Share via

Behandeln häufig auftretender Fehler beim Überprüfen von Eingabeparametern

  • Artikel

In diesem Artikel werden die Fehler beschrieben, die beim Überprüfen von Eingabeparametern auftreten können, und deren Behebung.

Wenn beim Erstellen lokaler Parameter Probleme auftreten, verwenden Sie dieses Skript zur Unterstützung.

Dieses Skript wurde entwickelt, um Probleme im Zusammenhang mit der lokalen Parametererstellung zu beheben und zu beheben. Greifen Sie auf das Skript zu, und nutzen Sie dessen Funktionen, um probleme zu beheben, die bei der Erstellung lokaler Parameter auftreten können.

Führen Sie die folgenden Schritte aus, um das Skript auszuführen:

  1. Laden Sie das Skript herunter, und führen Sie es mit der Option -Help aus, um die Parameter abzurufen.
  2. Melden Sie sich mit Domänenanmeldeinformationen bei einem in die Domäne eingebundenen Computer an. Der Computer muss sich in einer Domäne befinden, die für SCOM verwaltete Instanz verwendet wird. Nachdem Sie sich angemeldet haben, führen Sie das Skript mit den angegebenen Parametern aus.
  3. Wenn die Überprüfung fehlschlägt, führen Sie die Korrekturmaßnahmen wie vom Skript vorgeschlagen aus, und führen Sie das Skript erneut aus, bis es alle Überprüfungen bestanden hat.
  4. Wenn alle Überprüfungen erfolgreich sind, verwenden Sie dieselben Parameter, die im Skript verwendet werden, für instance Erstellung.

Überprüfungen und Details

Überprüfen BESCHREIBUNG
Überprüfungen der Azure-Eingabe
Einrichten der Voraussetzungen auf dem Testcomputer 1. Installieren Sie das AD PowerShell-Modul.
2. Installieren Sie Gruppenrichtlinie PowerShell-Modul.
Internetkonnektivität Überprüft, ob ausgehende Internetkonnektivität auf den Testservern verfügbar ist.
SQL MI-Konnektivität Überprüft, ob die bereitgestellte SQL MI über das Netzwerk erreichbar ist, in dem die Testserver erstellt werden.
DNS-Serverkonnektivität Überprüft, ob die bereitgestellte DNS-Server-IP-Adresse erreichbar und in einen gültigen DNS-Server aufgelöst ist.
Domänenkonnektivität Überprüft, ob der angegebene Domänenname erreichbar und in eine gültige Domäne aufgelöst ist.
Überprüfung des Domänenbeitritts Überprüft mithilfe des angegebenen Organisationseinheitspfads und der Domänenanmeldeinformationen, ob der Domänenbeitritt erfolgreich ist.
Statische IP- und LB-FQDN-Zuordnung Überprüft anhand des angegebenen DNS-Namens, ob ein DNS-Eintrag für die bereitgestellte statische IP-Adresse erstellt wurde.
Überprüfungen von Computergruppen Überprüft, ob die bereitgestellte Computergruppe vom bereitgestellten Domänenbenutzer verwaltet wird und der Manager die Gruppenmitgliedschaft aktualisieren kann.
gMSA-Kontoüberprüfungen Überprüft, ob die bereitgestellte gMSA:
- aktiviert ist.
– Hat seinen DNS-Hostnamen auf den angegebenen DNS-Namen des LB festgelegt.
– Hat einen SAM-Kontonamen mit einer Länge von mindestens 15 Zeichen.
– Hat die richtigen SPNs' festgelegt.
Das Kennwort kann von Mitgliedern der bereitgestellten Computergruppe abgerufen werden.
Gruppenrichtlinienüberprüfungen Überprüft, ob die Domäne (oder der Organisationseinheitspfad, der die Verwaltungsserver hostet) von einer Gruppenrichtlinie betroffen ist, wodurch die lokale Gruppe Administratoren geändert wird.
Nach der Überprüfung sauber Heben Sie die Verknüpfung mit der Domäne auf.

Allgemeine Richtlinien für die Ausführung des Validierungsskripts

Während des Onboardingprozesses wird eine Validierung in der Validierungsphase/Registerkarte durchgeführt. Wenn alle Überprüfungen erfolgreich sind, können Sie mit der letzten Phase des Erstellens von SCOM-verwaltete Instanz fortfahren. Wenn jedoch Überprüfungen fehlschlagen, können Sie mit der Erstellung nicht fortfahren.

In Fällen, in denen mehrere Überprüfungen fehlschlagen, besteht der beste Ansatz darin, alle Probleme gleichzeitig zu beheben, indem Sie ein Validierungsskript auf einem Testcomputer manuell ausführen.

Wichtig

Erstellen Sie zunächst einen neuen Virtuellen Computer (VM) für Windows Server (2022/2019) im selben Subnetz, das für die Erstellung von SCOM verwaltete Instanz ausgewählt wurde. Anschließend kann sowohl Ihr AD-Administrator als auch ihr Netzwerkadministrator diese VM einzeln nutzen, um die Wirksamkeit der jeweiligen Änderungen zu überprüfen. Dieser Ansatz spart erheblich zeitaufwendige Kommunikation zwischen AD-Administrator und Netzwerkadministrator.

Führen Sie die folgenden Schritte aus, um das Validierungsskript auszuführen:

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die SCOM-verwaltete Instanz-Erstellung. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass er dieselbe DNS-IP-Adresse verwendet, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde. Siehe z. B. unten:

    Screenshot der Eigenschaften

  2. Laden Sie das Validierungsskript auf die Test-VM herunter, und extrahieren Sie es. Es besteht aus fünf Dateien:

    • ScomValidation.ps1
    • RunValidationAsSCOMAdmin.ps1
    • RunValidationAsActiveDirectoryAdmin.ps1
    • RunValidationAsNetworkAdmin.ps1
    • Readme.txt

  3. Führen Sie die schritte aus, die in der Readme.txt-Datei beschrieben sind, um die RunValidationAsSCOMAdmin.ps1auszuführen. Stellen Sie sicher, dass Sie den Einstellungswert in RunValidationAsSCOMAdmin.ps1 mit entsprechenden Werten füllen, bevor Sie ihn ausführen.

