Bagikan melalui

Memecahkan masalah kesalahan yang umum ditemui saat memvalidasi parameter input

Artikel ini menjelaskan kesalahan yang mungkin terjadi saat memvalidasi parameter input dan cara mengatasinya.

Jika Anda mengalami masalah saat membuat parameter lokal, gunakan skrip ini untuk bantuan.

Skrip ini dirancang untuk membantu memecahkan masalah dan mengatasi masalah yang terkait dengan pembuatan parameter lokal. Akses skrip dan gunakan fungsionalitasnya untuk mengatasi kesulitan apa pun yang mungkin Anda temui selama pembuatan parameter lokal.

Ikuti langkah-langkah berikut untuk menjalankan skrip:

  1. Unduh skrip dan jalankan dengan opsi -Help untuk mendapatkan parameter.
  2. Masuk dengan kredensial domain ke komputer yang bergabung dengan domain. Komputer harus berada di domain yang digunakan untuk SCOM Managed Instance. Setelah Anda masuk, jalankan skrip dengan parameter yang ditentukan.
  3. Jika ada validasi yang gagal, ambil tindakan korektif seperti yang disarankan oleh skrip dan jalankan ulang skrip hingga melewati semua validasi.
  4. Setelah semua validasi berhasil, gunakan parameter yang sama yang digunakan dalam skrip, untuk pembuatan instans.

Pemeriksaan dan detail validasi

Validasi Deskripsi
Pemeriksaan validasi input Azure
Menyiapkan prasyarat pada mesin uji 1. Instal modul Ad PowerShell.
2. Instal modul PowerShell Kebijakan Grup.
Konektivitas internet Memeriksa apakah konektivitas internet keluar tersedia di server pengujian.
Konektivitas SQL MI Memeriksa apakah SQL MI yang disediakan dapat dijangkau dari jaringan tempat server pengujian dibuat.
Konektivitas Server DNS Memeriksa apakah IP Server DNS yang disediakan dapat dijangkau dan diselesaikan ke Server DNS yang valid.
Konektivitas domain Memeriksa apakah nama domain yang disediakan dapat dijangkau dan diselesaikan ke domain yang valid.
Validasi gabungan domain Memeriksa apakah gabungan domain berhasil menggunakan Jalur OU dan kredensial domain yang disediakan.
Asosiasi IP statis dan LB FQDN Memeriksa apakah catatan DNS telah dibuat untuk IP statis yang disediakan terhadap nama DNS yang disediakan.
Validasi grup komputer Memeriksa apakah grup komputer yang disediakan dikelola oleh pengguna domain yang disediakan, dan manajer dapat memperbarui keanggotaan grup.
Validasi akun gMSA Memeriksa apakah gMSA yang disediakan:
- Diaktifkan.
- Apakah Nama Host DNS-nya diatur ke nama DNS LB yang disediakan.
- Memiliki panjang Nama Akun SAM 15 karakter atau kurang.
- Memiliki set SPN yang tepat.
Kata sandi dapat diambil oleh anggota grup komputer yang disediakan.
Validasi kebijakan grup Memeriksa apakah domain (atau Jalur OU, yang menghosting server manajemen) dipengaruhi oleh kebijakan grup apa pun, yang akan mengubah grup Administrator lokal.
Pembersihan pasca validasi Batal bergabung dari domain.

Panduan umum untuk menjalankan skrip validasi

Selama proses onboarding, validasi dilakukan pada tahap/tab validasi. Jika semua validasi berhasil, Anda dapat melanjutkan ke tahap akhir pembuatan SCOM Managed Instance. Namun, jika ada validasi yang gagal, Anda tidak dapat melanjutkan pembuatan.

Dalam kasus di mana beberapa validasi gagal, pendekatan terbaik adalah mengatasi semua masalah sekaligus dengan menjalankan skrip validasi secara manual pada mesin uji.

Penting

Awalnya, buat pengujian baru komputer virtual (VM) Windows Server (2022/2019) di subnet yang sama yang dipilih untuk pembuatan SCOM Managed Instance. Selanjutnya, admin AD dan admin Jaringan Anda dapat secara individual menggunakan VM ini untuk memverifikasi efektivitas perubahan masing-masing. Pendekatan ini secara signifikan menghemat waktu yang dihabiskan untuk komunikasi bolak-balik antara admin AD dan admin Jaringan.

