İngilizce dilinde oku

Aracılığıyla paylaş


Giriş parametreleri doğrulanırken sık karşılaşılan hataları giderme

Bu makalede, giriş parametreleri doğrulanırken oluşabilecek hatalar ve bunların nasıl çözülebileceği açıklanmaktadır.

Şirket içi parametreleri oluştururken sorunlarla karşılaşırsanız yardım için bu betiği kullanın.

Bu betik, şirket içi parametre oluşturmayla ilgili sorunları gidermeye ve çözmeye yardımcı olmak için tasarlanmıştır. Betike erişin ve şirket içi parametreleri oluştururken karşılaşabileceğiniz zorlukları gidermek için bu betiğin işlevlerini kullanın.

Betiği çalıştırmak için şu adımları izleyin:

  1. Betiği indirin ve parametreleri almak için -Help seçeneğiyle çalıştırın.
  2. Etki alanına katılmış bir makinede etki alanı kimlik bilgileriyle oturum açın. Makinenin SCOM Yönetilen Örneği için kullanılan bir etki alanında olması gerekir. Oturum açtığınızda betiği belirtilen parametrelerle çalıştırın.
  3. Herhangi bir doğrulama başarısız olursa, betik tarafından önerilen düzeltici eylemleri gerçekleştirin ve tüm doğrulamaları geçene kadar betiği yeniden çalıştırın.
  4. Tüm doğrulamalar başarılı olduktan sonra betikte kullanılan parametreleri (örneğin oluşturma) kullanın.

Doğrulama denetimleri ve ayrıntıları

Doğrulama Açıklama
Azure giriş doğrulama denetimleri
Test makinesinde önkoşulları ayarlama 1. AD PowerShell modülünü yükleyin.
2. Grup İlkesi PowerShell modülünü yükleyin.
İnternet bağlantısı Test sunucularında giden İnternet bağlantısı olup olmadığını denetler.
SQL MI bağlantısı Sağlanan SQL MI'ye test sunucularının oluşturulduğu ağdan ulaşılıp ulaşılmadığını denetler.
DNS Sunucusu bağlantısı Sağlanan DNS Sunucusu IP'sine ulaşılıp ulaşılmadığını ve geçerli bir DNS Sunucusuna çözümlenip çözümlenmediğini denetler.
Etki alanı bağlantısı Sağlanan etki alanı adının ulaşılabilir olup olmadığını ve geçerli bir etki alanına çözümlenip çözümlenmediğini denetler.
Etki alanına katılma doğrulaması Sağlanan OU Yolu ve etki alanı kimlik bilgilerini kullanarak etki alanına katılmanın başarılı olup olmadığını denetler.
Statik IP ve LB FQDN ilişkilendirmesi Sağlanan statik IP için sağlanan DNS adına göre bir DNS kaydının oluşturulup oluşturulmadığını denetler.
Bilgisayar grubu doğrulamaları Sağlanan bilgisayar grubunun sağlanan etki alanı kullanıcısı tarafından yönetilip yönetilmediğini denetler ve yönetici grup üyeliğini güncelleştirebilir.
gMSA hesabı doğrulamaları Sağlanan gMSA:
- Etkin olup olmadığını denetler.
- DNS Ana Bilgisayar Adı, LB'nin sağlanan DNS adına ayarlanmıştır.
- SAM Hesabı Adı uzunluğu 15 karakter veya daha kısadır.
- Doğru SPN'lerin kümesine sahiptir.
Parola, sağlanan bilgisayar grubunun üyeleri tarafından alınabilir.
Grup ilkesi doğrulamaları Etki alanının (veya yönetim sunucularını barındıran OU Yolunun) herhangi bir grup ilkesinden etkilenip etkilenmediğini denetler ve bu da yerel Administrators grubunu değiştirir.
Doğrulama sonrası temizleme Etki alanından katılmayı kaldırın.

Doğrulama betiğini çalıştırmaya yönelik genel yönergeler

Ekleme işlemi sırasında, doğrulama aşamasında/sekmesinde bir doğrulama gerçekleştirilir. Tüm doğrulamalar başarılı olursa, SCOM Yönetilen Örneği oluşturma işleminin son aşamasına geçebilirsiniz. Ancak, herhangi bir doğrulama başarısız olursa oluşturma işlemine devam edebilirsiniz.

