Solucionar erros comumente encontrados ao validar parâmetros de entrada

Este artigo descreve os erros que podem ocorrer ao validar parâmetros de entrada e como resolve-los.

Se você encontrar problemas ao criar parâmetros locais, use esse script para obter assistência.

Esse script foi projetado para ajudar a solucionar problemas e resolve problemas relacionados à criação de parâmetros locais. Acesse o script e utilize suas funcionalidades para resolver quaisquer dificuldades que você possa encontrar durante a criação de parâmetros locais.

Siga estas etapas para executar o script:

1. Baixe o script e execute-o com a opção -Help para obter os parâmetros.
2. Entre com credenciais de domínio em um computador ingressado no domínio. O computador deve estar em um domínio usado para Instância Gerenciada SCOM. Depois de entrar, execute o script com os parâmetros especificados.
3. Se alguma validação falhar, execute as ações corretivas conforme sugerido pelo script e execute novamente o script até que ele passe todas as validações.
4. Depois que todas as validações forem bem-sucedidas, use os mesmos parâmetros usados no script, por exemplo, a criação.

Verificações e detalhes de validação

Validação	Descrição
Verificações de validação de entrada do Azure
Configurando pré-requisitos no computador de teste	1. Instalar o módulo do PowerShell do AD. 2. Instale Política de Grupo módulo do PowerShell.
Conectividade com a Internet	Verifica se a conectividade com a Internet de saída está disponível nos servidores de teste.
Conectividade de MI do SQL	Verifica se a MI do SQL fornecida pode ser acessada da rede na qual os servidores de teste são criados.
Conectividade do servidor DNS	Verifica se o IP do servidor DNS fornecido está acessível e resolvido para um servidor DNS válido.
Conectividade de domínio	Verifica se o nome de domínio fornecido está acessível e resolvido para um domínio válido.
Validação de ingresso no domínio	Verifica se a junção de domínio é bem-sucedida usando o Caminho da UO e as credenciais de domínio fornecidas.
Associação FQDN de IP estático e LB	Verifica se um registro DNS foi criado para o IP estático fornecido em relação ao nome DNS fornecido.
Validações de grupo de computadores	Verifica se o grupo de computadores fornecido é gerenciado pelo usuário de domínio fornecido e o gerente pode atualizar a associação ao grupo.
Validações de conta gMSA	Verifica se o gMSA fornecido: – está habilitado. - Tem seu Nome de Host DNS definido como o nome DNS fornecido do LB. - Tem um tamanho de nome de conta SAM de 15 caracteres ou menos. - Tem o conjunto de SPNs correto. A senha pode ser recuperada por membros do grupo de computadores fornecido.
Validações de política de grupo	Verifica se o domínio (ou o Caminho da UO, que hospeda os servidores de gerenciamento) é afetado por qualquer política de grupo, o que alterará o grupo administradores local.
Pós-validação limpo-up	Unjoin from the domain.

Diretrizes gerais para executar o script de validação

Durante o processo de integração, uma validação é realizada no estágio/guia de validação. Se todas as validações forem bem-sucedidas, você poderá prosseguir para o estágio final da criação de Instância Gerenciada do SCOM. No entanto, se alguma validação falhar, você não poderá prosseguir com a criação.

Nos casos em que várias validações falham, a melhor abordagem é resolver todos os problemas de uma só vez executando manualmente um script de validação em um computador de teste.

Importante

Inicialmente, crie um novo teste da VM (máquina virtual) do Windows Server (2022/2019) na mesma sub-rede selecionada para criação de Instância Gerenciada SCOM. Posteriormente, o administrador do AD e o administrador de rede podem utilizar individualmente essa VM para verificar a eficácia de suas respectivas alterações. Essa abordagem economiza significativamente o tempo gasto na comunicação entre o administrador do AD e o administrador de rede.

