Giriş parametreleri doğrulanırken sık karşılaşılan hataları giderme
Bu makalede, giriş parametreleri doğrulanırken oluşabilecek hatalar ve bunların nasıl çözülebileceği açıklanmaktadır.
Şirket içi parametreleri oluştururken sorunlarla karşılaşırsanız yardım için bu betiği kullanın.
Bu betik, şirket içi parametre oluşturmayla ilgili sorunları gidermeye ve çözmeye yardımcı olmak için tasarlanmıştır. Betike erişin ve şirket içi parametreleri oluştururken karşılaşabileceğiniz zorlukları gidermek için bu betiğin işlevlerini kullanın.
Betiği çalıştırmak için şu adımları izleyin:
- Betiği indirin ve parametreleri almak için -Help seçeneğiyle çalıştırın.
- Etki alanına katılmış bir makinede etki alanı kimlik bilgileriyle oturum açın. Makinenin SCOM Yönetilen Örneği için kullanılan bir etki alanında olması gerekir. Oturum açtığınızda betiği belirtilen parametrelerle çalıştırın.
- Herhangi bir doğrulama başarısız olursa, betik tarafından önerilen düzeltici eylemleri gerçekleştirin ve tüm doğrulamaları geçene kadar betiği yeniden çalıştırın.
- Tüm doğrulamalar başarılı olduktan sonra betikte kullanılan parametreleri (örneğin oluşturma) kullanın.
Doğrulama | Açıklama |
---|---|
Azure giriş doğrulama denetimleri | |
Test makinesinde önkoşulları ayarlama | 1. AD PowerShell modülünü yükleyin. 2. Grup İlkesi PowerShell modülünü yükleyin. |
İnternet bağlantısı | Test sunucularında giden İnternet bağlantısı olup olmadığını denetler. |
SQL MI bağlantısı | Sağlanan SQL MI'ye test sunucularının oluşturulduğu ağdan ulaşılıp ulaşılmadığını denetler. |
DNS Sunucusu bağlantısı | Sağlanan DNS Sunucusu IP'sine ulaşılıp ulaşılmadığını ve geçerli bir DNS Sunucusuna çözümlenip çözümlenmediğini denetler. |
Etki alanı bağlantısı | Sağlanan etki alanı adının ulaşılabilir olup olmadığını ve geçerli bir etki alanına çözümlenip çözümlenmediğini denetler. |
Etki alanına katılma doğrulaması | Sağlanan OU Yolu ve etki alanı kimlik bilgilerini kullanarak etki alanına katılmanın başarılı olup olmadığını denetler. |
Statik IP ve LB FQDN ilişkilendirmesi | Sağlanan statik IP için sağlanan DNS adına göre bir DNS kaydının oluşturulup oluşturulmadığını denetler. |
Bilgisayar grubu doğrulamaları | Sağlanan bilgisayar grubunun sağlanan etki alanı kullanıcısı tarafından yönetilip yönetilmediğini denetler ve yönetici grup üyeliğini güncelleştirebilir. |
gMSA hesabı doğrulamaları | Sağlanan gMSA: - Etkin olup olmadığını denetler. - DNS Ana Bilgisayar Adı, LB'nin sağlanan DNS adına ayarlanmıştır. - SAM Hesabı Adı uzunluğu 15 karakter veya daha kısadır. - Doğru SPN'lerin kümesine sahiptir. Parola, sağlanan bilgisayar grubunun üyeleri tarafından alınabilir. |
Grup ilkesi doğrulamaları | Etki alanının (veya yönetim sunucularını barındıran OU Yolunun) herhangi bir grup ilkesinden etkilenip etkilenmediğini denetler ve bu da yerel Administrators grubunu değiştirir. |
Doğrulama sonrası temizleme | Etki alanından katılmayı kaldırın. |
Ekleme işlemi sırasında, doğrulama aşamasında/sekmesinde bir doğrulama gerçekleştirilir. Tüm doğrulamalar başarılı olursa, SCOM Yönetilen Örneği oluşturma işleminin son aşamasına geçebilirsiniz. Ancak, herhangi bir doğrulama başarısız olursa oluşturma işlemine devam edebilirsiniz.
