Устранение распространенных ошибок при проверке входных параметров

В этой статье описываются ошибки, которые могут возникать при проверке входных параметров и их устранении.

Если при создании локальных параметров возникают какие-либо проблемы, воспользуйтесь этим скриптом для помощи.

Этот скрипт предназначен для устранения неполадок и устранения проблем, связанных с созданием локальных параметров. Доступ к скрипту и использование его функций для решения любых трудностей, которые могут возникнуть во время создания локальных параметров.

Выполните следующие действия, чтобы запустить скрипт:

1. Скачайте скрипт и запустите его с помощью параметра -Help , чтобы получить параметры.
2. Войдите с помощью учетных данных домена на компьютер, присоединенный к домену. Компьютер должен находиться в домене, используемом для SCOM Управляемый экземпляр. После входа запустите скрипт с указанными параметрами.
3. Если любая проверка завершается ошибкой, выполните корректирующие действия, предложенные скриптом, и повторно запустите скрипт, пока не пройдет все проверки.
4. После успешного выполнения всех проверок используйте те же параметры, которые используются в скрипте, для создания экземпляра.

Проверки и сведения

Проверка	Description
Проверка входных данных Azure
Настройка необходимых компонентов на тестовом компьютере	1. Установите модуль AD PowerShell. 2. Установите модуль PowerShell групповой политики.
Подключение к Интернету	Проверяет, доступен ли исходящий интернет-подключение на тестовых серверах.
Подключение к SQL MI	Проверяет, доступен ли указанный экземпляр MI SQL из сети, на которой создаются тестовые серверы.
Подключение DNS-сервера	Проверяет, доступен ли указанный IP-адрес DNS-сервера и разрешен к допустимому DNS-серверу.
Подключение к домену	Проверяет, доступен ли указанный домен и разрешен в допустимый домен.
Проверка присоединения к домену	Проверяет, успешно ли присоединение к домену использует предоставленные путь подразделения и учетные данные домена.
Сопоставление полного доменного имени статического IP-адреса и LB	Проверяет, была ли создана запись DNS для предоставленного статического IP-адреса по указанному DNS-имени.
Проверка группы компьютеров	Проверяет, управляется ли указанная группа компьютеров предоставленным пользователем домена, а менеджер может обновить членство в группах.
Проверка учетной записи gMSA	Проверяет, включена ли указанная gMSA. — имеет имя узла DNS в указанном DNS-имени подсистемы балансировки нагрузки. — длина имени учетной записи SAM составляет 15 символов или меньше. — имеет правильный набор субъектов-служб. Пароль можно получить участниками предоставленной группы компьютеров.
Проверки групповой политики	Проверяет, влияет ли домен (или путь подразделения, на котором размещаются серверы управления) любой групповой политикой, которая изменит локальную группу администраторов.
Очистка после проверки	Отсоединяйтесь от домена.

Общие рекомендации по выполнению скрипта проверки

Во время процесса подключения проверка проводится на этапе или вкладке проверки. Если все проверки успешно завершены, можно перейти к последнему этапу создания SCOM Управляемый экземпляр. Однако если какие-либо проверки завершались сбоем, вы не можете продолжить создание.

В случаях, когда сбой нескольких проверок, лучше всего решить все проблемы одновременно, выполнив скрипт проверки на тестовом компьютере вручную.

Внимание

Изначально создайте тестовую виртуальную машину Windows Server (2022/2019) в той же подсети, выбранной для создания SCOM Управляемый экземпляр. Впоследствии администратор AD и администратор сети могут отдельно использовать эту виртуальную машину для проверки эффективности соответствующих изменений. Этот подход значительно экономит время, затраченное на обратную связь между администратором AD и администратором сети.

Выполните следующие действия, чтобы запустить скрипт проверки:

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM. Например, см. ниже:

   

2. Скачайте скрипт проверки на тестовую виртуальную машину и извлеките его. Он состоит из пяти файлов:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Выполните действия, описанные в файле Readme.txt, чтобы запустить RunValidationAsSCOMAdmin.ps1. Перед запуском заполните значение параметров в RunValidationAsSCOMAdmin.ps1 с применимыми значениями.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. Как правило, RunValidationAsSCOMAdmin.ps1 выполняет все проверки. Если вы хотите выполнить определенную проверку, откройте ScomValidation.ps1 и закомментируйте все остальные проверки, которые находятся в конце файла. Вы также можете добавить точку останова в конкретную проверку для отладки проверки и лучшего понимания проблем.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Скрипт проверки отображает все проверки и соответствующие ошибки, которые помогут устранить проблемы проверки. Для быстрого разрешения запустите скрипт в среде сценариев PowerShell с точкой останова, которая может ускорить процесс отладки.