Siga estas etapas para executar o script de validação:

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada. Por exemplo, veja abaixo:

   

2. Baixe o script de validação para a VM de teste e extraia. Ele consiste em cinco arquivos:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Siga as etapas mencionadas no arquivo Readme.txt para executar o RunValidationAsSCOMAdmin.ps1. Certifique-se de preencher o valor de configurações em RunValidationAsSCOMAdmin.ps1 com os valores aplicáveis antes de executá-lo.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. Em geral, RunValidationAsSCOMAdmin.ps1 executa todas as validações. Se você quiser executar uma marcar específica, abra ScomValidation.ps1 e comente todas as outras verificações, que estão no final do arquivo. Você também pode adicionar um ponto de interrupção no marcar específico para depurar o marcar e entender melhor os problemas.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. O script de validação exibe todas as verificações de validação e seus respectivos erros, o que ajudará a resolver os problemas de validação. Para resolução rápida, execute o script no ISE do PowerShell com o ponto de interrupção, o que pode acelerar o processo de depuração.

   Se todas as verificações forem aprovadas com êxito, retorne à página de integração e reinicie o processo de integração novamente.

Conectividade com a Internet

Problema: a conectividade com a Internet de saída não existe nos servidores de teste

Causa: Ocorre devido a um IP do servidor DNS incorreto ou a uma configuração de rede incorreta.

Resolução:

1. Verifique o IP do servidor DNS e verifique se o servidor DNS está em execução.
2. Verifique se a VNet, que está sendo usada para criação de Instância Gerenciada SCOM, tem linha de visão para o servidor DNS.

Problema: não é possível se conectar à conta de armazenamento para baixar bits de produto do SCOM Instância Gerenciada

Causa: Ocorre devido a um problema com sua conectividade com a Internet.

Resolução: Verifique se a VNet que está sendo usada para a criação do SCOM Instância Gerenciada tem acesso à Internet de saída criando uma máquina virtual de teste na mesma sub-rede que o SCOM Instância Gerenciada e teste a conectividade de saída da máquina virtual de teste.

Problema: falha no teste de conectividade com a Internet. Os pontos de extremidade necessários não podem ser acessados pela VNet

Causa: ocorre devido a um IP do servidor DNS incorreto ou a uma configuração de rede incorreta.

Resolução:

• Verifique o IP do servidor DNS e verifique se o servidor DNS está em execução.

• Verifique se a VNet, que está sendo usada para criação de Instância Gerenciada SCOM, tem linha de visão para o servidor DNS.

• Verifique se o Instância Gerenciada do SCOM tem acesso à Internet de saída e se o NSG/Firewall está configurado corretamente para permitir o acesso aos pontos de extremidade necessários, conforme descrito nos requisitos de firewall.

Etapas gerais de solução de problemas para conectividade com a Internet

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute o marcar específico chamado Invoke-ValidateStorageConnectivity no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Abra o ISE do PowerShell no modo de administração e defina Set-ExecutionPolicy como Irrestrito.

4. Para marcar a conectividade com a Internet, execute o seguinte comando:

   Test-NetConnection www.microsoft.com -Port 80
   

   Esse comando verifica a conectividade com www.microsoft.com na porta 80. Se isso falhar, isso indicará um problema com a conectividade com a Internet de saída.

5. Para verificar as configurações de DNS, execute o seguinte comando:

   Get-DnsClientServerAddress
   

   Esse comando recupera os endereços IP do servidor DNS configurados no computador. Verifique se as configurações de DNS estão corretas e acessíveis.

6. Para marcar a configuração de rede, execute o seguinte comando:

   Get-NetIPConfiguration
   

   Esse comando exibe os detalhes da configuração de rede. Verifique se as configurações de rede são precisas e correspondem ao seu ambiente de rede.

Conectividade de MI do SQL

Problema: a conectividade com a Internet de saída não existe nos servidores de teste

Causa: Ocorre devido a um IP do servidor DNS incorreto ou a uma configuração de rede incorreta.

Resolução:

1. Verifique o IP do servidor DNS e verifique se o servidor DNS está em execução.
2. Verifique se a VNet, que está sendo usada para a criação de Instância Gerenciada SCOM, tem linha de visão para o servidor DNS.