Birden çok doğrulamanın başarısız olduğu durumlarda en iyi yaklaşım, test makinesinde bir doğrulama betiğini el ile çalıştırarak tüm sorunları aynı anda çözmektir.
Önemli
Başlangıçta, SCOM Yönetilen Örneği oluşturma için seçilen aynı alt ağda yeni bir test Windows Server (2022/2019) sanal makinesi (VM) oluşturun. Daha sonra, hem AD yöneticiniz hem de Ağ yöneticiniz ilgili değişikliklerinin verimliliğini doğrulamak için bu VM'yi ayrı ayrı kullanabilir. Bu yaklaşım, AD yöneticisi ile Ağ yöneticisi arasında ileri geri iletişim için harcanan zamandan önemli ölçüde tasarruf sağlar.
Doğrulama betiğini çalıştırmak için şu adımları izleyin:
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın. Örneğin, aşağıya bakın:
Doğrulama betiğini test VM'sine indirin ve ayıklayın. Beş dosyadan oluşur:
- ScomValidation.ps1
- RunValidationAsSCOMAdmin.ps1
- RunValidationAsActiveDirectoryAdmin.ps1
- RunValidationAsNetworkAdmin.ps1
- Readme.txt
RunValidationAsSCOMAdmin.ps1 dosyasını çalıştırmak için Readme.txt dosyasında belirtilen adımları izleyin. Çalıştırmadan önce RunValidationAsSCOMAdmin.ps1 dosyasındaki ayarlar değerini geçerli değerlerle doldurduğunuzdan emin olun.
# $settings = @{ # Configuration = @{ # DomainName="test.com" # OuPath= "DC=test,DC=com" # DNSServerIP = "190.36.1.55" # UserName="test\testuser" # Password = "password" # SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" # ManagementServerGroupName= "ComputerMSG" # GmsaAccount= "test\testgMSA$" # DnsName= "lbdsnname.test.com" # LoadBalancerIP = "10.88.78.200" # } # } # Note : Before running this script, please make sure you have provided all the parameters in the settings $settings = @{ Configuration = @{ DomainName="<domain name>" OuPath= "<OU path>" DNSServerIP = "<DNS server IP>" UserName="<domain user name>" Password = "<domain user password>" SqlDatabaseInstance= "<SQL MI Host name>" ManagementServerGroupName= "<Computer Management server group name>" GmsaAccount= "<GMSA account>" DnsName= "<DNS name associated with the load balancer IP address>" LoadBalancerIP = "<Load balancer IP address>" } }
Genel olarak, RunValidationAsSCOMAdmin.ps1 tüm doğrulamaları çalıştırır. Belirli bir denetimi çalıştırmak istiyorsanız ScomValidation.ps1 dosyasını açın ve dosyanın sonundaki diğer tüm denetimleri açıklama satırı yapın. Ayrıca, denetimin hatalarını ayıklamak ve sorunları daha iyi anlamak için belirli bir denetime kesme noktası ekleyebilirsiniz.
# Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations
# adding all the checks to result set
try {
# Connectivity checks
$validationResults += Invoke-ValidateStorageConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateSQLConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateDnsIpAddress $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateDomainControllerConnectivity $settings
$results = ConvertTo-Json $validationResults -Compress
# Parameter validations
$validationResults += Invoke-ValidateDomainJoin $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateComputerGroup $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidategMSAAccount $settings
$results = ConvertTo-Json $validationResults -Compress
$validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings
$results = ConvertTo-Json $validationResults -Compress
}
catch {
Write-Verbose -Verbose $_
}
Doğrulama betiği, doğrulama sorunlarını çözmeye yardımcı olacak tüm doğrulama denetimlerini ve bunların ilgili hatalarını görüntüler. Hızlı çözüm için betiği PowerShell ISE'de hata ayıklama işlemini hızlandırabilecek kesme noktasıyla çalıştırın.
Tüm denetimler başarıyla geçerse, ekleme sayfasına dönün ve ekleme işlemini yeniden başlatın.
