Felsöka vanliga fel vid validering av indataparametrar

I den här artikeln beskrivs de fel som kan uppstå vid validering av indataparametrar och hur du löser dem.

Om du stöter på problem när du skapar lokala parametrar använder du det här skriptet för att få hjälp.

Det här skriptet är utformat för att felsöka och lösa problem som rör skapande av lokala parametrar. Få åtkomst till skriptet och använd dess funktioner för att åtgärda eventuella problem som kan uppstå när du skapar lokala parametrar.

Följ dessa steg för att köra skriptet:

1. Ladda ned skriptet och kör det med alternativet -Help för att hämta parametrarna.
2. Logga in med domänautentiseringsuppgifter till en domänansluten dator. Datorn måste finnas i en domän som används för SCOM Managed Instance. När du har loggat in kör du skriptet med de angivna parametrarna.
3. Om verifieringen misslyckas vidtar du de korrigerande åtgärder som föreslås i skriptet och kör skriptet igen tills det har godkänt alla valideringar.
4. När alla valideringar har slutförts använder du samma parametrar som används i skriptet för att skapa instanser.

Verifieringskontroller och information

Validering	beskrivning
Valideringskontroller av Azure-indata
Konfigurera krav på testdatorn	1. Installera AD PowerShell-modulen. 2. Installera PowerShell-modulen Grupprincip.
Internet-anslutning	Kontrollerar om utgående Internetanslutning är tillgänglig på testservrarna.
SQL MI-anslutning	Kontrollerar om den angivna SQL MI kan nås från nätverket där testservrarna skapas.
DNS Server-anslutning	Kontrollerar om den angivna DNS-server-IP-adressen kan nås och matchas till en giltig DNS-server.
Domänanslutning	Kontrollerar om det angivna domännamnet kan nås och matchas till en giltig domän.
Validering av domänanslutning	Kontrollerar om domänanslutningen lyckas med den angivna OU-sökvägen och domänautentiseringsuppgifterna.
Statisk IP- och LB FQDN-association	Kontrollerar om en DNS-post har skapats för den angivna statiska IP-adressen mot det angivna DNS-namnet.
Verifiering av datorgrupper	Kontrollerar om den angivna datorgruppen hanteras av den angivna domänanvändaren och hanteraren kan uppdatera gruppmedlemskapet.
gMSA-kontovalidering	Kontrollerar om den angivna gMSA: – är aktiverad. – Har dns-värdnamnet inställt på det angivna DNS-namnet för lb. – Har en SAM-kontonamnslängd på högst 15 tecken. - Har rätt SPN-uppsättning. Lösenordet kan hämtas av medlemmar i den angivna datorgruppen.
Grupprincipvalidering	Kontrollerar om domänen (eller OU-sökvägen, som är värd för hanteringsservrarna) påverkas av en grupprincip, vilket ändrar den lokala gruppen Administratörer.
Rensning efter validering	Koppla från domänen.

Allmänna riktlinjer för att köra valideringsskript

Under registreringsprocessen utförs en validering på valideringssteget/fliken. Om alla valideringar lyckas kan du gå vidare till den sista fasen när du skapar SCOM Managed Instance. Men om några valideringar misslyckas kan du inte fortsätta med skapandet.

I de fall där flera valideringar misslyckas är den bästa metoden att åtgärda alla problem samtidigt genom att manuellt köra ett valideringsskript på en testdator.

Viktigt!

Börja med att skapa en ny virtuell Windows Server-testdator (2022/2019) i samma undernät som valts för att skapa SCOM Managed Instance. Därefter kan både AD-administratören och nätverksadministratören individuellt använda den här virtuella datorn för att verifiera effektiviteten i sina respektive ändringar. Den här metoden sparar avsevärt tid för kommunikation fram och tillbaka mellan AD-administratören och nätverksadministratören.