Birden çok doğrulamanın başarısız olduğu durumlarda en iyi yaklaşım, test makinesinde bir doğrulama betiğini el ile çalıştırarak tüm sorunları aynı anda çözmektir.

Önemli

Başlangıçta, SCOM Yönetilen Örneği oluşturma için seçilen aynı alt ağda yeni bir test Windows Server (2022/2019) sanal makinesi (VM) oluşturun. Daha sonra, hem AD yöneticiniz hem de Ağ yöneticiniz ilgili değişikliklerinin verimliliğini doğrulamak için bu VM'yi ayrı ayrı kullanabilir. Bu yaklaşım, AD yöneticisi ile Ağ yöneticisi arasında ileri geri iletişim için harcanan zamandan önemli ölçüde tasarruf sağlar.

Doğrulama betiğini çalıştırmak için şu adımları izleyin:

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın. Örneğin, aşağıya bakın:

    Özelliklerin ekran görüntüsü.

  2. Doğrulama betiğini test VM'sine indirin ve ayıklayın. Beş dosyadan oluşur:

    • ScomValidation.ps1
    • RunValidationAsSCOMAdmin.ps1
    • RunValidationAsActiveDirectoryAdmin.ps1
    • RunValidationAsNetworkAdmin.ps1
    • Readme.txt
  3. RunValidationAsSCOMAdmin.ps1 dosyasını çalıştırmak için Readme.txt dosyasında belirtilen adımları izleyin. Çalıştırmadan önce RunValidationAsSCOMAdmin.ps1 dosyasındaki ayarlar değerini geçerli değerlerle doldurduğunuzdan emin olun.

    # $settings = @{
    #   Configuration = @{
    #         DomainName="test.com"                 
    #         OuPath= "DC=test,DC=com"           
    #         DNSServerIP = "190.36.1.55"           
    #         UserName="test\testuser"              
    #         Password = "password"                 
    #         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
    #         ManagementServerGroupName= "ComputerMSG"      
    #         GmsaAccount= "test\testgMSA$"
    #         DnsName= "lbdsnname.test.com"
    #         LoadBalancerIP = "10.88.78.200"
    #     }
    # }
    # Note : Before running this script, please make sure you have provided all the parameters in the settings
    $settings = @{
    Configuration = @{
    DomainName="<domain name>"
    OuPath= "<OU path>"
    DNSServerIP = "<DNS server IP>"
    UserName="<domain user name>"
    Password = "<domain user password>"
    SqlDatabaseInstance= "<SQL MI Host name>"
    ManagementServerGroupName= "<Computer Management server group name>"
    GmsaAccount= "<GMSA account>"
    DnsName= "<DNS name associated with the load balancer IP address>"
    LoadBalancerIP = "<Load balancer IP address>"
    }
    }
    
  4. Genel olarak, RunValidationAsSCOMAdmin.ps1 tüm doğrulamaları çalıştırır. Belirli bir denetimi çalıştırmak istiyorsanız ScomValidation.ps1 dosyasını açın ve dosyanın sonundaki diğer tüm denetimleri açıklama satırı yapın. Ayrıca, denetimin hatalarını ayıklamak ve sorunları daha iyi anlamak için belirli bir denetime kesme noktası ekleyebilirsiniz.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    } 
  1. Doğrulama betiği, doğrulama sorunlarını çözmeye yardımcı olacak tüm doğrulama denetimlerini ve bunların ilgili hatalarını görüntüler. Hızlı çözüm için betiği PowerShell ISE'de hata ayıklama işlemini hızlandırabilecek kesme noktasıyla çalıştırın.

    Tüm denetimler başarıyla geçerse, ekleme sayfasına dönün ve ekleme işlemini yeniden başlatın.

İnternet bağlantısı

Sorun: Test sunucularında giden İnternet bağlantısı yok

Neden: Yanlış DNS Sunucusu IP'sine veya yanlış ağ yapılandırmasına bağlı olarak oluşur.

Çözüm:

  1. DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
  2. SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın DNS Sunucusu için görüş çizgisine sahip olduğundan emin olun.

Sorun: SCOM Yönetilen Örneği ürün bitlerini indirmek için depolama hesabına bağlanılamıyor

Neden: İnternet bağlantınızla ilgili bir sorun nedeniyle oluşur.

