Řešení běžných chyb při ověřování vstupních parametrů
Tento článek popisuje chyby, ke kterým může dojít při ověřování vstupních parametrů, a způsob jejich řešení.
Pokud při vytváření místních parametrů narazíte na problémy, použijte tento skript a požádejte ho o pomoc.
Tento skript je navržený tak, aby vám pomohl řešit potíže související s vytvářením místních parametrů. Získejte přístup ke skriptu a využijte jeho funkce k řešení potíží, se kterými se můžete setkat při vytváření místních parametrů.
Skript spustíte takto:
- Stáhněte si skript a spusťte ho s možností -Help , abyste získali parametry.
- Přihlaste se pomocí přihlašovacích údajů domény k počítači připojenému k doméně. Počítač musí být v doméně, která se používá pro spravovanou instanci SCOM. Po přihlášení spusťte skript se zadanými parametry.
- Pokud se ověření nezdaří, proveďte opravné akce podle návrhu skriptu a spusťte skript znovu, dokud neprojde všemi ověřeními.
- Jakmile jsou všechna ověření úspěšná, použijte stejné parametry jako ve skriptu, například pro vytvoření.
Ověřovací kontroly a podrobnosti
Ověřování | Description |
---|---|
Kontroly ověřování vstupu Azure | |
Nastavení požadavků na testovacím počítači | 1. Nainstalujte modul AD PowerShell. 2. Nainstalujte Zásady skupiny modul PowerShellu. |
Připojení k internetu | Zkontroluje, jestli je na testovacích serverech dostupné odchozí připojení k internetu. |
Připojení sql spravované instance | Zkontroluje, jestli je poskytnutá spravovaná instance SQL dosažitelná ze sítě, ve které jsou vytvořené testovací servery. |
Připojení k serveru DNS | Zkontroluje, jestli je zadaná IP adresa serveru DNS dosažitelná a jestli se přeloží na platný server DNS. |
Připojení k doméně | Zkontroluje, jestli je zadaný název domény dostupný a jestli je přeložený na platnou doménu. |
Ověření připojení k doméně | Pomocí zadané cesty organizační jednotky a přihlašovacích údajů domény zkontroluje, jestli připojení k doméně proběhne úspěšně. |
Přidružení plně kvalifikovaného názvu domény statické IP adresy a nástroje pro vyrovnávání zatížení | Zkontroluje, jestli se pro zadanou statickou IP adresu vytvořil záznam DNS proti zadanému názvu DNS. |
Ověření skupin počítačů | Zkontroluje, jestli zadanou skupinu počítačů spravuje zadaný uživatel domény, a správce může aktualizovat členství ve skupině. |
Ověření účtu gMSA | Zkontroluje, jestli je povolené zadané gMSA: – . – Má název hostitele DNS nastavený na zadaný název DNS nástroje pro vyrovnávání zatížení. – Název účtu SAM má délku nejméně 15 znaků. - Má nastavená správná hlavní názvy služby. Heslo můžou načíst členové zadané skupiny počítačů. |
Ověření zásad skupiny | Zkontroluje, jestli je doména (nebo cesta organizační jednotky, která je hostitelem serverů pro správu) ovlivněná zásadami skupiny, které změní místní skupinu Administrators. |
Vyčištění po ověření | Odpojte připojení k doméně. |
Obecné pokyny pro spuštění ověřovacího skriptu
Během procesu onboardingu se ověřování provádí ve fázi nebo kartě ověření. Pokud jsou všechna ověření úspěšná, můžete přejít do poslední fáze vytváření spravované instance SCOM. Pokud se ale některé ověření nezdaří, nemůžete ve vytváření pokračovat.
V případech, kdy selže více ověření, je nejlepší vyřešit všechny problémy najednou ručním spuštěním ověřovacího skriptu na testovacím počítači.
