Rozwiązywanie problemów z często występującymi błędami podczas sprawdzania poprawności parametrów wejściowych

W tym artykule opisano błędy, które mogą wystąpić podczas weryfikowania parametrów wejściowych i sposobu ich rozwiązywania.

Jeśli wystąpią jakiekolwiek problemy podczas tworzenia parametrów lokalnych, użyj tego skryptu , aby uzyskać pomoc.

Ten skrypt jest przeznaczony do rozwiązywania problemów i rozwiązywania problemów związanych z tworzeniem parametrów lokalnych. Uzyskaj dostęp do skryptu i skorzystaj z jego funkcji, aby rozwiązać wszelkie problemy, które mogą wystąpić podczas tworzenia parametrów lokalnych.

Wykonaj następujące kroki, aby uruchomić skrypt:

1. Pobierz skrypt i uruchom go za pomocą opcji -Help , aby pobrać parametry.
2. Zaloguj się przy użyciu poświadczeń domeny na komputerze przyłączonym do domeny. Maszyna musi znajdować się w domenie używanej dla wystąpienia zarządzanego programu SCOM. Po zalogowaniu uruchom skrypt z określonymi parametrami.
3. Jeśli walidacja nie powiedzie się, wykonaj akcje naprawcze sugerowane przez skrypt i uruchom ponownie skrypt, dopóki nie przejdzie on wszystkich walidacji.
4. Po pomyślnym zakończeniu wszystkich weryfikacji użyj tych samych parametrów używanych w skry skrycie, aby utworzyć wystąpienie.

Sprawdzanie poprawności i szczegóły

Walidacja	opis
Sprawdzanie poprawności danych wejściowych platformy Azure
Konfigurowanie wymagań wstępnych na maszynie testowej	1. Zainstaluj moduł programu AD PowerShell. 2. Zainstaluj moduł programu PowerShell zasad grupy.
Łączność z Internetem	Sprawdza, czy wychodząca łączność z Internetem jest dostępna na serwerach testowych.
Łączność wystąpienia zarządzanego SQL	Sprawdza, czy podany program SQL MI jest osiągalny z sieci, na której są tworzone serwery testowe.
Łączność z serwerem DNS	Sprawdza, czy podany adres IP serwera DNS jest osiągalny i rozpoznawany jako prawidłowy serwer DNS.
Łączność z domeną	Sprawdza, czy podana nazwa domeny jest osiągalna i rozpoznawana jako prawidłowa domena.
Walidacja przyłączania do domeny	Sprawdza, czy przyłączenie do domeny powiedzie się przy użyciu podanej ścieżki jednostki organizacyjnej i poświadczeń domeny.
Skojarzenie statycznego adresu IP i nazwy FQDN modułu równoważenia obciążenia	Sprawdza, czy rekord DNS został utworzony dla podanego statycznego adresu IP względem podanej nazwy DNS.
Walidacje grup komputerów	Sprawdza, czy podana grupa komputerów jest zarządzana przez podanego użytkownika domeny, a menedżer może zaktualizować członkostwo w grupie.
Walidacje konta usługi gMSA	Sprawdza, czy podana usługa gMSA: — jest włączona. - Ma nazwę hosta DNS ustawioną na podaną nazwę DNS modułu równoważenia obciążenia. — Ma długość nazwy konta SAM o długości 15 znaków lub mniej. - Ma zestaw odpowiednich nazw SPN. Hasło można pobrać przez członków podanej grupy komputerów.
Walidacje zasad grupy	Sprawdza, czy domena (lub ścieżka jednostki organizacyjnej, która hostuje serwery zarządzania) ma wpływ na dowolne zasady grupy, które zmienią lokalną grupę Administratorzy.
Czyszczenie po weryfikacji	Odłącz się od domeny.

Ogólne wskazówki dotyczące uruchamiania skryptu weryfikacji

Podczas procesu dołączania walidacja jest przeprowadzana na etapie/karcie walidacji. Jeśli wszystkie weryfikacje zakończą się pomyślnie, możesz przejść do ostatniego etapu tworzenia wystąpienia zarządzanego programu SCOM. Jeśli jednak jakiekolwiek weryfikacje nie powiedzie się, nie można kontynuować tworzenia.