Problema: falha ao configurar o logon do BD para MSI na instância gerenciada de SQL

Causa: ocorre quando o MSI não está configurado corretamente para acessar a instância gerenciada de SQL.

Resolução: verifique se o MSI está configurado como Microsoft Entra Administração na instância gerenciada de SQL. Verifique se as permissões de Microsoft Entra ID necessárias são fornecidas à instância gerenciada do SQL para que a autenticação MSI funcione.

Problema: falha ao se conectar à MI do SQL desta instância

Causa: Ocorre porque a VNet da MI do SQL não é delegada ou não está emparelhada corretamente com o SCOM Instância Gerenciada VNet.

Resolução:

1. Verifique se a MI do SQL está configurada corretamente.
2. Verifique se a VNet, que está sendo usada para a criação de Instância Gerenciada SCOM, tem linha de visão para a MI do SQL, seja estando na mesma VNet ou por emparelhamento VNet.

Etapas gerais de solução de problemas para conectividade de MI do SQL

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do Instância Gerenciada do SCOM.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute as marcar específicas chamadas Invoke-ValidateSQLConnectivity no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Abra o ISE do PowerShell no modo de administrador e defina Set-ExecutionPolicy como Irrestrito.

4. Para marcar a conectividade com a Internet de saída, execute o seguinte comando:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Esse comando verifica a conectividade com a Internet de saída tentando estabelecer uma conexão com www.microsoft.com na porta 80. Se a conexão falhar, isso indicará um possível problema com a conectividade com a Internet.

5. Para verificar as configurações de DNS e a configuração de rede, verifique se os endereços IP do servidor DNS estão configurados corretamente e valide as definições de configuração de rede no computador em que a validação está sendo executada.

6. Para testar a conexão de MI do SQL, execute o seguinte comando:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Substitua $sqlMiName pelo nome do host da MI do SQL.

   Esse comando testa a conexão com a instância de MI do SQL. Se a conexão for bem-sucedida, ela indicará que a MI do SQL está acessível.

Conectividade do servidor DNS

Problema: o IP DNS fornecido (<IP> DNS) está incorreto ou o servidor DNS não está acessível

Resolução: Verifique o IP do servidor DNS e verifique se o Servidor DNS está em execução.

Solução de problemas gerais para conectividade do servidor DNS

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do Instância Gerenciada do SCOM.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute as marcar específicas chamadas Invoke-ValidateDnsIpAddress no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Abra o ISE do PowerShell no modo de administrador e defina Set-ExecutionPolicy como Irrestrito.

4. Para marcar a resolução DNS para o endereço IP especificado, execute o seguinte comando:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Substitua $ipAddress pelo endereço IP que você deseja validar.

   Esse comando verifica a resolução DNS para o endereço IP fornecido. Se o comando não retornar nenhum resultado ou gerar um erro, ele indicará um possível problema com a resolução DNS.

5. Para verificar a conectividade de rede com o endereço IP, execute o seguinte comando:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Substitua $ipAddress pelo endereço IP que você deseja testar.

   Esse comando verifica a conectividade de rede com o endereço IP especificado na porta 80. Se a conexão falhar, ele sugerirá um problema de conectividade de rede.

Conectividade de domínio

Problema: o controlador de domínio para o nome> de domínio <não está acessível nessa rede ou a porta não está aberta em pelo menos um controlador de domínio

Causa: Ocorre devido a um problema com o IP do servidor DNS fornecido ou sua configuração de rede.

Resolução:

1. Verifique o IP do servidor DNS e verifique se o Servidor DNS está em execução.
2. Verifique se a resolução de nome de domínio é direcionada corretamente para o CONTROLADOR de Domínio (DC) designado configurado para a Instância Gerenciada do Azure ou do SCOM. Confirme se esse controlador de domínio está listado na parte superior entre os controladores de domínio resolvidos. Se a resolução for direcionada para diferentes servidores DC, isso indicará um problema com a resolução de domínio do AD.
3. Verifique o nome de domínio e verifique se o controlador de domínio configurado para o Azure e o SCOM Instância Gerenciada está em execução.