Důležité
Nejprve vytvořte nový testovací virtuální počítač s Windows Serverem (2022/2019) ve stejné podsíti vybrané pro vytvoření spravované instance SCOM. Následně můžou správce SLUŽBY AD i správce sítě tento virtuální počítač využít jednotlivě k ověření účinnosti příslušných změn. Tento přístup výrazně šetří čas strávený na zpětné komunikaci mezi správcem AD a správcem sítě.
Ověřovací skript spustíte takto:
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM. Podívejte se například níže:
Stáhněte ověřovací skript do testovacího virtuálního počítače a extrahujte ho. Skládá se z pěti souborů:
- ScomValidation.ps1
- RunValidationAsSCOMAdmin.ps1
- RunValidationAsActiveDirectoryAdmin.ps1
- RunValidationAsNetworkAdmin.ps1
- Readme.txt
Podle kroků uvedených v souboru Readme.txt spusťte RunValidationAsSCOMAdmin.ps1. Před spuštěním souboru nezapomeňte vyplnit hodnotu nastavení v RunValidationAsSCOMAdmin.ps1 příslušnými hodnotami.
# $settings = @{ # Configuration = @{ # DomainName="test.com" # OuPath= "DC=test,DC=com" # DNSServerIP = "190.36.1.55" # UserName="test\testuser" # Password = "password" # SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" # ManagementServerGroupName= "ComputerMSG" # GmsaAccount= "test\testgMSA$" # DnsName= "lbdsnname.test.com" # LoadBalancerIP = "10.88.78.200" # } # } # Note : Before running this script, please make sure you have provided all the parameters in the settings $settings = @{ Configuration = @{ DomainName="<domain name>" OuPath= "<OU path>" DNSServerIP = "<DNS server IP>" UserName="<domain user name>" Password = "<domain user password>" SqlDatabaseInstance= "<SQL MI Host name>" ManagementServerGroupName= "<Computer Management server group name>" GmsaAccount= "<GMSA account>" DnsName= "<DNS name associated with the load balancer IP address>" LoadBalancerIP = "<Load balancer IP address>" } }
Obecně platí, žeRunValidationAsSCOMAdmin.ps1 spouští všechna ověření. Pokud chcete spustit určitou kontrolu, otevřete ScomValidation.ps1 a okomentujte všechny ostatní kontroly, které jsou na konci souboru. Do konkrétní kontroly můžete také přidat bod zarážky, abyste kontrolu odladili a lépe porozuměli problémům.
# Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations
# adding all the checks to result set
try {
# Connectivity checks
$validationResults += Invoke-ValidateStorageConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateSQLConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateDnsIpAddress $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateDomainControllerConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
# Parameter validations
$validationResults += Invoke-ValidateDomainJoin $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateComputerGroup $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidategMSAAccount $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings
$results = ConvertTo-Json $validationResults -Compress
}
catch {
Write-Verbose -Verbose $_
}
Ověřovací skript zobrazí všechny ověřovací kontroly a jejich příslušné chyby, které vám pomůžou problémy s ověřením vyřešit. Pro rychlé řešení spusťte skript v prostředí PowerShell ISE s bodem přerušení, který může proces ladění urychlit.
Pokud všechny kontroly úspěšně proběhnou, vraťte se na stránku onboardingu a znovu spusťte proces onboardingu.
Připojení k internetu
Problém: Odchozí připojení k internetu na testovacích serverech neexistuje
Způsobit: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.
Řešení:
- Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
- Ujistěte se, že virtuální síť, která se používá k vytváření spravované instance SCOM, je v dohledu serveru DNS.
Problém: Nejde se připojit k účtu úložiště kvůli stažení bitů produktu SCOM Managed Instance
Způsobit: Dochází k problému s připojením k internetu.
Rozlišení: Vytvoření testovacího virtuálního počítače ve stejné podsíti jako spravovaná instance SCOM a testování odchozího připojení z testovacího virtuálního počítače ověřte, že virtuální síť používaná k vytvoření spravované instance SCOM má odchozí přístup k internetu.
Problém: Test připojení k internetu selhal. Požadované koncové body nejsou dostupné z virtuální sítě
Příčina: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.