W przypadkach, gdy wiele weryfikacji zakończy się niepowodzeniem, najlepszym rozwiązaniem jest rozwiązanie wszystkich problemów jednocześnie przez ręczne uruchomienie skryptu weryfikacji na maszynie testowej.

Ważne

Początkowo utwórz nową testową maszynę wirtualną z systemem Windows Server (2022/2019) w tej samej podsieci wybranej do utworzenia wystąpienia zarządzanego programu SCOM. Następnie zarówno administrator usługi AD, jak i administrator sieci mogą indywidualnie korzystać z tej maszyny wirtualnej, aby zweryfikować skuteczność odpowiednich zmian. Takie podejście znacznie oszczędza czas spędzony na komunikacji między administratorem usługi AD i administratorem sieci.

Wykonaj następujące kroki, aby uruchomić skrypt weryfikacji:

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM. Na przykład zobacz poniżej:

   

2. Pobierz skrypt weryfikacji do testowej maszyny wirtualnej i wyodrębnij go. Składa się z pięciu plików:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Wykonaj kroki wymienione w pliku Readme.txt, aby uruchomić plik RunValidationAsSCOMAdmin.ps1. Przed uruchomieniem upewnij się, że należy wypełnić wartość ustawień w obszarze RunValidationAsSCOMAdmin.ps1 z odpowiednimi wartościami.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. Ogólnie rzecz biorąc, RunValidationAsSCOMAdmin.ps1 uruchamia wszystkie walidacje. Jeśli chcesz uruchomić określoną kontrolę, otwórz plik ScomValidation.ps1 i oznacz jako komentarz wszystkie inne kontrole, które znajdują się na końcu pliku. Możesz również dodać punkt przerwania w konkretnej kontroli, aby debugować sprawdzanie i lepiej zrozumieć problemy.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Skrypt sprawdzania poprawności wyświetla wszystkie sprawdzenia poprawności i ich odpowiednie błędy, co pomoże rozwiązać problemy z walidacją. Aby szybko rozwiązać ten problem, uruchom skrypt w programie PowerShell ISE z punktem przerwania, co może przyspieszyć proces debugowania.

   Jeśli wszystkie testy zostaną pomyślnie zakończone pomyślnie, wróć do strony dołączania i ponownie uruchom proces dołączania.

Łączność z Internetem

Problem: Wychodząca łączność z Internetem nie istnieje na serwerach testowych

Przyczyna: występuje z powodu nieprawidłowego adresu IP serwera DNS lub nieprawidłowej konfiguracji sieci.

Rozwiązanie:

1. Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.
2. Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego programu SCOM, ma widok na serwer DNS.

Problem: Nie można nawiązać połączenia z kontem magazynu w celu pobrania bitów produktu wystąpienia zarządzanego programu SCOM

Przyczyna: występuje z powodu problemu z łącznością z Internetem.

Rozwiązanie: Sprawdź, czy sieć wirtualna używana do tworzenia wystąpienia zarządzanego programu SCOM ma wychodzący dostęp do Internetu, tworząc testową maszynę wirtualną w tej samej podsieci co wystąpienie zarządzane programu SCOM i przetestuj łączność wychodzącą z testowej maszyny wirtualnej.

Problem: Test łączności z Internetem zakończył się niepowodzeniem. Wymagane punkty końcowe są niedostępne z sieci wirtualnej

Przyczyna: występuje z powodu nieprawidłowego adresu IP serwera DNS lub nieprawidłowej konfiguracji sieci.

Rozwiązanie:

• Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.

• Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego programu SCOM, ma widok na serwer DNS.

• Upewnij się, że wystąpienie zarządzane SCOM ma wychodzący dostęp do Internetu, a sieciowa grupa zabezpieczeń/zapora została prawidłowo skonfigurowana tak, aby zezwalać na dostęp do wymaganych punktów końcowych zgodnie z opisem w wymaganiach zapory.