   Если все проверки успешно пройдены, вернитесь на страницу подключения и перезапустите процесс подключения снова.

Подключение к Интернету

Проблема. Исходящее подключение к Интернету не существует на тестовых серверах

Причина. Возникает из-за неправильного IP-адреса DNS-сервера или неправильной конфигурации сети.

Решение.

1. Проверьте IP-адрес DNS-сервера и убедитесь, что DNS-сервер работает и работает.
2. Убедитесь, что виртуальная сеть, которая используется для создания SCOM Управляемый экземпляр, имеет вид на DNS-сервер.

Проблема. Не удается подключиться к учетной записи хранения, чтобы скачать SCOM Управляемый экземпляр биты продукта

Причина. Возникает из-за проблемы с подключением к Интернету.

Разрешение. Убедитесь, что виртуальная сеть, используемая для создания SCOM Управляемый экземпляр, имеет исходящий доступ к Интернету, создав тестовую виртуальную машину в той же подсети, что и SCOM Управляемый экземпляр и проверить исходящее подключение из тестовой виртуальной машины.

Проблема: сбой теста подключения к Интернету. Необходимые конечные точки недоступны из виртуальной сети

Причина. Возникает из-за неправильного IP-адреса DNS-сервера или неправильной конфигурации сети.

Решение.

• Проверьте IP-адрес DNS-сервера и убедитесь, что DNS-сервер работает и работает.

• Убедитесь, что виртуальная сеть, которая используется для создания SCOM Управляемый экземпляр, имеет вид на DNS-сервер.

• Убедитесь, что Управляемый экземпляр SCOM имеет исходящий доступ к Интернету, а NSG/Брандмауэр настроен правильно, чтобы разрешить доступ к необходимым конечным точкам, как описано в требованиях к брандмауэру.

Общие действия по устранению неполадок для подключения к Интернету

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateStorageConnectivity в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

4. Чтобы проверить подключение к Интернету, выполните следующую команду:

   Test-NetConnection www.microsoft.com -Port 80
   

   Эта команда проверяет подключение к www.microsoft.com через порт 80. Если это не удается, это означает проблему с исходящим подключением к Интернету.

5. Чтобы проверить параметры DNS, выполните следующую команду:

   Get-DnsClientServerAddress
   

   Эта команда извлекает IP-адреса DNS-сервера, настроенные на компьютере. Убедитесь, что параметры DNS являются правильными и доступными.

6. Чтобы проверить конфигурацию сети, выполните следующую команду:

   Get-NetIPConfiguration
   

   Эта команда отображает сведения о конфигурации сети. Убедитесь, что параметры сети точны и соответствуют сетевой среде.

Подключение к SQL MI

Проблема. Исходящее подключение к Интернету не существует на тестовых серверах

Причина. Происходит из-за неправильного IP-адреса DNS-сервера или неправильной конфигурации сети.

Решение.

1. Проверьте IP-адрес DNS-сервера и убедитесь, что DNS-сервер запущен и запущен.
2. Убедитесь, что виртуальная сеть, которая используется для создания SCOM Управляемый экземпляр, имеет вид на DNS-сервер.

Проблема. Не удалось настроить имя входа базы данных для MSI в управляемом экземпляре SQL

Причина. Возникает, когда MSI не настроен для доступа к управляемому экземпляру SQL.

Разрешение. Проверьте, настроен ли MSI в качестве администратора Microsoft Entra в управляемом экземпляре SQL. Убедитесь, что необходимые разрешения идентификатора Microsoft Entra предоставляются управляемому экземпляру SQL для проверки подлинности MSI.

Проблема. Не удалось подключиться к SQL MI из этого экземпляра

Причина. Происходит, так как виртуальная сеть SQL MI не делегируется или не имеет правильного пиринга с виртуальной сетью SCOM Управляемый экземпляр.

Решение.

1. Убедитесь, что SQL MI правильно настроен.
2. Убедитесь, что виртуальная сеть, которая используется для создания SCOM Управляемый экземпляр, имеет прямой вид на МИ SQL, находясь в одной виртуальной сети или пиринге виртуальной сети.