Följ dessa steg för att köra valideringsskriptet:

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades. Se till exempel nedan:

   

2. Ladda ned valideringsskriptet till den virtuella testdatorn och extrahera. Den består av fem filer:

   • ScomValidation.ps1
   • RunValidationAsSCOMAdmin.ps1
   • RunValidationAsActiveDirectoryAdmin.ps1
   • RunValidationAsNetworkAdmin.ps1
   • Readme.txt

3. Följ stegen som nämns i filen Readme.txt för att köra RunValidationAsSCOMAdmin.ps1. Se till att fylla inställningsvärdet i RunValidationAsSCOMAdmin.ps1 med tillämpliga värden innan du kör det.

   # $settings = @{
   #   Configuration = @{
   #         DomainName="test.com"                 
   #         OuPath= "DC=test,DC=com"           
   #         DNSServerIP = "190.36.1.55"           
   #         UserName="test\testuser"              
   #         Password = "password"                 
   #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
   #         ManagementServerGroupName= "ComputerMSG"      
   #         GmsaAccount= "test\testgMSA$"
   #         DnsName= "lbdsnname.test.com"
   #         LoadBalancerIP = "10.88.78.200"
   #     }
   # }
   # Note : Before running this script, please make sure you have provided all the parameters in the settings
   $settings = @{
   Configuration = @{
   DomainName="<domain name>"
   OuPath= "<OU path>"
   DNSServerIP = "<DNS server IP>"
   UserName="<domain user name>"
   Password = "<domain user password>"
   SqlDatabaseInstance= "<SQL MI Host name>"
   ManagementServerGroupName= "<Computer Management server group name>"
   GmsaAccount= "<GMSA account>"
   DnsName= "<DNS name associated with the load balancer IP address>"
   LoadBalancerIP = "<Load balancer IP address>"
   }
   }
   

4. I allmänhet kör RunValidationAsSCOMAdmin.ps1 alla valideringar. Om du vill köra en specifik kontroll öppnar du ScomValidation.ps1 och kommenterar alla andra kontroller, som finns i slutet av filen. Du kan också lägga till brytpunkt i den specifika kontrollen för att felsöka kontrollen och förstå problemen bättre.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 

5. Valideringsskriptet visar alla valideringskontroller och deras respektive fel, vilket hjälper dig att lösa valideringsproblemen. För snabb lösning kör du skriptet i PowerShell ISE med brytpunkt, vilket kan påskynda felsökningsprocessen.

   Om alla kontroller lyckas återgår du till registreringssidan och startar om registreringsprocessen igen.

Internet-anslutning

Problem: Utgående Internetanslutning finns inte på testservrarna

Orsak: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.

Lösning:

1. Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
2. Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.

Problem: Det går inte att ansluta till lagringskontot för att ladda ned produktbitar för SCOM Managed Instance

Orsak: Inträffar på grund av ett problem med internetanslutningen.

Lösning: Kontrollera att det virtuella nätverk som används för att skapa SCOM Managed Instance har utgående Internetåtkomst genom att skapa en virtuell testdator i samma undernät som SCOM Managed Instance och testa utgående anslutning från den virtuella testdatorn.

Problem: Internetanslutningstestet misslyckades. Nödvändiga slutpunkter kan inte nås från det virtuella nätverket

Orsak: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.

Lösning:

• Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.

• Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.

• Se till att SCOM Managed Instance har utgående Internetåtkomst och att NSG/brandväggen är korrekt konfigurerad för att tillåta åtkomst till de nödvändiga slutpunkterna enligt beskrivningen i brandväggskraven.

Allmänna felsökningssteg för Internetanslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateStorageConnectivity i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kontrollera Internetanslutningen genom att köra följande kommando:

   Test-NetConnection www.microsoft.com -Port 80
   

   Det här kommandot verifierar anslutningen till www.microsoft.com på port 80. Om detta misslyckas indikerar det ett problem med utgående Internetanslutning.

5. Kontrollera DNS-inställningarna genom att köra följande kommando:

   Get-DnsClientServerAddress
   

   Det här kommandot hämtar DNS-serverns IP-adresser som konfigurerats på datorn. Kontrollera att DNS-inställningarna är korrekta och tillgängliga.