Ogólne kroki rozwiązywania problemów z łącznością z Internetem

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateStorageConnectivity w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

4. Aby sprawdzić łączność z Internetem, uruchom następujące polecenie:

   Test-NetConnection www.microsoft.com -Port 80
   

   To polecenie weryfikuje łączność z www.microsoft.com na porcie 80. Jeśli to się nie powiedzie, oznacza to problem z wychodzącą łącznością internetową.

5. Aby zweryfikować ustawienia DNS, uruchom następujące polecenie:

   Get-DnsClientServerAddress
   

   To polecenie pobiera adresy IP serwera DNS skonfigurowane na maszynie. Upewnij się, że ustawienia DNS są poprawne i dostępne.

6. Aby sprawdzić konfigurację sieci, uruchom następujące polecenie:

   Get-NetIPConfiguration
   

   To polecenie wyświetla szczegóły konfiguracji sieci. Sprawdź, czy ustawienia sieci są dokładne i zgodne ze środowiskiem sieciowym.

Łączność wystąpienia zarządzanego SQL

Problem: Łączność wychodząca z Internetu nie istnieje na serwerach testowych

Przyczyna: występuje z powodu nieprawidłowego adresu IP serwera DNS lub nieprawidłowej konfiguracji sieci.

Rozwiązanie:

1. Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.
2. Upewnij się, że sieć wirtualna, która jest używana do tworzenia wystąpienia zarządzanego programu SCOM, ma widok na serwer DNS.

Problem: Nie można skonfigurować logowania bazy danych dla tożsamości usługi zarządzanej USŁUGI zarządzanej SQL

Przyczyna: występuje, gdy tożsamość usługi zarządzanej nie jest prawidłowo skonfigurowana do uzyskiwania dostępu do wystąpienia zarządzanego SQL.

Rozwiązanie: Sprawdź, czy tożsamość usługi zarządzanej zarządzanej firmy Microsoft jest skonfigurowana jako administrator entra firmy Microsoft w wystąpieniu zarządzanym SQL. Upewnij się, że wymagane uprawnienia identyfikatora Entra firmy Microsoft są udostępniane wystąpieniu zarządzanemu SQL na potrzeby uwierzytelniania MSI w celu działania.

Problem: Nie można nawiązać połączenia z wystąpieniem mi SQL z tego wystąpienia

Przyczyna: występuje, ponieważ sieć wirtualna programu SQL MI nie jest delegowana lub nie jest prawidłowo równorzędna z siecią wirtualną wystąpienia zarządzanego SCOM.

Rozwiązanie:

1. Sprawdź, czy wystąpienie zarządzane SQL zostało poprawnie skonfigurowane.
2. Upewnij się, że sieć wirtualna, która jest używana na potrzeby tworzenia wystąpienia zarządzanego programu SCOM, ma połączenie z wystąpieniem zarządzanym SQL — w tej samej sieci wirtualnej lub przez komunikację równorzędną sieci wirtualnych.

Ogólne kroki rozwiązywania problemów z łącznością wystąpienia zarządzanego SQL

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateSQLConnectivity w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

4. Aby sprawdzić wychodzącą łączność z Internetem, uruchom następujące polecenie:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   To polecenie weryfikuje wychodzącą łączność internetową, próbując nawiązać połączenie z www.microsoft.com na porcie 80. Jeśli połączenie nie powiedzie się, oznacza to potencjalny problem z łącznością z Internetem.

5. Aby sprawdzić ustawienia DNS i konfigurację sieci, upewnij się, że adresy IP serwera DNS są poprawnie skonfigurowane i zweryfikuj ustawienia konfiguracji sieci na maszynie, na której jest wykonywana walidacja.

6. Aby przetestować połączenie wystąpienia zarządzanego SQL, uruchom następujące polecenie:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Zastąp $sqlMiName ciąg nazwą hosta wystąpienia zarządzanego SQL.

   To polecenie testuje połączenie z wystąpieniem wystąpienia zarządzanego SQL. Jeśli połączenie zakończy się pomyślnie, oznacza to, że wystąpienie zarządzane SQL jest osiągalne.