   Observação

   As portas 9389, 389/636, 88, 3268/3269, 135, 445 devem estar abertas no DC configurado para a Instância Gerenciada do Azure ou SCOM e todos os serviços no DC devem estar em execução.

Etapas gerais de solução de problemas para conectividade de domínio

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do Instância Gerenciada do SCOM.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute as marcar específicas chamadas Invoke-ValidateDomainControllerConnectivity no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Abra o ISE do PowerShell no modo de administrador e defina Set-ExecutionPolicy como Irrestrito.

4. Para marcar a acessibilidade do controlador de domínio, execute o seguinte comando:

   Resolve-DnsName -Name $domainName 
   

   Substitua $domainName pelo nome do domínio que você deseja testar.

   Verifique se a resolução de nome de domínio é direcionada corretamente para o CONTROLADOR de Domínio (DC) designado configurado para a Instância Gerenciada do Azure ou do SCOM. Confirme se esse controlador de domínio está listado na parte superior entre os controladores de domínio resolvidos. Se a resolução for direcionada para diferentes servidores DC, isso indicará um problema com a resolução de domínio do AD.

5. Para verificar as configurações do servidor DNS:

   • Verifique se as configurações do servidor DNS no computador que executa a validação estão configuradas corretamente.
   • Verifique se os endereços IP do servidor DNS são precisos e acessíveis.

6. Para validar a configuração de rede:

   • Verifique as definições de configuração de rede no computador em que a validação está sendo executada.
   • Verifique se o computador está conectado à rede correta e se tem as configurações de rede necessárias para se comunicar com o controlador de domínio.

7. Para testar a porta necessária no controlador de domínio, execute o seguinte comando:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Substitua $domainName pelo nome do domínio que você deseja testar e $portToCheck por cada porta do seguinte número de lista:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Execute o comando fornecido para todas as portas acima.

   Esse comando verifica se a porta especificada está aberta no controlador de domínio designado configurado para criação de Instância Gerenciada do Azure ou SCOM. Se o comando mostrar uma conexão bem-sucedida, ele indicará que as portas necessárias estão abertas.

Validação de ingresso no domínio

Problema: os servidores de gerenciamento de teste falharam ao ingressar no domínio

Causa: Ocorre devido a um caminho de UO incorreto, credenciais incorretas ou um problema na conectividade de rede.

Resolução:

1. Verifique as credenciais criadas no cofre de chaves. O nome de usuário e o segredo da senha devem refletir o nome de usuário e o formato corretos do valor de nome de usuário devem ser domínio\nome de usuário e senha, que têm permissões para ingressar um computador no domínio. Por padrão, as contas de usuário só podem adicionar até 10 computadores ao domínio. Para configurar, consulte Limite padrão para número se as estações de trabalho que um usuário pode ingressar no domínio.
2. Verifique se o Caminho da UO está correto e se não impede que novos computadores ingressem no domínio.

Etapas gerais de solução de problemas para validação de ingresso no domínio

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute o marcar específico chamado Invoke-ValidateDomainJoin no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Abra o ISE do PowerShell no modo de administração e defina Set-ExecutionPolicy como Irrestrito.

4. Ingresse a VM em um domínio usando a conta de domínio usada no SCOM Instância Gerenciada criação. Para ingressar o domínio em um computador usando credenciais, execute o seguinte comando:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Substitua o nome de usuário, a senha, $domainName $ouPath pelos valores corretos.

   Depois de executar o comando acima, execute o seguinte comando para marcar se o computador ingressou no domínio com êxito:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Associação FQDN de IP estático e LB

Problema: não foi possível executar testes, pois os servidores falharam ao ingressar no domínio

Resolução: Verifique se os computadores podem ingressar no domínio. Siga as etapas de solução de problemas na seção Validação de ingresso no domínio.