6. Kontrollera nätverkskonfigurationen genom att köra följande kommando:

   Get-NetIPConfiguration
   

   Det här kommandot visar information om nätverkskonfigurationen. Kontrollera att nätverksinställningarna är korrekta och matchar din nätverksmiljö.

SQL MI-anslutning

Problem: Utgående Internetanslutning finns inte på testservrarna

Orsak: Inträffar på grund av en felaktig DNS-server-IP eller en felaktig nätverkskonfiguration.

Lösning:

1. Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
2. Kontrollera att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje för DNS-servern.

Problem: Det gick inte att konfigurera DB-inloggning för MSI på SQL-hanterad instans

Orsak: Inträffar när MSI inte är korrekt konfigurerat för åtkomst till SQL-hanterad instans.

Lösning: Kontrollera om MSI har konfigurerats som Microsoft Entra-administratör på SQL-hanterad instans. Se till att nödvändiga Microsoft Entra-ID-behörigheter tillhandahålls till SQL-hanterad instans för att MSI-autentisering ska fungera.

Problem: Det gick inte att ansluta till SQL MI från den här instansen

Orsak: Inträffar eftersom det virtuella SQL MI-nätverket inte är delegerat eller inte är korrekt peerkopplat med det virtuella SCOM-nätverket för hanterad instans.

Lösning:

1. Kontrollera att SQL MI är korrekt konfigurerat.
2. Se till att det virtuella nätverket, som används för att skapa SCOM Managed Instance, har siktlinje till SQL MI, antingen genom att vara i samma virtuella nätverk eller via VNet-peering.

Allmänna felsökningssteg för SQL MI-anslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateSQLConnectivity i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kör följande kommando för att kontrollera den utgående Internetanslutningen:

   Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
   

   Det här kommandot verifierar den utgående Internetanslutningen genom att försöka upprätta en anslutning till www.microsoft.com på port 80. Om anslutningen misslyckas indikerar det ett potentiellt problem med Internetanslutningen.

5. Kontrollera DNS-inställningarna och nätverkskonfigurationen genom att kontrollera att DNS-serverns IP-adresser är korrekt konfigurerade och verifiera nätverkskonfigurationsinställningarna på den dator där verifieringen utförs.

6. Kör följande kommando för att testa SQL MI-anslutningen:

   Test-NetConnection -ComputerName $sqlMiName -Port 1433
   

   Ersätt $sqlMiName med namnet på SQL MI-värdnamnet.

   Det här kommandot testar anslutningen till SQL MI-instansen. Om anslutningen lyckas anger det att SQL MI kan nås.

DNS Server-anslutning

Problem: DNS IP som tillhandahålls (<DNS IP>) är felaktigt eller dns-servern kan inte nås

Lösning: Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.

Allmän felsökning för DNS-serveranslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateDnsIpAddress i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kör följande kommando för att kontrollera DNS-matchningen för den angivna IP-adressen:

   Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
   

   Ersätt $ipAddress med den IP-adress som du vill verifiera.

   Det här kommandot kontrollerar DNS-matchningen för den angivna IP-adressen. Om kommandot inte returnerar några resultat eller utlöser ett fel indikerar det ett potentiellt problem med DNS-matchning.

5. Kör följande kommando för att verifiera nätverksanslutningen till IP-adressen:

   Test-NetConnection -ComputerName $ipAddress -Port 80
   

   Ersätt $ipAddress med den IP-adress som du vill testa.

   Det här kommandot kontrollerar nätverksanslutningen till den angivna IP-adressen på port 80. Om anslutningen misslyckas föreslår den ett problem med nätverksanslutningen.

Domänanslutning

Problem: Domänkontrollant för domännamn <> kan inte nås från det här nätverket eller så är porten inte öppen på minst en domänkontrollant

Orsak: Inträffar på grund av ett problem med den angivna DNS-server-IP-adressen eller nätverkskonfigurationen.