Łączność z serwerem DNS

Problem: Podany adres IP DNS (<ADRES IP> DNS) jest niepoprawny lub serwer DNS nie jest osiągalny

Rozwiązanie: Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.

Ogólne rozwiązywanie problemów z łącznością z serwerem DNS

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateDnsIpAddress w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

4. Aby sprawdzić rozpoznawanie nazw DNS dla określonego adresu IP, uruchom następujące polecenie:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Zastąp $ipAddress ciąg adresem IP, który chcesz zweryfikować.

   To polecenie sprawdza rozpoznawanie nazw DNS dla podanego adresu IP. Jeśli polecenie nie zwraca żadnych wyników lub zgłasza błąd, wskazuje potencjalny problem z rozpoznawaniem nazw DNS.

5. Aby sprawdzić łączność sieciową z adresem IP, uruchom następujące polecenie:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Zastąp $ipAddress ciąg adresem IP, który chcesz przetestować.

   To polecenie sprawdza łączność sieciową z określonym adresem IP na porcie 80. Jeśli połączenie nie powiedzie się, sugeruje to problem z łącznością sieciową.

Łączność z domeną

Problem: Kontroler domeny dla nazwy> domeny <nie jest osiągalny z tej sieci lub port nie jest otwarty na co najmniej jednym kontrolerze domeny

Przyczyna: występuje z powodu problemu z podanym adresem IP serwera DNS lub konfiguracją sieci.

Rozwiązanie:

1. Sprawdź adres IP serwera DNS i upewnij się, że serwer DNS jest uruchomiony.
2. Upewnij się, że rozpoznawanie nazw domen jest prawidłowo kierowane do wyznaczonego kontrolera domeny (DC) skonfigurowanego dla usługi Azure lub SCOM Managed Instance. Upewnij się, że ten kontroler domeny znajduje się u góry wśród rozpoznanych kontrolerów domeny. Jeśli rozwiązanie jest kierowane do różnych serwerów dc, wskazuje problem z rozpoznawaniem domeny usługi AD.
3. Sprawdź nazwę domeny i upewnij się, że kontroler domeny jest skonfigurowany dla platformy Azure i wystąpienia zarządzanego SCOM jest uruchomiony.

   Uwaga

   Porty 9389, 389/636, 88, 3268/3269, 135, 445 powinny być otwarte na kontrolerze domeny skonfigurowanym dla usługi Azure lub SCOM Managed Instance, a wszystkie usługi na kontrolerze domeny powinny być uruchomione.

Ogólne kroki rozwiązywania problemów z łącznością z domeną

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateDomainControllerConnectivity w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

4. Aby sprawdzić dostępność kontrolera domeny, uruchom następujące polecenie:

   Resolve-DnsName -Name $domainName 
   

   Zastąp $domainName ciąg nazwą domeny, którą chcesz przetestować.

   Upewnij się, że rozpoznawanie nazw domen jest prawidłowo kierowane do wyznaczonego kontrolera domeny (DC) skonfigurowanego dla usługi Azure lub SCOM Managed Instance. Upewnij się, że ten kontroler domeny znajduje się u góry wśród rozpoznanych kontrolerów domeny. Jeśli rozwiązanie jest kierowane do różnych serwerów dc, wskazuje problem z rozpoznawaniem domeny usługi AD.

5. Aby zweryfikować ustawienia serwera DNS:

   • Upewnij się, że ustawienia serwera DNS na maszynie z uruchomioną walidacją są poprawnie skonfigurowane.
   • Sprawdź, czy adresy IP serwera DNS są dokładne i dostępne.

6. Aby zweryfikować konfigurację sieci:

   • Sprawdź ustawienia konfiguracji sieci na maszynie, na której jest wykonywana walidacja.
   • Upewnij się, że maszyna jest połączona z poprawną siecią i ma niezbędne ustawienia sieciowe do komunikowania się z kontrolerem domeny.