Çözüm: SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın, SCOM Yönetilen Örneği ile aynı alt ağda test sanal makinesi oluşturup test sanal makinesinden giden bağlantıyı test ederek giden İnternet erişimine sahip olduğunu doğrulayın.

Sorun: İnternet bağlantı testi başarısız oldu. Gerekli uç noktalara sanal ağdan ulaşılamıyor

Neden: Yanlış DNS Sunucusu IP'sine veya yanlış ağ yapılandırmasına bağlı olarak oluşur.

Çözüm:

  • DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.

  • SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın DNS Sunucusu için görüş çizgisine sahip olduğundan emin olun.

  • SCOM Yönetilen Örneğinin giden İnternet erişimine sahip olduğundan ve NSG/Güvenlik Duvarı'nın güvenlik duvarı gereksinimlerinde açıklandığı gibi gerekli uç noktalara erişime izin verecek şekilde düzgün yapılandırıldığından emin olun.

İnternet bağlantısı için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateStorageConnectivity belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  4. İnternet bağlantısını denetlemek için aşağıdaki komutu çalıştırın:

    Test-NetConnection www.microsoft.com -Port 80
    

    Bu komut, bağlantı noktası 80'de www.microsoft.com bağlantısını doğrular. Bu başarısız olursa, giden İnternet bağlantısıyla ilgili bir sorun olduğunu gösterir.

  5. DNS ayarlarını doğrulamak için aşağıdaki komutu çalıştırın:

    Get-DnsClientServerAddress
    

    Bu komut, makinede yapılandırılan DNS sunucusu IP adreslerini alır. DNS ayarlarının doğru ve erişilebilir olduğundan emin olun.

  6. Ağ yapılandırmasını denetlemek için aşağıdaki komutu çalıştırın:

    Get-NetIPConfiguration
    

    Bu komut ağ yapılandırma ayrıntılarını görüntüler. Ağ ayarlarının doğru olduğunu ve ağ ortamınızla eşleşip eşleşmediğini doğrulayın.

SQL MI bağlantısı

Sorun: Giden İnternet bağlantısı test sunucularında yok

Neden: Yanlış DNS Sunucusu IP'sine veya yanlış ağ yapılandırmasına bağlı olarak oluşur.

Çözüm:

  1. DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
  2. SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın DNS Sunucusu için görüş çizgisine sahip olduğundan emin olun.

Sorun: SQL yönetilen örneğinde MSI için VERITABANı oturum açma yapılandırması başarısız oldu

Neden: MSI, SQL yönetilen örneğine erişmek için düzgün yapılandırılmadığında oluşur.

Çözüm: MSI'nin SQL yönetilen örneğinde Microsoft Entra Admin olarak yapılandırılıp yapılandırılmamış olduğunu denetleyin. MSI kimlik doğrulamasının çalışması için SQL yönetilen örneğine gerekli Microsoft Entra Id izinlerinin sağlandığından emin olun.

Sorun: Bu örnekten SQL MI'ye bağlanılamadı

Neden: SQL MI sanal ağı temsilci olarak atanmadığından veya SCOM Yönetilen Örneği sanal ağıyla düzgün eşlenmediğinden oluşur.

Çözüm:

  1. SQL MI'nin doğru yapılandırıldığını doğrulayın.
  2. SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın aynı VNet'te veya sanal ağ eşlemesi ile SQL MI için görüş çizgisine sahip olduğundan emin olun.

SQL MI bağlantısı için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateSQLConnectivity belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  4. Giden İnternet bağlantısını denetlemek için aşağıdaki komutu çalıştırın:

    Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
    

    Bu komut, bağlantı noktası 80'de www.microsoft.com bağlantı kurmaya çalışarak giden İnternet bağlantısını doğrular. Bağlantı başarısız olursa, İnternet bağlantısıyla ilgili olası bir sorunu gösterir.

  5. DNS ayarlarını ve ağ yapılandırmasını doğrulamak için DNS sunucusu IP adreslerinin doğru yapılandırıldığından emin olun ve doğrulamanın gerçekleştirildiği makinedeki ağ yapılandırma ayarlarını doğrulayın.

  6. SQL MI bağlantısını test etmek için aşağıdaki komutu çalıştırın:

    Test-NetConnection -ComputerName $sqlMiName -Port 1433
    

    değerini SQL MI ana bilgisayar adının adıyla değiştirin $sqlMiName .