Lösning:

1. Kontrollera DNS-serverns IP-adress och kontrollera att DNS-servern är igång.
2. Kontrollera att domännamnsmatchningen dirigeras korrekt till den avsedda domänkontrollanten (DC) som konfigurerats för antingen Azure eller SCOM Managed Instance. Bekräfta att den här domänkontrollanten visas överst bland de lösta domänkontrollanterna. Om lösningen dirigeras till olika DC-servrar indikerar det ett problem med AD-domänmatchning.
3. Kontrollera domännamnet och se till att domänkontrollantens konfiguration för Azure och SCOM Managed Instance är igång.

   Kommentar

   Portarna 9389, 389/636, 88, 3268/3269, 135, 445 ska vara öppna på domänkontrollanter som konfigurerats för Azure eller SCOM Managed Instance, och alla tjänster på domänkontrollanten ska köras.

Allmänna felsökningssteg för domänanslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateDomainControllerConnectivity i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Kör följande kommando för att kontrollera domänkontrollantens nåbarhet:

   Resolve-DnsName -Name $domainName 
   

   Ersätt $domainName med namnet på den domän som du vill testa.

   Kontrollera att domännamnsmatchningen dirigeras korrekt till den avsedda domänkontrollanten (DC) som konfigurerats för antingen Azure eller SCOM Managed Instance. Bekräfta att den här domänkontrollanten visas överst bland de lösta domänkontrollanterna. Om lösningen dirigeras till olika DC-servrar indikerar det ett problem med AD-domänmatchning.

5. Så här verifierar du DNS-serverinställningarna:

   • Kontrollera att DNS-serverinställningarna på den dator som kör valideringen är korrekt konfigurerade.
   • Kontrollera om DNS-serverns IP-adresser är korrekta och tillgängliga.

6. Så här verifierar du nätverkskonfigurationen:

   • Kontrollera nätverkskonfigurationsinställningarna på den dator där verifieringen utförs.
   • Kontrollera att datorn är ansluten till rätt nätverk och har de nätverksinställningar som krävs för att kommunicera med domänkontrollanten.

7. Kör följande kommando för att testa den nödvändiga porten på domänkontrollanten:

   Test-NetConnection -ComputerName $domainName -Port $portToCheck
   

   Ersätt $domainName med namnet på den domän som du vill testa och $portToCheck med varje port från följande listnummer:

   • 389/636
   • 88
   • 3268/3269
   • 135
   • 445

   Kör det angivna kommandot för alla ovanstående portar.

   Det här kommandot kontrollerar om den angivna porten är öppen på den avsedda domänkontrollanten som har konfigurerats för att skapa Azure eller SCOM Managed Instance. Om kommandot visar en lyckad anslutning anger det att de nödvändiga portarna är öppna.

Validering av domänanslutning

Problem: Testhanteringsservrar kunde inte ansluta till domänen

Orsak: Inträffar på grund av en felaktig OU-sökväg, felaktiga autentiseringsuppgifter eller ett problem i nätverksanslutningen.

Lösning:

1. Kontrollera de autentiseringsuppgifter som skapats i nyckelvalvet. Användarnamnet och lösenordshemligheten måste återspegla rätt användarnamn och format för användarnamnsvärdet måste vara domän\användarnamn och lösenord, som har behörighet att ansluta en dator till domänen. Användarkonton kan som standard bara lägga till upp till 10 datorer i domänen. Information om hur du konfigurerar finns i Standardgräns för antal om arbetsstationer som en användare kan ansluta till domänen.
2. Kontrollera att OU-sökvägen är korrekt och inte blockerar nya datorer från att ansluta till domänen.

Allmänna felsökningssteg för validering av domänanslutning

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateDomainJoin i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Kör följande kommando för att ansluta domänen till en dator med autentiseringsuppgifter:

   
   $domainName = "<domainname>"
   
   
   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   
   
   
   $ouPath = "<OU path>"
   if (![String]::IsNullOrWhiteSpace($ouPath)) {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }
   else {
   $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
   }   
   

   Ersätt användarnamnet, lösenordet, $domainName $ouPath med rätt värden.