Neden: Yanlış DNS Sunucusu IP'sine veya yanlış ağ yapılandırmasına bağlı olarak oluşur.
Çözüm:
- DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
- SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın DNS Sunucusu için görüş çizgisine sahip olduğundan emin olun.
Neden: İnternet bağlantınızla ilgili bir sorun nedeniyle oluşur.
Çözüm: SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın, SCOM Yönetilen Örneği ile aynı alt ağda test sanal makinesi oluşturup test sanal makinesinden giden bağlantıyı test ederek giden İnternet erişimine sahip olduğunu doğrulayın.
Neden: Yanlış DNS Sunucusu IP'sine veya yanlış ağ yapılandırmasına bağlı olarak oluşur.
Çözüm:
DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın DNS Sunucusu için görüş çizgisine sahip olduğundan emin olun.
SCOM Yönetilen Örneğinin giden İnternet erişimine sahip olduğundan ve NSG/Güvenlik Duvarı'nın güvenlik duvarı gereksinimlerinde açıklandığı gibi gerekli uç noktalara erişime izin verecek şekilde düzgün yapılandırıldığından emin olun.
İnternet bağlantısı için genel sorun giderme adımları
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateStorageConnectivity
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
İnternet bağlantısını denetlemek için aşağıdaki komutu çalıştırın:
Test-NetConnection www.microsoft.com -Port 80
Bu komut, bağlantı noktası 80'de www.microsoft.com bağlantısını doğrular. Bu başarısız olursa, giden İnternet bağlantısıyla ilgili bir sorun olduğunu gösterir.
DNS ayarlarını doğrulamak için aşağıdaki komutu çalıştırın:
Get-DnsClientServerAddress
Bu komut, makinede yapılandırılan DNS sunucusu IP adreslerini alır. DNS ayarlarının doğru ve erişilebilir olduğundan emin olun.
Ağ yapılandırmasını denetlemek için aşağıdaki komutu çalıştırın:
Get-NetIPConfiguration
Bu komut ağ yapılandırma ayrıntılarını görüntüler. Ağ ayarlarının doğru olduğunu ve ağ ortamınızla eşleşip eşleşmediğini doğrulayın.
Neden: Yanlış DNS Sunucusu IP'sine veya yanlış ağ yapılandırmasına bağlı olarak oluşur.
Çözüm:
- DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
- SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın DNS Sunucusu için görüş çizgisine sahip olduğundan emin olun.
Neden: MSI, SQL yönetilen örneğine erişmek için düzgün yapılandırılmadığında oluşur.
Çözüm: MSI'nin SQL yönetilen örneğinde Microsoft Entra Admin olarak yapılandırılıp yapılandırılmamış olduğunu denetleyin. MSI kimlik doğrulamasının çalışması için SQL yönetilen örneğine gerekli Microsoft Entra Id izinlerinin sağlandığından emin olun.
Neden: SQL MI sanal ağı temsilci olarak atanmadığından veya SCOM Yönetilen Örneği sanal ağıyla düzgün eşlenmediğinden oluşur.
Çözüm:
- SQL MI'nin doğru yapılandırıldığını doğrulayın.
- SCOM Yönetilen Örneği oluşturmak için kullanılan sanal ağın aynı VNet'te veya sanal ağ eşlemesi ile SQL MI için görüş çizgisine sahip olduğundan emin olun.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateSQLConnectivity
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
Giden İnternet bağlantısını denetlemek için aşağıdaki komutu çalıştırın:
Test-NetConnection -ComputerName "www.microsoft.com" -Port 80
Bu komut, bağlantı noktası 80'de www.microsoft.com bağlantı kurmaya çalışarak giden İnternet bağlantısını doğrular. Bağlantı başarısız olursa, İnternet bağlantısıyla ilgili olası bir sorunu gösterir.
DNS ayarlarını ve ağ yapılandırmasını doğrulamak için DNS sunucusu IP adreslerinin doğru yapılandırıldığından emin olun ve doğrulamanın gerçekleştirildiği makinedeki ağ yapılandırma ayarlarını doğrulayın.