    # $settings = @{
#   Configuration = @{
#         DomainName="test.com"                 
#         OuPath= "DC=test,DC=com"           
#         DNSServerIP = "190.36.1.55"           
#         UserName="test\testuser"              
#         Password = "password"                 
#         SqlDatabaseInstance= "test-sqlmi-instance.023a29518976.database.windows.net" 
#         ManagementServerGroupName= "ComputerMSG"      
#         GmsaAccount= "test\testgMSA$"
#         DnsName= "lbdsnname.test.com"
#         LoadBalancerIP = "10.88.78.200"
#     }
# }
# Note : Before running this script, please make sure you have provided all the parameters in the settings
$settings = @{
Configuration = @{
DomainName="<domain name>"
OuPath= "<OU path>"
DNSServerIP = "<DNS server IP>"
UserName="<domain user name>"
Password = "<domain user password>"
SqlDatabaseInstance= "<SQL MI Host name>"
ManagementServerGroupName= "<Computer Management server group name>"
GmsaAccount= "<GMSA account>"
DnsName= "<DNS name associated with the load balancer IP address>"
LoadBalancerIP = "<Load balancer IP address>"
}
}

  4. Im Allgemeinen führtRunValidationAsSCOMAdmin.ps1 alle Überprüfungen aus. Wenn Sie eine bestimmte Überprüfung ausführen möchten, öffnen Sie ScomValidation.ps1 , und kommentieren Sie alle anderen Überprüfungen, die sich am Ende der Datei befinden. Sie können auch einen Haltepunkt in der spezifischen Überprüfung hinzufügen, um die Überprüfung zu debuggen und die Probleme besser zu verstehen.

        # Default mode is - SCOMAdmin, by default if mode is not passed then it will run all the validations  

    # adding all the checks to result set 

    try { 

        # Connectivity checks 

        $validationResults += Invoke-ValidateStorageConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

         

        $validationResults += Invoke-ValidateSQLConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDnsIpAddress $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateDomainControllerConnectivity $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        # Parameter validations 

        $validationResults += Invoke-ValidateDomainJoin $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateStaticIPAddressAndDnsname $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidateComputerGroup $settings 

        $results = ConvertTo-Json $validationResults -Compress 

 

        $validationResults += Invoke-ValidategMSAAccount $settings 

        $results = ConvertTo-Json $validationResults -Compress 

             

        $validationResults += Invoke-ValidateLocalAdminOverideByGPO $settings 

        $results = ConvertTo-Json $validationResults -Compress 

    } 

    catch { 

        Write-Verbose -Verbose  $_ 

    }

  1. Das Validierungsskript zeigt alle Überprüfungsprüfungen und ihre jeweiligen Fehler an, wodurch die Validierungsprobleme behoben werden können. Um eine schnelle Auflösung zu erreichen, führen Sie das Skript in PowerShell ISE mit Haltepunkt aus, wodurch der Debugvorgang beschleunigt werden kann.

    Wenn alle Überprüfungen erfolgreich abgeschlossen wurden, kehren Sie zur Onboarding-Seite zurück, und starten Sie den Onboardingprozess erneut.

Internetkonnektivität

Problem: Ausgehende Internetkonnektivität ist auf den Testservern nicht vorhanden

Ursache: Tritt aufgrund einer falschen DNS-Server-IP oder einer falschen Netzwerkkonfiguration auf.

Lösung:

  1. Überprüfen Sie die IP-Adresse des DNS-Servers, und stellen Sie sicher, dass der DNS-Server ausgeführt wird.
  2. Stellen Sie sicher, dass das VNET, das für die Erstellung von SCOM-verwaltete Instanz verwendet wird, über Sichtlinie zum DNS-Server verfügt.

Problem: Es kann keine Verbindung mit dem Speicherkonto hergestellt werden, um SCOM verwaltete Instanz Produktbits herunterzuladen.

Ursache: Tritt aufgrund eines Problems mit Ihrer Internetverbindung auf.

Auflösung: Überprüfen Sie, ob das VNET, das für die Erstellung von SCOM-verwaltete Instanz verwendet wird, ausgehenden Internetzugriff aufweist, indem Sie einen virtuellen Testcomputer im selben Subnetz wie SCOM verwaltete Instanz erstellen und ausgehende Konnektivität vom virtuellen Testcomputer testen.

Problem: Fehler beim Internetkonnektivitätstest. Erforderliche Endpunkte sind über das VNET nicht erreichbar

Ursache: Tritt aufgrund einer falschen DNS-Server-IP oder einer falschen Netzwerkkonfiguration auf.

Lösung:

  • Überprüfen Sie die IP-Adresse des DNS-Servers, und stellen Sie sicher, dass der DNS-Server ausgeführt wird.

  • Stellen Sie sicher, dass das VNET, das für die Erstellung von SCOM-verwaltete Instanz verwendet wird, über Sichtlinie zum DNS-Server verfügt.

  • Stellen Sie sicher, dass die SCOM-verwaltete Instanz über ausgehenden Internetzugriff verfügt und die NSG/Firewall ordnungsgemäß konfiguriert ist, um den Zugriff auf die erforderlichen Endpunkte zuzulassen, wie unter Firewallanforderungen beschrieben.

Allgemeine Schritte zur Problembehandlung für Internetkonnektivität

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die SCOM-verwaltete Instanz-Erstellung. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass er dieselbe DNS-IP-Adresse verwendet, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten schrittweisen Anweisungen befolgen, oder wenn Sie mit PowerShell vertraut sind, führen Sie die spezifische Überprüfung aus, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateStorageConnectivity. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien zum Ausführen des Validierungsskripts.