   När du har kört kommandot ovan kör du följande kommando för att kontrollera om datorn har anslutit till domänen:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

Statisk IP- och LB FQDN-association

Problem: Det gick inte att köra tester eftersom servrarna inte kunde ansluta till domänen

Lösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen från valideringsavsnittet Domänanslutning.

Problem: DNS-namn <DNS-namn> kunde inte lösas

Lösning: Det angivna DNS-namnet finns inte i DNS-posterna. Kontrollera DNS-namnet och se till att det är korrekt associerat med den statiska IP-adressen.

Problem: Den angivna statiska IP-adressen <> och DNS-namnet <> för Load Balancer matchar inte

Lösning: Kontrollera DNS-posterna och ange rätt DNS-namn/statisk IP-kombination. Mer information finns i Skapa en statisk IP-adress och konfigurera DNS-namnet.

Allmänna felsökningssteg för statisk IP- och LB FQDN-association

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateStaticIPAddressAndDnsname i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

4. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Följ stegen i valideringsavsnittet Domänanslutning för att ansluta den virtuella datorn till domänen.

5. Hämta IP-adress och tillhörande DNS-namn och kör följande kommandon för att se om de matchar. Lös DNS-namnet och hämta den faktiska IP-adressen:

   $DNSRecord = Resolve-DnsName -Name $DNSName
   $ActualIP = $DNSRecord.IPAddress
   

   Om DNS-namnet inte kan matchas kontrollerar du att DNS-namnet är giltigt och associerat med den faktiska IP-adressen.

Verifiering av datorgrupper

Problem: Det gick inte att köra testet eftersom servrarna inte kunde ansluta till domänen

Lösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen som anges i avsnittet Domänanslutningsverifiering.

Problem: Det gick inte att hitta datorgruppen med namnet <på datorgruppen> i domänen

Lösning: Kontrollera att gruppen finns och kontrollera namnet eller skapa ett nytt om det inte redan har skapats.

Problem: Datorgruppsnamnet> för indatadatorgruppen <hanteras inte av användarnamnet för användardomänen <>

Lösning: Navigera till gruppegenskaperna och ange den här användaren som chef. Mer information finns i Skapa och konfigurera en datorgrupp.

Problem: Administratörsdomänens <användarnamn> för indatadatorgruppens <datorgruppnamn> har inte de behörigheter som krävs för att hantera gruppmedlemskap

Lösning: Navigera till gruppegenskaperna och markera kryssrutan Hantera kan uppdatera medlemskapslistan. Mer information finns i Skapa och konfigurera en datorgrupp.

Allmänna felsökningssteg för verifiering av datorgrupper

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateComputerGroup i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Följ stegen i valideringsavsnittet Domänanslutning för att ansluta den virtuella datorn till domänen.

4. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

5. Kör följande kommando för att importera moduler:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Kontrollera om den virtuella datorn är ansluten till domänen genom att köra följande kommando:

   Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
   

7. Kontrollera domänens existens och om den aktuella datorn redan är ansluten till domänen kör du följande kommando:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
   

   Ersätt $username, password med tillämpliga värden.

8. Kontrollera att användaren finns i domänen genom att köra följande kommando:

   $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
   

   Ersätt $username, $domainUserCredentials med tillämpliga värden

9. Kontrollera att det finns en datorgrupp i domänen genom att köra följande kommando:

   $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
   

   Ersätt $computerGroupName, $domainUserCredentials med tillämpliga värden.

10. Om användar- och datorgruppen finns kontrollerar du om användaren är chef för datorgruppen.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    Om managerCanUpdateMembership är Sant har domänanvändaren behörighet att uppdatera medlemskap på datorgruppen. Om managerCanUpdateMembership är False ger du datorgruppen hantera behörighet till domänanvändaren.

gMSA-kontovalidering

Problem: Testet körs inte eftersom servrarna inte kunde ansluta till domänen

Lösning: Se till att datorerna kan ansluta till domänen. Följ felsökningsstegen som anges i avsnittet Domänanslutningsverifiering.