SQL MI bağlantısını test etmek için aşağıdaki komutu çalıştırın:
Test-NetConnection -ComputerName $sqlMiName -Port 1433
değerini SQL MI ana bilgisayar adının adıyla değiştirin
$sqlMiName
.Bu komut SQL MI örneğine bağlantıyı test ediyor. Bağlantı başarılı olursa SQL MI'ye ulaşılabilir olduğunu gösterir.
Çözüm: DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateDnsIpAddress
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
Belirtilen IP adresinin DNS çözümlemesini denetlemek için aşağıdaki komutu çalıştırın:
Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue
değerini doğrulamak istediğiniz IP adresiyle değiştirin
$ipAddress
.Bu komut, sağlanan IP adresi için DNS çözümlemesini denetler. Komut herhangi bir sonuç döndürmezse veya hata verirse, DNS çözümlemesiyle ilgili olası bir sorunu gösterir.
IP adresine ağ bağlantısını doğrulamak için aşağıdaki komutu çalıştırın:
Test-NetConnection -ComputerName $ipAddress -Port 80
değerini test etmek istediğiniz IP adresiyle değiştirin
$ipAddress
.Bu komut, 80 numaralı bağlantı noktasında belirtilen IP adresine ağ bağlantısını denetler. Bağlantı başarısız olursa, bir ağ bağlantısı sorunu önerir.
Sorun: Etki alanı adı etki alanı <denetleyicisine> bu ağdan ulaşılamıyor veya bağlantı noktası en az bir etki alanı denetleyicisinde açık değil
Neden: Sağlanan DNS Sunucusu IP'siyle veya ağ yapılandırmanızla ilgili bir sorun nedeniyle oluşur.
Çözüm:
- DNS Sunucusu IP'sini denetleyin ve DNS Sunucusunun çalışır durumda olduğundan emin olun.
- Etki alanı adı çözümlemesinin Azure veya SCOM Yönetilen Örneği için yapılandırılmış belirlenmiş Etki Alanı Denetleyicisi'ne (DC) doğru yönlendirildiğinden emin olun. Bu DC'nin çözümlenen DC'ler arasında en üstte listelendiğini onaylayın. Çözüm farklı DC sunucularına yönlendiriliyorsa AD etki alanı çözümlemesiyle ilgili bir sorun olduğunu gösterir.
- Etki alanı adını denetleyin ve Azure ve SCOM Yönetilen Örneği için etki alanı denetleyicisi yapılandırmasının çalışır durumda olduğundan emin olun.
Not
9389, 389/636, 88, 3268/3269, 135, 445 bağlantı noktaları Azure veya SCOM Yönetilen Örneği için yapılandırılmış DC'de açık olmalıdır ve DC'de tüm hizmetler çalışıyor olmalıdır.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateDomainControllerConnectivity
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
Etki alanı denetleyicisinin erişilebilirliğini denetlemek için aşağıdaki komutu çalıştırın:
Resolve-DnsName -Name $domainName
değerini test etmek istediğiniz etki alanının adıyla değiştirin
$domainName
.Etki alanı adı çözümlemesinin Azure veya SCOM Yönetilen Örneği için yapılandırılmış belirlenmiş Etki Alanı Denetleyicisi'ne (DC) doğru yönlendirildiğinden emin olun. Bu DC'nin çözümlenen DC'ler arasında en üstte listelendiğini onaylayın. Çözüm farklı DC sunucularına yönlendiriliyorsa AD etki alanı çözümlemesiyle ilgili bir sorun olduğunu gösterir.
DNS sunucusu ayarlarını doğrulamak için:
- Doğrulamayı çalıştıran makinedeki DNS sunucusu ayarlarının doğru yapılandırıldığından emin olun.
- DNS sunucusu IP adreslerinin doğru ve erişilebilir olup olmadığını doğrulayın.
Ağ yapılandırmasını doğrulamak için:
- Doğrulamanın gerçekleştirildiği makinede ağ yapılandırma ayarlarını doğrulayın.