Problema: O nome> DNS do nome <DNS não pôde ser resolvido

Resolução: O Nome DNS fornecido não existe nos registros DNS. Verifique o nome DNS e verifique se ele está associado corretamente ao IP estático fornecido.

Problema: o IP> estático <fornecido e Load Balancer nome> DNS DNS <não corresponde

Resolução: Verifique os registros DNS e forneça a combinação de IP estático/nome DNS correto. Para obter mais informações, consulte Criar um IP estático e configurar o nome DNS.

Etapas gerais de solução de problemas para ip estático e associação FQDN lb

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute o marcar específico chamado Invoke-ValidateStaticIPAddressAndDnsname no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Abra o ISE do PowerShell no modo de administração e defina Set-ExecutionPolicy como Irrestrito.

4. Ingresse a máquina virtual em um domínio usando a conta de domínio usada no SCOM Instância Gerenciada criação. Para ingressar a máquina virtual no domínio, siga as etapas fornecidas na seção Validação de ingresso no domínio.

5. Obtenha o endereço IP e o nome DNS associado e execute os comandos a seguir para ver se eles correspondem. Resolva o nome DNS e busque o endereço IP real:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Se o nome DNS não puder ser resolvido, verifique se o nome DNS é válido e associado ao endereço IP real.

Validações de grupo de computadores

Problema: não foi possível executar o teste, pois os servidores falharam ao ingressar no domínio

Resolução: Verifique se os computadores podem ingressar no domínio. Siga as etapas de solução de problemas especificadas na seção Validação de ingresso no domínio.

Problema: não foi possível encontrar o grupo de computadores com nome <de> grupo de computadores em seu domínio

Resolução: Verifique a existência do grupo e marcar o nome fornecido ou crie um novo caso ainda não tenha sido criado.

Problema: o nome> do grupo de computadores de entrada do grupo <de computadores não é gerenciado pelo nome de usuário do domínio do usuário <>

Resolução: Navegue até as propriedades do grupo e defina esse usuário como o gerente. Para obter mais informações, consulte Criar e configurar um grupo de computadores.

Problema: o nome> de usuário do domínio do gerenciador <do nome> do grupo de computadores de entrada do grupo <de computadores não tem as permissões necessárias para gerenciar a associação ao grupo

Resolução: Navegue até as propriedades do Grupo e marcar caixa de seleção Gerenciar pode atualizar a lista de associações. Para obter mais informações, consulte Criar e configurar um grupo de computadores.

Etapas gerais de solução de problemas para validações de grupo de computadores

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute o marcar específico chamado Invoke-ValidateComputerGroup no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Ingresse a VM em um domínio usando a conta de domínio usada no SCOM Instância Gerenciada criação. Para ingressar a máquina virtual no domínio, siga as etapas fornecidas na seção Validação de ingresso no domínio.

4. Abra o ISE do PowerShell no modo de administração e defina Set-ExecutionPolicy como Irrestrito.

5. Execute o seguinte comando para importar módulos:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Para verificar se a VM está ingressada no domínio, execute o seguinte comando:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Para verificar a existência do domínio e se o computador atual já está ingressado no domínio, execute o seguinte comando:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Substitua $username, password pelos valores aplicáveis.

8. Para verificar a existência do usuário no domínio, execute o seguinte comando:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Substituir $username, $domainUserCredentials por valores aplicáveis

9. Para verificar a existência do grupo de computadores no domínio, execute o seguinte comando:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Substitua $computerGroupName, $domainUserCredentials pelos valores aplicáveis.

10. Se o usuário e o grupo de computadores existirem, determine se o usuário é o gerente do grupo de computadores.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Se managerCanUpdateMembership for True, o usuário do domínio terá permissão de associação de atualização no grupo de computadores. Se managerCanUpdateMembership for False, dê ao grupo de computadores permissão de gerenciamento para o usuário de domínio.