Řešení:
Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
Ujistěte se, že virtuální síť, která se používá k vytváření spravované instance SCOM, je v dohledu serveru DNS.
Ujistěte se, že spravovaná instance SCOM má odchozí přístup k internetu a že je správně nakonfigurovaná skupina zabezpečení sítě nebo brána firewall tak, aby umožňovala přístup k požadovaným koncovým bodům, jak je popsáno v požadavcích na bránu firewall.
Obecný postup řešení potíží s připojením k internetu
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateStorageConnectivity
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Pokud chcete zkontrolovat připojení k internetu, spusťte následující příkaz:
Test-NetConnection www.microsoft.com -Port 80
Tento příkaz ověří připojení k www.microsoft.com na portu 80. Pokud se to nezdaří, znamená to problém s odchozím internetovým připojením.
Pokud chcete ověřit nastavení DNS, spusťte následující příkaz:
Get-DnsClientServerAddress
Tento příkaz načte IP adresy serveru DNS nakonfigurované na počítači. Ujistěte se, že jsou nastavení DNS správná a přístupná.
Pokud chcete zkontrolovat konfiguraci sítě, spusťte následující příkaz:
Get-NetIPConfiguration
Tento příkaz zobrazí podrobnosti o konfiguraci sítě. Ověřte, že jsou nastavení sítě přesná a odpovídají vašemu síťovému prostředí.
Připojení sql spravované instance
Problém: Odchozí připojení k internetu na testovacích serverech neexistuje
Způsobit: Příčinou je nesprávná IP adresa serveru DNS nebo nesprávná konfigurace sítě.
Řešení:
- Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
- Ujistěte se, že virtuální síť, která se používá k vytváření spravované instance SCOM, je v dohledu serveru DNS.
Problém: Nepodařilo se nakonfigurovat přihlášení k databázi pro MSI ve spravované instanci SQL
Příčina: K problému dochází v případě, že MSI není správně nakonfigurovaná pro přístup ke spravované instanci SQL.
Řešení: Zkontrolujte, jestli je MSI nakonfigurovaná jako Microsoft Entra Správa ve spravované instanci SQL. Ujistěte se, že spravovaná instance SQL poskytuje požadovaná oprávnění Microsoft Entra ID, aby ověřování MSI fungovalo.
Problém: Z této instance se nepodařilo připojit k SQL MI
Způsobit: Nastane v případě, že virtuální síť SQL MI není delegovaná nebo nemá správný partnerský vztah s virtuální sítí spravované instance SCOM.
Řešení:
- Ověřte, že je spravovaná instance SQL správně nakonfigurovaná.
- Ujistěte se, že virtuální síť, která se používá pro vytváření spravované instance SCOM, má na očích spravovanou instanci SQL, a to buď ve stejné virtuální síti, nebo prostřednictvím partnerského vztahu virtuálních sítí.
Obecný postup řešení potíží s připojením sql spravované instance
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateSQLConnectivity
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Pokud chcete zkontrolovat odchozí připojení k internetu, spusťte následující příkaz:
Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
Tento příkaz ověří odchozí připojení k internetu tím, že se pokusí navázat připojení k www.microsoft.com na portu 80. Pokud připojení selže, značí to potenciální problém s připojením k internetu.
Pokud chcete ověřit nastavení DNS a konfiguraci sítě, ujistěte se, že jsou IP adresy serveru DNS správně nakonfigurované, a ověřte nastavení konfigurace sítě na počítači, na kterém se provádí ověřování.
Pokud chcete otestovat připojení SQL MI, spusťte následující příkaz:
Test-NetConnection -ComputerName $sqlMiName -Port 1433
Nahraďte
$sqlMiName
názvem hostitele SQL MI.Tento příkaz otestuje připojení k instanci SQL MI. Pokud je připojení úspěšné, znamená to, že je spravovaná instance SQL dosažitelná.