7. Aby przetestować wymagany port na kontrolerze domeny, uruchom następujące polecenie:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Zastąp $domainName ciąg nazwą domeny, którą chcesz przetestować, i $portToCheck z każdym portem z następującego numeru listy:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Wykonaj podane polecenie dla wszystkich powyższych portów.

   To polecenie sprawdza, czy określony port jest otwarty na wyznaczonym kontrolerze domeny skonfigurowanym na potrzeby tworzenia wystąpienia zarządzanego platformy Azure lub programu SCOM. Jeśli polecenie wyświetli pomyślne połączenie, oznacza to, że wymagane porty są otwarte.

Walidacja przyłączania do domeny

Problem: Nie można dołączyć serwerów zarządzania testowego do domeny

Przyczyna: występuje z powodu nieprawidłowej ścieżki jednostki organizacyjnej, nieprawidłowych poświadczeń lub problemu z łącznością sieciową.

Rozwiązanie:

1. Sprawdź poświadczenia utworzone w magazynie kluczy. Wpis tajny nazwy użytkownika i hasła musi odzwierciedlać poprawną nazwę użytkownika i format wartości nazwy użytkownika musi być domena\nazwa użytkownika i hasło, które mają uprawnienia do dołączania maszyny do domeny. Domyślnie konta użytkowników mogą dodawać maksymalnie 10 komputerów do domeny. Aby skonfigurować, zobacz Domyślny limit liczby, jeśli stacje robocze, które użytkownik może dołączyć do domeny.
2. Sprawdź, czy ścieżka jednostki organizacyjnej jest poprawna i nie blokuje dołączania nowych komputerów do domeny.

Ogólne kroki rozwiązywania problemów dotyczące walidacji przyłączania do domeny

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateDomainJoin w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

4. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego podczas tworzenia wystąpienia zarządzanego programu SCOM. Aby dołączyć domenę do maszyny przy użyciu poświadczeń, uruchom następujące polecenie:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Zastąp nazwę użytkownika, hasło, $domainName $ouPath odpowiednimi wartościami.

   Po uruchomieniu powyższego polecenia uruchom następujące polecenie, aby sprawdzić, czy maszyna dołączyła do domeny pomyślnie:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Skojarzenie statycznego adresu IP i nazwy FQDN modułu równoważenia obciążenia

Problem: Nie można uruchomić testów, ponieważ serwery nie mogły dołączyć do domeny

Rozwiązanie: Upewnij się, że maszyny mogą dołączyć do domeny. Wykonaj kroki rozwiązywania problemów z sekcji Walidacja przyłączania do domeny.

Problem: Nie można rozpoznać nazwy DNS nazwy> DNS <

Rozwiązanie: podana nazwa DNS nie istnieje w rekordach DNS. Sprawdź nazwę DNS i upewnij się, że jest ona poprawnie skojarzona z podanym statycznym adresem IP.

Problem: Podany statyczny statyczny adres IP <> i nazwa> DNS <usługi Load Balancer nie są zgodne

Rozwiązanie: Sprawdź rekordy DNS i podaj poprawną kombinację nazw DNS/statycznych adresów IP. Aby uzyskać więcej informacji, zobacz Tworzenie statycznego adresu IP i konfigurowanie nazwy DNS.

Ogólne kroki rozwiązywania problemów dotyczące skojarzenia statycznego adresu IP i nazwy FQDN modułu równoważenia obciążenia

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateStaticIPAddressAndDnsname w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

4. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego podczas tworzenia wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

5. Pobierz adres IP i skojarzona nazwa DNS i uruchom następujące polecenia, aby sprawdzić, czy są one zgodne. Rozwiąż nazwę DNS i pobierz rzeczywisty adres IP:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Jeśli nie można rozpoznać nazwy DNS, upewnij się, że nazwa DNS jest prawidłowa i skojarzona z rzeczywistym adresem IP.

Walidacje grup komputerów

Problem: Nie można uruchomić testu, ponieważ serwery nie mogły dołączyć do domeny

Rozwiązanie: Upewnij się, że maszyny mogą dołączyć do domeny. Wykonaj kroki rozwiązywania problemów określone w sekcji Walidacja przyłączania do domeny.