Validações de conta gMSA

Problema: o teste não é executado, pois os servidores falharam ao ingressar no domínio

Resolução: Verifique se os computadores podem ingressar no domínio. Siga as etapas de solução de problemas especificadas na seção Validação de ingresso no domínio.

Problema: o grupo de computadores com nome <de grupo> de computadores não é encontrado em seu domínio. Os membros desse grupo devem ser capazes de recuperar a senha gMSA

Resolução: Verifique a existência do grupo e marcar o nome fornecido.

Problema: não foi possível encontrar gMSA com domínio de nome <gMSA> em seu domínio

Resolução: Verifique a existência da conta gMSA e marcar o nome fornecido ou crie um novo caso ainda não tenha sido criado.

Problema: o domínio gMSA <gMSA> não está habilitado

Resolução: Habilite-o usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problema: o domínio gMSA <gMSA> precisa ter seu Nome de Host DNS definido como <Nome DNS>

Resolução: O gMSA não tem a DNSHostName propriedade definida corretamente. Defina a DNSHostName propriedade usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problema: o nome da conta sam para gMSA domínio gMSA <> excede o limite de 15 caracteres

Resolução: Defina o SamAccountName usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problema: o nome> do grupo de computadores do Grupo <de Computadores precisa ser definido como PrincipalsAllowedToRetrieveManagedPassword para gMSA <domain gMSA>

Resolução: A gMSA não foi PrincipalsAllowedToRetrieveManagedPassword definida corretamente. Defina o PrincipalsAllowedToRetrieveManagedPassword usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problema: os SPNs não foram definidos corretamente para o domínio gMSA <gMSA>

Resolução: O gMSA não tem nomes de entidade de serviço corretos definidos. Defina os Nomes da Entidade de Serviço usando o seguinte comando:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Etapas gerais de solução de problemas para validações de conta gMSA

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute o marcar específico chamado Invoke-ValidategMSAAccount no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Ingresse a VM em um domínio usando a conta de domínio usada no SCOM Instância Gerenciada criação. Para ingressar a máquina virtual no domínio, siga as etapas fornecidas na seção Validação de ingresso no domínio.

4. Abra o ISE do PowerShell no modo de administração e defina Set-ExecutionPolicy como Irrestrito.

5. Execute o seguinte comando para importar módulos:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Para verificar se os servidores ingressaram com êxito no domínio, execute o seguinte comando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Para marcar a existência do grupo de computadores, execute o seguinte comando:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Substitua nome de usuário, senha e computerGroupName pelos valores aplicáveis.

8. Para marcar a existência da conta gMSA, execute o seguinte comando:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Para validar as propriedades da conta gMSA, marcar se a conta gMSA estiver habilitada:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Se o comando retornar False, habilite a conta no domínio.

10. Para verificar se o Nome do Host DNS da conta gMSA corresponde ao nome DNS fornecido (nome DNS lb), execute os seguintes comandos:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Se o comando não retornar o nome DNS esperado, atualize o Nome do Host DNS de gMsaAccount para o nome DNS lb.

11. Verifique se o Nome da Conta sam para a conta gMSA não excede o limite de 15 caracteres:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Para validar a PrincipalsAllowedToRetrieveManagedPassword propriedade, execute os seguintes comandos:

    Verifique se o Grupo de Computadores especificado está definido como 'PrincipalsAllowedToRetrieveManagedPassword'' para a conta gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Substitua gMSAAccount e ComputerGroupName por valores aplicáveis.

13. Para validar os SPNs (Nomes da Entidade de Serviço) para a conta gMSA, execute o seguinte comando:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Verifique se os resultados têm SPNs Corretos. Substitua pelo $dnsName nome DNS lb fornecido na criação de Instância Gerenciada do SCOM. Substitua pelo $dnsHostName nome curto DNS lb. Por exemplo: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com e MSOMSdkSvc/ContosoLB são nomes de entidade de serviço.