- Makinenin doğru ağa bağlı olduğundan ve etki alanı denetleyicisiyle iletişim kurmak için gerekli ağ ayarlarına sahip olduğundan emin olun.
Etki alanı denetleyicisinde gerekli bağlantı noktasını test etmek için aşağıdaki komutu çalıştırın:
Test-NetConnection -ComputerName $domainName -Port $portToCheck
değerini test etmek istediğiniz etki alanının adıyla ve
$portToCheck
aşağıdaki liste numarasındaki her bağlantı noktasıyla değiştirin$domainName
:- 389/636
- Kategori 88
- 3268/3269
- 135
- 445
Yukarıdaki tüm bağlantı noktaları için sağlanan komutu yürütür.
Bu komut, belirtilen bağlantı noktasının Azure veya SCOM Yönetilen Örneği oluşturma için yapılandırılmış belirlenmiş etki alanı denetleyicisinde açık olup olmadığını denetler. Komut başarılı bir bağlantı gösteriyorsa, gerekli bağlantı noktalarının açık olduğunu gösterir.
Neden: Yanlış bir OU yolu, yanlış kimlik bilgileri veya ağ bağlantısındaki bir sorun nedeniyle oluşur.
Çözüm:
- Anahtar kasanızda oluşturulan kimlik bilgilerini denetleyin. Kullanıcı adı ve parola gizli dizisinin doğru kullanıcı adını yansıtması ve kullanıcı adı değerinin biçiminin etki alanı\kullanıcı adı ve parola olması gerekir. Bu, makineyi etki alanına ekleme izinlerine sahip olmalıdır. Varsayılan olarak, kullanıcı hesapları etki alanına en fazla 10 bilgisayar ekleyebilir. Yapılandırmak için bkz . Kullanıcının etki alanına katılabileceği iş istasyonları için varsayılan sayı sınırı.
- OU Yolunun doğru olduğunu ve yeni bilgisayarların etki alanına katılmasını engellemediğini doğrulayın.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateDomainJoin
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Kimlik bilgilerini kullanarak etki alanını bir makineye eklemek için aşağıdaki komutu çalıştırın:
$domainName = "<domainname>" $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $ouPath = "<OU path>" if (![String]::IsNullOrWhiteSpace($ouPath)) { $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue } else { $domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue }
Kullanıcı adı, parola, $domainName $ouPath doğru değerlerle değiştirin.
Yukarıdaki komutu çalıştırdıktan sonra aşağıdaki komutu çalıştırarak makinenin etki alanına başarıyla katılıp katılmadiğini denetleyin:
Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümündeki sorun giderme adımlarını izleyin.
Çözüm: Sağlanan DNS Adı DNS kayıtlarında yok. DNS adını denetleyin ve sağlanan Statik IP ile doğru ilişkilendirildiğinden emin olun.
Çözüm: DNS kayıtlarını denetleyin ve doğru DNS Adı/Statik IP bileşimini sağlayın. Daha fazla bilgi için bkz . Statik IP oluşturma ve DNS adını yapılandırma.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateStaticIPAddressAndDnsname
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak sanal makineyi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.
IP adresini ve ilişkili DNS adını alın ve eşleşip eşleşmediğini görmek için aşağıdaki komutları çalıştırın. DNS adını çözün ve gerçek IP adresini getirin:
$DNSRecord = Resolve-DnsName -Name $DNSName $ActualIP = $DNSRecord.IPAddress
DNS adı çözümlenemiyorsa, DNS adının geçerli olduğundan ve gerçek IP adresiyle ilişkilendirildiğinden emin olun.
Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümünde belirtilen sorun giderme adımlarını izleyin.
Çözüm: Grubun varlığını doğrulayın ve sağlanan adı denetleyin veya henüz oluşturulmadıysa yeni bir ad oluşturun.
Sorun: Giriş bilgisayar grubu <bilgisayar grubu adı> kullanıcı <etki alanı kullanıcı adı tarafından yönetilmiyor>
Çözüm: Grup özelliklerine gidin ve bu kullanıcıyı yönetici olarak ayarlayın. Daha fazla bilgi için bkz . Bilgisayar grubu oluşturma ve yapılandırma.