    Bu komut SQL MI örneğine bağlantıyı test ediyor. Bağlantı başarılı olursa SQL MI'ye ulaşılabilir olduğunu gösterir.

DNS Sunucusu bağlantısı

Sorun: Sağlanan DNS IP'leri (<DNS IP>) yanlış veya DNS Sunucusuna ulaşılamıyor

Çözüm: DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.

DNS sunucusu bağlantısı için genel sorun giderme

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateDnsIpAddress belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  4. Belirtilen IP adresinin DNS çözümlemesini denetlemek için aşağıdaki komutu çalıştırın:

    Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
    

    değerini doğrulamak istediğiniz IP adresiyle değiştirin $ipAddress .

    Bu komut, sağlanan IP adresi için DNS çözümlemesini denetler. Komut herhangi bir sonuç döndürmezse veya hata verirse, DNS çözümlemesiyle ilgili olası bir sorunu gösterir.

  5. IP adresine ağ bağlantısını doğrulamak için aşağıdaki komutu çalıştırın:

    Test-NetConnection -ComputerName $ipAddress -Port 80
    

    değerini test etmek istediğiniz IP adresiyle değiştirin $ipAddress .

    Bu komut, 80 numaralı bağlantı noktasında belirtilen IP adresine ağ bağlantısını denetler. Bağlantı başarısız olursa, bir ağ bağlantısı sorunu önerir.

Etki alanı bağlantısı

Sorun: Etki alanı adı etki alanı <denetleyicisine> bu ağdan ulaşılamıyor veya bağlantı noktası en az bir etki alanı denetleyicisinde açık değil

Neden: Sağlanan DNS Sunucusu IP'siyle veya ağ yapılandırmanızla ilgili bir sorun nedeniyle oluşur.

Çözüm:

  1. DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
  2. Etki alanı adı çözümlemesinin Azure veya SCOM Yönetilen Örneği için yapılandırılmış belirlenmiş Etki Alanı Denetleyicisi'ne (DC) doğru yönlendirildiğinden emin olun. Bu DC'nin çözümlenen DC'ler arasında en üstte listelendiğini onaylayın. Çözüm farklı DC sunucularına yönlendiriliyorsa AD etki alanı çözümlemesiyle ilgili bir sorun olduğunu gösterir.
  3. Etki alanı adını denetleyin ve Azure ve SCOM Yönetilen Örneği için etki alanı denetleyicisi yapılandırmasının çalışır durumda olduğundan emin olun.

    Not

    9389, 389/636, 88, 3268/3269, 135, 445 bağlantı noktaları Azure veya SCOM Yönetilen Örneği için yapılandırılmış DC'de açık olmalıdır ve DC'de tüm hizmetler çalışıyor olmalıdır.

Etki alanı bağlantısı için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateDomainControllerConnectivity belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  4. Etki alanı denetleyicisinin erişilebilirliğini denetlemek için aşağıdaki komutu çalıştırın:

    Resolve-DnsName -Name $domainName 
    

    değerini test etmek istediğiniz etki alanının adıyla değiştirin $domainName .

    Etki alanı adı çözümlemesinin Azure veya SCOM Yönetilen Örneği için yapılandırılmış belirlenmiş Etki Alanı Denetleyicisi'ne (DC) doğru yönlendirildiğinden emin olun. Bu DC'nin çözümlenen DC'ler arasında en üstte listelendiğini onaylayın. Çözüm farklı DC sunucularına yönlendiriliyorsa AD etki alanı çözümlemesiyle ilgili bir sorun olduğunu gösterir.