Připojení k serveru DNS
Problém: Zadaná IP adresa DNS (<IP adresa> DNS) je nesprávná nebo server DNS není dostupný
Rozlišení: Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
Obecné řešení potíží s připojením k serveru DNS
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateDnsIpAddress
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Pokud chcete zkontrolovat překlad DNS pro zadanou IP adresu, spusťte následující příkaz:
Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
Nahraďte
$ipAddress
IP adresou, kterou chcete ověřit.Tento příkaz zkontroluje zadanou IP adresu v překladu DNS. Pokud příkaz nevrátí žádné výsledky nebo vyvolá chybu, značí potenciální problém s překladem DNS.
Pokud chcete ověřit síťové připojení k IP adrese, spusťte následující příkaz:
Test-NetConnection -ComputerName $ipAddress -Port 80
Nahraďte
$ipAddress
IP adresou, kterou chcete testovat.Tento příkaz zkontroluje síťové připojení k zadané IP adrese na portu 80. Pokud připojení selže, značí to problém s připojením k síti.
Připojení k doméně
Problém: Řadič domény pro název> domény <není dostupný z této sítě nebo není otevřený port alespoň na jednom řadiči domény.
Způsobit: Dochází k problému se zadanou IP adresou serveru DNS nebo konfigurací sítě.
Řešení:
- Zkontrolujte IP adresu serveru DNS a ujistěte se, že je server DNS spuštěný a spuštěný.
- Ujistěte se, že je překlad názvů domén správně směrovaný na určený řadič domény nakonfigurovaný pro Azure nebo spravovanou instanci SCOM. Ověřte, že je tento řadič domény uvedený v horní části mezi vyřešené řadiče domény. Pokud je překlad směrovaný na jiné servery dc, znamená to problém s překladem domény AD.
- Zkontrolujte název domény a ujistěte se, že je řadič domény nakonfigurovaný pro Azure a spravovanou instanci SCOM spuštěný a spuštěný.
Poznámka
Porty 9389, 389/636, 88, 3268/3269, 135, 445 by měly být otevřené na řadiči domény nakonfigurovaném pro Azure nebo spravovanou instanci SCOM a všechny služby na řadiči domény by měly být spuštěné.
Obecný postup řešení potíží s připojením k doméně
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateDomainControllerConnectivity
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Pokud chcete zkontrolovat dostupnost řadiče domény, spusťte následující příkaz:
Resolve-DnsName -Name $domainName
Nahraďte
$domainName
názvem domény, kterou chcete testovat.Ujistěte se, že je překlad názvů domén správně směrovaný na určený řadič domény nakonfigurovaný pro Azure nebo spravovanou instanci SCOM. Ověřte, že je tento řadič domény uvedený v horní části mezi vyřešené řadiče domény. Pokud je překlad směrovaný na jiné servery dc, znamená to problém s překladem domény AD.
Ověření nastavení serveru DNS:
- Ujistěte se, že jsou nastavení serveru DNS na počítači, na kterém probíhá ověřování, správně nakonfigurovaná.
- Ověřte, jestli jsou IP adresy serveru DNS přesné a přístupné.
Ověření konfigurace sítě:
- Ověřte nastavení konfigurace sítě na počítači, na kterém probíhá ověřování.
- Ujistěte se, že je počítač připojený ke správné síti a má potřebná síťová nastavení pro komunikaci s řadičem domény.
Pokud chcete otestovat požadovaný port na řadiči domény, spusťte následující příkaz:
Test-NetConnection -ComputerName $domainName -Port $portToCheck
Nahraďte názvem domény, kterou chcete testovat, a
$portToCheck
nahraďte$domainName
jednotlivými porty z následujícího čísla seznamu:- 389/636
- 88
- 3268/3269
- 135
- 445
Spusťte zadaný příkaz pro všechny výše uvedené porty.
Tento příkaz zkontroluje, jestli je zadaný port otevřený na určeném řadiči domény, který je nakonfigurovaný pro vytvoření spravované instance Azure nebo SCOM. Pokud příkaz zobrazí úspěšné připojení, znamená to, že jsou otevřené potřebné porty.