Sorun: Giriş bilgisayar grubu bilgisayar grubu <adının yönetici <etki alanı kullanıcı adı>>, grup üyeliğini yönetmek için gerekli izinlere sahip değil
Çözüm: Grup özelliklerine gidin ve Yönet üyelik listesini güncelleştirebilir onay kutusunu işaretleyin. Daha fazla bilgi için bkz . Bilgisayar grubu oluşturma ve yapılandırma.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateComputerGroup
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.
PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
Modülleri içeri aktarmak için aşağıdaki komutu çalıştırın:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
VM'nin etki alanına katılıp katılmadığını doğrulamak için aşağıdaki komutu çalıştırın:
Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain
Etki alanının varlığını doğrulamak ve geçerli makinenin etki alanına zaten katılmış olup olmadığını doğrulamak için aşağıdaki komutu çalıştırın:
$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials
değerini
password
geçerli değerlerle değiştirin$username
.Kullanıcının etki alanında varlığını doğrulamak için aşağıdaki komutu çalıştırın:
$DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials
değerini
$domainUserCredentials
geçerli değerlerle değiştirin$username
Etki alanında bilgisayar grubunun varlığını doğrulamak için aşağıdaki komutu çalıştırın:
$ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials
değerini
$domainUserCredentials
geçerli değerlerle değiştirin$computerGroupName
.Kullanıcı ve bilgisayar grubu varsa, kullanıcının bilgisayar grubunun yöneticisi olup olmadığını belirleyin.
Import-Module ActiveDirectory $DomainDN = $Domain.DistinguishedName $GroupDN = $ComputerGroup.DistinguishedName $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid) # Run Get ACL under the give credentials $job = Start-Job -ScriptBlock { param ( [Parameter(Mandatory = $true)] [string] $GroupDN, [Parameter(Mandatory = $true)] [GUID] $RightsGuid ) Import-Module ActiveDirectory $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) | Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')} return $AclRule } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials $timeoutSeconds = 20 $jobResult = Wait-Job $job -Timeout $timeoutSeconds # Job did not complete within the timeout if ($null -eq $jobResult) { Write-Host "Checking permissions, timeout after 10 seconds." Remove-Job $job -Force } else { # Job completed within the timeout $AclRule = Receive-Job $job Remove-Job $job -Force } $managerCanUpdateMembership = $false if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) { $managerCanUpdateMembership = $true
True ise
managerCanUpdateMembership
, etki alanı kullanıcısının bilgisayar grubunda güncelleştirme üyeliği izni vardır. False isemanagerCanUpdateMembership
, bilgisayar grubuna etki alanı kullanıcısına yönetme izni verin.
Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümünde belirtilen sorun giderme adımlarını izleyin.
Sorun: Bilgisayar grubu adına <> sahip bilgisayar grubu etki alanınızda bulunamadı. Bu grubun üyelerinin gMSA parolasını alabilmesi gerekir
Çözüm: Grubun varlığını doğrulayın ve sağlanan adı denetleyin.
Çözüm: gMSA hesabının varlığını doğrulayın ve sağlanan adı denetleyin veya henüz oluşturulmadıysa yeni bir hesap oluşturun.
Çözüm: Aşağıdaki komutu kullanarak etkinleştirin:
Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true
Çözüm: gMSA özelliği doğru ayarlanmadı DNSHostName
. DNSHostName
Aşağıdaki komutu kullanarak özelliğini ayarlayın:
Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>
Çözüm: Aşağıdaki komutu kullanarak değerini ayarlayın SamAccountName
:
Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>
Sorun: Bilgisayar Grubu <bilgisayar grubu adının> gMSA etki alanı gMSA <için PrincipalsAllowedToRetrieveManagedPassword olarak ayarlanması gerekir>
Çözünürlük: gMSA doğru ayarlanmadı PrincipalsAllowedToRetrieveManagedPassword
. PrincipalsAllowedToRetrieveManagedPassword
aşağıdaki komutu kullanarak değerini ayarlayın:
Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>
Çözüm: gMSA'da doğru Hizmet Asıl Adları ayarlanmadı. Aşağıdaki komutu kullanarak Hizmet Asıl Adları'nı ayarlayın:
Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidategMSAAccount
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.
PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
Modülleri içeri aktarmak için aşağıdaki komutu çalıştırın:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Sunucuların etki alanına başarıyla katıldığını doğrulamak için aşağıdaki komutu çalıştırın:
(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
Bilgisayar grubunun varlığını denetlemek için aşağıdaki komutu çalıştırın:
$Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials
kullanıcı adı, parola ve computerGroupName değerlerini geçerli değerlerle değiştirin.
gMSA hesabının varlığını denetlemek için aşağıdaki komutu çalıştırın:
$adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials
gMSA hesabı özelliklerini doğrulamak için gMSA hesabının etkinleştirilip etkinleştirilmediğini denetleyin:
(Get-ADServiceAccount -Identity <GmsaAccount>).Enabled
Komut False döndürürse, etki alanında hesabı etkinleştirin.
gMSA hesabının DNS Ana Bilgisayar Adı'nın sağlanan DNS adıyla (LB DNS adı) eşleştiğinden emin olmak için aşağıdaki komutları çalıştırın:
(Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName
Komut beklenen DNS adını döndürmezse gMsaAccount dns ana bilgisayar adını LB DNS adı olarak güncelleştirin.
gMSA hesabının Sam Hesap Adı değerinin 15 karakter sınırını aşmadığından emin olun:
(Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length
Özelliğini doğrulamak
PrincipalsAllowedToRetrieveManagedPassword
için aşağıdaki komutları çalıştırın:Belirtilen Bilgisayar Grubunun gMSA hesabı için 'PrincipalsAllowedToRetrieveManagedPassword' olarak ayarlandığını denetleyin:
(Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName
ve
ComputerGroupName
değerlerini geçerli değerlerle değiştiringMSAAccount
.gMSA hesabının Hizmet Asıl Adlarını (SPN) doğrulamak için aşağıdaki komutu çalıştırın:
$CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName") (Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames
Sonuçların Doğru SPN'lere sahip olup olmadığını denetleyin. değerini SCOM Yönetilen Örneği oluşturma işleminde verilen LB DNS adıyla değiştirin
$dnsName
. değerini LB DNS kısa adıyla değiştirin$dnsHostName
. Örneğin: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com ve MSOMSdkSvc/ContosoLB hizmet asıl adlarıdır.
Önemli
GPO ilkelerini düzeltmek için active directory yöneticinizle işbirliği yapın ve System Center Operations Manager'ı aşağıdaki ilkelerden hariç tutun:
- Yerel yönetici grubu yapılandırmalarını değiştiren veya geçersiz kılan GPO'lar.
- Ağ kimlik doğrulamayı devre dışı bırakan GPO'lar.
- Yerel yöneticiler için uzaktan oturum açmayı engelleyen GPO'ları değerlendirin.
Çözüm: Makinelerin etki alanına katıldığından emin olun. Etki alanına katılma doğrulama bölümündeki sorun giderme adımlarını izleyin.
Sorun: etki alanı gMSA adlı <gMSA> etki alanınızda bulunamadı. Bu hesabın sunucuda yerel yönetici olması gerekir
Çözüm: Hesabın varlığını doğrulayın ve gMSA ve etki alanı kullanıcısının yerel yönetici grubunun parçası olduğundan emin olun.
Sorun: Etki alanı kullanıcı adı> ve <etki alanı gMSA> hesapları <test yönetimi sunucularındaki yerel Yöneticiler grubuna eklenemedi veya grup ilkesi güncelleştirmesinin ardından grupta kalıcı olmadı
Çözüm: Sağlanan etki alanı kullanıcı adı ve gMSA girişlerinin, tam ad (etkialanı\hesap) dahil olmak üzere doğru olduğundan emin olun. Ayrıca, OU veya Etki Alanı düzeyinde oluşturulan ilkeler nedeniyle test makinenizde yerel Yöneticiler grubunu geçersiz kılan grup ilkeleri olup olmadığını denetleyin. gMSA ve etki alanı kullanıcısı, SCOM Yönetilen Örneği'nin çalışması için yerel yönetici grubunun bir parçası olmalıdır. SCOM Yönetilen Örnek makineleri, yerel yönetici grubunu geçersiz kılma (AD yöneticisiyle çalışma) ilkelerden dışlanmalıdır.