  5. DNS sunucusu ayarlarını doğrulamak için:

    • Doğrulamayı çalıştıran makinedeki DNS sunucusu ayarlarının doğru yapılandırıldığından emin olun.
    • DNS sunucusu IP adreslerinin doğru ve erişilebilir olup olmadığını doğrulayın.
  6. Ağ yapılandırmasını doğrulamak için:

    • Doğrulamanın gerçekleştirildiği makinede ağ yapılandırma ayarlarını doğrulayın.
    • Makinenin doğru ağa bağlı olduğundan ve etki alanı denetleyicisiyle iletişim kurmak için gerekli ağ ayarlarına sahip olduğundan emin olun.
  7. Etki alanı denetleyicisinde gerekli bağlantı noktasını test etmek için aşağıdaki komutu çalıştırın:

    Test-NetConnection -ComputerName $domainName -Port $portToCheck
    

    değerini test etmek istediğiniz etki alanının adıyla ve $portToCheck aşağıdaki liste numarasındaki her bağlantı noktasıyla değiştirin$domainName:

    • 389/636
    • Kategori 88
    • 3268/3269
    • 135
    • 445

    Yukarıdaki tüm bağlantı noktaları için sağlanan komutu yürütür.

    Bu komut, belirtilen bağlantı noktasının Azure veya SCOM Yönetilen Örneği oluşturma için yapılandırılmış belirlenmiş etki alanı denetleyicisinde açık olup olmadığını denetler. Komut başarılı bir bağlantı gösteriyorsa, gerekli bağlantı noktalarının açık olduğunu gösterir.

Etki alanına katılma doğrulaması

Sorun: Test yönetimi sunucuları etki alanına katılamadı

Neden: Yanlış bir OU yolu, yanlış kimlik bilgileri veya ağ bağlantısındaki bir sorun nedeniyle oluşur.

Çözüm:

  1. Anahtar kasanızda oluşturulan kimlik bilgilerini denetleyin. Kullanıcı adı ve parola gizli dizisinin doğru kullanıcı adını yansıtması ve kullanıcı adı değerinin biçiminin etki alanı\kullanıcı adı ve parola olması gerekir. Bu, makineyi etki alanına ekleme izinlerine sahip olmalıdır. Varsayılan olarak, kullanıcı hesapları etki alanına en fazla 10 bilgisayar ekleyebilir. Yapılandırmak için bkz . Kullanıcının etki alanına katılabileceği iş istasyonları için varsayılan sayı sınırı.
  2. OU Yolunun doğru olduğunu ve yeni bilgisayarların etki alanına katılmasını engellemediğini doğrulayın.

Etki alanına katılma doğrulaması için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateDomainJoin belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  4. SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Kimlik bilgilerini kullanarak etki alanını bir makineye eklemek için aşağıdaki komutu çalıştırın:

    
    $domainName = "<domainname>"
    
    
    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
    
    
    
    $ouPath = "<OU path>"
    if (![String]::IsNullOrWhiteSpace($ouPath)) {
    $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
    }
    else {
    $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
    }   
    

    Kullanıcı adı, parola, $domainName $ouPath doğru değerlerle değiştirin.

    Yukarıdaki komutu çalıştırdıktan sonra aşağıdaki komutu çalıştırarak makinenin etki alanına başarıyla katılıp katılmadiğini denetleyin:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
    

Statik IP ve LB FQDN ilişkilendirmesi

Sorun: Sunucular etki alanına katılamadığından testler çalıştırılamadı

Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümündeki sorun giderme adımlarını izleyin.

Sorun: DNS Adı <DNS Adı> çözümlenemedi

Çözüm: Sağlanan DNS Adı DNS kayıtlarında yok. DNS adını denetleyin ve sağlanan Statik IP ile doğru ilişkilendirildiğinden emin olun.

Sorun: Sağlanan statik IP <statik IP> ve Load Balancer DNS <Dns Adı> eşleşmiyor

Çözüm: DNS kayıtlarını denetleyin ve doğru DNS Adı/Statik IP bileşimini sağlayın. Daha fazla bilgi için bkz . Statik IP oluşturma ve DNS adını yapılandırma.

Statik IP ve LB FQDN ilişkilendirmesi için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateStaticIPAddressAndDnsname belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  4. SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak sanal makineyi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.

  5. IP adresini ve ilişkili DNS adını alın ve eşleşip eşleşmediğini görmek için aşağıdaki komutları çalıştırın. DNS adını çözün ve gerçek IP adresini getirin:

    $DNSRecord = Resolve-DnsName -Name $DNSName
    $ActualIP = $DNSRecord.IPAddress
    

    DNS adı çözümlenemiyorsa, DNS adının geçerli olduğundan ve gerçek IP adresiyle ilişkilendirildiğinden emin olun.

Bilgisayar grubu doğrulamaları

Sorun: Sunucular etki alanına katılamadığından test çalıştırılamadı

Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümünde belirtilen sorun giderme adımlarını izleyin.