Ikuti langkah-langkah ini untuk menjalankan skrip validasi:

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance. Misalnya, lihat di bawah ini:

    Cuplikan layar properti.

  2. Unduh skrip validasi ke VM pengujian dan ekstrak. Ini terdiri dari lima file:

    • ScomValidation.ps1
    • RunValidationAsSCOMAdmin.ps1
    • RunValidationAsActiveDirectoryAdmin.ps1
    • RunValidationAsNetworkAdmin.ps1
    • Readme.txt

  3. Ikuti langkah-langkah yang disebutkan dalam file Readme.txt untuk menjalankan RunValidationAsSCOMAdmin.ps1. Pastikan untuk mengisi nilai pengaturan di RunValidationAsSCOMAdmin.ps1 dengan nilai yang berlaku sebelum menjalankannya.

    # $settings = @{
#   Configuration = @{
#         DomainName="test.com"                 
#         OuPath= "DC=test,DC=com"           
#         DNSServerIP = "190.36.1.55"           
#         UserName="test\testuser"              
#         Password = "password"                 
#         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
#         ManagementServerGroupName= "ComputerMSG"      
#         GmsaAccount= "test\testgMSA$"
#         DnsName= "lbdsnname.test.com"
#         LoadBalancerIP = "10.88.78.200"
#     }
# }
# Note : Before running this script, please make sure you have provided all the parameters in the settings
$settings = @{
Configuration = @{
DomainName="<domain name>"
OuPath= "<OU path>"
DNSServerIP = "<DNS server IP>"
UserName="<domain user name>"
Password = "<domain user password>"
SqlDatabaseInstance= "<SQL MI Host name>"
ManagementServerGroupName= "<Computer Management server group name>"
GmsaAccount= "<GMSA account>"
DnsName= "<DNS name associated with the load balancer IP address>"
LoadBalancerIP = "<Load balancer IP address>"
}
}

  4. Secara umum, RunValidationAsSCOMAdmin.ps1 menjalankan semua validasi. Jika Anda ingin menjalankan pemeriksaan tertentu, buka ScomValidation.ps1 dan komentari semua pemeriksaan lainnya, yang ada di akhir file. Anda juga dapat menambahkan titik henti dalam pemeriksaan khusus untuk men-debug pemeriksaan dan memahami masalah dengan lebih baik.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    }

  1. Skrip validasi menampilkan semua pemeriksaan validasi dan kesalahan masing-masing, yang akan membantu menyelesaikan masalah validasi. Untuk resolusi cepat, jalankan skrip di PowerShell ISE dengan titik henti, yang dapat mempercepat proses penelusuran kesalahan.

    Jika semua pemeriksaan berhasil lolos, kembali ke halaman onboarding dan mulai ulang proses onboarding lagi.

Konektivitas internet

Masalah: Konektivitas internet keluar tidak ada di server pengujian

Penyebab: Terjadi karena IP Server DNS yang salah atau konfigurasi jaringan yang salah.

Resolusi:

  1. Periksa IP Server DNS, dan pastikan server DNS aktif dan berjalan.
  2. Pastikan bahwa VNet, yang digunakan untuk pembuatan SCOM Managed Instance memiliki garis pandang ke Server DNS.

Masalah: Tidak dapat tersambung ke akun penyimpanan untuk mengunduh bit produk Instans Terkelola SCOM

Penyebab: Terjadi karena masalah dengan konektivitas internet Anda.

Resolusi: Verifikasi bahwa VNet yang digunakan untuk pembuatan SCOM Managed Instance memiliki akses internet keluar dengan membuat komputer virtual pengujian pada subnet yang sama dengan SCOM Managed Instance dan menguji konektivitas keluar dari komputer virtual pengujian.

Masalah: Pengujian konektivitas Internet gagal. Titik akhir yang diperlukan tidak dapat dijangkau dari VNet

Penyebab: Terjadi karena IP Server DNS yang salah atau konfigurasi jaringan yang salah.

Resolusi:

  • Periksa IP Server DNS, dan pastikan server DNS sudah aktif dan berjalan.

  • Pastikan bahwa VNet, yang digunakan untuk pembuatan SCOM Managed Instance memiliki garis pandang ke Server DNS.