Problem: Datorgrupp med namn <på datorgruppsnamn> finns inte i domänen. Medlemmarna i den här gruppen måste kunna hämta gMSA-lösenordet

Lösning: Kontrollera att gruppen finns och kontrollera det angivna namnet.

Problem: gMSA med namndomänen <gMSA> hittades inte i domänen

Lösning: Kontrollera att gMSA-kontot finns och kontrollera namnet eller skapa ett nytt om det inte redan har skapats.

Problem: gMSA-domänen <gMSA> är inte aktiverad

Lösning: Aktivera den med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problem: gMSA-domänen <gMSA> måste ha dns-värdnamnet inställt på <DNS-namn>

Lösning: gMSA har inte egenskapen DNSHostName korrekt inställd. Ange egenskapen DNSHostName med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problem: Sam-kontonamnet för gMSA-domänen <gMSA> överskrider gränsen på 15 tecken

Lösning: Ange SamAccountName med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problem: Datorgruppens <datorgruppsnamn> måste anges som PrincipalsAllowedToRetrieveManagedPassword för gMSA-domänen <gMSA>

Lösning: gMSA har PrincipalsAllowedToRetrieveManagedPassword inte angetts korrekt. PrincipalsAllowedToRetrieveManagedPassword Ange följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problem: SPN:erna har inte angetts korrekt för gMSA-domänens <gMSA>

Lösning: GMSA har inte rätt namn på tjänstens huvudnamn. Ange tjänstens huvudnamn med följande kommando:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Allmänna felsökningssteg för gMSA-kontovalidering

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidategMSAAccount i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Följ stegen i valideringsavsnittet Domänanslutning för att ansluta den virtuella datorn till domänen.

4. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

5. Kör följande kommando för att importera moduler:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Kontrollera att servrarna har anslutits till domänen genom att köra följande kommando:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

7. Kör följande kommando för att kontrollera förekomsten av datorgruppen:

   $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
   $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
   

   Ersätt användarnamn, lösenord och computerGroupName med tillämpliga värden.

8. Kör följande kommando för att kontrollera förekomsten av gMSA-kontot:

   $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
   

9. Kontrollera om gMSA-kontot är aktiverat för att verifiera gMSA-kontoegenskaperna:

   (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
   

   Om kommandot returnerar False aktiverar du kontot i domänen.

10. Kontrollera att DNS-värdnamnet för gMSA-kontot matchar det angivna DNS-namnet (LB DNS-namn) genom att köra följande kommandon:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Om kommandot inte returnerar det förväntade DNS-namnet uppdaterar du DNS-värdnamnet för gMsaAccount till LB DNS-namn.

11. Kontrollera att Sam-kontonamnet för gMSA-kontot inte överskrider gränsen på 15 tecken:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    

12. Kör följande kommandon för att verifiera PrincipalsAllowedToRetrieveManagedPassword egenskapen:

    Kontrollera om den angivna datorgruppen har angetts som "PrincipalsAllowedToRetrieveManagedPassword" för gMSA-kontot:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    Ersätt gMSAAccount och ComputerGroupName med tillämpliga värden.

13. Kör följande kommando för att verifiera tjänstens huvudnamn (SPN) för gMSA-kontot:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Kontrollera om resultaten har rätt SPN. Ersätt $dnsName med LB DNS-namnet som angavs i skapandet av SCOM Managed Instance. Ersätt $dnsHostName med LB DNS-kortnamn. Exempel: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com och MSOMSdkSvc/ContosoLB är tjänstens huvudnamn.

Grupprincipvalidering

Viktigt!

Åtgärda grupprincipobjektprinciper genom att samarbeta med active directory-administratören och exkludera System Center Operations Manager från principerna nedan:

• Grupprincipobjekt som ändrar eller åsidosätter lokala administratörsgruppskonfigurationer.
• Grupprincipobjekt som inaktiverar nätverksautentisering.
• Utvärdera grupprincipobjekt som hindrar fjärrinloggning för lokala administratörer.