Problem: Nie można odnaleźć grupy komputerów o nazwie <> grupy komputerów w domenie

Rozwiązanie: Sprawdź istnienie grupy i sprawdź podaną nazwę lub utwórz nową, jeśli jeszcze nie została utworzona.

Problem: Nazwa> grupy komputerów wejściowych grupy <komputerów nie jest zarządzana przez nazwę użytkownika domeny użytkownika <>

Rozwiązanie: przejdź do właściwości grupy i ustaw tego użytkownika jako menedżera. Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie grupy komputerów.

Problem: Nazwa użytkownika> domeny menedżera <nazwy> grupy komputerów wejściowych grupy <komputerów nie ma niezbędnych uprawnień do zarządzania członkostwem w grupie

Rozwiązanie: przejdź do właściwości grupy i zaznacz pole wyboru Zarządzaj może zaktualizować listę członkostwa. Aby uzyskać więcej informacji, zobacz Tworzenie i konfigurowanie grupy komputerów.

Ogólne kroki rozwiązywania problemów dotyczące walidacji grup komputerów

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateComputerGroup w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego podczas tworzenia wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

4. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

5. Uruchom następujące polecenie, aby zaimportować moduły:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Aby sprawdzić, czy maszyna wirtualna jest przyłączona do domeny, uruchom następujące polecenie:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Aby sprawdzić istnienie domeny i czy bieżąca maszyna jest już przyłączona do domeny, uruchom następujące polecenie:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Zastąp element $username, password odpowiednimi wartościami.

8. Aby sprawdzić istnienie użytkownika w domenie, uruchom następujące polecenie:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Zastąp element $username, $domainUserCredentials odpowiednimi wartościami

9. Aby sprawdzić istnienie grupy komputerów w domenie, uruchom następujące polecenie:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Zastąp element $computerGroupName, $domainUserCredentials odpowiednimi wartościami.

10. Jeśli użytkownik i grupa komputerów istnieją, ustal, czy użytkownik jest menedżerem grupy komputerów.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Jeśli managerCanUpdateMembership ma wartość True, użytkownik domeny ma uprawnienie do aktualizowania członkostwa w grupie komputerów. Jeśli managerCanUpdateMembership ma wartość False, nadaj grupie komputerów uprawnienie do zarządzania użytkownikiem domeny.

Walidacje konta usługi gMSA

Problem: Test nie jest uruchamiany, ponieważ serwery nie mogą dołączyć do domeny

Rozwiązanie: Upewnij się, że maszyny mogą dołączyć do domeny. Wykonaj kroki rozwiązywania problemów określone w sekcji Walidacja przyłączania do domeny.

Problem: Grupa komputerów o <nazwie> nazwa grupy komputerów nie znajduje się w domenie. Członkowie tej grupy muszą mieć możliwość pobrania hasła gMSA

Rozwiązanie: sprawdź istnienie grupy i sprawdź podaną nazwę.

Problem: usługa gMSA o <nazwie domeny gMSA> nie może zostać znaleziona w domenie

Rozwiązanie: sprawdź istnienie konta gMSA i sprawdź podaną nazwę lub utwórz nową, jeśli nie została jeszcze utworzona.

Problem: gMSA domeny gMSA <> nie jest włączona

Rozwiązanie: włącz je przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problem: gMSA domeny gMSA <> musi mieć nazwę hosta DNS ustawioną na <nazwę DNS>

Rozwiązanie: GMSA nie ma poprawnie ustawionej DNSHostName właściwości. DNSHostName Ustaw właściwość przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problem: Nazwa konta Sam dla grupy gMSA domeny gMSA <> przekracza limit 15 znaków

Rozwiązanie: ustaw SamAccountName polecenie przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problem: Nazwa> grupy komputerów grupy <komputerów musi być ustawiona jako PrincipalsAllowedToRetrieveManagedPassword dla domeny gMSA domeny gMSA <>