  • Pastikan bahwa SCOM Managed Instance memiliki akses Internet keluar dan NSG/Firewall dikonfigurasi dengan benar untuk memungkinkan akses ke titik akhir yang diperlukan seperti yang dijelaskan dalam persyaratan firewall.

Langkah-langkah pemecahan masalah umum untuk konektivitas internet

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateStorageConnectivity dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  4. Untuk memeriksa konektivitas Internet, jalankan perintah berikut:

    Test-NetConnection www.microsoft.com -Port 80

    Perintah ini memverifikasi konektivitas ke www.microsoft.com pada port 80. Jika gagal, ini menunjukkan masalah dengan konektivitas internet keluar.

  5. Untuk memverifikasi pengaturan DNS, jalankan perintah berikut:

    Get-DnsClientServerAddress

    Perintah ini mengambil alamat IP server DNS yang dikonfigurasi pada komputer. Pastikan pengaturan DNS sudah benar dan dapat diakses.

  6. Untuk memeriksa konfigurasi jaringan, jalankan perintah berikut:

    Get-NetIPConfiguration

    Perintah ini menampilkan detail konfigurasi jaringan. Verifikasi bahwa pengaturan jaringan akurat dan cocok dengan lingkungan jaringan Anda.

Konektivitas SQL MI

Masalah: Konektivitas Internet keluar tidak ada di server pengujian

Penyebab: Terjadi karena IP Server DNS yang salah, atau konfigurasi jaringan yang salah.

Resolusi:

  1. Periksa IP Server DNS dan pastikan server DNS sudah aktif dan berjalan.
  2. Pastikan bahwa VNet, yang digunakan untuk pembuatan SCOM Managed Instance memiliki garis pandang ke Server DNS.

Masalah: Gagal mengonfigurasi login DB untuk MSI pada instans terkelola SQL

Penyebab: Terjadi ketika MSI tidak dikonfigurasi dengan benar untuk mengakses instans terkelola SQL.

Resolusi: Periksa apakah MSI dikonfigurasi sebagai Microsoft Entra Admin pada instans terkelola SQL. Pastikan bahwa izin ID Microsoft Entra yang diperlukan disediakan ke instans terkelola SQL agar autentikasi MSI berfungsi.

Masalah: Gagal menyambungkan ke SQL MI dari instans ini

Penyebab: Terjadi karena VNet SQL MI tidak didelegasikan atau tidak di-peering dengan benar dengan VNet Instans Terkelola SCOM.

Resolusi:

  1. Verifikasi bahwa SQL MI dikonfigurasi dengan benar.
  2. Pastikan bahwa VNet, yang sedang digunakan untuk pembuatan SCOM Managed Instance memiliki line-of-sight ke SQL MI, baik dengan berada di VNet yang sama atau dengan peering VNet.

Langkah-langkah pemecahan masalah umum untuk konektivitas SQL MI

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateSQLConnectivity dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  4. Untuk memeriksa konektivitas internet keluar, jalankan perintah berikut:

    Test-NetConnection -ComputerName "www.microsoft.com" -Port 80

    Perintah ini memverifikasi konektivitas internet keluar dengan mencoba membuat koneksi ke www.microsoft.com pada port 80. Jika koneksi gagal, itu menunjukkan potensi masalah dengan konektivitas internet.

  5. Untuk memverifikasi pengaturan DNS dan konfigurasi jaringan, pastikan bahwa alamat IP server DNS dikonfigurasi dengan benar dan memvalidasi pengaturan konfigurasi jaringan pada komputer tempat validasi sedang dilakukan.

  6. Untuk menguji koneksi SQL MI, jalankan perintah berikut:

    Test-NetConnection -ComputerName $sqlMiName -Port 1433

    Ganti $sqlMiName dengan nama host SQL MI.

    Perintah ini menguji koneksi ke instans SQL MI. Jika koneksi berhasil, itu menunjukkan bahwa SQL MI dapat dijangkau.

Konektivitas Server DNS

Masalah: IP DNS yang disediakan (<IP> DNS) salah, atau Server DNS tidak dapat dijangkau

Resolusi: Periksa IP Server DNS, dan pastikan server DNS aktif dan berjalan.