Sorun: Bilgisayar grubu adına <> sahip bilgisayar grubu etki alanınızda bulunamadı

Çözüm: Grubun varlığını doğrulayın ve sağlanan adı denetleyin veya henüz oluşturulmadıysa yeni bir ad oluşturun.

Sorun: Giriş bilgisayar grubu <bilgisayar grubu adı> kullanıcı <etki alanı kullanıcı adı tarafından yönetilmiyor>

Çözüm: Grup özelliklerine gidin ve bu kullanıcıyı yönetici olarak ayarlayın. Daha fazla bilgi için bkz . Bilgisayar grubu oluşturma ve yapılandırma.

Sorun: Giriş bilgisayar grubu bilgisayar grubu <adının yönetici <etki alanı kullanıcı adı>>, grup üyeliğini yönetmek için gerekli izinlere sahip değil

Çözüm: Grup özelliklerine gidin ve Yönet üyelik listesini güncelleştirebilir onay kutusunu işaretleyin. Daha fazla bilgi için bkz . Bilgisayar grubu oluşturma ve yapılandırma.

Bilgisayar grubu doğrulamaları için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateComputerGroup belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.

  4. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  5. Modülleri içeri aktarmak için aşağıdaki komutu çalıştırın:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
    Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
    
  6. VM'nin etki alanına katılıp katılmadığını doğrulamak için aşağıdaki komutu çalıştırın:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
    
  7. Etki alanının varlığını doğrulamak ve geçerli makinenin etki alanına zaten katılmış olup olmadığını doğrulamak için aşağıdaki komutu çalıştırın:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
    $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
    

    değerini password geçerli değerlerle değiştirin$username.

  8. Kullanıcının etki alanında varlığını doğrulamak için aşağıdaki komutu çalıştırın:

    $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
    

    değerini $domainUserCredentials geçerli değerlerle değiştirin $username

  9. Etki alanında bilgisayar grubunun varlığını doğrulamak için aşağıdaki komutu çalıştırın:

    $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
    

    değerini $domainUserCredentials geçerli değerlerle değiştirin$computerGroupName.

  10. Kullanıcı ve bilgisayar grubu varsa, kullanıcının bilgisayar grubunun yöneticisi olup olmadığını belirleyin.

    Import-Module ActiveDirectory
      	$DomainDN = $Domain.DistinguishedName
      $GroupDN = $ComputerGroup.DistinguishedName
     $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)
    
      # Run Get ACL under the give credentials
      $job = Start-Job -ScriptBlock {
          param (
              [Parameter(Mandatory = $true)]
              [string] $GroupDN,
              [Parameter(Mandatory = $true)]
              [GUID] $RightsGuid
          )
    
      Import-Module ActiveDirectory
      $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
          return $AclRule
    
      } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials
    
      $timeoutSeconds = 20
      $jobResult = Wait-Job $job -Timeout $timeoutSeconds
    
      # Job did not complete within the timeout
      if ($null -eq $jobResult) {
          Write-Host "Checking permissions, timeout after 10 seconds."
          Remove-Job $job -Force
      } else {
          # Job completed within the timeout
          $AclRule = Receive-Job $job
          Remove-Job $job -Force
      }
    
      $managerCanUpdateMembership = $false
      if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
          $managerCanUpdateMembership = $true
    
    

    True isemanagerCanUpdateMembership, etki alanı kullanıcısının bilgisayar grubunda güncelleştirme üyeliği izni vardır. False isemanagerCanUpdateMembership, bilgisayar grubuna etki alanı kullanıcısına yönetme izni verin.

gMSA hesabı doğrulamaları

Sorun: Sunucular etki alanına katılamadığından test çalışmıyor

Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümünde belirtilen sorun giderme adımlarını izleyin.

Sorun: Bilgisayar grubu adına <> sahip bilgisayar grubu etki alanınızda bulunamadı. Bu grubun üyelerinin gMSA parolasını alabilmesi gerekir

Çözüm: Grubun varlığını doğrulayın ve sağlanan adı denetleyin.

Sorun: etki alanı gMSA adlı <gMSA> etki alanınızda bulunamadı

Çözüm: gMSA hesabının varlığını doğrulayın ve sağlanan adı denetleyin veya henüz oluşturulmadıysa yeni bir hesap oluşturun.