Neden: Etki alanınızdaki bir grup ilkesi (ad: <grup ilkesi adı>), sunucuları içeren OU'da veya etki alanının kökünde, test yönetimi sunucularında yerel Yöneticiler grubunu geçersiz kılıyor.
Çözüm: SCOM Yönetilen Örnek Yönetim Sunucuları (<OU Yolu>) için OU'nun, grubu geçersiz kılan hiçbir ilkeden etkilenmediğinden emin olun.
SCOM Yönetilen Örneği oluşturmak için seçilen alt ağ içinde Windows Server 2022 veya 2019 üzerinde çalışan yeni bir sanal makine (VM) oluşturun. VM'de oturum açın ve DNS sunucusunu SCOM Yönetilen Örneği oluşturulurken kullanılan DNS IP'sini kullanacak şekilde yapılandırın.
Aşağıda verilen adım adım yönergeleri izleyebilir veya PowerShell hakkında bilginiz varsa ScomValidation.ps1 betiğinde adı verilen
Invoke-ValidateLocalAdminOverideByGPO
belirli bir denetimi yürütebilirsiniz. Doğrulama betiğini test makinenizde bağımsız olarak çalıştırma hakkında daha fazla bilgi için bkz . Doğrulama betiğini çalıştırmaya yönelik genel yönergeler.SCOM Yönetilen Örneği oluşturma işleminde kullanılan etki alanı hesabını kullanarak VM'yi bir etki alanına ekleyin. Sanal makineyi etki alanına eklemek için Etki alanına katılma doğrulama bölümünde sağlanan adımları izleyin.
PowerShell ISE'yi yönetici modunda açın ve Set-ExecutionPolicy değerini Sınırsız olarak ayarlayın.
Modülleri içeri aktarmak için aşağıdaki komutları çalıştırın:
Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue Add-WindowsFeature GPMC -ErrorAction SilentlyContinue
Sunucuların etki alanına başarıyla katılıp katılmadığını doğrulamak için aşağıdaki komutu çalıştırın:
(Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain
Komutun True döndürmesi gerekir.
gMSA hesabının varlığını denetlemek için aşağıdaki komutu çalıştırın:
Get-ADServiceAccount -Identity <GmsaAccount>
Yerel Yöneticiler grubunda kullanıcı hesaplarının varlığını doğrulamak için aşağıdaki komutu çalıştırın:
$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) $addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue $gpUpdateResult = gpupdate /force $LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name
ve
<GmsaAccount>
değerini<UserName>
gerçek değerlerle değiştirin.Etki alanı ve kuruluş birimi (OU) ayrıntılarını belirlemek için aşağıdaki komutu çalıştırın:
Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials
<OuPathDN> değerini gerçek OU yolu ile değiştirin.
Etki alanından GPO (Grup İlkesi Nesnesi) raporunu almak ve yerel Yöneticiler grubunda ilkeleri geçersiz kılmayı denetlemek için aşağıdaki komutu çalıştırın:
[xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name> foreach ($GPO in $gpoReport.GPOS.GPO) { # Check if the GPO links to the entire domain, or the input OU if provided if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) { # Check if there is a policy overriding the Local Users and Groups if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) { $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}} # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) { $overridingPolicyFound = $true $overridingPolicyName = $GPO.Name } } } } if($overridingPolicyFound) { Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy" } else { Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. " }
Betik yürütme doğrulama başarısız olarak bir uyarı verirse, yerel yönetici grubunu geçersiz kılan bir ilke (uyarı iletisindeki adı) vardır. Active Directory yöneticisine danışın ve System Center Operations Manager yönetim sunucusunu ilkenin dışında tutun.