Pemecahan masalah umum untuk konektivitas server DNS

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateDnsIpAddress dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  4. Untuk memeriksa resolusi DNS untuk alamat IP yang ditentukan, jalankan perintah berikut:

    Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue

    Ganti $ipAddress dengan alamat IP yang ingin Anda validasi.

    Perintah ini memeriksa resolusi DNS untuk alamat IP yang disediakan. Jika perintah tidak mengembalikan hasil apa pun atau melempar kesalahan, perintah menunjukkan potensi masalah dengan resolusi DNS.

  5. Untuk memverifikasi konektivitas jaringan ke alamat IP, jalankan perintah berikut:

    Test-NetConnection -ComputerName $ipAddress -Port 80

    Ganti $ipAddress dengan alamat IP yang ingin Anda uji.

    Perintah ini memeriksa konektivitas jaringan ke alamat IP yang ditentukan pada port 80. Jika koneksi gagal, ini menyarankan masalah konektivitas jaringan.

Konektivitas domain

Masalah: Pengendali domain <untuk nama> domain tidak dapat dijangkau dari jaringan ini, atau port tidak terbuka pada setidaknya satu pengendali domain

Penyebab: Terjadi karena masalah dengan IP Server DNS yang disediakan atau konfigurasi jaringan Anda.

Resolusi:

  1. Periksa IP Server DNS dan pastikan server DNS aktif dan berjalan.
  2. Pastikan bahwa resolusi nama domain diarahkan dengan benar ke Pengendali Domain (DC) yang ditunjuk yang dikonfigurasi untuk Azure atau SCOM Managed Instance. Konfirmasikan bahwa DC ini tercantum di bagian atas di antara DC yang diselesaikan. Jika resolusi diarahkan ke server DC yang berbeda, itu menunjukkan masalah dengan resolusi domain AD.
  3. Periksa nama domain dan pastikan bahwa pengontrol domain mengonfigurasi untuk Azure dan SCOM Managed Instance sedang berjalan.

    Catatan

    Port 9389, 389/636, 88, 3268/3269, 135, 445 harus terbuka pada DC yang dikonfigurasi untuk Azure atau SCOM Managed Instance, dan semua layanan di DC harus berjalan.

Langkah-langkah pemecahan masalah umum untuk konektivitas domain

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateDomainControllerConnectivity dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  4. Untuk memeriksa keterjangkauan pengontrol domain, jalankan perintah berikut:

    Resolve-DnsName -Name $domainName

    Ganti $domainName dengan nama domain yang ingin Anda uji.

    Pastikan bahwa resolusi nama domain diarahkan dengan benar ke Pengendali Domain (DC) yang ditunjuk yang dikonfigurasi untuk Azure atau SCOM Managed Instance. Konfirmasikan bahwa DC ini tercantum di bagian atas di antara DC yang diselesaikan. Jika resolusi diarahkan ke server DC yang berbeda, itu menunjukkan masalah dengan resolusi domain AD.

  5. Untuk memverifikasi pengaturan server DNS:

    • Pastikan bahwa pengaturan server DNS pada komputer yang menjalankan validasi dikonfigurasi dengan benar.
    • Verifikasi apakah alamat IP server DNS akurat dan dapat diakses.

  6. Untuk memvalidasi konfigurasi jaringan:

    • Verifikasi pengaturan konfigurasi jaringan pada komputer tempat validasi sedang dilakukan.
    • Pastikan bahwa komputer terhubung ke jaringan yang benar dan memiliki pengaturan jaringan yang diperlukan untuk berkomunikasi dengan pengendali domain.

  7. Untuk menguji port yang diperlukan pada pengendali domain, jalankan perintah berikut:

    Test-NetConnection -ComputerName $domainName -Port $portToCheck

    Ganti $domainName dengan nama domain yang ingin Anda uji, dan $portToCheck dengan setiap port dari nomor daftar berikut:

    • 389/636
    • 88
    • 3268/3269
    • 135
    • 445

    Jalankan perintah yang disediakan untuk semua port di atas.

    Perintah ini memeriksa apakah port yang ditentukan terbuka pada pengontrol domain yang ditunjuk yang dikonfigurasi untuk pembuatan Azure atau SCOM Managed Instance. Jika perintah menunjukkan koneksi yang berhasil, itu menunjukkan bahwa port yang diperlukan terbuka.