Общие действия по устранению неполадок для подключения к SQL MI

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateSQLConnectivity в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

4. Чтобы проверить исходящее подключение к Интернету, выполните следующую команду:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Эта команда проверяет исходящее подключение к Интернету, пытаясь установить подключение к www.microsoft.com через порт 80. Если подключение завершается сбоем, это указывает на потенциальную проблему с подключением к Интернету.

5. Чтобы проверить параметры DNS и конфигурацию сети, убедитесь, что IP-адреса DNS-сервера настроены правильно и проверяют параметры конфигурации сети на компьютере, где выполняется проверка.

6. Чтобы проверить подключение SQL MI, выполните следующую команду:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Замените $sqlMiName именем узла SQL MI.

   Эта команда проверяет подключение к экземпляру SQL MI. Если подключение выполнено успешно, оно указывает, что МИ SQL доступен.

Подключение DNS-сервера

Проблема: IP-адрес DNS, предоставленный (<IP-адрес> DNS), является неверным, или DNS-сервер недоступен

Разрешение. Проверьте IP-адрес DNS-сервера и убедитесь, что DNS-сервер работает и работает.

Общие сведения об устранении неполадок при подключении к DNS-серверу

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateDnsIpAddress в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

4. Чтобы проверить разрешение DNS для указанного IP-адреса, выполните следующую команду:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Замените $ipAddress IP-адресом, который требуется проверить.

   Эта команда проверяет разрешение DNS для предоставленного IP-адреса. Если команда не возвращает результаты или выдает ошибку, она указывает на потенциальную проблему с разрешением DNS.

5. Чтобы проверить сетевое подключение к IP-адресу, выполните следующую команду:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Замените $ipAddress IP-адресом, который требуется проверить.

   Эта команда проверяет сетевое подключение к указанному IP-адресу через порт 80. Если подключение завершается ошибкой, предполагается проблема с сетевым подключением.

Подключение к домену

Проблема. Контроллер домена <для доменного имени> недоступен из этой сети или порт не открыт по крайней мере на одном контроллере домена.

Причина. Возникает из-за проблемы с предоставленным IP-адресом DNS-сервера или конфигурацией сети.

Решение.

1. Проверьте IP-адрес DNS-сервера и убедитесь, что DNS-сервер работает и работает.
2. Убедитесь, что разрешение доменных имен правильно направляется на указанный контроллер домена (DC), настроенный для Azure или SCOM Управляемый экземпляр. Убедитесь, что этот контроллер домена указан в верхней части разрешенных контроллеров домена. Если разрешение направляется на разные серверы контроллера домена, это указывает на проблему с разрешением домена AD.
3. Проверьте доменное имя и убедитесь, что контроллер домена настроен для Azure и SCOM Управляемый экземпляр запущен.

   Примечание.

   Порты 9389, 389/636, 88, 3268/3269, 135, 445 должны быть открыты на контроллере домена, настроенном для Azure или SCOM Управляемый экземпляр, а все службы на контроллере домена должны работать.

Общие действия по устранению неполадок для подключения к домену

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateDomainControllerConnectivity в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

4. Чтобы проверить доступность контроллера домена, выполните следующую команду:

   Resolve-DnsName -Name $domainName 
   

   Замените $domainName именем домена, который требуется протестировать.

   Убедитесь, что разрешение доменных имен правильно направляется на указанный контроллер домена (DC), настроенный для Azure или SCOM Управляемый экземпляр. Убедитесь, что этот контроллер домена указан в верхней части разрешенных контроллеров домена. Если разрешение направляется на разные серверы контроллера домена, это указывает на проблему с разрешением домена AD.

5. Чтобы проверить параметры DNS-сервера, выполните следующие действия.

   • Убедитесь, что параметры DNS-сервера на компьютере, на котором выполняется проверка, правильно настроены.
   • Проверьте, являются ли IP-адреса DNS-сервера точными и доступными.

6. Чтобы проверить конфигурацию сети, выполните приведенные действия.

   • Проверьте параметры конфигурации сети на компьютере, где выполняется проверка.
   • Убедитесь, что компьютер подключен к правильной сети и имеет необходимые параметры сети для взаимодействия с контроллером домена.

7. Чтобы проверить необходимый порт на контроллере домена, выполните следующую команду:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Замените $domainName именем домена, который требуется протестировать, и $portToCheck каждым портом из следующего номера списка:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Выполните указанную команду для всех указанных выше портов.

   Эта команда проверяет, открыт ли указанный порт на указанном контроллере домена, настроенном для создания Управляемый экземпляр Azure или SCOM. Если команда показывает успешное подключение, он указывает, что необходимые порты открыты.