  3. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  4. Führen Sie den folgenden Befehl aus, um die Internetverbindung zu überprüfen:

    Test-NetConnection www.microsoft.com -Port 80

    Mit diesem Befehl wird die Konnektivität mit www.microsoft.com an Port 80 überprüft. Wenn dies fehlschlägt, weist dies auf ein Problem mit der ausgehenden Internetkonnektivität hin.

  5. Führen Sie den folgenden Befehl aus, um die DNS-Einstellungen zu überprüfen:

    Get-DnsClientServerAddress

    Dieser Befehl ruft die auf dem Computer konfigurierten DNS-Server-IP-Adressen ab. Stellen Sie sicher, dass die DNS-Einstellungen korrekt sind und darauf zugegriffen werden kann.

  6. Führen Sie den folgenden Befehl aus, um die Netzwerkkonfiguration zu überprüfen:

    Get-NetIPConfiguration

    Dieser Befehl zeigt die Netzwerkkonfigurationsdetails an. Stellen Sie sicher, dass die Netzwerkeinstellungen korrekt sind und Ihrer Netzwerkumgebung entsprechen.

SQL MI-Konnektivität

Problem: Ausgehende Internetkonnektivität ist auf den Testservern nicht vorhanden.

Ursache: Tritt aufgrund einer falschen DNS-Server-IP oder einer falschen Netzwerkkonfiguration auf.

Lösung:

  1. Überprüfen Sie die DNS-Server-IP, und stellen Sie sicher, dass der DNS-Server aktiv ist und ausgeführt wird.
  2. Stellen Sie sicher, dass das VNET, das für die Erstellung von SCOM-verwaltete Instanz verwendet wird, über Sichtverbindung zum DNS-Server verfügt.

Problem: Fehler beim Konfigurieren der Datenbankanmeldung für MSI in SQL Managed instance

Ursache: Tritt auf, wenn MSI nicht ordnungsgemäß für den Zugriff auf SQL Managed instance konfiguriert ist.

Lösung: Überprüfen Sie, ob MSI in sql managed instance als Microsoft Entra Admin konfiguriert ist. Stellen Sie sicher, dass erforderliche Microsoft Entra ID Berechtigungen für SQL Managed instance bereitgestellt werden, damit die MSI-Authentifizierung funktioniert.

Problem: Fehler beim Herstellen einer Verbindung mit SQL MI von diesem instance

Ursache: Tritt auf, wenn das SQL MI-VNet nicht delegiert oder nicht ordnungsgemäß mit dem SCOM-verwaltete Instanz VNet verknüpft ist.

Lösung:

  1. Vergewissern Sie sich, dass sql mi ordnungsgemäß konfiguriert ist.
  2. Stellen Sie sicher, dass das VNET, das für die Erstellung von SCOM-verwaltete Instanz verwendet wird, über Sichtverbindung zur SQL MI verfügt, entweder durch das selbe VNet oder durch VNet-Peering.

Allgemeine Schritte zur Problembehandlung für SQL MI-Konnektivität

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateSQLConnectivity. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  4. Führen Sie den folgenden Befehl aus, um die ausgehende Internetverbindung zu überprüfen:

    Test-NetConnection -ComputerName "www.microsoft.com" -Port 80

    Dieser Befehl überprüft die ausgehende Internetverbindung, indem versucht wird, eine Verbindung mit www.microsoft.com an Port 80 herzustellen. Wenn die Verbindung fehlschlägt, deutet dies auf ein potenzielles Problem mit der Internetverbindung hin.

  5. Um die DNS-Einstellungen und die Netzwerkkonfiguration zu überprüfen, stellen Sie sicher, dass die IP-Adressen des DNS-Servers ordnungsgemäß konfiguriert sind, und überprüfen Sie die Netzwerkkonfigurationseinstellungen auf dem Computer, auf dem die Überprüfung durchgeführt wird.

  6. Führen Sie den folgenden Befehl aus, um die SQL MI-Verbindung zu testen:

    Test-NetConnection -ComputerName $sqlMiName -Port 1433

    Ersetzen Sie durch $sqlMiName den Namen des SQL MI-Hostnamens.

    Dieser Befehl testet die Verbindung mit dem SQL MI-instance. Wenn die Verbindung erfolgreich hergestellt wurde, gibt dies an, dass die SQL MI erreichbar ist.

DNS-Serverkonnektivität

Problem: Die angegebene DNS-IP-Adresse (<DNS-IP>) ist falsch, oder der DNS-Server ist nicht erreichbar.

Auflösung: Überprüfen Sie die IP-Adresse des DNS-Servers, und stellen Sie sicher, dass der DNS-Server aktiv ist und ausgeführt wird.

Allgemeine Problembehandlung für DNS-Serverkonnektivität

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateDnsIpAddress. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  4. Führen Sie den folgenden Befehl aus, um die DNS-Auflösung für die angegebene IP-Adresse zu überprüfen:

    Resolve-DnsName -Name $ipAddress -IssueAction SilentlyContinue

    Ersetzen Sie durch $ipAddress die IP-Adresse, die Sie überprüfen möchten.

    Mit diesem Befehl wird die DNS-Auflösung auf die angegebene IP-Adresse überprüft. Wenn der Befehl keine Ergebnisse zurückgibt oder einen Fehler auslöst, deutet dies auf ein potenzielles Problem mit der DNS-Auflösung hin.

  5. Führen Sie den folgenden Befehl aus, um die Netzwerkkonnektivität mit der IP-Adresse zu überprüfen:

    Test-NetConnection -ComputerName $ipAddress -Port 80

    Ersetzen Sie durch $ipAddress die IP-Adresse, die Sie testen möchten.

    Dieser Befehl überprüft die Netzwerkkonnektivität mit der angegebenen IP-Adresse an Port 80. Wenn die Verbindung fehlschlägt, wird ein Netzwerkkonnektivitätsproblem vorgeschlagen.