Ověření připojení k doméně
Problém: Serverům pro správu testů se nepodařilo připojit k doméně
Způsobit: K problému dochází z důvodu nesprávné cesty organizační jednotky, nesprávných přihlašovacích údajů nebo problému s připojením k síti.
Řešení:
- Zkontrolujte přihlašovací údaje vytvořené ve službě Key Vault. Tajný klíč uživatelského jména a hesla musí odrážet správné uživatelské jméno a formát hodnoty uživatelského jména musí být doména\uživatelské_jméno a heslo, které mají oprávnění k připojení počítače k doméně. Ve výchozím nastavení můžou uživatelské účty do domény přidat maximálně 10 počítačů. Informace o konfiguraci najdete v tématu Výchozí omezení počtu, pokud se uživatel může připojit k doméně pracovních stanic.
- Ověřte, že je cesta organizační jednotky správná a neblokuje připojení nových počítačů k doméně.
Obecný postup řešení potíží s ověřováním připojení k doméně
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateDomainJoin
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete připojit doménu k počítači pomocí přihlašovacích údajů, spusťte následující příkaz:
$domainName = "<domainname>" $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $ouPath = "<OU path>" if (![String]::IsNullOrWhiteSpace($ouPath)) { $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue } else { $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue }
Nahraďte uživatelské jméno, heslo, $domainName $ouPath správnými hodnotami.
Po spuštění výše uvedeného příkazu spusťte následující příkaz a zkontrolujte, jestli se počítač úspěšně připojil k doméně:
Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
Přidružení plně kvalifikovaného názvu domény statické IP adresy a nástroje pro vyrovnávání zatížení
Problém: Testy nešlo spustit, protože se serverům nepodařilo připojit se k doméně.
Rozlišení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží v části Ověření připojení k doméně.
Problém: Nepovedlo se přeložit název <> DNS
Rozlišení: Zadaný název DNS v záznamech DNS neexistuje. Zkontrolujte název DNS a ujistěte se, že je správně přidružený k zadané statické IP adrese.
Problém: Zadaná statická IP <adresa> a název DNS> Load Balancer DNS <se neshoduje.
Rozlišení: Zkontrolujte záznamy DNS a zadejte správnou kombinaci názvu DNS a statické IP adresy. Další informace najdete v tématu Vytvoření statické IP adresy a konfigurace názvu DNS.
Obecný postup řešení potíží s přidružením statické IP adresy a plně kvalifikovaného názvu domény nástroje pro vyrovnávání zatížení
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateStaticIPAddressAndDnsname
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.
Získejte IP adresu a přidružený název DNS a spusťte následující příkazy, abyste zjistili, jestli se shodují. Přeložte název DNS a načtěte skutečnou IP adresu:
$DNSRecord = Resolve-DnsName -Name $DNSName $ActualIP = $DNSRecord.IPAddress
Pokud název DNS nejde přeložit, ujistěte se, že je název DNS platný a přidružený ke skutečné IP adrese.
Ověření skupin počítačů
Problém: Test nejde spustit, protože se serverům nepodařilo připojit se k doméně
Rozlišení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží uvedených v části Ověření připojení k doméně.
Problém: Skupina počítačů s názvem <název> skupiny počítačů nebyla ve vaší doméně nalezena.
Rozlišení: Ověřte existenci skupiny a zkontrolujte zadaný název nebo vytvořte novou, pokud ještě není vytvořená.
Problém: Název> skupiny počítačů vstupní skupiny <počítačů není spravovaný uživatelským jménem domény.<>
Rozlišení: Přejděte do vlastností skupiny a nastavte tohoto uživatele jako správce. Další informace najdete v tématu Vytvoření a konfigurace skupiny počítačů.
Problém: Uživatelské jméno> domény správce <názvu> skupiny počítačů vstupní skupiny <počítačů nemá potřebná oprávnění ke správě členství ve skupině.
Rozlišení: Přejděte do vlastností skupiny a zaškrtněte políčko Spravovat může aktualizovat seznam členství . Další informace najdete v tématu Vytvoření a konfigurace skupiny počítačů.