Проверка присоединения к домену

Проблема. Не удалось присоединиться к домену серверам управления тестированием

Причина. Возникает из-за неправильного пути подразделения, неверных учетных данных или проблемы в сетевом подключении.

Решение.

1. Проверьте учетные данные, созданные в хранилище ключей. Секрет имени пользователя и пароля должен отражать правильное имя пользователя и формат значения имени пользователя должен быть домен\имя_пользователя и пароль, у которых есть разрешения на присоединение компьютера к домену. По умолчанию учетные записи пользователей могут добавлять только до 10 компьютеров в домен. Сведения о настройке см. в разделе "Ограничение по умолчанию", если рабочие станции пользователя могут присоединиться к домену.
2. Убедитесь, что путь к подразделению является правильным и не блокирует присоединение новых компьютеров к домену.

Общие действия по устранению неполадок для проверки присоединения к домену

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateDomainJoin в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

4. Присоединение виртуальной машины к домену с помощью учетной записи домена, используемой в создании SCOM Управляемый экземпляр. Чтобы присоединить домен к компьютеру с помощью учетных данных, выполните следующую команду:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Замените имя пользователя, пароль, $domainName $ouPath правильными значениями.

   После выполнения приведенной выше команды выполните следующую команду, чтобы проверить, успешно ли компьютер присоединился к домену:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Сопоставление полного доменного имени статического IP-адреса и LB

Проблема. Не удалось выполнить тесты, так как серверы не смогли присоединиться к домену

Разрешение. Убедитесь, что компьютеры могут присоединиться к домену. Выполните действия по устранению неполадок из раздела проверки присоединения к домену.

Проблема: DNS-имя DNS-имени <> не удалось устранить

Разрешение. Предоставленное DNS-имя не существует в записях DNS. Проверьте DNS-имя и убедитесь, что он правильно связан со статическим IP-адресом.

Проблема. Предоставленное статическое IP-адрес статического IP-адреса <> и DNS-имя> DNS подсистемы <балансировки нагрузки не совпадает.

Разрешение. Проверьте записи DNS и укажите правильное сочетание DNS-имени и статического IP-адреса. Дополнительные сведения см. в статье "Создание статического IP-адреса" и настройка DNS-имени.

Общие действия по устранению неполадок для сопоставления статических IP-адресов и полного доменного имени LB

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateStaticIPAddressAndDnsname в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

4. Присоединение виртуальной машины к домену с помощью учетной записи домена, используемой в создании SCOM Управляемый экземпляр. Чтобы присоединить виртуальную машину к домену, выполните действия, описанные в разделе проверки присоединения к домену.

5. Получите IP-адрес и связанное DNS-имя и выполните следующие команды, чтобы узнать, совпадают ли они. Устраните DNS-имя и получите фактический IP-адрес:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Если DNS-имя не удается разрешить, убедитесь, что DNS-имя допустимо и связано с фактическим IP-адресом.

Проверка группы компьютеров

Проблема. Не удалось выполнить тестирование, так как серверы не смогли присоединиться к домену

Разрешение. Убедитесь, что компьютеры могут присоединиться к домену. Выполните действия по устранению неполадок, указанные в разделе проверки присоединения к домену.

Проблема. Не удалось найти группу компьютеров с именем группы компьютеров с <именем> компьютера в домене.

Решение. Проверьте наличие группы и проверьте имя, предоставленное или создайте новый, если он еще не создан.

Проблема. Имя> группы <компьютеров входных компьютеров не управляется именем пользователя домена пользователя<.>

Разрешение. Перейдите к свойствам группы и задайте этому пользователю имя руководителя. Дополнительные сведения см. в статье "Создание и настройка группы компьютеров".

Проблема. Имя пользователя домена руководителя <имени группы входных компьютеров группы компьютеров не имеет необходимых разрешений для управления членством в группах><.>

Разрешение. Перейдите к свойствам группы и установите флажок "Управление" обновить список членства. Дополнительные сведения см. в статье "Создание и настройка группы компьютеров".

Общие действия по устранению неполадок для проверки группы компьютеров

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateComputerGroup в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Присоединение виртуальной машины к домену с помощью учетной записи домена, используемой в создании SCOM Управляемый экземпляр. Чтобы присоединить виртуальную машину к домену, выполните действия, описанные в разделе проверки присоединения к домену.

4. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

5. Выполните следующую команду, чтобы импортировать модули:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Чтобы проверить, присоединена ли виртуальная машина к домену, выполните следующую команду:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Чтобы проверить существование домена и если текущий компьютер уже присоединен к домену, выполните следующую команду:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   password Замените $usernameсоответствующими значениями.

8. Чтобы проверить существование пользователя в домене, выполните следующую команду:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Замените $username, $domainUserCredentials используя применимые значения

9. Чтобы проверить существование группы компьютеров в домене, выполните следующую команду:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   $domainUserCredentials Замените $computerGroupNameсоответствующими значениями.

10. Если существует группа пользователей и компьютеров, определите, является ли пользователь руководителем группы компьютеров.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Если managerCanUpdateMembership задано значение True, пользователь домена имеет разрешение на обновление членства в группе компьютеров. Если managerCanUpdateMembership задано значение False, то предоставьте группе компьютеров разрешение на управление пользователем домена.

Проверка учетной записи gMSA

Проблема. Проверка не выполняется, так как серверы не смогли присоединиться к домену

Разрешение. Убедитесь, что компьютеры могут присоединиться к домену. Выполните действия по устранению неполадок, указанные в разделе проверки присоединения к домену.

Проблема. Группа компьютеров с именем группы компьютеров с <именем> группы компьютеров не найдена в вашем домене. Члены этой группы должны иметь возможность получить пароль gMSA

Разрешение. Проверьте существование группы и проверьте предоставленное имя.

Проблема: gMSA с доменом доменных имен <gMSA> не удалось найти в вашем домене

Разрешение. Проверьте наличие учетной записи gMSA и проверьте имя, предоставленное или создайте новую, если она еще не создана.

Проблема: gMSA домена gMSA <> не включена

Разрешение: включите его с помощью следующей команды:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Проблема: gMSA домена gMSA <> должен иметь имя узла DNS в <качестве DNS-имени.>

Разрешение: gMSA не имеет правильного DNSHostName набора свойств. Задайте свойство с помощью следующей DNSHostName команды:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Проблема. Имя учетной записи Sam для gMSA домена gMSA <> превышает ограничение в 15 символов

Разрешение: задайте следующую SamAccountName команду:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Проблема. Имя> группы компьютеров группы <компьютеров должно быть задано в качестве субъектаAllowedToRetrieveManagedPassword для gMSA домена gMSA <>

Разрешение: gMSA не PrincipalsAllowedToRetrieveManagedPassword задано правильно. Задайте следующую PrincipalsAllowedToRetrieveManagedPassword команду:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Проблема. Имена субъектов-служб не заданы правильно для gMSA домена gMSA <>

Разрешение: gMSA не имеет правильных имен субъектов-служб. Задайте имена субъектов-служб с помощью следующей команды:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Общие действия по устранению неполадок для проверки учетной записи gMSA

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidategMSAAccount в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Присоединение виртуальной машины к домену с помощью учетной записи домена, используемой в создании SCOM Управляемый экземпляр. Чтобы присоединить виртуальную машину к домену, выполните действия, описанные в разделе проверки присоединения к домену.

4. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

5. Выполните следующую команду, чтобы импортировать модули:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Чтобы убедиться, что серверы успешно присоединились к домену, выполните следующую команду:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Чтобы проверить существование группы компьютеров, выполните следующую команду:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Замените имя пользователя, пароль и имя computerGroupName применимыми значениями.

8. Чтобы проверить существование учетной записи gMSA, выполните следующую команду:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Чтобы проверить свойства учетной записи gMSA, проверьте, включена ли учетная запись gMSA:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Если команда возвращает false, включите учетную запись в домене.

10. Чтобы убедиться, что dns-имя узла учетной записи gMSA соответствует указанному DNS-имени (DNS-имени LB), выполните следующие команды:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Если команда не возвращает ожидаемое DNS-имя, обновите DNS-имя узла gMsaAccount до DNS-имени LB.

11. Убедитесь, что имя учетной записи Sam для учетной записи gMSA не превышает ограничение в 15 символов:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Чтобы проверить PrincipalsAllowedToRetrieveManagedPassword свойство, выполните следующие команды:

    Проверьте, задана ли указанная группа компьютеров в качестве "PrincipalsAllowedToRetrieveManagedPassword" для учетной записи gMSA:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Замените gMSAAccount и ComputerGroupName на соответствующие значения.