Validasi gabungan domain

Masalah: Server manajemen pengujian gagal bergabung dengan domain

Penyebab: Terjadi karena jalur OU yang salah, kredensial yang salah, atau masalah dalam konektivitas jaringan.

Resolusi:

  1. Periksa kredensial yang dibuat di Brankas kunci Anda. Rahasia nama pengguna dan kata sandi harus mencerminkan nama pengguna dan format nilai nama pengguna yang benar harus domain \nama pengguna dan kata sandi, yang memiliki izin untuk bergabung dengan komputer ke domain. Secara default, akun pengguna hanya dapat menambahkan hingga 10 komputer ke domain. Untuk mengonfigurasi, lihat Batas default untuk nomor jika stasiun kerja yang dapat digabungkan pengguna ke domain.
  2. Verifikasi bahwa Jalur OU sudah benar dan tidak memblokir komputer baru agar tidak bergabung dengan domain.

Langkah-langkah pemecahan masalah umum untuk validasi gabungan Domain

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateDomainJoin dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  4. Gabungkan VM ke domain menggunakan akun domain yang digunakan dalam pembuatan SCOM Managed Instance. Untuk menggabungkan domain ke komputer menggunakan kredensial, jalankan perintah berikut:

    
$domainName = "<domainname>"


$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))



$ouPath = "<OU path>"
if (![String]::IsNullOrWhiteSpace($ouPath)) {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}
else {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}

    Ganti nama pengguna, kata sandi, $domainName, $ouPath dengan nilai yang tepat.

    Setelah Anda menjalankan perintah di atas, jalankan perintah berikut untuk memeriksa apakah komputer berhasil bergabung dengan domain:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

Asosiasi IP statis dan LB FQDN

Masalah: Pengujian tidak dapat dijalankan karena server gagal bergabung dengan domain

Resolusi: Pastikan bahwa komputer dapat bergabung dengan domain. Ikuti langkah-langkah pemecahan masalah dari bagian Validasi gabungan domain.

Masalah: Nama DNS Nama <> DNS tidak dapat diatasi

Resolusi: Nama DNS yang disediakan tidak ada di catatan DNS. Periksa nama DNS dan pastikan nama DNS dikaitkan dengan IP Statis yang disediakan dengan benar.

Masalah: IP> statis IP <statis yang disediakan dan Nama> DNS DNS <Load Balancer tidak cocok

Resolusi: Periksa catatan DNS dan berikan kombinasi Nama DNS/IP Statis yang benar. Untuk informasi selengkapnya, lihat Membuat IP statis dan mengonfigurasi nama DNS.

Langkah-langkah pemecahan masalah umum untuk asosiasi IP Statis dan LB FQDN

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateStaticIPAddressAndDnsname dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  4. Gabungkan komputer virtual ke domain menggunakan akun domain yang digunakan dalam pembuatan SCOM Managed Instance. Untuk menggabungkan komputer virtual ke domain, ikuti langkah-langkah yang disediakan di bagian Validasi gabungan Domain.

  5. Dapatkan alamat IP dan nama DNS terkait dan jalankan perintah berikut untuk melihat apakah cocok. Atasi nama DNS dan ambil alamat IP aktual:

    $DNSRecord = Resolve-DnsName -Name $DNSName
$ActualIP = $DNSRecord.IPAddress

    Jika nama DNS tidak dapat diselesaikan, pastikan bahwa nama DNS valid dan terkait dengan alamat IP aktual.

Validasi grup komputer

Masalah: Pengujian tidak dapat dijalankan karena server gagal bergabung dengan domain

Resolusi: Pastikan bahwa komputer dapat bergabung dengan domain. Ikuti langkah-langkah pemecahan masalah yang ditentukan di bagian Validasi gabungan domain.

Masalah: Grup komputer dengan nama <> grup komputer tidak dapat ditemukan di domain Anda

Resolusi: Verifikasi keberadaan grup dan periksa nama yang disediakan atau buat yang baru jika belum dibuat.

Masalah: Nama> grup komputer grup <komputer input tidak dikelola oleh nama pengguna domain pengguna <>

Resolusi: Navigasikan ke properti grup dan atur pengguna ini sebagai manajer. Untuk informasi selengkapnya, lihat Membuat dan mengonfigurasi grup komputer.