Validações de política de grupo

Importante

Para corrigir políticas de GPO, colabore com seu administrador do Active Directory e exclua o System Center Operations Manager das políticas abaixo:

• GPOs que modificam ou substituem as configurações de grupo de administradores locais.
• GPOs que desativam a autenticação de rede.
• Avalie GPOs impedindo a entrada remota para administradores locais.

Problema: este teste não pôde ser executado, pois os servidores falharam ao ingressar no domínio

Resolução: Verifique se os computadores ingressam no domínio. Siga as etapas de solução de problemas na seção Validação de ingresso no domínio.

Problema: não foi possível encontrar gMSA com domínio de nome <gMSA> em seu domínio. Essa conta precisa ser um administrador local no servidor

Resolução: Verifique a existência da conta e verifique se o gMSA e o usuário de domínio fazem parte do grupo de administradores locais.

Problema: o nome de usuário> do domínio de contas <e <o domínio gMSA> não puderam ser adicionados ao grupo administradores locais nos servidores de gerenciamento de teste ou não persistiram no grupo após a atualização da política de grupo

Resolução: Verifique se o nome de usuário do domínio e as entradas gMSA fornecidas estão corretas, incluindo o nome completo (domain\account). Além disso, marcar se houver políticas de grupo em seu computador de teste substituindo o grupo administradores local devido a políticas criadas no nível da UO ou do domínio. O gMSA e o usuário de domínio devem fazer parte do grupo de administradores local para que o SCOM Instância Gerenciada funcione. Os computadores SCOM Instância Gerenciada devem ser excluídos de qualquer política que substitua o grupo de administradores local (trabalhe com o administrador do AD).

Problema: falha no Instância Gerenciada do SCOM

Causa: Uma política de grupo em seu domínio (nome: <nome> da política de grupo) está substituindo o grupo administradores locais em servidores de gerenciamento de teste, seja na UO que contém os servidores ou na raiz do domínio.

Resolução: Verifique se a UO para servidores de gerenciamento de Instância Gerenciada SCOM (<Caminho> da UO) não é afetada por nenhuma política substituir o grupo.

Etapas gerais de solução de problemas para validações de política de grupo

1. Gere uma nova VM (máquina virtual) em execução no Windows Server 2022 ou 2019 na sub-rede escolhida para criação de Instância Gerenciada SCOM. Entre na VM e configure seu servidor DNS para usar o mesmo IP DNS utilizado durante a criação do SCOM Instância Gerenciada.

2. Você pode seguir as instruções passo a passo fornecidas abaixo ou, se estiver familiarizado com o PowerShell, execute o marcar específico chamado Invoke-ValidateLocalAdminOverideByGPO no script ScomValidation.ps1. Para obter mais informações sobre como executar o script de validação independentemente em seu computador de teste, consulte Diretrizes gerais para executar o script de validação.

3. Ingresse a VM em um domínio usando a conta de domínio usada no SCOM Instância Gerenciada criação. Para ingressar a máquina virtual no domínio, siga as etapas fornecidas na seção Validação de ingresso no domínio.

4. Abra o ISE do PowerShell no modo de administração e defina Set-ExecutionPolicy como Irrestrito.

5. Execute os seguintes comandos para importar módulos:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Para verificar se os servidores ingressaram com êxito no domínio, execute o seguinte comando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   O comando deve retornar True.

7. Para marcar a existência da conta gMSA, execute o seguinte comando:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Para validar a presença de contas de usuário no grupo Administradores local, execute o seguinte comando:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   Substitua e <UserName><GmsaAccount> pelos valores reais.

9. Para determinar os detalhes do domínio e da UO (unidade organizacional), execute o seguinte comando:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   Substitua o <OuPathDN> pelo caminho de UO real.

10. Para obter o relatório GPO (objeto Política de Grupo) do domínio e marcar para substituir políticas no grupo administradores local, execute o seguinte comando:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Se a execução do script fornecer um aviso como Falha de Validação, haverá uma política (nome como na mensagem de aviso) que substitui o grupo de administradores locais. Verifique com o administrador do Active Directory e exclua o servidor de gerenciamento do System Center Operations Manager da política.