName krátkým názvem DNS pro vyrovnávání zatížení. Například MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com a MSOMSdkSvc/ContosoLB jsou hlavní názvy služeb.

Ověření zásad skupiny

Důležité

Pokud chcete opravit zásady objektů zásad zásad skupiny, spolupracujte se správcem služby Active Directory a vylučte System Center Operations Manager z následujících zásad:

• Objekty zásad skupiny, které upravují nebo přepisují konfigurace skupin místních správců.
• Objekty zásad skupiny, které deaktivují síťové ověřování.
• Vyhodnoťte objekty zásad skupiny, které brání vzdálenému přihlášení pro místní správce.

Problém: Tento test nejde spustit, protože serverům se nepodařilo připojit k doméně.

Rozlišení: Ujistěte se, že se počítače připojují k doméně. Postupujte podle kroků pro řešení potíží v části Ověření připojení k doméně.

Problém: GMSA s názvem <doména gMSA> se ve vaší doméně nenašla. Tento účet musí být místním správcem na serveru.

Rozlišení: Ověřte existenci účtu a ujistěte se, že gMSA a uživatel domény jsou součástí místní skupiny správců.

Problém: Uživatelské <jméno> domény účtů a <doména gMSA> se nepodařilo přidat do místní skupiny Administrators na testovacích serverech pro správu nebo se ve skupině po aktualizaci zásad skupiny neuchovávaly.

Rozlišení: Ujistěte se, že zadané uživatelské jméno domény a gMSA vstupy jsou správné, včetně celého názvu (doména\účet). Zkontrolujte také, jestli na vašem testovacím počítači nejsou nějaké zásady skupiny, které přepisují místní skupinu Administrators kvůli zásadám vytvořeným na úrovni organizační jednotky nebo domény. Aby služba SCOM Managed Instance fungovala, musí být gMSA a uživatel domény součástí skupiny místních správců. Počítače spravované instance SCOM musí být vyloučené ze zásad, které přepisují skupinu místních správců (pracujte se správcem SLUŽBY AD).

Problém: Spravovaná instance SCOM selhala

Způsobit: Zásada skupiny ve vaší doméně (název: <název> zásad skupiny) přepisuje místní skupinu Administrators na testovacích serverech pro správu, a to buď na organizační jednotku obsahující servery, nebo v kořenovém adresáři domény.

Rozlišení: Ujistěte se, že organizační jednotka pro servery pro správu spravované instance SCOM (<cesta> organizační jednotky) není ovlivněná tím, že žádné zásady nepřepíší skupinu.

Obecné kroky pro řešení potíží s ověřováním zásad skupiny

1. Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.

2. Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud jste obeznámeni s PowerShellem, provést konkrétní kontrolu volanou Invoke-ValidateLocalAdminOverideByGPO ve skriptuScomValidation.ps1 . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.

3. Připojte virtuální počítač k doméně pomocí doménového účtu, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.

4. Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na hodnotu Unrestricted.

5. Spuštěním následujících příkazů importujte moduly:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Pokud chcete ověřit, jestli se servery úspěšně připojily k doméně, spusťte následující příkaz:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Příkaz musí vrátit hodnotu True.

7. Pokud chcete zkontrolovat existenci účtu gMSA, spusťte následující příkaz:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Pokud chcete ověřit přítomnost uživatelských účtů v místní skupině Administrators, spusťte následující příkaz:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   <UserName> Nahraďte a <GmsaAccount> skutečnými hodnotami.

9. Pokud chcete zjistit podrobnosti o doméně a organizační jednotce, spusťte následující příkaz:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   <Nahraďte OuPathDN> skutečnou cestou organizační jednotky.

10. Pokud chcete získat sestavu objektu zásad skupiny (Zásady skupiny Object) z domény a zkontrolovat přepsání zásad v místní skupině Administrators, spusťte následující příkaz:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Pokud spuštění skriptu zobrazí upozornění jako Ověření selhalo, pak existuje zásada (název jako ve zprávě upozornění), která přepíše skupinu místních správců. Obraťte se na správce služby Active Directory a vylučte ze zásad server pro správu nástroje System Center Operations Manager.