Masalah: Nama> pengguna domain manajer <dari nama> grup komputer grup <komputer input tidak memiliki izin yang diperlukan untuk mengelola keanggotaan grup

Resolusi: Buka properti Grup dan centang kotak Kelola dapat memperbarui daftar keanggotaan. Untuk informasi selengkapnya, lihat Membuat dan mengonfigurasi grup komputer.

Langkah-langkah pemecahan masalah umum untuk validasi grup Komputer

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateComputerGroup dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Gabungkan VM ke domain menggunakan akun domain yang digunakan dalam pembuatan SCOM Managed Instance. Untuk menggabungkan komputer virtual ke domain, ikuti langkah-langkah yang disediakan di bagian Validasi gabungan Domain.

  4. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  5. Jalankan perintah berikut untuk mengimpor modul:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Untuk memverifikasi apakah VM bergabung ke domain, jalankan perintah berikut:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

  7. Untuk memverifikasi keberadaan domain dan jika komputer saat ini sudah bergabung- ke domain, jalankan perintah berikut:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials

    Ganti $username, password dengan nilai yang berlaku.

  8. Untuk memverifikasi keberadaan pengguna di domain, jalankan perintah berikut:

    $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials

    Ganti $username, $domainUserCredentials dengan nilai yang berlaku

  9. Untuk memverifikasi keberadaan grup komputer di domain, jalankan perintah berikut:

    $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials

    Ganti $computerGroupName, $domainUserCredentials dengan nilai yang berlaku.

  10. Jika pengguna dan grup komputer ada, tentukan apakah pengguna adalah manajer grup komputer.

    Import-Module ActiveDirectory
  	$DomainDN = $Domain.DistinguishedName
  $GroupDN = $ComputerGroup.DistinguishedName
 $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)

  # Run Get ACL under the give credentials
  $job = Start-Job -ScriptBlock {
      param (
          [Parameter(Mandatory = $true)]
          [string] $GroupDN,
          [Parameter(Mandatory = $true)]
          [GUID] $RightsGuid
      )

  Import-Module ActiveDirectory
  $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
      return $AclRule

  } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials

  $timeoutSeconds = 20
  $jobResult = Wait-Job $job -Timeout $timeoutSeconds

  # Job did not complete within the timeout
  if ($null -eq $jobResult) {
      Write-Host "Checking permissions, timeout after 10 seconds."
      Remove-Job $job -Force
  } else {
      # Job completed within the timeout
      $AclRule = Receive-Job $job
      Remove-Job $job -Force
  }

  $managerCanUpdateMembership = $false
  if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
      $managerCanUpdateMembership = $true

    Jika managerCanUpdateMembership True, maka pengguna domain memiliki izin keanggotaan pembaruan pada grup komputer. Jika managerCanUpdateMembership Salah, berikan grup komputer izin kelola ke pengguna domain.

Validasi akun gMSA

Masalah: Pengujian tidak berjalan karena server gagal bergabung dengan domain

Resolusi: Pastikan bahwa komputer dapat bergabung dengan domain. Ikuti langkah-langkah pemecahan masalah yang ditentukan di bagian Validasi gabungan domain.

Masalah: Grup komputer dengan nama <> grup komputer tidak ditemukan di domain Anda. Anggota grup ini harus dapat mengambil kata sandi gMSA

Resolusi: Verifikasi keberadaan grup dan periksa nama yang disediakan.

Masalah: gMSA dengan domain nama <gMSA> tidak dapat ditemukan di domain Anda

Resolusi: Verifikasi keberadaan akun gMSA dan periksa nama yang disediakan atau buat akun baru jika belum dibuat.