Obecný postup řešení potíží s ověřováním skupin počítačů
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidateComputerGroup
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.
Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Spuštěním následujícího příkazu importujte moduly:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Pokud chcete ověřit, jestli je virtuální počítač připojený k doméně, spusťte následující příkaz:
Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
Pokud chcete ověřit existenci domény a jestli je aktuální počítač už připojený k doméně, spusťte následující příkaz:
$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
Nahraďte
$username
hodnotou odpovídajícímipassword
hodnotami.Pokud chcete ověřit existenci uživatele v doméně, spusťte následující příkaz:
$DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
Nahraďte
$username
hodnotou odpovídajícími hodnotami.$domainUserCredentials
Pokud chcete ověřit existenci skupiny počítačů v doméně, spusťte následující příkaz:
$ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
Nahraďte
$computerGroupName
hodnotou odpovídajícími$domainUserCredentials
hodnotami.Pokud uživatel a skupina počítačů existují, určete, zda je uživatel správcem skupiny počítačů.
Import-Module ActiveDirectory $DomainDN = $Domain.DistinguishedName $GroupDN = $ComputerGroup.DistinguishedName $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid) # Run Get ACL under the give credentials $job = Start-Job -ScriptBlock { param ( [Parameter(Mandatory = $true)] [string] $GroupDN, [Parameter(Mandatory = $true)] [GUID] $RightsGuid ) Import-Module ActiveDirectory $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) | Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')} return $AclRule } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials $timeoutSeconds = 20 $jobResult = Wait-Job $job -Timeout $timeoutSeconds # Job did not complete within the timeout if ($null -eq $jobResult) { Write-Host "Checking permissions, timeout after 10 seconds." Remove-Job $job -Force } else { # Job completed within the timeout $AclRule = Receive-Job $job Remove-Job $job -Force } $managerCanUpdateMembership = $false if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) { $managerCanUpdateMembership = $true
Pokud
managerCanUpdateMembership
má hodnotu True, má uživatel domény oprávnění k aktualizaci členství ve skupině počítačů. PokudmanagerCanUpdateMembership
je hodnota False, udělte uživateli domény oprávnění ke správě skupiny počítačů.
Ověření účtu gMSA
Problém: Test se nespustí, protože se serverům nepodařilo připojit se k doméně
Rozlišení: Ujistěte se, že se počítače můžou připojit k doméně. Postupujte podle kroků pro řešení potíží uvedených v části Ověření připojení k doméně.
Problém: Skupina počítačů s názvem <název> skupiny počítačů se ve vaší doméně nenašla. Členové této skupiny musí být schopni načíst heslo gMSA.
Rozlišení: Ověřte existenci skupiny a zkontrolujte zadaný název.
Problém: GMSA s názvovou <doménou gMSA> se ve vaší doméně nenašlo
Rozlišení: Ověřte existenci účtu gMSA a zkontrolujte zadaný název nebo vytvořte nový, pokud ještě není vytvořený.
Problém: Doména gMSA <není povolená> .
Rozlišení: Povolte ho pomocí následujícího příkazu:
Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true
Problém: Doména gMSA <> musí mít název hostitele DNS nastavený na <Název DNS.>
Rozlišení: GMSA nemá vlastnost správně nastavenou DNSHostName
. Vlastnost nastavte DNSHostName
pomocí následujícího příkazu:
Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>
Problém: Název účtu SAM pro doménu gMSA <gMSA> překračuje limit 15 znaků.