Domänenkonnektivität

Problem: Der Domänencontroller für den Domänendomänennamen <> ist von diesem Netzwerk nicht erreichbar, oder der Port ist auf mindestens einem Domänencontroller nicht geöffnet.

Ursache: Tritt aufgrund eines Problems mit der bereitgestellten DNS-Server-IP oder Ihrer Netzwerkkonfiguration auf.

Lösung:

  1. Überprüfen Sie die IP-Adresse des DNS-Servers, und stellen Sie sicher, dass der DNS-Server aktiv ist und ausgeführt wird.
  2. Stellen Sie sicher, dass die Domänennamenauflösung ordnungsgemäß an den angegebenen Domänencontroller (DC) weitergeleitet wird, der entweder für Azure oder SCOM verwaltete Instanz konfiguriert ist. Vergewissern Sie sich, dass dieser Domänencontroller oben unter den aufgelösten DCs aufgeführt ist. Wenn die Auflösung an verschiedene DC-Server weitergeleitet wird, deutet dies auf ein Problem mit der AD-Domänenauflösung hin.
  3. Überprüfen Sie den Domänennamen, und stellen Sie sicher, dass der für Azure und SCOM konfigurierte Domänencontroller verwaltete Instanz ausgeführt wird.

    Hinweis

    Die Ports 9389, 389/636, 88, 3268/3269, 135, 445 sollten auf dem dc geöffnet sein, der für Azure- oder SCOM-verwaltete Instanz konfiguriert ist, und alle Dienste auf dem DC sollten ausgeführt werden.

Allgemeine Schritte zur Problembehandlung für Domänenkonnektivität

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateDomainControllerConnectivity. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  4. Führen Sie den folgenden Befehl aus, um die Erreichbarkeit des Domänencontrollers zu überprüfen:

    Resolve-DnsName -Name $domainName

    Ersetzen Sie durch $domainName den Namen der Domäne, die Sie testen möchten.

    Stellen Sie sicher, dass die Domänennamenauflösung ordnungsgemäß an den angegebenen Domänencontroller (DC) weitergeleitet wird, der entweder für Azure oder SCOM verwaltete Instanz konfiguriert ist. Vergewissern Sie sich, dass dieser Domänencontroller oben unter den aufgelösten DCs aufgeführt ist. Wenn die Auflösung an verschiedene DC-Server weitergeleitet wird, deutet dies auf ein Problem mit der AD-Domänenauflösung hin.

  5. So überprüfen Sie die DNS-Servereinstellungen:

    • Stellen Sie sicher, dass die DNS-Servereinstellungen auf dem Computer, auf dem die Überprüfung ausgeführt wird, ordnungsgemäß konfiguriert sind.
    • Überprüfen Sie, ob die IP-Adressen des DNS-Servers korrekt und zugänglich sind.

  6. So überprüfen Sie die Netzwerkkonfiguration:

    • Überprüfen Sie die Netzwerkkonfigurationseinstellungen auf dem Computer, auf dem die Überprüfung ausgeführt wird.
    • Stellen Sie sicher, dass der Computer mit dem richtigen Netzwerk verbunden ist und über die erforderlichen Netzwerkeinstellungen für die Kommunikation mit dem Domänencontroller verfügt.

  7. Führen Sie den folgenden Befehl aus, um den erforderlichen Port auf dem Domänencontroller zu testen:

    Test-NetConnection -ComputerName $domainName -Port $portToCheck

    Ersetzen Sie $domainName durch den Namen der Domäne, die Sie testen möchten, und $portToCheck durch jeden Port aus der folgenden Listennummer:

    • 389/636
    • 88
    • 3268/3269
    • 135
    • 445

    Führen Sie den angegebenen Befehl für alle oben genannten Ports aus.

    Mit diesem Befehl wird überprüft, ob der angegebene Port auf dem angegebenen Domänencontroller geöffnet ist, der für die Erstellung von Azure- oder SCOM-verwaltete Instanz konfiguriert ist. Wenn der Befehl eine erfolgreiche Verbindung anzeigt, gibt er an, dass die erforderlichen Ports geöffnet sind.

Überprüfung des Domänenbeitritts

Problem: Fehler beim Beitritt der Testverwaltungsserver zur Domäne

Ursache: Tritt aufgrund eines falschen Organisationseinheitspfads, falscher Anmeldeinformationen oder eines Problems in der Netzwerkkonnektivität auf.

Lösung:

  1. Überprüfen Sie die in Ihrem Schlüsseltresor erstellten Anmeldeinformationen. Der Benutzername und das kennwortgeheimnis müssen den richtigen Benutzernamen und das Format des Benutzernamenwerts aufweisen, und der Wert muss Domäne\Benutzername und Kennwort sein, die über Berechtigungen zum Beitritt eines Computers zur Domäne verfügen. Standardmäßig können Benutzerkonten der Domäne nur bis zu 10 Computer hinzufügen. Informationen zum Konfigurieren finden Sie unter Standardlimit auf Anzahl, wenn Arbeitsstationen, die ein Benutzer der Domäne beitreten kann, hinzugefügt werden können.
  2. Stellen Sie sicher, dass der Organisationseinheitspfad korrekt ist und dass neue Computer nicht am Beitritt zur Domäne gehindert werden.

Allgemeine Schritte zur Problembehandlung für die Überprüfung des Domänenbeitritts

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateDomainJoin. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  4. Fügen Sie den virtuellen Computer mithilfe des Domänenkontos, das bei der Erstellung von SCOM verwaltete Instanz verwendet wird, einer Domäne hinzu. Führen Sie den folgenden Befehl aus, um die Domäne mit einem Computer mithilfe von Anmeldeinformationen zu verknüpfen:

    
$domainName = "<domainname>"


$domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))



$ouPath = "<OU path>"
if (![String]::IsNullOrWhiteSpace($ouPath)) {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -OUPath $ouPath -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}
else {
$domainJoinResult = Add-Computer -DomainName $domainName -Credential $domainJoinCredentials -Force -WarningAction SilentlyContinue -ErrorAction SilentlyContinue
}

    Ersetzen Sie Benutzername, Kennwort, $domainName, $ouPath durch die richtigen Werte.