Masalah: gMSA domain gMSA <> tidak diaktifkan

Resolusi: Aktifkan menggunakan perintah berikut:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Masalah: gMSA domain gMSA <> harus mengatur Nama Host DNS-nya ke <Nama DNS>

Resolusi: GMSA tidak memiliki properti yang DNSHostName diatur dengan benar. Atur DNSHostName properti menggunakan perintah berikut:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Masalah: Nama Akun Sam untuk gMSA domain gMSA <> melebihi batas 15 karakter

Resolusi: Atur SamAccountName menggunakan perintah berikut:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Masalah: Nama> grup komputer Grup <Komputer perlu ditetapkan sebagai PrincipalsAllowedToRetrieveManagedPassword untuk gMSA domain gMSA <>

Resolusi: gMSA tidak diatur PrincipalsAllowedToRetrieveManagedPassword dengan benar. Atur PrincipalsAllowedToRetrieveManagedPassword menggunakan perintah berikut:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Masalah: SPN belum diatur dengan benar untuk gMSA domain gMSA <>

Resolusi: gMSA tidak memiliki kumpulan Nama Perwakilan Layanan yang benar. Atur Nama Perwakilan Layanan menggunakan perintah berikut:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Langkah-langkah pemecahan masalah umum untuk validasi akun gMSA

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidategMSAAccount dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Gabungkan VM ke domain menggunakan akun domain yang digunakan dalam pembuatan SCOM Managed Instance. Untuk menggabungkan komputer virtual ke domain, ikuti langkah-langkah yang disediakan di bagian Validasi gabungan Domain.

  4. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  5. Jalankan perintah berikut untuk mengimpor modul:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Untuk memverifikasi bahwa server telah berhasil bergabung dengan domain, jalankan perintah berikut:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

  7. Untuk memeriksa keberadaan grup komputer, jalankan perintah berikut:

    $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
$adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials

    Ganti nama pengguna, kata sandi, dan computerGroupName dengan nilai yang berlaku.

  8. Untuk memeriksa keberadaan akun gMSA, jalankan perintah berikut:

    $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials

  9. Untuk memvalidasi properti akun gMSA, periksa apakah akun gMSA diaktifkan:

    (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled

    Jika perintah mengembalikan False, aktifkan akun di domain.

  10. Untuk memverifikasi bahwa Nama Host DNS akun gMSA cocok dengan nama DNS yang disediakan (nama DNS LB), jalankan perintah berikut:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName

    Jika perintah tidak mengembalikan nama DNS yang diharapkan, perbarui Nama Host DNS gMsaAccount ke nama DNS LB.

  11. Pastikan bahwa Nama Akun Sam untuk akun gMSA tidak melebihi batas 15 karakter:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length

  12. Untuk memvalidasi PrincipalsAllowedToRetrieveManagedPassword properti, jalankan perintah berikut:

    Periksa apakah Grup Komputer yang ditentukan ditetapkan sebagai 'PrincipalsAllowedToRetrieveManagedPassword'' untuk akun gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName

    Ganti gMSAAccount dan ComputerGroupName dengan nilai yang berlaku.

  13. Untuk memvalidasi Nama Perwakilan Layanan (SPN) untuk akun gMSA, jalankan perintah berikut:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
(Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames

    Periksa apakah hasilnya memiliki SPN yang Benar. Ganti $dnsName dengan nama DNS LB yang diberikan dalam pembuatan SCOM Managed Instance. Ganti $dnsHostName dengan nama pendek DNS LB. Misalnya: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com, dan MSOMSdkSvc/ContosoLB adalah nama perwakilan layanan.

Validasi kebijakan grup

Penting

Untuk memperbaiki kebijakan GPO, berkolaborasi dengan admin direktori aktif Anda dan kecualikan System Center Operations Manager dari kebijakan di bawah ini:

  • GPO yang memodifikasi atau mengambil alih konfigurasi grup administrator lokal.
  • GPO yang menonaktifkan autentikasi jaringan.
  • Evaluasi GPO yang memberlakukan masuk jarak jauh untuk administrator lokal.

Masalah: Pengujian ini tidak dapat dijalankan karena server gagal bergabung dengan domain

Resolusi: Pastikan komputer bergabung dengan domain. Ikuti langkah-langkah pemecahan masalah dari bagian Validasi gabungan domain.

Masalah: gMSA dengan domain nama <gMSA> tidak dapat ditemukan di domain Anda. Akun ini harus menjadi administrator lokal di server

Resolusi: Verifikasi keberadaan akun dan pastikan bahwa gMSA dan pengguna domain adalah bagian dari grup administrator lokal.