Sorun: gMSA <etki alanı gMSA> etkin değil

Çözüm: Aşağıdaki komutu kullanarak etkinleştirin:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Sorun: gMSA <etki alanı gMSA'nın> DNS Ana Bilgisayar Adı'nın DNS Adı olarak <ayarlanması gerekir>

Çözüm: gMSA özelliği doğru ayarlanmadı DNSHostName . DNSHostName Aşağıdaki komutu kullanarak özelliğini ayarlayın:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Sorun: gMSA etki alanı gMSA <> için Sam Hesabı Adı 15 karakter sınırını aşıyor

Çözüm: Aşağıdaki komutu kullanarak değerini ayarlayın SamAccountName :

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Sorun: Bilgisayar Grubu <bilgisayar grubu adının> gMSA etki alanı gMSA <için PrincipalsAllowedToRetrieveManagedPassword olarak ayarlanması gerekir>

Çözünürlük: gMSA doğru ayarlanmadı PrincipalsAllowedToRetrieveManagedPassword . PrincipalsAllowedToRetrieveManagedPassword aşağıdaki komutu kullanarak değerini ayarlayın:

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Sorun: SPN'ler gMSA etki alanı gMSA <için doğru ayarlanmadı>

Çözüm: gMSA'da doğru Hizmet Asıl Adları ayarlanmadı. Aşağıdaki komutu kullanarak Hizmet Asıl Adları'nı ayarlayın:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

gMSA hesabı doğrulamaları için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidategMSAAccount belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.

  4. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  5. Modülleri içeri aktarmak için aşağıdaki komutu çalıştırın:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
    Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
    
  6. Sunucuların etki alanına başarıyla katıldığını doğrulamak için aşağıdaki komutu çalıştırın:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
    
  7. Bilgisayar grubunun varlığını denetlemek için aşağıdaki komutu çalıştırın:

    $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
    $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
    

    kullanıcı adı, parola ve computerGroupName değerlerini geçerli değerlerle değiştirin.

  8. gMSA hesabının varlığını denetlemek için aşağıdaki komutu çalıştırın:

    $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
    
  9. gMSA hesabı özelliklerini doğrulamak için gMSA hesabının etkinleştirilip etkinleştirilmediğini denetleyin:

    (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
    

    Komut False döndürürse, etki alanında hesabı etkinleştirin.

  10. gMSA hesabının DNS Ana Bilgisayar Adı'nın sağlanan DNS adıyla (LB DNS adı) eşleştiğinden emin olmak için aşağıdaki komutları çalıştırın:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
    

    Komut beklenen DNS adını döndürmezse gMsaAccount dns ana bilgisayar adını LB DNS adı olarak güncelleştirin.

  11. gMSA hesabının Sam Hesap Adı değerinin 15 karakter sınırını aşmadığından emin olun:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
    
  12. Özelliğini doğrulamak PrincipalsAllowedToRetrieveManagedPassword için aşağıdaki komutları çalıştırın:

    Belirtilen Bilgisayar Grubunun gMSA hesabı için 'PrincipalsAllowedToRetrieveManagedPassword' olarak ayarlandığını denetleyin:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
    

    ve ComputerGroupName değerlerini geçerli değerlerle değiştiringMSAAccount.

  13. gMSA hesabının Hizmet Asıl Adlarını (SPN) doğrulamak için aşağıdaki komutu çalıştırın:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
    (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
    

    Sonuçların Doğru SPN'lere sahip olup olmadığını denetleyin. değerini SCOM Yönetilen Örneği oluşturma işleminde verilen LB DNS adıyla değiştirin $dnsName . değerini LB DNS kısa adıyla değiştirin $dnsHostName . Örneğin: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com ve MSOMSdkSvc/ContosoLB hizmet asıl adlarıdır.

Grup ilkesi doğrulamaları

Önemli

GPO ilkelerini düzeltmek için active directory yöneticinizle işbirliği yapın ve System Center Operations Manager'ı aşağıdaki ilkelerden hariç tutun:

  • Yerel yönetici grubu yapılandırmalarını değiştiren veya geçersiz kılan GPO'lar.
  • Ağ kimlik doğrulamayı devre dışı bırakan GPO'lar.
  • Yerel yöneticiler için uzaktan oturum açmayı engelleyen GPO'ları değerlendirin.