    Nachdem Sie den obigen Befehl ausgeführt haben, führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Computer der Domäne erfolgreich beigetreten ist:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

Statische IP- und LB-FQDN-Zuordnung

Problem: Tests konnten nicht ausgeführt werden, da die Server der Domäne nicht beitreten konnten.

Auflösung: Stellen Sie sicher, dass die Computer der Domäne beitreten können. Führen Sie die Schritte zur Problembehandlung im Abschnitt Überprüfung des Domänenbeitritts aus.

Problem: DNS-Name <DNS-Name> konnte nicht behoben werden

Auflösung: Der angegebene DNS-Name ist in den DNS-Einträgen nicht vorhanden. Überprüfen Sie den DNS-Namen, und stellen Sie sicher, dass er ordnungsgemäß der bereitgestellten statischen IP-Adresse zugeordnet ist.

Problem: Die bereitgestellte statische IP-ADRESSE <> und Load Balancer DNS-Dns-Name <> stimmen nicht überein.

Auflösung: Überprüfen Sie die DNS-Einträge, und geben Sie die richtige Kombination aus DNS-Name und statischer IP-Adresse an. Weitere Informationen finden Sie unter Erstellen einer statischen IP und Konfigurieren des DNS-Namens.

Allgemeine Schritte zur Problembehandlung für statische IP- und LB-FQDN-Zuordnungen

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateStaticIPAddressAndDnsname. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  4. Fügen Sie den virtuellen Computer mithilfe des Domänenkontos, das bei der Erstellung von SCOM verwaltete Instanz verwendet wird, in eine Domäne ein. Führen Sie die Schritte im Abschnitt Überprüfung des Domänenbeitritts aus, um den virtuellen Computer mit einer Domäne zu verbinden.

  5. Rufen Sie die IP-Adresse und den zugeordneten DNS-Namen ab, und führen Sie die folgenden Befehle aus, um zu überprüfen, ob sie übereinstimmen. Lösen Sie den DNS-Namen auf, und rufen Sie die tatsächliche IP-Adresse ab:

    $DNSRecord = Resolve-DnsName -Name $DNSName
$ActualIP = $DNSRecord.IPAddress

    Wenn der DNS-Name nicht aufgelöst werden kann, stellen Sie sicher, dass der DNS-Name gültig ist und der tatsächlichen IP-Adresse zugeordnet ist.

Überprüfungen von Computergruppen

Problem: Der Test konnte nicht ausgeführt werden, da die Server der Domäne nicht beitreten konnten.

Auflösung: Stellen Sie sicher, dass die Computer der Domäne beitreten können. Führen Sie die Schritte zur Problembehandlung aus, die im Abschnitt Überprüfung des Domänenbeitritts angegeben sind.

Problem: Computergruppe mit dem Namen <Computergruppenname> konnte in Ihrer Domäne nicht gefunden werden

Auflösung: Überprüfen Sie das Vorhandensein der Gruppe, und überprüfen Sie den angegebenen Namen, oder erstellen Sie einen neuen, falls noch nicht erstellt.

Problem: Der Computergruppenname der Eingabecomputergruppe <wird nicht vom Benutzernamen der Benutzerdomäne <verwaltet.>>

Auflösung: Navigieren Sie zu den Gruppeneigenschaften, und legen Sie diesen Benutzer als Vorgesetzten fest. Weitere Informationen finden Sie unter Erstellen und Konfigurieren einer Computergruppe.

Problem: Der Benutzername der Managerdomäne <des Computergruppennamens> der Eingabecomputergruppe <verfügt nicht über die erforderlichen Berechtigungen zum Verwalten der Gruppenmitgliedschaft.>

Auflösung: Navigieren Sie zu den Gruppeneigenschaften, und aktivieren Sie das Kontrollkästchen Mitgliedschaftsliste verwalten kann aktualisiert werden. Weitere Informationen finden Sie unter Erstellen und Konfigurieren einer Computergruppe.

Allgemeine Schritte zur Problembehandlung für Überprüfungen von Computergruppen

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateComputerGroup. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Fügen Sie den virtuellen Computer mithilfe des Domänenkontos, das bei der Erstellung von SCOM verwaltete Instanz verwendet wird, einer Domäne hinzu. Führen Sie die Schritte im Abschnitt Überprüfung des Domänenbeitritts aus, um den virtuellen Computer mit einer Domäne zu verbinden.

  4. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  5. Führen Sie den folgenden Befehl aus, um Module zu importieren:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der virtuelle Computer in die Domäne eingebunden ist:

    Get-WmiObject -Class Win32_ComputerSystem | Select-Object -ExpandProperty PartOfDomain

  7. Führen Sie den folgenden Befehl aus, um das Vorhandensein der Domäne zu überprüfen und zu überprüfen, ob der aktuelle Computer bereits in die Domäne eingebunden ist:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$Domain = Get-ADDomain -Current LocalComputer -Credential $domainUserCredentials

    Ersetzen Sie $usernamedurch password anwendbare Werte.

  8. Führen Sie den folgenden Befehl aus, um das Vorhandensein des Benutzers in der Domäne zu überprüfen:

    $DomainUser = Get-ADUser -Identity $username -Credential $domainUserCredentials

    Ersetzen Sie $usernamedurch anwendbare Werte. $domainUserCredentials

  9. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Computergruppe in der Domäne vorhanden ist:

    $ComputerGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $domainUserCredentials

    Ersetzen Sie $computerGroupNamedurch $domainUserCredentials anwendbare Werte.

  10. Wenn der Benutzer und die Computergruppe vorhanden sind, bestimmen Sie, ob der Benutzer der Manager der Computergruppe ist.