Rozwiązanie: GMSA nie ma PrincipalsAllowedToRetrieveManagedPassword ustawionego poprawnie. PrincipalsAllowedToRetrieveManagedPassword Ustaw polecenie przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problem: Nazwy SPN nie zostały poprawnie ustawione dla domeny gMSA domeny gMSA <>

Rozwiązanie: GMSA nie ma poprawnych nazw głównych usług. Ustaw nazwy główne usługi przy użyciu następującego polecenia:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Ogólne kroki rozwiązywania problemów z weryfikacją konta usługi gMSA

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidategMSAAccount w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego podczas tworzenia wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

4. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

5. Uruchom następujące polecenie, aby zaimportować moduły:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Aby sprawdzić, czy serwery zostały pomyślnie przyłączone do domeny, uruchom następujące polecenie:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Aby sprawdzić istnienie grupy komputerów, uruchom następujące polecenie:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Zastąp wartości nazwa użytkownika, hasło i nazwa_grupy_komputerów odpowiednimi wartościami.

8. Aby sprawdzić istnienie konta gMSA, uruchom następujące polecenie:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Aby zweryfikować właściwości konta usługi gMSA, sprawdź, czy konto gMSA jest włączone:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Jeśli polecenie zwraca wartość False, włącz konto w domenie.

10. Aby sprawdzić, czy nazwa hosta DNS konta usługi gMSA jest zgodna z podaną nazwą DNS (nazwa DNS modułu równoważenia obciążenia), uruchom następujące polecenia:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Jeśli polecenie nie zwraca oczekiwanej nazwy DNS, zaktualizuj nazwę hosta DNS usługi gMsaAccount na nazwę DNS modułu równoważenia obciążenia.

11. Upewnij się, że nazwa konta Sam dla konta usługi gMSA nie przekracza limitu 15 znaków:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Aby zweryfikować PrincipalsAllowedToRetrieveManagedPassword właściwość, uruchom następujące polecenia:

    Sprawdź, czy określona grupa komputerów jest ustawiona jako "PrincipalsAllowedToRetrieveManagedPassword" dla konta gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Zastąp gMSAAccount wartości i ComputerGroupName odpowiednimi wartościami.

13. Aby zweryfikować główne nazwy usługi (SPN) dla konta gMSA, uruchom następujące polecenie:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Sprawdź, czy wyniki mają poprawne nazwy SPN. Zastąp $dnsName ciąg nazwą DNS modułu równoważenia obciążenia podaną w procesie tworzenia wystąpienia zarządzanego programu SCOM. Zastąp ciąg $dnsHostName krótką nazwą DNS modułu równoważenia obciążenia. Na przykład: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com i MSOMSdkSvc/ContosoLB to nazwy główne usługi.

Walidacje zasad grupy

Ważne

Aby naprawić zasady obiektu zasad grupy, we współpracy z administratorem usługi Active Directory i wyklucz program System Center Operations Manager z poniższych zasad:

• Obiekty zasad grupy, które modyfikują lub zastępują konfiguracje grupy administratorów lokalnych.
• Obiekty zasad grupy dezaktywujące uwierzytelnianie sieciowe.
• Oceń obiekty zasad grupy, które utrudniają logowanie zdalne dla administratorów lokalnych.

Problem: Nie można uruchomić tego testu, ponieważ serwery nie mogły dołączyć do domeny

Rozwiązanie: Upewnij się, że maszyny przyłączą się do domeny. Wykonaj kroki rozwiązywania problemów z sekcji Walidacja przyłączania do domeny.

Problem: usługa gMSA o <nazwie gMSA> nie może zostać znaleziona w domenie. To konto musi być administratorem lokalnym na serwerze

Rozwiązanie: Sprawdź istnienie konta i upewnij się, że grupa gMSA i użytkownik domeny są częścią lokalnej grupy administratorów.