13. Чтобы проверить имена субъектов-служб для учетной записи gMSA, выполните следующую команду:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Проверьте, имеют ли результаты правильные имена субъектов-служб. Замените $dnsName DNS-именем LB, указанным в создании SCOM Управляемый экземпляр. Замените $dnsHostName коротким именем DNS LB. Например: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com и MSOMSdkSvc/ContosoLB — это имена субъектов-служб.

Проверки групповой политики

Внимание

Чтобы исправить политики групповой политики, выполните совместную работу с администратором Active Directory и исключите System Center Operations Manager из следующих политик:

• Объекты групповой политики, изменяющие или переопределяют конфигурации групп локальных администраторов.
• Объекты групповой политики, которые деактивируют проверку подлинности сети.
• Оценка объектов групповой политики, которые препятствуют удаленному входу для локальных администраторов.

Проблема. Этот тест не удалось запустить, так как серверы не смогли присоединиться к домену

Разрешение. Убедитесь, что компьютеры присоединяются к домену. Выполните действия по устранению неполадок из раздела проверки присоединения к домену.

Проблема: gMSA с доменом доменных имен <gMSA> не удалось найти в вашем домене. Эта учетная запись должна быть локальным администратором на сервере

Решение. Проверьте наличие учетной записи и убедитесь, что gMSA и пользователь домена являются частью локальной группы администраторов.

Проблема. Имя пользователя> домена учетных <записей и <gMSA> домена не удалось добавить в локальную группу администраторов на серверах управления тестами или не сохранился в группе после обновления групповой политики.

Разрешение. Убедитесь, что предоставленные входные данные имени домена и gMSA указаны правильно, включая полное имя (домен\учетная запись). Кроме того, убедитесь, что на тестовом компьютере есть какие-либо групповые политики, переопределяющие локальную группу администраторов из-за политик, созданных на уровне подразделения или домена. GMSA и пользователь домена должны быть частью локальной группы администраторов для работы SCOM Управляемый экземпляр. Компьютеры SCOM Управляемый экземпляр должны быть исключены из любой политики, переопределяющей локальную группу администраторов (работа с администратором AD).

Проблема: сбой Управляемый экземпляр SCOM

Причина. Групповая политика в домене (имя: имя <>групповой политики) переопределяет локальную группу администраторов на серверах управления тестами, в подразделении, содержащей серверы или корневой каталог домена.

Решение. Убедитесь, что подразделение для серверов управления SCOM Управляемый экземпляр (<OU Path>) не влияет на группу без переопределения политик.

Общие действия по устранению неполадок для проверки групповой политики

1. Создайте новую виртуальную машину, запущенную в Windows Server 2022 или 2019 в выбранной подсети для создания SCOM Управляемый экземпляр. Войдите на виртуальную машину и настройте dns-сервер для использования того же DNS-IP-адреса, который использовался во время создания Управляемый экземпляр SCOM.

2. Вы можете выполнить пошаговые инструкции, приведенные ниже, или, если вы знакомы с PowerShell, выполните определенную проверку, вызванную Invoke-ValidateLocalAdminOverideByGPO в скрипте ScomValidation.ps1 . Дополнительные сведения о запуске скрипта проверки независимо на тестовом компьютере см . в общих рекомендациях по выполнению скрипта проверки.

3. Присоединение виртуальной машины к домену с помощью учетной записи домена, используемой в создании SCOM Управляемый экземпляр. Чтобы присоединить виртуальную машину к домену, выполните действия, описанные в разделе проверки присоединения к домену.

4. Откройте isE PowerShell в режиме администрирования и задайте параметр Set-ExecutionPolicy как Неограниченный.

5. Выполните следующие команды для импорта модулей:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Чтобы проверить, успешно ли присоединены к домену серверы, выполните следующую команду:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Команда должна возвращать значение True.

7. Чтобы проверить существование учетной записи gMSA, выполните следующую команду:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Чтобы проверить наличие учетных записей пользователей в локальной группе администраторов, выполните следующую команду:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   Замените <UserName> <GmsaAccount> фактические значения и значениями.

9. Чтобы определить сведения о домене и подразделении , выполните следующую команду:

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   Замените <OuPathDN> фактическим путем подразделения.

10. Чтобы получить отчет групповой политики (объект групповой политики) из домена и проверить переопределение политик в локальной группе администраторов, выполните следующую команду:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Если выполнение скрипта выдает предупреждение как сбой проверки, то существует политика (имя, как в сообщении предупреждения), переопределивающую локальную группу администраторов. Обратитесь к администратору Active Directory и исключите сервер управления System Center Operations Manager из политики.