    Import-Module ActiveDirectory
  	$DomainDN = $Domain.DistinguishedName
  $GroupDN = $ComputerGroup.DistinguishedName
 $RightsGuid = [GUID](Get-ItemProperty "AD:\CN=Self-Membership,CN=Extended-Rights,CN=Configuration,$DomainDN" -Name rightsGuid -Credential $domainUserCredentials | Select-Object -ExpandProperty rightsGuid)

  # Run Get ACL under the give credentials
  $job = Start-Job -ScriptBlock {
      param (
          [Parameter(Mandatory = $true)]
          [string] $GroupDN,
          [Parameter(Mandatory = $true)]
          [GUID] $RightsGuid
      )

  Import-Module ActiveDirectory
  $AclRule = (Get-Acl -Path "AD:\$GroupDN").GetAccessRules($true,$true,[System.Security.Principal.SecurityIdentifier]) |  Where-Object {($_.ObjectType -eq $RightsGuid) -and ($_.ActiveDirectoryRights -like '*WriteProperty*')}
      return $AclRule

  } -ArgumentList $GroupDN, $RightsGuid -Credential $domainUserCredentials

  $timeoutSeconds = 20
  $jobResult = Wait-Job $job -Timeout $timeoutSeconds

  # Job did not complete within the timeout
  if ($null -eq $jobResult) {
      Write-Host "Checking permissions, timeout after 10 seconds."
      Remove-Job $job -Force
  } else {
      # Job completed within the timeout
      $AclRule = Receive-Job $job
      Remove-Job $job -Force
  }

  $managerCanUpdateMembership = $false
  if (($null -ne $AclRule) -and ($AclRule.AccessControlType -eq 'Allow') -and ($AclRule.IdentityReference -eq $DomainUser.SID)) {
      $managerCanUpdateMembership = $true

    Wenn managerCanUpdateMembershipAuf True festgelegt ist, verfügt der Domänenbenutzer über die Berechtigung zum Aktualisieren der Mitgliedschaft für die Computergruppe. Wenn managerCanUpdateMembershipfalse ist, erteilen Sie dem Domänenbenutzer die Berechtigung zum Verwalten der Computergruppe.

gMSA-Kontoüberprüfungen

Problem: Der Test wird nicht ausgeführt, da die Server der Domäne nicht beitreten konnten.

Auflösung: Stellen Sie sicher, dass die Computer der Domäne beitreten können. Führen Sie die Schritte zur Problembehandlung aus, die im Abschnitt Überprüfung des Domänenbeitritts angegeben sind.

Problem: Die Computergruppe mit dem Namen <computer group name> isn't found in your domain. Die Mitglieder dieser Gruppe müssen in der Lage sein, das gMSA-Kennwort abzurufen.

Auflösung: Überprüfen Sie das Vorhandensein der Gruppe, und überprüfen Sie den angegebenen Namen.

Problem: gMSA mit Name <Domäne gMSA> wurde in Ihrer Domäne nicht gefunden

Auflösung: Überprüfen Sie das Vorhandensein des gMSA-Kontos, und überprüfen Sie den angegebenen Namen, oder erstellen Sie ein neues Konto, falls es noch nicht erstellt wurde.

Problem: gMSA <Domain gMSA> ist nicht aktiviert

Auflösung: Aktivieren Sie sie mit dem folgenden Befehl:

Set-ADServiceAccount -Identity <domain gMSA> -Enabled $true

Problem: gMSA <Domain gMSA> muss den DNS-Hostnamen auf <DNS-Name festgelegt haben.>

Auflösung: Für gMSA ist die DNSHostName -Eigenschaft nicht ordnungsgemäß festgelegt. Legen Sie die DNSHostName -Eigenschaft mit dem folgenden Befehl fest:

Set-ADServiceAccount -Identity <domain gMSA> -DNSHostName <DNS Name>

Problem: Der Sam-Kontoname für gMSA <Domain gMSA> überschreitet den Grenzwert von 15 Zeichen.

Auflösung: Legen Sie mit dem folgenden Befehl fest SamAccountName :

Set-ADServiceAccount -Identity <domain gMSA> -SamAccountName <shortname$>

Problem: Computergruppenname> der Computergruppe <muss als PrincipalsAllowedToRetrieveManagedPassword für gMSA <Domain gMSA festgelegt werden.>

Auflösung: Die gMSA wurde PrincipalsAllowedToRetrieveManagedPassword nicht ordnungsgemäß festgelegt. Legen Sie mit dem folgenden Befehl fest PrincipalsAllowedToRetrieveManagedPassword :

Set-ADServiceAccount -Identity <domain gMSA> - PrincipalsAllowedToRetrieveManagedPassword <computer group name>

Problem: Die SPNs wurden für die gMSA-Domäne <gMSA nicht ordnungsgemäß festgelegt.>

Auflösung: Für gMSA sind keine korrekten Dienstprinzipalnamen festgelegt. Legen Sie die Dienstprinzipalnamen mit dem folgenden Befehl fest:

Set-ADServiceAccount -Identity <domain gMSA> -ServicePrincipalNames <set of SPNs>

Allgemeine Schritte zur Problembehandlung für gMSA-Kontoüberprüfungen

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidategMSAAccount. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Fügen Sie den virtuellen Computer mithilfe des Domänenkontos, das bei der Erstellung von SCOM verwaltete Instanz verwendet wird, einer Domäne hinzu. Führen Sie die Schritte im Abschnitt Überprüfung des Domänenbeitritts aus, um den virtuellen Computer mit einer Domäne zu verbinden.

  4. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  5. Führen Sie den folgenden Befehl aus, um Module zu importieren:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Server erfolgreich der Domäne beigetreten sind:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

  7. Führen Sie den folgenden Befehl aus, um das Vorhandensein der Computergruppe zu überprüfen:

    $Credentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force))
$adGroup = Get-ADGroup -Identity $computerGroupName -Properties ManagedBy,DistinguishedName -Credential $Credentials

    Ersetzen Sie username, password und computerGroupName durch anwendbare Werte.