Rozlišení: K nastavení použijte SamAccountName
následující příkaz:
Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>
Problém: Název> skupiny počítačů skupiny <počítačů musí být nastavený jako PrincipalsAllowedToRetrieveManagedPassword pro doménu gMSA <gMSA.>
Rozlišení: Účet gMSA není PrincipalsAllowedToRetrieveManagedPassword
správně nastavený. K nastavení použijte PrincipalsAllowedToRetrieveManagedPassword
následující příkaz:
Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>
Problém: Hlavní názvy služeb (SPN) nejsou správně nastavené pro doménu gMSA <gMSA.>
Rozlišení: GMSA nemá nastavené správné hlavní názvy služby. Hlavní názvy služby nastavte pomocí následujícího příkazu:
Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>
Obecný postup řešení potíží s ověřováním účtů gMSA
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud znáte PowerShell, provést v ScomValidation.ps1 skriptu konkrétní kontrolu s názvem
Invoke-ValidategMSAAccount
. Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Připojte virtuální počítač k doméně pomocí účtu domény, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.
Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na Unrestricted.
Spuštěním následujícího příkazu importujte moduly:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Pokud chcete ověřit, že se servery úspěšně připojily k doméně, spusťte následující příkaz:
(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
Pokud chcete zkontrolovat existenci skupiny počítačů, spusťte následující příkaz:
$Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
Nahraďte uživatelské jméno, heslo a název_skupiny_počítače příslušnými hodnotami.
Pokud chcete zkontrolovat existenci účtu gMSA, spusťte následující příkaz:
$adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
Pokud chcete ověřit vlastnosti účtu gMSA, zkontrolujte, jestli je účet gMSA povolený:
(Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
Pokud příkaz vrátí hodnotu False, povolte účet v doméně.
Pokud chcete ověřit, že název hostitele DNS účtu gMSA odpovídá zadanému názvu DNS (název DNS nástroje pro vyrovnávání zatížení), spusťte následující příkazy:
(Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
Pokud příkaz nevrátí očekávaný název DNS, aktualizujte název hostitele DNS gMsaAccount na název DNS nástroje pro vyrovnávání zatížení.
Ujistěte se, že název účtu Sam pro účet gMSA nepřekračuje limit 15 znaků:
(Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
Pokud chcete ověřit
PrincipalsAllowedToRetrieveManagedPassword
vlastnost, spusťte následující příkazy:Zkontrolujte, jestli je zadaná skupina počítačů nastavená jako "PrincipalsAllowedToRetrieveManagedPassword" pro účet gMSA:
(Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
Nahraďte
gMSAAccount
aComputerGroupName
příslušnými hodnotami.Pokud chcete ověřit hlavní názvy služeb (SPN) pro účet gMSA, spusťte následující příkaz:
$CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName") (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
Zkontrolujte, jestli výsledky obsahují správné hlavní názvy služeb (SPN). Nahraďte
$dnsName
názvem DNS pro vyrovnávání zatížení zadaným při vytváření spravované instance SCOM. Nahraďte$dnsHostName
krátkým názvem DNS pro vyrovnávání zatížení. Například MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com a MSOMSdkSvc/ContosoLB jsou hlavní názvy služeb.
Ověření zásad skupiny
Důležité
Pokud chcete opravit zásady objektů zásad zásad skupiny, spolupracujte se správcem služby Active Directory a vylučte System Center Operations Manager z následujících zásad:
- Objekty zásad skupiny, které upravují nebo přepisují konfigurace skupin místních správců.
- Objekty zásad skupiny, které deaktivují síťové ověřování.
- Vyhodnoťte objekty zásad skupiny, které brání vzdálenému přihlášení pro místní správce.
Problém: Tento test nejde spustit, protože serverům se nepodařilo připojit k doméně.
Rozlišení: Ujistěte se, že se počítače připojují k doméně. Postupujte podle kroků pro řešení potíží v části Ověření připojení k doméně.
Problém: GMSA s názvem <doména gMSA> se ve vaší doméně nenašla. Tento účet musí být místním správcem na serveru.
Rozlišení: Ověřte existenci účtu a ujistěte se, že gMSA a uživatel domény jsou součástí místní skupiny správců.
Problém: Uživatelské <jméno> domény účtů a <doména gMSA> se nepodařilo přidat do místní skupiny Administrators na testovacích serverech pro správu nebo se ve skupině po aktualizaci zásad skupiny neuchovávaly.