Problem: Nie <można dodać nazwy użytkownika> domeny konta i <domeny gMSA> do lokalnej grupy Administratorzy na serwerach zarządzania testowego lub nie utrwalone w grupie po aktualizacji zasad grupy

Rozwiązanie: Upewnij się, że podana nazwa użytkownika domeny i podane dane wejściowe gMSA są poprawne, łącznie z pełną nazwą (domena\konto). Sprawdź również, czy na maszynie testowej istnieją jakiekolwiek zasady grupy zastępujące lokalną grupę Administratorzy z powodu zasad utworzonych na poziomie jednostki organizacyjnej lub domeny. GMSA i użytkownik domeny muszą być częścią lokalnej grupy administratorów, aby wystąpienie zarządzane SCOM działało. Maszyny wystąpienia zarządzanego programu SCOM muszą być wykluczone z wszelkich zasad przesłaniających lokalną grupę administratorów (pracować z administratorem usługi AD).

Problem: Wystąpienie zarządzane programu SCOM nie powiodło się

Przyczyna: Zasady grupy w domenie (nazwa: <nazwa> zasad grupy) zastępują lokalną grupę Administratorzy na serwerach zarządzania testowego, w jednostkach organizacyjnych zawierających serwery lub katalog główny domeny.

Rozwiązanie: Upewnij się, że jednostka organizacyjna dla serwerów zarządzania wystąpieniami zarządzanymi SCOM (<ścieżka> jednostki organizacyjnej) nie ma wpływu na żadne zasady przesłonięcia grupy.

Ogólne kroki rozwiązywania problemów dotyczące walidacji zasad grupy

1. Wygeneruj nową maszynę wirtualną działającą w systemie Windows Server 2022 lub 2019 w wybranej podsieci na potrzeby tworzenia wystąpienia zarządzanego programu SCOM. Zaloguj się do maszyny wirtualnej i skonfiguruj serwer DNS tak, aby używał tego samego adresu IP DNS, który został użyty podczas tworzenia wystąpienia zarządzanego programu SCOM.

2. Możesz wykonać instrukcje krok po kroku podane poniżej lub jeśli znasz program PowerShell, wykonaj określone sprawdzenie o nazwie Invoke-ValidateLocalAdminOverideByGPO w skrypcie ScomValidation.ps1 . Aby uzyskać więcej informacji na temat uruchamiania skryptu weryfikacji niezależnie na maszynie testowej, zobacz Ogólne wskazówki dotyczące uruchamiania skryptu sprawdzania poprawności.

3. Dołącz maszynę wirtualną do domeny przy użyciu konta domeny używanego podczas tworzenia wystąpienia zarządzanego programu SCOM. Aby dołączyć maszynę wirtualną do domeny, wykonaj kroki opisane w sekcji Walidacja przyłączania do domeny.

4. Otwórz program PowerShell ISE w trybie administracyjnym i ustaw wartość Set-ExecutionPolicy jako Bez ograniczeń.

5. Uruchom następujące polecenia, aby zaimportować moduły:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Aby sprawdzić, czy serwery zostały pomyślnie przyłączone do domeny, uruchom następujące polecenie:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Polecenie musi zwrócić wartość True.

7. Aby sprawdzić istnienie konta gMSA, uruchom następujące polecenie:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Aby zweryfikować obecność kont użytkowników w lokalnej grupie Administratorzy, uruchom następujące polecenie:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   Zastąp wartości <UserName> i <GmsaAccount> wartościami rzeczywistymi.

9. Aby określić szczegóły domeny i jednostki organizacyjnej, uruchom następujące polecenie:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   Zastąp nazwę <OuPathDN> rzeczywistą ścieżką jednostki organizacyjnej.

10. Aby uzyskać raport obiektu zasad grupy (obiekt zasad grupy) z domeny i sprawdzić, czy zasady zastępowania w lokalnej grupie Administratorzy, uruchom następujące polecenie:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Jeśli wykonanie skryptu wyświetli ostrzeżenie o błędzie Walidacja nie powiodło się, istnieją zasady (nazwa jak w komunikacie ostrzegawczym), które zastępują lokalną grupę administratorów. Zapoznaj się z administratorem usługi Active Directory i wyklucz serwer zarządzania programu System Center Operations Manager z zasad.