  8. Führen Sie den folgenden Befehl aus, um das Vorhandensein des gMSA-Kontos zu überprüfen:

    $adServiceAccount = Get-ADServiceAccount -Identity gMSAAccountName -Properties DNSHostName,Enabled,PrincipalsAllowedToRetrieveManagedPassword,SamAccountName,ServicePrincipalNames -Credential $Credentials

  9. Überprüfen Sie zum Überprüfen der gMSA-Kontoeigenschaften, ob das gMSA-Konto aktiviert ist:

    (Get-ADServiceAccount -Identity <GmsaAccount>).Enabled

    Wenn der Befehl False zurückgibt, aktivieren Sie das Konto in der Domäne.

  10. Führen Sie die folgenden Befehle aus, um zu überprüfen, ob der DNS-Hostname des gMSA-Kontos mit dem angegebenen DNS-Namen (LB DNS-Name) übereinstimmt:

    (Get-ADServiceAccount -Identity <GmsaAccount>).DNSHostName

    Wenn der Befehl nicht den erwarteten DNS-Namen zurückgibt, aktualisieren Sie den DNS-Hostnamen von gMsaAccount in LB DNS-Name.

  11. Stellen Sie sicher, dass der Sam-Kontoname für das gMSA-Konto den Grenzwert von 15 Zeichen nicht überschreitet:

    (Get-ADServiceAccount -Identity <GmsaAccount>).SamAccountName.Length

  12. Führen Sie die folgenden Befehle aus, um die PrincipalsAllowedToRetrieveManagedPassword Eigenschaft zu überprüfen:

    Überprüfen Sie, ob die angegebene Computergruppe für das gMSA-Konto als "PrincipalsAllowedToRetrieveManagedPassword" festgelegt ist:

    (Get-ADServiceAccount -Identity <GmsaAccount>).PrincipalsAllowedToRetrieveManagedPassword -contains (Get-ADGroup -Identity <ComputerGroupName>).DistinguishedName

    Ersetzen Sie gMSAAccount und ComputerGroupName durch anwendbare Werte.

  13. Führen Sie den folgenden Befehl aus, um die Dienstprinzipalnamen (SPNs) für das gMSA-Konto zu überprüfen:

    $CorrectSPNs = @("MSOMSdkSvc/$dnsHostName", "MSOMSdkSvc/$dnsName", "MSOMHSvc/$dnsHostName", "MSOMHSvc/$dnsName")
(Get-ADServiceAccount -Identity <GmsaAccount>).ServicePrincipalNames

    Überprüfen Sie, ob die Ergebnisse Richtige SPNs aufweisen. Ersetzen Sie durch $dnsName den in der Erstellung des SCOM-verwaltete Instanz angegebenen LB-DNS-Namen. Ersetzen Sie durch $dnsHostName lb dns short name. Beispiel: MSOMHSvc/ContosoLB.domain.com, MSOMHSvc/ContosoLB, MSOMSdkSvc/ContosoLB.domain.com und MSOMSdkSvc/ContosoLB sind Dienstprinzipalnamen.

Überprüfungen von Gruppenrichtlinien

Wichtig

Um GPO-Richtlinien zu beheben, arbeiten Sie mit Ihrem Active Directory-Administrator zusammen, und schließen Sie System Center Operations Manager aus den folgenden Richtlinien aus:

  • Gruppenrichtlinienobjekte, die konfigurationen lokaler Administratorgruppen ändern oder überschreiben.
  • Gruppenrichtlinienobjekte, die die Netzwerkauthentifizierung deaktivieren.
  • Auswerten von Gruppenrichtlinienobjekten, die die Remoteanmeldung für lokale Administratoren behindern.

Problem: Dieser Test konnte nicht ausgeführt werden, da die Server der Domäne nicht beitreten konnten.

Auflösung: Stellen Sie sicher, dass die Computer der Domäne beitreten. Führen Sie die Schritte zur Problembehandlung im Abschnitt Überprüfung des Domänenbeitritts aus.

Problem: gMSA mit Name <Domäne gMSA> konnte in Ihrer Domäne nicht gefunden werden. Dieses Konto muss ein lokaler Administrator auf dem Server sein.

Auflösung: Überprüfen Sie das Vorhandensein des Kontos, und stellen Sie sicher, dass gMSA und Domänenbenutzer Teil der lokalen Administratorgruppe sind.

Problem: Die Konten <Domänenbenutzername> und <Domänen-gMSA> konnten nicht der lokalen Gruppe "Administratoren" auf den Testverwaltungsservern hinzugefügt werden oder wurden nach der Aktualisierung der Gruppenrichtlinie nicht in der Gruppe beibehalten.

Auflösung: Stellen Sie sicher, dass der Domänenbenutzername und die gMSA-Eingaben korrekt sind, einschließlich des vollständigen Namens (Domäne\Konto). Überprüfen Sie auch, ob auf Ihrem Testcomputer Gruppenrichtlinien vorhanden sind, die die lokale Gruppe Administratoren aufgrund von Richtlinien überschreiben, die auf Organisationseinheits- oder Domänenebene erstellt wurden. gMSA- und Domänenbenutzer müssen Teil der lokalen Administratorgruppe sein, damit SCOM verwaltete Instanz funktioniert. SCOM-verwaltete Instanz Computer müssen von jeder Richtlinie ausgeschlossen werden, die die lokale Administratorgruppe überschreibt (Arbeiten mit AD-Administrator).

Problem: Fehler beim SCOM-verwaltete Instanz

Ursache: Eine Gruppenrichtlinie in Ihrer Domäne (Name: <Gruppenrichtlinienname>) überschreibt die lokale Gruppe Administratoren auf Testverwaltungsservern, entweder in der Organisationseinheit, die die Server enthält, oder den Stamm der Domäne.