Masalah: Nama> pengguna domain akun <dan <domain gMSA> tidak dapat ditambahkan ke grup Administrator lokal di server manajemen pengujian atau tidak bertahan di grup setelah pembaruan kebijakan grup

Resolusi: Pastikan bahwa nama pengguna domain dan input gMSA yang disediakan sudah benar, termasuk nama lengkap (domain\account). Periksa juga apakah ada kebijakan grup pada mesin uji Anda yang mengambil alih grup Administrator lokal karena kebijakan yang dibuat di tingkat OU atau Domain. gMSA dan pengguna domain harus menjadi bagian dari grup administrator lokal agar SCOM Managed Instance berfungsi. Komputer SCOM Managed Instance harus dikecualikan dari kebijakan apa pun yang mengambil alih grup administrator lokal (bekerja dengan admin AD).

Masalah: Instans Terkelola SCOM gagal

Penyebab: Kebijakan grup di domain Anda (nama: <nama> kebijakan grup) menimpa grup Administrator lokal pada server manajemen pengujian, baik di unit organisasi yang berisi server atau akar domain.

Resolusi: Pastikan bahwa unit organisasi untuk Server Manajemen Instans Terkelola (<Jalur> OU) SCOM tidak terpengaruh oleh tidak ada kebijakan yang mengambil alih grup.

Langkah-langkah pemecahan masalah umum untuk validasi kebijakan Grup

  1. Hasilkan komputer virtual (VM) baru yang berjalan pada Windows Server 2022 atau 2019 dalam subnet yang dipilih untuk pembuatan SCOM Managed Instance. Masuk ke VM dan konfigurasikan server DNS-nya untuk menggunakan IP DNS yang sama yang digunakan selama pembuatan SCOM Managed Instance.

  2. Anda dapat mengikuti instruksi langkah demi langkah yang disediakan di bawah ini, atau jika Anda terbiasa dengan PowerShell, jalankan pemeriksaan spesifik yang disebut Invoke-ValidateLocalAdminOverideByGPO dalam skrip ScomValidation.ps1. Untuk informasi selengkapnya tentang menjalankan skrip validasi secara independen di komputer pengujian Anda, lihat Panduan umum untuk menjalankan skrip validasi.

  3. Gabungkan VM ke domain menggunakan akun domain yang digunakan dalam pembuatan SCOM Managed Instance. Untuk menggabungkan komputer virtual ke domain, ikuti langkah-langkah yang disediakan di bagian Validasi gabungan Domain.

  4. Buka PowerShell ISE dalam mode admin dan atur Set-ExecutionPolicy sebagai Tidak Dibatasi.

  5. Jalankan perintah berikut untuk mengimpor modul:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Untuk memverifikasi apakah server telah berhasil bergabung dengan domain, jalankan perintah berikut:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

    Perintah harus mengembalikan True.

  7. Untuk memeriksa keberadaan akun gMSA, jalankan perintah berikut:

    Get-ADServiceAccount -Identity <GmsaAccount>

  8. Untuk memvalidasi keberadaan akun pengguna di grup Administrator lokal, jalankan perintah berikut:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
$gpUpdateResult = gpupdate /force 
$LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name

    <UserName> Ganti dan <GmsaAccount> dengan nilai aktual.

  9. Untuk menentukan detail domain dan unit organisasi (OU), jalankan perintah berikut:

    Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials

    <Ganti OuPathDN> dengan jalur OU yang sebenarnya.

  10. Untuk mendapatkan laporan GPO (Objek Kebijakan Grup) dari domain dan periksa kebijakan penggantian pada grup Administrator lokal, jalankan perintah berikut:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
 foreach ($GPO in $gpoReport.GPOS.GPO) {
     # Check if the GPO links to the entire domain, or the input OU if provided
     if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
         # Check if there is a policy overriding the Local Users and Groups
         if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
         $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
         # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
         if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
          $overridingPolicyFound = $true
          $overridingPolicyName = $GPO.Name
             }
         }
     }
 }
 if($overridingPolicyFound) {
  Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
 }
 else {
  Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
 }

Jika eksekusi skrip memberikan peringatan sebagai Validasi Gagal, maka ada kebijakan (nama seperti dalam pesan peringatan) yang mengambil alih grup administrator lokal. Tanyakan kepada administrator direktori aktif dan kecualikan server manajemen Manajer Operasi Pusat Sistem dari kebijakan.