Problem: Det gick inte att köra det här testet eftersom servrarna inte kunde ansluta till domänen

Lösning: Se till att datorerna ansluter till domänen. Följ felsökningsstegen från valideringsavsnittet Domänanslutning.

Problem: gMSA med namndomänen <gMSA> hittades inte i domänen. Det här kontot måste vara en lokal administratör på servern

Lösning: Kontrollera att kontot finns och se till att gMSA- och domänanvändaren ingår i den lokala administratörsgruppen.

Problem: Kontodomänens <användarnamn> och <domän gMSA> kunde inte läggas till i den lokala gruppen Administratörer på testhanteringsservrarna eller kvarstod inte i gruppen efter grupprincipuppdateringen

Lösning: Kontrollera att det angivna domänanvändarnamnet och gMSA-indata är korrekta, inklusive det fullständiga namnet (domän\konto). Kontrollera också om det finns några grupprinciper på testdatorn som åsidosätter den lokala gruppen Administratörer på grund av principer som skapats på organisationsenhetsnivå eller domännivå. gMSA och domänanvändare måste vara en del av den lokala administratörsgruppen för att SCOM Managed Instance ska fungera. SCOM Managed Instance-datorer måste undantas från alla principer som överskrider den lokala administratörsgruppen (arbeta med AD-administratör).

Problem: SCOM Managed Instance misslyckades

Orsak: En grupprincip i domänen (namn: <grupprincipnamn>) åsidosätter den lokala gruppen Administratörer på testhanteringsservrar, antingen på den organisationsenhet som innehåller servrarna eller domänens rot.

Lösning: Se till att organisationsenheten för SCOM Managed Instance Management Servers (<OU Path>) inte påverkas av att inga principer åsidosätter gruppen.

Allmänna felsökningssteg för verifiering av grupprinciper

1. Generera en ny virtuell dator (VM) som körs på Windows Server 2022 eller 2019 i det valda undernätet för att skapa SCOM Managed Instance. Logga in på den virtuella datorn och konfigurera dns-servern så att den använder samma DNS-IP som användes när den hanterade SCOM-instansen skapades.

2. Du kan antingen följa de stegvisa instruktionerna nedan, eller om du är bekant med PowerShell kör du den specifika kontrollen som anropas Invoke-ValidateLocalAdminOverideByGPO i skriptet ScomValidation.ps1 . Mer information om hur du kör valideringsskriptet oberoende av varandra på testdatorn finns i Allmänna riktlinjer för att köra valideringsskriptet.

3. Anslut den virtuella datorn till en domän med det domänkonto som används för att skapa SCOM Managed Instance. Följ stegen i valideringsavsnittet Domänanslutning för att ansluta den virtuella datorn till domänen.

4. Öppna PowerShell ISE i administratörsläge och ange Set-ExecutionPolicy som Obegränsad.

5. Kör följande kommandon för att importera moduler:

   Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
   Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
   

6. Kör följande kommando för att kontrollera om servrarna har anslutits till domänen:

   (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
   

   Kommandot måste returnera True.

7. Kör följande kommando för att kontrollera förekomsten av gMSA-kontot:

   Get-ADServiceAccount -Identity <GmsaAccount>
   

8. Kör följande kommando för att verifiera förekomsten av användarkonton i den lokala gruppen Administratörer:

   $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
   $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
   $gpUpdateResult = gpupdate /force 
   $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
   

   <UserName> Ersätt och <GmsaAccount> med de faktiska värdena.

9. Kör följande kommando för att fastställa information om domän- och organisationsenhet (OU):

   Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
   

   <Ersätt OuPathDN> med den faktiska OU-sökvägen.

10. Kör följande kommando för att hämta rapporten grupprincipobjekt (grupprincipobjekt) från domänen och söka efter övergripande principer i den lokala gruppen Administratörer:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Om skriptkörningen ger en varning som Validering misslyckades finns det en princip (namn som i varningsmeddelandet) som åsidosätter den lokala administratörsgruppen. Kontakta Active Directory-administratören och undanta System Center Operations Manager-hanteringsservern från principen.