Sorun: Sunucular etki alanına katılamadığından bu test çalıştırılamadı

Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümündeki sorun giderme adımlarını izleyin.

Sorun: etki alanı gMSA adlı <gMSA> etki alanınızda bulunamadı. Bu hesabın sunucuda yerel yönetici olması gerekir

Çözüm: Hesabın varlığını doğrulayın ve gMSA ve etki alanı kullanıcısının yerel yönetici grubunun parçası olduğundan emin olun.

Sorun: Etki alanı kullanıcı adı> ve <etki alanı gMSA> hesapları <test yönetimi sunucularındaki yerel Yöneticiler grubuna eklenemedi veya grup ilkesi güncelleştirmesinin ardından grupta kalıcı olmadı

Çözüm: Sağlanan etki alanı kullanıcı adı ve gMSA girişlerinin, tam ad (etkialanı\hesap) dahil olmak üzere doğru olduğundan emin olun. Ayrıca, OU veya Etki Alanı düzeyinde oluşturulan ilkeler nedeniyle test makinenizde yerel Yöneticiler grubunu geçersiz kılan grup ilkeleri olup olmadığını denetleyin. gMSA ve etki alanı kullanıcısı, SCOM Yönetilen Örneği'nin çalışması için yerel yönetici grubunun bir parçası olmalıdır. SCOM Yönetilen Örnek makineleri, yerel yönetici grubunu geçersiz kılma (AD yöneticisiyle çalışma) ilkelerden dışlanmalıdır.

Sorun: SCOM Yönetilen Örneği başarısız oldu

Neden: Etki alanınızdaki bir grup ilkesi (ad: <grup ilkesi adı>), sunucuları içeren OU'da veya etki alanının kökünde, test yönetimi sunucularında yerel Yöneticiler grubunu geçersiz kılıyor.

Çözüm: SCOM Yönetilen Örnek Yönetim Sunucuları (<OU Yolu>) için OU'nun, grubu geçersiz kılan hiçbir ilkeden etkilenmediğinden emin olun.

Grup ilkesi doğrulamaları için genel sorun giderme adımları

  1. SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.

  2. Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen Invoke-ValidateLocalAdminOverideByGPO belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.

  3. SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.

  4. PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.

  5. Modülleri içeri aktarmak için aşağıdaki komutları çalıştırın:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
    Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
    
  6. Sunucuların etki alanına başarıyla katılıp katılmadığını doğrulamak için aşağıdaki komutu çalıştırın:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
    

    Komutun True döndürmesi gerekir.

  7. gMSA hesabının varlığını denetlemek için aşağıdaki komutu çalıştırın:

    Get-ADServiceAccount -Identity <GmsaAccount>
    
  8. Yerel Yöneticiler grubunda kullanıcı hesaplarının varlığını doğrulamak için aşağıdaki komutu çalıştırın:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
    $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
    $gpUpdateResult = gpupdate /force 
    $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
    

    ve <GmsaAccount> değerini <UserName> gerçek değerlerle değiştirin.

  9. Etki alanı ve kuruluş birimi (OU) ayrıntılarını belirlemek için aşağıdaki komutu çalıştırın:

    Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
    

    <OuPathDN> değerini gerçek OU yolu ile değiştirin.

  10. Etki alanından GPO (Grup İlkesi Nesnesi) raporunu almak ve yerel Yöneticiler grubunda ilkeleri geçersiz kılmayı denetlemek için aşağıdaki komutu çalıştırın:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
     foreach ($GPO in $gpoReport.GPOS.GPO) {
         # Check if the GPO links to the entire domain, or the input OU if provided
         if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
             # Check if there is a policy overriding the Local Users and Groups
             if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
             $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
             # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
             if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
              $overridingPolicyFound = $true
              $overridingPolicyName = $GPO.Name
                 }
             }
         }
     }
     if($overridingPolicyFound) {
      Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
     }
     else {
      Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
     }
    

Betik yürütme doğrulama başarısız olarak bir uyarı verirse, yerel yönetici grubunu geçersiz kılan bir ilke (uyarı iletisindeki adı) vardır. Active Directory yöneticisine danışın ve System Center Operations Manager yönetim sunucusunu ilkenin dışında tutun.