Auflösung: Stellen Sie sicher, dass die Organisationseinheit für SCOM verwaltete Instanz Management Servers (<OU Path>) nicht von richtlinien betroffen ist, die die Gruppe außer Kraft setzen.

Allgemeine Schritte zur Problembehandlung für Gruppenrichtlinienüberprüfungen

  1. Generieren Sie einen neuen virtuellen Computer (VM), der unter Windows Server 2022 oder 2019 ausgeführt wird, innerhalb des ausgewählten Subnetzes für die Erstellung von SCOM-verwaltete Instanz. Melden Sie sich bei der VM an, und konfigurieren Sie den DNS-Server so, dass dieselbe DNS-IP-Adresse verwendet wird, die bei der Erstellung des SCOM-verwaltete Instanz verwendet wurde.

  2. Sie können entweder die unten aufgeführten Schritt-für-Schritt-Anweisungen befolgen oder wenn Sie mit PowerShell vertraut sind, die spezifische Überprüfung ausführen, die im ScomValidation.ps1-Skript aufgerufen wirdInvoke-ValidateLocalAdminOverideByGPO. Weitere Informationen zum unabhängigen Ausführen des Validierungsskripts auf Ihrem Testcomputer finden Sie unter Allgemeine Richtlinien für die Ausführung des Validierungsskripts.

  3. Fügen Sie den virtuellen Computer mithilfe des Domänenkontos, das bei der Erstellung von SCOM verwaltete Instanz verwendet wird, einer Domäne hinzu. Führen Sie die Schritte im Abschnitt Überprüfung des Domänenbeitritts aus, um den virtuellen Computer mit einer Domäne zu verbinden.

  4. Öffnen Sie die PowerShell ISE im Administratormodus, und legen Sie Set-ExecutionPolicy auf Uneingeschränkt fest.

  5. Führen Sie die folgenden Befehle aus, um Module zu importieren:

    Add-WindowsFeature RSAT-AD-PowerShell -ErrorAction SilentlyContinue
Add-WindowsFeature GPMC -ErrorAction SilentlyContinue

  6. Führen Sie den folgenden Befehl aus, um zu überprüfen, ob die Server erfolgreich der Domäne beigetreten sind:

    (Get-WmiObject -Class Win32_ComputerSystem).PartOfDomain

    Der Befehl muss True zurückgeben.

  7. Führen Sie den folgenden Befehl aus, um das Vorhandensein des gMSA-Kontos zu überprüfen:

    Get-ADServiceAccount -Identity <GmsaAccount>

  8. Führen Sie den folgenden Befehl aus, um das Vorhandensein von Benutzerkonten in der lokalen Gruppe Administratoren zu überprüfen:

    $domainJoinCredentials = New-Object pscredential -ArgumentList ("<username>", (ConvertTo-SecureString "password" -AsPlainText -Force)) 
$addToAdminResult = Add-LocalGroupMember -Group "Administrators" -Member $userName, $gMSAccount -ErrorAction SilentlyContinue 
$gpUpdateResult = gpupdate /force 
$LocalAdmins = Get-LocalGroupMember -Group 'Administrators' | Select-Object -ExpandProperty Name

    Ersetzen Sie und <UserName><GmsaAccount> durch die tatsächlichen Werte.

  9. Führen Sie den folgenden Befehl aus, um die Domänen- und Organisationseinheitsdetails zu ermitteln:

    Get-ADOrganizationalUnit -Filter "DistinguishedName -like '$ouPathDN'" -Properties CanonicalName -Credential $domainUserCredentials

    Ersetzen Sie den <OuPathDN> durch den tatsächlichen Organisationseinheitspfad.

  10. Führen Sie den folgenden Befehl aus, um den GPO-Bericht (Gruppenrichtlinie Object) aus der Domäne abzurufen und auf Außerkraftsetzungsrichtlinien in der lokalen Gruppe Administratoren zu überprüfen:

     [xml]$gpoReport = Get-GPOReport -All -ReportType Xml -Domain <domain name>
 foreach ($GPO in $gpoReport.GPOS.GPO) {
     # Check if the GPO links to the entire domain, or the input OU if provided
     if (($GPO.LinksTo.SOMPath -eq $domainName) -or ($GPO.LinksTo.SOMPath -eq $ouPathCN)) {
         # Check if there is a policy overriding the Local Users and Groups
         if ($GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group) {
         $GroupPolicy = $GPO.Computer.ExtensionData.Extension.LocalUsersAndGroups.Group | Select-Object @{Name='RemoveUsers';Expression={$_.Properties.deleteAllUsers}},@{Name='RemoveGroups';Expression={$_.Properties.deleteAllGroups}},@{Name='GroupName';Expression={$_.Properties.groupName}}
         # Check if the policy is acting on the BUILTIN\Administrators group, and whether it is removing other users or groups
         if (($GroupPolicy.groupName -eq "Administrators (built-in)") -and (($GroupPolicy.RemoveUsers -eq 1) -or ($GroupPolicy.RemoveGroups -eq 1))) {
          $overridingPolicyFound = $true
          $overridingPolicyName = $GPO.Name
             }
         }
     }
 }
 if($overridingPolicyFound) {
  Write-Warning "Validation failed. A group policy in your domain (name: $overridingPolicyName) is overriding the local Administrators group on this machine. This will cause SCOM MI installation to fail. Please ensure that the OU for SCOM MI Management Servers is not affected by this policy"
 }
 else {
  Write-Output "Validation suceeded. No group policy found in your domain which overrides local Administrators. "
 }

Wenn die Skriptausführung eine Warnung als Überprüfung fehlgeschlagen ausgibt, gibt es eine Richtlinie (Name wie in der Warnmeldung), die die lokale Administratorgruppe überschreibt. Wenden Sie sich an den Active Directory-Administrator, und schließen Sie den System Center Operations Manager-Verwaltungsserver aus der Richtlinie aus.