Rozlišení: Ujistěte se, že zadané uživatelské jméno domény a gMSA vstupy jsou správné, včetně celého názvu (doména\účet). Zkontrolujte také, jestli na vašem testovacím počítači nejsou nějaké zásady skupiny, které přepisují místní skupinu Administrators kvůli zásadám vytvořeným na úrovni organizační jednotky nebo domény. Aby služba SCOM Managed Instance fungovala, musí být gMSA a uživatel domény součástí skupiny místních správců. Počítače spravované instance SCOM musí být vyloučené ze zásad, které přepisují skupinu místních správců (pracujte se správcem SLUŽBY AD).
Problém: Spravovaná instance SCOM selhala
Způsobit: Zásada skupiny ve vaší doméně (název: <název> zásad skupiny) přepisuje místní skupinu Administrators na testovacích serverech pro správu, a to buď na organizační jednotku obsahující servery, nebo v kořenovém adresáři domény.
Rozlišení: Ujistěte se, že organizační jednotka pro servery pro správu spravované instance SCOM (<cesta> organizační jednotky) není ovlivněná tím, že žádné zásady nepřepíší skupinu.
Obecné kroky pro řešení potíží s ověřováním zásad skupiny
Vygenerujte nový virtuální počítač se systémem Windows Server 2022 nebo 2019 v rámci zvolené podsítě pro vytvoření spravované instance SCOM. Přihlaste se k virtuálnímu počítači a nakonfigurujte jeho server DNS tak, aby používal stejnou IP adresu DNS, která se použila při vytváření spravované instance SCOM.
Můžete buď postupovat podle níže uvedených podrobných pokynů, nebo pokud jste obeznámeni s PowerShellem, provést konkrétní kontrolu volanou
Invoke-ValidateLocalAdminOverideByGPO
ve skriptuScomValidation.ps1 . Další informace o spuštění ověřovacího skriptu nezávisle na testovacím počítači najdete v tématu Obecné pokyny pro spuštění ověřovacího skriptu.Připojte virtuální počítač k doméně pomocí doménového účtu, který se používá při vytváření spravované instance SCOM. Pokud chcete virtuální počítač připojit k doméně, postupujte podle kroků uvedených v části Ověření připojení k doméně.
Otevřete Integrované skriptovací prostředí (ISE) PowerShellu v režimu správce a nastavte Set-ExecutionPolicy na hodnotu Unrestricted.
Spuštěním následujících příkazů importujte moduly:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Pokud chcete ověřit, jestli se servery úspěšně připojily k doméně, spusťte následující příkaz:
(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
Příkaz musí vrátit hodnotu True.
Pokud chcete zkontrolovat existenci účtu gMSA, spusťte následující příkaz:
Get-ADServiceAccount -Identity <GmsaAccount>
Pokud chcete ověřit přítomnost uživatelských účtů v místní skupině Administrators, spusťte následující příkaz:
$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue $gpUpdateResult = gpupdate /force $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
<UserName>
Nahraďte a<GmsaAccount>
skutečnými hodnotami.Pokud chcete zjistit podrobnosti o doméně a organizační jednotce, spusťte následující příkaz:
Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
<Nahraďte OuPathDN> skutečnou cestou organizační jednotky.
Pokud chcete získat sestavu objektu zásad skupiny (Zásady skupiny Object) z domény a zkontrolovat přepsání zásad v místní skupině Administrators, spusťte následující příkaz:
[xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name> foreach ($GPO in $gpoReport.GPOS.GPO) { # Check if the GPO links to the entire domain, or the input OU if provided if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) { # Check if there is a policy overriding the Local Users and Groups if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) { $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}} # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) { $overridingPolicyFound = $true $overridingPolicyName = $GPO.Name } } } } if($overridingPolicyFound) { Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy" } else { Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. " }
Pokud spuštění skriptu zobrazí upozornění jako Ověření selhalo, pak existuje zásada (název jako ve zprávě upozornění), která přepíše skupinu místních správců. Obraťte se na správce služby Active Directory a vylučte ze zásad server pro správu nástroje System Center Operations Manager.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro